Utkast til ny personopplysningslov – gjennomføring av personvernforordningen i norsk rett

Sendt: 16.10.2017

Adressat: Justis- og beredskapsdepartementet

1. Innledning

Vi viser til departementets høringsbrev av 6.7.2017 vedrørende ovennevnte høring.

Det er en prioritert oppgave for Advokatforeningen å drive rettspolitisk arbeid gjennom høringsuttalelser. Advokatforeningen har derfor en rekke lovutvalg inndelt etter fagområder. I våre lovutvalg sitter advokater med særskilte kunnskaper innenfor det aktuelle fagfelt og hvert lovutvalg består av advokater med ulik erfaringsbakgrunn og kompetanse innenfor fagområdet. Arbeidet i lovutvalgene er frivillig og ulønnet.

Advokatforeningen ser det som sin oppgave å være en uavhengig høringsinstans med fokus på rettssikkerhet og på kvaliteten av den foreslåtte lovgivningen.

I saker som angår advokaters rammevilkår vil imidlertid regelendringen også bli vurdert opp mot advokatbransjens interesser. Det vil i disse tilfellene bli opplyst at vi uttaler oss som en berørt bransjeorganisasjon og ikke som et uavhengig ekspertorgan. Årsaken til at vi sondrer mellom disse rollene er at vi ønsker å opprettholde og videreutvikle den troverdighet Advokatforeningen har som et uavhengig og upolitisk ekspertorgan i lovgivningsprosessen.

I den foreliggende sak uttaler Advokatforeningen seg som ekspertorgan. Saken er forelagt lovutvalget for IKT og personvern. Lovutvalget består av Thomas Olsen (leder), Fred Richard Elsheim, Kirill Miazine, Jarle Roar Sæbø og Malin Tønseth. Saken er også forelagt lovutvalget for Europa- og konkurranserett, de hadde ingen ytterligere merknader.

2. Sakens bakgrunn

Justis- og beredskapsdepartementet har fremmet forslag om ny lov om behandling av personopplysninger. Forslaget innebærer at gjeldende personopplysningslov oppheves og erstattes av ny lov som inkorporerer EUs personvernforordning (EU general data protection regulation – GDPR). Lovforslaget viderefører hovedprinsipper i gjeldende lov, men innebærer på mange områder skjerpede krav til rettslig grunnlag for å behandle personopplysninger, styrking av registrertes rettigheter og et svært mye strengere sanksjonsregime.

3. Generelt om krav til supplerende rettslig grunnlag etter artiklene 8, 9 og 10(høringsnotatet punkt 7)

Som departementet nevner, kreves det supplerende rettslig grunnlag for behandling av personopplysninger etter artikkel 6 nr. 1 bokstav c og e. Departementet argumenterer på s. 27 for at forordningen ikke oppstiller formelle krav til innholdet av det aktuelle supplerende rettsgrunnlaget, bortsett fra at det for behandling som bygger på bokstav c med rimelig grad av klarhet må utledes et eller flere formål fra rettsgrunnlaget.

Advokatforeningen mener utgangspunktet etter forordningen artikkel 6 nr. 3, er at formålet skal angis i lovgivningen. I forbindelse med revisjon av særlovgivningen mener foreningen derfor at det bør tilstrebes å angi klart formål for behandlingen, og at lovgivningen uttrykkelig bør regulere behandling av personopplysninger. Kravene til klar angivelse av formål og rammene for behandling av personopplysninger, skjerpes mht. til nasjonale bestemmelser som hjemler behandling av særlige kategorier av personopplysninger i henhold til forordningen artikkel 9 nr. 2 b), g), h), i) og j).

Advokatforeningen er positiv til forslaget i § 7 om at Datatilsynet gis adgang til å gjøre unntak fra forbudet i artikkel 9 nr. 1, når viktige samfunnsinteresser tilsier dette.

Advokatforeningen nevner i denne forbindelse at mange norske virksomheter av hensyn til å hindre korrupsjon, brudd på menneskerettigheter mv., har etablert prosedyrer for undersøkelse av integriteten ("integrity due diligence") til samarbeidspartnere mv. Slike undersøkelser kan avdekke forhold som omfatter særlige opplysningskategorier, og også at angjeldende virksomheter og personer har vært involvert i kriminelle forhold. Slike undersøkelser har etter gjeldende praksis vært omfattet av konsesjonsplikt fra Datatilsynet, og tilsynet har innvilget konsesjon med hjemmel i personopplysningsloven § 9 tredje ledd Etter denne bestemmelse kan Datatilsynet tillate behandling av sensitive personopplysninger dersom viktige samfunnsinteresser tilsier det. Med henvisning til skjerpede krav til behandling av særlige kategorier av opplysninger etter forordningen artikkel 9 og kriminelle forhold etter artikkel 10, ser Advokatforeningen behov for en klargjøring av det rettslige grunnlaget for «integrity due diligence» i forbindelse med gjennomføring av forordningen. Advokatforeningen ser også behov for klare overgangsordninger, f.eks. at dagens konsesjoner videreføres, og at tilsynet kan gi nye konsesjoner inntil nye særregler er på plass.

4. Behov for supplerende rettslig grunnlag for behandling knyttet til advokatvirksomhet (høringsnotatet punkt 7)

Advokatlovutvalget (2015: 3) pekte i sin utredning på at flere av reglene i det generelle personvernregelverket ikke passer godt for den behandling som gjelder for advokatvirksomhet, se NOU-en pkt. 16.4 og 16.5.

Når det gjelder behandlingsgrunnlag for advokatvirksomhet, uttaler Advokatlovutvalget i punkt 16.5.2.3 at det vil være hensiktsmessig å utforme et eget behandlingsgrunnlag for slik virksomhet:

"For opplysninger som gjelder en klient, anses advokater vanligvis å ha behandlingsgrunnlag basert på samtykke fra klienten. Det er imidlertid ofte flere personer enn klienten som omfattes av behandlingen av personopplysninger i forbindelse med et oppdrag, for eksempel familiemedlemmer, motparter og vitner. Det er et vilkår at advokatforetaket har behandlingsgrunnlag etter personopplysningsloven §§ 8 eller 9 også for behandlingen av disse personopplysningene. Alternativene synes å være personopplysningsloven § 8 bokstav d, der vilkåret er at behandlingen er nødvendig for å utføre en oppgave av allmenn interesse, eller personopplysningsloven § 8 bokstav f, der vilkåret er at «den ... som opplysningene utleveres til kan ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen». Det er lite, eller nær sagt ingen, veiledning i praksis om dette.

