Personvernforordningen (9788245033878) by Fagbokforlaget

Boken er skrevet med vekt på å formidle logikken i forordningen, analysere og systematisere «ugjennomtrengelige» enkeltbestemmelser, og påvise viktige sammenhenger mellom de spørsmål som er regulert. Målet er å sette leseren i stand til å resonnere selvstendig. De aller fleste bestemmelsene som har betydning for å kunne samle inn og behandle personopplysninger på lovlig måte blir gjennomgått. Vekt blir lagt på å forklare og drøfte mulige fortolkninger. Ofte gir forfatteren konkrete, supplerende råd om hvordan en bør innrette seg. Fremstillingen omfatter blant annet: • Grunnleggende om begreper og prinsipper innen personopplysningsretten • Hva forordningen regulerer • Hvor forordningen gjelder • Hvem som blir berørt av forordningen • Hvilke rettigheter registrerte personer har • Hvilke plikter de som samler inn og behandler personopplysninger har Redegjørelser og drøftelser går forholdsvis tett inn på sentrale deler av ordlyden. Vektlegging av oversikt og sammenhenger går altså ikke på bekostning av detaljerte innsikter. Likevel fortaper ikke forfatteren seg i finurligheter. Boken er både skrevet som hjelp til studenter som vil lære seg personvernrett, og for praktikere i offentlig og privat sektor med ansvar for å etterleve bestemmelser om personopplysningsvern. Trolig vil også eksperter innen personvernrett ha nytte av forfatterens drøftelser og observasjoner.

ISBN 978-82-450-3387-8

,!7II2E5-addihi!

Dag Wiese Schartum

Personvernforordningen (GDPR) regulerer hvordan opplysninger om personer kan behandles i Norge og i EØS for øvrig. Forordningen er omfattende, kompleks, vurderingspreget og ofte vanskelig å forstå. Likevel må alle som behandler personopplysninger følge bestemmelsene. Manglende etterlevelse vil kunne gi store bøtestraffer og erstatningsansvar.

Dag Wiese Schartum

- EN LÆREBOK

Dr.juris Dag Wiese Schartum er professor ved Senter for rettsinformatikk og Avdeling for forvaltningsinformatikk ved Universitetet i Oslo. Schartum har vært medlem av ti lovutvalg der personvernspørsmål har stått sentralt (bl.a. utvalg vedrørende personopplysningsloven 2000, helseforskningsloven, straffeprosessloven, arbeidsmiljøloven, sikkerhetsloven og arkivlova). Schartums forfatterskap omfatter en rekke arbeider, bl.a. innen personvern og informasjonssikkerhet, og digital forvaltning og automatisering av rettslige beslutninger.

Copyright © 2020 by Vigmostad & Bjørke AS All Rights Reserved 1. utgave / 1. opplag 2020 ISBN: 978-82-450-3387-8 Grafisk produksjon: John Grieg, Bergen Omslagsdesign ved forlaget Omslagfoto: © Eka Panova / Shutterstock (Retro pixel game characters), © chuckchee / Shutterstock (Pixel art office people), © Sudowoodo / Shutterstock (Pixel video font)

Spørsmål om denne boken kan rettes til: Fagbokforlaget Kanalveien 51 5068 Bergen Tlf.: 55 38 88 00 Faks: 55 38 88 01 e-post: fagbokforlaget@fagbokforlaget.no www.fagbokforlaget.no

Materialet er vernet etter åndsverkloven. Uten uttrykkelig samtykke er eksemplarfremstilling bare tillatt når det er hjemlet i lov eller avtale med Kopinor.

FORORD

Denne boken er skrevet for å dekke behovet for en lærebok om personvernforordningen. Jeg antar den også kan være til god nytte for langt flere enn studenter. Ambisjonen har vært å sette bestemmelsene i sammenheng – forklare og drøfte, ikke bare gjennomgå bestemmelsene én etter én. Arbeidet med boken har vært krevende. Mange elementer i personvernforordningen er rett og slett vanskelige å forstå. Ikke sjelden er tolkningsresultatene usikre. Dessuten har det vært en stor utfordring å forklare de mange komplekse og ofte uklare bestemmelsene uten å ty til misvisende forenklinger. En annen utfordring har vært å unngå å bli smittet av språket i forordningen, som ligger milelangt fra det vi i norsk rettstradisjon vil kalle klarspråk. Jeg har arbeidet med personvernspørsmål i om lag 30 år, og har vært så heldig å ha hatt to av pionerene innen personvernrett, professorene Knut S. Selmer og Jon Bing, som kolleger ved Senter for rettsinformatikk. Knut og Jon var blant de første i Norge som satte personvern under debatt. De analyserte, utviklet forståelser av og satte ord på hva personvern kan sies å handle om. Jeg skylder dem en stor takk. Takk også til kollega Lee A. Bygrave. Sammen har vi gitt ut tre utgaver av Personvern i informasjonssamfunnet (første utgave i 2004, tredje utgave i 2016). Dette samarbeidet og diskusjoner med Lee om sentrale bestemmelser i personvernforordningen har bidratt mye til det jeg kan om personopplysningsrett. Til slutt en stor takk til det fantastiske, vitale og inspirerende miljøet ved Senter for rettsinformatikk. Røa, 1. desember 2019 Dag Wiese Schartum

INNHOLD 1 INNLEDNING ............................................................................................... 1.1 Personvern ........................................................................................................ 1.1.1 Personvern og personopplysningsvern ...................................................... 1.1.2 Kort lovgivningshistorikk.......................................................................... 1.1.3 Introduksjon av sentrale elementer i personopplysningsvernet..................

1.2 Om innhold og kildebruk i denne boken ...................................................... 1.3 Oversikt over personvernretten ...................................................................... 1.3.1 Det store bildet......................................................................................... 1.3.2 Personvernforordningen: bakgrunn og oversikt ......................................... 1.3.2.1

Generelt .......................................................................................

1.3.2.2

Forholdet til personopplysningsloven .............................................

1.4 Eksempel på hvordan viktige bestemmelser i forordningen kommer til anvendelse .................................................................................... 1.5 Hvor gjelder forordningen? ............................................................................ 1.6 Hva gjelder forordningen for? ........................................................................ 1.6.1 Innledning og oversikt .............................................................................. 1.6.2 «Personopplysninger»............................................................................... 1.6.3 Om skillet mellom særlige kategorier og alminnelige personopplysninger ... 1.6.4 Om hvordan personopplysninger kan komme til uttrykk ........................... 1.6.5 «Behandling» (av personopplysninger) ...................................................... 1.6.6 «Helt eller delvis automatisert behandling», herunder «profilering» .......... 1.6.7 Personregistre .......................................................................................... 1.6.8 Unntak for rent personlige eller familiemessige aktiviteter ........................ 1.6.9 Forholdet til ytringsfrihet .........................................................................

DE VIKTIGSTE AKTØRENE I FORORDNINGEN OG HVA DE I HOVEDSAK SKAL ELLER KAN GJØRE ............................................. 2.1 Innledning og oversikt over aktørene som inngår i forordningen ............... 2.2 Registrerte personer og tilknyttede aktører ................................................... 2.3 Behandlingsansvarlig ......................................................................................

