Ny lov om personopplysninger kommer snart - hvilket ansvar får du?

Den nye personopplysningsloven vil gi næringslivet rammebetingelser som til dels er vidt forskjellig fra dagens regelverk. I noen tilfeller får bedriftene langt friere rammer, f.eks. til å opprette personprofiler. Samtidig pålegges næringslivet et selvstendig ansvar for å tolke og følge regelverket.

I dag er det en lov fra 1978, personregisterloven, som regulerer hvordan vi får lov til å behandle personopplysninger i Norge. Det er etter hvert blitt lenge siden 1978. Særlig gjelder dette innen dataverdenen. Personopplysningsloven er ikke lenger særlig praktisk i forhold til dagens teknologiske muligheter og den 14. april 2000 vedtok Stortinget en ny lov, personopplysningsloven. Det er ventet at personopplysningsloven vil tre i kraft 1. januar 2001.

Lovverket skal balansere næringslivets interesser i å kunne registrere og bruke personopplysninger til bl.a. markedsføringsformål, mot individets interesse i å ha kontroll over opplysninger vedkommende anser som personlige.

Den nye loven har detaljerte regler for hvordan personopplysninger skal behandles. Reglene er til dels vesentlig forskjellig fra dagens regler. Personopplysningsloven får anvendelse på "behandling" av "personopplysninger", mens den gamle loven i hovedsak angikk elektronisk førte registre. Den nye loven rammer således videre enn den gamle.

Ledelsen i det enkelte selskap pålegges et stort ansvar
Det kan neppe understrekes nok at personopplysningsloven pålegger den behandlingsansvarlige selv ansvaret for å vurdere reglene og påse at innsamling og behandling skjer i overensstemmelse med gjeldende rett. Der den behandlingsansvarlige er en juridisk person vil dette ansvaret påhvile selskapets ledelse.

Det at ansvaret så klart pålegges ledelsen i selskapet er en stor forskjell fra dagens lov. I dag er næringslivet i stor grad avhengig av konsesjon fra Datatilsynet og den enkelte bedrift kan stole på at Datatilsynet har tatt hensyn til de tiltak som er nødvendige i forhold til loven.

Med den nye loven vil selskapet ofte kunne starte behandling av personopplysninger uten konsesjon - selskapet må bare sende en melding til Datatilsynet om hva selskapet skal gjøre. I noen tilfeller vil da Datatilsynet reagere og eventuelt protestere på hva selskapet melder at det planlegger å foreta seg. Den viktige forskjellen til den gamle loven, er at Datatilsynet ikke vil være forpliktet til å gi tilbakemelding før behandlingen tar til. Datatilsynet kan altså selv etter at melding er innsendt og behandling har startet, ha innvendinger til behandlingen som kan føre til at f.eks. hele behandlingen må organiseres på en annen måte. Nedenfor vil jeg komme tilbake til hvilke typer behandlinger som kan utføres på bakgrunn av en melding, og hvilke som krever konsesjon.

Ettersom ledelsen pålegges et selvstendig ansvar for å vurdere bedriftens virksomhet opp mot den nye lovens ordlyd, bør næringslivet allerede nå sette seg inn i hvilke konsekvenser den nye loven vil få. Videre er det viktig at ledelsen foretar en intern arbeidsdeling slik at det er klart hvilken stilling som skal ha ansvaret for å sørge for at reglene i personopplysningsloven etterleves.

Hva er en personopplysning?
Personopplysningsloven angår behandling av personopplysninger. Definisjonen av "personopplysninger" omfatter enhver opplysning og vurdering knyttet til en identifisert, eller identifiserbar person. Det er tilstrekkelig at informasjonen indirekte kan knyttes til en person. Det kreves derfor ikke at selve navnet blir registrert, det er nok å registrere en e-post adresse eller et telefonnummer. I vurderingen av om en person lar seg identifisere skal man ta i betraktning alle hjelpemidler som noen kan ta i bruk for identifiseringsformål. Derfor kan også krypterte opplysninger være personopplysninger dersom noen kan gjøre opplysningene lesbare. Forarbeidene angir spesifikt at en IP-adresse er en personopplysning fordi opplysningen, sammen med opplysningene som Internett-leverandøren innehar, åpner for identifikasjon.