Utvalget forstår det slik at spørsmålet om behandlingsgrunnlag skal vurderes konkret og blant annet med henblikk på den behandlingsansvarliges forhold. Ut fra de hensynene som er utpenslet i forarbeidene til personopplysningsloven § § 8 og 9,13 synes det imidlertid ikke klart at det vil være adgang til å fastsette et behandlingsgrunnlag for personopplysninger om andre enn klienten etter alternativene i personopplysningsloven §§ 8 og 9. Vurderingstemaet og grensegangen passer ikke for den behandlingen som er nødvendig for å utføre advokatoppdrag. Utvalget peker på at det som ledd i advokatvirksomheten vil være nødvendig å behandle personopplysninger om andre enn klienten, og at det er behov for klarhet rundt behandlingsgrunnlaget for advokaters behandling av personopplysninger i denne sammenheng. Utvalget antar det kan være hensiktsmessig å utforme et eget behandlingsgrunnlag for advokatvirksomhet."

Advokatlovutvalget unnlot imidlertid å foreslå klargjørende regler, med henvisning til at det i forbindelse med gjennomføringen av den nye forordningen antas å være hensiktsmessig å utarbeide enkelte særregler for advokatvirksomhet, enten i advokatregelverket eller i personopplysningsregelverket, eller eventuelt som en særlov eller forskrift hvor reglene fastsettes i sin helhet for advokatvirksomhet (punkt 16.5.1).

Advokatforeningen deler Advokatlovutvalgets syn med hensyn til at det er hensiktsmessig i forbindelse med gjennomføringen av forordningen å klargjøre det rettslige grunnlaget for behandling av personopplysninger knyttet til advokatvirksomhet. I tillegg til behandling av opplysninger om klient i medhold av avtale eller samtykke, anser Advokatforeningen at det er grunnlagene i artikkel 6 nr. 1 c) ("nødvendig for å oppfylle rettslig forpliktelse") og e) ("utføre en oppgave i allmenhetens interesse") samt artikkel 9 nr. 2 f) ("fastsette, gjøre gjeldende og forsvare rettskrav") og g) "viktige samfunnsinteresser", som de mest relevante for advokatvirksomhet.

Etter Advokatforeningens syn vil utfyllende regler inntatt i ny advokatlov innenfor rammene artikkel 9 nr. 2 g), være den foretrukne løsningen med størst klarhet og forutsigbarhet for advokatstanden og de berørte registrerte. Slike regler må ifølge bestemmelsen stå i forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger, og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettighet og interesser.

Advokatforeningen viser for øvrig til Advokatforeningens høringsuttalelse til Advokatlovutvalgets forslag, som også er relevant ved gjennomføringen av EUs personvernforordning (s. 30. følgende i uttalelsen):

"Det er etter Advokatforeningens oppfatning for eksempel viktig at en advokatlov fastsetter at det er adgang for advokatforetak til å behandle personopplysninger som ledd i administrasjon og gjennomføring av oppdrag og for tilgrensede formål, i den grad advokatforetakene opptrer som behandlingsansvarlige. Noen eksempler som illustrerer behovet for en revidert lovbestemmelse er:

i) Det følger av Datatilsynets praksis at personopplysningslovens krav til behandlingsgrunnlag (§§ 8 og 9) gjelder for advokatvirksomhet. I praksis er det ofte uklart om nødvendig behandlingsgrunnlag foreligger. Det er behov for å sikre klarhet og forutberegnelighet på dette punktet ved å innta en bestemmelse som eksplisitt gir advokater adgang til å behandle personopplysninger i den utstrekning dette er nødvendig for å oppfylle oppdraget.

ii) Advokaters rolle og om de skal vurderes som behandlingsansvarlig eller databehandler ved utførelsen av oppdrag, har vist seg å være uklar i en del sammenhenger. Rollen bør fastlegges i ny advokatlov, og det bør fremgå at det for advokatforetaks vedkommende er advokatforetaket som sådan (ikke den enkelte advokat) som anses som behandlingsansvarlig.

iii) De foreslåtte kravene til informasjonssikkerhet i ny advokatlov § 29 kan gå på tvers av personopplysningslovens regler om internkontroll og informasjonssikkerhet (§§ 13 og 14). Det bør fastsettes at det kun er bestemmelsene i § 29 som skal gjelde også for advokaters behandling av personopplysninger.

iv) Pliktene i personopplysningsloven knyttet til informasjon om behandling av personopplysninger (§§ 18 flg.) er i praksis ofte ikke mulig å overholde for advokater. Det bør fastsettes at advokater ikke er underlagt disse pliktene.

v) Det oppstår jevnlig uklare spørsmål knyttet til behovet for konsesjon fra Datatilsynet, og i den grad konsesjon er nødvendig, kan det være svært vanskelig å få innvilget konsesjon i tide for utførelsen av oppdrag. Det bør gjøres unntak fra kravet om konsesjon (og meldeplikt). Fjerning av konsesjons- og meldeplikt er for øvrig også i tråd med forslagene til ny personvernforordning.

Advokatforeningen vil dessuten understreke at personvernlovgivningen gjelder generelt for næringsdrivendes behandling av personopplysninger. Advokater er i motsetning til de fleste næringsdrivende underlagt lovbestemt taushetsplikt. Dermed kommer personvernlovgivningen i en annen stilling og bør harmoniseres med taushetspliktreglene. Det foreslås derfor at det presiseres i § 31 om personvern at advokater og advokatforetak kan behandle personopplysninger i den utstrekning behandlingen ikke er i strid med reglene om taushetsplikt."

