Høringssvar - Ny personopplysningslov
Det vises til mottatt høring vedørende forslag til ny personopplysningslov som gjennomfører EUs personvernforordning i norsk rett.
Arbeidsgiverforeningen Spekter ønsker å komme med følgende kommentarer til departementets forslag.
Generelt
Spekter ser det som positivt at personvern blir regulert i tråd med den tekniske utviklingen og internasjonaliseringen slik at både personvern og forutberegnelighet for databehandlere blir ivaretatt.
Spekter ser også store fordeler ved at dette harmoniseres på tvers av landegrenser. Det er samtidig viktig for myndighetene å påse at regelverket ikke må bli så komplekst at det blir vanskelig for virksomhetene å etterleve i praksis.
Økonomiske og administrative konsekvenser.
Spekter er av den oppfatning at ressursbruken og kostnadene ved tilpasningen til nytt regelverk er undervurdert og for dårlig utredet i høringen. For mange av Spekters medlemmer vil det nye regelverket innebære store omlegginger av rutiner og systemer, ikke minst på IT-siden. Dette reflekteres ikke i høringsnotatets kapittel om økonomiske og administrative konsekvenser hvor det sies at «Selv der pliktene endres i noe grad, antar departementet at det ikke vil medføre betydelige økonomiske og administrative konsekvenser». Spekter viser i denne sammenheng også til høringsuttalelsen fra Regelrådet, som konkluderer med at «Regelrådet finner at konsekvensene for næringslivet ikke er tilstrekkelig synliggjort».
Behov for mer praktisk veiledning og tydeliggjøring
Det nye regelverket innebærer en overgang fra en konsesjonsordning til et regime hvor virksomhetene selv må utrede personvernkonsekvenser av tiltak. I enkelte tilfeller skal også Datatilsynet involveres i forhåndsdrøftelser. Det er behov for en tydeliggjøring av hva som skal forhåndsdrøftes med tilsynet. Videre må det tydeliggjøres hvordan overgangen fra dagens konsesjonsbaserte system skal håndteres.
Rollen som personvernombud/rådgiver
Dagens personvernombudsordning er frivillig. Med innføringen av forordningen vil mange virksomheter få plikt til å opprette personvernrådgivere, og innholdet i rollen ser også ut til å utvides. Det er således behov for klargjøring av rollen som personvernrådgiver, samt hvilke private virksomheter som vil ha plikt til å ha personvernrådgiver.
Unntak fra innsynsretten
Det følger av dagens personopplysningslov § 23 første ledd e at det kan gjøres unntak fra innsynsretten for interne dokumenter. Ifølge høringsdokumentet vil det etter departementets syn ikke være adgang til å videreføre dette unntaket med grunnlag i forordningens artikkel 23.
Mulighet til å kunne unnta interne dokumenter fra innsynsrett for virksomheter som ikke er omfattet av offentlighetslovens regler, er av stor betydning for mange virksomheter. Det vil være viktig både i forretningsøyemed og for å kunne gjennomføre en god personalforvaltning.
Med forslaget som foreligger vil det bli en forskjellsbehandling mellom private og offentlige virksomheter, hvor private bedrifter får mindre muligheter til å gjøre unntak fra innsynsretten. Det er viktig at private bedrifter fortsatt skal kunne unnta opplysninger (forretningshemmeligheter mv).
Videre bør det i regelverket presiseres at det er behov for unntak fra innsynsretten også for konserninterne dokumenter, ikke bare selskapsinterne. Med konsern forstås også konsernlignende organisasjonsmodeller.
Spekter viser til advokatforeningens høringsuttalelse på dette punktet hvor det konkluderes med at det ikke vil være i strid med forordningen å videreføre dagens regel om unntak fra innsynsretten, og henstiller departementet om å vurdere dette nærmere.
Overtredelsesgebyr
Det åpnes for å gi overtredelsesgebyr på inntil 4 % av virksomhetens årsomsetning (maks 20 mill. euro). Det kan fastsettes nasjonale regler for om offentlige virksomheter også skal kunne gis overtredelsesgebyr. Dette kan gjøres iht dagens regelverk, og departementet ber om innspill på om dette skal videreføres. Prinsipielt sett er det vanskelig å argumentere for en forskjellsbehandling av privat og offentlig sektor på dette området. Samtidig er det nok ikke gebyr som er det viktigste i forhold til offentlige virksomheter. Faren for omdømmetap og konsekvensene for tilliten brukerne har til tjenesteleverandøren er nok vel så viktig.
Når det gjelder nivået på gebyrene, forstår vi det slik at det legges opp til en harmonisering mellom landene. Vi vil likevel oppfordre til at det, så langt det er mulig, legges opp til et moderat gebyrnivå i Norge. Det må ikke bli slik at kostnader til dekning av svært store gebyr vil ramme øvrig drift og tjenester som skal komme publikum og samfunnet for øvrig til nytte.
