Ikke lenger konsesjonsplikt for forskning og helseregistre

Når vi får nye personvernregler, blir det ikke lenger konsesjonsplikt for forskning, kvalitetssikring og helseregistre. Den erstattes av andre plikter som i praksis betyr at virksomhetene selv må gjøre de vurderingene som Datatilsynet tidligere har gjort ved behandling av konsesjonssøknader.

Dagens konsesjonsregler – konsesjonsplikt og unntak

Dagens personopplysningslov stiller i § 33 (tilsvarende helseregisterloven §7 ) et generelt krav om konsesjon for behandling av sensitive personopplysninger. Samtidig gir både loven selv og personopplysningsforskriften en rekke unntak fra konsesjonsplikten.

Ved sekundærbruk av data til forskning og kvalitetssikring eller til å opprette helseregistre, har den klare hovedregelen vært en plikt til å ha konsesjon fra Datatilsynet. Helseforskningsloven gir unntak fra dette ved at REK skal forhåndsgodkjenne helseforskning. Det gis i tillegg også unntak i personopplysningsforskriften § 7-27, som sier at personvernombudet kan godkjenne mindre omfattende prosjekter.

Dessuten trenger heller ikke behandlinger av opplysninger som er lovregulert eller der behandlingen er regulert i forskrift, som for eksempel i Kreftregisterforskriften, å ha konsesjon.

Personvernforordningen gir ny praksis

Når personvernforordningen og ny personopplysningslov erstatter dagens regelverk, blir det ikke lenger krav til nasjonale forhåndsgodkjenninger av behandling av opplysninger. Det gis likevel åpning for å videreføre ordningen i forordningens artikkel 36 (5). Dersom det skulle bli aktuelt i Norge, vil det være opp til regjeringen å benytte en slik mulighet. Det har imidlertid ikke kommet noen føringer for dette fra Justis- og beredskapsdepartementet ennå. Det er departementet som er ansvarlig for arbeidet med forordningen i Norge.

Et slikt unntak går også imot det nye regelverkets intensjon om å flytte ansvaret for behandling av personopplysninger fra tilsynsmyndigheten til virksomhetene, og å fjerne byråkratiske prosesser for behandling av personopplysninger. Tilsynsmyndighetene skal kontrollere etterlevelse av regelverket gjennom tilsyn heller enn å forhåndsgodkjenne behandlinger.

Konsesjonsregler i forslaget til ny personopplysningslov - proposisjon 56 LS

Det norske regelverket legger ikke opp til en videreføring av konsesjonsplikten, og det blir trolig besluttet i forskrift eller lov at eksisterende konsesjoner oppheves. Det betyr at det ikke lenger blir nødvendig å søke om tillatelser til å starte nye behandlinger. Det vil heller ikke være behov for å søke om å gjøre endringer i allerede pågående behandlinger.

Vilkår som er gitt i medhold av personopplysningsloven § 35 gjelder heller ikke lenger.

Hva vil skjer med konsesjonene vi allerede har gitt?

De nye personvernreglene viderefører stot sett gjeldende regler og prinsipper. Det betyr at gjeldende konsesjoner og vår konsesjonspraksis vil kunne brukes som veiledning i hvordan dere skal tolke og anvende forordningens regler. Dere bør legge særlig stor vekt på konsesjonspraksisen vi har utøvd over lang tid.

Vi har gitt konsesjoner ut fra en vurdering av om lovens grunnleggende vilkår er oppfylt (i medhold av personopplysningsloven § 33 - § 35). Vi har også stilt vilkår dersom vi har ansett det som nødvendig. I tillegg har vi gjort en totalvurdering av ulempene behandlingen innebærer for den enkelte, sett opp mot de forholdene som taler for at behandlingen skal skje.

Det betyr at våre konsesjonsvurderinger har mange fellestrekk med det som kreves ved en vurdering av personvernkonsekvenser også i det nye regelverket. I de tilfellene der vi har stilt vilkår, har vi etter en helthetsvurdering kommet til at hvis ikke vilkårene innfris, innebærer behandlingen større ulemper enn det som er tillatt i regelverket.

Behandlingsansvarlige som velger å behandle opplysninger på en annen måte enn det som er lagt til grunn i vår praksis og i konsesjonene vi har gitt, risikerer at behandlingen har større ulemper enn det som er tillatt i personvernregelverket.

Dersom dere går bort fra det som er forutsatt, må dere sørge for å gjøre skikkelige vurderinger av hva behandlingen vil innebære og å dokumentere disse. Endringer i behandlingen av personopplysninger bør erstattes med andre tiltak som holder ulempene på et akseptabelt nivå.

Husk også at informasjonen som gis eller er gitt til de registrerte, har betydning for hvordan opplysninger kan behandles. Dersom behandlingen er basert på samtykke, er rekkevidden av samtykket bindende for hvilke endringer dere har lov til å gjøre.

Sist, men ikke minst er det viktig å kontrollere at samtykkene fortsatt er gyldige etter det nye regelverket. Kravene til samtykke skjerpes i de nye reglene.

Hva betyr det at konsesjonsplikten faller bort?

Når den tidligere personopplysningsloven oppheves, gjelder ikke lenger konsesjoner og vilkår gitt i medhold av den.

Når konsesjonsplikten faller bort, betyr det i praksis at databehandlingsansvarlige selv må vurdere om en behandling av personopplysninger er tillat. Dere må altså vurdere om dere oppfyller alle personvernforordningens plikter knyttet til behandlingen. Dette innebærer å vurdere hvilke personvernkonsekvenser en behandling av personopplysninger har, og så iverksette tiltak som er nødvendige for å redusere eventuelle personvernulemper.

Datatilsynet kan bidra med generell veiledning om regelverket. Det er likevel opp til sektoren selv å etablere sektorspesifikke retningslinjer, best praksis og bransjenormer som hjelper de databehandlingsansvarlige i arbeidet med å forstå og tilpasse seg de nye lovkravene.