Etterkontroll av personopplysningsloven
1 Sakens bakgrunn
Vi viser til invitasjon fra Justis- og beredskapsdepartementet til å komme med innspill til etterkontroll av personopplysningsloven, med frist den 1. november 2024.
Dette innspillet er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Malin Tønseth (leder), Eirin Helen Hauvik, Christopher Sparre-Enger Clausen, Gry Hvidsten, Knut-Erik Jakhelln og Kari Gimmingsrud, som alle har lang erfaring og god kompetanse innfor det aktuelle rettsområdet.
2 Kommentarer
2.1 Reglene om innsyn i e-post
Personopplysningsloven suppleres av ulike særregler om behandling av personopplysninger på en rekke områder, herunder i arbeidsliv der regler er gitt i medhold av arbeidsmiljøloven. Et sett med slike regler er Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale (E-postforskriften). Reglene kom opprinnelig inn i lovverket etter at Datatilsynet i flere saker hadde erfart at arbeidsgivere ikke klarte å anvende berettiget interesse som hjemmelsgrunnlag på en slik måte at arbeidstakernes interesse ble tilstrekkelig ivaretatt. Situasjonen den gang var også at arbeidstakerne i større grad enn i dag kun hadde e-post på jobb, og derfor var mer tilbøyelige til å benytte jobbadressen for private formål.
I dag er situasjonen den at virksomhetene må antas å være mer modne og bedre i stand til å anvende de generelle reglene i personvernforordningen i konkrete saker samtidig som det er mindre behov for å beskytte privat informasjon i arbeidstakernes e-postkasser mv. Det er også fortsatt mange virksomheter som opplever at e-postkassen i praksis er et viktig sted for lagring av forretningsrelevant informasjon. E-post er et sentralt arbeidsverktøy, og i en travel hverdag kan det ofte være vanskelig å få all informasjonen over på andre lagringsløsninger, løsninger som også fra et brukerperspektiv kan oppleves som å være mindre tilgjengelig for arbeidstakeren som ofte trenger å ha den lett tilgjengelig. Dette og flere andre forhold taler for at lovgiver bør vurdere om vi fortsatt trenger disse særreglene i norsk rett, all den tid vi har generelle regler i både personopplysningsloven og arbeidsmiljøloven kapittel 9 som beskytter arbeidstakerne.
Samtidig viser våre erfaringer fra en praktisk advokathverdag at reglene stadig har en viktig funksjon i konkrete saker der de bidrar til å sikre større grad av forutberegnelighet, åpenhet og transparens i en rekke saker av betydning for både arbeidsgivere og arbeidstakere. Advokatforeningen antar at dette henger sammen med det som er påpekt foran, nemlig at det i praksis rent faktisk ligger mye forretningsinformasjon i arbeidstakernes e-postkasser. Det er klart at både arbeidsgivere og arbeidstakere selv kan bidra til å ta ned behovet for innsyn ved å ha retningslinjer for lagring i andre systemer og følge opp på disse mv., men det er ikke gitt at partene kommer i mål med dette og i så fall vil utfordringen bestå.
Advokatforeningen har ikke tatt stilling til om vi fortsatt bør ha egne regler om innsyn i e-post mv. men vil oppfordre lovgiver til å gjøre en fornyet vurdering av behovet for disse særnorske reglene, og også av innholdet i reglene. Til det siste nevnes at det kan se ut som det, basert på veiledningen fra Datatilsynet, har utviklet seg en praksis der vilkåret i forskriften § 2 første ledd bokstav a ("når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten") benyttes som en form for sekkebestemmelse der arbeidsgivere også kan hjemle tilfeller der innsynet skyldes mistanker og anklager mot bestemte ansatte og som lovgiver muligens hadde tenkt var uttømmende regulert i bokstav b ("ved begrunnet mistanke om at arbeidstakers bruk av e-postkasse eller annet elektronisk utstyr medfører grovt brudd på de plikter som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed"). Poenget er at bokstav b medfører større begrensninger, herunder at det både må foreligge en begrunnet mistanke og at det skal være bruken av e-postkassen som er i fokus. I en del tilfeller er det ikke mulig for arbeidsgiverne å oppfylle vilkårene i bokstav b, og da oppstår spørsmålet om det er mulig å bruke bokstav a i stedet. I så fall er det jo mye som tyder på at bokstav b mister sin betydning, med andre ord at det ikke er slik lovgiver har ment at bokstav a skulle forstås og anvendes. Tolkningen av forskriften må også ses på bakgrunn av at den fra lovgivers side opprinnelig var ment å oppstille et forbud mot innsyn der de to grunnlagene skulle være relativt snevre unntak. Vår erfaring tilsier at det ikke er slik reglene nå blir praktisert. Dersom forskriften skal beholdes kan det derfor være fornuftig å klargjøre vilkårene for innsyn noe nærmere, særlig basert på den praksis som har utviklet seg.
