Gå til innhold

Lov&Data

4/2024: Jubileumsartikler 1984–2024
17/12/2024

Registrerte personers rettigheter i et 50-årsperspektiv(1)* En noe annen versjon av denne artikkelen er publisert i M. Brinnen, C. M. Sjöberg, D Törngren, D. Westman, og Sören Öman (red.), «Dataskyddet 50 år – historia, aktuella problem och framtid». Utgiver: eddy.se ab, Stockholm 2024, s. 63–76.

Av Dag Wiese Schartum, professor ved Senter for rettsinformatikk, Det juridiske fakultetet, arbeider primært med spørsmål om automatiseringsvennlig lovgivning, automatisering av rettslige avgjørelser, og personvern - særlig i samband med nevnte automatisering, etablerte i 1994 masterstudiet i Forvaltningsinformatikk som han fremdeles har ansvaret for og han har skrevet en rekke bøker og artikler.

Illustrasjon: Colourbox.com

1. Innledning med problemstilling

I en artikkel i 1969 i tidsskriftet Databehandling, uttrykte Disponent Gunnar Fornehed i Bull/GE sin frustrasjon over sine landsmenn: «At [den personliga integriteten] skulle befinna sig i farzonen om man bygger upp informationsbankar råder det vid det här laget ingen som helst tvivel om, men märkligt nog tycks ‘Svensson’ inte ännu inse hur allvarlig situationen blir när han blir post i en databank.» Han listet deretter opp 3 ½ side fingerte, men realistiske, personopplysninger som allerede var registrert om svenske borgere i forskjellige databanker. Fornehed minnet om at disse lett kunne integreres i én stor databank.(2)Artikkelen er gjengitt i Samuelsen 1972, s. 214–217.

Fornehed og mange andre mente altså det var grunn til bekymring. Men hva slags lovgivning burde man velge for å beskytte befolkningen? Som den første nasjonale loven av sitt slag i verden, var den svenske Datalagen av 1973 på mange måter et lovgivningseksperiment. Usikkerheten var stor om hvordan databanker og ADB-baserte personregistre burde reguleres. Således uttalte lovgiver eksplisitt at Datalagen var et foreløpig tiltak, og at det ikke var usannsynlig at lovgivningen senere ville bli utformet på mer detaljert måte.(3)Seipel 1974, s 54. Kreditupplysningslag (1973:1173) fra samme år, hadde en mer detaljert utforming, se Hafli 1977, s. 7 og Seipel 1974, s. 54.

Den svenske datalagen skulle forhindre «otillbörligt intrång i registrerads personliga integritet» (7 §) med forholdsvis enkle midler. Hovedgrepet var konsesjonsordning og krav om tillatelse fra Datainspektionen. Dessuten fikk Datainspektionen vid og skjønnsmessig myndighet. Det var i stor grad Datainspektionen som skulle sørge for at folks personlige integritet ble beskyttet. På mange måter hadde Datalagen en «patriarkalsk» tilnærming: Hovedgrepet var at Datainspektionen skulle passe på borgerne ved å vurdere et stort antall konsesjonssøknader.(4)Slik var det også med lignende lovgivning i andre land på 1970-tallet. Samtidig ble det gitt enkelte individuelle rettigheter slik at den enkelte kunne ivareta sine egne interesser. Hvor viktige var individuelle rettigheter i Datalagen 1973, og hvordan tenkte man om individuelle rettigheter på den tiden denne loven ble til? I artikkelen gjennomgår jeg også hvordan lovgivningen om individuelle rettigheter har utviklet seg i løpet av de 50 årene som har gått siden Datalagen ble vedtatt.

Hvor viktige var individuelle rettigheter i Data­lagen 1973, og hvordan tenkte man om individuelle rettigheter på den tiden denne loven ble til?

2. Rettighetene i Datalagen 1973

Datalagen inneholdt tre rettighetslignende bestemmelser, se 8–10 §§.(5)I avsnitt 5 diskuterer jeg hva en rettighet kan sies å være. Dette gjaldt bestemmelser om uriktige og misvisende personopplysninger, komplettering av ufullstendige opplysninger, og adgangen for enkeltpersoner til å inspisere opplysninger om egen person.

Med referanse til Aurenhammer, fremhever Peter Seipel retten til å inspisere egne personopplysninger som «Magna Carta of the data protection».(6)Seipel 1974, s 60.En slik rett fantes i Datalagen 10 §. Her pålegges den registeransvarlige å underrette om innholdet av personopplysninger som inngår i et register, eventuelt underrette om at slike opplysninger ikke finnes. Plikten ble utløst av en skriftlig og underskrevet begjæring fra vedkommende enkeltperson. Hver registeransvarlig hadde kun plikt til å gi en og samme enkeltperson tilgang til opplysningene én gang per år.

Det var ingen mekanisme for å gjøre registrerte personer oppmerksom på at det fantes personregistre med opplysninger om ham eller henne. I mangel av annen kunnskap måtte den som ønsket å inspisere sine opplysninger, derfor først be om innsyn i Datainspektionens fortegnelse over personregistre. Slikt innsyn ble gitt i henhold til offentlighetsprincipen. Datalagen 1973 gav kun rett til å se egne opplysninger, og det var ingen videre rett til å få kunnskap om den faktiske bruken av opplysningene. Hvert register skulle ha et formål (7 § 1 st.) og Datainspektionen skulle ha tilgang til denne informasjonen (17 §). Først flere år senere fikk de registeransvarlige plikt til å føre fortegnelse over personregistre de hadde,(7)Datalagen 7 a §. men heller ikke da fikk registrerte personer lovfestet rett til å se disse opplysningene. Kunnskapsgrunnlaget for å sende begjæring om å se egne personopplysninger var med andre ord meget begrenset.