Dette har store praktiske konsekvenser for de som driver handel på nettet, f.eks gjennom en web-site. Kunder eller brukere på en site vil jevnlig etterlate informasjon ved at de fyller ut skjemaer med diverse kundeopplysninger. Opplysningene kan være alt fra enkel informasjon om navn og adresse til mer sofistikerte opplysninger om hobbies og interesser. Men brukerne av en website vil også etterlate elektroniske spor. Som de fleste lesere av digitoday nok vil vite, vil den bruk man gjør av Internett som oftest registreres ved hjelp av såkalte "cookies" som igjen enkelt kan knyttes til den enkelte datamaskin som har vært koblet på nettet, og videre ofte til det enkelte individ. Dette er altså å regne som personopplysninger etter den nye loven.

Det er særlig verdt å merke seg at den nye loven kun omfatter personopplysninger om privatpersoner, altså ikke informasjon om juridiske personer. Dette er en forskjell fra dagens lovverk. Forskjellen betyr at man kan behandle opplysninger om selskaper uten å falle inn under personopplysningsloven. Jeg nevner likevel at forarbeidene til loven angir at opplysninger om enkeltmannsforetak omfattes av loven fordi slik informasjon lett kan knyttes til et bestemt individ. Behandling av personopplysninger for rent personlig bruk, eksempelvis i form av personlig hjemmeside, omfattes heller ikke.

Hva er en "behandling"?
Definisjonen av begrepet "behandling" er så vidtrekkende at den inkluderer all tenkelig bruk av personopplysninger. Som eksempel omfattes innsamling, oppbevaring, utlevering og sammenstilling av personopplysninger. Nedslagsfeltet til den nye loven er videre enn den gamle loven, fordi den gamle loven i hovedsak kun regulerte "registre" med personopplysninger.

Krav til saklighet
Helt generelt fastslår den nye loven at personopplysninger kun kan brukes til uttrykkelige angitte formål som er saklig begrunnet i bedriftens virksomhet. Den behandlingsansvarlige skal også sørge for at informasjonen er korrekt og oppdatert. Dette betyr at den behandlingsansvarlige, før behandlingen tar til, må sørge for å fastsette et formål for behandlingen som er tilstrekkelig spesifisert slik at det er klart hva behandlingen skal brukes til. Forarbeidene til loven fastslår at det kreves et visst presisjonsnivå i formuleringen og at en helt generell beskrivelse som "administrative oppgaver" ikke er godt nok. Et formål er saklig begrunnet i virksomheten når målet med behandlingen er forankret i det daglige virket til bedriften.

Generelt gjelder også at opplysningene ikke senere skal brukes til andre formål som er uforenlig med det opprinnelige formålet. Hvor mye som skal til før man har gått utenfor det opprinnelige formålet, må vurderes konkret på bakgrunn av om bruk av opplysningene innebærer ulemper for den registrerte, om bruken skiller seg sterkt fra den som lå til grunn for innsamlingen, og om bruken stiller strengere krav til datakvalitet enn det opprinnelige innsamlingsformålet. Forarbeidene angir klart at saklighetsvurderingen kan være en grense for adgangen til å bruke elektroniske spor og til å samkjøre registre.

