Personvernnemndas vedtak 17. september 2018 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Gisle Hannemyr og Hans Marius Graasvold)
Saken gjelder klage fra Helse Bergen HF (heretter Helse Bergen) på Datatilsynets vedtak 4. desember 2017 der Helse Bergen fikk avslag på søknad om endring av konsesjon for EILO- registeret.
Sakens bakgrunn
Etter søknad 10. oktober 2012 fikk Helse Bergen, som dataansvarlig, jf. helseregisterloven § 2 bokstav d), konsesjon av Datatilsynet i vedtak 17. januar 2013 til å etablere EILO-registeret (Exercise Induced Laryngeal Obstruction). Konsesjonen gjaldt opprettelse av et nasjonalt medisinsk kvalitetsregister for pasienter med anstrengelsesutløst pustebesvær, og var tidsbegrenset fram til 1. februar 2023. Vedtaket ble fattet med hjemmel i dagjeldende helseregisterlov § 5 (lov nr. 24/2001, senere lov nr. 43/2014) og personopplysningsloven 2000 § 33, jf. § 34.
EILO-registeret, som var samtykkebasert, skulle inneholde helseopplysninger, herunder navn, fødselsnummer, opplysninger om diagnoser og behandling. Registeret skulle kunne danne basis for forskning.
I informasjonsskrivet og samtykkeskjemaet som fulgte konsesjonssøknaden opplyste Helse Bergen at foreldre skal samtykke på vegne av barn under 16 år og at «[n]ytt samtykke må innhentes når ungdommen er 16 år». Datatilsynet la dette til grunn for konsesjonen, og uttalte: «[i] vurderingen ble det lagt betydelig vekt på at behandlingen er samtykkebasert og at nytt samtykke skal innhentes fra barn i det de fyller 16 år».
Den 26. februar og 11. september 2017 søkte Helse Bergen Datatilsynet om endring av konsesjonen for å behandle helseopplysninger i EILO-registeret. Endringen gikk ut på at det ikke lenger skulle være nødvendig å innhente nytt samtykke når registrerte barn fyller 16 år, men at de i stedet skulle gis informasjon om muligheten til å reservere seg.
Datatilsynet fattet 4. desember 2017 følgende vedtak:
«Datatilsynet kommer til at de omsøkte endringene ikke kan tillates.»
Helse Bergen v/ Fagsenter for medisinske kvalitetsregistre i Helse Vest framsatte rettidig klage på Datatilsynets vedtak 27. desember 2017.
Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sitt vedtak. Saken ble oversendt Personvernnemnda ved Datatilsynets oversendelsesbrev 13. mars 2018. Helse Bergen ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer til Datatilsynets oversendelsesbrev. Nemnda har ikke mottatt ytterligere kommentarer.
Saken ble behandlet i nemndas møte 17. september 2018. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Gisle Hannemyr og Hans Marius Graasvold. Nemndas sekretær, Anette Klem Funderud var også tilstede.
Helse Bergen har i hovedsak anført
Søknaden om endring av konsesjon innebærer at det ikke skal være nødvendig å innhente samtykke fra barnet når det fyller 16 år. Dette er begrunnet i at kravet om nytt samtykke vil føre til frafall i registeret. I stedet ønsker EILO-registeret å sende informasjon til de som har fylt 16 år om at de er registrert, hva det innebærer og hvordan de kan reservere seg.
Datatilsynets vedtak er ikke forholdsmessig i henhold til alminnelige forvaltningsrettslige prinsipper.
Personvernnemndas praksis i sakene PVN-2013-07 (Nyrebiopsiregisteret) og PVN-2014-21 (Norsk brannskaderegister) må legges til grunn i denne saken, slik at samtykket som foreldrene har gitt på vegne av barna gjelder frem til det eventuelt blir trukket tilbake. Datatilsynet kan ikke sette seg ut over grunnvilkårene i helseregisterloven ved at foreldrenes samtykke bortfaller ved barnets 16 års dag og at barnet må samtykke på nytt.