Advokatforeningen vil videre oppfordre lovgiver til å klargjøre forholdet til arbeidsmiljøloven noe bedre, herunder Datatilsynets kompetanse til å ilegge overtredelsesgebyr etter forordningen ved brudd på regler som er gitt i medhold av arbeidsmiljøloven. Dette er for så vidt en problemstilling som gjelder mer generelt og som vi kommer tilbake til også i andre deler av dette innspillet, dvs. vurderingen av hvilke konsekvenser det har at de aktuelle personvernbestemmelsene finnes eller er hjemlet i annet regelverk, herunder arbeidsmiljøloven, og ikke i personopplysningsloven. Dette reiser gjennomgående spørsmål med hensyn til kompetanse for tilsynsmyndigheter, hjemler for administrative reaksjoner, men også hvordan virksomhetene skal forholde seg til et fragmentert regelverk.
2.2 Overvåkingsforbudet i e-postforskriften
Som nevnt over suppleres personopplysningsloven av ulike særregler om behandling av personopplysninger innenfor arbeidsliv der regler er gitt i medhold av arbeidsmiljøloven. Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale fastsetter blant annet et forbud mot arbeidsgivers overvåking av ansattes bruk av elektronisk utstyr, jf. forskriften § 2 annet ledd.
Overvåkingsforbudet har i praksis vært lite kjent i virksomhetene, men har fått økt oppmerksomhet den senere tiden bl.a. gjennom omtale i juridisk teori og ved at Datatilsynet har utarbeidet en egen veileder. Veilederen har vært på en uformell høringsrunde der bl.a. en rekke virksomheter, basert på sine erfaringer, har gikk innspill til veilederen. Tilsynet har i noen grad hensyntatt virksomhetenes innspill i den oppdaterte veilederen som nå ligger ute på deres hjemmesider, bl.a. med enkelte avklaringer knyttet til konkrete tiltak, men det er fortsatt en rekke problematiske sider ved denne bestemmelsen når det gjelder tolkningen og anvendelsen av reglene i praksis.
Primært er Advokatforeningen av den oppfatning at det per i dag er uavklart hva slags bestemmelse forskriften § 2 annet ledd egentlig er, og at mye taler for at det ikke er et generelt overvåkingsforbud. Litt forenklet er spørsmålet om bestemmelsen i § 2 annet ledd oppstiller et selvstendig og generelt overvåkingsforbud eller om det er tale om en bestemmelse som i all hovedsak knytter seg til bruken av aktivitetslogger, og som ellers skal tolkes og anvendes i tråd med regelverket for øvrig, dvs. det som ellers følger av personopplysningsloven og arbeidsmiljøloven. Senest i høringsnotatet i forbindelse med gjennomføringen av personvernforordningen i norsk rett, la Justisdepartementet frem et forslag uten noe generelt "overvåkingsforbud" som del av forskriftsteksten, noe som i seg selv tilsier at heller ikke departementet oppfattet at et slikt forbud fulgte av regelverket tidligere, og for så vidt da heller ikke nå, siden også reglene er ment å videreføre gjeldende rett på dette området.
Advokatforeningen er uansett av den oppfatning at lovgiver må se nærmere på omfanget og innholdet av bestemmelsen, og om det er behov for at den videreføres og eventuelt klargjøres. Også omtalen av høringsinstansenes innspill trekker etter Advokatforeningens syn i samme retning. Det fremstår også som underlig at vi eventuelt har hatt et generelt og selvstendig overvåkingsforbud i norsk rett siden 2009 uten at dette har vært kjent og praktisert mer konsekvent i de 15 årene som har gått.
I korte trekk mener Advokatforeningen det er grunn til å se nærmere på forholdet mellom overvåkingsforbudet og de tidligere reglene om unntak for konsesjons- og meldeplikt for aktivitetslogger som sto i den gamle forskriften til personregisterforskriften av 1979 og senere personopplysningsforskriften av 2000, henholdsvis § 2-20 og § 7-11. Unntaket var direkte knyttet til bruk av aktivitetslogger. Det var altså en form for forhåndsgodkjennelse av den konkrete typen overvåking, dvs. bruk av aktivitetslogger for bestemte sikkerhetsformål. Bruken av aktivitetslogger senere for andre formål var ikke tillatt. Vi mener at denne bakgrunnen for bestemmelsen har direkte betydning for hvordan e-postforskriften § 2 annet ledd skal fortolkes.