Også spørsmål om retting, endring, utelatelse og komplettering av personopplysninger var regulert i Datalagen 1973, se 8 § og 9 §. Bestemmelsen i 8 § gjaldt adgang til å kreve gransking av om opplysninger var uriktige eller misvisende. Enhver begrunnet mistanke om dette utløste plikt for registeransvarlige til å foreta «skälig utredning» av spørsmålet, uavhengig av hvem som reiste spørsmålet. Var det en registrert person som hadde meldt mistanke om at personopplysninger var uriktige eller misvisende, skulle de ha bistand fra en person hos den registeransvarlige. Den registrerte skulle dessuten underrettes av denne personen om hvilke tiltak registeransvarlige ville iverksette for å rette på forholdet.

Bestemmelsen i 9 § regulerte situasjoner der personopplysninger var ufullstendige, og påla en plikt til å komplettere opplysningene. Det var også plikt til å komplettere ved å ta inn personer som en ut ifra formålet med registret måtte forvente å finne opplysninger om. Det skulle gjennomføres slik komplettering «som behövs». Det var altså ingen ubetinget plikt til å komplettere, med mindre «ofullständigheten kan antagas medföra otillbörligt intrång i personlig integritet eller fara för rättsförlust». Bestemmelsen gav ikke registrerte personer en direkte rett til å kreve komplettering.(8)Dersom en ufullstendighet representerte misvisende opplysning, er det imidlertid mulig bestemmelsen i 8 § kunne komme til anvendelse.

Vernet av den enkelte registrerte person var etter Datalagen 1973 ikke begrenset til de nevnte rettighetene i 8 – 10 §§. I tillegg kunne den enkelte klage til Datainspektionen. Inspektionen skulle påse at automatisk databehandling «icke medför otilbörligt intrång i personlig integritet».(9)Jf. Datalagen 1973, 15 §.Henvendelser fra enkeltpersoner med påstand om «otilbörligt intrång» måtte derfor følges opp. Selv om Datainspektionen tok imot individuelle klager, var det imidlertid ikke i loven formulert en tydelig individuell klagerett.

Ovenfor har jeg betegnet bestemmelsene i 8 § og 10 § rettigheter, men fremhevet at bestemmelsen i 9 § ikke gav noen direkte rett for enkeltpersoner. Alle tre bestemmelser er plassert i kapittelet om «Den registeransvarliges skyldighet». Ingen av bestemmelsene bruker ord som «rätt» eller«rättighet». I Datalagen 1973 blir ordet «rätt» knyttet til Datainspektionen, myndigheter og mottakere av personopplysninger. Heller ikke den norske personregisterloven (vedtatt 1978) hadde klart formulerte rettigheter.(10)I bestemmelsen om retting og komplettering av personopplysninger i § 8 i den norske loven, var den registrerte ikke en gang nevnt. Bare bestemmelsen om innsyn var formulert som rettighet: «Alle har rett til å få opplyst hvilke opplysninger om dem selv som lagres eller bearbeides ved elektroniske hjelpemidler.» (§ 7).Slik sett er kontrasten til dagens lovgivning stor.(11)Spørsmålet er imidlertid hva det vil si at registrerte personer har en rett, og hvor stor betydning det har at en i lovgivningen bruker klare rettighetsbetegnelser. Dette kommer jeg tilbake til i avsnitt 5.

Det er neppe grunn til å forstå den manglende rettighetsperspektivet i Datalagen 1973 og andre personvernlover på 1970-tallet, som uttrykk for uvilje mot at den enkelte skulle få innflytelse over egen situasjon. Det er derimot viktig å huske at de aller færreste mennesker på 1970-tallet hadde kunnskaper om og erfaringer med databanker, personregistre og «ADB»; dette var lenge før PCens og mobiltelefonens tid. Folks forutsetninger for å kunne ivareta egne interesser ved å utøve individuelle rettigheter, var derfor meget begrenset. Slik sett var det nærliggende at vern om den personlige integriteten primært måtte sikres i relasjonen mellom de registeransvarlige og tilsynsmyndigheten.

3. Rettigheter i tidligere lover og lovforslag på 1960-tallet(12)Takk til bibliotekar Tormod Andersen for meget verdifull bistand ved utarbeidelsen av dette avsnittet.

Før vedtakelsen av Datalagen 1973, var det diskusjoner i flere land om behovet for datalover og hva slike lover burde inneholde. Her vil jeg belyse hvordan spørsmålet om den enkeltes rettigheter ble diskutert. Jeg begynner med en artikkel i Scientific American fra september 1966, skrevet av professor John McCarthy. Artikkelen, med tittel «Information», inneholder et samlet forslag til individuelle rettigheter knyttet til personvern og databanker. Alt tyder på at forslaget er det aller første av sitt slag.(13)Jeg bygger denne antakelsen på den omfattende litteraturoversikten i «Computers and Privacy: A Survey» i Hoffman 1969 som primært dekker USA, og på oversikten i Niblett 1971 som er skrevet for OECD med hovedfokus på Europa.

