Personverndirektivet: behandling av personopplysninger

Ansvarlig departement: Samferdselsdepartementet

Sakstype: Direktiv

Behandlende organ: Ferdigbehandlet

Saksområde: IT, telekom og medier: personvern (del av EØS-avtalens vedlegg 11)

BAKGRUNN (fra St.prp. nr. 34 (1999-2000)

Ved EØS-komiteens beslutning nr. 83/1999 av 25. juni 1999 ble europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), tatt inn i EØS-avtalens vedlegg XI om telekommunikasjonstjenester. Samtidig ble EØS-avtalens protokoll 37 endret til også å omfatte EFTA-statenes deltakelse i den arbeidsgruppen som personverndirektivet oppretter for å gi råd til Kommisjonen i ulike spørsmål knyttet til behandling av personopplysninger.

Europakommisjonen la i 1990 fram et forslag til direktiv med det formål å sikre et høyt beskyttelsesnivå for personer i forbindelse med behandling av personopplysninger. Etter å ha behandlet forslaget i 1992 kom Europaparlamentet med en rekke endringsforslag, og Kommisjonen la i oktober 1992 fram et revidert utkast. Utkastet ble behandlet i en arbeidsgruppe under Rådet, der Norge deltok på møtene fra 1. juli 1994 og fram til folkeavstemningen 28. november samme år. Rådet kom frem til en felles holdning 20. februar 1995. Forslaget til direktiv ble ferdigbehandlet av Europaparlamentet 15. juni 1995 og ble endelig vedtatt 24. oktober 1995. Medlemsstatene har hatt en frist på tre år fra direktivets vedtakelse til å sette de nødvendige lover og administrative bestemmelser i kraft.

Personverndirektivet har som siktemål å etablere felles reguleringsprinsipper og et ensartet vern for behandling av personopplysninger i hele EU-området. Direktivet skal sikre fysiske personers grunnleggende rettigheter og friheter, spesielt retten til privatlivets fred, i forbindelse med behandling av personopplysninger (jf. artikkel 1). Samtidig har direktivet som formål å sikre fri utveksling av personopplysninger mellom medlemsstatene.

EØS-komiteens beslutning og direktivet i norsk oversettelse følger som trykte vedlegg. Forslag til lovendringer for å gjennomføre beslutningen er forelagt Stortinget ved Ot. prp. nr. 92 (1998-99) om lov om behandling av personopplysninger. Stortinget inviteres gjennom denne proposisjonen til å samtykke til godkjenning av EØS-komiteens beslutning.

Forholdet til norsk rett
Direktivet nødvendiggjør endringer i norsk personregisterlovgivning på en del punkter. Det vil bl. a. være nødvendig å gi lovgivningen et videre virkeområde i forhold til personopplysninger som behandles elektronisk. Det må også gis mer utførlige lovbestemmelser om hvordan personopplysninger kan behandles. Avgrensningen av sensitive personopplysninger må utvides til også å omfatte opplysninger om fagforeningstilhørighet. Reglene om innsyn i personopplysninger må utvides, og det må innføres regler som pålegger de behandlingsansvarlige å varsle de registrerte når personopplysninger om dem innhentes. Det må gis særlige regler om rett til innsyn i og manuell overprøving av avgjørelser som har vesentlig betydning for den registrerte og som fullt ut er basert på automatisk behandling av opplysninger om visse personlige forhold. Det må oppstilles mer detaljerte regler enn i dag for å overføre personopplysninger til utlandet. Direktivet forutsetter at det innføres en bredt anlagt meldeplikt til tilsynsmyndigheten for alle som behandler personopplysninger, og vil derfor kreve at man i en viss utstrekning legger om dagens konsesjonsordning. Det må gis regler om erstatning bygget på et skyldansvar med omvendt bevisbyrde, som trolig også bør gi rett til å kreve erstatning for ikke-økonomisk tap (oppreisning). Kravet om en fullstendig uavhengig tilsynsmyndighet gjør det nødvendig å overføre klager over Datatilsynets avgjørelser fra Justisdepartementet til et uavhengig klageorgan. De nødvendige endringene er foreslått gjennomført i Ot. prp. nr. 92 (1998-99) om lov om behandling av personopplysninger, som er utarbeidet med bakgrunn i Skaugeutvalgets utredning NOU 1997: 19 Et bedre personvern.

Som det også er redegjort for i Ot. prp. nr. 92 (1998-99) om lov om behandling av personopplysninger, inneholder ikke direktivet noen uttrykkelig regulering av forholdet mellom behandlingsreglene i direktivet og innsynsregler som følger av offentlighets- og forvaltningslovgivningen. I punkt 72 i fortalen heter det at direktivet gir mulighet for at det ved gjennomføringen av direktivets bestemmelser kan tas hensyn til prinsippet om innsyn i offentlige dokumenter. Bl. a. med bakgrunn i denne uttalelsen er det naturlig å legge til grunn at direktivet ikke gjør det nødvendig å begrense den innsynsretten som følger av offentlighetsloven. Reglene om innsynsrett i artikkel 12 vil tvert i mot gi mulighet for innsyn i andre personopplysninger enn det som i dag kan kreves etter offentlighetslovens og forvaltningslovens regler. Artikkelen gir den registrerte krav på innsyn i alle de opplysningene om vedkommende som behandles elektronisk eller som inngår i et manuelt register, uten hensyn til om den registrerte er å anse som en part i en forvaltningssak eller om opplysningene er samlet i én eller flere saker. I medhold av bokstav a første strekpunkt vil det også være mulig å få vite hvor opplysningene vil bli videresendt.

Administrative og økonomiske konsekvenser
For dem som behandler personopplysninger vil utvidet innsynsrett og nye varslingsregler kunne medføre visse meromkostninger, uten at det er mulig å tallfeste disse konkret. Det vil også påløpe utgifter til utvikling og etablering av et system hos Datatilsynet for registrering og behandling av meldinger fra de behandlingsansvarlige. Det samme gjelder opprettelse og drift av et uavhengig organ til å behandle klager over Datatilsynets vedtak. Det er redegjort mer konkret for disse omkostningene i Ot. prp. nr. 92 (1998-99) om lov om behandling av personopplysninger.