Bestemmelsen som nå står i e-postforskriften § 2 annet ledd stod tidligere i den gamle personopplysnings-forskriften § 9-2 annet ledd. Paragraf 9-2 ble gitt som del av et nytt kapittel 9 i forskriften, i 2009, om innsyn i e-post, etter at lovgiver vedtok en endring av den gamle personopplysingsloven av § 3 annet ledd slik at Kongen kunne gi forskrift om særskilte former for behandling av personopplysninger, og om behandling av personopplysninger i særskilte virksomheter eller bransjer (Ot.prp.nr.71 (2007–2008) Om lov om endringer i personopplysningsloven mv. (forskriftshjemmel, overtredelsesgebyr og innkreving av tvangsmulkt)). Det er ikke sagt noe i proposisjonen om at hjemmelen skulle benyttes til å gi et generelt overvåkingsforbud, men tvert imot at lovgiver tok sikte på å gi regler om innsyn i e-post. Det vil føre for langt å redegjøre mer uttømmende for alle de relevante rettskildene som gjøre seg gjeldende her, men Advokatforeningen vil oppfordre departementet til å bidra til en nærmere avklaring, for eksempel ved å fjerne bestemmelsen eller endre ordlyden slik at innholdet og omfang klargjøres. Arbeidet med å klargjøre hva som er gjeldende rett per i dag vil selvsagt måtte ligge i bunnen.
Dersom departementet etter en grundig vurdering av dagens rettskildebilde likevel skulle komme til at bestemmelsen skal forstås som et mer generelt overvåkingsforbud, dvs. som noe mer enn speilvendingen av de gamle reglene om bruk av aktivitetslogger, er det et stort behov for klargjøring av "vilkårene" i overvåkings-forbudet. Gitt at et generelt overvåkingsforbud aldri har vært ordentlig utredet og gjenstand for høring mv., finnes det lite veiledning i rettskildene. Antakeligvis er det også derfor Datatilsynet har sett det nødvendig å komme med en veileder. Problemet er imidlertid fortsatt at de avgjørende kriteriene i bestemmelsen er uklare; nemlig hva som utgjør overvåking, elektronisk utstyr og hva betyr det at arbeidsgiver ikke skal ha tilgang til personopplysningene. Spørsmål som oppstår er f.eks. hvilken betydning formålet med behandlingen har, særlig når vi vet at overvåkingsbegrepet benyttes etter reglene i arbeidsmiljøloven kapittel 9 om kontrolltiltak mer uavhengig av om formålet er å overvåke ansatte. Skillet mellom elektronisk utstyr og elektrisk utstyr som lovgiverne pekte på i høringsnotatet fra 2006 er ikke like opplagt lenger når også biler må anses som datamaskiner på hjul. Det siste vilkåret er det uklart for Advokatforeningen hvor kommer fra, dvs. om dette egentlig er en del av overvåkingsbegrepet. Uansett reiser det spørsmål med hensyn til om det vil være tilstrekkelig for å komme unna forbudet at leverandøren er databehandler, men at det følger av avtalen at arbeidsgiver – den behandlingsansvarlige – ikke skal ha tilgang til personopplysninger.
Dersom et tiltak treffes av disse vilkårene, dvs. utgjør overvåking, vil aktiviteten kun være tillatt dersom den faller inn under et av de to unntakene, som tilsynelatende er nokså snevert angitt. En slik snever angivelse gir mening når man tenker på hvor dette kommer fra, nemlig at det var en bestemmelse om unntak fra konsesjons- og meldeplikt for visse ufarlige og standardiserte aktiviteter. Det gir ikke like stor mening dersom alle tiltak for å være lovlige må inn under ett av disse alternativene (å administrere virksomhetens datanettverk eller å avdekke eller oppklare sikkerhetsbrudd i nettverket).
Advokatforeningen ønsker særlig å peke på en uklarhet knyttet til unntaket «å avdekke eller oppklare sikkerhetsbrudd» i § 2 annet ledd bokstav b. Det kan virke noe uklart om unntaket fra forbudet om overvåking kun er ment å dekke tiltak rettet mot sikkerhetsbrudd som skyldes eksterne trusler, eller om også tiltak for å avdekke interne trusler kan omfattes av dette unntaket. Advokatforeningen opplever at dette har stor praktisk betydning for mange virksomheter. Advokatforeningen ser at det kan være behov for systemovervåking for å oppfylle sikkerhetskrav og sikkerhetsstandarder, samt iverksette tiltak som også kan være personvern-fremmende, ved å forhindre at noen urettmessig benytter elektronisk utstyr til å tilegne seg og evt. deler informasjon med uvedkommende. Systemovervåking med dette formålet, herunder tiltak som gjerne kalles «data loss prevention», fremstår som en relevant og til dels utbredt praksis. Tilsynet har i veilederen om overvåkingsforbudet i noen grad forsøkt å klargjøre at denne typen tiltak, etter en konkret vurdering, vil kunne være lovlig. I dette forstår vi at det ligger en aksept for at ordlyden må kunne tolkes utvidende dvs. slik at også forebyggende tiltak er omfattet av ordlyden.