5. Forhåndsdrøftinger med tilsynsmyndigheten (høringsnotatet punkt 13.8.2)

Departementet gir i høringsnotatets pkt. 13.8.2 s.60 en beskrivelse av når den behandlingsansvarlige skal gjennomføre forhåndsdrøftelse jf. forordningens artikkel 36 1. Den aktuelle beskrivelse gir grunnlag for en viss usikkerhet knyttet til når en slik forhåndsdrøftelse skal gjennomføres:

"Dette medfører at Datatilsynet vil måtte gjennomføre forhåndsdrøftinger i alle tilfeller der behandlingen kan medføre en høy risiko for personvernet, og dermed kunne legge føringer for hvilke risikoreduserende tiltak som skal settes i verk".

Det kan se ut som om departementet med denne formulering legger til grunn at en behandlingsansvarlig også skal gjennomføre forhåndsdrøftelse der hvor det har foreligget høy risiko i henhold til artikkel 35, men hvor den behandlingsansvarlige har funnet eller iverksatt adekvate tiltak som har fjernet den høye risiko. For det tilfelle at dette er en korrekt fortolkning av departementets syn, vil Advokatforeningen bemerke at dette vil øke nedslagsfeltet for artikkel 36 betydelig. Antall forhåndsdrøftelser som i tilfelle vil måtte gjennomføres med tilsynsmyndigheten vil etter en slik fortolkning bli svært stort. Videre mener Advokatforeningen at en slik fortolkning ikke er korrekt hvis en tar i betraktning fortalens punkt 84, siste setning:

"Dersom det framgår av nevnte konsekvensvurdering at behandlingsaktivitetene innebærer en høy risiko som den behandlingsansvarlige ikke kan begrense ved å treffe egnede tiltak, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, bør tilsynsmyndigheten rådspørres før behandlingen finner sted".

Videre fremgår det av fortalens punkt 94 følgende:

"Dersom en vurdering av personvernkonsekvenser viser at behandlingen, i fravær av garantier, sikkerhetstiltak og mekanismer for å redusere risikoen, vil innebære en høy risiko for fysiske personers rettigheter og friheter, og den behandlingsansvarlige mener at risikoen ikke kan reduseres ved hjelp av rimelige midler, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnader, bør tilsynsmyndigheten rådspørres før oppstart av behandlingsaktivitetene".

Advokatforeningen antar at en slik eventuell tolkning fra departementets side kan skyldes den norske oversettelsen av forordningen, hvor formuleringen "dersom" kan gi rom for feiltolkninger. I den engelske versjonen av forordningen er formuleringen og terskelen for når en forhåndsdrøftelse skal finne sted langt tydeligere beskrevet ved at forhåndsdrøftelse skal skje "in the absence of measures".

Advokatforeningen ser følgelig behov for at departementet tydeliggjør sin fortolkning, samt at den norske oversettelsen av artikkel 36 1. justeres i tråd med den engelske utgave av artikkelen og fortalens punkt 84 og 94. Dette slik at terskelen for når forhåndsdrøftelser skal finne sted ikke utilsiktet senkes.

6. Begrepet personvernrådgiver (høringsnotatet punkt 14)

Det er i dag mange virksomheter som benytter seg av personvernombud, men innholdet i ombudsordningen i form av ansvar og oppgaver som den enkelte virksomhet har tillagt personvernombudsordningen, synes å variere i betydelig grad. Mange virksomheter med personvernombud har ikke søkt om unntak fra meldeplikt etter personopplysningsforskriftens § 7-12. Det kan settes spørsmålstegn ved både den uavhengighet og de ressurser som enkelte personvernombud i dag har i sin virksomhet. Etter Advokatforeningens syn er innholdet i dagens begrep «personvernombud» over år uheldigvis blitt utvannet.

Overgangen til personvernforordningens «Data Protection Officer» (engelsk utgave, heretter kalt DPO) anses å innebære et markert skifte hva angår DPOs uavhengighet, ressurstilgang, krav til personlige egenskaper, faglige kvalifikasjonskrav og ledelsestilgang. Videre forsterkes dette skifte ytterligere ved at det blir en lovpålagt plikt for et stort antall virksomheter å opprette en DPO-stilling. Implementering av DPO må forventes å innebære et behov for å endre på mange virksomheters eksisterende personvernombudsordning. Videre vil mange virksomheters interne organisering måtte endres for å kunne tilpasse både ressurser og ansvarsområder mellom DPO, det interne juridiske miljø, daglig behandlingsansvarlig, informasjonssikkerhetsansvarlig, og øvrige ansatte med ansvar for datagovernance, compliance og risikostyring,

Når en tar i betraktning den klart styrkede posisjon som en DPO vil ha i en virksomhet, sammenliknet med dagens personvernombud, mener Advokatforeningen at dette skiftet bør markeres med en annen tittel enn dagens «personvernombud». Det skal i denne forbindelse også bemerkes at det til tross for at begrepet «ombud» er mye benyttet i engelsk språk, likevel ikke er valgt i den engelske utgave av personvernforordningen.

Atikkel 29-gruppen har videre i sin «Guidelines on Data Protection Officers (DPOs)», sist revidert 5 april 2017, punkt 2.1, vært meget tydelig på at det må tas grep for å forhindre misforståelser og uklarhet rundt en DPOs rolle og tittel:

"Nothing prevents an organization, which is not legally required to designate a DPO and does not wish to designate a DPO on a voluntary basis to nevertheless employ staff or outside consultants with tasks relating to the protection of personal data. In this case it is important to ensure that there is no confusion regarding their title, status, position and tasks. Therefore, it should be made clear, in any communications within the company, as well as with data protection authorities, data subjects, and the public at large, that the title of this individual or consultant is not a data protection officer (DPO)".

I fotnote 11 til samme punkt uttales det videre:

"This is also relevant for chief privacy officers ('CPO's) or other privacy professionals already in place today in some companies, who may not always meet the GDPR criteria, for instance, in terms of available resources or guarantees for independence, and, if they do not, they cannot be considered and referred to as DPOs".

For mange virksomheter hvor man gjennomgående benytter engelske titler og forkortelser av titler, vil man trolig måtte benytte DPO som forkortelse for personvernombud/personvernrådgiver for å unngå misforståelser.

