Personvern dagens og morgendagens regulering Dag Wiese Schartum

Personvern: dagens og morgendagens regulering Dag Wiese Schartum, Senter for rettsinformatikk, Avdeling forvaltningsinformatikk, Ui. O

Oversikt over dagens lovgivning om personopplysninger på nasjonalt nivå S t r a f f Registerlover; oppretter registre e og fastsetter visse regler for bruk l o Spredte bestemmelser i diverse v e lover, bl. a. forvaltningsloven, offentleglova og i særlovgivning n Generell og helhetlig regulering av personvern Særlovgivning med bred regulering av personvernet Personopplysningsloven Helseregisterloven, helseforskningsloven, SISloven m. fl. F. eks. folkeregistreringsloven, politiregisterloven, lov om eiendomsregistrering m. v. • Taushetsplikt • Innsynsrett • Oppgaveplikt • osv Straff ved f. eks. : • brudd på taushetsplikt • krenkelse av retten til privat kommunikasjon • identitetskrenkelse • mv • Se særlig straffeloven kap. 21

Litt om forholdet mellom personopplysningsloven og forvaltningsloven • Forvaltningsloven gjelder forvaltningsorganers virksomhet • Regulerer bl. a. enkeltsaksbehandling og enkeltvedtak, se kap. IV – VI • Enkeltsaksbehandling vedrørende fysiske enkeltpersoner innebærer alltid behandling av personopplysninger • Personopplysningsloven gjelder generelt, herunder for offentlig forvaltning • Regulerer bl. a. forvaltningsorganers behandling av personopplysninger • Ved enkeltsaksbehandling kommer derfor både personopplysningsloven og forvaltningsloven til anvendelse samtidig • Forvaltningsloven ivaretar personvern ved å stille krav om taushetsplikt for “noens personlige forhold” (dvs. visse personopplysninger), men for øvrig er det personopplysningsloven som ivaretar personvernet i offentlig forvaltning • Fra mai neste år vil ny personopplysningslov og personvernforordningen tre i stedet for dagens personopplysningslov (jf. ovenfor)

Oversikt over internasjonalt personvern Bestemmelser om menneskerettigheter i internasjonale konvensjoner mv. • • Verdenserklæringen om menneskerettighetene (1948), art. 12 • FN-konvensjonen om sivile og politiske rettigheter , SP (1966), art. 17 • Den europeiske menneskerettighetskonvensjonen, EMK (1950), art. 8 • • • Bred internasjonal regulering av personvern OECDs retningslinjer for beskyttelse av personopplysninger over landegrenser (1980/2013) Europarådets konvensjon om personvern i forbindelse med elektronisk databehandling av personopplysninger (1981) EUs personverndirektiv (1995) EUs personvernforordning (mai 2018) EUs personvernforordning ( «EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 av 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)» ) • Forordningen får direkte effekt i Norge og vil erstatte den gjeldende personopplysningsloven

Fra direktiv til forordning • EU-direktiver ü gjennomføres i norsk rett ved at det gis bestemmelser i lover mv som er i overensstemmelse med direktivets innhold • EU-forordninger ü gjelder direkte og kommer i stedet for nasjonale (norske) bestemmelser. ü Fra mai 2018 vil EU-direktivet om personvern bli avløst av en EU-forordning om personvern. ü Fra mai 2018 vil det bli vedtatt en ny og totalt revidert personopplysningslov som ü Loven vil gjennomføre forordningen (under henvisning til EØS-avtalen) ü Gi, eller gi hjemmel til, slike nasjonale bestemmelser som forordningen åpner for

Oversikt over forslag til ny personopplysningslov (I) • Paragraf 1 gjennomfører personvernforordningen (PVF) • Fastsetter saklig virkeområde (§ 2) üGjelder innenfor rammene av EØS-avtalen üGjelder utenfor EØS-avtalen med mindre annet følger av lov eller forskrift i medhold av lov; men PVF kap. 7 om samarbeid mellom myndigheter mv. gjelder ikke (jf. § 5) üGjelder ikke for saker som behandles i medhold av rettspleielovene (som i dag) üGjelder ikke for saker som behandles i medhold av politiregisterloven og lov om behandling av personopplysninger i kriminalomsorgen • Dagens regler om kameraovervåking blir ikke videreført, men nye bestemmelser om kameraovervåking på arbeidsplasser blir foreslått • Dagens regler om innsyn i ansattes epost, forslås videreført i revidert form