Et annet vilkår som må være oppfylt for lovlig behandling av personopplysninger, er at det må foreligge et lovlig grunnlag for behandlingen. Et slikt grunnlag for å behandle opplysninger kan være at den registrerte har samtykket, eller at det er fastsatt i lov at opplysningene kan behandles eller dersom behandlingen er nødvendig, for eksempel for å oppfylle en avtale med den registrerte eller for å ivareta den registrertes vitale interesser. De lovlige grunnlagene for å behandle opplysninger er litt forskjellig for sensitiv og ikke-sensitiv informasjon. Den viktigste forskjellen mellom sensitiv og ikke-sensitiv informasjon er at sensitiv informasjon ikke kan behandles kun basert på at det er nødvendig i forhold til en avtale, men at det da kreves samtykke i tillegg.

Konsesjon eller melding?
Under dagens personregisterlov er hovedregelen at man må søke om konsesjon for å behandle personopplysninger. Den nye personopplysningsloven har ulike regler for behandling av sensitiv og ikke-sensitiv informasjon. Reglene for sensitive opplysninger er strengere enn for ikke-sensitive. Reglene om meldeplikt og konsesjonsplikt kommer i tillegg til det som er omtalt ovenfor om saklighetskrav og ulike grunnlag for behandlingen.

For å behandle ikke-sensitiv informasjon vil hovedregelen bli at den ansvarlige må sende melding til Datatilsynet, mens man må søke om konsesjon for å behandle sensitiv informasjon.

Loven definerer sensitive opplysninger til bl.a. å omfatte informasjon om rasetilhørighet, etnisk tilhørighet, politisk overbevisning, religiøs tilhørighet, strafferettslige- og helsemessige forhold. En persons filosofiske oppfatning er også definert som sensitiv. Forarbeidene til loven understreker at definisjonen av sensitive opplysninger ikke er uttømmende og angir at også opplysninger om noens "private økonomiske forhold og opplysninger som gir et så detaljert bilde av den registrerte at det av den grunn føles som ubehagelig" kan bli vurdert som sensitive - alt etter omstendighetene. Det er altså ikke helt enkelt å forutsi om man har å gjøre med ikke-sensitive eller sensitive opplysninger.

Det er åpenbart at det vil bli behov for avklaringer om hvor Datatilsynet vil trekke grensen mellom sensitive og ikke-sensitive opplysninger. I denne sammenhengen vil det også være aktuelt å se hen til hvordan dette vurderes av tilsynsmyndighetene i andre land.

Som nevnt ovenfor er hovedregelen for ikke-sensitiv informasjon at den kan registreres og behandles etter en enkel melding til Datatilsynet. Meldingen skal bl.a. gjøre rede for hvilke opplysninger som skal behandles og hvordan de skal behandles. For å sikre at Datatilsynet skal ha anledning til å vurdere den enkelte behandling, skal slik melding gis innen 30 dager før behandlingen settes i verk. I dette tidsrommet kan Datatilsynet angi eventuelle motforestillinger mot behandlingen. Men, som nevnt tidligere, er Datatilsynet ikke avhengig av å reagere innenfor dette tidsrommet, en reaksjon kan også komme senere.

Skulle formålet med, eller omfanget av behandlingen endres, må ny melding sendes til Datatilsynet. Ny melding må uansett sendes inn etter tre år fra den første meldingen ble sendt.

Behandling av sensitiv informasjon skal følge strengere regler. Hovedregelen for sensitiv informasjon vil være som i dag, nemlig konsesjon fra Datatilsynet. For ordens skyld presiserer jeg at Datatilsynet vil behandle slike søknader individuelt, og at utfallet av en konsesjonssøknad ikke alltid vil være at konsesjon blir gitt. Datatilsynets vurdering vil bl.a. basere seg på hvorvidt behandlingen kan resultere i noen form for ulempe for den registrerte som konsesjonsvilkårene ikke kan bøte på.

Hvilke vilkår som vil oppstilles i en konsesjon vil variere. Typiske betingelser er likevel hvem som skal ha tilgang til informasjonen, hvor lenge opplysningene kan lagres og angivelse av en plikt til å verifisere innsamlet materiale.