13 13 13 16 18 22 26 26 29 29 31 34 38 39 39 41 46 48 48 50 52 53 54

2.3.1 Grunnleggende om rollen og begrepet ...................................................... 2.3.2 Hvem er behandlingsansvarlig? ................................................................ 2.3.3 Nærmere om organiseringen av det daglige behandlingsansvaret ..............

57 57 59 60 60 62 63

2.3.4 Hvor bør behandlingsansvaret plasseres innenfor store hierarkiske organisasjoner? ........................................................................................

PERSONVERNFORORDNINGEN

2.3.5 Behandlingsansvar i henhold til nasjonal lovgivning ................................. 2.3.6 Felles behandlingsansvar..........................................................................

2.4 Databehandler ................................................................................................. 2.4.1 Generelt ................................................................................................... 2.4.2 Databehandleravtaler...............................................................................

2.5 Personvernombud hos behandlingsansvarlige og databehandlere ............. 2.6 Representant for behandlingsansvarlige og databehandlere....................... 2.7 Tilsynsmyndigheter ........................................................................................ GENERELT OM KRAV TIL LOVLIG BEHANDLING AV PERSONOPPLYSNINGER ......................................................................... 3.1 Oversikt ............................................................................................................ 3.2 Prinsipper for behandling av personopplysninger .......................................

68 69 70 70 73 76 82 84

3.2.1 Oversikt og innledende betraktninger ....................................................... 3.2.2 Prinsippet om lovlighet, rettferdighet og åpenhet ...................................... 3.2.3 Formålsbegrensningsprinsippet ............................................................... 3.2.4 Dataminimeringsprinsippet ..................................................................... 3.2.5 Krav til opplysningskvalitet (riktighet) ...................................................... 3.2.6 Lagringsbegrensningsprinsippet............................................................... 3.2.7 Integritet og konfidensialitet ..................................................................... 3.2.8 Krav til etterlevelse av prinsippene ............................................................

3.3 Formål med behandling av personopplysninger .......................................... 3.3.1 Generelt om behandlingsformål ............................................................... 3.3.2 Nye formål som er uforenelig med opprinnelige formål ............................ 3.3.3 Behandling av personopplysninger for visse sekundærformål ................... 3.3.4 Krav til garantier når det gjøres unntak for visse sekundærformål..............

3.4 Rettslig grunnlag for behandling av personopplysninger ............................ 3.4.1 Innledning ...............................................................................................

85 85 86 86 88 91 92 93 96 98 99 100 100 102 105 108 109 109

3.4.2 Samtykke til å behandle vanlige og særlige kategorier av personopplysninger ............................................................................. 113 3.4.2.1

Innledning ................................................................................... 113

3.4.2.2

Forutsetningen om rettslig handleevne og spørsmålet om barns samtykke . 114

3.4.2.3 Vilkår for gyldig samtykke.............................................................. 116 3.4.2.4

Forholdet mellom samtykkeerklæringen og andre skriftlige erklæringer ... 123

3.4.2.5 Tilbaketrekking av samtykke .......................................................... 124

3.4.3 Generelt om nødvendighetsvurderingene i artikkel 6 og 9 ......................... 126 3.4.4 Nødvendige grunner til å behandle alminnelige personopplysninger ........ 127 3.4.4.1 Avtaler med den registrerte ............................................................ 127 3.4.4.2 Rettslig forpliktelse ....................................................................... 129 3.4.4.3 Vern av vitale interesser ................................................................. 129

INNHOLD

3.4.4.4 Oppgave av allmenn interesse eller utøvelse av offentlig myndighet.... 130 3.4.4.5 Berettiget interesse ........................................................................ 132

3.4.5 Nødvendige grunner mv. for å behandle særlige kategorier personopplysninger (jf. «sensitive opplysninger») ..................................................................... 133 3.4.5.1

Innledning ................................................................................... 133

3.4.5.2 Utøve visse forpliktelser og rettigheter ............................................. 135 3.4.5.3 Vern om vitale interesser................................................................ 136 3.4.5.4 Rettskrav ...................................................................................... 137 3.4.5.5 Viktige allmenne interesser ............................................................ 138 3.4.5.6 Forebyggende medisin mv. ............................................................. 140 3.4.5.7 Allmenne folkehelsehensyn ........................................................... 141 3.4.5.8 Arkivformål i allmennhetens interesse, forskning og statistikk ........... 143 3.4.5.9 Behandling av ideelle organer og opplysninger den registrerte selv har offentliggjort ............................................... 146 3.4.5.10 Adgang til å gi nasjonale bestemmelser om visse særlige kategorier personopplysninger ............................................ 149

3.4.6 Behandling av personopplysninger om straffedommer og lovovertredelser ................................................................................... 149 3.4.7 Bruk av fødselsnummer og andre entydige identifikasjonsmidler .............. 151

4 DEN REGISTRERTES RETTIGHETER MV. ........................................... 153 4.1 Generelt ............................................................................................................ 153 4.1.1 Gruppering av bestemmelser og spørsmålet om hvem bestemmelsene gjelder .................................................................... 153 4.1.2 Adgang til å begrense rettighetene ............................................................ 155

4.2 Åpenhet og gjennomsiktighet ........................................................................ 157 4.2.1 Innledning og om forholdet til annen innsynslovgivning........................... 157 4.2.2 De ulike faste opplysningene som det skal gis informasjon om eller gis innsyn i ....................................................................................... 159 4.2.3 Nærmere om informasjonspliktene .......................................................... 172 4.2.3.1

Hovedreglene om informasjonsplikt og informasjon om bruk til andre formål ................................................................ 172

4.2.3.2 Tidspunkt for når informasjon skal gis, og formidlingsmåte .............. 174 4.2.3.3 Unntak fra plikten til å informere ................................................... 175

4.2.4 Nærmere om innsynsretten ...................................................................... 178 4.2.4.1 Generelt ....................................................................................... 178 4.2.4.2 Om innsyn i den generelle informasjonen om behandlingen ............. 178 4.2.4.3 Om innsyn i egne personopplysninger ............................................ 180 4.2.4.4 Kostnader knyttet til innsyn i generell informasjon og egne opplysninger .. 183

PERSONVERNFORORDNINGEN

4.3 Andre rettigheter (retting, sletting mv.) .......................................................... 184 4.3.1 Innledning ............................................................................................... 184 4.3.2 Retting og supplering ............................................................................... 185 4.3.3 Rett til sletting .......................................................................................... 188 4.3.3.1

Generelt ....................................................................................... 188

4.3.3.2 Tiltak for å maksimere effekten av sletting ....................................... 191 4.3.3.3 Unntak fra bestemmelsene om sletting ............................................ 192

4.3.4 Protest mot behandling ............................................................................ 197 4.3.5 Begrenset behandling ............................................................................... 200 4.3.4.1 Generelt ....................................................................................... 200 4.3.4.2 Situasjoner som gir rett til å kreve begrenset behandling ................... 202 4.3.4.3 Virkningen av at behandlingen er begrenset, og gjennomføring ......... 203

4.3.6 Underretningsplikt i samband med retting, sletting og begrenset behandling av personopplysninger ....................................... 204 4.3.7 Dataportabilitet........................................................................................ 206