Oversikt over forslag til ny personopplysningslov (II) • Inneholder bestemmelser om unntak for reglene om sensitive personopplysninger • Når formålet er knyttet til arkivering i allmennhetens interesse, vitenskapelig virksomhet, historieforskning og statistikk (§ 6), og • Behandlingen er lovhjemlet, eller • Behandlingen tilfredsstiller ett av fire alternative krav (jf. bokstavene a – d) • Nødvendig av hensyn til viktige samfunnsinteresser (§ 7) • Hvis Datatilsynet gir tillatelse i særlige tilfelle, for spesifikke behandlinger • Kongen kan gi nærmere forskrifter om slike tilfeller • Bestemmelsen i pol § 12 om fødselsnumre mv, videreføres i § 9

Oversikt over forslag til ny personopplysningslov (III) • Unntak fra registrertes rettigheter • Det er gjort unntak for registrertes rettigheter til informasjon, innsyn og underretning om sikkerhetsbrudd, med grunner som ligner de som i dag gjelder i pol § 23 (§ 13) • I den grad rettighetene vil gjøre det umulig eller i alvorlig grad vil hindre at målene med behandlingen nås, er det gjort unntak for flere av de registrertes rettigheter når formålet er knyttet til arkivering i allmennhetens interesse, vitenskapelig virksomhet, historieforskning og statistikk (§ 14) • Personvernrådgivere • Taushetsplikt for personvernrådgivere (jf. dagens «personvernombud» ) (§ 15) • Forskriftshjemmel om plikt til å utpeke personvernrådgivere (§ 16) • Myndigheter • Etablerer Datatilsynet og Personvernnemnda som uavhengige myndigheter (§§ 17 og 18) • Gir informasjonstilgang og taushetsplikt for Datatilsynet, personvernnemnda mv. (§§ 19 og 20) • Enkelte bestemmelser om sanksjoner og tvangsmulkt (kap. 7)

Forholdet mellom den generelle personvernforordningen (PVF) og annen EU-lovgivning • PVF blir dominerende men ikke enerådende regulering av personvern innen EU/EØS. I tillegg kommer: • Direktiv 2016/680/EU om personvern i rettsvesenet mv. • Forslag til forordning om respekt for privatliv og beskyttelse af personoplysninger i forbindelse med elektroniske kommunikation (datert 10. 01. 2017) • Forordningsformen blir valgt for å få rettsenhet innen EU/EØS • Likevel inneholder PVF mer enn 70 bestemmelser som viser til/hjemler nasjonale regler og EU-regler (i 35 artikler)

Personvernforordningen i tall • Fortalen • 173 avsnitt • Mer enn 20. 000 ord • Selve forordningen • 99 bestemmelser • Mer enn 26. 000 ord (nesten 4 x så mye som personopplysningsloven) • Til sammen mer enn 100 “normale sider” tekst

Kort om fortalen • Fortalen (“recitals”) inneholder begrunnelser for og forklaringer av bestemmelsene i forordningen (men ingen selvstendige rettsregler) • Fortalen kan skape oppmerksomhet om forhold ved forordningens bestemmelser som det ellers er lett å overse • Det er ikke samsvar mellom nummereringen av fortalen og bestemmelsene i forordningens bestemmelser, men den følger omtrent samme rekkefølge

Oversikt over inndeling av bestemmelsene i forordningen KAPITEL III KAPITEL IV KAPITEL VIII KAPITEL IX KAPITEL XI Generelle bestemmelser Principper Den registreredes rettigheder Dataansvarlig og databehandler Overførsler af personoplysninger til tredjelande eller internationale organisationer Uafhængige tilsynsmyndigheder Henvender seg primært tilsynsmyndighetene Samarbejde og sammenhæng Retsmidler, ansvar og sanktioner “Motivasjon” og ved KRISE Bestemmelser vedrørende specifikke behandlingssituationer Delegerede retsakter og gennemførelsesforanstaltninger Afsluttende bestemmelser Henvender seg primært til myndighetsorganer mv.

