[Oslo kommune, Byarkivet]

Neste generasjons personvern -
Lov om behandling av personopplysninger

1. januar 2001 erstattes den nåværende Lov om personregistre m.m. (personregisterloven) av ny Lov om behandling av personopplysninger (personopplysningsloven). Skiftet får konsekvenser for alle arkivskapere.

Av Tore Somdal-Åmodt

Den nye Lov om behandling av personopplysninger av 14. april 2000 nr 31, berører 99 % av alle arkiv som er i bruk i offentlig forvaltning i dag. Overslaget er knyttet til den gjetning at de fleste arkiv innehold­er personopplysninger som kan gjenfinnes. Arkivene er dermed å regne som personregistre, slik dette begrepet er definert i den nye lovens § 2.

Både nålevende enkeltpersoner og avdøde enkeltpersoner omfattes av loven, men avdøde person­er omfattes kun dersom opplysningene også kan knyttes til nålevende person. Det er følgelig den nålev­ende enkeltpersonen som er hovedpersonen.

Formålene med den nye loven

Formålet med loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Formålsbestemmelsen i loven er et viktig signal på hvordan bestemmelsene i loven vil bli tolket. De uklarheter og tolkningstvil som loven vil reise, vil bli veid opp mot formålsbestemmelsen.

Begrepet personvern er ikke gitt en uttømmende forklaring i loven. Innholdet i begrepet nedfelles i den praksis som utøves av domstolene og i forvaltningens avgjørelser. Datatilsynet vil selv være med å forme innholdet i begrepet personvern også i fremtid­en.

Saklig virkeområde

Personregisterlovens personvernbegrep knyttet seg til opprettelse av personregistre og bruk av personopplysninger. Den nye loven fokuserer på behandling av personopplysninger og søker å regulere

  • behandling av personopplysninger som helt eller delvis skjer med elektroniske virkemidler og
  • annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister.
  • Behandling av personopplysninger innebærer enhver bruk av personopplysninger: innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av disse.

Loven omfatter behandling av personopplysninger med elektroniske hjelpemidler, og manuell behandling av personopplysninger som innebærer opprettelse av et personregister. Personregisterbegrepet er dermed ikke helt forlatt. Det er ikke slik at all behandling av personopplysninger i dag skjer ved bruk av elektroniske hjelpemidler. Fortsatt vil manuelle systemer, som inneholder personopplys­ninger systematisert på en slik måte at det er mulig (direkte eller indirekte) å knytte de til enkeltperson­er, omfattes av loven.

Igjen ser man hvor sterkt loven berører arkiv og arkivdanning: Intet offentlig arkiv opprettes i dag uten at man samler inn, registrerer, sammenstiller, lagrer og utleverer personopplysninger fra arkivet i løpet av den tid arkivet eksisterer – uavhengig av medium.

Alminnelige regler for behandling av personopplysninger

Lovens alminnelige regler i lovens kapittel II er regler som gjelder all behandling av personopplysninger. Der personregisterloven stilte krav til registereier om at opprettelsen av personregister skal være saklig begrunnet, gir den nye loven en lang opplisting av nærmere angitte vilkår som skal ligge til grunn for at behandling av personopplysninger kan gjennomføres. Å tilfredsstille disse vilkårene er en forutsetning for at behandlingen av personopplysninger kan skje på lovlig måte.

I denne forbindelse er det nødvendig å se på arkivloven som etablerer en plikt til å etablere arkiv. Plikten forutsetter selvfølgelig at det eksisterer et saklig behov for å etablere arkiv. Et saklig behov som igjen må være forankret i minst et av vilkårene for å behandle personopplysninger i personopplysningsloven § 8.

Sensitive personopplysninger

Skal virksomheten behandle sensitive personopplys­ninger slik at disse går inn i arkivet (personregistret), må i tillegg minst ett av vilkårene i personopplys­ningsloven § 9 være til stede. Hvilke opplysninger som regnes som sensitive er definert i lovens § 2 nr 8. Begrepet er gitt et noe annet innhold enn tidligere: Etnisk bakgrunn, filosofisk oppfatning og medlemskap i fagforeninger er for eksempel opplysninger som nå regnes for sensitive.

Det opprinnelige formål med innsamlingen – historiske formål

Et av grunnkravene i loven bør nevnes særskilt: Det fremgår av personopplysningsloven § 11 og lyder: Den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare nyttes til uttrykkelig angitt formål som er saklig begrunnet i den behandlingsansvarliges virksomhet.

ikke brukes til senere formål som er uforenelig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker.

Dersom formålet endrer seg, skal virksomheten sende ny melding til Datatilsynet. Loven krever at den behandlingsansvarlige tar stilling til hva som er formålet med opprettelsen av arkivet, og det binder bruken av arkivet i fremtiden.

En viktig del av formålet med innsamlingen, registreringen, bruken, lagringen og arkiveringen av personopplysninger er bevaring for senere gjenfinning.

Unødvendige diskusjoner med Datatilsynet i fremtiden kan hindres dersom den behandlingsansvarlige alt på opprettelsestidspunktet gjør det klart at bevaring for senere gjenfinning over tid er uløselig knyttet til formålet med arkivet.

