Høring – Ny personopplysningslov – gjennomføring av personvernforordningen i norsk rett

25. august 2017

Høringsuttalelse - Ny personopplysningslov- gjennomføring av personvernforordningen i norsk rett 

Justis- og beredskapsdepartementet

Vår ref.: 17/3982
Dato: 17.10.2017

Vi viser til Justis- og beredskapsdepartementets høringsnotat av 6. juli 2017 vedrørende forslag til ny personopplysningslov for gjennomføring av personvernforordningen i norsk rett. Forslaget har vært til intern høring i alle foreningsledd, og er behandlet av Sentralstyret i Legeforeningen.

Overordnet
Legeforeningen er i alt det vesentlige positiv til lovforslaget fordi det styrker personvernet, samtidig som det i stor grad ivaretar en fornuftig og hensiktsmessig behandling av personopplysninger når det er nødvendig.

Vi oppfatter at det er begrenset rom for å komme med innspill til lovforslaget, da forslaget i all hovedsak innebærer en direkte implementering av EUs personvernforordning, hvor det er lite nasjonalt spillerom. Likevel er det slik at forordningen dels pålegger og dels åpner for at medlemslandene fastsetter nasjonale regler som utfyller, presiserer og gjør unntak fra forordningen. Legeforeningen har enkelte innspill til det lovforslaget som er fremlagt.

Etter vår oppfatning bærer lovforslaget på flere punkter preg av manglende utredning, og at man lar nødvendig utredning for lovarbeidet i for stor grad være opp til høringsinstansene. Det vises særlig til bestemmelsene i artikkel 6 og 9 i forordningen, som gjelder grunnlag for behandling av henholdsvis personopplysninger og sensitive personlysninger. Det fremgår her at behandlingen krever supplerende grunnlag i nasjonal lov, og departementet har bedt om innspill på tilfeller som i dag kan forankres i de aktuelle rettsgrunnlag, men som ikke har grunnlag i særskilt nasjonal lov. Vi oppfatter at behandling av helseopplysninger i forbindelse med medisinsk diagnostikk og helsehjelp, samt behandling av helseopplysninger i forskning, i alt det vesentlige har grunnlag i helselovgivningen og helseforskningsloven/ helseregisterloven. Det er imidlertid utfordrende å gjøre en konkret vurdering av behandlingsgrunnlagene. Dette ville nødvendiggjøre en fullstendig oversikt over all behandling av helseopplysninger, samt en fullstendig oversikt over regelverket. Vi mener at HOD er nærmest til å foreta disse vurderingene gjennom en gjennomgang av helselovgivningen, og vi forstår at det på nåværende tidspunkt pågår et arbeid her. En konsekvens av at disse gjennomgangene ikke allerede er gjort kan være at høringsinstanser mangler oversikten til å gi gode og konkrete innspill. En slik svakhet i prosessen er noe man må ta høyde for i det videre arbeidet.

Overordnet vil vi poengtere betydningen av at behandling som utføres i dag under gjeldende lovgivning ikke utilsiktet forhindres eller vanskeliggjøres ved implementeringen av forordningen. Vi vil også poengtere at det nye regelverket vil kreve betydelige ressurser for å sikre etterlevelse blant virksomheter i helsetjenesten. Så lang foreligger ingen analyse av økonomiske og administrative konsekvenser knyttet til dette arbeidet.

Videre vil vi fremheve viktigheten av at Datatilsynet gis ressurser og mandat til å yte tilstrekkelig veiledning, både i perioden frem mot ikrafttredelse og i perioden etter. Vi oppfatter at det er stort behov for veiledning. Et eksempel kan være klarere veiledning knyttet til hvilke virksomheter som må ha et personvernombud, hvor vi oppfordrer til at Datatilsynet her må ha ressurser og mandat til å kunne gi klare svar på konkrete henvendelser. Vi vil også understreke behovet for at det sikres tilstrekkelig ressurser og kompetanse til etterlevelse og oppfølging innenfor helsesektoren, særlig for mindre virksomheter.