På den annen side er Advokatforening av den oppfatning at den av departementet foreslåtte tittel "Personvernrådgiver" ikke i tilstrekkelig grad tydeliggjør verken den andrelinjefunksjon som naturlig vil ligge i en DPO-rolle, ei heller det ansvar og den uavhengighet som rollen innebærer. Departementets henvisning til politiregisterloven som begrunnelse for å benytte begrepet personvernrådgiver kan ikke tillegges stor vekt.

Advokatforening ber derfor om at departementet utreder nærmere hva en passende tittel på «DPO» bør være, ansvar og uavhengighet tatt i betraktning.

7. Personvernrådgiverens/DPOs taushetsplikt (høringsnotatet punkt 14.3.5)

Advokatforeningen mener at departementet bør klargjøre rekkevidden i den taushetspliktbestemmelse som er foreslått i ny personopplysningslov § 15. For en personvernrådgiver/DPO som er ansatt i en behandlingsansvarlig virksomhet vil det være viktig å ha helt klare linjer å forholde seg til dersom taushetspliktbestemmelsen i gitte tilfeller også skal anses å omfatte Personvernrådgiverens/DPOs egen arbeidsgiver. Herunder bør det avklares hvorvidt eventuell taushetsplikt knyttet til «enkeltpersoners varsling om overtredelser av loven» gjelder overfor egen arbeidsgiver, jf. for øvrig forslaget til ny hvitvaskingslov § 38. Videre må det også avklares om taushetsplikten skal gjelde gjennomgående eller bare når den som varsler ber om det. Etter Advokatforeningens syn er taushetsplikten for personvernrådgiver formulert for absolutt. Dette vil trolig kunne få uhensiktsmessige konsekvenser i enkelte arbeidslivsforhold. Etter Advokatforeningens syn bør departementet benytte seg av hjemmelen i forordningen Artikkel 88 til å klargjøre hensiktsmessige grenser for taushetsplikten i forholdet til arbeidsgiver.

8. Personvernrådgiver – advokatfirmaer

Forordningens artikkel 37 setter vilkår for når en virksomhet er forpliktet til å utpeke personvernrådgiver. Advokatforeningen har vurdert dette slik at advokatselskaper som driver ordinær advokatvirksomhet, faller utenfor kretsen av virksomheter som må utpeke personvernrådgivere. Dette har særlig sammenheng med at advokatselskapers hovedvirksomhet ikke består i behandlingsaktiviteter. Advokatselskaper vil åpenbart besitte personopplysninger om klient og tredjeparter, men behandlingen av disse er en konsekvens av hovedvirksomheten (juridisk rådgivning), og ikke hovedvirksomheten i seg selv.

Dersom departementet vurderer dette annerledes, ser Advokatforeningen gjerne at departementet kommenterer dette i forarbeidene.

9. Antall medlemmer i personvernnemnda (høringsnotatet punkt 19.3.2)

Departementet har bedt om høringsinstansenes syn på om Personvernnemnda bør reduseres fra syv til fem medlemmer.

Advokatforeningen mener at antallet medlemmer i nemnda ikke bør reduseres. Advokatforeningen kan ikke se for seg at det over tid vil være krevende å finne tilstrekkelig mange personer som har nødvendig kompetanse og interesse for personvern.Interessen for personvern har de siste årene økt betraktelig, og det er all grunn til å tro at kompetansen om personvern vil bli stadig mer utbredt når som følge av de nye reglene. Advokatforeningen ser heller ikke for seg en utvikling som tilsier at oppgavene til nemnda skal bli færre fremover. Til en viss grad må det i kommende år forventes at et større antall saker av ny og mer kompleks art løftes til nemda som følge av innføringen av et helt nytt personvernregelverk. Dette vil trolig være ressurskrevende, hvilket tilsier at antallet nemndsmedlemmer bør opprettholdes. Samtidig kan det etter Advokatforeningens syn være gode grunner for å åpne for at enkelte saker av mindre kompleks karakter ikke avgjøres i plenum, men for eksempel av et utvalg bestående av fire - fem av nemndas medlemmer.

Det kan også nevnes at selv om Personvernnemnda har syv medlemmer, er det ikke nødvendig at samtlige deltar ved avgjørelse av sakene, som nemnda får. Etter Økonomi- og saksbehandlingsintruks for Personvernnemnda, er nemnda beslutningsdyktig når minst fem av nemndas medlemmer eller deres stedfortredere deltar.

10. Foreldelsesfrist for adgangen til ilegge overtredelsesgebyr (høringsnotatet punkt 23.3.7)

Departementet har bedt om høringsinstansenes syn på å om det bør innføres en foreldelsesfrist for adgangen til å ilegge overtredelsesgebyr, og hvor lang denne i så tilfelle bør være.

Forordningen oppstiller et prinsipp om dataminimalitet, og et krav om kun å beholde personopplysninger så lenge det er nødvendig for formålet med behandlingen. Sletting av personopplysninger vil innebære at behandlingsansvarlig vil kunne tape muligheten til å dokumentere behandlingen av personopplysninger som ble gjennomført flere år tilbake. Advokatforeningens oppfatning er at det er uheldig dersom det ikke er noen forutsigbarhet knyttet til hvor lang tid tilbake Datatilsynet kan gå når det fører tilsyn/vurderer klager, ettersom virksomhetene vil kunne vegre seg for å slette personopplysninger av frykt for å slette opplysninger som senere viser seg å være nødvendige for å forsvare virksomheten mot et overtredelsesgebyr. Advokatforeningen mener derfor det kan være gunstig å oppstille en ikke altfor lang foreldelsesfrist, for eksempel på fem år (jf. den korteste foreldelsesfristen i konkurranseloven).

11. Straffesanksjonering av personopplysningsloven (høringsnotatet punkt 25)

Departementet har bedt om høringsinstansenes syn på om overtredelser av personopplysningsloven fortsatt skal kunne straffesanksjoners.

Advokatforeningen deler departementets vurdering med hensyn til at forordningens bestemmelser er lite egnet for straffsanksjonering. Datatilsynets kompetanse til å ilegge gebyr, og etter omstendighetene administrativ inndragning, jf. ovenfor, antas å ha tilfredsstillende preventiv og pønal effekt.

