I offentlig forvaltning behandler vi til enhver tid store mengder data. For å ivareta innbyggernes rettssikkerhet og tillit til det offentlige er det viktig at behandlingen skjer på en lovlig, rettferdig og åpen måte. Dette kan til tider være enklere sagt enn gjort, blant annet fordi regelverket er komplekst og ikke alltid helt enkelt å forstå.
Et spørsmål vi ser flere lurer på er hva som skal til for å bruke samtykke som behandlingsgrunnlag i offentlig sektor. Vi i Nasjonalt ressurssenter for deling og bruk av data, som skal være læringsmiljø og kompetansebank, ser derfor behov for å forsøke å klargjøre vår forståelse av dette.
Vi er klar over at det kan være ulik tolkning av jussen rundt dette spørsmålet. Vi vil derfor veldig gjerne ha innspill og tilbakemeldinger, eller forslag til forbedringer av teksten, så gi oss tilbakemelding i kommentarfeltet, eller i Datalandsbyen.
Problemstilling: samtykke som behandlingsgrunnlag
All behandling av personopplysninger må ha et behandlingsgrunnlag (pvf. 6 nr. 1). Personvernforordningen oppstiller seks alternative grunnlag, der ett av disse er samtykke. Når behandling av personopplysninger er nødvendig for å oppfylle en rettslig forpliktelse eller utøve offentlig myndighet, krever forordningen i tillegg at det foreligger et supplerende rettslig grunnlag i nasjonalretten (art. 6 nr.3). Offentlig sektors behandling av personopplysninger vil som en følge av dette kravet normalt basere seg på hjemmel i lov eller forskrift. I noen situasjoner kan det likevel være ønskelig for offentlig sektor å belage seg på den registrertes samtykke som rettslig grunnlag for behandlingen (behandlingsgrunnlag). Det kan for eksempel være at en virksomhet ønsker å gi innbygger mulighet til å samtykke til at nødvendig dokumentasjon i forbindelse med en søknadsbehandling innhentes direkte fra andre virksomheter, heller enn fra innbygger selv. Et annet eksempel der samtykke kan være et aktuelt behandlingsgrunnlag er i forbindelse med brukertesting og innsiktsarbeid.
Ujevnt maktforhold
Det ujevne maktforholdet mellom myndighetene og den enkelte innbygger tilsier imidlertid at det offentlige bør være varsom med bruken av samtykke. Offentlige virksomheter har tilgang til mange maktmidler. I tillegg er innbyggere og næringsliv ofte forpliktet til å innrette seg etter pålegg myndighetene gir, samtidig som det gjerne er helt nødvendig for innbyggerne å benytte seg av tjenestene det offentlige tilbyr. Det kan derfor være vanskelig og i noen tilfeller heller ikke et reelt alternativ å si nei dersom en blir spurt om å samtykke til behandlingen av personopplysninger.
I det videre kan du lese mer om særlige begrensingene og mulighetene som ligger i offentlig sektors bruk av samtykke, og da særlig knyttet opp mot datadelingssituasjoner. På Datatilsynets hjemmeside finner du generell veiledning for bruk av samtykke.
Kan offentlig sektor bruke samtykke som behandlingsgrunnlag?
Ingen av bestemmelsene i personvernforordningen legger uttrykkelig begrensninger på det offentliges bruk av samtykke. Utgangspunktet må altså være at offentlige myndigheter kan benytte samtykke som behandlingsgrunnlag, så fremt vilkårene for samtykke er oppfylt.
For at et samtykke skal være lovlig er det blant annet et krav til at samtykket må være gitt frivillig. Dette følger av personvernforordningen artikkel 4 nr. 11. I tillegg må den behandlingsansvarlige kunne påvise at et gyldig samtykke foreligger (se pvf. art 7 nr. 1 og fortalepunkt 42).