Lovforslagets tilgjengelighet
Personopplysningsregelverket er allerede et komplisert rettsområde, med strenge myndighetskrav. Vi ser også i dag at det er vanskelig tilgjengelig for små bedrifter som ikke har spesiell kompetanse på området. Lovforslaget gjør disse utfordringene større.

Lovforslaget bidrar etter vår oppfatning til at personvernregelverket blir mindre tilgjengelig for allmennheten. Dette kommer som en konsekvens av at store deler av lovforslaget er en direkte implementering av en EU forordning, som avviker betydelig fra det som vil regnes som alminnelig norsk lovgivningsteknikk. Dette forsterkes ved at et fåtall supplerende og utfyllende bestemmelser er gitt som nasjonale bestemmelser. Når forordningen er gjort til norsk lov gjennom en henvisningsbestemmelse, og med et fåtall bestemmelser som skal supplere dette, blir det et svært lite tilgjengelig regelverk for andre enn de med spesialkompetanse innenfor personvern. Dette oppfatter vi at står i strid med noe som må være et av målene bak de nye reglene, som nettopp er større bevissthet rundt personvern i alle virksomheter. Et spørsmål er hvordan denne utfordringen kan løses.

Departementet erkjenner de pedagogiske utfordringene med at personopplysningslovens regler dels vil følge av den inkorporerte forordningen og dels av de nasjonale bestemmelsene, men det fremgår under punkt 3 i høringsnotatet at de «kan ikke se at EØS-avtalen åpner for å gjennomføre forordningen ved å gjengi eller omskrive forordningens regler i det norske regelverket («transformasjon»)". Vi er usikre på om det er slik at det ikke vil være mulig å omskrive forordningens regler inn i en norsk lov. Det vises i den forbindelse til fortalens punkt 8:

"Når det i denne forordning fastsettes at det kan innføres presiseringer eller begrensninger av dens regler gjennom medlemstatenes nasjonale rett, kan medlemsstatene, i den grad det er nødvendig av hensyn til sammenhengen og for å gjøre nasjonale bestemmelser forståelige for de personer de får anvendelse på, innarbeide elementer fra denne forordning i sin nasjonale rett."

Etter vår oppfatning kan fortalens tekst nettopp tyde på at det er anledning til å innarbeide deler av forordningen i norsk lov. Dette kan eksempelvis være hvor det er rom for og foreslått særskilte unntak i nasjonal lov, og hvor en innarbeiding av nasjonal lovtekst vil være nødvendig for sammenhengen. Et eksempel er reglene om behandlingsgrunnlag i artikkel 6 og 9. Dette er regler som er svært sentrale, hvor hovedregelen kun finnes i forordningen og enkelte særskilte reguleringer fremgår av den norske lovteksten.

Det vises også til det danske lovforslaget til databeskyttelseslov. Her forstår vi at enkelte regler fra forordningen er omskrevet, og deretter supplert med eventuelle nasjonale unntak. Dette kan bidra til at loven blir lettere tilgjengelig enn det norske lovforslaget. Vi ber departementet vurdere om det er hensiktsmessig å gjengi særlig noen av de viktigste materielle bestemmelsene i forordningen i en enklere form direkte i ny personopplysningslov. Vi erkjenner også at det er enkelte utfordringer med dette, da personopplysningsforordningen og praksis fra EU uansett vil være den primære rettskilden og gå foran ved eventuell motstrid.

Dersom departementet velger å beholde lovutkastet i den form som er foreslått, med alle forordningens regler implementert som sådan og uten noen gjengivelse, er det etter vår oppfatning helt sentralt at de pedagogiske utfordringene løses på annen måte. Dette kan være veiledere og evt. annen involvering fra Datatilsynet. Bransjenormer godkjent av Datatilsynet vil også kunne ha en viktig funksjon i klargjøringen av regelverket. Dette fordrer et effektivt og godt samarbeid med Datatilsynet, herunder at det avsettes ressurser i tilsynet som legger til rette for et effektivt samarbeid.