Det er grunn til å nevne en unntaksregel i personopplysningsloven: det er mulig for Datatilsynet å bestemme at behandling av ikke-sensitiv informasjon også skal være underlagt konsesjonsplikt. Unntaksregelen skal brukes hvis behandlingen "åpenbart vil krenke tungtveiende personverninteresser". Det forventes at denne adgangen praktiseres med varsomhet. Fordi denne regelen kan gi usikkerhet om man faller innenfor konsesjonsplikten eller ikke, er Datatilsynet pålagt å avgi en forhåndsuttalelse om konsesjon vil bli krevet eller ikke.

Rettigheter og plikter for den registrerte og den behandlingsansvarlige
Både den registrerte og andre har krav på en viss informasjon fra den behandlingsansvarlige. Den som er registrert har krav på mer detaljert informasjon enn andre. Det går også et skille mellom innsamling av informasjon som foretas direkte fra den registrerte og innhenting av informasjon fra andre. Den behandlingsansvarlige har også et ansvar for å rette uriktige og mangelfulle opplysninger og for å sørge for at det foreligger tilfredsstillende tekniske prosedyrer ved behandlingen.

Nye muligheter og begrensninger i forhold til markedsføring
Etter den nye loven vil det bli anledning til å reservere seg mot direkte reklame og det vil bli opprettet et nasjonalt reservasjonsregister i dette øyemed. Den behandlingsansvarlige skal ikke sende reklame til noen som har reservert seg i registeret. Denne regelen kan bli nokså urimelig i et løpende kunde-leverandør-forhold, og det er derfor gjort unntak for markedsføring av egne produkter til de man har et løpende kundeforhold med.

En av de største forskjellene mellom ny og gammel lov gjelder bruk av profiler, CRM (Customer Relation Management) og cookies. Slik Datatilsynet har tolket og praktisert den gamle loven, har det vært svært vanskelig å få anvende profiler. Næringslivet har nok opplevet dette til dels svært frustrerende i lys av hva man får lov til i andre land. Det blir derfor spennende å se hvordan næringslivet vil ta i bruk de muligheter som byr seg ved at utarbeidelse og bruk av profiler vil bli tillatt. Jeg understreker imidlertid at de generelle vilkårene for behandling av personopplysninger fremdeles gjelder, slik at den informasjon som ligger til grunn for profilene må være saklig relevant for den enkelte bedrift. Når man etter den nye loven henvender seg til noen på bakgrunn av en personprofil skal den registrerte informeres om hvem som er behandlingsansvarlig, hvilke opplysningene som er anvendt og hvor opplysningene er hentet fra.

Kontroll
Etter reglene i den nye loven vil Datatilsynet fortsatt være ansvarlig for behandling av konsesjoner og kontroll med at lovens bestemmelser blir fulgt. Noe av siktemålet med reglene er at Datatilsynet skal fritas fra den tidkrevende konsesjonsbehandlingen tilsynet i dag utfører. Tanken er at Datatilsynet skal kunne benytte den fristilte tid til å informere publikum om regelverket, men også til å kontrollere at reglene følges.

Dersom regelverket ikke følges kan dette resultere i rettslig forfølgelse, dagmulkt, straffeansvar eller erstatningsansvar. Dette medvirker også til at det er viktig for næringslivet å kjenne regelverket og å innrette seg deretter.

Forskrifter
Det vil - forhåpentligvis i løpet av kort tid - bli utarbeidet endelige forskrifter til den nye loven. Slike forskrifter foreligger i skrivende stund som et utkast, og det er uvisst hvordan de vil se ut i sin endelige form. Uansett vil forskriftene antakelig åpne for at enkelte praktiske registre, slik som kunde-, abonnent og leverandørregistre vil unntas fra meldeplikten.

* * *
Advokatfirmaet Selmer D.A. vil i tiden fremover levere en serie artikler om de rettslige rammer for aktuelle problemstillinger innen informasjonsteknologi og telekommunikasjon. Advokat Eva I. E. Jarbekks artikkel er det første bidraget i serien, red.anm.

Til toppen