4.4 Vern mot helt automatiserte, individuelle avgjørelser og profilering .......... 208 4.4.1 Generelt ................................................................................................... 208 4.4.2 Unntak..................................................................................................... 212

4.5 Krav til gjennomføring av bestemmelser om registrertes rettigheter mv. ... 215 4.5.1 Innledning ............................................................................................... 215 4.5.2 Krav til språk ............................................................................................ 216 4.5.3 Kort om forholdet til annen veiledningsplikt ............................................. 219 4.5.4 Identifisering av registrerte ....................................................................... 220 4.5.5 Plikt til å respondere og treffe tiltak innen bestemte svartider .................... 222 4.5.6 Betaling ................................................................................................... 223

4.6 Avsluttende kommentarer .............................................................................. 224 5 5.1 5.2 5.3 5.4 5.5

OVERFØRING AV PERSONOPPLYSNINGER TIL TREDJESTATER OG INTERNASJONALE ORGANISASJONER .................................. 227 Innledning og oversikt .................................................................................... 227 Generelt og grunnleggende prinsipp for overføring til tredjestater og internasjonale organisasjoner ........................................................................ 229 Overføring av personopplysninger til tredjestater mv. på grunnlag av beslutning om tilstrekkelig beskyttelsesnivå ................................................. 231 Overføring av personopplysninger til tredjestater når det er gitt nødvendige garantier ........................................................................................................... 232 Overføring av personopplysninger til tredjestater i særlige situasjoner ..... 234

INNHOLD

BESTEMMELSER OM RISIKOVURDERING OG IVERKSETTELSE AV TEKNISKE, ORGANISATORISKE OG ANDRE TILTAK .................... 237 6.1 Fellesspørsmål ................................................................................................. 237 6.1.1 Innledning ............................................................................................... 237 6.1.2 Risikovurderinger .................................................................................... 238 6.1.3 Tiltak ....................................................................................................... 243

6.2 Behandlingsansvarliges ansvar....................................................................... 247 6.3 Innebygd personvern og personvern som standardinnstilling .................... 248 6.3.1. Innledning ................................................................................................. 248 6.3.2 Om forutsetningen for at det skal foreligge plikt til innbygging .................. 250 6.3.3 Om når innbygging skal skje ..................................................................... 251 6.3.4 Om hvordan innbygging skal skje ............................................................. 253 6.3.4.1 Generelt ....................................................................................... 253 6.3.4.2 Innbygging av bestemmelser om rettigheter og samtykke .................. 254 6.2.4.3 Om innbygging av personvernprinsippene ...................................... 259

6.3.5 Spesielt om personvern som standardinnstilling ....................................... 261

6.4 Personopplysningssikkerhet ........................................................................... 261 6.4.1 Innledning og oversikt .............................................................................. 261 6.4.2 Sikkerhetstiltak ........................................................................................ 264 6.4.3 Melding til Datatilsynet om sikkerhetsbrudd, herunder krav til dokumentasjon.............................................................. 265 6.4.4 Underretning til registrerte om sikkerhetsbrudd ....................................... 270 6.4.5 Testing og evaluering av sikkerhetstiltak ................................................... 273

VURDERING AV PERSONVERNKONSEKVENSER OG FORHÅNDSDRØFTINGER ...................................................................... 7.1 Innledning........................................................................................................ 7.2 Avgrensing av plikten til å konsekvensvurdere ............................................. 7.3 Innholdsmessige krav til konsekvensvurderinger......................................... 7.3.1 Generelt ................................................................................................... 7.3.2 Systematisk beskrivelse av den planlagte behandlingsaktiviteten ............... 7.3.3 Vurdering opp mot behandlingsformål ..................................................... 7.3.4

Vurdering opp mot risiko for rettigheter og friheter, samt vurdering av tiltak ......

275 275 277 280 280 280 282 282

7.4 Forholdet mellom konsekvensvurderinger og forhåndsdrøftinger med Datatilsynet ............................................................................................. 283 8 8.1 8.2 8.3

TILSYN ............................................................................................................ Innledning........................................................................................................ Organisering av tilsynsmyndigheten ............................................................. Nasjonale tilsynsorganer.................................................................................

285 285 286 287

PERSONVERNFORORDNINGEN

ERSTATNINGSANSVAR, SANKSJONER OG BETYDNINGEN AV DOKUMENTASJON ............................................................................ 9.1 Innledning........................................................................................................ 9.2 Erstatningsansvar ............................................................................................ 9.3 Straff og andre sanksjoner ..............................................................................

289 289 289 291 9.3.1 Generelt ................................................................................................... 291 9.3.2 Utmåling av overtredelsesgebyr ................................................................ 293 9.4 Om betydningen av dokumentasjon .............................................................. 296

10 KLAGERETT OG ANDRE RETTSMIDLER ............................................ 299 10.1 Innledning ...................................................................................................... 299 10.2 Den registrertes rett til klage ......................................................................... 302 10.2.1 Generelt ................................................................................................. 302 10.2.2 Krav vedrørende utøvelse av registrertes rettigheter ................................. 303

10.3 Klage fra behandlingsansvarlig og databehandler ...................................... 306 10.4 Ideelle organisasjoners mulige rolle ............................................................. 306 LITTERATUR OG KILDER ................................................................................ Litteratur ................................................................................................................. Lover og forskrifter ................................................................................................. Lovforarbeider og offentlige utredninger ............................................................. Annen lovgivning, konvensjoner mv. .................................................................... Rettsavgjørelser....................................................................................................... Personvernnemndas avgjørelser............................................................................ Veiledninger og retningslinjer ............................................................................... Annet .......................................................................................................................

309 309 310 311 311 312 312 312 313

STIKKORDREGISTER ........................................................................................ 314

KAPITTEL 1

INNLEDNING

1.1 PERSONVERN 1.1.1 Personvern og personopplysningsvern

Denne boken handler om hvordan lovgiver har i varetatt viktige deler av folks personvern i sammenheng med behandling av personopplysninger. «Personvern» er et bredt begrep som det kan være vanskelig å bli enige om meningsinnholdet av. Slik jeg ser det, kan begrepet best forklares med at det gjelder vern av de private sfærer som mennesker befinner seg i. I figur 1 har jeg angitt fem slike sfærer. Personvern kan sies å forutsette at det innenfor hver av disse sfærene skal råde en stor grad av autonomi, dvs. hver person skal i stor grad kunne bestemme selv.1 I tillegg til selvbestemmelse kan personvern sies å forutsette at disse sfærene nyter godt av en stor grad av integritet i betydningen at de nyter respekt og er beskyttet av loven. Kort sagt kan vi velge å forstå personvern som en tilstand der det råder stor grad av autonomi og integritet innenfor private sfærer. Teknologiuavhengig krenkelse Bryte taushetsplikt Brevbrudd

Private sfærer

Krenkelse ved bruk av informasjons- og kommunikasjonsteknologi (IKT)

personopplysninger kommunikasjon

kommunikasjonskontroll

«Vindustitting»

geografisk

fjernsynsovervåking

Inspisere «kroppens hulrom»

kroppslig

biometri

Mobbing

psykisk

personlighetstester

Integritet Autonomi

Figur 1 Personvern beskrevet som private sfærer

1 Herunder skal personer som tilhører et hushold / en familie sammen kunne bestemme hvordan de skal leve innenfor et gitt geografisk område.

