Personopplysningsloven og Noark-systemer: Meldeplikt eller konsesjonsplikt?

Personopplysningsloven stiller store krav til offentlige organers behandling av arkiv. Loven trådte i kraft 01.01.2003. Et spørsmål Byarkivet har fått fra flere virksomheter, er om den behandling av personopplysninger som skjer ved bruk av dokumentbehandlingssystemet DocuLive eller Jass/Ephorte utløser konsesjonsplikt eller meldeplikt i henhold til personopplysningsloven.

Av Tore Somdal-Åmodt

I et dokumentbehandlingssystem i et offentlig organ behandles personopplysninger som berører alle deler av en virksomhet. Systemene er virksomhetenes hovedhjelpemidler i behandlingen av opplysninger i forbindelse med administrasjon, drift, personalforvaltning og myndighetsutøvelse med mer. Det er ikke til å unngå at det i systemet vil bli journalført, behandlet og arkivert opplysninger som både er taushetsbelagt etter forvaltningsloven og/eller å regne som sensitive etter personopplysningsloven.  

Et naturlig spørsmål blir deretter om denne behandlingen er konsesjonspliktig i henhold til personopplysningsloven § 33. Byarkivet har i sin tenkning rundt dette spørsmålet lagt til grunn at personopplysningsloven § 33 fjerde ledd, sammenholdt med arkivloven § 6 angir at denne særskilte behandlingen ikke er konsesjonspliktig, men like fullt meldepliktig etter personopplysningsloven § 31.  

En instans som skal ta stilling i slike spørsmål er Datatilsynet, som håndhever loven. Byarkivet forela problemstillingen i brev til tilsynet, datert 21.11.2002 og vi fikk klart svar den 30.01.2003: "Datatilsynet er enig i denne tolkning som Byarkivet har gjort av person- opplysningsloven § 33. Den behandling Byarkivet gjør er således meldepliktig etter § 31".

Behandling av personopplysninger i et dokumentbehandlingssystem utløser dermed meldeplikt i henhold til personopplysningsloven § 31. Behandlingen er ikke konsesjonspliktig i medhold av personopplysningsloven § 33, selv om det i dokumentbehandlingssystemet også blir behandlet opplysninger som er å regne som sensitive etter personopplysningsloven § 8.

Offentlige organer/private institusjoner

Merk at ovennevnte tolkning av personopplysningsloven § 33 sammenholdt med arkivloven  § 6 gjelder offentlige organer. Tolkningen og resultatet av denne kan ikke automatisk anvendes på aksjeselskaper, stiftelser eller andre private rettsubjekter. Disse skal etter hovedregelen søke konsesjon ved en tilsvarende bruk av personopplysninger, med mindre det private rettsubjektet utelukkende behandler sensitive personopplysninger som er avgitt uoppfordret. Se personopplysningsloven § 33 første ledd, annen setning.

Meldeplikt/konsesjonsplikt/andre plikter

Viktigere enn meldeplikt og konsesjonsplikt alene er de forberedelser et offentlig organ må  gjennom før en behandling meldes eller underlegges konsesjonssøknad til Datatilsynet.  

Enhver behandling av personopplysninger må skje i overensstemmelse med personopplysningslovens alminnelige regler i kapittel II. Vilkårene for å behandle personopplysninger følger av § 8. Vilkårene for å behandle sensitive opplysninger er regulert i § 9, samtidig som § 8 også skal gjelde. Ytterligere grunnkrav til behandling av personopplysninger følger av § 11 og krav til informasjonssikkerhet og internkontroll følger av §§ 13 og 14.