Anvendelsesområde
Forordningen gjelder etter sin ordlyd ikke for det som faller utenfor EØS-avtalens virkeområde. Legeforeningen er enig med departementet når det foreslås at forordningens regler skal gis anvendelse også utenfor EØS-avtalens virkeområde. Det ville by på en rekke utfordringer å operere med to ulike regelsett for behandlinger som omfattes av og behandlinger som faller utenfor EØS-avtalens virkeområde.

Fagforeningsopplysninger
Opplysninger om at noen er medlem i en fagforening regnes som en sensitiv personopplysning. Det gjelder dermed samme vilkår for behandling av opplysninger om fagforeningsmedlemskap som andre sensitive personopplysninger, for eksempelvis helseopplysninger. I Norge vil informasjon om medlemskap i en fagforening som hovedregel oppfattes som en mindre sensitiv opplysning enn eksempelvis helseopplysninger. Departementet bør vurdere om det skal gis særskilte regler for behandling av opplysninger om fagforeningsmedlemskap. Vi antar at det vil være grunnlag i artikkel 88 (som gjelder ansettelsesforhold) for en slik særskilt regulering.

Etter dagens regelverk har man lagt til grunn at sensitive personopplysninger, herunder fagforeningsmedlemskap, som sendes på e-post må krypteres. Dette innebærer i praksis at all kommunikasjon med medlemmet må krypteres, noe som må regnes å være uforholdsmessig tyngende og vanskeliggjøre arbeidet som fagforening. Vi forstår at det etter lovforslaget ikke legges opp til et absolutt krav om kryptering, da forskriftenes regler om dette ikke videreføres og det er dermed usikkert om de tilsvarende utfordringene vil gjøre seg gjeldende. Vi ber uansett departementet ta hensyn til det behovet fagforeninger har til en effektiv kommunikasjon og forvaltning av medlemsinteresser.

Rettslig grunnlag etter artikkel nr. 6 bokstav c og e
Departementet ber i høringsnotatet om innspill på tilfeller der forordningens artikkel 6 bokstav c og e utgjør rettslig grunnlag, men hvor det ikke er supplerende grunnlag i nasjonal lovgivning. Det bes særlig om innspill på om det er behov for en regel som gir behandlingsgrunnlag for private forskningsinstitusjoner.

Når det gjelder forskning på helsetjenestens område, er dette allerede i stor grad lovregulert. Det omtales for øvrig nedenfor i forbindelse med grunnlag for behandling av sensitive personopplysninger. Utover dette har vi ikke oversikt over lovhjemler for private forskningsinstitusjoner. I den grad det mangler slike hjemler støtter vi et forslag om å utforme en bestemmelse tilsvarende den som er foreslått i Sverige, hvor det fremgår:

"Personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse.
Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare."

Det er viktig at muligheten til forskning i allmennhetens interesse ikke forringes ved innføringen av forordningen.

Behandling av sensitive opplysninger i arbeidsforhold
Frem til i dag har det vært en bestemmelse som gir anledning til behandling av sensitive personopplysninger i arbeidsforhold i den grad det er "nødvendig for å ivareta arbeidsrettslige rettigheter og plikter". Personvernforordningen krever et supplerende grunnlag for behandling av sensitive personopplysninger i arbeidsforhold. Dette kan være nasjonal rett eller en tariffavtale som gir nødvendige garantier for den registrertes grunnleggende rettigheter og interesser.