Departementet bør etter Advokatforeningens syn klargjøre hva som ligger i begrepet «sikkerhetsbrudd». En avklaring av unntakets rekkevidde vil bidra til at virksomheter kan forstå hvilke former for internovervåking av IT-systemer som er lovlige. Det har i praksis oppstått saker der det virker svært uheldig at det norske overvåkingsforbudet skal hindre tiltak som ellers vil la seg gjennomføre innenfor de rammer som følger av personopplysningsloven/GDPR og arbeidsmiljøloven. Et eksempel på dette er saken med NetClean fra 2019. Netclean var en løsning som innebar overvåking av virksomhetens PC-er, servere og informasjonssystemer mot kjente digitale fingeravtrykk (bilde, lyd og video) som inneholdt straffbare overgrep mot barn, samt et etterfølgende samarbeid med Kripos. Datatilsynet kom til at programvaren Netclean, som utelukkende var ment å avdekke straffbart overgrepsmateriale, eks. nedlastning, ikke var lovlig å implementere for en arbeidsgiver i Norge. Begrunnelsen var at deling av overgrepsmateriale ikke i seg selv nødvendigvis vil utgjøre et sikkerhetsbrudd i forskriftens forstand. Saken viser at Datatilsynet i praksis anvender en streng og snever tolkning av uttrykket «sikkerhetsbrudd».
Dersom overvåkingsforbudet ble tolket og anvendt slik at unntakene kun er det som helt standard vil anses som lovlige tiltak (dvs. slik dette var opprinnelig med unntakene fra konsesjons- og meldeplikt) og ikke som uttømmende hjemler, ville NetClean-saken bli vurdert på bakgrunn av de generelle reglene i personopplysningsloven og arbeidsmiljøloven. Advokatforeningen tar ikke stilling til hva som ville vært den korrekte vurderingen av løsninger som NetClean, men har merket seg at dette verktøyet er ansett som lovlig etter personvernforordningen bl.a. i Sverige. Advokatforeningen er åpen for at vi i Norge kan komme til å ha personvernregler som gir bedre beskyttelse til arbeidstakerne enn det som gjelder generelt, men det er grunn til å spørre seg om den forståelsen som Datatilsynet nå legger opp til er i tråd med gjeldende rett og/eller om det er slik vi skal ha det fremover. For Advokatforeningen er det åpenbart at arbeidstakernes rett til personvern må avveies mot andre legitime hensyn som bør ivaretas.
Videre oppfordrer Advokatforeningen departementet til å tydeliggjøre forholdet mellom første og annet ledd i vilkårene for innsyn i § 2 første ledd, bokstav b, samt overvåkingsforbudet i § 2 annet ledd, i forskriften, for å sikre et konsistent innhold og en konsistent anvendelse av regelverket. Advokatforeningen antar at første ledd gir rettslig grunnlag for gjennomføring av innsyn i e-post mv. i enkelttilfeller og at disse tilfellene uansett ikke rammes av overvåkingsforbudet, dvs. vilkårene i annet ledd må ikke også være oppfylt. Innsyn i aktivitetslogger vil på sin side normalt ikke være tillatt for andre formål enn for å administrere virksomhetens datanettverk eller å avdekke eller oppklare sikkerhetsbrudd i nettverket. Forholdet mellom første og annet ledd i bestemmelsen er uansett noe som bør klargjøres nærmere, herunder på bakgrunn av departementets opprinnelige forslag i høringsnotatet fra 2018-endringene (omtalt foran).
2.3 Bruk av fødselsnummer
Advokatforeningen har merket seg at reglene i personopplysningsloven § 12 om bruk av fødselsnummer og andre entydige identifikasjonsmidler medfører noen utfordringer i praksis, uten at vi skal påstå at dette er et stort problem. Det er imidlertid også litt uklart hva som er behovet for bestemmelsen sett på bakgrunn av de generelle reglene i personvernforordningen. De definerer både grunnprinsipper og krav som uansett vil gjelde for all behandling, i tillegg til bestemmelser om hva som utgjør særskilte kategorier av personopplysninger.
Advokatforeningen har oppfattet at det bl.a. for virksomheter som driver på tvers av landegrenser kan være krevende med forskjellig regulering knyttet til bruk av fødselsnummer mv. i ulike land. Et enkelt eksempel kan være at en virksomhet ser det som hensiktsmessig å benytte en ordning basert på bruk av fødselsnummer for innlogging i deres nettbutikk der det finnes en kundeprofil, kjøpshistorikk og eventuelt annen informasjon, avhengig av hva virksomheten tilbyr av produkter og tjenester. I slike tilfeller kan være usikkert om den strenge bestemmelsen vi har i § 12 åpner for bruk av fødselsnummer i andre tilfeller enn der informasjonen som behandles i løsningen består av særskilte kategorier av personopplysninger, som helseopplysninger.