12. Behov for nasjonale særregler for bruk av biometriske identifikasjonsmidler (høringsnotatet punkt 30)

Departementet har pekt på utvidelse av adgangen til å bruke biometriske identifikasjonsmidler. Et samtykke vil etter forordningen være et tilstrekkelig grunnlag for å behandle biometriske opplysninger som identifikasjonsmidler, mens det etter gjeldende rett er et krav om saklig behov for sikker identifisering og nødvendigheten av metoden for slik identifisering. Advokatforeningen vil gi sin fulle støtte til departementets forslag om å videreføre dagens regel inntil slik betydelig utvidelse av adgangen til å bruke biometriske identifikasjonsmidler er utredet nærmere.

Departementet har også bedt om synspunkter vedrørende behovet for videreføring av personopplysningsforskriftens § 10-12 vedrørende krav til forsendelser som inneholder fødselsnummer eller andre identifikasjonsnumre. Advokatforeningen mener at det ikke er behov for å videreføre denne særregelen, fordi hensynene bak bestemmelsen blir tilstrekkelig ivaretatt gjennom forordningens alminnelige regler.

13. Barns samtykke (høringsnotatet punkt 32)

Forordningens artikkel 8 setter i utgangspunktet 16 år som aldersgrensen for barns samtykke til behandling av egne personopplysninger i tilknytning til bruk av informasjonssamfunnstjenester. Bestemmelsens annet ledd gir medlemslandene anledning til å sette en lavere aldersgrense, dog ikke lavere enn 13 år. Departementet foreslår å benytte denne adgangen, og fastsette at barn kan gi slikt samtykke fra de er 13 år. Spørsmålet er om barn på 13 år har forutsetninger til å forstå hva det innebærer å gi slikt samtykke; nærmere bestemt hvilken informasjon som innhentes, hvordan informasjonen brukes (samlet omtalt som behandlingsformene) og hvilke konsekvenser dette kan få for barnet.

Advokatforeningen er enig i at barns digitale ferdigheter er av stor betydning, og at digitale ferdigheter nødvendigvis må læres ved at barn kan benytte informasjonssamfunnstjenester, herunder være til stede på ulike sosiale medier. Samtidig må det understrekes at selv om aldersgrensen for å gi samtykke til behandling av personopplysninger skulle være høyere enn 13 år, betyr ikke det at barn på 13 er utelukket fra å benytte informasjonssamfunnstjenester, forskjellen ligger kun i om deltakelsen forutsetter foreldres involvering eller ei. Det er neppe grunn til å anta at utviklingen av barns digitale ferdigheter, vil lide under foreldres involvering.

Advokatforeningen mener at høringsuttalelsen gir en svak begrunnelse for å fravike forordningens utgangspunkt om 16 år. Gjennomgangstonen i samfunnsdebatten er at foreldre bør ha et aktivt forhold til barns bruk av informasjonssamfunnstjenester, og da særlig sosiale medier. Formålet med dette er selvfølgelig å hindre overgrep og mobbing, hindre at data (herunder bilder) kommer på avveie mv. Det vil være langt enklere for foreldre å sikre involvering dersom deres samtykke er nødvendig for å opprette profiler på eksempelvis sosiale medier.

Det har vært gjort forsøk på å standardisere den måten tilbydere av informasjonssamfunnstjenester gir informasjon om behandlingsformene på. Det har blant annet blitt vurdert om dette kan formidles ved bruk av standardiserte symboler som indikerer bestemte former for bruk av personopplysninger, og symboler som indikerer hvilken bruk som ikke skjer. Dette eksempelvis ved bruk av symboler som angir at personopplysningene ikke deles med tredjepersoner, ikke brukes til profilering, ikke brukes til rettet markedsføring etc. Dette har foreløpig ikke fått noen utbredelse, og Advokatforeningen mener at tilbyderne av informasjonssamfunnstjenester ofte gjør for lite når det gjelder å gi god og forståelig informasjon om behandlingsformene.

Ved gjennomgang av enkelte aktørers" Data Privacy Policy" og" Terms of Use", ser man enkelte ekstreme tilfeller av at teksten tilnærmingsvis er umulig å forstå fullt ut selv for voksne, og endog for jurister. Dette selv om den egentlige realitet; hva som samles og hvordan det brukes, kunne vært uttrykt på en svært enkel måte. Det er således et stort spenn mellom aktører som gjør en tilfredsstillende innsats i å gi god informasjon, og aktører som synes å ønske å tilsløre de faktiske forhold.

Samlet sett mener Advokatforeningen at bransjen for informasjonssamfunnstjenester ikke har utviklet tilstrekkelige verktøy og prosesser til å gi denne informasjonen på en god måte. Slik praksis er i bransjen per i dag, mener Advokatforeningen at et barn på 13 år ikke kan forventes å forstå behandlingsformene, eller hvilken betydning de kan få for barnet. Advokatforeningen mener derfor det vil være en bedre løsning om aldersgrensen settes høyere, samtidig som departementet og Datatilsynet jobber i internasjonale forua for at bransjen forbedrer verktøy og prosesser for å gi tilfredsstillende informasjon om behandlingsformer. Når og hvis dette arbeidet lykkes, kan departementet på ny vurdere om aldersgrensen kan senkes.

Til støtte for dette synet vil Advokatforeningen også vise til Datatilsynets rapport «Barns personvern i apper, 2015». Datatilsynet undersøkte et antall apper som er spesielt utviklet for barn. Det fremkommer at i 50 % av tilfellene hvor appene samler inn personopplysninger, er det uklart hvorfor dette gjøres. Det var et betydelig antall av appene (30 %) som overhodet ikke hadde noen personvernerklæring. Datatilsynet konkluderte også med at de personvernerklæringene som faktisk fantes, i stor grad var mangelfulle.

Datatilsynet har tidligere (desember 2003) publisert en veileder med tittelen «Barn og unges personopplysninger: Retningslinjer for innhenting og bruk». Denne har følgende innledning:

"Barn og unge vil i mange tilfeller ikke evne å se rekkevidden og konsekvensen av å gi fra seg sine personopplysninger. Deres samtykke vil derfor i en rekke tilfeller ikke tilfredsstille de krav som utledes av personopplysningsloven og markedsføringsloven. Blant annet skal den som avgir samtykke være i stand til å forstå hva vedkommende samtykker til, og til å stille seg kritisk til en forespørsel."