Av personvernforordningens fortale (pkt. 43) følger det at samtykke i utgangspunktet ikke er et egnet behandlingsgrunnlag «dersom den behandlingsansvarlige er en offentlig myndighet og det derfor er usannsynlig at samtykket er gitt frivillig med hensyn til alle omstendigheter som kjennetegner den bestemte situasjonen». Dette tilsier at det offentlige bør være varsom med å benytte samtykke der det kan stilles spørsmål ved om samtykket er gitt frivillig. Hensynet bak reservasjonen tilsier at det avgjørende må være om virksomheten utøver slik myndighet at det er tvilsomt om et samtykke er frivillig, og at dette må vurderes konkret med tanke på “den bestemte situasjonen” det vurderes å benytte samtykke i. Dersom det foreligger tvil om samtykke er avgitt frivillig, vil den behandlingsansvarlige virksomheten vanskelig kunne påvise at den registrerte har avgitt et gyldig samtykke. I slike situasjoner må offentlige virksomheter benytte seg av andre behandlingsgrunnlag, eller avstå fra behandlingen.
Lovlig hvis virksomheten opptrer som privat aktør
Offentlige virksomheter utfører en rekke behandlinger og delbehandlinger knyttet til sin oppgaveløsing, som ikke kan betegnes som myndighetsutøvelse. Samtykke vil som hovedregel være uproblematisk å benytte som behandlingsgrunnlag når det offentlige opptrer som en privatrettslig aktør, for eksempel når en arbeidsgiver ber om samtykke til å publisere bilder på intranett.
Samtykke etter forvaltningsloven eller i særlovgivingen
Der opplysningene er underlagt taushetsplikt, vil taushetsplikten være til hinder for at opplysningene kan deles med uvedkommende. Forvaltningsloven § 13 oppstiller taushetsplikt for opplysninger som avslører opplysninger om noens personlige forhold og forretningshemmeligheter, og gjelder for store deler av offentlig forvaltning. Forvaltningsloven § 13 a. nr. 1 slår fast at taushetsplikten ikke er til hinder for at taushetsbelagte opplysninger deles med andre «i den utstrekning de som har krav på taushet samtykker». Behandlingsgrunnlaget for å dele opplysningene i et slikt tilfelle vil være lovhjemmel, og ikke samtykke, men et samtykke er da et vilkår for at lovbestemmelsen kommer til anvendelse. Kravene til et slikt samtykke vil trolig måtte oppfylle personvernforordningens krav til samtykke.1
Det finnes i tillegg en rekke særlover som krever at det foreligger et samtykke for at en behandling skal skje. Dersom behandlingen utføres etter plikter som påligger offentlig forvaltning i lov, men der selve gjennomføringen av loven nødvendiggjør innhenting av samtykke, er behandlingsgrunnlaget etter personvernforordningen lov, og ikke samtykke. Det vil si at behandlingsgrunnlaget enten er art. 6 c) «nødvendig for å oppfylle en rettslig forpliktelse» eller art. 6 e) «nødvendig for å utøve offentlig myndighet».
Vær oppmerksom på at det supplerende rettslige grunnlaget som oppstiller et lovpålagt krav om samtykke, kan sette andre krav til samtykke enn det som følger av personvernforordningen. Et eksempel på slik lovgiving er pasient- og brukerrettighetsloven kap. 4, som i motsetning til personvernforordningen ikke stiller krav om at samtykke må være uttrykkelig og aktivt avgitt.
Bør offentlig virksomheter bruke samtykke som rettslig grunnlag for behandlingen?
Samtykke kan altså benyttes dersom det ikke utøves slik myndighet at det er tvilsomt at samtykke er gitt frivillig, og de øvrige vilkårene er oppfylt. Selv om det i slike situasjoner er rettslig adgang til å benytte samtykke, er det ikke gitt at dette likevel er et hensiktsmessig eller aktuelt behandlingsgrunnlag. Datatilsynets hjemmesider inneholder informasjon og veiledning om kravene personvernforordningen stiller til gyldig samtykke, og vi kommer ikke til å gå nærmere inn på de generelle vilkårene her. Vi vil imidlertid knytte noen kommentarer til typiske særtrekk ved offentlig forvaltnings oppgaveløsning, og som bør tas med i betraktning når man skal vurdere om samtykke i en gitt situasjon er egnet eller ikke egnet som behandlingsgrunnlag.