Spørsmål behandlingsansvarlige bør vurdere før behandling av personopplysninger igangsettes Virkeområde Grunnvilkår for lovlig behandling • Gjelder forordningen? (art. 2 og 3) • Angi behandlinger og opplysninger (art. 30) Definisjoner (art. 4) • Avklar rettslig grunnlag (art. 6 – 10) Tilstøtende lovgivning • Angi behandlingsformål (art. 5) • Avklar om hjemler i forordningen for nasjonale unntak er brukt (diverse artikler) • Angi krav til opplysningskvalitet (art. 5(1)(d)) • Avklar forholdet til nasjonal lovgivning ellers (? ) Roller og ansvar • Avklar rollen(e) som behandlingsansvarlig(e) (art. 4(6 - 8), 24, 26, 27, 31) • Avklar bruk av databehandler(e) (art. 4(8), • Angi lagringstid (art. 5(1)(d), jf. art. 17) • Overføring til tredjeland mv. ? (art. 44 – 49) • Vurder plikt til konsekvensanalyse og konsultasjon (art. 35 og 36) Rutiner og overordnede vurderinger 28, 29, 30 og 31) • Avklar plikt til å ha personvernrådgiver (art. 37 – 39) • Etabler og anvend rutiner for internkontroll (art. 24) • Etabler og anvend rutiner for informasjonssikkerhet (art. 32 – 34) • Vurder og implementer muligheten for innebygget personopplysningsvern og standardinnstillinger (art. 25)

Hva kan vi gjøre for at PVF skal bli lettere å lese? • PVF gir muligheter for praktisk å legge til rette for anvendelse av forordningen: • Skjeln mellom “saksbehandlingsbestemmelser” og “systembestemmelser” mv. (jf. forrige bilde) • Slå av/på bestemmelser som gir EU og medlemsstatene hjemmel til særregulering mv. (jf. neste bilde) • Slå av/på eksemplifiseringer

Fra artikkel 6 Behandlingens lovlighet […] 3. Grunnlaget for behandlingen nevnt i nr. 1 bokstav c) og e) skal fastsettes i a) unionsretten eller b) medlemsstatens nasjonale rett som den behandlingsansvarlige er underlagt. Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, med hensyn til behandlingen nevnt i nr. 1 bok stav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlig e er pålagt. Nevnte rettslige grunnlag kan inneholde særlige bestemmelser for å tilpasse anvendelsen av reglene i denne forordning , blant annet de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og framgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling, slik som dem fastsatt med henblikk på andre særlige behandlingssituasjoner som nevnt i kapittel IX. Unionsretten eller medlemsstatenes nasjonale rett skal oppfylle et mål i allmennhetens interesse og stå i forhold til det berettigede målet som søkes oppnådd.

Joint Practical Guide of the European Parliament, the Council and the Commission for persons involved in the drafting of European Union legislation (2015)

Klarspråk i forordningen Artikkel 12 Gjennomsiktig informasjon, kommunikasjon og nærmere regler for utøvelse av den registrertes rettigheter 1. Den behandlingsansvarlige skal treffe egnede tiltak for å fremlegge for den registrerte informasjonen nevnt i artikkel 13 og 14 og all kommunikasjon i henhold til artikkel 15 – 22 og 34 om behandlingen på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk, især når det gjelder opplysninger som spesifikt er rettet mot et barn. Informasjonen skal gis skriftlig eller på en annen måte, herunder elektronisk dersom det er hensiktsmessig. På anmodning fra den registrerte kan informasjonen gis munt lig, forutsatt at den registrertes identitet bevises på andre måter. 2. Den behandlingsansvarlige skal legge til rette for at den registrerte kan utøve sine rettigheter i henhold til artikkel 15 – 22. I tilfellene nevnt i artikkel 11 nr. 2 skal den behandlingsansvarlige ikke nekte å etterkomme den registrertes anmodning om å utøve sine rettigheter i henhold til artikkel 15 – 22, med mindre den behandlingsansvarlige påviser at vedkommende ikke er i stand til å identifisere den registrerte. 3. Den behandlingsansvarlige skal informere den registrerte om tiltak som er truffet på grunnlag av en anmodning i henhold til artikkel 15 – 22, uten ugrunnet opphold og senest én måned etter mottak av anmodningen. Denne fristen kan ved behov forlenges med ytterligere to måneder, idet tas hensyn til antall anmodninger og anmodningenes kompleksitet. Den behandlingsansvarlige skal informere den registrerte om enhver slik forlengelse senest én måned etter mottak av anmodningen sammen med en begrunnelse forsinkelsen. Dersom den registrerte inngir anmodningen elektronisk, skal informasjonen om mulig gis elektronisk, med mindre den registrerte anmoder om noe annet.