Til hvilket formål?

(1)

Til hvilket formål?

Formålsbestemthetsprinsippets betydning for personopplysningsvern

Kandidatnummer: 743 Leveringsfrist: 25.04.2017 Antall ord: 17705

(2)

i Innholdsfortegnelse

1 INNLEDNING ... 1

1.1 Bakgrunn og aktualitet ... 1

1.2 Problemstilling og tilnærming ... 2

1.3 Rettskildebildet og metodiske spørsmål ... 2

1.3.1 Tolkning av personopplysningsloven ... 2

1.3.2 Bruk av praksis ... 4

1.4 Den videre fremstillingen ... 7

2 GRUNNKRAV FOR BEHANDLING AV PERSONOPPLYSNINGER ... 9

2.1 Innledning ... 9

2.2 Begrepsavklaring og lovens anvendelsesområde ... 9

2.2.1 Personopplysning og behandlingsansvarlig ... 9

2.2.2 Lovens anvendelsesområde ... 10

2.3 Kort om grunnkrav for behandling av personopplysninger ... 11

2.4 Formålsbestemthetsprinsippet ... 11

2.4.1 Prinsippets innhold ... 11

2.4.2 Prinsippets historiske utvikling ... 13

2.4.3 Formålsbestemthetsprinsippet som ett rettslig prinsipp ... 14

3 FORMÅLSBESTEMTHETSPRINSIPPET I PERSONOPPLYSNINGSLOVEN 16 3.1 Innledning ... 16

3.2 Angivelse av formål ... 16

3.2.1 ”uttrykkelig angitte formål” ... 16

3.2.2 ”saklig begrunnet i den behandlingsansvarliges virksomhet” ... 22

3.3 Endring av formål og gjenbruk av personopplysninger ... 25

3.3.1 Hva er et ”uforenlig” formål? ... 25

3.3.2 Når er et formål uforenlig? ... 28

3.3.3 Behandlingsformålets forhold til rettslig grunnlag ... 33

3.4 Sammenfatning ... 35

4 BEHANDLINGSFORMÅLETS BETYDNING FOR OPPLYSNINGSKVALITET ... 37

4.1 Innledning ... 37

4.2 Behandlingsformålets betydning for hvilke personopplysninger som kan behandles ... 37

4.2.1 Kravet til opplysningskvalitet ... 37

4.2.2 Kravet til relevant og proporsjonalt opplysningsgrunnlag ... 38

(3)

ii

4.2.3 Kravet til korrekte og oppdaterte personopplysninger ... 43

4.3 Mislighold av kravet til opplysningskvalitet ... 44

4.3.1 Personopplysninger som ikke er korrekte og oppdaterte ... 44

4.3.2 Personopplysninger som ikke er relevante ... 45

4.4 Sammenfatning ... 49

5 KONKLUSJON ... 50

5.1 Fungerer formålsbestemthetsprinsippet etter sin hensikt? ... 50

5.2 Blir det enklere å gjenbruke personopplysninger etter den nye forordningen? ... 51

LITTERATURLISTE ... 54

(4)

1 1 Innledning

1.1 Bakgrunn og aktualitet

Har du noen gang hatt valget om å samtykke til at personlige opplysninger om deg kan benyttes av andre? De fleste av oss står daglig overfor valg om å godta at personlige opplysninger innsamles av ulike aktører som ønsker å benytte seg av dem til ulike formål. Dette kan være når vi besøker en nettside, lager en profil i en nettbutikk, søker om et offentlig velferdsgode, eller godtar vilkår for å laste ned en applikasjon på mobiltelefonen. Når noen innsamler og skal bruke opplysninger om deg, omtales dette som behandling av opplysningene. En form for behandling kan være å tilby tilpassede produkter ut fra hvilke opplysninger du har oppgitt om deg selv på en nettbutikk.

Dersom noen vil behandle personlige opplysninger om deg, må de i henhold til personopplysningsloven angi formålet med behandlingen. Det overordnede tema for denne avhandlingen er hvilke rettslige rammer nettopp denne formålsangivelsen setter for behandlingen. Behand- lingsformålet er av betydning gjennom hele behandlingssyklusen av personopplysninger. Det er avgjørende for om innsamlingen tillates, for hvordan opplysningene kan behandles, hvilke opplysninger som kan behandles, og hvor lenge de kan behandles.

Registrering og arkivering av personopplysninger er ikke noe nytt fenomen. Sykehus, banker og universiteter har alle drevet med ulike former for innhenting og behandling av personopplysninger, for eksempel når sykehuset oppretter pasientjournaler. Selv om behandling av personopplysninger ikke er et nytt fenomen, har måten vi ønsker å behandle opplysninger på end- ret seg betydelig de siste årene. Personopplysninger er i utgangspunktet personlige og tilhører individet, men i det moderne informasjonssamfunnet er imidlertid opplysninger om et individ blitt til en vare med økonomisk verdi. Både private og offentlige institusjoner kan ha et ønske om å behandle opplysninger om deg av hensyn til økonomisk gevinst og effektivitet. Når ak- tører med ulike interesser ønsker å behandle opplysningene til ulike formål oppstår flere personvernsrettslige og rettspolitiske spørsmål. Dette gjelder særlig når interessene til den som ønsker å behandle opplysningene er uforenlige med individenes interesser. Spørsmålet blir hvordan individets interesser i å ha kontroll over egne personopplysninger kan forenes med ønsket om å behandle personopplysningene til ulike formål.

Kravet om fastsettelse av behandlingsformål er blant de kravene som skal ivareta individets rett til personvern. Kravet skal gi individet klarhet vedrørende hva opplysningene skal brukes til, samtidig som det også oppstiller en begrensning for hva opplysningene ikke kan brukes til.

(5)

2

Kravene behandlingsformålet oppstiller er lovfestet i flere av lovene og bestemmelsene som regulerer behandling av personopplysninger, og samlet sett kalles disse gjerne ”formålsbe- stemthetsprinsippet”.

1.2 Problemstilling og tilnærming

Hovedproblemstillingen i oppgaven er hvilken betydning angivelse av behandlingsformål har for behandling av personopplysninger.

For å besvare hovedproblemstillingen reiser jeg følgende spørsmål:

• Hvilke krav stilles det til angivelse av behandlingsformål?

• I hvilken grad er det angitte behandlingsformål bindende for den som skal behandle personopplysningene?

• Hvilken betydning har fastsatte behandlingsformål for hvilke personopplysninger som kan behandles?

• Blir individets personopplysningsvern ivaretatt ved formålsbestemthetsprinsippet?

Spørsmålene jeg stiller relaterer seg til ulike stadier ved behandlingsprosessen, som igjen reiser ulike underproblemstillinger. I fremstillingen vil jeg følge behandlingsprosessen fra defi- nisjonen av behandlingsformål til spørsmålet om når innsamlede opplysninger skal slettes. Jeg avgrenser oppgaven mot sanksjoner ved mislighold av reglene om behandling av personopplysninger.

1.3 Rettskildebildet og metodiske spørsmål 1.3.1 Tolkning av personopplysningsloven

Oppgaven omhandler personopplysningsvern. Personopplysningsvern er en underkategori av det vide begrepet ”personvern”, og omhandler de normer som gjelder for behandling av personopplysninger.¹ Det rettslige utgangspunktet tas derfor i personopplysningsloven².

