INIOs innspill til etterkontroll av personopplysningsloven

I arbeidet med vårt innspill har vi arrangert en workshop der både interne og eksterne ressurspersoner har bidratt. Takk til alle som deltok!

Vårt innspill, sendt Justis- og beredskapsdepartementet:
 

Foreningen INIO viser til Justis- og beredskapsdepartementets brev av 2. juli 2024

Det er virksomhetene som har implementert personopplysingsloven av 2018. Samtidig ble det slått fast i ny arkivforskrift i 2018 at arkivansvaret ligger hos den øverste ledelsen.  For våre medlemmer, som har ansvar for den konkrete dokumentasjonsforvaltning i virksomhetene, har tilpasning til ny personopplysningslov medført noen utfordringer.

INIO mener at lovverket med tilhørende reglement slik det er i dag er komplisert og vanskelig å etterleve av flere grunner. Formen på dagens lovtekst med den norske loven og GDPR som integrert tekst kan skape uklarhet i nødvendige krysshenvisninger mellom norske paragrafer, fortaletekstene og selve artiklene i forordningen. Forholdet til andre norske lover, spesielt arkivloven, men også forvaltningsloven og offentleglova er utydelig og det mangler konkrete veiledere for forholdet mellom de overnevnte lover, men også til regler i hhv. personopplysningsloven og forordningens fortaletekster og artikler. Det virker som om det er uklart hvilken myndighet som har ansvar for å utforme veiledere for forholdet mellom arkivloven, personopplysningsloven, forvaltningsloven og offentleglova. En harmonisering av veiledningene som viser sammenheng mellom tilgrensende lovverk, vil gjøre det enklere for virksomhetene å etterleve dem.

GDPR-forordningen henviser flere ganger til at nasjonal lovgivning ikke skal hindres av personvernreglene. Det gjelder både generelle innsynsregler, taushetspliktsregler og regler om arkivbevaring i arkivlov. Det kan virke som departementet ikke har forstått rekkevidden av denne problemstillingen.

Vi trekker frem tre forhold spesielt, det ene forholdet mellom taushetspliktregler og personvernreglene, det andre forholdet til reglene for sletting og arkivlovens bevarings- og kassasjonsregler og det tredje den kompliserte formuleringen om at arkivformål i offentlighetens interesse ikke uten videre skal slettes. Det er flere diskusjoner som innebærer ulik forståelse av når dokumentasjon blir arkiv i lovtekstens forstand.

Taushetsplikt

Vi erfarer at både ansatte og innbyggere ved utarbeidelse av rutiner for saksbehandling, eller ved henvendelser ofte blander sammen kravene om at virksomhetene skal ha hjemmel for å behandle personopplysninger og lovpålagt taushetsplikt for enkelte personopplysninger. Man glemmer at taushetsplikt ikke bare dreier seg om personopplysning, men også gjelder blant annet forretningshemmeligheter og graderte opplysninger. INIO mener derfor at det er behov for mer presise veiledninger som beskriver og forklarer forholdet mellom personvern og taushetsplikt.

Sletting versus bevaring

Vi er spesielt opptatt av forholdet mellom sletting i personopplysningsloven og bevaring og kassasjon i arkivloven med forskrifter. Her ligger en motsetning mellom «retten til å bli glemt» og «retten til å bli husket». To myndigheter er regelverksforvaltere og ansvarlige for tilsyn her, henholdsvis Datatilsynet og Arkivverket.

Da personopplysningsloven ble iverksatt i 2018 hadde Datatilsynet i lang tid arbeidet med veiledning, oppdatert nettside med faktaark, spørretjeneste med mer. Arkivverket på sin side har vært nesten fraværende i å veilede dokumentasjonsforvaltningen i virksomhetene. Denne ubalansen om sletting av personopplysninger, personvern versus langtidsbevaring, gir en ubalanse der vi er redd for at personopplysninger uriktig er blitt slettet i saker som skal bevares for å dokumentere rettigheter og plikter. Det er svært uheldig at Arkivverket ikke har fulgt opp den nye personopplysningsloven med veiledning og fortolkninger av dokumentasjonsplikter og behov opp mot personvernhensyn i virksomhetene.

