Bergen, Månen

1.1.2001 trådte den nye personvernloven i kraft. Loven dekker

a)Behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og
b)Annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister (: §3)

I loven blir det i §1 definert noen grunnleggende begreper: ”Personopplysninger: opplysninger og vurderinger som kan knyttes til en enkelt person.” Det er altså ikke opplysningstypen i seg selv som er avgjørende men hvorvidt opplysningen kan knyttes direkte eller indirekte til en person eller til en registrert:” den som en personopplysning kan knyttes til”(§1). Navn, personnummer, etc. er eksempler på opplysninger som gir direkte tilknytning til person. Bilnummer, telefonnummer, kontonummer osv. gir en indirekte tilknytning. Det samme gjør mer generelle informasjoner om yrkeskategori, utseende og lignende. Statistikkopplysninger utgjør bare unntaksvis personopplysninger, f.eks dersom statistikken inneholder opplysninger om veldig få mennesker. Etter ordlyden skiller ikke personopplsyningsloven mellom opplysninger om levende og døde personer, men i praksis faller opplysninger om døde inn under loven om de også forteller noe om levende personer (NoU 1997:19:10.1.1.1). For øvrig kan det legges til at begrepet elektroniske spor er personopplysninger som på en eller annen måte innhentes og lagres elektronisk.

Med behandling av personopplysninger menes ”enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter”(§1).
Personregistre er ”registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysningene kan finnes igjen” (§1). Behandlingsansvarlig og databehandler er henholdsvis ”den som bestemmer formålet med behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes” og ”den som behandler personopplysninger på vegne av den behandlingsansvarlige” (§1). Et annet viktig begrep i den nye loven er samtykke:”En frivillig, utrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv”(§1). Av mindre betydning i denne sammenheng, blir også sensitive personopplysninger definert:

Opplysninger om a) rasemessige eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b)at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger (§1).

To hovedprinsipper i den nye loven er for det først at de registrerte i større grad enn tidligere skal være informert om og ha kontroll over personopplysninger vedrørende seg selv. Dette er nedfelt i lovens § 8 og 9, hvor den registrerte skal gi samtykke til at personopplysninger kan behandles. I forhold til den gamle lovgivningen er dette en av de store endringene. Det innebærer en større grad av selvbestemmelse. Til en viss grad skjer dette på bekostning av at konsesjonsplikten begrenses. Mens i de følge den gamle personregisterloven var nødvendige å innhente konsesjon fra datatilsynet for å kunne opprette et personregister, er dette i henhold til den nye loven bare nødvendig for å behandle sensitive personopplysninger (§33).
Det andre hovedprinsippet er at det kreves at den registrerte har full innsynsrett i personopplysninger vedrørende seg selv, samt behandlingen av disse. Denne retten til innsyn står i §18:

Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling:

1. navn og adresse på den behandlingsansvarlige og dennes eventuelle representant,
2. hvem som har det daglige ansvar for å oppfylle den behandlingsansvarliges plikter,
3. formålet med behandlingen,
4. beskrivelser av hvilke typer personopplysninger som behandles,
5. hvor opplysningene kommer fra, og
6. om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker

Loven slår også fast at når det samles inn personopplysninger fra den registrerte selv (§19), eller fra andre kilder enn den registrerte (§20), har behandlingsansvarlige informasjonsplikt overfor den registrerte. Informasjon, deriblant også personinformasjon, har etter hvert en økende økonomisk betydning. Dette utgjør en viktig ramme for personvernlovgivningen som skal tjene både personvernet og et fritt informasjonsmarked. De etter hvert sterke økonomiske interessene som er involvert blir vurdert som en potensiell trussel mot personvernet:

Selv om deler av informasjonene i framtidens informasjonsmarked vil være informasjon som er knyttet til aggregerte data, virksomhetsopplysninger m v, er det samtidig klart at meget av informasjonen vil være personinformasjon og således være gjenstand for personvernmessige vurderinger. Dette kan bidra til at økonomisk-/ næringsmessige interesser vil bli knyttet til personopplysninger i større grad enn tidligere, og således skape grobunn for et høyere konfliktnivå (NoU 1997:19:4.1).

Spesielt vil dette være merkbart i forbindelse med overføring eller salg av personinformasjon fra ett register til et annet. Legg derfor spesielt merke til at behandlingsansvarlige har plikt til å informere den registrerte om at personopplysningene formidles videre til en tredje part (§19f.) eller innhentes fra en tredjepart (§20).
Personprofiler, dvs. beskrivelser av adferd, preferanser, evner eller behov, brukes i økende grad i markedsføringsøyemed. Den behandlingsansvarlige har da plikt til å informere den registrerte om ”a) hvem som er behandlingsansvarlig, b) hvilke opplysninger som er anvendt, og c)hvor opplysningene er hentet fra”(§21). I forbindelse med avgjørelser av rettslig eller vesentlig betydning for den registrerte, som fullt ut er basert på automatisk behandling av personopplysninger, kan den registrerte kreve at det gjøres rede for regelinnholdet i dataprogrammet som ligger til grunn for avgjørelsen (§22). Når det gjelder de to siste punktene er det også verdt å bite merke i retten til å reservere seg mot direkte markedsføring (§ 26) og retten til å kreve manuell behandling (§25). Både bruken av personprofiler og automatisk behandling av personopplysninger vil være gjenstand for en grundigere diskusjon i siste halvdel av kapitelet.

Ut over de to hovedprinsippene, økt selvbestemmelse og innsynsrett, representerer den nye personopplysningsloven en dreining fra det integritetsbaserte personvernet og over til det beslutningsfokuserte personvernet. Lovgivningen har tatt opp i seg det som kan sies å være en generell utglidning i forholdet mellom den private og offentlige sfære.