Spørsmålene jeg stiller i oppgaven løser jeg med utgangspunkt i de aktuelle lovbestemmelse- nes ordlyd, i tråd med alminnelig rettskildeprinsipper.³ Slik personopplysningsloven er opp-

1 Schartum og Bygrave (2016) s. 20

2 Lov om behandling av personopplysninger av 14.04.2000 nr. 31

(6)

3

bygd tar den utgangspunkt i flere personvernsrettslige begreper. Loven baserer seg derfor på legaldefinisjoner som kommer til uttrykk i blant annet pol § 2. For å benytte meg av lovens bestemmelser må jeg derfor fastlegge de aktuelle begrepenes innhold, som kan skille seg fra alminnelig språklig forståelse. Ordlyden i bestemmelsene suppleres derfor med lovens forarbeider som utførlig redegjør for det nærmere innholdet av legaldefinisjonene. I denne oppgaven har jeg særlig benyttet meg av Odelstingsproposisjonen fra 1998/1999.⁴

Vektleggingen av de personvernsrettslige hensynene beror på blant annet ”interessemodel- len”.⁵ Modellen er utviklet i norsk juridisk teori og beskriver de ulike hensynene bak personvernet. Hvilke hensyn og interesser som gjør seg gjeldende ved personvernsrettslige spørsmål kan ses i lys av at personvernbegrepet kan deles inn i tre perspektiver; det integritetsfokuserte, det maktfokuserte og det beslutningsfokuserte personvernet. De ulike perspektivene fremmer ulike interesser, og hvilket ståsted man vurderer de rettslige spørsmålene fra kan påvirke hvordan loven tolkes og vektlegges. Schartum og Bygrave⁶ legger til grunn at den norske in- teressemodellen i stor utstrekning er sammenfallende med personvernsprinsippene som kan utledes fra den internasjonale lovgivningen, herunder personverndirektivet.⁷

Jeg vil benytte meg av de personvernsrettslige interessene og prinsippene som retningslinjer ved avveining av den personvernsrettslige lovgivningen. I personopplysningsloven kommer flere av de personvernsrettslige prinsippene direkte til uttrykk i loven, mens andre utgjør ba- kenforliggende retningslinjer for de ulike interesseavveiningene.⁸ Skillet mellom de personvernsrettslige prinsippene og de personvernsrettslige rettsregler gjør jeg rede for i punkt 2.4.3.

Det kan bemerkes at formålsbestemthetsprinsippet kommer til uttrykk i blant annet pol § 11 første ledd bokstav b og c. Hvilken rettskildevekt formålsbestemthetsprinsippet har vil jeg belyse ved å gjennomgå personvernsrettslig praksis.

Jeg vil vise til personverndirektivet der jeg mener det er av betydning for fastleggelsen av personopplysningslovens innhold, eller der jeg mener direktivet oppstiller andre rettslige krav enn personopplysningsloven. Oppgaven tar utgangspunkt i den engelske versjonen av personverndirektivet. Personverndirektivet er tatt inn i EØS- avtalen og utgjør dermed en folkeretts-

3 Eckhoff (2001) s. 33

4 Ot.prp.nr.92 (1998-1999) Om lov om behandling av personopplysninger

5 ibid. s. 19

7 Europaparlaments og rådsdirektiv 95/46/EF av 24. Oktober 1995 ”On the protection of individuals with regard to the processing of personal data and on the free movement of such data”

8 Bygrave (2014) s. 145

(7)

4

lig forpliktelse for Norge.⁹ Direktivet er gjennomført i norsk rett gjennom personopplysningsloven. Direktivet gir uttrykk for minstestandarder for behandling av personopplysninger.¹⁰ Dette kan ses i lys av at bestemmelsene er kortfattede og generelle, men også ved at det i fortalen til direktivet gis uttrykk for at medlemslandene kan fastsette nærmere regler for å gjøre behandling lovlig.¹¹ I direktivets art. 5 gis det adgang til å fastsette mer detaljerte regler enn i nasjonal lovgivning og i art. 13 gis det uttrykk for adgangen til å fravike flere av direktivets bestemmelser.

Den 25.05.2018 trer den nye personvernforordningen i kraft.¹² Forordningen opphever og erstatter personverndirektivet, og innebærer en full harmonisering av personvernreglene i EU og EØS. Jeg benytter meg av forordningen i den rettspolitiske vurderingen i oppgavens siste kapittel.

1.3.2 Bruk av praksis

Siden personverndirektivet er folkerettslig forpliktelse for Norge vil avgjørelser fra EU- domstolen være av betydning for tolkning av personopplysningsloven. Det kan også bemerkes at bestemmelsene i personverndirektivet skal tolkes i lys av ”retten til privatliv” etter EMK art. 8.¹³

Rettspraksis for norske domstoler som omhandler betydning av behandlingsformål er begren- set. Til tross for dette har Høyesterett sin dom Rt. 2013 s. 143 (”Avfallsservice”) vært av betydning for oppgaven.

I tillegg til praksis for norske domstoler benytter jeg meg også av praksis fra Datatilsynet og Personvernnemnda.

Saker etter personopplysningslovens regler behandles først av Datatilsynet og kan påklages til Personvernnemnda, jfr pol §§ 42 fjerde ledd og 43. Gyldigheten av vedtak fattet av Person- vernnemnda kan så rettes mot staten, jfr pol § 43 (5).

9 Inntatt i EØS- avtalen ved EØS- komitebeslutning nr. 83/1999

10 Merk at i sak C-101/01 avsnitt 96 gis det uttrykk for at harmoniseringen ikke begrenses til et minimumsnivå, men til ”…harmonisation which is generally complete.”

11 Se avsnitt 9 i fortalen til personverndirektivet.

12 Europaparlamentets- og rådsforordningen 2016/679 av 27. April 2016 ”On the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Di- rective 95/46/EC”. Gjennomført ved EUs vedtak 32016R0679

13 Se Joined Cases C-465/00, C-138/01 og C-139/01 avsnitt 68. Se også avsnitt 10 i fortalen til personverndirektivet.

(8)

5

Utgangspunktet er at forvaltningspraksis har relevans, men spørsmålet er hvilken rettskildemessig vekt praksisen har. Vekten av rettskildene beror på de øvrige rettskildefaktorene som foreligger, og hvem som er rettsanvenderen.¹⁴ For domstoler legges det til grunn at forvaltningspraksis i utgangspunktet kun tjener som opplysningsfaktor.¹⁵ Til tross for dette kan praksis fra skjønnsretter benyttes til å fastlegge lovens ordlyd, se for eksempel ”Kløfta”- dommen.¹⁶

Hva angår praksis fra Datatilsynet fremgår det av pol § 42 første og tredje ledd nr. 3 at Data- tilsynet er et uavhengig forvaltningsorgan med oppgave om å blant annet kontrollere at reglene i personopplysningsloven blir fulgt. I kraft av pol § 46 fjerde ledd kan tilsynet pålegge at en behandling er i strid med loven, og herunder stille vilkår for å gjøre behandlingen lovlig.

Siden flere av personopplysningslovens regler inneholder skjønnsmessige begreper må Data- tilsynet i sine vurderinger presisere lovens ordlyd.¹⁷ Der Datatilsynet kommer med slike retningsgivende uttalelser vil jeg se hen til de, men jeg vil være kritisk til hvor mye vekt jeg til- legger dem. Vekten vil bero på de øvrige rettskildene, og et retningsgivende moment kan være å benytte meg av deres uttalelser der loven og dens forarbeider er taus eller uklar, eller hvor rettspraksis ikke har tatt stilling til spørsmålet.¹⁸ Det forhold at Personvernnemnda behandler påklagde vedtak fra Datatilsynet taler for å tillegge praksisen mindre vekt.

Personvernnemnda er også et uavhengig forvaltningsorgan, som gjør at nemnda skiller seg fra den alminnelige forvaltningsstrukturen¹⁹, jfr pol § 43 første ledd andre punktum. Ved vektleggingen av Personvernnemndas vedtak overfor Datatilsynet gis det i NOU 1997:19 uttrykk for at Personvernnemndas vedtak kan fungere som veiledning for hvordan lignende saker

”…bør avgjøres i fremtiden, herunder hvordan loven skal tolkes og forvaltningsskjønnet ut- øves.”²⁰ Dette taler for at Personvernnemndas uttalelser har vekt overfor Datatilsynet, og kan være retningsgivende for andre rettsanvendere. Dette kan også ses i lys av at nemnda kan prø- ve alle sider av saken ved en klagesak. Dersom praksisen også er likeartet taler dette for å tillegge vedtakene vekt.