2.4 Personopplysningsloven § 7 – særregel om tillatelse til særlige kategorier
Det følger av personopplysningsloven § 7 første ledd at Datatilsynet i særlige tilfeller kan gi tillatelse til å behandle personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1, dersom behandling er nødvendig av hensyn til viktige allmenne interesser. Datatilsynet skal fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser. Advokatforeningen er ikke kjent med i hvilken grad denne bestemmelsen er brukt i praksis, og oppfatter at omtalen av bestemmelsen i forarbeidene tilsier at det er en relativt snever adgang som er ment å ligge her. Det fremstår som noe uklart om hva som er forholdet mellom denne bestemmelsen og bestemmelsen i personvernforordningen artikkel 9 annet ledd bokstav g, se nedenfor.
Denne problematikken henger sammen med spørsmål som knytter seg mer spesifikt til bestemte typer behandlinger og overgangsregler som er gitt i forskrift med hjemmel i personopplysningsloven § 33, se neste punkt.
2.5 Integrity Due Dilligence (IDD) og andre compliance-aktiviteter
Advokatforeningen ønsker å peke på at det synes å mangle et tilstrekkelig klart rettsgrunnlag som tillater virksomheter til å foreta behandling av personopplysninger som ledd i såkalte «Integrity Due Diligence»-undersøkelser. Slike undersøkelser av enkeltpersoner kan være nødvendige for å forbygge compliance-risiko, blant annet for å avdekke risiko knyttet til samarbeidspartnere og for unngå brudd på internasjonale sanksjonsbestemmelser. Som ledd i slike compliance-sjekker vil det gjerne være aktuelt å behandle en rekke personopplysninger, herunder opplysninger som er omfattet av personvernforordningens artikkel 9 og 10, jf. personopplysningsloven § 11. Det fremstår i dag som uklart om gjeldende regler tillater dette.
Advokatforeningen erfarer at virksomheter som mangler en tilstrekkelig klar hjemmel i lov til å behandle personopplysninger for dette formålet, må benytte adgangen til å søke Datatilsynet om tillatelse etter forskrift om overgangsregler om behandling av personopplysninger § 6 (FOR-2018-06-15-877). Etter hva Advokatforeningen erfarer, er dette en tid- og ressurskrevende prosess for både virksomheter og Datatilsynet, og en ordning som tilsynet selv ikke mener er hensiktsmessig. Det er også et problem at de behandlingsformål som er opplistet i forskriften er begrenset og tilsynelatende kun omfatter IDD og ikke for eksempel tillatelse til å gjennomføre screening mot sanksjonslister. Advokatforeningen er kjent med at det er virksomheter som etter det gamle regelverket hadde ulike konsesjoner for ulike former for compliance-aktiviteter.
Overgangsreglene, herunder regler om forhåndstillatelse som grunnlag for behandling av særlige kategorier personopplysninger, er videre ment å være noe som skal avvikles. Advokatforeningen kan heller ikke forstå at det skal være nødvendig for virksomhetene etter dagens regelverk å søke om slik tillatelse. Dersom behandlingen er lovlig etter personopplysningsloven og personvernforordningen, er det vanskelig å se at det skulle være ulovlig å gjennomføre den uten tillatelse. Samtidig er det også vanskelig å se at Datatilsynet skal kunne tillatte en behandling som ikke ellers ligger innenfor regelverkets rammer. Her viser Advokatforeningen tilbake til det vi har påpekt om svakheter ved personopplysningsloven § 11 foran.
Det er etter Advokatforeningen syn behov for å få på plass bedre og klarere hjemler for å underbygge at virksomheter har rett til å gjennomføre slike behandlinger som er nødvendige for å oppfylle compliance-kraven som i dag stilles til et forsvarlig næringsliv, og som virksomhetenes øverste ledelse i sin ytterste konsekvens kan holdes ansvarlig for.
Departementet oppfordres derfor til å utrede muligheten for en mer permanent og hensiktsmessig løsning som ivaretar en bredere krets av aktørers behov for å gjennomføre ulike former for compliance-sjekker som er forventet av virksomheter i tråd med gjeldende lovverk og beste praksis.
2.6 Rollen til Datatilsynet
Advokatforeningen har merket seg flere uttalelser og debatter knyttet til Datatilsynets rolle de siste årene. Flere har stilt spørsmål ved uklar rollefordeling og fare for rollekonflikt ettersom Datatilsynet skal opptre i en ombudsrolle samtidig som det er et tilsynsorgan.