Det må finnes et reelt alternativ til samtykke
Det må være et reelt alternativ til samtykke for at samtykket skal anses å være frivillig. Dersom en virksomhet ber om samtykke til å innhente inntektsopplysninger direkte fra Skatteetaten, kan det for eksempel være et alternativ at innbyggeren selv sender inn opplysningene - uten at valg av alternativ påvirker den videre behandlingen. Dersom en virksomhet opplever at samtykke «alltid» velges framfor alternativet, bør det vurderes om innhentingen bør reguleres i lov, slik at innbyggerne ikke behøver å samtykke.
Bidrar samtykke til reelt økt kontroll over egne personopplysninger?
På den ene siden kan samtykke i kombinasjon med informasjon og innsyn2 gi innbyggerne økt kontroll og innsikt i hvordan egne opplysninger brukes i offentlig forvaltning. På den andre siden er det en reell risiko for at innbyggerne ukritisk gir samtykker dersom de utsettes for samtykkeforespørsler ofte (såkalt «samtykketrøtthet»). For å unngå dette bør offentlige virksomheter både vurdere hvorvidt bruk av samtykke er nødvendig og det best egnede behandlingsgrunnlaget for den konkrete behandlingen skal foretas, samtidig som man bør være oppmerksom på den samlede mengden samtykkeforespørsler innbyggerne utsettes for. Gode fellesløsninger for offentlig sektor, for eksempel løsninger som gir innbyggerne oversikt over og mulighet for å administrere avgitte samtykker, kan bidra til å øke de registrertes mulighet for å opprettholde oversikt og kontroll.
Kompleksiteten i behandlingen
Mange prosesser i det offentlige preges av høy kompleksitetsgrad, både med tanke på hvilke løsninger opplysninger inngår i, og med tanke på hvordan de brukes over tid videre i virksomheten. Det følger av personvernforordningen art. 4 nr. 11 at et samtykket blant annet må være tilstrekkelig informert og spesifisert for å være gyldig. For å sikre at den som gir samtykke reelt sett kan avgi et informert samtykke, bør behandlingen det bes om samtykke til være enkel og avkortet i tid. Et eksempel på en slik behandling vil kunne være der en virksomhet ber om samtykke til å hente en inntektsopplysning fra Skatteetaten i forbindelse med behandlingen av en konkret søknad. Her vil konteksten som samtykke gis i (i forbindelse med en søknad) og den avgrensede behandlingen opplysningene skal inngå i (saksbehandling av den konkrete søknaden), bidra til å gjøre det tydelig for søkeren hva den samtykker til. Personvernforordningen oppstiller ingen grenser for hvor langt tidsrom et samtykke kan gis for, men dersom virksomheten ønsker å bruke samtykke i en prosess som går over noe lengre tid, bør det legges opp til at samtykket fornyes ved jevne mellomrom.
Hvem er brukeren?
Når det skal vurderes hvorvidt samtykke er et egnet behandlingsgrunnlag, bør det tas i betraktning om det er særskilte forhold ved den som skal avgi samtykke som tilsier at man bør være særlig varsom med bruken. Retter for eksempel samtykke seg mot unge (se pvf. art. 8), eldre, mennesker tilknyttet rusomsorgen eller andre sårbare grupper, må det vurderes hvorvidt kravet til blant annet at samtykke er informert blir tilstrekkelig ivaretatt. Dersom virksomheten i slike tilfeller likevel mener at samtykke kan benyttes er det særlig viktig at språk, informasjon og kommunikasjonsplattform tilpasses brukergruppen.
I andre tilfeller kan nettopp særlige forhold knyttet til dataene som ønskes brukt, tale for at samtykke benyttes. For eksempel kan det være gode grunner for at en innbygger selv bør kunne samtykke til at det innhentes sensitive helseopplysninger.