14 Boe (2014) s. 260

15 ibid. s. 263

16 Rt. 1977 s. 1

17 Ot.prp.nr.92 (1998-1999) s. 134

18 Boe (2014) s. 259

19 NOU 1997:19 side 117

20 ibid. s. 119

(9)

6

Et annet moment i vekten av praksis fra Personvernnemnda er dens sammensetning. Ved opp- rettelsen av Personvernnemnda ble utnevnelsen av nemndas medlemmer fremmet som avgjø- rende for å skape tillit og legitimitet til arbeidet deres.²¹ Det oppstilles derfor kvalifikasjons- krav for å være medlem av nemnda. I dag består nemnda av syv medlemmer, herunder lede- ren som er lagdommer, en førsteamanuensis, to advokater, en universitetslektor, en overlege og en sivilingeniør.²² Det forhold at Personvernnemnda har både juridisk ekspertise innen personvernsrettslige problemstillinger, men også faglig ekspertise fra andre områder, taler for at deres avgjørelser er juridisk velbegrunnede, men også begrunnet ut ifra en større samfunns- forståelse. Nemndas medlemmer sett i sammenheng med at personopplysningsretten utgjør et rettsområde med flere kryssende hensyn taler for at vedtak truffet av Personvernsnemnda bør tillegges betydelig vekt som rettskildefaktor ved vurderingen av personvernsrettslige spørs- mål. Dette taler også for at praksis fra Personvernnemnda har større vekt enn alminnelig forvaltningspraksis.²³

Et argument mot å tillegge Personvernnemnda rettskildemessig vekt er at deres fagkyndighet kan føre til betraktninger hvor personvernsrettslige hensyn tillegges særlig stor vekt på be- kostning av andre interesser.²⁴ Dette kan være i motsetning til domstolenes objektive tilnær- minger. Et ytterligere moment er at det kontradiktoriske prinsipp ikke blir ivaretatt på samme måte i forvaltningsavgjørelser som for domstolene.²⁵ Sakene for Personvernnemnda behandles skriftlig. På den andre siden krever vedtakene alminnelig flertall, og ved dissens skal mindretallets syn fremgå, jfr personopplysningsforskriften § 10-1 (4). Dette taler for at vedtak fattet av Personvernnemnda skaper åpenhet og er velbegrunnede. Dette taler for at å vektlegge praksis fra Personvernnemnda.

Ytterligere vil de fleste saker vedrørende personopplysningsloven stoppe etter Personvern- nemnda har behandlet saken. Dette kan ses i sammenheng med at én av grunnene til oppret- telsen av Personvernnemnda var at enkeltvedtak fra Datatilsynet kunne overprøves uten å måtte anlegge rettssak.²⁶ Det forhold at det kun er et fåtall av saker om personopplysningsloven som går for ordinære domstoler taler at jeg kan tillegge praksis fra Personvernnemnda vekt.²⁷

21 ibid. s. 119

22 Personvernnemnda (2017)

23 Holgersen (1987) s. 419

24 ibid. s. 415

25 ibid. s. 412

26 NOU 1997:19 s. 117

27 I skrivende stund (06.04.2017) har det vært to saker for Høyesterett, ni saker for lagmannsretten, og syv saker for tingretter om pol § 11. Til sammenlikning med 87 saker for Personvernnemnda

(10)

7

Et annet moment i vektleggingen av praksis fra Personvernnemnda er hvor fast og konsis praksisen har vært over en viss tid.²⁸ Forvaltningspraksis skal vurderes som ”et hele”, i motsetning til prejudikatlæren.²⁹ Dersom Nemndas praksis har vært inkonsekvent og gitt uttrykk for en upresis forståelse av lovens vilkår, taler dette i mot rettskildemessig vekt. Dersom de over tid har gitt uttrykk for en konsekvent rettsoppfatning taler dette for at jeg kan benytte seg av deres uttalelser i rettslige vurderinger.

For denne oppgaven har dermed praksis fra Personvernnemnda som utgangspunkt rettskildemessig vekt, men vekten vil bero på det konkrete tilfellet og de øvrige rettskildene.

Bruk av rettspraksis i denne oppgaven baserer seg ikke på en fullstendig kartleggelse av all rettspraksis eller forvaltningspraksis som tar for seg betydningen av formålsangivelse ved behandling av personopplysninger. I stedet har jeg gjort et utvalg av rettspraksis. Utvalget baserer seg på saker jeg mener illustrer betydning av behandlingsformålet, og hvor ulike hensyn blir tillagt ulik vekt. På denne måten blir jeg i stand til å vurdere hvilke hensyn som gjør seg gjeldende ved vurderingen av behandlingsformålets betydning for behandling av personopplysninger, og hvorvidt formålsbestemthetsprinsippet blir fulgt i norsk lovgivning.

1.3.2.1 Artikkel 29 gruppen sine vurderinger

Av personverndirektivet art. 29 fremgår det at det skal utnevnes en gruppe for beskyttelse av individer ved behandling av personopplysninger, heretter kalt ”Artikkel 29 gruppen”. Grup- pen består av representanter fra de nasjonale datatilsynsmyndighetene i medlemslandene, som utarbeider rådgivende uttalelser og anbefalinger om hvordan personvernsrettslig spørsmål skal løses.³⁰ Flere av deres rådgivende uttalelser ender i offisielle skriv.³¹ I min oppgave har jeg særlig benyttet meg av dokumentet ”Opinion 03/2013 on purpose limitation”. Vekten av Ar- tikkel 29 gruppens uttalelser kan ses i lys av direktivets art. 29 nr. 1 hvor det gis uttrykk for at gruppen har en ”advisory function”. Dette betyr at deres uttalelser ikke er rettslig bindende, men deres uttalelser vektlegges siden de utgjør en særskilt utnevnt gruppe med spesialkompe- tanse innenfor behandling av personopplysninger, jfr art. 29 nr. 2.

1.4 Den videre fremstillingen

28 Boe (2014) s. 264-265

29 ibid. s. 264-265

31 Kuner (2003) s. 9

(11)

8

Denne oppgaven er delt inn i fem deler. I den første delen av kapittel én skal det gjøres en fremstilling av noen sentrale personopplysningsbegreper og gis en kort fremstilling av grunnkravene for behandling av personopplysninger. Siden oppgaven omhandler behandling av personopplysninger vil en oversiktlig fremstilling av grunnvilkårene gi et overordnet bilde av hvilke krav som stilles til behandlingen. Etter dette skal jeg gjøre en teoretisk fremstilling av formålsbestemthetsprinsippet, herunder dets innhold, historiske utvikling og betydningen av at det er et rettslig prinsipp.

Etter dette skal jeg i kapittel to behandle oppgavens første spørsmål, som omhandler hvilke krav det stilles til angivelse av behandlingsformål.

Vurderingen av kravene til formålsangivelse legger grunnlaget for det neste spørsmålet i oppgaven, som er en vurdering av i hvilken utstrekning de angitte behandlingsformål er bindende for de som skal behandle personopplysningene. Jeg skal her undersøke adgangen til å endre og angi nye behandlingsformål. Jeg skal særlig vurdere når det foreligger et ”uforenlig” for- mål, jfr pol § 11 første ledd bokstav c.

Når jeg har fastslått den behandlingsansvarliges adgang til å endre behandlingsformål skal jeg vurdere hvilken betydning formålsangivelsen har for hvilke personopplysninger som kan behandles. Jeg skal også se på hvor lenge personopplysningene kan behandles, og hva som skjer ved mislighold av plikten til opplysningskvalitet. I tilknytning til denne vurderingen vil det bli gjort en overordnet fremstilling av kravene til opplysningskvalitet.

Avslutningsvis skal det vurderes om formålsbestemthetsprinsippet, slik den kommer til uttrykk i personopplysningsloven, ivaretar individets rett til personopplysningsvern, men også den behandlingsansvarliges interesser. Jeg skal også gjøre en vurdering av om formålsbe- stemthetsprinsippet blir ivaretatt i den nye personvernforordningen.

(12)

9

2 Grunnkrav for behandling av personopplysninger

2.1 Innledning

I dette kapitlet skal det først gjøres noen begrepsavklaringer etterfulgt av en kort redegjørelse for personopplysningslovens anvendelsesområde. I punkt 2.3 gjøres det så en kort fremstilling av grunnkravene for behandling av personopplysninger. Hensikten med dette er å gi en innfø- ring i kravene til behandling av personopplysninger, samtidig som det vises at formålsbe- stemthetsprinsippet utgjør ett av dem. I punkt 2.4 fremstilles formålsbestemthetsprinsippets innhold, dets historiske utvikling, og en vurdering av betydning av at det er et rettslig prinsipp.

2.2 Begrepsavklaring og lovens anvendelsesområde

Personopplysningsloven kommer til anvendelse ved ”behandling av personopplysninger”, jfr pol § 3 første ledd bokstav a. For å fastslå lovens anvendelsesområde må innholdet i begrepet

”behandling” og ”personopplysning” fastlegges.

2.2.1 Personopplysning og behandlingsansvarlig

Begrepet ”personopplysning” er i pol § 2 nr. 1 legaldefinert som ”opplysninger og vurderinger som kan knyttes til en enkeltperson”. I henhold til en naturlig språklig forståelse av bestemmelsens ordlyd, oppstiller bestemmelsen to kumulative vilkår for at noe kan anses som en personopplysning; det må (i) foreligge ”opplysninger eller vurderinger” om en enkeltperson, og (ii) disse må kunne ”knyttes” til enkeltpersonen.

