I norsk personvernrett er personopplysningsloven sentral, idet loven angir de alminnelige regler for behandling av personopplysninger. Ytterligere personvernregler er nedfelt i lovens forskrifter, og i særlovgivning.
Hovedspørsmålet er om departementets forslag til ny personopplysningslov kommuniserer godt nok med leseren om et allerede ytterst komplisert rettsområde der myndighetskravene er strenge. I høringsnotatet pkt 3 tar departementet selv opp denne problemstillingen som «de pedagogiske utfordringene». Men departementet kan i nevnte punkt «ikke se at EØS-avtalen åpner for å gjennomføre forordningen ved å gjengi eller omskrive forordningens regler i det norske regelverket (transformasjon).» Dette står i sterk kontrast til hva forordningens fortale nr 8 presiserer, nemlig at:
Når det i denne forordning fastsettes at det kan innføres presiseringer eller begrensninger av dens regler gjennom medlemstatenes nasjonale rett, kan medlemsstatene, i den grad det er nødvendig av hensyn til sammenhengen og for å gjøre nasjonale bestemmelser forståelige for de personer de får anvendelse på, innarbeide elementer fra denne forordning i sin nasjonale rett.
Etter vår oppfatning kan fortalens tekst nettopp tyde på at det er anledning til å innarbeide deler av forordningen i norsk lov. Dette kan eksempelvis være hvor det er rom for og foreslått særskilte unntak i nasjonal lov, og hvor en innarbeiding av nasjonal lovtekst vil være nødvendig for sammenhengen. Et eksempel er reglene om behandlingsgrunnlag i artikkel 6 og 9. Dette er regler som er svært sentrale, hvor hovedregelen kun finnes i forordningen og enkelte særskilte reguleringer fremgår av den norske lovteksten.
I det danske forslaget til egen databeskyttelseslov er det nettopp mange av hovedreglene som gjengis fra forordningen, supplert av viktige unntak, se f.eks. det danske lovforslaget § 1 stk 2 flg. som definerer hva forordningen og loven regulerer, eller det danske lovforslaget kap 3 om behandling av opplysninger. Det norske lovforslaget er uten dette.
Det blir således vanskelig å forstå at EU-landet Danmark skal kunne ha en langt mer leservennlig tekst i sin lovgivning enn det EØS-landet Norge har når de to landene forholder seg til nøyaktig samme forordningstekst. At det materielle innholdet i de ufravikelige delene av teksten i forordningen må følges og ikke omskrives, er selvsagt fordi Norges allerede har inngått en internasjonal forpliktelse. Dersom det likevel skulle oppstå strid mellom originalteksten i forordningen og gjengitt lovtekst i den norske personopplysningsloven og spesiallovgivningen, vil lovforslaget § 5 uansett gi forordningsteksten forrang.
Vi oppfatter nåværende personopplysningslov som oversiktlig, med et forståelig språk og relativt pedagogisk fremstilling av personvernreglene. Nåværende personopplysningslov inneholder blant annet definisjoner av sentrale begreper, skisserer grunnkravene for behandling av personopplysninger, regulerer virksomhetenes informasjonsplikt og ikke minst den registrertes rettigheter knyttet til blant annet innsyn, retting, sletting mv.
Akademikerne noterer at personvernforordningen planlegges innført i norsk rett via korporasjon, konkret ved at det inntas en henvisning til forordningens tekst (oversatt til norsk) i ny personopplysningslov. Selve forordningsteksten planlegges ikke inntatt i ny personopplysningslov. Innføringsmetoden vil innebære at personopplysningsloven ikke lenger vil skissere hovedreglene og definisjonene på personvernfeltet, men gi presiseringer, suppleringer og unntak fra reglene i EU-forordningen. Videre vil forordningstekstens struktur skille seg betydelig fra tradisjonell norsk lovgivningsteknikk.