Arbeidsmiljøloven § 9-3 og § 9-4 om henholdsvis innhenting av helseopplysninger ved ansettelse eller medisinske undersøkelser gir hjemmel for behandling av sensitive personopplysninger i arbeidsforhold. Vi mener at det vil være tilfeller hvor det behandles sensitive personopplysninger i arbeidsforhold uten at dette har et rettslig grunnlag i nasjonal lovgivning. Det kan være nødvendig å behandle opplysninger om fagforeningsmedlemskap i forbindelse med lønnsutbetaling. Videre kan det være nødvendig å behandle helseopplysninger eller andre typer sensitive personopplysninger i forbindelse med tilrettelegging, personaladministrasjon eller lignende. Vi foreslår dermed en regulering som hjemler behandling som er nødvendig for å ivareta arbeidsrettslige rettigheter og plikter.

Nødvendigheten av et rettsgrunnlag for behandling av opplysninger i arbeidsforhold henger også sammen med utfordringen med å basere en behandling av personopplysninger i arbeidsforhold på samtykke fra de ansatte.

Grunnlag for behandling av sensitive opplysninger i forbindelse med medisinsk diagnostikk, yting av helse- og sosialtjenester og – systemer
Etter forordningen kan sensitive personopplysninger behandles "i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- og sosialtjenester og –systemer". Bestemmelsen er i all hovedsak en videreføring av det som i dag er personopplysningsloven § 9 bokstav g. Etter forordningen kreves et supplerende grunnlag i nasjonal rett. Departementet ber om høringsinstansenes innspill på om det forekommer at sensitive personopplysninger i dag behandles utelukkende på grunnlag av personopplysningsloven § 9 første ledd bokstav g uten ytterligere rettsgrunnlag i helselovgivningen.

Vi oppfatter at slik behandling i alt det vesentlige har hjemmel i helselovgivningen, slik som helsepersonelloven, pasient- og brukerrettighetsloven, pasientjournalloven, helseregisterloven, spesialisthelsetjenesteloven, psykisk helsevernloven med fler.

Hvorvidt det er tilstrekkelig supplerende rettslig grunnlag i nasjonal rett henger sammen med hvor strengt kravet til rettslig grunnlag tolkes. Vi forstår departementet slik at det legges opp til en lite streng/liberal tolkning av kravet til rettslig grunnlag. Ut i fra dette kan vi ikke se at de mangler supplerende rettslig grunnlag innenfor helselovgivningen. Vi påpeker likevel at kravet til rettslig grunnlag må ses i sammenheng med hvordan dette tolkes i EU for øvrig. Dersom EUs praksis på området innebærer en strengere tolkning av kravet til rettslig grunnlag, kan dette nødvendiggjøre tilsvarende mer detaljerte grunnlag for behandling av eksempelvis helseopplysninger.

Vi påpeker samtidig at vi ikke har fullstendig oversikt verken over all behandling av helseopplysninger eller alle behandlingsgrunnlag, og at vi derfor ikke kan utelukke at det her finnes hull hvor det er nødvendig med ytterligere lovregulering for å sikre tilstrekkelig rettslig grunnlag. Vi forutsetter at det sikres tilfredsstillende grunnlag for videre behandling slik at den behandling som er tillatt i dag kan videreføres, og at dette behandles grundig som en del av HODs gjennomgang av regelverket.

Behandling av sensitive personopplysninger som er nødvendig av hensyn til viktige samfunnsinteresser (artikkel 9 bokstav j) og allmenne folkehensyn (artikkel 9 bokstav i)
Sensitive personopplysninger kan behandles når det er nødvendig av hensyn til viktige samfunnsinteresser. Det kreves etter forordningen et supplerende rettslig grunnlag i nasjonal rett, og det er et krav om at lovgivningen må "stå i forhold til det som søkes oppnådd, være forenlig med grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser". Departementet ber om innspill på om det er lovgivning i dag som ikke oppfyller disse kravene.