PERSONVERNFORORDNINGEN

Her opererer jeg altså med fem ulike private sfærer: Psykisk sfære handler om individenes selvfølelse og mentale tilstand. Kroppslig sfære gjelder personenes rett til å bestemme over egen kropp og friheten fra at andre krenker kroppslig integritet. Geografisk sfære betegner private områder der vi har forventning om å være i fred og å kunne bestemme selv. Folks hjem er viktigst, men også andre områder som hytter, biler, hager og annen grunneiendom kan hevdes å høre med til geografiske områder der det råder privatliv. Kommunikasjon mellom mennesker er det fjerde området i figuren. En måte å fremstille dette på er å forutsette at kommunikasjon mellom mennesker skal kunne skje i visse kommunikasjonskanaler,2 og at disse kanalene er beskyttet og noe kommunikasjonspartnerne bestemmer over. Den femte og siste sfæren kan beskrives som en «opplysningssfære», og handler om den enkeltes rett til å bestemme over opplysninger om egen person og krav på respekt for og beskyttelse av disse opplysningene slik at uvedkommende ikke får tilgang til dem. I venstre del av figuren er det en kolonne med eksempler på hvordan hver sfære kan tenkes å bli krenket. Poenget er at krenkelsene er handlinger som kan utføres uavhengig av teknologi. Brevbrudd og «vindustitting» kan sies å krenke personvernet, men er ikke betinget av IKT3 eller andre teknologiske hjelpemidler. Personvernforordningen, personopplysningsloven og annet lignende lovgivning4 regulerer ikke slike personvernkrenkelser i den fysiske verden.5 Denne lovgivningen er avgrenset til behandling av personopplysninger, og primært slike personopplysninger som foreligger i digital form og som derfor kan være gjenstand for automatisk behandling. Dette er illustrert på høyre side av figur 1. Til hver sfære på høyre side av figuren er det angitt noen handlinger som typisk utføres ved hjelp av digital teknologi, dvs. vi bruker apparater som genererer opplysninger fra de ulike sfærene fordi apparatene registrerer handlinger, hendelser, egenskaper mv. som sier noe om enkeltpersoner. Biometriske systemer (jf. f.eks. fingeravtrykk) leser for eksempel unike kjennetegn ved en person slik at en med veldig stor grad av sikkerhet kan identifisere og autentifisere personen. Kameraovervåking kan gi personbilder og dokumentere en persons handlinger og bevegelser. Kameraer kan også kombineres med annen teknologi, f.eks. biometri, slik at kameraene også gir mulighet til å identifisere personene

2 Se Elgesem 1996, s. 53. 3 Informasjons- og kommunikasjonsteknologi. 4 Se oversikten i avsnitt 1.2. 5 Flere av handlingene som er nevnt i venstre kolonne i figur 1, kan rammes av straffeloven. Merk imidlertid at straffeloven også gjelder for det digitale feltet. Se om dette særlig kapittel 21 i loven, «Vern av informasjon og informasjonsutveksling».

Kapittel 1: Innledning

det er bilde av.6 Krenkelse av privat kommunikasjon kan f.eks. skje ved kommunikasjonskontroll i form av avlytting.7 Den øverste sfæren i figur 1 gjelder behandling av personopplysninger, og forutsetter som nevnt en stor grad av rett til å bestemme over opplysninger om egen person, og høy grad av beskyttelse mot at uvedkommende får tilgang til dem.8 Dette omfatter i utgangspunktet alle personopplysninger. Pilene fra de fire nederste sfærene i figuren opp til sfæren for personopplysninger er ment å illustrere hvordan digital apparatur kan generere (digitale) personopplysninger som således inngår i sfæren for personopplysninger. Fordi veldig mange opplysninger fra de private sfærene kan genereres ved hjelp av ulik digital apparatur, blir personopplysningssfæren spesielt viktig: Store deler av menneskelivet i et moderne samfunn er digitalisert, og behandlingen av digitale opplysninger blir derfor avgjørende for personvernet. Høyre side av figur 1 kan også brukes til å illustrere at personopplysninger ikke bare – og kanskje heller ikke primært – handler om informasjon i form av ord/språk, men også kan forekomme på en lang rekke andre måter: Kameraovervåkingen gir levende bilde, eventuelt lyd, og biometri kan komme til uttrykk som treff/ikke treff i en base med lagrede biometriske mønstre. Andre typer apparatur enn de som er nevnt i figuren (f.eks. medisinske sensorer, bevegelsessensorer og GPS), vil også gi andre typer resultat enn tradisjonell informasjonen uttrykt på norsk eller et annet språk. Som jeg kommer tilbake til når jeg skal gjennomgå rettsreglene for behandling av personopplysninger, er begrepet personopplysning meget bredt, og det som finnes i sfæren for personopplysninger, er veldig variert. Det er for denne sfæren personopplysningslovgivningen gjelder. Personvernforordningen, personopplysningsloven og beslektede lover (jf. avsnitt 1.2) handler om beskyttelse av personopplysninger. På engelsk bruker vi «data protection» om denne delen av personvernet, og på norsk kan vi oversette det til personopplysningsvern.

6 For eksempel ved gjenkjenning av ganglag. 7 Husk at dette bare er noen få og små eksempler på hvordan vi kan krenke de fire private sfærene, plassert nederst i figuren. 8 Det er grunn til å stille spørsmål ved om det fremdeles er særlig grad av selvbestemmelse over egne personopplysninger. For det første vil en overfor offentlige myndigheter ofte være pålagt å gi opplysninger: Du kan ikke påberope deg autonomi og dermed nekte å gi inntektsopplysninger til skattemyndighetene! I mange andre relasjoner følger behandling av personopplysninger om deg som en nødvendig eller naturlig følge av andre valg du gjør. Fremdeles kan du kanskje unngå å etterlate deg «digitale spor» ved å velge analoge fremgangsmåter, men samfunnet blir stadig mer digitalisert, med den konsekvens at den som vil delta som «normal samfunnsborger», må godta at opplysninger om en selv blir registrert. Selv om rett til selv å bestemme over egne opplysninger formelt sett er i behold, er det trolig riktig å si at de sosiale kostnadene ved ikke å godta digital behandling av opplysningene dine blir stadig høyere.