Nedenfor vil jeg også gjennomgå rettigheter i det første lovforslaget om personvern og databanker. Forslaget var fremmet i det engelske underhuset, men ble ikke vedtatt.(14)Se Van Alsenoy 2019, s. 164. Til slutt skal jeg kort seg på hvordan spørsmålet om rettigheter ble ivaretatt i den første vedtatte loven i den Vest-Tyske delstaten Hessen. De nevnte tre kildene er av interesse når en skal danne seg bilde av rettighetstenkningen knyttet til personvern, databehandling og rettigheter i tiden rett før Datalagen 1973 ble til.

Det første brede forslaget til datalovgivning ble fremmet i en fagartikkel av professor John McCarthy ved Standford University. McCarthy var blant annet en av grunnleggerne av kunstig intelligens som fagdisiplin.(15)John McCarthy (computer scientist) - WikipediaI en artikkel som primært redegjorde for tekniske aspekter ved prosessering av informasjon ved hjelp av datamaskiner, forslår McCarthy en «Computer Bill of Rights».(16)McCarthy 1966, s 72.Forslaget hadde fem hovedelementer: i)Rett til å gjøre seg kjent med sine filer med opplysninger; ii) rett til å hindre at visse opplysninger blir registrert; iii)rett til å kreve at visse tilgangsrestriksjoner ble iverksatt; iv)rett til å kreve at tilgang til filer med opplysninger om finansielle forhold må godkjennes av aktuell person; og v)plikt til at datasystemer må logge hver gang det blir gitt tilgang til filer med opplysninger om enkeltpersoner. McCarthy understreket dessuten at regler om tilgang til slike filer måtte være klare og tydelige og godt publiserte. Datamaskinprogrammer som iverksetter tilgang til filer måtte, ifølge McCarthy, i tillegg være åpent tilgjengelig for alle, inklusive borgerrettighetsorganisasjoner som f.eks. American Civil Liberties Union.

Et engelsk privat lovforslag om Data Surveillance Bill (1969) fikk oppmerksomhet i den internasjonale debatten om datalovgivning og personvern.(17)Samuelsen 1972, s 180. Forslaget ble fremmet av MP Kenneth Baker med flere. Dette var trolig det første formelle lovforslaget om personvern og databanker. Forslaget var utarbeidet før delstaten Hessens datalov og ble fremmet i det britiske parlamentet i 1969, men ble forkastet og fikk ikke en «second reading».(18)Forslaget er trykket i Samulesen 1972, bilag 5 (s. 226–231).Kenneth Baker M.B la forslaget frem for Underhuset, og Lord Windlesham la fram forslag med identisk ordlyd for Overhuset (Niblett 1971, s. 32). Lovforslaget hadde vidt virkeområde og omfattet en rekke registre i offentlig og privat sektor.(19)Se forslagets paragraf 1(1). Det ble forslått bestemmelser om aktiv informasjonsplikt for operatører av databanker: Senest to måneder etter at en persons navn først var registrert i en databank,(20)Registrering skulle skje hos «Registrar of Restrictive Trading Agreements», jf. paragraf 1(1) i lovforslaget. Dette organet var allerede opprettet i 1956 og skulle bidra til å fremme konkurranse og motvirke handelshindringer. Organiseringen viser trolig at forslaget til Data Surveillance Bill også var konkurransepolitisk motivert. skulle operatøren av databanken sende en utskrift til personen som inneholdt alle opplysninger i databanken som gjaldt vedkommende person.(21)Se forslagets paragraf 4(1). Unntak ble gjort for databanker i politiet, sikkerhetstjenestene og de væpnede styrkene.(22)Jf. forslagets paragraf 2(1). Den enkelte person kunne deretter når som helst kreve tilsvarende utskrifter fra databanken mot betaling som registermyndigheten fastsatte for hver gang. Utskriftene skulle inneholde informasjon om det angitte formålet med bruken av opplysningene, det faktiske formålet for bruk siden den siste utskriften, samt navn og adresser på mottakere som hadde mottatt data siden siste utskrift.(23)Se forslagets paragraf 4(2) bokstavene a–c.

Personer som hadde mottatt utskrift av sine data som beskrevet ovenfor, kunne kreve alle eller noen opplysninger om seg endret eller slettet. Begrunnelsen for slike krav kunne være at de registrerte opplysningene var uriktige, urettferdige eller ikke oppdaterte, vurdert ut ifra det angitte formålet med opplysningene. Kravet måtte sendes registeringsmyndigheten som kunne avgjøre saken. I tillegg kunne mottakere av de aktuelle dataene varsles.

Delstaten Hessens datalov fra 1970 var begrenset til databehandling som skjedde i eller på vegne av offentlige myndigheter og virksomheter i delstaten.(24)Se «Hessen Datenschutzgesetz vom 7. Oktober 1970», Gesetz- und Verordnungsblatt für das Land Hessen (HE GVBI), Section 1.Loven hadde enkle bestemmelser som gav individuelle rettigheter. Det sentrale var en rett til å kreve uriktige opplysninger rettet.(25)Se section 4(1)og Van Alsenoy 2019, s. 167.Denne retten hadde enhver «agrieved party»,(26)Jf. uoffisiell oversettelse i Niblett 1971, s. 48.det vil si rettigheten var ikke begrenset til personer det var registrert opplysninger om. Registrerte personer hadde i tillegg en generell rett til å klage og til å kreve opphør av enhver ulovlig bruk av opplysninger om dem.(27)Se section 4(2). Van Alsenoy 2019, s. 167 omtaler dette som «blocking ».Kravene til lovlighet gjaldt fasene innsamling, overføring og lagring, og stilte krav til at oppslag i registre, endring, uttrekk og destruksjon av opplysninger bare kunne utføres av autoriserte personer. Alle som mente at deres rettigheter hadde blitt krenket, kunne henvende seg til Personvernkommisjonæren.(28)Se section 11.Kommisjonæren hadde imidlertid ikke myndighet til å gi bindende direktiver, men måtte nøye seg med å varsle ansvarlig myndighet om at bestemmelser i Dataloven var overtrådt.(29)Hafli 1977, s. 21.

