Krav til rettslig grunnlag for behandling av personopplysninger («behandlingsgrunnlag») Dag Wiese Schartum

Innledende bemerkninger “Rettslig grunnlag” for å behandle personopplysninger (eller «behandlings- grunnlag»), er betegnelsen på et av flere krav som må være oppfylt for at personopplysninger kan behandles på lovlig måte, jf også § 11 Tilsvarer det som i loven kalles “vilkår for å behandle personopplysninger”, og reguleres av §§ 8 og 9 Rettslig grunnlag (og ikke «vilkår for å behandle …») brukes som betegnelse fordi det også er andre vilkår for å behandle personopplysninger som må være oppfylt, særlig: –Fastsettelse av saklig begrunnede formål for behandlingen –Tilstrekkelig kvalitet på personopplysningene “Rettslig grunnlag” er derfor mer en presis betegnelse enn den loven bruker i § 8 (jf § 9) Enhver behandling av personopplysninger må ha et rettslig grunnlag i samsvar med § 8 Kun behandling av sensitive opplysninger (jf § 2 nr 8) må ha behandlingsgrunnlag etter § 9 Innebærer at sensitive personopplysninger må ha behandlingsgrunnlag etter både § 8 og § 9

Oversikt over typer rettslig grunnlag Lovhjemmel –Dvs. når det er klart bestemt i loven at personopplysninger kan samles inn og behandles Samtykke –Dvs. når den registrerte godtar at opplysninger blir samlet inn og behandlet av behandlingsansvarlige Når det er “nødvendig” (“nødvendig grunn”) –Generelt: når behandlingen er omfattet av (minst) én av de nødvendige grunner som loven angir i § 8 bokstavene a – f –For sensitive personopplysninger er det de nødvendige grunnene som er nevnt i § 9 bokstavene a – h som gjelder Opplysninger som “den registrerte selv frivillig har gjort alminnelig kjent” (§ 9 bokstav d) –Gjelder bare for sensitive personopplysninger –Den registrerte må selv ha gjort noe aktivt for at opplysningene skal bli kjent Hver behandling av personopplysninger kan trenge flere typer rettslig grunnlag (den behandlingsansvarlige har f.eks. lovhjemmel for å behandle noen opplysninger, mens andre opplysninger trenger samtykke eller nødvendig grunn)

Lov “Lov” kan bare være rettslig grunnlag dersom det i lov, eller i forskrift som er gitt i medhold av lov, klart er bestemt at person- opplysninger kan samles inn og behandles Slike bestemmelser finnes typisk i “registerlover”, jf forelesningen den 20.01, for eksempel: –Strpl. § 160a. Kongen kan beslutte at det skal opprettes et sentralt register over DNA- profiler. Registeret kan inneholde DNA-profiler til personer som er dømt for […] –Folkereg.l. § 1. Det skal være ett sentralt folkeregister for Norge. I Det sentrale folkeregister registreres alle personer som: a)er eller har vært bosatt i Norge, b)er født i Norge, c)har fått tildelt fødselsnummer eller D-nummer. Det er typisk offentlig forvaltning som har slike lovhjemler, og det er mange av dem! Det er ikke tilstrekkelig at det i en lov eller forskrift er bestemmelser som forutsetter innsamling mv av personopplysninger

Samtykke Dersom det ikke foreligger lovhjemmel, er må det som regel innhentes samtykke fra den registrerte, se s 8 (nedenfor) Samtykke må tilfredsstille tre krav for å være gyldig (§ 2 nr 7): –Frivillig: Det kan ikke være knyttet tvang eller sanksjoner til et samtykke Likevel vanskelig å sikre full frivillighet i streng forstand fordi “alle” innretter seg på samme måte og gir bedre tilbud til den som anvender IKT Frivillighet har særlig vært ansett som problem i arbeidsforhold –Uttrykkelig: Samtykket må vises gjennom en aktiv handling fra den registrerte Ingen formkrav (dvs underskrift e.l.), bruk av ikoner mv er nok Kan tenkes muntlig samtykke, men lite brukbart Stilltiende og “konkludent” samtykke godtas ikke Må ha tilstrekkelig sikkerhet for at det er rett person som samtykker (jf § 13) »samtykke, fortsetter neste side

Samtykke (forts. I) –Informert: Den registrerte (og en eventuell representant) skal ha informasjon som klart viser hva samtykket omfatter Informasjonen må gis før selve samtykket gis Informasjonen må normalt inneholde opplysninger om (jf § 19): a) Hvilke opplysningstyper det gjelder b) navn og adresse på den behandlingsansvarlige og dennes eventuell representant, c) formålet med behandlingen, d) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, e) det er frivillig å gi fra seg opplysningene, og f) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f.eks. informasjon om retten til å kreve innsyn, jf. § 18, og retten til å kreve retting, jf. § 27 og § 28 –Samtykke kan skje ved fullmakt –Er ”kollektivt samtykke” mulig (f.eks. i arbeidslivet)?