Forordningen inneholder også en ny bestemmelse som gir grunnlag for behandling av sensitive personopplysninger når det er nødvendig av allmenne folkehelsehensyn. Det kreves også her et supplerende rettslig grunnlag i nasjonal rett, og at det "fastsettes egnede og særlige tiltak for å verne den registrertes rettigheter og friheter, særlig taushetsplikt". Departementet ber om innspill på om lovgivningen i dag tilfredsstiller disse hensynene.

Vi behandler de nevnte bestemmelser i sammenheng, da vi oppfatter at det innenfor helserettens område kan tenkes tilfeller hvor det er uklart om forankringen er samfunnsinteresser (bokstav i), allmenne folkehelsehensyn (bokstav j) eller begge.

Legeforeningen vil først og fremst trekke frem den nylig vedtatte forskriften om kommunalt pasient- og brukerregister (KPR) som trer i kraft 1. desember 2017. Legeforeningen har ved flere anledninger gitt uttrykk for bekymring for om forskriften ville utformes på en måte som ivaretar grunnleggende personvernhensyn i tilstrekkelig grad. Etter at den vedtatte forskriften nå er tilgjengeliggjort, er vår vurdering at forskriften ikke gir de nødvendige garantier for å sikre den enkeltes personvern.Vi viser igjen til våre tidligere innspill om at vesentlige avveininger mellom den enkeltes personvern og anført nytteverdi/samfunnsbehov er mangelfulle. Etter vår oppfatning er det mye som tyder på at KPR ikke oppfyller personvernforordningens krav. Det vises til den vide formålsangivelsen i forskriftens § 1-1, hvor det blant annet fremgår at "Helseopplysninger som er samlet inn til formålene angitt i andre ledd skal kunne brukes til kvalitetsforbedring, forebyggende arbeid, beredskap, analyser, forskning og Nasjonal kjernejournal."

Etter vår oppfatning oppfyller ikke forskriften de særskilte kravene som stilles til hjemmelsgrunnlaget i artikkel 9 bokstav i) med hensyn til å fastsette "egnede og særlige tiltak for å verne den registrertes rettigheter og friheter, særlig taushetsplikt" og artikkel 9 bokstav j) med hensyn til å "stå i forhold til det som søkes oppnådd, være forenlig med grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser". Legeforeningen etterlyste også i sitt høringsinnspill til HOD vedrørende forskriften om KPR av 17. mars 2017 en vurdering av personvernforordningen og dens betydningen for KPR. Vår oppfatning nå er at mye tyder på at KPR bryter med de føringer personvernforordningen tydelig legger for behandling av denne kategorien av personopplysninger som registeret vil omfatte. Blant de forhold vi har vært særlig kritiske til er det forhold at forskriften har som utgangspunkt at opplysningene kan lagres på ubestemt tid (jf. forskriftens § 4-9) uten at det er gjort tilstrekkelige vurderinger av dette.

Av videre lovgivning som kan være relevant for Legeforeningen nevnes helseberedskapsloven, hvor § 2-4 inneholder særlige regler om registre med helseopplysninger for å håndtere beredskapssituasjoner. Nevnte bestemmelse oppfyller etter vår oppfatning forordningens krav, da det stilles krav til at opplysningene behandles i samsvar med helseregisterloven § 6, og at det stilles uttrykkelig krav til sletting og anonymisering. Vi påpeker at bestemmelsen legger opp til at slik behandling skal meldes til Datatilsynet, og forutsetter i alle tilfeller at HOD vil gjennomgå bestemmelsen og at det må gjøres nødvendige tilpasninger blant annet som en konsekvens av at meldeplikten bortfaller.