Gjennomgangen ovenfor viser ganske forskjellige tilnærminger til spørsmålet om individuelle rettigheter. De mest progressive og «moderne» ideene ble formulert av teknologen McCarthy. Når det gjelder rettigheter og beskyttelse av den enkeltes interesser, var det britiske lovforslaget mer konkret enn loven som ble vedtatt i Hessen. Det er overraskende at loven i Hessen ikke hadde egne bestemmelser om innsyn i og inspeksjon av de registrertes egne opplysninger.(30)En del av forklaringen kan være at loven kun gjaldt «records and data within the purview of the Land authorities and the public corporations, institutions and establishments under the jurisdiction of the Land.» (Nibletts oversettelse, referert i Samuelsen 1972, s. 220) En mulighet er at registrerte kunne ha innsynsrettigheter vedrørende sine personopplysninger i samsvar med delstatens offentlighets- og forvaltningslovgivning, men dette har jeg ikke undersøkt.Det engelske forslaget fra 1969 gikk meget langt i å skape åpenhet. Den aktive plikten for operatørene av databanker til å informere registrerte personer ved å sende dem utskrift av opplysninger om dem, er mer i slekt med GDPR artikkel 13 og 14 om informasjonsplikt, enn GDPR artikkel 15 om rett til innsyn. Inspeksjonsretten i Datalagen 1973, 10 §, gav til sammenligning langt svakere rettigheter for registrerte personer. Selv om det engelske forslaget aldri ble vedtatt, og kanskje ikke var et realistisk utgangspunkt for lovgivning, er det likevel interessant å merke seg det meget store spennet mellom aktiv og omfattende støtte til åpenhetsprinsippet i Data Surveillance Bill 1969, og en mer «passiv» og begrenset inspeksjonsrett i Datalagen 1973.

Vektlegging av datakvalitet og rett til å kreve endring og sletting, synes å være felles for tidlige datalover. Her er imidlertid Datalagen 1973, 8 §, mye klarere og mer detaljert enn den relativt enkle bestemmelsene i Hessens datalov og Data Surveillance Bill. Særlig er det grunn til å trekke frem det svenske kravet om «skälig utredning», plikten til å underrette den registrerte om iverksatte tiltak, og plikten til å bistå de registrerte. Det finnes ikke bestemmelsen i det engelske lovforslaget og i Hessens lov som tilsvarer Datalagen 1973, 9 §, om komplettering av ufullstendige opplysninger. Samlet sett synes Datalagen å legge spesielt stor vekt på datakvalitet, og loven la til rette for at registrerte personer kan bidra aktivt til dette.

4. Oversikt over den enkelte rettigheter – type og innhold

Registrertes rettigheter har en langt mer fremtredende plass i dagens felle europeiske lovgivning enn i Datalagen 1973. Forskjellene viser seg for det første i lovstrukturen. Datalagens bestemmelser om rettigheter var del av kapittelet om «Den registreransvariges skyldigheter». I OECDs retningslinjer om personvern fra 1980,(31)Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal data, adopted 23/09/1980. var registrertes rettigheter formulert som et grunnleggende prinsipp for nasjonal lovgivning på området. Således ble det formulert et «Individual Participation Principle»i Section 13. I EUs Personverndirektiv, 25 år etter Datalagen, inngikk rettigheter i kapittel II om «Alminnelige vilkår for lovlig behandling av personopplysninger». I gjeldende personvernforordning (GDPR) har lovgiver samlet alle rettigheter i kapittel III om «Den registrertes rettigheter».(32)Bortsett fra retten til å gi og trekke tilbake samtykke, jf. artikkel 4(11). I dagens lovgivning er rettighetene med andre ord gitt en helt sentral plass. I tillegg til bestemmelser som er tydelig formulert som rettigheter, inngår to bestemmelser i kapittel III om den behandlingsansvarliges plikt til å informere de registrerte.(33)Se artikkel 13 og 14. Dessuten er det tatt inn en bestemmelse om gjennomføring av rettigheter.(34)Se artikkel 12.

Også når det gjelder typer rettigheter(35)Her har jeg ikke anledning til å gå nærmere inn på innholdet av hver rettighet. har det vært en klar utvikling. Nedenfor har jeg satt opp en tabell som stikkordsmessig angir de ulike rettighetene i Datalagen 1973, Personverndirektivet (DPD) og Personvernforordningen (GDPR), og den eller de bestemmelsene som primært omhandler hvert rettighetsspørsmål, se Tabell 1.

Tabell 1: Utvikling av typer rettigheter for registrerte personer.

Datalagen 1973

DVD 1995

GDPR 2016

Innsyn/inspeksjon

10 §

Art. 12

Art. 15

Korrigering, komplettering, endring, utelatelse (jf. datakvalitet)

8 § og 9 §

Art. 12(b)

Art. 16

Sletting

(12 §)

Art. 12(b)

Art. 17

Samtykke

Art. 7(a), 8(2)(a),
jf. 2(h)

Art. 6(1)(a), 9(2)(a),
jf. 4(11)

Protestere

Art. 14

Art. 21

Helt automatisk/manuell

Art. 15

Art. 22

Begrenset behandling

Art. 18

Dataportabilitet

Art. 20

Språk

Art. 12(1)

Fremgangsmåter

Art. 12(a)

Art. 12 (3) og (4)

I tillegg til slike bestemmelser som Datalagen 1973 tydelig angav som rettighet vedrørende inspeksjon av egne personopplysninger samt datakvalitet, er spørsmålet om sletting i dag tydelig regulert som en individuell rettighet.(36)Paragraf 12 i Datalagen 1973 er satt i parentes fordi den ikke var formulert som rettighet. Dessuten har det kommet til flere nye typer rettigheter.