Innsyn og informasjonsplikt

Lovgiver går langt i å videreføre nåværende innsynsregler. Disse følges opp med aktive informasjonspliktregler som skal gis av eget tiltak – uten at den enkelte skal måtte be om det. Informasjonsplikten gjelder overfor den registrerte selv, både når opplysningen hentes direkte fra denne og når det samles inn opplysninger om den registrerte fra andre kilder. Plikten varierer noe i omfang avhengig av den kilde som benyttes.

Unntak fra hovedregelen om innsyn

En rekke unntaksbestemmelser fra innsynsretten og informasjonsplikten er nedfelt i personopplysningsloven kap III. Et unntak som særlig vil vekke interesse i arkivinstitusjonene er det unntak fra innsynsrett som nå gjelder for informasjon som utelukkende behandles for historiske, statistiske eller vitenskapelige formål. Dette unntaket kommer kun til anvendelse dersom behandlingen ikke får noen direkte betydning for den registrerte.

Uttrykket "historiske" omfatter "behandling i form av arkivering" (jf. Ot.prp. nr 92 s 119). Med begrep­et arkivering sikter lovgiver antakelig kun til material­et som er avlevert til en arkivinstitusjon, slik at virksomheter som ennå ikke har avlevert til arkivinstitusjon ikke kan gjøre bruk av dette unntaket. Forarbeidene til loven sier at "Den registrerte for eksempel ikke kan henvende seg til Riksarkivet og kreve innsyn i alle opplysningene om seg selv som måtte være lagret der i manuelle personregistre eller elektroniske informasjonssamlinger."

Hvilke konsekvenser regelen gir for behandling av henvendelser om innsyn, gjenstår å se. Etter ordlyden hindres ikke innsyn når arkivet, arkivskaperen eller saken kan identifiseres. Uansett vil regelen ikke sette til side den innsynsrett enkeltpersoner har i henhold til annen lovgivning, for eksempel i forvaltningslov og offentlighetslov.

Internkontroll

Alle offentlige organer er forpliktet i henhold til arkivloven å utarbeide en arkivplan for virksomheten. Hva en arkivplan skal inneholde, er beskrevet i forskriftene til arkivloven. Arkivplanarbeidet vil gjøre virksomheten i stand til å få oversikt over den behandling av personopplysninger som omfattes av personopplysningsloven. De rutiner som virksomheten skal nedtegne som del av internkontrollen i henhold til personopplysningsloven, bør ha plass i den arkivplanen som virksomheten er pålagt å utarbeide i henhold til arkivloven.

Retting av mangelfulle personopplysninger

I paragraf 27 sies det at personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle (for eksempel fordi det ikke er gitt konsesjon etter personopplysningsloven § 33) skal rettes.

Retting skjer ved markering av de opplysninger som er uriktige og/eller ufullstendige og med supplering av opplysninger som totalt gir en riktig og fullstendig informasjon. Retting ved sletting skal man være varsom med å utføre, men Datatilsynet kan bestemme at retting kan skje ved at de uriktige opplysninger slettes, eventuelt sperres for videre bruk. Datatilsynet plikter å innhente Riksarkivarens uttalelse før de fatter vedtak.

Forbud mot å lagre unødvendige personopplysninger

Neste paragraf forbyr den behandlingsansvarlige å lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes.

Personopplysningslovens forbud mot å lagre unødvendige opplysninger skal imidlertid ikke hindre offentlige organer i å oppbevare og avlevere arkiv i henhold til arkivloven. Virksomheter i Oslo kommune skal avlevere sine arkiv til Byarkivet

Bestemmelsen inneholder sletteregler. Før sletting eller sperring av opplysningene skjer, må det imidlertid vurderes om slettingen strider mot annen lov (eks arkivloven) og om sletting er forsvarlig ut i fra dokumentasjonsbehov etc. Også for denne type saker kan Datatilsynet fatte vedtak om at sletting av dokumentasjonen skal skje, etter at Riksarkivaren er hørt.

Meldeplikt og konsesjonsplikt

Mange av de personregistre som tidligere var konsesjonspliktige etter personregisterloven § 9 første ledd, omfattes nå av en meldeordning til Datatilsynet. Meldingen kan gis pr brev, telefaks eller e-post. Ny  melding skal gis hvert tredje år. Konsesjonsplikten er begrenset til å omfatte behandling av sensitive personopplysninger. Datatilsynet har opplyst at behandling av sensitive opplysninger som er meldepliktige etter personopplysningsloven § 31 ikke skal konsesjonsbehandles etter § 33.

Konsesjonsplikten gjelder ikke når behandlingen har hjemmel i egen lov.  Fremdeles vil det altså være slik at behandling av personopplysninger i forbind­else med føring av pasientopplysninger i henhold til legeloven er unntatt konsesjonsplikt etter personopplysningsloven § 33. Det bør i denne forbindelse  også vurderes i hvilken grad plikten til å opprette arkiv, i henhold til arkivloven § 6, vil være hjemmel god nok for ikke å måtte søke konsesjon etter person­opplysningsloven.

Loven gir overgangsregler for meldeplikten og for konsesjonsplikten. Egne forskrifter kan komme til å regulere ytterligere unntak fra konsesjonsplikten.

Etterord 

Det er mange forhold i loven som ikke er behandlet her. Den reiser også spørsmål som best kan avklar­es i en dialog med Datatilsynet. En dialog som i den kommunale forvaltning bør rettes til Datatilsynet via overordnet instans.

TOBIAS 4/2000