Som tilsynsorgan skal Datatilsynet føre tilsyn og treffe tiltak innenfor rammene av personopplysningsloven og personvernforordningen. Dette innebærer blant annet at tilsynet må avveie ulike interesser i sine avgjørelser. Herunder, i tillegg til å vektlegge hensynet til personvernet, må tilsynet også i en viss utstrekning hensynta virksomheters behov for forutsigbare og gode rammer som tillater forsvarlig virksomhet.
Når Datatilsynet opptrer i ombudsrollen, kan denne balanseringen av hensyn synes å være mer fraværende, noe som kan skape en uforutsigbarhet med hensyn til hvilke rammevilkår virksomheter må innrette seg under.
Advokatene erfarer at dette i noen tilfeller kan oppleves som utfordrende og at det kan være krevende å få de nødvendige avklaringer fra Datatilsynet som gir tilstrekkelig forutsigbarhet om rettslig handlingsrom. Advokatforeningen ber derfor departementet om å se nærmere på Datatilsynets rolle og vurdere om det er behov for å ha et tydeligere skille mellom ulike oppgaver for å forhindre rollekonflikter.
2.7 Personopplysningsloven § 11
Bestemmelsen i personopplysningsloven § 11 gir særlig hjemmel for behandling av personopplysninger om straffedommer og lovovertredelser. Bestemmelsen henviser selv til at dette gjelder den typen opplysninger som er omfattet av personvernforordningen artikkel 10. Samtidig fremkommer det av forarbeidene til personopplysningsloven at lovgiver har ment å videreføre gjeldende rett hva gjelder behandling av det som tidligere ble definert som sensitive personopplysninger knyttet til slike forhold. Sensitive personopplysninger omfattet – i den gamle personopplysningsloven § 2 nr. 8 bokstav b – opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling.
Det er etter Advokatforeningens syn ikke åpenbart at ordlyden i artikkel 10 i forordningen er like vid/omfatter alle disse personopplysningene. Det vil i utgangspunktet oftere kunne oppstå en situasjon der for eksempel en arbeidsgiver behandler informasjon som innebærer at en ansatt "bare" er mistenkt for en straffbar handling enn informasjon om at det er tatt stilling til skyldspørsmålet og konstatert at vedkommende har begått en lovovertredelse og/eller faktisk er dømt.
Poenget med om noe omfattes av artikkel 10 opplysninger eller ikke, gjør seg først og fremst gjeldende med hensyn til hvilke konsekvenser det eventuelt får at noe er omfattet. Advokatforeningen har ikke oversikt over hvordan artikkel 10-opplysninger er forstått og praktisert i andre land, men ser det som hensiktsmessig at departementet ser nærmere på dette, og særlig på hva som skal kreves for at det foreligger rettslig grunnlag for behandlinger av slike opplysninger. Så vidt Advokatforeningen vet er det ikke slik at alle land legger til grunn at artikkel 10-opplysninger skal likestilles med særskilte kategorier opplysninger som krever hjemmel både i artikkel 6 og artikkel 9, dvs. der slike behandles av private aktører. Også på dette punktet ser Advokatforeningen at det for virksomheter som opererer på tvers av landegrenser kan være vanskelig å forholde seg til at en type personopplysninger vurderes strengere i Norge enn i andre land og det bør vurderes om dette er nødvendig og hensiktsmessig.
Dette som er påpekt foran har også en side til den delen av bestemmelsen som viser til mulige hjemmelsgrunnlag for behandlinger. Paragraf 11 første punktum viser til at det kun er mulig å basere behandling av slike personopplysninger på artikkel 9 nr. 2 bokstav a og c til f samtidig som det vises til at lovens §§ 6, 7 og 9 gjelder tilsvarende. Ved dette reises en rekke nye spørsmål med hensyn til når det eventuelt vil være tillatt for private virksomheter å behandle personopplysninger om straffedommer og lovovertredelser, som da tilsynelatende også omfatter mindre entydig informasjon om at noen er mistenkt for en lovovertredelse. Advokatforeningen vil bl.a. trekke frem at det er uklart om og i hvilken grad § 7 i personopplysningsloven kan brukes av Datatilsynet for å sørge for at virksomhetene kan behandle slike personopplysninger basert på viktige allmenne interesser, dvs. i stedet for basert på artikkel 9 nr. 2 bokstav g som det ikke er vist til i personopplysningsloven § 11. Slik § 11 er omtalt i forarbeidene virker dette som en snever unntaksbestemmelse, noe som tilsynelatende medfører at vi i norsk rett har inntatt en svært restriktiv tilnærming på dette punktet og muligens mer restriktiv enn nødvendig og hensiktsmessig. Det kan etter Advokatforeningens oppfatning være tilfeller der en virksomhet har behov for å behandle opplysninger om at noen er mistenkt el. for en lovovertredelse for eksempel knyttet til behandlingsaktiviteter som screening og/eller IDD el.