Personverndirektivet innførte samtykke som rettslig grunnlag, dvs. som en rett for registrerte personer til i visse tilfeller å kunne bestemme om behandling av opplysninger om dem skulle være lovlig eller ikke. Personvernforordningen videreførte retten til å samtykke. Samtykke var verken del av Datalagen 1973, OECDs retningslinjer om personvern (1980) eller Europarådskonvensjonen om personvern (1981). Seipel 2001 (s. 139) hevder at informert samtykke var viktig også i Datalagen 1973. For å kunne mene dette tøyer han imidlertid samtykkebegrepet svært langt. Seipels poeng var at Datalagen 3 § 2. st. påla Datainspektionen å legge vekt på registrerte personers virkelige eller antatte holdninger, når inspektionen skulle ta stilling til hva som skulle regnes som «otillbörligt intrång». Dette er imidlertid veldig forskjellig fra samtykke som individuell rettighet slik det ble introdusert i Personverndirektivet.

Personverndirektivet innførte også en rett for den registrerte til i visse tilfeller å protestere mot at personopplysninger om ham eller henne blir behandlet. Protestretten i Direktivet hadde bakgrunn i den franske personvernloven av 1978.(37)Zanfir-Fortuna 2020, s. 510. Retten ble videreført i personvernforordningen. Personverndirektivet innførte dessuten en bestemmelse om rett til i visse tilfeller motsette seg å bli undergitt helt automatiske beslutninger. En lignende bestemmelse er tatt inn i Personvernforordningen, og denne bestemmelsen omfatter også profilering.(38)Jf. GDPR Artikkel 4(4).

Vedtakelsen av Personvernforordningen innebar også to nye rettigheter for registrerte personer som ikke fantes i Personverndirektivet. For det første ble det vedtatt en rett til å kreve begrenset behandling av egne personopplysninger i tilfeller der den registrerte mener opplysningene er uriktige eller at behandlingen er ulovlig. Krav om begrenset behandling er også aktuelt når opplysningene ellers skulle vært slettet fordi behandlingsformålet ikke lenger begrunner lagring, men den registrerte trenger opplysningene for å fastsette, gjøre gjeldende eller forsvare et rettskrav. Dessuten er begrenset behandling aktuelt når den registrerte har protestert mot en behandling.

Retten til dataportabilitet var den andre nye rettigheten som Personvernforordningen introduserte. Registrerte personer har rett til å motta egne personopplysninger i maskinlesbart format fra den behandlingsansvarlige. Retten gjelder kun opplysninger som den registrerte selv har gitt til. Retten til dataportabilitet gjelder også overføring av nevnte maskinlesbare opplysninger til en annen behandlingsansvarlig. Dataportabilitetsretten er imidlertid begrenset til tilfeller der behandlingsgrunnlaget er samtykke eller avtale med den behandlingsansvarlige, og forutsetter dessuten at behandlingen utføres automatisk. Retten til dataportabilitet har vært sett på som utvidelse av retten til innsyn, men kan sies å være en mer radikal rettighet,(39)Jf. Lynskey 2020, s. 500. bl.a. fordi den innebærer plikt for behandlingsansvarlige til å utføre praktiske handlinger (overføring) når registrere personer ber om det.

I tillegg til nye rettigheter for registrerte personer introduserte Personvernforordningen krav til det språket og den kommunikasjonsmåten behandlingsansvarlige skal benytte ovenfor registrerte og andre. Erkjennelsen om at det ofte kan være vanskelig å forstå innhold av kommunikasjon som gjelder digital databehandling, er gammel. I John McCarthy forslag til Computer Bill of Rights, inngikk det f.eks. et krav om at alle regler om tilgang til datalagre skulle være klare, bestemte og godt kunngjort.(40)Se McCarthy 1966, s. 72.

I henhold til personvernforordningen skal informasjon fra behandlingsansvarlige om rettigheter fremlegges på «kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk».(41)Se artikkel 12(1). Personvernforordningen stiller altså krav til behandlingsansvarliges språk. Kravet om klarhet og kunngjøring mv i forslaget fra McCarthy gjaldt imidlertid loven selv.

Personvernforordningen representerer en relativt systematisk tilnærming til spørsmålet om hvordan henvendelser fra registrerte personer skal bli behandlet. Særlig vil jeg trekke frem klare fristbestemmelser, regler om kostnader og adgangen til å kreve sikker identifikasjon.(42)Se artikkel 12(3) - (6). Av størst betydning for registrerte personer som ikke blir hørt når de fremsetter krav om å bruke en rettighet, er imidlertid en «begrunnelsesplikt» for den behandlingsansvarlige som helt eller delvis motsetter seg å innvilge rettigheten. Således heter det i artikkel 12(4) at den behandlingsansvarlige må angi årsaken til at behandlingsansvarlige ikke vil treffe tiltak slik den registrerte krever. «Tiltak» referer til slike handlinger som innvilgelse av rettigheter innebærer, det vil for eksempel si det å gi innsyn, slette personopplysninger, begrense behandlingen av opplysninger mv. Forordningen stiller ingen direkte krav til den saksbehandling behandlingsansvarlige må utføre før de treffer sin avgjørelse, jf. kravet til «skälig utredning» i Datalagen 1973, 8 §. Trolig vil anvendelsen av prinsippet om lovlighet, rettferdighet og åpenhet (artikkel 5(1)(a)) begrunne et tilsvarende krav til forsvarlig og balansert saksutredning, men dette fremgår ikke direkte og er usikkert.