Selv om innføringsmetoden skulle være nødvendig eller hensiktsmessig i lys av forordningsformen, mener Akademikerne at metoden svekker den nye lovens brukervennlighet. Sett i lys av at et sentralt formål ved forordningen nettopp er å fremme den registrertes personvern, er dette et paradoks og en rettssikkerhetsutfordring. Vi ber på denne bakgrunn om at departementet foretar en ny vurdering av innføringsmetoden. En konkret oppfordring er å vurdere å benytte en lignende innføringsmetode som etter det opplyste planlegges i dansk rett, der deler av forordningsteksten gjengis i ny nasjonal personvernlov.
Dersom den planlagte innføringsmetoden ikke endres, må man etter vår oppfatning søke å bøte på at mange brukere av loven i sterke grad enn før må lene seg på annenhåndskilder i forståelsen av generelle personvernregler.
Slik Akademikerne ser det, er det avgjørende at alle brukere av loven – både den enkelte borger og virksomhetene - har tilgang til god informasjon og veiledning om personvernreglene. Datatilsynet er i dag en sentral aktør på personvernfeltet, og må ha en viktig informasjons- og veiledningsrolle også i fremtiden. Dette fordrer tilgang på tilstrekkelige ressurser og kompetanse. Samtidig kan det problematiseres at ulike roller kan være krevende å forene; Datatilsynet skal samtidig med sin informasjons- og veiledningsrolle fylle tilsynsrollen og vil få adgang til å sanksjonere brudd på personvernreglene. Denne type kompleksitet gjelder også øvrige organer som Arbeidstilsynet, og er mulig å håndtere. Like fullt må rolleutfordringen håndteres for å oppnå reell styrking av personvern og datasikkerhet.
I tillegg til de pedagogiske utfordringene lovforslaget innebærer, særlig for ledelsen, sikkerhetsansvarlig, personvernrådgiver og tillitsvalgt i den enkelte virksomhet, vil tilsynsmyndighetenes opplysningsvirksomhet få ekstra utfordringer. Vanskelig tilgjengelige myndighetskrav vil dessuten gjøre virksomhetene unødvendig avhengig av advokat- og konsulentbransjen.
Hovedspørsmålet er om departementets forslag til ny personopplysningslov kommuniserer godt nok med leseren om et allerede ytterst komplisert rettsområde der myndighetskravene er strenge. I høringsnotatet pkt 3 tar departementet selv opp denne problemstillingen som «de pedagogiske utfordringene». Men departementet kan i nevnte punkt «ikke se at EØS-avtalen åpner for å gjennomføre forordningen ved å gjengi eller omskrive forordningens regler i det norske regelverket (transformasjon).» Dette står i sterk kontrast til hva forordningens fortale nr 8 presiserer, nemlig at:
Når det i denne forordning fastsettes at det kan innføres presiseringer eller begrensninger av dens regler gjennom medlemstatenes nasjonale rett, kan medlemsstatene, i den grad det er nødvendig av hensyn til sammenhengen og for å gjøre nasjonale bestemmelser forståelige for de personer de får anvendelse på, innarbeide elementer fra denne forordning i sin nasjonale rett.
Etter vår oppfatning kan fortalens tekst nettopp tyde på at det er anledning til å innarbeide deler av forordningen i norsk lov. Dette kan eksempelvis være hvor det er rom for og foreslått særskilte unntak i nasjonal lov, og hvor en innarbeiding av nasjonal lovtekst vil være nødvendig for sammenhengen. Et eksempel er reglene om behandlingsgrunnlag i artikkel 6 og 9. Dette er regler som er svært sentrale, hvor hovedregelen kun finnes i forordningen og enkelte særskilte reguleringer fremgår av den norske lovteksten.
I det danske forslaget til egen databeskyttelseslov er det nettopp mange av hovedreglene som gjengis fra forordningen, supplert av viktige unntak, se f.eks. det danske lovforslaget § 1 stk 2 flg. som definerer hva forordningen og loven regulerer, eller det danske lovforslaget kap 3 om behandling av opplysninger. Det norske lovforslaget er uten dette.