Vi ser også at dette har ført til at aktører uten dokumentasjonsfaglig kompetanse, for eksempel HR Norge, har utarbeidet sletteregler for personvern som forfekter at mesteparten av personaldokumentasjon ikke bare kan, men skal slettes på tross av at arkivloven ikke tillater det for virksomheter som faller inn under det lovverket.

Personvernnemnda

Personvernnemda har spilt en spesiell rolle i utvikling av forståelsen av forholdet mellom arkiv og personvern. Spesielt i de første årene var det mange klagesaker som fikk en grundig behandling hvor arkivforskriften var viktig grunnlag for drøfting. Drøftingene har framstått som en form for “rettspraksis” som mange har tatt til seg og anvendt også utenfor de aktuelle sakene.

I det siste kan vi konstatere at en noe mangelfull kunnskap om forholdet mellom arkivlovverk og personvernregler gjør at rettspraksis nå bygger på en manglende forståelse av sammenhengen mellom lovene. Eksempel på dette mener vi å finne i noen enkeltvedtak hos personvernnemda.

Personvernnemnda er klageinstans for vedtak fattet av Datatilsynet. Et eksempel på at nemnda muligens ikke har tilstrekkelig kompetanse er i sak PVN-2023-27; om foresattes henvendelse om retting/sletting av dokumentasjon fra barnehage og skole.

I denne saken pålegges kommunen å slette notater fra to barnehager fordi de ikke er spesifisert som sakstyper i minimumskravene til bevaring etter riksarkivarens forskrift § 7-28 (2). Kommunen har også i saken redegjort for at notatene vil være viktig rettighetsdokumentasjon for det aktuelle barnet, dersom det senere i livet ønsker å etterprøve om det fikk den oppfølging det hadde krav på etter barnehageloven. Kommunens svar er altså i tråd med Arkivverkets bevaringsformål F3: å dokumentere personers og virksomheters rettigheter og plikter i forhold til det offentlige, og i forhold til hverandre. Kommunen har gjort egne vurderinger om merbevaring etter riksarkivarens forskrift § 7-23 (1).

Vi mener dette er et eksempel på at nemnda har tolket kommunal merbevaring etter riksarkivarens forskrift § 7-23 (1) innskrenkende.

Personvernombudets rolle ved sletting versus kassasjon

Et personvernombud er utnevnt for å ha oversikt over alle behandlingene av personopplysninger som skjer i virksomheten. Men en virksomhet står fritt til å ansette eller leie inn arbeidskraft for å ivareta personvernet uten at disse personene har rollen som personvernombud.

Vi erfarer at personvernombud kan mangle god nok generell kompetanse på forholdet mellom personopplysningsloven og arkivloven, og at virksomhetene ikke henter inn ekstern kompetanse eller benytter seg av den arkivfaglige kompetansen som finnes i virksomhetene. Det kan for eksempel gjelde spørsmål om hvordan en gjør bevaringsvurderinger opp mot utarbeidelse av behandlingsprotokoll. Vår erfaring er at personvern prioriteres sterkere enn arkivvern, og at dette er dels på grunn av manglende veiledning fra Arkivverket. I en slik konflikt ser vi at det sterkeste fagmiljøet “vinner”.

Vi vil også nevne kravet til rådføring med personvernombud når det gjelder særskilt kategori av personopplysninger uten samtykke § 9. Det er nok et eksempel på at en del virksomheter og personvernombud mangler arkivfaglig kompetanse.

Funksjonalitet i sak- og arkivsystemer versus sletting

Det er en utfordring for offentlig forvaltning av arkivlovverket og personvernlovverket ikke er harmonisert mht. sletting og kassasjon (destruering). Riksarkivarens forskrift definerer hvilke saker som skal bevares fra statlige og kommunale virksomheter. Innholdet i saker som etter arkivlovverket skal bevares, hensyntar ikke at de kan inneholde opplysninger som etter personvernlovgivningen bør eller skal slettes etter at saken er avsluttet. Foreningen INIO mener det er uheldig at Arkivverket som godkjenner av Noark-systemer, kun forholder seg til arkivlovverket og ikke personopplysingslovens bestemmelser om sletting.