I denne gjennomgangen har jeg ikke hatt anledning til å gå nærmere inn på det detaljerte innholdet av de ulike rettighetene, men har i stedet forholdt meg til typer rettigheter. Dette gir selvsagt et noe forenklet bilde av hvordan registrertes rettigheter kan sies å ha utviklet seg de siste 50 årene. Hovedbildet er imidlertid klart: Fra å være spredte bestemmelser i tidlig lovgivning, er spørsmålet om rettigheter nå tydelig løftet frem og utgjør et eget, sentralt kapittel i Personvernforordningen. Antallet rettigheter har økt gradvis. Slik jeg har klassifisert aktuelle bestemmelser, er det for hver vesentlige reform av personvernregelverket i EU, lagt til nye rettigheter. Rekkefølge mellom de aktuelle bestemmelsene i rettighetskapittelet (kap. III), angir en forsiktig systematikk. For eksempel er alle bestemmelser som bidrar til åpenhet (artikkel 13–15) satt etter hverandre, først i kapittelet. De markerer dermed en åpenhet som er grunnleggende for de øvrige rettighetene. Det er også henvisningsstrukturer som angir viktige samspill mellom bestemmelsene om protest, begrenset behandling og sletting av personopplysninger. Ut over dette fremstår rettighetene likevel som en «liste» mer enn et systematisk sammenhengende hele av bestemmelser som registrerte personer kan benytte seg av. Bestemmelsene kan gi gode muligheter for enkeltpersoner som evner å forstå og håndtere den juridiske kompleksiteten. For andre kan den lett skape stor usikkerhet om hva en egentlig har rett til, jf. neste og siste avsnitt.

5. Hva er egentlig en rettighet?

Når jeg her stiller spørsmålet om hva en rettighet i personvernlovgivningen egentlig er, er det ikke for å gjøre filosofiske eller rettsteoretiske analyser. Perspektivet mitt er snarere praktisk-juridisk, og gjelder både hvordan rettighetsbestemmelser har vært formulert, og hvordan spørsmål om konkret anvendelse av rettigheter skal avgjøres.

En kan for det første tenke seg at registrerte kunne ha rett til å bestemme selv, dvs. treffe valg på egenhånd på måter som får bestemmende betydning for hvordan opplysningene om dem blir behandlet. Registrertes samtykke er en slik rett. For det andre kan rettigheter handle om rett til å kreve at noe skal skje, f.eks. at den behandlingsansvarlige skal gi innsyn, slette opplysninger osv. Slike rettigheter som har vært del av personvernlovgivningen siden Datalagen 1973.

Når standardformuleringen i Personverndirektivet er «Den registrerte skal ha rett til [et tiltak eller handling fra den behandlingsansvarlige]», må det ses som en slags informasjon til registrerte personer om at de kan bruke sin ytringsfrihet til å fremsette krav overfor de som behandler personopplysninger om dem. Slike bestemmelser skaper også plikt for de behandlingsansvarlige til å vurdere slike krav. Det er likevel grunnleggende opp til den behandlingsansvarlige å vurdere hensyn og argumenter som kan tale for eller mot at kravet skal etterkommes. Samtidig må de imidlertid forholde seg til den rettslige rammen som Personvernforordningen utgjør, ikke minst formålsbestemmelsen (artikkel 1) og personvernprinsippene (artikkel 5).

Tabell 2: Klassifisering av typer rettigheter for registrerte personer.

Rett

Rett/Plikt

Plikt

Samtykke

X

Innsyn

X

Begrenset behandling

X

Protest

X

Dataportabilitet

X

Korrigering, komplettering, endring

X

Sletting

X

Informasjon

X

Det er ikke alltid stor forskjell på om vi forstår «rettighetsbestemmelser» som rettigheter for registrerte, eller om vi også ser visse plikter som behandlingsansvarlige har overfor registrerte som en slags rettighet. Ofte gjelder både rett og plikt samtidig. I andre tilfeller er kun plikt eller rett det riktig perspektiv. Jeg har illustrert dette skillet i Tabell 2 ovenfor.(43)Jeg har ikke tatt med bestemmelsen i artikkel 22 om retten til ikke være gjenstand for helt automatiserte avgjørelser, herunder profilering. Årsaken er at denne er blitt fortolket av som noe annet enn en rettighet.

I tabellen deler jeg bestemmelser som vanligvis betegnes rettigheter i to grupper; de der bare den registrerte kan fremsette krav («Rett»), og de der registrerte kan fremsette krav samtidig som behandlingsansvarlige har en selvstendig plikt, uavhengig av om krav er fastsatt («Rett/Plikt»). Til høyre har jeg tatt med rene plikter til å gi informasjon (jf. artikkel 13 og 14 GDPR). Når slike plikter er formulert for å stille den registrerte i en bedre situasjon enn uten plikten, kan pliktene sies å være beslektet med rettigheter fordi de støtter opp om samme formål som rettighetsbestemmelser. Slik fremmer informasjonsplikter for behandlingsansvarlige og innsynsretten for registrerte samme formål om å skape åpenhet om behandlingen.