Datatilsynets vedtak er selvmotsigende når det er uttalt at det ikke er stilt vilkår om innhenting av nytt samtykke, samtidig som det vises til at det er lagt stor vekt på at det skal innhentes nytt samtykke når barna fyller 16 år. At det skulle innhentes nytt samtykke fremgikk av informasjonsskjemaet som foreldrene signerte da de samtykket på vegne av barna. Dette var i tråd med Datatilsynets praksis da konsesjonen ble gitt.
Ettersom praksis er endret, vil de registrertes selvbestemmelsesrett være tilstrekkelig ivaretatt dersom det gis informasjon om registeret og om adgangen til å reservere seg mot videre behandling av helseopplysninger når barna fyller 16 år. Datatilsynet har den senere tid lagt til grunn at registeret har en løpende informasjonsplikt overfor den enkelte registrerte.
I lys av endret praksis fra Personvernnemnda har Helse Bergen utarbeidet et informasjonsskriv til ungdom over 16 år og en oppdatert samtykkeerklæring som gjelder framover i tid.
En avklaring i saken vil kunne ha prinsipiell betydning for andre registre som har fått konsesjon før Personvernnemndas avgjørelser i PVN-2013-07 og PVN 2014-21.
Datatilsynets vurdering
Lovlig behandling av personopplysninger krever et behandlingsgrunnlag.
Samtykke er et av de alternative behandlingsgrunnlagene i personopplysningsloven 2000 § 9, jf. § 8. Et samtykke er en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv, jf. helseregisterloven § 2 bokstav e). At samtykket skal være informert, betyr at det må gis informasjon som gjør den registrerte i stand til å forstå hva opplysningene skal brukes til og hvor lenge de skal brukes. På denne måten skal den registrerte gjøres i stand til å vurdere om vedkommende ønsker å godta behandlingen. Informasjonen setter derfor grenser for samtykkets rekkevidde og varighet.
Sakens problemstilling er rekkevidden av tidsbegrenset samtykke for behandlingen av helseopplysninger i EILO-registeret som foreldre har gitt på vegne av sine barn.
Når Helse Bergen innhenter samtykke fra foreldrene til barna som registreres i EILO- registeret, gis det tydelig informasjon om at det skal innhentes nytt samtykke når barna fyller 16 år. Slik settes det en tidsmessig begrensning for hvor lenge foreldrenes samtykke er gyldig som behandlingsgrunnlag. Den tidsmessige begrensningen innebærer at det må innhentes nytt samtykke dersom Helse Bergen skal fortsette å behandle opplysningene etter at barna fyller 16 år. Det vises til Personvernnemndas sak PVN-2013-17 (Tvillingregisteret) der nemnda uttalte:
«Dersom behandlingsgrunnlaget er samtykke og samtykkenes gyldighet er utløpt som følge av en tidsbegrensning angitt i samtykkeskjemaet, foreligger det ikke et lovlig innsamlet datasett.»
Det er ikke riktig at Datatilsynet i vedtak 17. januar 2013 stilte vilkår om at det skal innhentes nytt samtykke når barna fyller 16 år. Helse Bergen informerte selv i konsesjonssøknaden om at «[n]ytt samtykke må innhentes når ungdommen er 16 år». At tilsynet i vurderingen la stor vekt på tiltak som reduserer personvernulempene, er ikke det samme som at det ble stilt vilkår med hjemmel i personopplysningsloven § 35. Det forhold at Helse Bergen søkte om konsesjon i samsvar med Datatilsynets praksis, som senere ble endret av Personvernnemnda, er heller ikke det samme som at tilsynet har stilt vilkår for behandlingen.
Helse Bergen har anført at informasjon til 16-åringene og mulighet til å reservere seg mot videre behandling av helseopplysningene sikrer selvbestemmelsesrett. Denne løsningen er imidlertid ikke et av de alternative behandlingsgrunnlagene som fremkommer i personopplysningsloven 2000 § 9 jf. § 8. Reservasjonsrett-løsningen kan derfor ikke gjøre fortsatt behandling av personopplysningene lovlig.