Også folkehelseloven kan gjelde behandling av personopplysninger for viktige samfunnsformål og/eller allmenne folkehelsehensyn. Lovens formål er å bidra til en samfunnsutvikling som fremmer folkehelse. Lovens § 12 inneholder en opplysningsplikt, hvor kommunen kan pålegge den som planlegger eller driver virksomhet som kan ha innvirkning på helsen, en plikt til (uten hinder av taushetsplikten) å utlevere visse opplysninger. Vi tar utgangspunkt i at mye av den informasjonen som forutsettes utlevert ikke nødvendigvis er personopplysninger som kan knyttes til en enkeltperson, hvor personopplysningsloven ikke vil gjelde. Likevel setter loven ingen slike begrensninger, og det antas at loven også vil hjemle behandling av personopplysninger. Vi kan ikke se at loven gir noen nærmere egnede og særlige tiltak for å ivareta de registrertes rettigheter, og vi forutsetter at dette også blir en del av vurderingstemaet i HODs gjennomgang av regelverket.

Det nevnes også smittevernloven, hvor § 2-2 gir et særskilt unntak fra taushetsplikten i forbindelse med smittevern. Loven gir ikke særskilte regler som sikrer tiltak for behandling av personopplysninger i smittevernsøyemed.

Det påpekes igjen at det er en utfordring å gi en fullstendig oversikt over lovgivningen her. Det foregående må dermed bare sees som på som noen utvalgte eksempler fra konkret lovgivning, og vi antar det vil være nødvendig å gjøre en grundig gjennomgang av relevant regelverk.

For øvrig støtter vi at Datatilsynet i en snever unntaksregel gis adgang til i særlige tilfeller å tillate behandling av sensitive personopplysninger når viktige samfunnsinteresser tilsier det, på bakgrunn av at det kan tenkes plutselige og uforutsette behov for behandling av sensitive personopplysninger som er nødvendig av hensyn til viktige samfunnsinteresser. Nødvendige sikkerhetsmekanismer bør i sike tilfeller søkes implementert.

Behandling av sensitive personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål
Etter forordningen er det grunnlag for å behandle sensitive personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Det kreves her et supplerende grunnlag i nasjonal rett dersom de sensitive personopplysningene skal behandles uten samtykke fra den registrerte.

Vi støtter departementets forslag om å videreføre någjeldende bestemmelse som en generell bestemmelse som åpner for behandling av sensitive opplysninger uten samtykke, men med visse tilleggsvilkår. Vi oppfatter at tilleggsvilkårene er nødvendig for etterlevelse av forordningen, og ikke er uforenlig med hvordan regelverket har vært praktisert i dag.

Det vises til at Norge er et av få land hvor registerforskning på store deler av befolkningen er mulig på grunn av unike personnumre. Legeforeningen mener det er viktig at muligheten for slik forskning videreføres, og at man forsøker å redusere unødvendige hindringer. Vi bemerker imidlertid at det er avgjørende at behandling av sensitive personopplysninger skjer på en forsvarlig måte, som hensyntar personvernet til den enkelte. Ved registerforskning er dataene i utgangspunktet innsamlet til andre formål, og slik forskning vil ofte kunne gjennomføres uten samtykke. Det vil i praksis være umulig å innhente samtykke fra alle for å kunne utføre forskning på data fra så store populasjoner. Reguleringen må da utformes på en måte som sikrer at reelle avveiinger blir gjort av personvernhensynene i saken. Når det gjelder registerforskning, er Legeforeningens oppfatning at det tidvis bare tilsynelatende gjøres avveininger, men at disse ikke representerer reelle prøvelser av rettsgrunnlagene (skinnprosesser), jf. også prosessen rundt opprettelsen av KPR. Vi nevner for ordens skyld at vi også tar sikte på å gi høringsinnspill på ny forskrift om befolkningsbaserte helseundersøkelser, som vi oppfatter at inneholder viktige avveininger mellom hensynet til den enkeltes personvern kontra forskningsinstitusjoners behov for opplysninger i forbindelse med forskning.

Vi støtter også forslaget om at tilrådning fra personvernrådgiver både skal gjelde hvor forskningen baserer seg på samtykke, og hvor forskningen baserer seg på den særskilte hjemmelen som er foreslått, da vi opplever at dette ivaretar personvernet på en god måte.