Dagens situasjon er langt mer kompleks enn den var i 2003, når det gjelder hvordan tilbydere av informasjonssamfunnstjenester bruker personopplysninger. Dette blant annet i forbindelse med «Big Data Tools», herunder til profilering. Det er langt vanskeligere å forstå behandlingsformene enn det var i 2003. Denne veilederen anbefaler 15 år som en aldersgrense for å samtykke til behandling av personopplysninger. Advokatforeningen mener dette er en riktigere aldersgrense.

14. De registrertes rettigheter - unntak fra innsynsretten (høringsnotatet punkt 32.3.2)

Advokatforeningen gir sin tilslutning til de unntak fra den registrertes innsynsrett som departementet foreslår i forslag til ny personopplysningslov § 13.

Advokatforeningen finner imidlertid ikke å kunne gi sin tilslutning til departementets forslag om ikke å videreføre unntak for innsynsrett i opplysninger som «utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre», som i dag er nedfelt i personopplysningsloven (pol) § 23 1. ledd e).

I høringsnotatets pkt. 12.3.2 begrunner departementet sitt forslag om å ikke videreføre nevnte unntaksbestemmelse med at det ikke vil være adgang til å videreføre et slikt unntak, da denne unntaksregelen "ikke er knyttet til arten av opplysningene eller hva den skal brukes til, men utelukkende til hvor opplysningene finnes". Departementets begrunnelse for å ikke foreslå videreføring av bestemmelsen oppfattes således å være av lovteknisk art.

Innledningsvis skal det kort bemerkes at Advokatforeningen ikke er enig i departementets utgangspunkt om at unntaksregelen i pol 23 1. e) utelukkende er knyttet til «hvor opplysningene finnes». Opplysningene oppfattes tvert imot å være knyttet til hva de skal benyttes til, nemlig den interne saksforberedelse. Advokatforeningen mener at det lovteknisk ikke er noe i veien for å videreføre unntaket i pol § 23 1.ledd e). Personvernforordningens artikkel 23 åpner for at personvernforordningens artikkel 15 kan fravikes i nasjonal rett. Det vises her til artikkel 23 nr. 1 i) "vern av den registrertes interesser eller andres rettigheter og friheter". Ordlyden er sammenfallende med Europaparlamentets og Rådets direktiv 95/46/EF artikkel 13 nr. 1 g) (dansk oversettelse), som igjen lå til grunn for gjeldende norsk personopplysningslov. I forarbeidene ble det i merknadene til pol § 23, se Ot prp. Nr. 92 (1998-1999) pkt. 16 lagt til grunn at "unntakene er av en slik karakter at de omfattes av direktivet artikkel 13". Forordningens ordlyd er lik direktivets ordlyd, noe som tilsier at det fortsatt er åpning for å fravike den registrertes innsynsrett gjennom nasjonal lovgivning.

En slik fortolkning har også støtte i høringsnotatene som dansk justisministerium og svensk departement har utarbeidet til personvernforordningen. I dansk «Betænkning nr. 1565 Databeskyttelsesforordningen (2016/679) del I bind 1 s. 400» uttales følgende: "rettstilstanden for det nationale råderum efter artikel 23, stk. 1, ses at være en videreførelse af den gjældende retstilstand efter databeskyttelsesdirektivet". I "Betenkning nr. 1565 av Dataskyddutredningen" SOU 2017:39 s. 206 foreslås det å videreføre unntak for innsynsrett i "löpende text som utgjör utkast eller minnesanteckning".

Departementets høringsnotat oppfattes å legge til grunn at det ikke kreves endringer i forvaltningslovens eller offentlighetslovens regler om innsyn; ei heller i unntaksreglene forvaltningslovens §§ 18 a) og b) eller offentlighetslovens § 5. Dersom dagens unntak fra innsynsrett i pol § 23 1. e) ikke videreføres, vil dette medføre en forskjell mellom offentlig og privat sektor som både vil være uheldig og ubegrunnet.

I forarbeidene til pol, Ot. prp. Nr. 92 (1998-1999) vises det i merknadene til § 23 1. ledd e) til at "unntaket er dels praktisk begrunnet, og dels forankret i hensyn som underbygger unntaksreglene i offentlighetslovens § 5 første ledd og forvaltningslov § 18 annet ledd første punktum". Hensynene bak, og behovet for å opprettholde en slik unntaksregel også i privat sektor, er imidlertid verken kommentert eller gjort til gjenstand for noen drøftelse i departementets høringsbrev.

I forarbeidene til offentlighetsloven, se Ot.prp. Nr. 102 (2004-2005) vises det under pkt. 6.4.1. til sitat i St.meld.nr.32 (1997-1998) s. 61 hvor forslaget til unntaksbestemmelse for organinterne dokument er begrunnet på følgende måte:

"Regjeringen mener at reglene om unntak for organinterne dokumenter gjennomgående er godt begrunnet. Regjeringen legger særlig vekt på ønskeligheten av klare ansvarsforhold utad. Innsynsreglene bør ikke utformes slik at innsyn i organinterne dokumenter skaper tvil om hva som er forvaltningsorganets beslutning eller synspunkt. Interne vurderinger og meningsbrytninger som ledd i saksbehandlingen på veien mot et standpunkt bør som i dag kunne unntas fra offentlighet. Det vises her også til faren for at offentlighet for interne dokumenter vil føre til at forvaltningen i større grad velger muntlige kommunikasjonsformer i stedet for skriftlige. Selv om en slik utvikling motivert av ønsket om å unngå offentlighet ikke er akseptabel både ut fra hensynet til en rasjonell og betryggende saksbehandling og hensynet til i ettertid å kunne dokumentere grunnlaget for beslutningene, kan slike konsekvenser vanskelig fullt ut unngås. Offentlighet omkring interne dokumenter kan også skape forventninger om et bestemt resultat. Dette kan virke uheldig når den endelige avgjørelsen i saken skal tas; det kan føre til at beslutningsfriheten innskrenkes, og at det foreløpige resultatet legges til grunn også i det endelige vedtaket, selv om det alle forhold tatt i betraktning ikke er den beste løsningen. Og velger man i en slik situasjon den beste løsningen, vil den ikke svare til de forventningene som de interne dokumentene har skapt."