Samtykke (forts. II) Kan mindreårige samtykke? –Kan/må foreldrene samtykke eller kan barn/ungdom samtykke på egenhånd? –Her må bestemmelsene i personopplysningsloven ses i sammenheng med barneloven (jf særlig §§ 31 og 33) –Loven stiller ikke opp noen bestemte aldersgrenser for når mindreårige kan samtykke –Likevel klart at mindreårige kan samtykke i visse situasjoner –Barns adgang til selv å samtykke avhenger i utgangspunktet av barnets alder og modenhet, dvs. skjønnsmessig avgrenset: «Foreldra skal gje barnet stendig større sjølvråderett med alderen og fram til det fyller 18 år.» (barnelova § 33) –I en digital verden kan det imidlertid være vanskelig å vurdere individuelt –Ungdom kan trolig samtykke alene til å behandle personopplysninger som er knyttet til forhold de har bestemmelsesrett over (15 år: medlemskap i foreninger, valg av utdanning mv, se barnelova § 32) –Fra 15-/16-års alder vil ungdom ofte kunne samtykke på egenhånd (men også mulig tidligere) –Uansett alder skal barn og ungdom alltid høres før foreldre tar avgjørelser på deres vegne (forutsatt at de er gamle nok til å forstå/gjøre seg opp en mening) –Absolutt (men skjønnsmessig) skranke: «Personopplysninger som gjelder barn, skal ikke behandles på en måte som er uforsvarlig av hensyn til barnets beste.» (§ 11 siste ledd)

Nødvendig grunn Det er bare de grunner som loven anerkjenner som kan være rettslig grunnlag De nødvendige grunnene som er nevnt i § 8 er forskjellige fra de som er nevnt i § 9 (gjennomgår ikke grunnene i § 9 her) Nødvendige grunner i § 8: avtale rettslig forpliktelse vitale interesser allmenn interesse utøve offentlig myndighet a)å oppfylle en avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås (kjøp, arbeidsavtale mv), b)at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse (forpliktelse i lov, konvensjon e.l.), c)å vareta den registrertes vitale interesser (særlig liv og helse), d)å utføre en oppgave av allmenn interesse (forskning, statistikk, historie), e)å utøve offentlig myndighet (enkeltvedtak, dømmende virksomhet mv), eller f)at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Husk at bestemmelsene ikke kan fortolkes ut i fra en vanlig språklig forståelse, men må leses ut i fra forarbeider, praksis mv

Nødvendig grunn eller samtykke? To avgjørelser i Personvernnemnda illustrerer rettsutvikling på området: (PVN 2004/01 (Statens Arbeidsmiljøinstitutt – STAMI) “For at man skal kunne gjøre et avvik fra hovedprinsippet [om samtykke], må det […] foreligge en begrunnelse. Denne begrunnelsen kan […] ikke bare være en ren hensiktsmessighetsbetraktning, f eks å unngå kostnader, spare tid eller lignende – selv om slike begrunnelser selvsagt også må vurderes konkret i forhold til den enkelte sak.” ) PVN 2012/01 (Barn med påførte dødelige skader) Oppsummert: Alle typer rettslige grunnlag i pol § 8 er i utgangspunktet likestilte. En kan derfor ikke generelt anse samtykke som hovedregelen. Er det liten trusselen mot personvernet, f.eks. fordi personenes identiteter er godt beskyttet, kan det f.eks. tale for å benytte annet rettslig grunnlag enn samtykke.

Bortfall av rettslig grunnlag De ulike rettslige grunnlagene kan falle bort på ulike måter: –Lovhjemmel kan falle bort fordi loven endres eller oppheves –Samtykke kan når som helst trekkes tilbake –Nødvendig grunn kan opphøre fordi situasjonen forandrer seg Dersom det rettslige grunnlaget faller bort, og det ikke finnes et alternativt rettslig grunnlag, mister den behandlingsansvarlige retten til å behandle opplysningene, og opplysningene skal slettes, se § 27