Hvis vi betrakter de tidlige rettighetsbestemmelsene i lys av denne klassifiseringen, blir det tydelig hvorfor bestemmelser som i 1973 ikke eksplisitt var formulert som rettighetsbestemmelser likevel ble oppfattet å være rettigheter. Samtidig blir det mer synlig hvordan det i nyere lovgivning har vært lagt større vekt på å eksponere rettighetsperspektivet; både ved å betegne noe som rett, og ved å plassere bestemmelser som kan sies å være beslektet med rettigheter, i samme kapittel.

6. Avslutning

I sin artikkel fra 1966 fremhever McCarthy at «The right to keep people from keeping files on us must […] be invented, then legislated and actively be enforced.»(44)McCarthy 1966, side 72. Han peker på behovet for stadig å tenke nytt om rettigheter fordi den teknologiske utviklingen går så raskt at grunnleggende rettigheter vi «alltid» har hatt ikke er tilstrekkelige. I artikkelen har jeg blant annet vist hvordan vi i mer enn 50 år gradvis har «funnet opp»(45)Jf. McCarthys formulering i sitatet ovenfor. nye rettigheter, og hvordan slike rettigheter gradvis har blitt en stadig viktigere del av personvernlovgivningen. Fra den spede begynnelsen har vi i dag en rekke enkeltstående rettigheter. Spørsmålet kan reises om den samlede effekten kan bli bedre?

Den norske Personvernkommisjonen pekte i 2022 på behovet for en digital rettighetsplattform, se figuren nedenfor(46)Se NOU 2022: 11 Ditt personvern – vårt felles ansvar – Tid for en person­vernpolitikk, avsnitt 11.4.3. Schartum var medlem av Kommisjonen. Kommisjonen mente at en slik plattform kan gi teknologisk støtte for registrerte personer til å se rettigheter i sammenheng, og til å hjelpe den enkelte til å gjøre aktivt bruk av sine rettigheter.

I artikkelen har jeg blant annet vist hvordan vi i mer enn 50 år gradvis har «funnet opp» nye rettigheter, og hvordan slike rettigheter gradvis har blitt en stadig viktigere del av personvernlovgivningen.

Tanken om en rettighetsplattform bygger på en forutsetning om at den enkelte har rett til direkte tilgang til de fleste opplysninger om dem, dvs. tilgang uten å måtte spørre den behandlingsansvarlige eller andre. Slik kan krav om digitalt tilgjengeliggjorte personopplysninger ses på som den nye «Magna Carta of the data protection».(47)Jf. referansen i Seipel 1974, s 60, nevnt i avsnitt 2. Kombinert med teknologiske verktøy med praktiske funksjoner for å kreve og avgjøre spørsmål om rettigheter, kan rettighetene med andre ord få langt større effekt enn når de kun fremkommer som lovtekst.

Litteratur

  1. Bygrave 2020: Lee A. Bygrave, «Article 22 Automated individual decision-making, including profiling», i C. Kuner, L.A.Bygrave og Christopher Docksey, The EU General Data Protection Regulation (GDPR) A Commentary, Oxford University Press 2020, s. 401–412.

  2. Hafli 1977: Tor Hafli, En komparativ studie av datalover, Institutt for Privatrett, Avdeling for edb-spørsmål, Universitetet i Oslo, Skriftserien for jus og edb, Oslo 1977

  3. Lynskey 2020: Orla Lynskey, «Article 20 Right to data portability», i C. Kuner, L.A.Bygrave og C. Docksey, The EU General Data Protection Regulation (GDPR) A Commentary, Oxford University Press 2020, s. 497–507.

  4. McCarthy 1966: John McCarthy: Information, Scientific American,Volume 215, n. 3, s. 64–73.

  5. Niblett 1971: G.B.F. Niblett, Digital Information and the Privacy Problem, OECD Informatics Studies 2, Paris 1971.

  6. Polcák 2020: Radim Polcák, «Article 12 Transparent information, communication and modalities for the excercise of the rights of the data subject», i C. Kuner, L.A.Bygrave og C. Docksey, The EU General Data Protection Regulation (GDPR) A Commentary, Oxford University Press 2020, s. 398–412.

  7. Samuelsen 1972: Erik Samuelsen, Statlige databanker og personlighetsvern: rapport fra et forskningsprosjekt, Universitetsforlaget, Oslo 1972.

  8. Seipel 1974: Peter Seipel: «Legal Controls of the Storage and Use of Personal Daata. An Appraisal of the Swedish Approach», i Hafli 1977, En komparativ studie av datalover, Institutt for Privatrett, Avdeling for edb-spørsmål, Universitetet i Oslo, Skriftserien for jus og edb, Oslo 1977, s. 53–65.

  9. Seipel 2001: Peter Seipel: «Sweden», i Peter Blume (ed.) Nordic Data Protection, DJØF Publishing, Cobenhagen 2001, s. 115–151.

  10. Zanfir-Fortuna 2020, Gabriela Zanfir-Fortuna, «Article 21 Right to object», i C. Kuner, L.A.Bygrave og C. Docksey, The EU General Data Protection Regulation (GDPR) A Commentary, Oxford University Press 2020, s. 508–521.

  11. Van Alsenoy 2019: Brendan Van Alsenoy, «The Emergence of Data Protection Law», i Data Protection Law in the EU: Roles, Responsibilities and Liability, (KU Leuven Centre for IT & IP Law Series) Intersentia 2019.