PERSONVERNFORORDNINGEN

På bakgrunn av figur 1 kan vi oppfatte personopplysningsvernet som en (meget viktig) del av personvernet. Andre deler handler om privatliv for øvrig som ikke har med behandling av personopplysninger å gjøre, jf. «privacy» på engelsk.9

1.1.2 Kort lovgivningshistorikk

Hvordan har lovgiver ivaretatt folks personopplysningsvern opp igjennom årene? Da digitaliseringen av samfunnet begynte i 1960-årene, var det fra begynnelsen av en bekymring at «elektronisk databehandling» («edb») ville krenke folks privatliv og personvern. Dette var ikke bare et norsk fenomen, men en uro som ble vekket i flere andre land, og som førte til at Sverige som det første land vedtok sin «datalag» i 1973.10 I Norge førte diskusjonen først til en bred utredning av spørsmål om person i Selmer-utvalget som fra 1970 utredet problemfeltet elektronisk databehandling og «personlighetsvern» som det den gang ble kalt.11 Utvalgets arbeid munnet ut i en bok,12 som ble et viktig grunnlag for den videre utredningen av om hensynet til personvern begrunnet lovregulering.13 To etterfølgende lovutvalg14 vurderte spørsmålet: et utvalg for privat og et utvalg for offentlig sektor. Departementets konklusjon ble en lov som skulle gjelde for både privat og offentlig sektor. Personregisterloven ble vedtatt i 1978 og trådte i kraft i 1980, og var lenge den viktigste norske loven som gav folk personvern i forbindelse med behandling av personopplysninger ved hjelp av elektroniske hjelpemidler.15 Personregisterloven gjaldt i 20 år,16 frem til 2000. Loven var basert på krav til forhåndstillatelse (konsesjon) fra Datatilsynet for å kunne etablere digitale personregistre og registre som inneholdt sensitive personopplysninger. Gradvis ble det økte behov for slike registre, og etter hvert ble bruk av digitale personregistre en selvfølge. Dette førte til stadig større behov for konsesjoner. Datatilsynet «druknet» i konsesjonssøknader, og for å kunne håndtere den store pågangen ble

9 Betydningene av de engelske betegnelsene er heller ikke helt faste, men inndelingen i «data protection» / personopplysningsvern og «privacy protection» / beskyttelse av privatliv gir etter min mening en hensiktsmessig språkbruk. 10 Datalag 1973. 11 Begrepet «personvern» ble formulert av Knut S. Selmer i et foredrag i begynnelsen av 1970-årene, se Stensrud 2020 (boken er under utgivelse, sidetall ikke tilgjengelig). Inspirasjonen skal visstnok ha kommet da han syklet til foredraget gjennom Frognerparken. 12 Se Samuelsen 1972. 13 Se Stensrud 2020 (boken er under utgivelse, sidetall ikke tilgjengelig). 14 Sandvik-utvalget (NOU 1974: 22) og Seip-utvalget (NOU 1975: 10). 15 I dag vil mange foretrekke å bruke «digital» i stedet for «elektronisk». En årsak er at «elektronisk» også omfatter teknisk utstyr som ikke er digitalt, samtidig som det er den digitale teknologien som i første rekke utfordrer personvernet. 16 Lov av 14. mars 2000 nr. 31.

Kapittel 1: Innledning

stadig flere typer personregistre unntatt fra konsesjonsplikt i forskrift. Behandlingen av de gjenværende sakene ble i stor grad standardisert. I EU ble spørsmålet om personopplysningsvern utredet fra slutten av 1980årene, og prosessen endte med vedtakelsen av personverndirektivet i 1995.17 Tidligere hadde personvern vært regulert på internasjonalt nivå i form av OECDs retningslinjer om personvern fra 1980, og ved vedtakelsen av Europarådets personvernkonvensjon i 1981. Siden personverndirektivet var EØS-relevant, ble spørsmålet om Norge skulle implementere direktivet, utredet av et lovutvalg som la frem sitt forslag til en norsk personopplysningslov i 1997.18 Personopplysningsloven, som gjennomførte direktivet, ble vedtatt i 2000 og gjaldt frem til 2018. Da ble loven avløst av en ny personopplysningslov19 som fastsetter at EUs personvernforordning20 skal gjelde som norsk lov. Regulering av personvern i forordning i stedet for i direktiv har store konsekvenser. Med et direktiv kan hvert land selv finne ut hvordan direktivet skal gjennomføres i nasjonal rett. Resultatet blir gjerne nasjonale lover og forskrifter forfattet innenfor hvert lands retts- og lovgivningstradisjon. Riktignok legger direktiver klare føringer og bindinger på denne lovgivningen. For eksempel må de samme begreper og den samme systematikk mv. som i direktivet anvendes for å implementere direktivet på tilstrekkelig måte. Direktiver gir imidlertid uansett rom for nasjonale variasjoner og særpreg; bestemmelsene i hvert land blir likeartete, men ikke identiske. Det er nettopp denne nasjonale variasjonen som i EU ble oppfattet som et problem, og som var en viktig del av motivasjonen for å vedta nye personvernregler i form av en forordning. I motsetning til direktiver gjelder forordninger i EU direkte i alle medlemsland – dessuten i Norge når forordningen er tatt inn i EØS-avtalen. Det betyr at de samme bestemmelser gjelder «ord for ord» i alle disse landene, og skal i utgangspunktet tolkes og praktiseres likt i alle land. Som jeg kommer tilbake til, inneholder forordningen likevel mange små åpninger for nasjonal lovgivning, men dette endrer ikke det grunnleggende faktum at det er tale om felles europeiske bestemmelser som skal gjennomføres likt i alle land.

17 Direktiv 95/46/EF. 18 Skauge-utvalget (NOU 1997:19). 19 Lov om behandling av personopplysninger av 15. juni 2018 nr. 38. 20 Personvernforordningen ble vedtatt i 2016, etter at spørsmålet om endret regulering av personvernet i EU hadde vært utredet og diskutert i flere år, særlig fra 2012.

PERSONVERNFORORDNINGEN

1.1.3 Introduksjon av sentrale elementer i personopplysningsvernet

I det følgende vil jeg kort skissere noen grunntrekk ved måten behandling av personopplysninger er regulert på i personvernforordningen. Dette er bare en midlertidig fremstilling; senere i boken kommer jeg tilbake til alt i større detalj og presisjon.21 Når jeg velger å tjuvstarte og introdusere hovedelementer her, er det fordi jeg tror det øker muligheten for å forstå gjennomgangen av forordningen allerede fra og med begynnelsen av forklaringene som kommer i de følgende kapitler. For å forstå personvernforordningen er det hensiktsmessig å starte med en figur som angir hovedaktørene; se figur 2.22 Tilsynsmyndigheter

Registrert person

Behandlingsansvarlig

Figur 2 Forenklet oversikt over aktører i personvernforordningen

I figuren har jeg bare tatt med hovedaktørene. Hver av disse kan stå i en relasjon til andre aktører som bistår dem (jf. fullmektiger, samarbeidspartnere, kontraktsparter mv.). To av disse samarbeidspartnerne er databehandlere og personvernombud. Her nøyer jeg meg med å nevne dem; se for øvrig avsnittene 2.4 og 2.5. Registrert person («registrerte») er den som har krav på å få opplysninger om seg beskyttet, altså en fysisk person. Alle har krav på personvern, så vernet er ikke betinget av at personene er statsborger, europeer, voksen eller barn, myndig eller umyndig eller har annen spesiell status. På lignende måte som bestemmelsen i EMK art. 823 etablerer et universelt personvern, er alle vernet etter reglene for personvern i EU, uten diskriminering av særskilte grupper. Når personer har opplysninger om seg selv som de bruker i private og familiemessige sammenhenger (altså som del av privatlivet), vil opplysningene stort sett

21 En oversikt over hvordan viktige bestemmelser i forordningen kan virke sammen, finnes i avsnitt 1.4. 22 Figuren vil bli utdypet i figur 4, se avsnitt 2.1. 23 Den europeiske menneskerettighetskonvensjonen.