Private foretak vil i sin virksomhet, i likhet med den offentlige forvaltning, ha helt legitime behov for å unnta opplysninger i interne dokumenter fra innsyn. Både opplysninger som kan tendere mot forretningshemmeligheter, strategier, prisvurderinger og andre foreløpige vurderinger av forskjellig art, vil det være avgjørende å kunne unnta fra innsyn av hensyn til den interne saksforberedelse.

Slik Advokatforeningen ser det er konsekvensene av departementets forslag heller ikke på noe vis utredet. Dersom unntaket i pol § 23 1. e) ikke videreføres, vil det medføre uheldige konsekvenser ved at private virksomheter vil bli nødt til å gjennomgå alle interne dokumenter manuelt for å vurdere hvilke opplysninger det skal gis innsyn i. Dette vil både være kostnadsdrivende og kunne medføre en øket risiko for at taushetsbelagte opplysninger kommer på avveie. En annen uheldig konsekvens kan være at opplysninger og vurderinger som i dag lagres, og som kan provoseres fremlagt f.eks. ved en tvist for domstolene, i fremtiden vil kunne bli lagret av ansatte i uautoriserte lokale arkiv utenfor den behandlingsansvarliges kontroll, eller de kan deles og meddeles muntlig slik at de i ettertid ikke kan dokumenteres.

Advokatforeningen mener at unntaket i pol § 23 1. e) må videreføres i ny lov, slik at en unngår at det oppstår en ubegrunnet forskjell mellom offentlig og privat sektor. Et manglende unntak kan også medføre en utilsiktet situasjon hvor personvernforordningens prinsipp om gjennomsiktighet trues, fordi ansatte i private virksomheter kan søke uautoriserte praktiske løsninger for å dekke de behov som en har i den interne saksforberedelse.

15. Kameraovervåking på arbeidsplass (høringsnotatet punkt 34)

Departementet har bedt om høringsinstansenes syn på forslaget om kameraovervåking på arbeidsplasser.

Advokatforeningen er enig i at det kan ha gode grunner for seg å videreføre prinsippene for kameraovervåking etter dagens personopplysningslov § 38 på enkelte områder innenfor arbeidsliv. Advokatforeningen vil likevel peke på at rekkevidden av departementets forslag til nytt kapittel 1 §§ 1-6 kan anses å være for upresis. Etter Advokatforeningens syn er det uklart hva som skal forstås med begrepet "arbeidsplass" i denne sammenheng.

Det kan etter Advokatforeningens syn videre være tvil om virkeområdet til bestemmelsene faktisk går ut over hva det åpnes for etter forordningen artikkel 88, som utelukkende er rettet mot behandling av arbeidstakeres personopplysninger i ansettelsesforhold. Etter Advokatforeningens syn vil kameraovervåking på en arbeidsplass generelt omfatte mye og annet enn det kan anses å vedrøre arbeidsforholdene til de ansatte. Etter Advokatforeningens syn er det uheldig dersom reglene utilsiktet får virkning for forhold på en virksomhet ut over det som § 88 åpner for, som følge av at en virksomhet samtidig er en «arbeidsplass» for de ansatte. I tillegg til klargjøring av begrepet «arbeidsplass» bør det derfor presiseres at reglene om kameraovervåking ikke setter skranker for kameraovervåking som gjennomføres ved en virksomhet av helt andre årsaker, og som ikke er rettet mot arbeidstakeres ansettelsesforhold som sådan.

Advokatforeningen mener videre at det er uklarhet knyttet til rekkevidden av forslagets § 2 siste ledd. Bestemmelsen åpner for kameraovervåking på arbeidsplassen når "[...] det for øvrig er et særskilt behov for overvåkingen". Det er uklart om slike spesielle behov retter seg mot virksomhetens karakter eller peker på spesielle behov i mer generelt henseende. Departementet bør etter Advokatforeningens syn avklare hva som menes med «spesielle behov». Advokatforeningen er av den oppfatning at en tydeligere ordlyd i siste ledd i Kapittel 1, § 2 kan være: "[...] eller det for øvrig er et behov som er særskilt ut fra virksomhetens karakter".

16. Regler om innsyn i epostkasse mv. (høringsnotatet punkt 35)

Departementet har bedt om høringsinstansenes syn på utkastet til bestemmelser om arbeidsgivers innsyn i epostkasse mv, spesielt på at bestemmelsene også gjelder for innsyn i aktivitetslogg, jf. forslaget til § 1 første ledd bokstav c og § 3 syvende ledd.

Advokatforeningen vil innledningsvis peke på at tittelen som er valgt for disse bestemmelsene innebærer en videreføring av overskriften for kapittel 9 etter dagens personopplysningsforskrift. Etter Advokatforeningens syn er denne overskriften teknologisk sett noe utdatert i lys av de siste års utvikling, og den hastige fremvekst av nye typer kommunikasjons- og samhandlingsverktøy i arbeidslivet, utover tradisjonell epost. Advokatforeningen mener videre at tittelen er lite treffende for det tiltenkte virkeområde, ettersom både gjeldende og foreslåtte regler åpenbart gjelder for mer og annet enn epostkassen til de ansatte. Også av pedagogiske hensyn bør derfor departementet velge en overskrift som er mer treffende, og som samtidig gjenspeiler prinsippet om teknologinøytralitet.

Advokatforeningen mener for øvrig at det har gode grunner for seg å nevne at aktivitetslogger også omfattes av reglene om innsyn i epostkasse, så lenge hensikten med innsyn i loggene er av samme art som ved innsyn i epostkasse eller arbeidstakers personlige mapper.

Siste ledd i § 3 i forslaget sier at bestemmelsen ikke gjelder ved innsyn i aktivitetslogger når formålet er å administrerere datanettverk eller å avdekke eller oppklare sikkerhetsbrudd i nettverket. Her foreslår Advokatforeningen at departementet også vurderer om innsyn i logger for å forebygge eller forhindre sikkerhetsbrudd skal tillates, så lenge analysene ikke er rettet mot én eller flere konkrete ansatte.