Av forarbeidene fremgår det at begrepet ”enkeltperson” kun omfatter fysiske personer og ikke juridiske personer.³² Ordlyden kan forstås slik at dersom det foreligger opplysninger om en person, men disse ikke kan ”knyttes” til vedkommende, foreligger det ikke en personopplysning. Denne forståelsen kan begrunnes i at lovens formål om å beskytte individet personopplysningsvern ikke vil gjøre seg gjeldende dersom opplysningene ikke identifiserer individet, jfr pol § 1 første ledd. Tilknytningskravet er som utgangspunkt oppfylt dersom det er en mu- lighet for identifisering, og gjelder dermed både direkte og indirekte identifisering.³³ Et ek-

32 Ot.prp.nr.92 (1998-1999) s. 101

(13)

10

sempel på en personopplysning kan være informasjon som registreres om et individs handle- historikk ved bruk av et kundekort på en matbutikk.

I pol § 2 nr. 2 defineres behandling av personopplysninger som ”enhver bruk av personopplysninger”. Av forarbeidene fremgår det at bestemmelsen gir uttrykk for en ikke-uttømmende liste av behandlingsmåter, og at å behandle personopplysninger omfatter ”…enhver formåls- rettet håndtering av personopplysninger…”.³⁴ Et eksempel på behandling av personopplysninger er der et kredittselskap samler inn opplysninger om deg, herunder navn, alder, kjønn, utdanning, arbeidsplass og lønn for å vurdere kredittverdigheten din i forbindelse med søknad om et forbrukslån. Behandlingen kan skje ved hjelp av elektroniske hjelpemidler, og ved ma- nuell behandling dersom personopplysningene inngår i personregister, jfr pol § 3 første ledd bokstav a og b.

Denne oppgaven omhandler elektronisk behandling av personopplysninger utført av behandlingsansvarlig som oppholder seg i Norge, jfr pol § pol §§ 3 første ledd bokstav a og § 4 første ledd. Oppgaven avgrenses mot behandling til personlige eller private formål, jfr pol § 3 andre ledd.

Det er den ”behandlingsansvarlige” som i utgangspunktet er ansvarlig for å behandle personopplysningene. Av pol § 2 følger det at det er den behandlingsansvarlige som skal fastsette behandlingsformålet og hjelpemidlene som skal brukes til å oppnå behandlingsformålet, jfr pol § 2 nr. 4. Av forarbeidene defineres den behandlingsansvarlige som den som har ”be- stemmelsesrett over personopplysningene”.³⁵ Den behandlingsansvarlige kan være en fysisk eller juridisk person, og må ha sivilprosessuell partsevne for domstolen.³⁶ Identifisering av den behandlingsansvarlige er avgjørende for ansvarsplassering ved brudd på personopplysningslovens regler.³⁷ Den behandlingsansvarlige kan ”outsource” behandlingen til andre, disse omtales som ”databehandlere”, jfr pol § 2 nr. 5.³⁸ Ansvaret vil fortsatt ligge hos den behandlingsansvarlige.

2.2.2 Lovens anvendelsesområde

”Personopplysning” er et vidt begrep, og personopplysningsloven er dermed en overordnet lov som omfatter all form for behandling av personopplysninger, med mindre annet ikke føl-

34 Ot.prp.nr.92 (1998-1999) s. 102

35 Ot.prp.nr.92 (1998-1999) s. 102

36 ibid. s. 103

37 Schartum og Bygrave (2016) s. 164-165

38 Ot.prp.nr.92 (1998-1999) s. 104

(14)

11

ger av spesiallovgivning, jfr pol § 5, jfr lex specialis.³⁹ Ved bruk av personverndirektivet gjelder den for all form for behandling av personopplysninger som faller inn under dens saklige virkeområde, jfr art. 3 nr. 1. Dette taler for at særlovgivning også må tilfredsstille minstekra- vene i personverndirektivet.⁴⁰

2.3 Kort om grunnkrav for behandling av personopplysninger

Personopplysningslovens grunnkrav fremgår av pol § 11. Det er den behandlingsansvarlige som er pliktig til å sørge for at lovens grunnkrav er oppfylt, jfr pol § 11 første ledd.

Siden personopplysningslovens formål er å gi et personopplysningsvern ved behandlingen av personopplysninger oppstiller loven vilkår for behandlingen. Det må først og fremst foreligge et rettslig grunnlag for behandlingen, jfr pol § 11 første ledd bokstav a, jfr §§ 8 eller 9. Felles for alle av lovens grunnkrav er at de påvirkes av det angitte behandlingsformålet, jfr pol § 11 første ledd bokstav b. Behandlingsformålet er avgjørende for hvordan innsamlede personopplysninger kan behandles, jfr pol § 11 første ledd bokstav c. Behandlingsformålet er avgjørende for hvilke personopplysninger som kan behandles, kvaliteten på opplysningene som skal behandles og hvor lenge de kan behandles, jfr pol § 11 første ledd bokstav d og e. Betydning av behandlingsformålet kan uttrykkes som formålsbestemthetsprinsippet. Det er dette jeg skal gjøre rede for videre i oppgaven.

2.4 Formålsbestemthetsprinsippet 2.4.1 Prinsippets innhold

Artikkel 29 gruppen gir uttrykk for at formålsbestemthetsprinsippet er en ”cornerstone of data protection”.⁴¹ Prinsippet utgjør ett av flere personvernsrettslige grunnprinsipper. Andre personvernsrettslige prinsipper er prinsippet om ”opplysningskvalitet”, ”minimalitetsprinsippet”,

”proporsjonalitetsprinsippet” og prinsippet om ”rettferdig og rettmessig behandling av personopplysninger”.

39 ibid. s. 106

40 Se Joined Cases C-468/10 og C-469/10 hvor domstolen kom til at spansk lovgivning ikke kunne begrense direktivets anvendelse.

41 Artikkel 29 gruppen (2013) s. 4

(15)

12

De personvernsrettslige grunnprinsippene kommer særlig til uttrykk i den internasjonale per- sonopplysningslovgivning, men kommer også til uttrykk i flere av personopplysingslovens bestemmelser. Se nærmere vurdering i punkt 2.4.3.

Formålsbestemthetsprinsippet kommer blant annet til uttrykk i personverndirektivet art. 6 nr.

1 (b), hvor det fremgår at personopplysninger må være:

”collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes.”

Prinsippet går i korte trekk ut på at behandling av personopplysninger er betinget av angivelse av behandlingsformål, og den videre bruken av de innsamlede opplysninger avhenger av det definerte behandlingsformålet. Tidsmessig vil definering av behandlingsformål som regel være det første den behandlingsansvarlige gjør i forbindelse med behandling av personopplysninger. Prinsippet utgjør dermed grunnlaget for om og hvordan personopplysninger kan behandles, og skal sikre at det er en sammenheng mellom behandlingsgrunnlaget og den etter- følgende behandlingen av personopplysningene. Ved at den registrerte blir klar over formålet med behandlingen, stilles vedkommende også i stand til å vurdere hva opplysningen kan og ikke kan bli brukt til. På denne måten ivaretas hensyn som åpenhet og forutberegnelighet ved behandling av personopplysninger. Dette bidrar til ivaretagelse av borgernes integritet i forbindelse med behandlingen av personopplysninger.⁴².

Artikkel 29 gruppen gir uttrykk for at formålsbestemthetsprinsippet som et personvernsretts- ligprinsipp består av to komponenter; (1) ”purpose specification” og (2) kravet til ”compatible use”.⁴³ Kravet til ”purpose specification” oppstiller krav til angivelsen og begrunnelsen av behandlingsformål. Kravet til ”compatible use” oppstiller krav til den videre behandling av allerede innsamlede opplysninger.

Slik prinsippet kommer til uttrykk i personopplysningsloven stilles det krav til angivelse av behandlingsformål i pol § 11 første ledd bokstav b, som igjen stiller krav til den videre bruken av personopplysningene i pol § 11 første ledd bokstav c. Angivelsen av behandlingsformålet er derfor av betydning for både den behandlingsansvarlige og den registrerte.

Artikkel 29 gruppen anser det som fundamentale hensyn å kunne stole på de som behandler personopplysninger om deg og å ha rettslige garantier for at personopplysningene blir behand-

42 Peter Blume (2014) s. 43

(16)

13

let som forventet.⁴⁴ Konflikter kan oppstå der individets rett til personopplysningsvern ikke kan forenes med den behandlingsansvarliges ønsker om å behandle personopplysningene.