Kapittel 1: Innledning

ikke komme inn under personvernregelverket. Spørsmål om personopplysningsvern oppstår når noen andre enn de opplysningene handler om, behandler opplysningene. Disse «noen» kan være virksomheter eller enkeltmennesker. Poenget er at de samler inn opplysninger om andre personer for å bruke opplysningene til formål de har. Disse som behandler personopplysninger om andre, kalles behandlingsansvarlige. Behandlingsansvarlige behandler med andre ord personopplysninger om registrerte personer for å oppnå noen formål som den behandlingsansvarlige har satt seg fore. Slike formål kan være helt ukontroversielle, noe de aller fleste registrerte personer vil si seg enig i, f.eks. slik at forretningsdrivende har basisopplysninger om sine faste kunder, og at vegmyndighetene har registrert hvem som er eiere av kjøretøy og hvem som har rett til å kjøre personbil. For andre formål kan det imidlertid være større uenighet, f.eks. om hvilke opplysninger barnehager og grunnskoler skal kunne samle inn om barna, og hvor lenge de skal kunne beholde dem. Enda mer kontroversielt, med enda større mulighet for konflikt, kan det f.eks. være dersom helsevesenet ønsker adgang til å bruke helseopplysninger til forskning, kvalitetsarbeid og effektiv administrasjon, uten at det er begrunnet i den enkelte pasients behov. «Datalagring», i betydningen lagring av teledata for å sette politiet i stand til å utføre mer effektiv etterforskning; «digitalt grenseforsvar» og etterretningstjenestens mulighet til å overvåke all telekommunikasjon som krysser landegrensene; og politiets adgang til romavlytting og dataavlesning i/av private hjem mv., er eksempler på formål med spesielt høyt konfliktnivå og uenighet om behandlingsansvarliges behandling av personopplysninger. Behandlingsansvarlige kan være alt fra obskure personer eller virksomheter som ønsker å behandle personopplysninger for lite aktverdige formål, til seriøse offentlige myndigheter som behandler opplysninger på måter som de fleste anser som nødvendig i et ordnet samfunn. Et annet spenn med store forskjeller er det mellom store globale selskaper som har kloden som markedsplass og som lever av å analysere hvordan personer agerer på ulike digitale plattformer og fora mv., og små markedsaktører som selger ordinære varer og tjenester til et begrenset marked. Jeg kunne ha spesifisert et utall av ulike mulige relasjoner mellom registrerte personer og behandlingsansvarlige. Poenget er at veldig mye av menneskers liv og samfunn innebærer en eller annen form for behandling av personopplysninger som de registrerte personene ikke har (full) kontroll over. På en måte er det «farlig» å nevne eksempler, fordi det kan få noen til å tro at feltet er begrenset til det eksemplene illustrerer. Personvernforordningen gjelder alle mulige slags relasjoner mellom registrerte og behandlingsansvarlige.24

24 Noen viktige unntak kommer jeg tilbake til i avsnitt 1.6.

PERSONVERNFORORDNINGEN

Det sier seg selv at det er stor forskjell på en offentlig myndighet som behandler personopplysninger for åpenbare og legitime samfunnsnyttige formål, og andre aktørers formål når formålet er knyttet til egen økonomisk gevinst eller fremme av særinteresser. Ikke desto mindre regulerer personvernforordningen hele denne store bredden. Da sier det seg selv at rettsreglene må bli temmelig abstrakte og generelle, og at lovgiver umulig kan angi hva som er lovlig i det og det tilfellet. Derfor fastsetter forordningen generelt hva som må vurderes, den stiller krav til innholdet av vurderingene og hvordan vurderingene skal skje, og lignende. Forordningen krever f.eks. at en behandlingsansvarlig må påvise at han har rett til å behandle visse typer personopplysninger (jf. krav til rettslig grunnlag), han må angi hvilke opplysningstyper han vil behandle, klargjøre hva han skal bruke opplysningene til (formål), sørge for at opplysningene har den nødvendige kvaliteten, og sikre opplysningene mot tilgang for uvedkommende, mot at uvedkommende endrer opplysningene, at de er tilgjengelige for den bruken de er innsamlet for, og så videre! Store og viktige deler av personvernforordningen handler om grunnleggende vilkår for å kunne behandle personopplysninger om andre på en lovlig måte, og nærmere krav til hvordan denne behandlingen skal skje. Disse reglene inneholder ingen absolutte forbud, kun anvisning på fremgangsmåter.25 Riktignok kan kravene til fremgangsmåter være så praktisk og økonomisk krevende og innebære så store begrensninger av hva som vil være lovlig å gjøre, at det forhindrer at behandlingen kan settes i gang som ønsket. Hvis det kreves samtykke fra en rekke personer en ikke har kontaktopplysninger til, kan det være uråd å etterleve kravet. Det kan også være at skjønnsmessige avveininger ikke faller ut i den behandlingsansvarliges favør, slik at den planlagte behandlingen ikke kan skje. Personvernet anses f.eks. å være viktigere enn de interesser den behandlingsansvarlige mener bør gi ham rett til å bruke opplysningene.26 Bestemmelsene gir med andre ord få klare «ja» eller «nei», men er i utpreget grad vurderingspregede med rom for å kunne argumentere for ønskede løsninger. Store og viktige deler av forordningen handler om krav som behandlingsansvarlige må følge, og vurderinger som behandlingsansvarlige må foreta, herunder retningslinjer for hvordan slike vurderinger skal skje. En behandlingsansvarlig som ønsker å utvide bruken av opplysninger utover de formål han i utgangspunktet planla, skal blant annet ta hensyn til momentene som er angitt i artikkel 6(4): Plikten gjelder hva som skal vurderes, men momentene determinerer ingen bestemte resultater. Kombinasjonen av stor kompleksitet og ofte vurderingspreget og skjønnspreget innhold gjør at det ofte er svært vanskelig å være 25 Jf. dog art. 9(1) om særlige kategorier opplysninger, se avsnitt 3.4.5.1. 26 Jf. rettslig grunnlag etter artikkel 6(1)(f ).