Vi har fått innspill på at ved helseforskning basert på registerdata har de Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) en viktig funksjon. Erfaringene med REK som godkjenningsorgan opplyses å være god, og REKs rolle i forbindelse med helseforskning ved bl.a. bruk av registerdata bør videreføres og den bør tydeliggjøres i forbindelse med behandling av sensitive opplysninger for forskningsformål i relasjon til den nye personopplysningsloven.

Når det gjelder Norsk senter for forskningsdata (NSD) kjenner vi ikke detaljert til hvordan dette fungerer i alle relasjoner. Legeforeningen støtter likefullt også forslaget om videreføring av NSD i en eller annen form, da vi forstår at dette er en ordning som har fungert godt for enkelte. Vi oppfatter at dette ville fungere best som en valgfri ordning for virksomheter som trenger rådgivning innenfor personvern ved forskningsprosjekter. Når det gjelder spørsmålet om funksjonsfordeling fremstår det umiddelbart som lite hensiktsmessig med en funksjonsdeling, hvor NSD er direkte personvernrådgiver for forskningsdelen i virksomheter og den interne personvernrådgiveren er ansvarlig for virksomhetens øvrige aktiviteter. Det synes mer praktisk at NSD skal ha en mer rådgivende rolle, og at virksomhetens interne personvernrådgiver kan innhente råd fra NSD. Vi oppfatter at ordningen med at NSD gir sin tilrådning til forskningsprosjekter fortsatt vil kunne videreføres. Vi påpeker imidlertid at vi ikke har tilstrekkelig kjennskap til hvordan ordningen fungerer i dag. Dersom virksomheter i dag opererer med en slik funksjonsdeling, utelukker vi ikke at dette kan være en praktisk løsning også fremover.

Forhåndsdrøftelser
Forordningen åpner for at det kan gis mer detaljerte regler om plikten til forhåndsdrøftelser med Datatilsynet nasjonalt. Departementet har foreslått at det gis en forskriftshjemmel som kan brukes til nærmere regulering av plikten til forhåndsdrøftinger.

Vi mener at det vil være behov for en nærmere regulering av plikten til forhåndsdrøftelser nasjonalt, særlig av hensyn til klarhet og forutberegnelighet. Ettersom plikten til forhåndsdrøftelser er nytt med forordningen, vil det imidlertid være vanskelig på nåværende tidspunkt å klarlegge innholdet av slike regler. Vi støtter derfor departementet i at det gis en forskriftshjemmel for dette.

Taushetsplikt for personvernrådgiver
Departementet har foreslått en taushetspliktbestemmelse i lovforslagets artikkel 15, som er formulert etter forvaltningsloven § 13. Bestemmelsen kan etter vår oppfatning gjøres betydelig enklere, og det vises blant annet til formuleringen som er foreslått i Danmark.
Et forslag til formulering som erstatning for første ledd kan være (men hvor annet og tredje ledd beholdes):

"Personvernrådgivere, som er utpekt etter personopplysningsforordningen artikkel 37, plikter å hindre at andre får kjennskap til [fortrolige] opplysninger som de er blitt kjent med gjennom sin rolle som personvernombud".[Dette forlaget til illustrasjon, endelig ordlyd må vurderes.]

Konsesjoner
Departementet har foreslått å oppheve systemet med konsesjoner, og ber om høringsinstansenes syn på hvordan dette skal håndteres med hensyn til konsesjoner som allerede er gitt.

Ved avgjørelsen av hvilket alternativ man velger for konsesjoner som gjelder i dag, må det ses hen til hva som er den mest praktiske løsningen. For de som innehar konsesjoner i dag er det viktig at det sikres en forutberegnelighet med hensyn til hva som gjelder, herunder hvilke vilkår som gjelder for behandlingen. Dersom det eksempelvis besluttes at alle någjeldende konsesjoner oppheves etter to år, er det sentralt at Datatilsynet har tilstrekkelig kapasitet og ressurser til å håndtere situasjoner og spørsmål som oppstår i den forbindelse. Fokuset her må være å sikre forutberegnelighet, og den praktiske gjennomføringen må være opp til myndighetene.