Konflikter kan også oppstå der den behandlingsansvarlige ønsker å behandle personopplysningene til formål som skille seg fra de som er angitt. Hvordan deres interesser skal forenes gjør jeg rede for senere i oppgaven.

2.4.2 Prinsippets historiske utvikling

Kravene om angivelse av formål og formålsforenlighet ble for første gang presentert i OECDs⁴⁵ retningslinjer om beskyttelse av personlig data i 1980, jfr nr. 9 og 10.⁴⁶ OECDs retningslinjer var de første retningslinjene om beskyttelse av individer ved behandling av personopplysninger, og var et svar på blant annet utviklingen av automatisert behandlingsproses- ser som gjorde det nødvendig å vurdere beskyttelsen av personopplysninger i lys av retten til privatliv.⁴⁷ Retningslinjene er kun veiledende og er ikke rettslig bindende for medlemslandene, herunder Norge.

Formålsbestemthetsprinsippet og begrepet ”purpose limitation” ble for første gang rettslig gjennomført i 1981 ved Europarådskonvensjonen No. 108 art. 5 (b). Konvensjonen var det første internasjonale instrumentet som ga vern til individet ved elektronisk behandling av personopplysninger,⁴⁸ og ble ratifisert i Norge i 1984.⁴⁹ Konvensjonen gjorde prinsippet om

”purpose limitation” til et grunnleggende prinsipp for behandling av personopplysninger.⁵⁰ Artikkel 5 i traktaten har tittelen ”quality of data” og omhandler personopplysninger som er gjenstand for automatisk behandling.

Formålsbestemthetsprinsippet er videreført i EUs personverndirektiv av 1995. Personverndi- rektivet tar sitt utgangspunkt i OECDs retningslinjer og Europarådskonvensjonen nr. 108, og personopplysningsloven tar sitt utgangspunkt i dem igjen.⁵¹ En nyvinning i personverndirektivet var kravet om at formål må være ”explicit”, og unntaket om lovlig behandling dersom personopplysninger blir gjenbrukt til ”historical, statistical or scientific purposes”, jfr direktiv

44 ibid. s. 4

45 Organisation for Economic Co-operation and Development

46 Guidelines Governing the Protection of Privacy and Transborder flows of Personal Data, 23. September 1980

47 OECD (1980)

48 Wiik Johansen (2001) s. 48

49 Council Of Europe (2017)

51 NOU 1997:19 s. 70

(17)

14

95/46/EF art. 6 nr. 1 (b).⁵² Artikkel 29 gruppen gir uttrykk for at unntaket for gjenbruk var en videreutvikling av et liknende unntak i Europarådskonvensjonen No. 108.

2.4.3 Formålsbestemthetsprinsippet som ett rettslig prinsipp

Det finnes ulike oppfatninger om hva et rettslig prinsipp er. Et rettslig prinsipp kan forstås som retningsgivende normer for hvordan rettslige spørsmål skal løses.⁵³ Hvilke normer som gjelder beror på hvilket rettsområde man befinner seg på, og vekten av prinsippene beror på hvordan de er begrunnet, hvordan de er rettslig gjennomført, og hvor tydelige de er utformet.

Hva gjelder de personvernsrettslige grunnprinsippene gir Bygrave og Schartum⁵⁴ uttrykk for at de utgjør ”overordnede normer” for behandling av personopplysninger. De personvernsrettslige normene tar sikte på å verne om den ”personlige integritet, autonomi og privatlivets fred”.⁵⁵ Behovet for personvernsrettslige prinsipper kan begrunnes i den internasjonale karak- teren personopplysningsretten har, og personverndirektivets mål om å sikre et ensartet vern for behandling av personopplysninger, jfr art. 1. Siden formålsbestemthetsprinsippet kun ut- gjør ett av flere personvernsrettslige prinsipper vil vekten av det bero på en avveining av de øvrige prinsippene. Prinsippene ivaretar ulike interesser, og flere av prinsippene kan ha rettslige relevans i den samme vurderingen. For eksempel kan prinsippet om ”opplysningskvalitet” være motstridende med ”formålsbestemthetsprinsippet”. Vekten av prinsippene vil blant annet bero på hvilken personvernsrettslig tilnærming man tar til spørsmålet.

Selv om de personvernsrettslige prinsippene kan betraktes som retningsgivende normer kommer flere av prinsippene til uttrykk i lovgivning i form av rettsregler, blant annet i personverndirektivet art. 6 og i personopplysningsloven § 11. Det må derfor gjøres et skille mellom retningsgivende personvernsrettslige prinsipper og bindende personvernsrettslige rettsregler.⁵⁶ Bygrave har to synspunkter vedrørende de personvernsrettslige prinsippenes rettslige stilling;

(i) prinsippene er i utgangspunktet kun abstraksjoner for hvordan personopplysningsretten skal være, men (ii) prinsippene har også en normativ vekt i seg selv.⁵⁷

53 Graver (2006) s.189-221

55 ibid. s. 114

56 Mironenko (2016) s. 187

57 Bygrave (2014) s. 145

(18)

15

Det første synspunktet begrunner Bygrave i blant annet at prinsippene sjelden oppstiller abso- lutte rettslige skranker for behandling av personopplysninger.⁵⁸ Dette kan ses i lys av at prinsippene og flere av bestemmelsene der prinsippene kommer til uttrykk er vagt formulert, og åpner for skjønnsmessige vurderinger. Bygrave gir uttrykk for at prinsippene derfor kan brukes som retningslinjer for de skjønnsmessige vurderingene personvernlovgivningen ofte åpner for.⁵⁹ Dette taler for prinsippenes retningsgivende karakter.

Det andre synspunktet begrunner Bygrave i at flere av prinsippene kommer til uttrykk i lovgivning. Prinsippene gir da uttrykk for rettslige krav som skal vurderes, samtidige som de også brukes som grunnlag for utarbeidelse av ny personvernsrettslig lovgivning.⁶⁰

Siden denne oppgaven tar utgangspunkt i personopplysningsloven vil dens bestemmelser være gjeldende. De personvernsrettslige prinsippene blir derfor brukt som retningslinjer for å vurdere de personvernsrettslige spørsmålene som oppstår etter personopplysingsloven. For eksempel vil formålsbestemthetsprinsippet være retningsgivende ved vurderingen av gjenbruk av personopplysninger etter pol § 11 første ledd bokstav c.

58 ibid. s. 145

59 ibid. s. 145

60 ibid. s. 145

(19)

16

3 Formålsbestemthetsprinsippet i personopplysningsloven 3.1 Innledning

I dette kapitlet skal oppgavens to første spørsmål besvares:

• Hvilke krav stilles det til angivelse av behandlingsformål?

• I hvilken grad er det angitte behandlingsformål bindende for den som skal behandle personopplysningene?

I punkt 3.4 redegjøres det for kravene til formålsangivelse, mens det i punkt 3.5 vurderes i hvilken utstrekning formål kan endres og personopplysninger gjenbrukes.

3.2 Angivelse av formål

Angivelse av behandlingsformål er ett av grunnkravene for behandling av personopplysninger. Kravet fremgår av pol § 11 første ledd bokstav b,⁶¹ som gjennomfører personverndirektivet art. 6 nr. 1 (b). Bestemmelsen er todelt. Det stilles krav til angivelsen av formål, og det stilles krav til begrunnelsen av formålet.

3.2.1 ”uttrykkelig angitte formål”

Lovens ordlyd oppstiller krav om at behandlingen av personopplysninger kun kan skje til ”uttrykkelig angitte formål”. Dette reiser to spørsmål; (i) hva skal til for at formålet er ”uttrykkelig angitt”, og (ii) hvordan skal formålet angis.

En naturlig språklig forståelse av at behandlingsformål skal være ”uttrykkelig angitt” er at formålet må være fastsatt på en tydelig måte. Ordlyden taler for at det må være skapt en form for klarhet om hva opplysningene skal og ikke skal bli brukt til.