Kapittel 1: Innledning

sikker på at en har forstått bestemmelsene riktig slik at etterlevelsen blir lovlig. Generell veiledning blir gitt av datatilsynsmyndighetene på deres nettsider, men konkrete vurderinger er det vanskelig å oppnå uten at det foreligger en konfliktsituasjon slik at det blir truffet vedtak i saken. Ikke sjelden vil det derfor være stor grad av usikkerhet knyttet til om forordningen er forstått på riktig måte, og om skjønn er utøvet på en måte som tilsynsmyndigheten vil godta. Og bakom truer overtredelsesgebyrene …27 Som figur 2 illustrerer, gjelder viktige deler av den rettslige reguleringen samspillet mellom registrerte personer og den behandlingsansvarlige. Behandlingsansvarlige har som nevnt en rekke plikter til å følge bestemte fremgangsmåter mv. På den annen side har den registrerte rettigheter, f.eks. rett til innsyn og rett til å kreve opplysninger om seg slettet. Ofte vil rettighetene gjelde forhold som også er omfattet av plikter: En behandlingsansvarlig skal f.eks. på visse vilkår slette opplysninger uten at noen ber ham om det. På den annen side har registrerte personer rett til å kreve at opplysninger om dem blir slettet. En registrert person som ser at opplysninger om seg er uriktig, kan kreve at opplysningen blir rettet, men den behandlingsansvarlige kan selvfølgelig ikke lene seg tilbake og vente på at registrerte finner feil; han må selv aktivt sikre at feil ikke forekommer, og rette feil han måtte finne. Den siste aktøren som er tatt med i figur 2, er tilsynsmyndigheten. Løpende tilsyn i Norge utføres av Datatilsynet. Dersom en registrert mener at den behandlingsansvarlige ikke etterlever plikter eller gir rettigheter slik de skal, kan den registrerte bringe saken inn for Datatilsynet til avgjørelse. Datatilsynet skal på sin side bl.a. følge med på om behandlingsansvarlige følger forordningens og lovens krav, og eventuelt treffe enkeltvedtak og gi pålegg om endringer i måten personopplysninger blir behandlet på. Datatilsynsmyndighetene i Norge og i andre land har også en rekke andre oppgaver; blant annet skal de informere om hvilke regler som gjelder, og de opptrer f.eks. som «påvirkningsagent» og høringsinstans som ledd i behandlingen av lover og forskrifter mv. som berører personvernet. Uenigheter mellom registrerte personer og den behandlingsansvarlige og mellom en behandlingsansvarlig og Datatilsynet kan avgjøres ved at Datatilsynet treffer enkeltvedtak i saken. Slike vedtak kan bringes inn for klageinstansen Personvernnemnda. Videre rettslig prøving kan skje ved domstolene. En rekke bestemmelser i personvernforordningen gjelder hvilken kompetanse og hvilke oppgaver nasjonale tilsynsmyndigheter innen EU har, og hvordan

27 Se avsnitt 9.3.

PERSONVERNFORORDNINGEN

de skal samarbeide for å oppnå mest mulig enhetlig praktisering av bestemmelsene i forordningen. Jeg vil til slutt i denne korte oversikten nevne et skille en kan gjøre mellom «systembestemmelser» og andre bestemmelser i forordningen. Systembestemmelser er ikke en betegnelse som brukes i forordningen, men er likevel en viktig kategori bestemmelser. Poenget er at flere bestemmelser i forordningen stiller krav til hvordan det generelle opplegget for behandling av personopplysninger skal være. Slike behandlingsopplegg vil ofte ta form av et (mer eller mindre) automatisk informasjonssystem. Derfor kan det være hensiktsmessig å kalle bestemmelser som stiller generelle krav til slike behandlingsopplegg, for systembestemmelser. Når jeg tidligere har omtalt krav til formål, rettslig grunnlag og sikring av personopplysninger, handler det nettopp om generelle krav til de informasjonssystemene som behandler opplysningene. Slike bestemmelser har også betydning i enkeltsaker; en registrert person kan for eksempel påstå at det ikke eksisterer et rettslig grunnlag for å behandle personopplysninger om seg. Det primære er imidlertid om kravene er overholdt på systemnivå, dvs. om det generelle behandlingsopplegget er slik at ingen registrerte personer får grunnlag for å hevde at noe ved behandlingen av personopplysninger er ulovlig! Et annet eksempel på systemkrav er bestemmelsen i artikkel 25 om innebygd personvern. Dette er blant annet krav om at personvernprinsipper og -regler skal nedfelles i / bygges inn i selve systemløsningen, noe som vil øke sjansene for etterlevelse. Se nærmere om dette i avsnitt 6.3.

1.2

OM INNHOLD OG KILDEBRUK I DENNE BOKEN

Paragraf 1 i personopplysningsloven 2018 bestemmer at EUs personvernforordning gjelder som norsk lov. I personopplysningsloven ble det dessuten gitt bestemmelser som bruker noen av de mange adganger forordningen gir til å gi nasjonale bestemmelser.28 I denne boken vil jeg konsentrere meg om en gjennomgang av selve forordningen. På utvalgte punkter vil jeg også trekke inn personopplysningsloven 2018 og annen norsk lovgivning. Personvernforordningen er et omfattende, komplekst og ordrikt dokument som det er vanskelig å formidle innholdet av på en kortfattet måte. Dette har flere konsekvenser for opplegget i boken: Det er deler av forordningen som jeg nøyer meg med å gi en oversikt over, uten å drøfte enkeltheter. Dette gjelder bl.a. bestemmelser om hvordan datatilsynsmyndighetene skal samarbeide, 28 I tillegg ble det gjort endringer i en rekke andre lover for å bringe disse i samsvar med forordningen.

Kapittel 1: Innledning

og bestemmelsene om godkjente adferdsnormer og sertifisering. En del av bestemmelsene i forordningen henvender seg til statene ved å sette rammer for nasjonal lovgivning. Slike bestemmelser blir ikke systematisk gjennomgått, bare kort kommentert. De bestemmelser som gjelder grunnleggende vilkår for lovlig behandling av personopplysninger, registrerte personers rettigheter samt behandlingsansvarliges og databehandleres plikter, blir behandlet med størst grundighet. Denne vektleggingen gjør at boken har et klart tyngdepunkt på de første fem kapitlene av forordningen. Samlet sett dekker imidlertid fremstillingen hele forordningen. Jeg prøver å gå inn i sentrale tolkningsspørsmål uten å fortape meg i detaljer. Selv om jeg behandler bestemmelsene i forordningen på relativt dekkende måter, er det så mange enkeltheter det kan være usikkerhet ved, at jeg umulig kan drøfte alt uten å drukne leseren i spørsmål som i de fleste situasjoner vil fremstå som fjern teori og uvesentligheter. Jeg har altså valgt ut det jeg – generelt sett – antar vil være mest vesentlig. Dette er ikke en lovkommentar. Selv om flere bestemmelser vil bli forklart og drøftet i den rekkefølge de står i forordningen, vil jeg også legge vekt på å fremheve sammenhenger på tvers av slike rekkefølger. Dette gjelder f.eks. flere bestemmelser som har nesten identisk innhold, og formuleringer som går igjen i flere bestemmelser. Forhåpentligvis vil resultatet gi et litt mindre fragmentarisk bilde enn hva forklaringer av bestemmelsene én for én ville ha gitt. Også innenfor enkeltbestemmelser vil jeg av og til bryte med rekkefølgen av regelelementene. Generelt prøver jeg å gi «oppskrifter» ved så langt som mulig å forklare regelfragmentene i den rekkefølgen de må eller bør anvendes for å komme frem til rettslig holdbare resultater. Forordningen består av mange vage og skjønnsmessige ord og uttrykk. Høsten 2019 var det ennå ikke mange rettskilder å støtte seg på for å dechiffrere teksten. Med forordninger følger det ikke forarbeider som forklarer bestemmelsene, slik som for norske lover. Fortalen kan gi noe veiledning om hvordan bestemmelsene skal forstås, men gjennomgående gir den lite avklaring. Fortalen skal primært gi presiseringer av og begrunnelser for viktige bestemmelser i forordningen, og uttrykker ikke selvstendige rettsregler.29 Derfor har fortalen begrenset betydning for å redusere usikkerhet om forståelsen av bestemmelsene.