Personvernnemndas praksis i PVN-2013-07 (Nyrebiopsiregisteret) og PVN-2014-21 (Norsk brannskaderegister) kan ikke legges til grunn i foreliggende sak fordi faktum i sakene er ulikt. I EILO-registeret har Helse Bergen selv søkt om konsesjon med den forutsetning at det skal innhentes nytt samtykke når barna fyller 16 år, mens i PVN-2013-07 og PVN-2014-21 var det Datatilsynet som stilte vilkår om innhenting av nytt samtykke.
De faktiske forholdene slik de ble presentert i konsesjonssøknaden, og da foreldrene ble bedt om å samtykke, må legges til grunn av nemnda ved vurdering av denne klagesaken. Helse Bergen har kun spurt foreldrene om lov til å behandle helseopplysninger om deres barn i EILO-registeret frem til barnet fyller 16 år, og det foreligger ikke noe behandlingsgrunnlag for opplysningene etter det tidspunktet. Den klare forutsetningen som ble presentert for foreldrene, er at barnet da selv skal få bestemme om vedkommende fortsatt ønsker å være registrert i registeret. Det er kun et nytt samtykke fra barnet som kan sikre fortsatt behandlingsgrunnlag.
Personvernnemndas vurdering
Saken gjelder klage over Datatilsynets vedtak 4. desember 2017 om å avslå søknad fra Helse Bergen om endring av konsesjonsvilkårene for EILO-registeret.
Om lovvalg og det rettslige utgangspunktet
Nemnda vil først si noe om hvilken lov som kommer til anvendelse.
Ny lov om behandling av personopplysninger (personopplysningsloven nr. 38/2018) trådte i kraft 20. juli 2018. Det følger av personopplysningsloven 2018 § 1 at Europaparlaments- og rådsforordning (EU) 679/2016 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (GDPR eller forordningen), gjelder som norsk lov fra 20. juli 2018. Fra samme tidspunkt er tidligere lov om behandling av personopplysninger (personopplysningsloven 2000) opphevet.
De materielle reglene i forordningen er i stor grad en videreføring og videreutvikling av personopplysningsloven 2000. Samtidig innebærer reglene en rekke endringer, både på detaljnivå og av mer grunnleggende karakter. De registrertes rettigheter er på flere punkter styrket, jf. forarbeidene til loven, Prop. 56 LS (2017–2018) side 9.
Personopplysningsloven 2018 har overgangsregler i § 33. Det følger av denne bestemmelsen at reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet, skal legges til grunn når det treffes vedtak om overtredelsesgebyr, med mindre lovgivningen på tidspunktet for avgjørelsen fører til et gunstigere resultat for den behandlingsansvarlige, jf. forbudet i Grunnloven § 97 mot av lover gis tilbakevirkende kraft. I denne saken er det ikke spørsmål om ileggelse av overtredelsesgebyr, og det følger da forutsetningsvis av personopplysningsloven 2018 § 33 at det er loven, slik den lyder på avgjørelsestidspunktet, som skal legges til grunn for Personvernnemndas vedtak.
Dette er også omtalt i forarbeidene til personopplysingsloven 2018, Prop. 56 LS (2017-2018) side 196, hvor departementet blant annet uttaler følgende:
«Det vil være en rekke saker som verserer for tilsynsmyndigheten og Personvernnemnda på ikraftsettingstidspunktet for den nye personopplysningsloven. Forordningen inneholder ingen overgangsbestemmelser som regulerer behandlingen av slike saker. Utgangspunktet vil være at vedtak hos Datatilsynet og Personvernnemnda vil måtte fattes på grunnlag av de til enhver tid gjeldende materielle regler».
Etter de nye reglene faller konsesjonsordningen i personopplysningsloven 2000 bort. Det fremgår imidlertid av forordningens fortalepunkt 171:
«Beslutninger truffet av Kommisjonen og godkjenninger gitt av tilsynsmyndigheter på grunnlag av direktiv 95/46/EF skal fortsette å gjelde fram til de endres, erstattes eller oppheves».