Av forarbeidene fremgår det formålsangivelsen må være ”…tilstrekkelig konkret og avgrenset til at det skaper åpenhet og klarhet om hva behandlingen skal tjene til.”⁶² Dette uttrykkes som et krav om et ”visst presisjonsnivå.”⁶³ Kravet om klart definerte formål kan begrunnes i hensynet til åpenhet og forutberegnelighet om hvordan personopplysninger skal behandles. Be-

61 Personopplysninger kan “bare nyttes til uttrykkelig angitte formal som er saklig begrunnet i den behandlingsansvarliges virksomhet”

62 Ot.prp.nr.92 (1998-1999) s. 114

63 ibid. s. 114

(20)

17

stemmelsen kan ses i lys av formålet med personopplysningsloven som er å beskytte den registrerte mot at ”personvernet blir krenket gjennom behandling av personopplysninger”, jfr pol § 1 første ledd. En forutsetning for at den registrerte kan ivareta sitt personvern er at vedkommende er klar over hva behandlingen innebærer. Gode grunner taler for at formålene skal angis så presist at den registrerte ikke har problemer med å forstå dem.⁶⁴ Det kan anføres at klart definerte formål skaper en felles forståelse mellom den registrerte og den behandlingsansvarlige om hva opplysningene vil bli brukt til. Dette kan igjen skape gjensidige forventninger om hva behandlingen skal innebære og hvilke rettigheter partene har i kraft av behandlingsgrunnlaget.

Kravet til presise og konkrete behandlingsformål medfører at generelle og vage behandlings- formål som utgangspunkt ikke er ønskelig. Forarbeidene bruker eksempler som ”administrati- ve oppgaver” eller ”kommersiell bruk” om formål som ikke tilfredsstiller lovens presisjonskrav.⁶⁵ Et annet eksempel kan være dersom Telenor ønsker å behandle personopplysninger for

”økonomisk gevinst”. Et formål om ”økonomisk gevinst” kan oppnås på mange forskjellige måter, hvilket taler for at formålet ikke skaper tilstrekkelig klarhet. Hvis formålet i stedet hadde vært at Telenor ønsker å behandle personopplysninger for å kunne ”identifisere brukere for å sikre trygge betalingstjenester” ville dette skapt mer klarhet om hvordan opplysningene ville bli behandlet.

Et annet moment i vurderingen av hvor detaljert behandlingsformålene skal angis er i hvilken kontekst informasjonen er innsamlet på.⁶⁶ Dersom for eksempel behandlingen skjer i forbindelse med et kundeforhold er det naturlig at formålsangivelsen skal samsvare med hvordan forholdet mellom partene har vært tidligere. Dette kan begrunnes i forholdet mellom partene kan påvirke den registrertes forventninger til behandlingen. Dersom det har vært et kundeforhold som tidligere har basert seg på tett kundeoppfølging kan det ha skapt forventninger om at senere oppfølgning er av samme karakter. Kundeoppfølging i en bank vil for eksempel være annerledes enn kundeoppfølging i en matbutikk. Hvem som behandler personopplysningene har også en side til hva slags personopplysninger som behandles. Et sykehus behandler for eksempel andre personopplysninger enn Rema 1000. Av forarbeidene fremgår det at desto større krenkelse en behandling kan medføre for personvernet, desto strengere krav stilles det til formålsangivelsen.⁶⁷ Det taler for at det stilles strengere krav til formålsangivelse ved behandling av sensitive personopplysninger etter pol § 9, enn ved behandling av ”alminnelige personopplysninger” etter pol § 8.

65 Ot.prp.nr.92 (1998-1999) s. 114

67 Ot.prp.nr.92 (1998-1999) s. 114

(21)

18

Dersom det er adgang til å behandle personopplysninger kan det antas at begge parter i de fleste tilfeller ønsker å oppnå behandlingsformålene. I kommentarutgaven til personopplysningsloven gis det uttrykk for at presise formål øker sannsynligheten for at opplysningss- grunnlaget blir riktig.⁶⁸ Dette taler for at begge parter ønsker angivelse av presise formål.

På den andre siden kan det oppstå tilfeller der den behandlingsansvarlige ønsker å behandle personopplysninger til så mye som mulig. Hvis vi legger til grunn at personopplysninger har en økonomisk verdi er det rasjonelt at den behandlingsansvarlige ønsker å behandle så mange opplysninger som mulig til så mange formål som mulig. Dette kan oppnås ved angivelse av vage og generelle formål. Dette kan ses i lys av at formålsangivelsen i stor utstrekning er av- gjørende for hvordan personopplysninger kan behandles, og for hvilke personopplysninger som kan behandles, jfr pol § 11 første ledd bokstav c og d. Til tross for dette må behandlings- formålet likevel tilfredsstille lovens presisjonskrav for å være lovlig. Dersom behandlingen for eksempel er betinget av samtykke eller konsesjon vil den behandlingsansvarlige stå i fare for at upresise formål ikke godtas, jfr pol §§ 8, 9 og 33. Dermed står vage behandlingsformål i fare for å ikke tilfredsstille lovens krav, mens for presise formål kan forhindre den behandlingsansvarliges tiltenkte behandling.⁶⁹ Spørsmålet er hvordan denne balansegangen skal lø- ses.

For den registrerte vil angivelse av presise behandlingsformål gjøre behandlingen forutberegnelighet, som igjen sikrer mer kontroll over egne personopplysninger. Vage behandlingsfor- mål kan medføre at den behandlingsansvarlige senere fastsetter andre utledede formål.⁷⁰ For- målsbestemthetsprinsippet skal være til hinder for ”formålsutglidning”, som er å gjøre be- handlingsformålet mer omfattende enn først angitt. I kommentarutgaven til personopplysningsloven gis det uttrykk for at et krav om for detaljerte formål ikke er ønskelig ettersom det levner ”…ingen muligheter for utvikling av en virksomhet...”.⁷¹ Dette taler for at det ikke har vært lovgivers intensjon å kreve så presise formål at de ville hindre virksomheters utvikling.

Dette vil særlig være tilfellet dersom den behandlingsansvarlige i etterkant av formålsangivel- sen kommer på nye behandlingsformål som ikke omfattes av den opprinnelige formålsangi- velsen. Hensynet til effektivitet og innovasjon taler for at krav om for detaljerte formål ikke er ønskelig. Dette synet kom også til uttrykk ved utarbeidelsen av personopplysningsloven hvor

69 Blixrud (2010) s. 90

(22)

19

personopplysningsutvalget ga uttrykk for at formålsbestemthetsprinsippet utgjør en standard som det vil være vanskelig å holde seg innenfor i det praktiske liv.⁷²

Et eksempel på dette kan være dersom Rema 1000 tilbyr et bonuskort hvor kundenes kjøp blir registrert med formål om å ”kunne sende tilbud på produkter kunden handler mye av”. Der- som Rema 1000 senere finner ut at de kan bruke handlehistorikken til kundene til å optimali- sere varelageret i henhold til etterspurte produkter, vil dette i utgangspunktet falle utenfor det opprinnelige behandlingsformålet, og være i strid med pol § 11 første ledd bokstav c. For individets personopplysningsvern kan en streng fortolkning av behandlingsformålet sikre større grad av kontroll over personopplysningene, men for den behandlingsansvarlige kan det anses å være til unødig hinder for opplysningenes potensiale, siden konsekvensen er at opplysningene ikke kan behandles dersom de ikke omfattes av behandlingsformålet, jfr pol § 11 første ledd bokstav b og d. For en mer utførlig drøftelse av uforenlighetsvurderingen, se punkt 3.3.

Klarhetskravet var ett av spørsmålene Datatilsynet vurderte i en kontroll av Skattedirektora- tets behandling av personopplysninger ved hjelp av Google Analytics.⁷³ Skattedirektoratet benyttet seg av tjenesten for å analysere nettrafikken på blant annet deres hjemmesider. Ved behandlingen ble de besøkendes IP-adresses lagret, men ikke på en måte som gjorde det mulig å identifisere de enkelt besøkende. Ved spørsmål om formålsangivelse viste Skattedirektoratet til Google sine retningslinjer for personvern hvor det fremgikk at ett av formålene med innsamlingen var å kunne bruke personopplysningene til å:

yte andre tjenester i tilknytning til aktiviteten på nettstedet og bruken av internett.

Datatilsynet uttalte at ”det er høyst uklart hva som ligger i dette”.⁷⁴ Formålsangivelsen åpnet for flere ulike måter opplysningene kunne brukes på, og Datatilsynet ga uttrykk for at en slik angivelse ikke vil være forenlig med personopplysningslovens regler.