Tilbaketrekking av samtykke
Et samtykke kan når som helst trekkes tilbake og tilbaketrekking av samtykke skal være like enkelt som å gi samtykke (pvf. art 7 nr. 3). Det betyr at en virksomhet som behandler personopplysninger på bakgrunn av samtykke, må ha på plass løsninger som, både på et teknisk og organisatorisk plan, tar høyde for slik tilbaketrekking. Det er den behandlingsansvarlige som må bevise at foreligger et gyldig samtykke som dekker den aktuelle behandlingen (pvf. art. 7 nr. 1).
Når samtykke trekkes tilbake, vil dette imidlertid ikke ha «tilbakevirkende kraft» (pvf art. 7 nr. 3). Der det er innhentet opplysninger på bakgrunn av et gyldig samtykke og disse er benyttet i tråd med det samtykket som ble avgitt, vil ikke tilbaketrekking av samtykke påvirke den behandlingen som allerede (lovlig) har funnet sted. Når samtykke benyttes for deling av data, vil tilbaketrekning av samtykke således være mest aktuelt der prosessen går over tid, som hvis man har samtykket til jevnlig innhenting av opplysninger for å vurdere om vilkårene for en tjeneste fortsatt er oppfylt.
For innbygger kan det vært greit å være klar over at selv om et samtykke trekkes tilbake, og videre behandling dermed stoppes, vil virksomhetene uansett måtte oppfylle sin lovpålagte arkivplikt3. Dette medfører at personopplysninger som har inngått i dokumentasjon som er arkivpliktig, normalt ikke slettes selv om samtykke trekkes tilbake (se pvf. art. 17 nr. 3 d).
Bruk av samtykke for å stimulere til innovasjon i offentlig sektor
Lovendring og regelverksutvikling er tidskrevende prosesser. Der offentlige virksomheter ønsker å prøve nye løsninger, og samtykke lovlig kan benyttes, kan samtykke være et egnet grunnlag for å få testet ut løsningene. Et eksempel på slik behandling, kan være brukertesting av nye veiledningsformer. Slik sett kan bruk av samtykke gi offentlige virksomheter en mulighet for å skaffe verdifullt erfaringsgrunnlag for å vurdere om for eksempel et konsept skal videreutvikles, et lovarbeid bør iverksettes eller om idéen bør «skrotes».
Vi gjør her oppmerksom på at innovasjonsprosjekter som innebærer behandling av personopplysninger, fullt ut må etterleve personvernregelverket også ved konseptutvikling og testing.
Som ledd i arbeid med sammenhengende tjenester, nevnes ofte proaktive tjenester. Vi kommer ikke til å gå nærmere inn på fordeler og ulemper ved å utvikle slike tjenester, men vil påpeke at samtykke kan være en måte å inkludere borgerne i prosessen og dermed redusere risikoen for at økt proaktivitet fra det offentliges side oppleves som et inngrep i den private sfære for innbygger.
Sjekkliste for å vurdere samtykke i offentlig forvaltning
Dere kan ikke bruke samtykke som behandlingsgrunnlag der dere skal utøve myndighet, da det asymmetriske maktforholdet mellom virksomheten og den registrerte tilsier at samtykke ikke er frivillig avgitt.
Dersom dere ikke skal utøve myndighet, og skal behandle personopplysninger, kan samtykke være et mulig behandlingsgrunnlag. Vurder følgende punkter:
-
Er behandlingen det bes om samtykke til kompleks?
-
Går behandlingen over lang tid?
-
Hvordan kan samtykket trekkes tilbake og hvilke konsekvenser har det?
-
Finnes det reelle alternativer til å inngå samtykke?
-
Hvem er målgruppen for samtykke?
-
Er det noe som tilsier at behandlingen heller burde hjemles i lov/forskrift?
-
Dersom dere kommer fram til at samtykke kan være et egnet behandlingsgrunnlag, les Datatilsynets og EDPBs veiledninger om krav til gyldig samtykke, i tillegg til personvernforordningen art. 4 nr. 11 og art. 7 med relevante fortalepunkter.
-
Nb! Sjekklisten er ikke uttømmende – dere må tenke på om det er noen særskilte forhold ved deres behandling som må tas med i vurderingen
Og som sagt innledningsvis: Vi tar mer enn gjerne mot innspill i form av motargumenter, eller som forbedringer til teksten. Kjør debatt!