Advokatforeningen oppfatter det uansett også som noe uklart hva som er betydningen av forordningens bestemmelser som det ikke er vist til i § 11, men som indirekte kommer inn igjen via lovens bestemmelser i §§ 6, 7 og 9. Dersom Datatilsynet skal ta stilling til en sak etter § 7 i loven antar foreningen at det vil være nødvendig å se på om vilkårene i artikkel 9 annet ledd bokstav g er oppfylt osv., da det neppe har vært lovgivers intensjon å gi tilsynet anledning til å gi tillatelse til behandlinger som ikke ellers kunne vært hjemlet i forordningen. Men dette er altså noe uklart og det er hensiktsmessig med noe mer avklaring.
2.8 Rettspleieunntaket
Rekkevidden av det såkalte rettspleieunntaket i personopplysningsloven § 2 annet ledd bokstav b bør presiseres. For det første kan det fremstå som uklart hvilke rettspleielover som omfattes, ettersom bestemmelsen har en ikke-uttømmende formulering. Advokatforeningen mener det er uheldig at bestemmelsen mangler en klar avgrensning. Det har stor betydning for om loven kommer til anvendelse eller ikke. Hva gjelder for eksempel for saker som behandles etter konkursloven, lov om voldgift eller trygderettsloven? Advokatforeningen har sett at uklarheten knyttet til hvilke lover som omfattes, har ført til praktiske utfordringer, for eksempel i konkurssaker. Blant annet i saker som har vært til behandling for Personvernnemnda, har det vært eksempler på uenighet om unntaket kan omfatte behandling av opplysninger som ledd i konkursbobehandling.
Videre ser Advokatforeningen et behov for å klargjøre når i tid unntaket trer i kraft. Det kan blant annet reises spørsmål ved om unntaket først gjelder fra stevningstidspunktet, eller om det også kan gjelde i deler av saksforberedende arbeid før en formell rettstvistprosess er påbegynt, herunder også ved søksmålsvarsel etter tvisteloven kap. 5. Advokatforeningen opplever at denne uklarheten særlig kan skape uklarhet for advokater som behandler personopplysninger i forbindelse med rettslige prosesser. Det er på samme måte noe uklart etter dagens bestemmelse hvilke parter som kan påberope seg unntaket, herunder om dette også omfatter sakens parter og vitner mv.
Advokatforeningen mener at det må klart fremkomme av unntaket at all behandling av personopplysninger som finner sted fra det tidspunkt en sak anses å være til behandling eller avgjørelse etter rettspleielovene, og frem til saken er endelig avsluttet, vil være unntatt. Dette vil eksempelvis omfatte innhenting av saksopplysninger, fremleggelse av bevis, korrespondanse mellom partene og de ulike aktørene etc. Både advokatene, deres parter/klienter, sakkyndige, vitner og andre involverte i behandling av saken må anses omfattet av unntaket. Når en sak anses å være til behandling eller avgjørelse vil variere mellom de ulike rettspleielovene.
For å sikre en tydelig og enhetlig anvendelse av personopplysningsloven, oppfordrer Advokatforeningen departementet til å klargjøre grensene for rettspleieunntaket, både med hensyn til hvilke rettspleielover som omfattes, samt den nærmere utstrekning av unntaket, herunder utstrekning i tid.
Vi kan videre legge til at også her gjør spørsmålet om forholdet mellom personopplysningsloven og arbeidsmiljøloven seg gjeldende ved at unntaket spesifikt nevner at det er personopplysningsloven og personvernforordningen som eventuelt ikke gjelder, slik at det mest naturlig må legges til grunn at annen personvernlovgivning, herunder arbeidsmiljølovens regler, fortsatt vil gjelde.
Til sist vil Advokatforeningen også påpeke at det kan reise et mer prinsipielt spørsmål om lovgiver har adgang til å gi en slik bestemmelse som nå står i personopplysningsloven § 2 annet ledd bokstav b, dvs. om forordningen gir adgang til dette. Departementet oppfordres til å vurdere dette. Dersom svaret på det er nei, er det også et spørsmål om det får noen betydning for hvordan bestemmelsen skal tolkes og anvendes i dag.
2.9 Arkivformål
Advokatforeningen mener at omfanget av unntakene for behandling av personopplysninger til arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål, og statistiske formål i personopplysningsloven §§ 8 og 9, bør presiseres. Det kan oppleves som utfordrende å få klarhet i omfanget av de ulike unntakene fordi begrepene som benyttes er vage og overordnede. Blant annet er det uklart hvor langvarig arkivering som kan anses «nødvendig» i «allmennhetens interesse», om det stilles kvalitative krav for å kvalifisere som «forskning», samt om «statistiske formål» også omfatter interne behov for statistikk, eller om begrepet kun omfatter statistikkformål av allmenn interesse.