Offentlig forvaltning er pålagt å bruke Noark-systemer til journalføringspliktig arkiv jf. arkivforskrifta § 11. Det er Arkivverket som forvalter norsk arkivstandard, og arkivmyndigheten har en godkjenningsordning for slike systemer som skal benyttes til journalføring og arkivering. I Noark-systemer er det ikke lagt til rette for å slette enkelte filer eller dokumenter, og for metadata legger standarden eksempelvis opp til at disse aldri skal kunne slettes. Det siste støttes av journalplikten i arkivforskriften § 9 og offentleglova § 10, og med tilhørende bevaringsplikt jf. Riksarkivarens kapittel 7.

Vi er fullstendig klar over at lov går foran standard og system, men Arkivverket, som godkjenner av Noark-systemer, forholder seg til arkivregelverket og ikke personopplysningslovens bestemmelser om sletting. Det er en stor utfordring for offentlig forvaltning av kravene til elektronisk arkiv (Noark-standarden) ikke er oppdatert etter at GDPR ble innlemmet i norsk rett. 

Det er behov for å rydde opp i de kompliserte forholdet mellom arkivlovverket og personopplysningsloven på dette punkt. Når det er sagt så er det samtidig behov for å utvikle nye metoder og systemer som både kan ivareta godt personvern og ivareta samfunnets, og virksomhetenes behov og innbyggernes rettigheter ved å sikre dokumentasjon som arkiv.

Sandkasseprosjekter

Vi vil derfor anbefale departementet å se nærmere på evne noen sandkasseprosjekter der forholdet mellom personvern og arkiv er utforsket.

• Simplifai og NVE, sluttrapport: Digital medarbeider «For å gjøre det lettere å bruke maskinlæring til å løse utfordringene med å journalføre og arkivere dokumentasjon i tide, anbefaler sandkasseprosjektet at ny arkivlovgivning regulerer dette på en ansvarlig måte.»

        • Utfordring i personopplysningsloven og arbeidsmiljøloven: Journalføring av e-post – bruksfase og
           etterlæring. Dette gjelder spørsmål om maskinlæring for å journalføre ansattes egen e-post
           (ikke postmottak).

• Sjøfartsdirektoratets sandkasse. Den aktuelle prosessen hos Sjøfartsdirektoratet innebærer ikke behandling av personopplysninger, men sandkassen har likevel sett på noen av kravene som stilles til automatisert behandling av personopplysninger. Det vil være relevant for andre, og kanskje også Sjøfartsdirektoratet på sikt. EU-forordningen om vern av fysiske personer i forbindelse med behandling av personopplysninger (GDPR) er del av personopplysningsloven. Artikkel 22 handler dels om å innskrenke muligheten for automatiserte avgjørelser (nr. 1 og 2), og dels om hvilke rettigheter personer har dersom det skjer (nr. 3 og 4). Artiklene stadfester «retten til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen».

I fortalene ble også retten «til å få en forklaring på avgjørelsen som er truffet» omtalt, men dette er ikke blitt en del av den endelige bestemmelsen. På lik linje med forvaltningsloven, gir personvernregelverket med andre ord en slags klageadgang for behandlingsmåte i tillegg til vedtaket. Videre sier artikkel 13 og 14 (om informasjon og innsyn i personopplysninger) at man har rett på en rekke opplysninger som er nødvendige for å sikre en «rettferdig og åpen behandling». For automatiserte beslutninger trekkes det her frem at man skal få innsyn i «relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte». Retten gjelder altså for innsyn i hvordan løsningen virker, og ikke den spesifikke avgjørelsen. Artikkel 12 nr. 1 presiserer at informasjonen skal gis «på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk».

Definisjoner
Vi etterlyser en harmonisering av definisjoner og begreper som brukes på dette området.  Vi har i dag begreper som har ulik betydning eller som er uklare, f.eks. disse: Se vedlagte tabell i PDF (tabell er med i innspillet men lar seg dessverre ikke publiser i tekst her)
 

Avsluttende kommentarer

Kulturdepartementet arbeider nå med ny arkivlov (lov om dokumentasjon og arkiv), og Arkivverket har fått i oppdrag å skrive utkast til forskrift til denne loven.
Vi vil i den forbindelse understreke viktigheten av at de forholdene vi har påpekt, blir avklart i enten den nye loven eller forskriftene og at det raskt utarbeides veiledninger.

Med hilsen
Anja Vestvold og Jorunn Bødkter
styreleder og styremedlem
Foreningen INIO

Alle innkomne innspill til etterkontroll av personopplysningsloven er publisert på regjeringen.no