Siri Eriksen
Siri er seniorrådgiver ved det Nasjonale ressurssenteret for deling av data (Digdir), hvor hun blant annet bidrar med juridisk kompetanse inn i prosjekt "Sammenhengende tjenester" og i arbeidet med livshendelsen "Dødsfall og Arv" (DoA). Hun er utdannet jurist og kriminolog, og har tidligere blant annet arbeidet med rettslige spørsmål knyttet personvern og forvaltningsrett i a-ordningen og andre digitaliseringsprosjekter i Skatteetaten.
Steinar Skagemo
Veldig bra at dere klargjør dette!
Jeg tror det kan gjøres enda tydeligere at samtykke etter forvaltningsloven rettet mot f.eks. Skatteetaten, ikke er et samtykke til noen som utøver offentlig myndighet. Det er Skatteetaten som skal ha samtykket (ellers blir ikke taushetsplikten opphevet), og det de skal bruke det til er å oppheve taushetsplikten -- ikke utøve noen annen myndighet. Myndighetsutøvelsen skal eventuelt foregå hos de som _mottar_ opplysningene, og de må, som du skriver, ha et annet rettslig grunnlag en samtykke for den myndighetesutøvelsen.
Jeg tror formuleringen du bruker her bidrar til å skape uklarhet om hvem man samtykker overfor og øker sjansen for at folk tror det er snakk om å samtykke til myndighetsutøvelse: "Et eksempel på en slik behandling vil kunne være der en virksomhet ber om samtykke til å hente en inntektsopplysning fra Skatteetaten i forbindelse med behandlingen av en konkret søknad."
Jeg er enig i at det er relevant å bruke reglene fra GDPR for hva som er gyldig samtykke, men det er viktig å presisere at akkurat det som går på avhengighetsforhold til offentlig myndighet ikke er et hinder for å samtykke etter forvaltningsloven. Isåfall ville jo ikke regelen i forvaltningsloven gitt noe mening, den gjelder jo bare for offentlig myndighet.
Det er viktig også å ha en bevissthet om hva/når samtykke er egnet som grunnlag for å dele data -- det er både fordeler og ulemper. Men det er tilsvarende viktig å kjenne fordelene og ulempene ved alternativet, å innføre en lovhjemmel. Her føler jeg ofte det mangler en forståelse av forskjellen rent teknisk på hva det vil si at en virksomhet kan hente opplysninger direkte fra en virksomhet, uten at brukeren må involveres, slik det åpnes for med hjemmel, og det at en utlevering av opplysningene _må_ bekreftes av den det gjelder. Det har en stor effekt på risikobildet, spesielt for alle de som ofte _ikke_ er aktuelle deltagere i en prosess, om man gjør det på den ene eller andre måten.
For å tydeliggjøre det med et eksempel: Når Husbanken har lov til å hente inntektsopplysninger, får de tilgang til opplysninger fra Skatteetaten, også for alle de som aldri skal ha tjenester fra Husbanken. Det er ikke sannsynlig at Husbanken kommer til å misbruke denne tilgangen bevisst, men det er likevel ingen tvil om at det skaper en ekstra angrepsflate som kan utnyttes av ondsinnede krefter.
M.a.o. for å få en god vurdering av om og med hvilket rettslige grunnlag opplysninger i offentlig sektor bør deles, må både hjemmel og samtykke vurderes.
Steinar Skagemo
Det er forresten interessant at Skate nylig ble presentert for arbeidet med deling av inntektsopplysninger med kommunen, som har tildels motstridende vurderinger enn du har i innlegget her, for eksempel om det med å kunne trekke tilbake samtykke. De drøfter det heller ikke i lys av forvaltningsloven (eller tilsvarende regel i egen særlov for skatteforvaltningen)
https://www.digdir.no/media/2883/download
Jans Karlsen
Slutt å krev at folk må si fra seg samtykke for å fornye en resept... dette er fascistisk.
ODD JOHAN JOHANSEN
Jeg tror at offentlige kontorer tar vare på vår sikkerhet på en trygg måte.