Det blir således vanskelig å forstå at EU-landet Danmark skal kunne ha en langt mer leservennlig tekst i sin lovgivning enn det EØS-landet Norge har når de to landene forholder seg til nøyaktig samme forordningstekst. At det materielle innholdet i de ufravikelige delene av teksten i forordningen må følges og ikke omskrives, er selvsagt fordi Norges allerede har inngått en internasjonal forpliktelse. Dersom det likevel skulle oppstå strid mellom originalteksten i forordningen og gjengitt lovtekst i den norske personopplysningsloven og spesiallovgivningen, vil lovforslaget § 5 uansett gi forordningsteksten forrang.
Vi oppfatter nåværende personopplysningslov som oversiktlig, med et forståelig språk og relativt pedagogisk fremstilling av personvernreglene. Nåværende personopplysningslov inneholder blant annet definisjoner av sentrale begreper, skisserer grunnkravene for behandling av personopplysninger, regulerer virksomhetenes informasjonsplikt og ikke minst den registrertes rettigheter knyttet til blant annet innsyn, retting, sletting mv.
Akademikerne noterer at personvernforordningen planlegges innført i norsk rett via korporasjon, konkret ved at det inntas en henvisning til forordningens tekst (oversatt til norsk) i ny personopplysningslov. Selve forordningsteksten planlegges ikke inntatt i ny personopplysningslov. Innføringsmetoden vil innebære at personopplysningsloven ikke lenger vil skissere hovedreglene og definisjonene på personvernfeltet, men gi presiseringer, suppleringer og unntak fra reglene i EU-forordningen. Videre vil forordningstekstens struktur skille seg betydelig fra tradisjonell norsk lovgivningsteknikk.
Selv om innføringsmetoden skulle være nødvendig eller hensiktsmessig i lys av forordningsformen, mener Akademikerne at metoden svekker den nye lovens brukervennlighet. Sett i lys av at et sentralt formål ved forordningen nettopp er å fremme den registrertes personvern, er dette et paradoks og en rettssikkerhetsutfordring. Vi ber på denne bakgrunn om at departementet foretar en ny vurdering av innføringsmetoden. En konkret oppfordring er å vurdere å benytte en lignende innføringsmetode som etter det opplyste planlegges i dansk rett, der deler av forordningsteksten gjengis i ny nasjonal personvernlov.
Dersom den planlagte innføringsmetoden ikke endres, må man etter vår oppfatning søke å bøte på at mange brukere av loven i sterke grad enn før må lene seg på annenhåndskilder i forståelsen av generelle personvernregler.
Slik Akademikerne ser det, er det avgjørende at alle brukere av loven – både den enkelte borger og virksomhetene - har tilgang til god informasjon og veiledning om personvernreglene. Datatilsynet er i dag en sentral aktør på personvernfeltet, og må ha en viktig informasjons- og veiledningsrolle også i fremtiden. Dette fordrer tilgang på tilstrekkelige ressurser og kompetanse. Samtidig kan det problematiseres at ulike roller kan være krevende å forene; Datatilsynet skal samtidig med sin informasjons- og veiledningsrolle fylle tilsynsrollen og vil få adgang til å sanksjonere brudd på personvernreglene. Denne type kompleksitet gjelder også øvrige organer som Arbeidstilsynet, og er mulig å håndtere. Like fullt må rolleutfordringen håndteres for å oppnå reell styrking av personvern og datasikkerhet.
I tillegg til de pedagogiske utfordringene lovforslaget innebærer, særlig for ledelsen, sikkerhetsansvarlig, personvernrådgiver og tillitsvalgt i den enkelte virksomhet, vil tilsynsmyndighetenes opplysningsvirksomhet få ekstra utfordringer. Vanskelig tilgjengelige myndighetskrav vil dessuten gjøre virksomhetene unødvendig avhengig av advokat- og konsulentbransjen.
Med vennlig hilsen
Akademikerne
Akademikerne