Datatilsynet gjør ingen inngående vurdering av kravene til formålsangivelse. Til tross for dette virker resultatet å være i tråd med lovens presisjonskrav. Hvis vi ser det angitte formålet i den foreliggende sak opp mot personopplysningslovens krav til klare og presise formål er det tvilsomt at denne angivelsen gir tilstrekkelig forutberegnelighet for den registrerte. På den ene siden vil det angitte formålet gi fleksibilitet for den behandlingsansvarliges anvendelse av personopplysningene, men på den andre siden gir formålet ingen holdepunkter for hvordan

72 NOU 1997:19 s. 86

73 Datatilsynet 11/00906

74 ibid. pkt. 6.6

(23)

20

personopplysningene vil bli behandlet, som taler for at lovens krav om klarhet og forutberegnelighet ikke er oppfylt.

Et annet behandlingsformål i saken var å kunne ”yte tjenester i tilknytning til aktiviteten på nettstedet”. Dette er et mer presist formål som skaper mer forutberegnelighet, da den registrerte vil forstå hvilke og hvordan opplysningene vil bli behandlet på. Dette taler for at lovens krav om ”uttrykkelig” formålsangivelse er oppfylt, jfr pol § 11 første ledd bokstav b.

Hvorvidt formål kan bli for ”uttrykkelige” gir Artikkel 29 gruppen uttrykk for at kravet til presise formål ikke betyr at ”…lengre, og mer detaljerte spesifikasjoner alltid er nødvendig eller hjelpsomt [min oversettelse].”⁷⁵ Det gis uttrykk for at flere detaljer og lengre formålsbe- skrivelser kan undergrave kravet til klarhet, samtidig som det også øker sannsynligheten for at formålet får et vidt anvendelsesområde. Formålsangivelsen må da gjøres på en måte som gjør behandlingen forståelig. Personverndirektivet Art. 6 nr. 1 (b) gir uttrykk for at krav om formål som er ”specified”, og tilsvarende krav kan innfortolkes i personopplysningslovens krav om

”uttrykkelige” formål, jfr pol § 11 første ledd bokstav b.

Det samme synes også å være tilfellet dersom det angis svært mange behandlingsformål. Ord- lyden i pol § 11 første ledd bokstav b begrenser som utgangspunkt ikke antall angitte formål, men dersom svært mange formål gjør behandlingen upåregnelig for den registrerte taler dette for at lovens krav om klarhet og presisjon ikke er oppfylt. Dette taler for at antall angitte for- mål også bør avgrenses til et omfang som gjør det praktisk mulig for den registrerte å få en oversikt over hva personopplysningen skal bli brukt til.

3.2.1.1 Når skal behandlingsformål angis?

Av pol § 31 første ledd bokstav a gis det uttrykk for at den behandlingsansvarlige skal gi mel- ding til Datatilsynet før behandlingen finner sted, hvor det blant annet skal informeres om formålet med behandlingen, jfr pol § 32 første ledd bokstav d.Ved formålsangivelse overfor den registrerte skiller personopplysningsloven mellom innsamling av personopplysninger fra den registrerte og fra andre enn den registrerte, jfr pol §§ 19 og 20. Bestemmelsene oppstiller ulike unntak for informasjonsplikten, men felles for begge er at personopplysningene ” samles inn”.

Ved innsamling av personopplysninger etter pol § 19 følger det av forarbeidene at uttrykket

”samles inn” viser til når den behandlingsansvarlige direkte henvender seg til den registrerte

75 Artikkel 29 Gruppen (2013) s. 16

(24)

21

og ber om opplysningene, men også ved indirekte innsamling som for eksempel lagring av elektroniske spor ved bruk av en nettside.⁷⁶ Innsamling forutsetter også at den registrerte øns- ker å tilegne seg opplysningene, og at innsamlingen som er en uønsket effekt av en teknisk prosess ikke anses som innsamling av personopplysninger i lovens forstand. Dersom dette er tilfellet inntrer ikke informasjonsplikten.⁷⁷ Informasjonsplikten inntrer heller ikke dersom den registrerte uoppfordret gir fra seg personopplysningene.

Hensikten bak informasjonsplikten er at den registrerte blir i stand til å avgjøre om han eller hun vil gi fra seg personopplysningene, slik at selvbestemmelsesrett ivaretas.⁷⁸ En forutsetning for selvbestemmelsesretten ivaretas er at informasjonen gis før valget tas. Siden loven skiller mellom der det er frivillig og ikke frivillig å gi fra seg personopplysninger forutsetter et frivillig valg at det er gitt tilstrekkelig informasjon, herunder informasjon om behandlings- formålet, jfr pol § 19 første ledd bokstav d og b. Dette kan ses i lys av pol § 2 nr. 7 som krever et informert samtykke.⁷⁹ Informasjonsplikten etter § 19 inntrer dermed før behandlingen finner sted og skal som hovedregel skje uoppfordret,⁸⁰ med mindre unntaket i pol § 19 (2) kommer til anvendelse. Dersom behandlingen kan skje uten den registrertes samtykke, det følger for eksempel av lov, skal informasjonen allikevel gis før behandlingen skjer.⁸¹ Dersom personopplysningene behandles til nye lovlige formål taler hensyn til individets personvern for at informasjonsplikten også inntrer.⁸² Til sammenlikning med informasjonsplikten i personverndirektivet art. 10 angis det ikke når informasjonsplikten inntrer. Da informasjonsplikten frem- heves som en forutsetning for rettferdig behandling av personopplysninger i personverndirektivets premiss 38 taler dette for at informasjonsplikten her også inntrer før behandlingen skjer.

Informasjonen som skal kommuniseres overfor den registrerte er noe usikker, spesielt når opplysninger er innsamlet over internett.⁸³ Av pol § 24 følger det at informasjonsplikten kan kreves skriftlig, men i kravet om skriftlighet er det ikke noe i veien for at informasjonen gis elektronisk.⁸⁴ Av forarbeidene til pol § 19 følger det at hvordan den konkrete formålsangivel- sen skal skje overfor den registrerte beror på hvordan den tidligere kontakten har vært mellom partene, og hvordan innsamlingen av personopplysningene har blitt gjort.⁸⁵ Det gjøres et skille

76 Ot.prp.nr.92 (1998-1999) s. 119

77 Olsen (2015) s. 368

78 Ot.prp.nr.92 (1998-1999) s. 119

79 Blixrud (2010) s. 106

80 Olsen (2015) s. 325

82 Blixrud (2010) s. 106

83 Olsen (2015) s. 372

84 Ot.prp.nr.92 (1998-1999) s. 122

85 ibid. s. 119

(25)

22

mellom der det forut for innsamlingen har vært kontakt mellom den behandlingsansvarlige og den registrerte, og der det ikke har vært kontakt. I likhet med presisjonskravet til behandlings- formålene vil selve angivelsen bero på hva som er påregnelig for den registrerte og hva slags opplysninger som behandles.

Hvorvidt det kan oppstilles krav om individualisering av informasjonsplikten er noe usikkert.

Med individualisering menes det at informasjonsplikten er tilpasset den enkelt registrerte. Av både pol §§ 19 og 20 følger det at informasjonsplikten gjelder overfor ”den registrerte”. Gode grunner taler for at informasjon til en 85 åring bør utformes annerledes enn informasjon til en datakyndig student. Dette kan ses i lys av at hensynet bak regelen er at den registrerte skal kunne ivareta selvbestemmelsesretten over egne personopplysninger.⁸⁶ Dette taler for en individualisering.

På den andre siden vil krav om individualisering være svært ressurskrevende for den behandlingsansvarlige. Peter Blume⁸⁷ gir uttrykk for at det ikke er på et individuelt nivå, men på et generelt nivå at informasjon skal utformes på en forståelig måte. Uttalelsen kan forstås i ret- ning av at informasjon skal være tydelig for alle, men at man ikke tar utgangspunkt i de enkel- te registrere, men de registrerte som del av en større gruppe. Dette kan særlig være tilfellet ved informasjonsplikten etter pol § 20, siden det er mindre kontakt mellom den registrerte og den behandlingsansvarlige.⁸⁸

3.2.2 ”saklig begrunnet i den behandlingsansvarliges virksomhet”

Spørsmålet er så hvilke behandlingsformål den behandlingsansvarlige kan angi.

En naturlig språklig forståelse av lovens ordlyd taler for at det må være en sammenheng mellom virksomheten og behandlingsformålet som angis. At begrunnelsen må være ”saklig” taler for en skjerpet sammenheng.