Det er gitt overgangsregler om behandling av personopplysninger i forskrift, FOR-2018-06-15-877. Forskriften § 3 fastslår følgende om opphevelse av konsesjoner og tillatelser:
«Konsesjoner gitt i medhold av lov 14. april 2000 nr. 31 om behandling av personopplysninger, forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger og lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger opphører å gjelde med mindre annet er bestemt.
Tillatelser gitt i medhold av lov 14. april 2000 nr. 31 om behandling av personopplysninger § 9 tredje ledd opphører å gjelde med mindre annet er bestemt.»
I forarbeidene til den nye loven, Prop. 56 LS (2017-2018) side 94, uttaler departementet blant annet dette om overgangsreglene ved bortfall av konsesjoner:
«Etter departementets syn bør som et utgangspunkt gjeldende konsesjoner ikke videreføres ved ikrafttredelse av ny personopplysningslov. Dette vil ikke innebære at behandlingene som konsesjonene gjelder, blir ulovlige. Konsesjonens vilkår vil imidlertid bortfalle, og det vil ikke lenger være en plikt til å søke konsesjon for tilsvarende behandling av personopplysninger.»
Videre uttales det på samme side i proposisjonen:
«Når en konsesjon ikke videreføres, vil eventuelle vilkår i konsesjonen som knytter spesifikke krav til hvordan en behandling skal utføres, ikke lenger være bindende for den behandlingsansvarlige. I stedet må den behandlingsansvarlige sørge for at behandlingen skjer i tråd med forordningens generelle bestemmelser og eventuelle supplerende lover og forskrifter. Dette innebærer at behandlingen ikke er ulovlig bare fordi den ikke lenger utføres i samsvar med vilkårene i den opphevede konsesjonen. Det er i stedet tolkningen og anvendelsen av de generelle reglene som er avgjørende for lovligheten. Hvis konsesjonsvilkårene for eksempel fastsetter en spesifikk maksimal lagringstid for personopplysningene, vil det ikke være denne fristen som er avgjørende for hvor lenge opplysningene kan lagres – i stedet må det foretas en konkret vurdering av forordningens bestemmelser om lagringsbegrensning.»
Selv om saken oppsto før den nye loven trådte i kraft, og Datatilsynet har vurdert saken etter personopplysningsloven 2000, skal nemnda altså behandle denne saken etter personopplysningsloven 2018. Det innebærer at nemnda må ta stilling til om den behandlingen Helse Bergen ønsker å foreta er lovlig i henhold til personopplysningsloven 2018 og GDPR.
Behandlingsgrunnlag
Ved iverksettelsen av ny lov er konsesjonsordningen erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med forordningens generelle bestemmelser og eventuelle supplerende lover og forskrifter, herunder sikre at den behandlingen av personopplysninger som skjer har et behandlingsgrunnlag.
Nemnda anser behandlingen av personopplysninger i EILO-registeret som behandling av helseopplysninger, slik dette defineres i GDPR artikkel 4 nr. 15, jf. helseregisterloven § 2 bokstav c). Videre anses Helse Bergen som behandlingsansvarlig/dataansvarlig, jf. GDPR artikkel 4 nr. 7 og helseregisterloven § 2 bokstav d).
Behandling av helseopplysninger krever at det foreligger behandlingsgrunnlag både i artikkel 9 nr. 2 og i artikkel 6, jf. Prop. 56 LS (2017-2018) i kapittel 7 «Særlige kategorier av personopplysninger» side 39, hvor det uttales følgende om artikkel 9:
«Nummer 1 oppstiller en hovedregel om at behandling av slike personopplysninger er forbudt. For at behandling av personopplysninger som omfattes av forbudet i artikkel 9 nr. 1, skal være lovlig, må vilkårene i et av unntakene i artikkel 9 nr. 2 være oppfylt. I tillegg må det foreligge behandlingsgrunnlag etter artikkel 6, jf. fortalepunkt 51, hvor det fremgår at også de allmenne prinsippene og de andre reglene i forordningen får anvendelse, «særlig når det gjelder vilkårene for lovlig behandling.»