Viktig å unngå motstrid mellom ulike hensyn og regelverk
Flere av våre virksomheter har særlovgivning som også berører personvernrelaterte forhold. Vi er usikre på om det på enkelte områder kan oppstå motstrid mellom regelverk. Styrkingen av regelverket som skjermer personopplysninger kan øke utfordringene man har med å fremskaffe og lagre informasjon man trenger for å følge opp andre lovverks krav. Det kan for eksempel være en utfordring mht dokumentasjon for avdekking av arbeidslivskriminalitet. Anskaffelses- og allmenngjøringsregelverket (bl a byggherreforskriften) pålegger bestillende virksomhet en påseplikt som kan innebære behov for å innhente personopplysninger. Tilsvarende er det utfordrende å lage oversikter over innleide med nødvendig dokumentasjon for å følge opp AML sine bestemmelser. Om ikke annet er det viktig at det sikres rom for denne typen personopplysningslagring i arbeidsrettsdelen av regelverket, der det skal være rom for nasjonale reguleringer.
Regulering av tilsettingsforhold og særlovgivningen:
Slik Spekter oppfatter det så reguler både forordningens artikkel 9 og 88 adgang til nasjonal lovgivning av arbeidsforhold. Departementets forslag er med noen justeringer å videreføre dagens regler om innsyn i ansattes e-post og kameraovervåkning. Når det gjelder adgangen til å videreføre dagens regel om arbeidsgivers adgang til å behandle sensitive personalopplysninger, så foreslås denne ikke videreført. Det antas i forslaget at det foreligger tilstrekkelig hjemmelsgrunnlag uten videreføring av dagens regel i personopplysningsloven.
Spekter er av den oppfatning at arbeidsgivers adgang til å behandle personopplysninger og det handlingsrommet som artikkel 88 åpner opp for burde vært bedre vurdert i høringsnotatet. Det er også en svakhet at forholdet til særlovgivningen ikke er vurdert, da dette kan ha betydning for arbeidsgivers adgang til å behandle ansattes personopplysninger. Dette gjelder særlig i forhold til forslaget om ikke å videreføre dagens regel om sensitive personopplysninger.
Elektronisk post, arbeidsgivers innsyn og krav til sletting.
Her mener vi det bør tydeliggjøres at virkeområdet er teknologinøytralt, dvs det dreier seg ikke bare om elektronisk post.
Generelt mener vi at dagens regler når det gjelder innsyn og sletting går veldig langt i å beskytte den ansatte. En videreføring av dagens regler om arbeidsgivers innsynsrett i ansattes e-post og kameraovervåkning på arbeidsplassen bygger på dagens teknologi og er etter Spekters syn ikke fremtidsrettet. Ansattes behov for bruk av arbeidsgivers e-post til private formål er i dag annerledes enn det det var da reglene ble innført. Ansatte har i dag andre muligheter til privat elektronisk kommunikasjon enn å bruke arbeidsgivers e-post, slik at behovet for å ivareta ansatte personvern er betydelig redusert. Virksomhetens skjerpede krav til å ivareta personvern overfor kunder, pasienter og andre brukere av virksomhetens tjenester, og skjerpende reaksjoner for brudd på personvernlovgivningen øker virksomhetens behov for enkel tilgang til virksomhetens systemer.
Vi vil i denne omgang ikke kommentere nærmere reglene om arbeidsgivers innsyn i e-post.
Spekter er uenig i forslaget om sletting av e-post slik det er foreslått i § 4. Det kreves her sletting av e-post konto etter arbeidsforholdets opphør, «innen rimelig tid». 6 måneder etter fratreden har vært antydet som en grense. Forslaget tar utgangspunkt i forholdene i en ideell verden og ikke forskjellige situasjoner som kan gjelde ved avslutning av et arbeidsforhold. En arbeidsgiver har etter vår vurdering et legitimt behov for å kunne beholde tidligere ansattes e-post konto og dokumenter.
I forordningen (art 17 nr 3) er det gitt unntak fra sletteplikten, for eksempel for å oppfylle en rettslig forpliktelse, for arkivformål mv. Vi vil stille spørsmål ved om de foreslåtte nasjonale reglene om sletting (§4) kan være i strid med forordningens regler om unntak. Vi vil derfor anbefale at den foreslåtte §4 om sletteplikten ikke vedtas.
Kameraovervåking.
Det er bedt om høringsinstansenes syn på forslaget om kameraovervåking på arbeidsplasser, som er vedlagt som et separat lovutkast.
Vi mener det foreslåtte regelverket rundt kameraovervåking er uklart. Det er ikke klart hva som skal forstås med begrepet «arbeidsplass» i denne sammenheng. Flere av våre medlemmer innenfor helse- og samferdsel har kameraovervåking hvor kameraet er plassert på arbeidsplassen, men hvor formålet dreier seg om brukeres og pasienters sikkerhet mv. Begrepet «arbeidsplass» bør derfor presiseres slik at regelen kun gjelder kameraovervåking som har som formål å overvåke arbeidstakere på arbeidsplassen. Det må tydeliggjøres at reglene ikke dreier seg om kameraovervåking ut fra andre formål.