I kommentarutgaven til personopplysningsloven gis det uttrykk for at saklighetskravet inne- bærer at angivelsen av formålet må ha en ”…nær og naturlig sammenheng med den aktuelle virksomheten.”⁸⁹ Dette kan ses i lys av at behandlingen skal være påregnelig for den registrerte. Dersom Rema 1000 for eksempel behandler helseopplysningene til kundene sine vil

86 ibid. s. 119

87 Blume (2013) s. 141

88 Blixrud (2010) s. 110

(26)

23

behandlingen ikke ha ”…nær og naturlig sammenheng…” med Rema 1000 sin vanlige virksomhet. Saklighetskravet medfører dermed en begrensning for hvilke formål som kan angis.

Det kan her reises spørsmål om det i ”saklighetskravet” inneholder et krav om at behandlingen må være nødvendig for virksomheten. I for eksempel personopplysningsforskriften⁹⁰ § 4-3 første ledd gis det uttrykk for at utlevering av kredittopplysninger kun kan gis til ”den som har saklig behov for den.” Til sammenligning med personopplysningsloven fremgår det ikke uttrykkelig av ordlyden at behandlingen må være nødvendig. Dette taler i mot at opplysningene må være nødvendige.

Hvis vi ser i saken PVN-2008-01 (”Utleiemegleren”) ga Datatilsynet uttrykk for at saklighetskravet i personopplysningsforskriften § 4-3 er en ”…konkretisering av saklighetskravet i personopplysningsloven § 11 [første ledd bokstav b].”⁹¹ Dette viser at personopplysningsforskriften presiserer de generelle kravene i personopplysningloven, og i den foreliggende saken kom Personvernnemnda til at det forelå et ”saklig behov for kredittopplysninger”. Selv om uttalelsen kommer fra Datatilsynet vektlegges den da det er en ordlydsfortolkning som Per- sonvernnemnda ikke kom med innsigelser mot.

Tilsvarende var i PVN-2008-03 hvor spørsmålet var om samtlige eiendomsmeglere i eien- domsmeglerforetaket OBOS hadde ”tjenstlig behov” for tilgang til kunderegistrene på tvers av alle kontorene i OBOS, jfr pol § 11 bokstav b og d, jfr personopplysningsforskriften § 2- 12. Nemnda konkluderte med at det var en saklig sammenheng mellom det å drive eien- domsmegling og behandlingen av personopplysningene, og at de ansatte dermed hadde

”tjenstlig behov” for tilgang til personopplysningene. Det kan her virke som det innfortolkes et krav om ”tjenstlig behov” i pol § 11 første ledd bokstav b, slik at kravet om formålsangi- velse er strengere enn ordlyd gir uttrykk for.⁹² Saken vurderes nærmere i punkt 4.2.2.

Hvorvidt det skal innfortolkes et krav om ”saklig behov” eller ”tjenstlig behov” i personopplysningene i pol § 11 første ledd bokstav b kan tenkes å måtte bero på hva slags personopplysninger som behandles. Dersom det skal behandles sensitive opplysninger etter pol § 9 kan rettssikkerhetshensyn overfor den registrerte tale for at det også må påvises et særlig behov for opplysningene. Ved behandling av ”alminnelige personopplysninger” etter pol § 8 taler også hensynet til den personlige integritet og privatlivets for at det må påvises et ”saklig behov” for personopplysningene, jfr pol § 1 andre ledd.

90 Personopplysningsforskriften av 15.12.2000 nr. 1265

91 Spørsmålet i saken var om selskapet Utleiemegleren kunne behandle kredittopplysningene til interessenter og leietakere til boliger de utleide.

92 Blixrud (2010) s. 91

(27)

24

3.2.2.1 Er saklighetskravet det samme som ”legitimate purposes”?

I personverndirektivet kreves det personopplysninger behandles til ”legitimate purposes”, jfr art. 6 nr. 1 (b). Direktivet skiller seg fra personopplysningsloven som kun gir uttrykk for et krav om formålsfastsettelse i sammenheng med den behandlingsansvarliges virksomhet.

Problemstillingen er om bestemmelsene oppstiller ulike krav.

Rent språklig kan kravet om ”legitimate purposes” anses å være mer omfattende enn kravet om ”saklighet”. En alminnelig oppfatning av ordet ”legitimt” er nærliggende å anse som et krav om lovlighet. Det anses rimelig å forutsette at begrunnelse i en virksomhet implisitt forutsetter et krav om lovlig drift. Artikkel 29 gruppen gir uttrykk for at hva som er å anse som

”legitimt” er videre enn kravet om rettslig grunnlag for behandling i art. 7, og at hva som er legitimt kan vurderes mot hensyn som rettferdighet.⁹³ Et eksempel på et formål som ikke vil være legitimt ville vært dersom Rema 1000 behandlet personopplysninger om sine kunder for å gi ulike tilbud avhengig av hudfarge. Av forarbeidene til personopplysningsloven fremgår det at kravet om at formålet må være lovlig er ”…selvsagt…”, og det har derfor ikke vært behov for å presisere det i lovteksten.⁹⁴ Personopplysningen krever da angivelse av lovlige formål, og dette taler for at loven er i samsvar med personverndirektivet.

I saken ”Rechnungshof”⁹⁵ for EU-domstolen ble kravet om ”legitimate purposes” i personverndirektivet art. 6 nr. 1 (b) vurdert i lys av EMK art. 8 (2).⁹⁶ Saken illustrerer at behandling av personopplysninger som gjør inngrep i retten til privatliv må kunne begrunnes i et legitimt og nødvendig behov for å være lovlig. Dette vil igjen bero på det rettslige grunnlaget for behandlingen og inngrepet behandlingen utgjør. Dommen vurderes nærmere i punkt. 4.2.2.

Hvorvidt personverndirektivet også oppstiller et krav om at behandlingsformål må ha sammenheng med virksomheten gir Artikkel 29 gruppen uttrykk for at kravet om lovlighet også beror på ”…det underliggende forholdet mellom den behandlingsansvarlige og den registrerte…” [min oversettelse].⁹⁷ Dette taler for at det avgjørende vil være hva som er påregnelig for den registrerte, som igjen taler for at personverndirektivet art. 6 nr. 1 (b) også oppstiller et krav om sammenheng mellom definering av formål og virksomheten som skal behandle dem.

94 Ot.prp.nr.92 (1998-1999) s. 114

95 Joined Cases C-465/00, C-138/01 og C-139/01

96 ibid. avs. 80

(28)

25

3.3 Endring av formål og gjenbruk av personopplysninger

Jeg skal nå redegjøre for oppgavens andre spørsmål;

• I hvilken grad er behandlingsformål bindende for den som skal behandle personopplysningene?

Når den behandlingsansvarlige har et rettslig grunnlag for å kunne behandle personopplysninger, og formålsangivelsen tilfredsstiller lovens krav, blir spørsmålet hvordan personopplysningene kan behandles videre. Det rettslige grunnlaget er pol § 11 første ledd bokstav c.

Pol § 11 første ledd bokstav c er utformet som et forbud mot å behandle personopplysninger til formål som er ”uforenlige med det opprinnelige formålet med innsamlingen”. Bestemmel- sen forbyr ikke at tidligere innsamlede personopplysninger brukes på nytt, men gir uttrykk for hvordan allerede innsamlede opplysninger kan brukes. Dette omtaler jeg som gjenbruk av personopplysninger.⁹⁸

I juridisk teori⁹⁹ er det tatt til orde for at innsamlede personopplysninger kan behandles på tre måter:

• Behandling i samsvar med det opprinnelige formålet

• Behandling til nye formål som ikke er ”uforenlige”

• Behandling til nye formål som er ”uforenlige”

I det følgende tar jeg også utgangspunkt i denne inndelingen. Det avgrenses fra unntaket i pol

§ 11 andre ledd.

3.3.1 Hva er et ”uforenlig” formål?

Pol § 11 første ledd bokstav c gir ingen uttrykkelige holdepunkter for hva et ”uforenlig for- mål” er. Vurderingen tar utgangspunkt i det opprinnelige angitte behandlingsformålet og må vurderes konkret.

Til sammenlikning knytter ikke bestemmelsen i personverndirektivet art. 6 nr. 1 (b) kravet om

”incompatible” til det opprinnelige angitte behandlingsformålet. I stedet skilles det mellom

98 I teori er det uenighet om riktig betegnelse er ”gjenbruk” eller ”sekundærbruk/ primærbruk”. Se Kvam (2014) s. 278.

99 Olsen (2015) s. 331