Det samme framkommer i proposisjonens kapittel 32 «Helselovene» side 183, hvor departementet uttaler:
«For at behandling av helseopplysninger skal være lovlig etter forordningen, må minst ett av vilkårene i forordningen artikkel 6 nr. 1 og i artikkel 9 nr. 2 være oppfylt, se punkt 6.3 til 6.4 og 7.1 over om reglene om behandlingsgrunnlag og behandling av særlige kategorier av personopplysninger.»
Helseregisterloven § 6 har også fått en ny bestemmelse om at «[h]elseopplysninger skal behandles i samsvar med prinsippene for behandling i personvernforordningen artikkel 5.» Artikkel 5 stiller krav om lovlighet, rettferdighet og åpenhet, samt formålsbegrensning, dataminimering, nøyaktighet, lagringsbegrensning, integritet, konfidensialitet og ansvar.
Datatilsynet tok i vedtak 4. desember 2017 stilling til spørsmålet om endring av Helse Bergens gjeldende konsesjon. Konsesjonsordningen er tilsynsmyndighetenes forhåndskontroll av om søkerens planlagte databehandlinger oppfyller regelverkets krav, og utgjør i utgangspunktet ikke et selvstendig behandlingsgrunnlag.
Da Datatilsynet avslo endringssøknaden, la tilsynet i vurderingen til grunn at det ikke foreligger lovlig behandlingsgrunnlag for opplysningene i EILO-registeret etter barnets fylte 16 år, uten at det innhentes et nytt samtykke.
Nemnda vil bemerke at utgangspunktet når konsesjonene er bortfalt er at nemnda står fritt til å vurdere hvilket behandlingsgrunnlag som kan anvendes. Etter personopplysningsloven 2018 og GDPR er de alternative behandlingsgrunnlagene likestilt, og det er ikke slik at samtykke som behandlingsgrunnlag kan fremholdes som en hovedregel. Nemnda legger likevel til grunn at det for opprettelse eller utvidelse av nasjonale helseregistre som hovedregel fortsatt kreves samtykke fra den registrerte, med mindre det er gitt forskrifter som fastsetter noe annet med hjemmel i helseregisterloven § 10.
I og med at den tidligere konsesjonen for registeret stilte vilkår om samtykke som behandlingsgrunnlag og Datatilsynet har avslått søknaden om endring av konsesjonsvilkårene under henvisning til at samtykke er eneste gyldige behandlingsgrunnlag, vil nemnda først se på samtykke som behandlingsgrunnlag for opplysningene i EILO-registeret, jf. GDPR artikkel 6 nr. 1 og artikkel 9 nr. 2 bokstav a).
Nemnda finner det nødvendig først å si noe om gjeldende regler for behandling av personopplysninger om barn.
GDPR inneholder ingen definisjon av hvem som skal regnes som barn i forordningens forstand. Kommisjonens opprinnelige forslag til ny personvernforordning definerte barn som personer under 18 år, se Kommisjonens forslag til artikkel 4 nr. 18, men definisjonen gjenfinnes ikke i den vedtatte forordningen. Departementet har imidlertid generelt lagt til grunn at en person ikke lenger er et barn i forordningens forstand når vedkommende har fylt 18 år. Dette er i overensstemmelse med utgangspunktet i FNs konvensjon 20. november 1989 om barnets rettigheter artikkel 1 som gjelder som norsk rett, jf. menneskerettsloven § 2 nr. 4, jf. Prop. 56 LS (2017–2018) side 95.
GDPRs fortalepunkt 38 fastslår at barns personopplysninger på generelt grunnlag fortjener et særlig vern, ettersom barn kan være mindre bevisst på aktuelle risiki, konsekvenser og garantier, samt på de rettigheter de har når det gjelder behandling av personopplysninger.