Departementet ber også om høringsinstansenes syn på om det bør fastsettes forbud mot kameraovervåking i undervisningstiden på skoler og barnehager.
Dette er et tema som bør utredes nærmere før det tas stilling til et eventuelt forbud. Hvis det skulle bli et forbud, er det Spekters oppfatning at det vil være viktig at det skilles mellom det som skjer i åpningstiden og resten av døgnet, slik departementet peker på.
Behandling av sensitive personopplysninger:
Etter dagens personopplysningslov § 9 første ledd bokstav f har arbeidsgiver adgang til å behandle sensitive personopplysninger. Forordningens artikkel 9 nr 2 bokstav b åpner opp for å behandle sensitive personopplysninger på området arbeidsrett, trygderett og sosialrett der dette er i tråd med unionsretten eller nasjonal lovgivning.
I høringsnotatets punkt 8.3.2 uttrykker departementet tvil om det er behov for å videreføre dagens generelle unntak i personopplysningsloven § 9 nr 2 bokstav b og ber om høringsinstansene syn på dette.
Spekter er av den oppfatning at det er behov for å videreføre dagens generelle unntaksregel for å behandle sensitive personopplysninger tilsvarende dagens regel i § 9 bokstav f. Dette blant annet fordi rettstilstanden når det gjelder arbeidsgivers adgang til å behandle sensitive personopplysninger uten dagens generelle unntaksbestemmelse vil bli fragmentarisk, og unnlatelse av å videreføre dagens unntaksbestemmelse kan i seg selv være egnet til å skape tvil om arbeidsgivers adgang til å behandle sensitive personopplysninger.
Det bør vurderes om det er grunn til å samle reguleringer som berører personvern i arbeidslivet i en lov. Spekters oppfatning er at det mest naturlige vil være i arbeidsmiljøloven.
Organisering av tilsynsmyndighet og reaksjoner
I kapittel 19.3.2 bes det om høringsinstansenes syn på hvorvidt man bør opprettholde dagens ordning hvor personvernnemnda består av 7 medlemmer, eller om denne bør reduseres til 5 medlemmer. Spekter er av den oppfatning at det er viktig at nemnda er sammensatt med bred kompetanse. Vi mener derfor at dagens ordning med 7 medlemmer bør opprettholdes.
Forordningen har ikke bestemmelser om administrativ inndragning, men åpner i artikkel 58 nr. 6 for at tilsynsmyndighetene kan få utvidet kompetanse, herunder ilegge administrative reaksjoner. I dagens Personopplysningslov åpnes det ikke for administrativ inndragning. Dersom det innføres en hjemmel for Datatilsynet til å foreta administrativ inndragning er Spekter enig med departementet i at det må fastsettes tilstrekkelige rettsikkerhetsgarantier. Spekter er videre enig i at et vedtak om inndragning bør kunne prøves fullt ut av domstolene og bør ikke tvangsfullbyrdes før vedtaket er endelig.
Spekter støtter videre departementet i å oppheve straffebestemmelsen i personopplysningsloven og straffebestemmelser i særlovgivningen som bygger på forordningen. Spekter vil samtidig påpeke at dette ikke må få innvirkning på størrelsen på gebyrene.
Verken personopplysningsloven eller forordningen har regler om foreldelse av adgangen til å ilegge overtredelsesgebyr. Departementet ber om høringsinstansenes syn på om det bør innføres en foreldelsesfrist for adgangen til å ilegge overtredelsesgebyr og hvor lang denne i så tilfelle bør være.
Spekter er av den oppfatning at det bør innføres foreldelsesregler om adgangen til å legge overtredelsesgebyr. Det økte nivået for maksimal størrelse for ileggelse av gebyrene vil kunne ramme virksomheter hardt slik at rask avklaring og forutberegnelighet vil bli av større betydning enn tidligere. En eventuell foreldelsesfrist vil imidlertid måtte balansere hensynet til forutberegnelighet og gode rammevilkår for utarbeidelse av beslutningsgrunnlag. Da en slik foreldelsesfrist ikke har vært praktisert frem til i dag bør spørsmålet om fristens lengde og beregning utredes nærmere før en slik frist eventuelt fastsettes.
Offentlighetsloven, innsyn i søkerlister og lønnsdata
Dette er ikke en del av det som etterspørres i høringen, men vi mener høringen også er en anledning til å adressere offentlighetsloven.
Det kan hevdes at den styrkede sikring av personopplysninger som regelverket i personsopplysningslovgivningen nå legger opp til ikke er forenelig med offentlighetslovens regler hva gjelder utlevering av personopplysninger, slik som f.eks lønnsopplysninger og søkerlister.
Her er det motsetningsforhold mellom hensynene offentlighetsloven skal ivareta og hensynet til skjermingen som av personopplysninger som personvernregelverket er utviklet for å styrke. Det kan derfor være grunn til å se nærmere på offentlighetsloven krav på dette området.