Den nye personopplysningsloven trer i kraft fra nyttår. Utkast til forskrift ble sendt på høring 16. juni med høringsfrist 15. september. En til dels sterkt revidert forskrift ble vedtatt av Regjeringen fredag.
En viktig forskjell mellom den gjeldende personregisterloven og den kommende personopplysningsloven som erstatter den, er at den generelle konsesjonsplikten for personregistre erstattes av en generell meldeplikt. Personopplysningsloven sier at behandling av sensitive opplysninger skal være konsesjonspliktig. Den åpner for at behandlingen av ikke-sensitive opplysninger også kan gjøres konsesjonspliktig, under visse betingelser. Utkastet til forskrift som ble sendt ut på høring inneholdt ikke pålegg om å underlegge bestemte bransjer konsesjonsplikt.
I forskriften som nå er vedtatt, og som gjøres gjeldende fra nyttår, er telesektoren, forsikringsbransjen og bankers og finansinstitusjoners behandling av personopplysninger gjort konsesjonspliktig.
Forskriften begrunner konsesjonsplikt ved å vise til karakteren av behandlingen av personopplysninger i disse bransjene. Begrunnelsen er kundeprofilene som de er i stand til å bygge opp på grunnlag av opplysningene som samles inn og som til dels genereres av kundenes bruk av bransjenes tjenester. Profilene betraktes som sensitive, selv om opplysningene hver for seg ikke er det.
Forskriften er utarbeidet i nært samarbeid mellom Justisdepartementet og Datatilsynet.
- Konsesjonsplikten for disse bransjene er helt i tråd med våre ønsker, sier sjef for juridisk seksjon i Datatilsynet, Knut Kaspersen, til digitoday.no. - Vi følger spesielt med der oppsamling av ikke-sensitiv informasjon gir mulighet til å generere detaljerte profiler med svært personlige opplysninger om kundene.
Det ligger i den nye loven at forskriften vil kunne endres raskt. Kaspersen vil ikke si hvilke andre sektorer som kan tenkes pålagt konsesjonsplikt i henhold til en revidert forskrift, men han bekrefter at Datatilsynet følger nøye med det som skjer innen SmartClub og hos kjedene bak ordningene kjent som Trumf og Domino.
Amanuensis Rolf Riisnæs ved Institutt for Rettsinformatikk er betenkt over departementets framgangsmåte.
- Endringene i forskriften i forhold til utkastet er så store at jeg er overrasket over at den ikke er sendt ut til ny høring, sier Riisnæs til digitoday.no. - Loven legger ikke opp til konsesjonsplikt for tele, bank og forsikring, og jeg tviler på om det er hjemmel i loven for å videre konsesjonsordningen i disse bransjene.
Riisnæs peker på at bransjene har det felles at de driver intens behandling av personopplysninger.
- Jeg skjønner at man kan føle behov for den mer konkrete kontrollen som konsesjon innebærer. Men dette visste man når man forberedte loven. Det burde ikke dukket opp som troll av eske i løpet av behandlingen i høst. Det skulle heller vært skrevet i loven.