I forlengelsen av dette vil Advokatforeningen peke på at særmerknaden til personopplysningsloven § 8 i Prop.56 LS (2017-2018) kan gi inntrykk av at forsknings- og statistikkformål skal være knyttet til allmennhetens interesse. Lovens ordlyd antyder imidlertid ikke at forskning eller statistiske formål nødvendigvis må være tilknyttet allmennhetens interesse.
Advokatforeningen oppfordrer departementet til å presisere innholdet i unntakene for behandling for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål.
2.10 Unntak fra den registrertes rettigheter
Personopplysningsloven kap. 4 inneholder bestemmelser om unntak fra den registrertes rettigheter. Dette kapitlet inneholder flere praktiske bestemmelser, blant annet unntak for informasjon som er taushetsbelagt og opplysninger det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om. Etter Advokatforeningens syn er unntakene i hovedsak hensiktsmessige, men vi har noen kommentarer.
For det første vil vi påpeke at avviksmelding til Datatilsynet etter art. 33 ikke er en del av unntakene, selv om det gjerne er påkrevd å hemmeligholde opplysningene av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger. Advokatforeningen mener det bør vurderes om § 16 fjerde ledd skal utvides til også å omfatte melding til Datatilsynet.
En annen kommentar fra Advokatforeningen er at det i praksis kan være vanskelig å forstå rekkevidden av unntaket i § 16 første ledd bokstav e, dvs. unntaket for tekst som er utarbeidet for intern saksforberedelse. Her oppstår det i praksis en del spørsmål blant annet om situasjoner hvor en arbeidsgiver har delt informasjon med f.eks. en rådgiver eller advokat. Det kan i en rekke tilfeller virke uklart om unntaket da kommer til anvendelse eller ikke. Advokatforeningen viser her til at den første delen av bestemmelsen svarer til vilkåret i offentleglova § 14. Vi peker videre til forarbeidene til personopplysningsloven (Prop.56 LS (2017-2018) s. 217) som uttaler at offentleglova § 14 også kan gi noe veiledning for vurderingen av om unntaket finner anvendelse ved innsynskrav etter personvernforordningen. Slik Advokatforeningen oppfatter det har det innenfor praktiseringen av unntaket etter offentleglova generelt vært en "lære" om at eksterne aktører i visse tilfeller kan anses interne. Dette synes blant annet å være støttet også i uttalelser fra Sivilombudet, se til eksempel sak SOM-2022-1353. Saken gjaldt at en journalist i Kommunal Rapport hadde fått delvis avslag på krav om innsyn i en rapport skrevet av advokater fra et eksternt advokatfirma i forbindelse med en varslingssak i Vestfold og Telemark fylkeskommune. Slik Advokatforeningen forstår Sivilombudets uttalelser i den konkrete saken kan det legges til grunn som en hovedregel at undersøkelser som foretas med direkte utspring i arbeidsgivers plikt til å undersøke et varsel etter arbeidsmiljølovens regler, er organintern etter offentleglova § 14, selv om undersøkelsen er foretatt av eksterne. Vi oppfatter at det kan trekkes paralleller til dette i forståelsen av rekkevidden av unntaket i § 16 første ledd bokstav e, men mener at spørsmålet med fordel kan klargjøres av departementet.
2.11 Erstatning for ikke-økonomisk skade
Advokatforeningen merker seg andre uttalelser som er inngitt i forbindelse med etterkontrollen når det gjelder en tilsynelatende uoverensstemmelse mellom bestemmelsen om oppreisningserstatning i personopplysningsloven § 30 og erstatningsbestemmelsen i personvernforordningen artikkel 82. Tolket i lys av ny praksis fra EU-domstolen, herunder dommen C-300/21 (UI mot Österreichische Post AG) kan det synes som at «rimelighetsvurderingen» som forutsettes etter personopplysningslovens § 30 går på tvers av vilkårene for oppreisningserstatning slik som det følger av artikkel 82. Advokatforeningen slutter seg til at dette spørsmålet bør utredes nærmere av departementet og at eventuelt manglende samsvar med forordningen rettes opp i den norske lovbestemmelsen.
3 Avslutning/oppsummering
Oppsummert er Advokatforeningens syn at de nevnte forholdene bør utredes nærmere. Av hensyn til legitimitet og forutberegnelighet er det viktig at uklarheter knyttet til forståelsen eller rekkevidden av enkeltbestemmelser i lov og -forskrift avklares. Videre bør eventuelle uoverensstemmelser i forholdet mellom personopplysningsloven og personvernforordningen rettes opp.
Vennlig hilsen
Siri Teigum Merete Smith
leder generalsekretær