29 Jf. EU, Joint practical guide of the European Parliament, the Council and the Commission for persons involved in the drafting of European Union legislation (2016), punkt 11, der det heter at «[t] he purpose of the recitals is to set out concise reasons for the chief provisions of the enacting terms, without reproducing or paraphrasing them. They shall not contain normative provisions of political exhortations».

PERSONVERNFORORDNINGEN

I tiden fremover vil det utvikle seg en praksis i alle land innen EØS.30 Det vil imidlertid ta lang tid før vi får en koordinert, felles praksis med autoritative, enhetlige forståelser. Denne boken er skrevet uten at jeg har undersøkt hva praksis i ulike EØS-land er. Kun avgjørelser i EU-domstolen vil etter min mening være klart autoritative, dvs. ha avgjørende betydning for tolkningen. I tillegg er en rekke andre kilder relevante. Datatilsynets og andre nasjonale tilsynsmyndigheters oppfatninger har selvsagt vekt og må tas hensyn til. Hvor stor vekt avhenger imidlertid av det konkrete dokumentet. En god del dokumenter er utarbeidet med tanke på å formidle et komplisert innhold til diverse behandlingsansvarlige, databehandlere, registrerte og andre. Det kan gjøre at hensynet til forståelighet og ønsket om å unngå å gjøre stoffet vanskeligere enn nødvendig fører til at nyanser og mulige diskusjoner blir borte. En kan heller ikke ta det for gitt at alle tilsynsmyndigheter har like oppfatninger om alle rettsspørsmål, og det er ikke realistisk å undersøke hva alle slike myndigheter mener om et spørsmål. Språkbarrierer og arbeidsmengde setter derfor klare begrensninger for hvor stor vekt nasjonale myndigheters oppfatninger kan gis. Nasjonale klagemyndigheters avgjørelser vil normalt ha større vekt enn nasjonale tilsynsmyndigheters generelle tolkninger. Personvernnemndas klageavgjørelser vil typisk ha større vekt enn f.eks. Datatilsynets vedtak og veiledninger mv. Den tidligere såkalte Artikkel 29-gruppen31 ga retningslinjer om hvordan de mente forordningen skulle tolkes. Senere har Det europeiske personvernrådet (Personvernrådet) gitt sin tilslutning til flere slike uttalelser og gjort dem tilgjengelige på sine hjemmesider. Jeg har valgt å referere til disse som Personvernrådets oppfatning,32 og ikke kun som retningslinjer fra den nå «forhistoriske» Artikkel 29-gruppen. Den rettskildemessige betydningen er basert på Personvernrådets revisjon og godkjenning av retningslinjene. De retningslinjer jeg har anvendt, er enten reviderte og godkjente av Personvernrådet eller gitt av Personvernrådet direkte. Jeg anser i utgangspunktet retningslinjene for å ha forholdsvis stor rettskildemessig vekt, men viser bare aktivt til retningslinjene på enkelte utvalgte punkter. Mine egne oppfatninger samsvarer i stor grad med retningslinjene, men generelt er jeg nok ofte noe mer i tvil enn det anbefalingene i retningslinjene gir uttrykk for. Ganske ofte bruker jeg ord som «trolig» og «neppe» for å markere tvil. Uansett 30 Merk at EØS betegner alle land i EU pluss tre av fire medlemsstater i Det europeiske frihandelsforbund (EFTA), dvs. Island, Liechtenstein og Norge (men ikke Sveits). 31 «Arbeidsgruppe for personvern i forbindelse med behandling av personopplysninger». Gruppen var et rådgivende organ i samsvar med personverndirektivet (direktiv 95/46/EF), artikkel 29. Gruppen ble nedlagt da direktivet ble erstattet av forordningen og Personvernrådet ble opprettet, jf. PVF artikkel 68 flg. 32 Dvs. til «Det europeiske personvernrådet /Artikkel 29-gruppen».

Kapittel 1: Innledning

er det adskillig nytte i retningslinjene, og de kan med fordel leses parallelt med og i tillegg til denne boken. Jeg ser likevel ikke retningslinjene som «fasit». Det er særlig to refleksjoner som begrunner at det er vanskelig alltid å legge Personvernrådets retningslinjer til grunn for anvendelsen av forordningen. For det første er Rådet en personvernmyndighet, som består av representanter for nasjonale tilsynsmyndigheter, jf. artikkel 68(3). Oppnevning og sammensetning kan gjøre rettsanvendelsen og skjønnsutøvelsen mer «personvernvennlig» enn standpunktene en domstol vil innta. For det andre er retningslinjene svært detaljerte og har ofte preg av utfyllende regler snarere tolkninger. Personvernrådet er ikke lovgiver. Når personvernforordningen skal tolkes, er det ikke uvanlig at rettsanvendere påberoper seg avgjørelser og tolkningsuttalelser som er knyttet til det nå opphevede personverndirektivet (95/46/EF) og tidligere nasjonal lovgivning. Resonnementet synes å være at personvernforordningen er en videreføring av personverndirektivet og derfor har rettskildemessig relevans og vekt. Selv om det stemmer at mye av forordningen kan ses som en videreføring av direktivet, så vel systematisk som innholdsmessig og begrepsmessig, er det likevel mange store og små forskjeller. Ikke minst er ordlyden stort sett en annen enn i direktivet, og det er en rekke nye bestemmelser. Dermed kommer også kjente bestemmelser inn i en ny tolkningsmessig sammenheng. Selv om samme type bestemmelse både var del av direktivet og er del av forordningen, og det rettslige innholdet hovedsakelig synes å være det samme, vil både ordlyden og den rettslige sammenhengen ofte være forskjellig. Det er da vanskelig å bruke rettskilder knyttet til en tidligere ordlyd når en skal drøfte den aktuelle ordlyden i forordningen. Det kan være mulig å bruke rettskilder knyttet til personverndirektivet, men det vil ofte kreve mye analyser før en kan begrunne at den gamle rettskilden bør tillegges vekt. Jeg har stort sett latt være å bruke avgjørelser mv. som gjelder personverndirektivet og rettskilder knyttet til personopplysningsloven 2000, for å forstå den aktuelle forordningen. Det er etter hvert en omfattende faglitteratur om forordningen. Meningene er mange, og ikke sjelden sprikende. Det ville vært en uoverkommelig oppgave å lese all litteratur på området før jeg selv tar standpunkt, og uansett vil ikke slike meninger alene ha rettskildemessig vekt.33 Jeg har primært brukt litteratur for å bli klar over mulige synsmåter og divergerende syn. Slike meningsforskjeller har vært bakgrunn for å gjøre enkelte mer dyptgående rettskildevurderinger. I den følgende teksten har jeg valgt å sette inn en rekke referanser til forordningen i selve brødteksten. Noen synes kanskje dette sjenerer lesingen. 33 Blant norske utgivelser vil jeg særlig nevne Bergseng Skullerud m.fl. 2018, Wessel-Aas og Ødegaard 2018, og Jarbekk og Sommerfeldt 2019.

ISBN 978-82-450-3387-8

,!7II2E5-addihi!

Dag Wiese Schartum

- EN LÆREBOK