Noter

  1. * En noe annen versjon av denne artikkelen er publisert i M. Brinnen, C. M. Sjöberg, D Törngren, D. Westman, og Sören Öman (red.), «Dataskyddet 50 år – historia, aktuella problem och framtid». Utgiver: eddy.se ab, Stockholm 2024, s. 63–76.
  2. Artikkelen er gjengitt i Samuelsen 1972, s. 214–217.
  3. Seipel 1974, s 54. Kreditupplysningslag (1973:1173) fra samme år, hadde en mer detaljert utforming, se Hafli 1977, s. 7 og Seipel 1974, s. 54.
  4. Slik var det også med lignende lovgivning i andre land på 1970-tallet.
  5. I avsnitt 5 diskuterer jeg hva en rettighet kan sies å være.
  6. Seipel 1974, s 60.
  7. Datalagen 7 a §.
  8. Dersom en ufullstendighet representerte misvisende opplysning, er det imidlertid mulig bestemmelsen i 8 § kunne komme til anvendelse.
  9. Jf. Datalagen 1973, 15 §.
  10. I bestemmelsen om retting og komplettering av personopplysninger i § 8 i den norske loven, var den registrerte ikke en gang nevnt. Bare bestemmelsen om innsyn var formulert som rettighet: «Alle har rett til å få opplyst hvilke opplysninger om dem selv som lagres eller bearbeides ved elektroniske hjelpemidler.» (§ 7).
  11. Spørsmålet er imidlertid hva det vil si at registrerte personer har en rett, og hvor stor betydning det har at en i lovgivningen bruker klare rettighetsbetegnelser. Dette kommer jeg tilbake til i avsnitt 5.
  12. Takk til bibliotekar Tormod Andersen for meget verdifull bistand ved utarbeidelsen av dette avsnittet.
  13. Jeg bygger denne antakelsen på den omfattende litteraturoversikten i «Computers and Privacy: A Survey» i Hoffman 1969 som primært dekker USA, og på oversikten i Niblett 1971 som er skrevet for OECD med hovedfokus på Europa.
  14. Se Van Alsenoy 2019, s. 164.
  15. John McCarthy (computer scientist) - Wikipedia
  16. McCarthy 1966, s 72.
  17. Samuelsen 1972, s 180. Forslaget ble fremmet av MP Kenneth Baker med flere.
  18. Forslaget er trykket i Samulesen 1972, bilag 5 (s. 226–231).Kenneth Baker M.B la forslaget frem for Underhuset, og Lord Windlesham la fram forslag med identisk ordlyd for Overhuset (Niblett 1971, s. 32).
  19. Se forslagets paragraf 1(1).
  20. Registrering skulle skje hos «Registrar of Restrictive Trading Agreements», jf. paragraf 1(1) i lovforslaget. Dette organet var allerede opprettet i 1956 og skulle bidra til å fremme konkurranse og motvirke handelshindringer. Organiseringen viser trolig at forslaget til Data Surveillance Bill også var konkurransepolitisk motivert.
  21. Se forslagets paragraf 4(1).
  22. Jf. forslagets paragraf 2(1).
  23. Se forslagets paragraf 4(2) bokstavene a–c.
  24. Se «Hessen Datenschutzgesetz vom 7. Oktober 1970», Gesetz- und Verordnungsblatt für das Land Hessen (HE GVBI), Section 1.
  25. Se section 4(1)og Van Alsenoy 2019, s. 167.
  26. Jf. uoffisiell oversettelse i Niblett 1971, s. 48.
  27. Se section 4(2). Van Alsenoy 2019, s. 167 omtaler dette som «blocking ».
  28. Se section 11.
  29. Hafli 1977, s. 21.
  30. En del av forklaringen kan være at loven kun gjaldt «records and data within the purview of the Land authorities and the public corporations, institutions and establishments under the jurisdiction of the Land.» (Nibletts oversettelse, referert i Samuelsen 1972, s. 220) En mulighet er at registrerte kunne ha innsynsrettigheter vedrørende sine personopplysninger i samsvar med delstatens offentlighets- og forvaltningslovgivning, men dette har jeg ikke undersøkt.
  31. Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal data, adopted 23/09/1980.
  32. Bortsett fra retten til å gi og trekke tilbake samtykke, jf. artikkel 4(11).
  33. Se artikkel 13 og 14.
  34. Se artikkel 12.
  35. Her har jeg ikke anledning til å gå nærmere inn på innholdet av hver rettighet.
  36. Paragraf 12 i Datalagen 1973 er satt i parentes fordi den ikke var formulert som rettighet.
  37. Zanfir-Fortuna 2020, s. 510.
  38. Jf. GDPR Artikkel 4(4).
  39. Jf. Lynskey 2020, s. 500.
  40. Se McCarthy 1966, s. 72.
  41. Se artikkel 12(1).
  42. Se artikkel 12(3) - (6).
  43. Jeg har ikke tatt med bestemmelsen i artikkel 22 om retten til ikke være gjenstand for helt automatiserte avgjørelser, herunder profilering. Årsaken er at denne er blitt fortolket av som noe annet enn en rettighet.
  44. McCarthy 1966, side 72.
  45. Jf. McCarthys formulering i sitatet ovenfor.
  46. Se NOU 2022: 11 Ditt personvern – vårt felles ansvar – Tid for en person­vernpolitikk, avsnitt 11.4.3. Schartum var medlem av Kommisjonen.
  47. Jf. referansen i Seipel 1974, s 60, nevnt i avsnitt 2.
Dag Wiese Schartum