Biometriske identifikasjonsmidler
Det følger av dagens personopplysningslov § 12 at "Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering." I dag gjelder denne begrensningen uavhengig av samtykke. Forordningen har forslått at biometriske identifikasjonsmidler kan behandles med grunnlag i samtykke, og det stilles ikke tilsvarende krav til behandlingen.

Departementet påpeker at dersom det ikke fastsettes særlige nasjonale regler, vil det etter departementets vurdering skje en betydelig utvidelse av adgangen til å behandle biometriske opplysninger til identifikasjonsformål i alle tilfeller der den registrerte samtykker. En slik utvidelse er etter departementets vurdering ikke ønskelig uten nærmere utredning. Departementet foreslår derfor at § 12 første ledd inntil videre opprettholdes. Legeforeningen er enig i dette forslaget, og at det eventuelt må foretas en nærmere vurdering av de personvernmessige konsekvensene dersom samtykke alene skal være tilstrekkelig fremover.

Unntak fra den registrertes rettigheter i forbindelse med behandling for arkiv- forsknings- og statistikkformål
Det er adgang i forordningen til å gjøre unntak fra de registrertes rett til innsyn, korrigering, begrensning, innsigelsesrett, underretningsplikt og dataportabilitet i forbindelse med arkiv-, forsknings- og statistikkformål. Det er foreslått en norsk regel i forslaget til den nye personopplysningsloven § 14 som sier at rettighetene ikke gjelder "så langt rettighetene vil gjøre det umulig eller i alvorlig grad vil hindre at målene med behandlingen nås".

Vi støtter departementets forslag til regulering, og at denne gjøres generell. Mer kasuistiske regler på området vil kunne bli for stivbent og ikke robust over tid, særlig tatt i betraktning at dette er et område i stadig utvikling. Vi foreslår å konkretisere enkelte unntak fra retten til innsyn og at disse er oppstilt som eksempler i lovteksten. Dette vil gjøre det klarere for befolkningen hvilke typetilfeller en tar sikte på, samtidig som bestemmelsens fleksibilitet vil sikres. Et nærliggende eksempel som kan benyttes er registerforskning, der det vil kreve uforholdsmessig stor innsats, eller snarere være umulig, å gi alle de registrerte alle de rettigheter som følger av forordningen.
Vi ber også departementet se nærmere på sammenhengen mellom de ulike leddene i § 14, særlig § 14 annet og tredje ledd. Det kan her synes uklart hvilke typetilfeller som faller inn under annet ledd og hvilke tilfeller som faller inn under tredje ledd.

E-post innsyn
Det er vår oppfatning at reglene for innsyn i e-post fungerer godt i dag, og vi støtter departementets syn med hensyn til å videreføre reglene. Vi foreslår at bestemmelsen gjøres som en del av arbeidsmiljølovgivningen. Dette er regler som i all hovedsak anvendes av arbeidsgivere, og vil være lettere tilgjengelig i arbeidsmiljøloven.

For øvrig kan vi ikke se at forordningen er til hinder for at bestemmelsen gis tilsvarende anvendelse for studenter og tillitsvalgte. Det er helt sentralt at også disse grupper gis vern og prosedyrer for innsyn i e-post. Når det gjelder tillitsvalgte bør departementet oppfordres til å gjøre en vurdering av om det foreligger et behov for et særskilt vern.


Med hilsen
Den norske legeforening

Geir Riise 
Generalsekretær 

Lars Duvaland
Avd.direktør/advokat

Saksbehandler

Ellen Røyneberg | Avdeling for jus og arbeidsliv