Dagens krav til sletting «innen rimelig tid» av personopplysninger som ikke er nødvendig for virksomhetens daglige drift, foreslås videreført i forslaget § 4. En frist på 6 måneder etter fratreden har vært antydet som en grense. Advokatforeningen vil peke på det uheldige ved en slik absolutt sletteplikt på 6 måneder. I langt de fleste praktiske tilfeller vil sletting av epostkonto og brukerområdet for tidligere ansatte, innebære sletting av annet og mye mer enn personopplysninger. For de fleste virksomheter er epost fortsatt et av de mest utbredte arbeidsverktøy. Virksomhetskritisk dokumentasjon som kan ha betydning for bedriftens muligheter for å sikre sine rettslige og økonomiske interesser og forpliktelser, vil ofte være lagret på epostkontoen etter at en ansatt har sluttet.

I den grad ansatte følger virksomhetsinterne instrukser for korrekt håndtering og arkivering av virksomhetskritisk dokumentasjon, vil sletting av epost kontoen ikke være et problem. Men dersom ansatte som slutter av ulike årsaker ikke har fulgt instruks om overføring av det som er relevant til arbeidsgiver, vil sletting av kontoen og all dokumentasjon kunne være kritisk. I en rekke tilfeller er det i praksis svært vanskelig for virksomheten å sikre at all bedriftsrelevant informasjon er korrekt arkivert etter ansettelsesforholdets opphør. Interne rutiner der den ansatte rydder opp og arkiverer før vedkommende fratrer, vil i mange tilfeller ikke være tilstrekkelig på grunn av omfanget dokumentasjon og at man er prisgitt at arbeidstaker lojalt sletter privat innhold og gjør en vurdering av hva virksomheten trenger for daglig drift. Advokatforeningen ber departementet vurdere om en for streng sletteplikt kan komme i strid med virksomheters legitime interesse i å sikre bevaring av bedriftskritisk dokumentasjon som er lagret i tidligere ansattes epostkonto og på deres brukerområde.

17. Regulering av personvern i arbeidslivet – mangel på særregulering

Advokatforeningen vil avslutningsvis peke på det uheldige ved at forslaget til ny personopplysningslov i liten grad gir nye særbestemmelser om personvern i arbeidslivsammenheng. Etter Advokatforeningens syn er konsekvensene av forordningen fra et arbeidsgiver-arbeidstakerperspektiv i liten grad er utredet i forbindelse med lovarbeidet. Advokatforeningen mener at departementet med fordel kunne ha benyttet seg av muligheten for å vurdere behovet for flere særregler med hjemmel i Artikkel 88. Etter Advokatforeningens syn er dette svært uheldig, og det er dermed fare for at regelverket kan slå uheldig ut i arbeidslivsammenheng.

18. Økonomiske og administrative konsekvenser (høringsnotatet punkt 38)

Departementet peker i høringen på at gjeldende personopplysningsregelverk i betydelig grad videreføres, og at selv der pliktene i noen grad endres vil det neppe medføre betydelige økonomiske eller administrative konsekvenser. Departementet legger særlig til grunn at eventuelle administrative konsekvenser og økonomiske kostnader som følge av ny plikt til å utnevne personvernrådgiver, vil kunne begrenses ved at flere aktører kan ha felles personvernrådgiver.

Advokatforeningen er ikke sikker på at muligheten for å oppnevne en felles personvernrådgiver vil virke spesielt kostnadsreduserende, slik departementet legger til grunn. I de tilfellende der en virksomhet enten ikke selv har på plass en tilstrekkelig egnet ressurs, eller av andre grunner velger å gå sammen med andre om å skaffe en felles rådgiver, må det forventes å være økonomiske konsekvenser forbundet med innkjøp av denne kompetansen og tilknyttede tjenester.

Etter Advokatforeningens syn undervurderer departementet for øvrig sterkt de økonomiske og administrative konsekvenser som må forventes å følge av innføringen av et helt nytt personopplysningsregelverk.

Det må forventes både betydelige økte kostnader og administrative konsekvenser ved flere endrede og nye krav etter forordningen. Utover plikten til å utnevne en personvernrådgiver, må også plikten til omfattende protokollering av behandlingsaktiviteter, gjennomføring av personvernkonsekvensutredning, innføring av nye tiltak som sikrer innebygd personvern og dataportabilitet mv, samt endring av eksisterende IT-systemer, endring av standarddokumentasjon og eksisterende databehandleravtaler og en lang rekke andre nye og utvidede forpliktelser, forventes å innebære økte kostnader og få betydelige organisatoriske konsekvenser for de fleste offentlige og private aktører.

Oppgavene som er forbundet med gjennomføringen av slike helt nye eller utvidede krav, vil innebære et betydelig behov for omorganisering, innhenting av nye ressurser, innføring av nye rutiner, utdanning av personell, innkjøp av tjenester mv. hos langt de fleste foretak.

19. Avslutning/oppsummering

Høringen reiser etter Advokatforeningens oppfatning mange spørsmål som ikke synes tilstrekkelig utredet. Dette gjelder særlig spørsmålet om gjeldende lovgivning er forenlig med forordningens regler, eller om forordningen på mange områder krever klarere hjemler som eksplisitt angir formål og nærmere rammer for behandling av personopplysninger.

Med hensyn til behandling av personopplysninger knyttet til advokatvirksomhet foreslår Advokatforeningen at det tas inn utfyllende regler i ny advokatlov i tråd med forordningen artikkel 9 nr. 2 f) "fastsette, gjøre gjeldende og forsvare rettskrav" og g) "viktige samfunnsinteresser". Dette vil sikre bedre klarhet og forutsigbarhet for advokatstanden og berørte registrerte.

Ny advokatlov bør også klargjøre rekkevidden av registrertes rettigheter til informasjon, innsyn mv. i forbindelse med advokattjenester. Utgangspunktet bør etter Advokatforeningens syn være at saksopplysninger som også inneholder personopplysninger kan behandles i den utstrekning behandlingen ikke er i strid med taushetspliktsreglene.

Vennlig hilsen

Jens Johan Hjort         Merete Smith
leder                            generalsekretær