Utgangspunktet etter GDPR er at nasjonale regler om når barn kan samtykke til behandling av personopplysninger, fortsatt skal gjelde, jf. Prop. 56 LS (2017–2018) side 99. I helseregisterloven § 15 er det bestemt at mindreårige etter fylte 16 år har rett til å samtykke til behandling av helseopplysninger som faller inn under helseregisterlovens anvendelsesområde, noe EILO-registeret gjør. Det fremgår videre av forarbeidene til helseregisterloven i merknadene til § 15, Prop. 72 L (2013-2014) side 195:
«Hvis foreldre eller andre har samtykket på vegne av barn under 16 år, vil samtykket fortsatt være gyldig når barnet fyller 16 år og får kompetanse til å samtykke på vegne av seg selv. Den som har fylt 16 år vil imidlertid ha rett til å trekke samtykket tilbake og sperre for videre bruk av opplysningene.»
Faktum i denne saken skiller seg fra de to sakene PVN-2013-07 (Nyrebiopsiregisteret) og PVN-2014-21 (Norsk brannskaderegister) ved at det var Datatilsynet som i de to nevnte sakene hadde stilt konsesjonsvilkår om at det skulle innhentes nytt samtykke fra barna når de ble 16 år, mens det i denne saken er Helse Bergen som selv har «valgt» å innhente et slikt tidsbegrenset samtykke fra foreldrene. Det er imidlertid sannsynlig at Helse Bergens valgte fremgangsmåte, som de søkte og fikk innvilget konsesjon til i 2013, hadde sin bakgrunn i Datatilsynets etablerte praksis på daværende tidspunkt, en praksis som senere ble endret av nemnda. Nemnda kommer tilbake til dette nedenfor.
Samtykke er gyldig behandlingsgrunnlag både etter GDPR artikkel 6 nr. 1 bokstav a) og artikkel 9 nr. 2 bokstav a). For at samtykke skal være behandlingsgrunnlag må det avgitte samtykke være i tråd med forordningens krav til samtykke. GDPR artikkel 4 nr. 11 definerer et samtykke fra den registrerte slik:
«enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende»
Helseregisterloven § 2 bokstav e) har tilsvarende definisjon.
Når Helse Bergen har innhentet et tidsbegrenset samtykke til å behandle personopplysninger om barna frem til de fyller 16 år, foreligger det ikke en «informert og utvetydig viljesytring» som gir samtykke til behandling av personopplysninger også etter at de barna det gjelder fyller 16 år. Det blir, slik nemnda ser det, ikke avgjørende om Datatilsynet hadde kompetanse til å stille et slikt konsesjonsvilkår eller ikke (eller å etablere en slik praksis), idet det avgjørende er hvilken behandling av personopplysninger det faktisk er innhentet samtykke for. Det er i denne saken ikke omtvistet at samtykket fra foreldrene er begrenset til å gjelde behandling av personopplysninger frem til barna fyller 16 år, og at det er forutsatt i prosjektet (og på samtykkeskjemaene) at det deretter skal innhentes nytt samtykke fra barna selv. Behandlingsgrunnlag kan etter dette ikke søkes i samtykkealternativet i artikkel 6 og artikkel 9, uten at det innhentes nytt samtykke som fyller kravene i GDPR artikkel 4 nr. 11.
Det neste spørsmålet blir derfor om det foreligger annet gyldig behandlingsgrunnlag etter GDPR.
Nemnda legger til grunn at GDPR artikkel 6 nr. 1 bokstav f) kan være aktuelt alternativt behandlingsgrunnlag i denne saken. I forståelsen av hva som kan innfortolkes i dette kravet uttaler departementet i Prop. 56 LS (2017–2018) side 31 og 32, at forordningens regler om behandlingsgrunnlag i stor grad svarer til gjeldende rett. Videre fremkommer det at artikkel 6 nr. 1 bokstav f viderefører personopplysningsloven 2000 § 8 første ledd bokstav f), og gir adgang til å behandle opplysninger på grunnlag av en interesseavveining.
GDPR artikkel 9 begrenser som nevnt adgangen til å behandle visse typer personopplysninger, herunder helseopplysninger. Etter artikkel 9 nr. 2 bokstav j) kan, blant annet, helseopplysninger behandles dersom:
«[b]ehandlingen er nødvendig for […] formål knyttet til vitenskapelig […] forskning […] i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.»
Det er videre i personopplysningloven 2018 § 9 bestemt at slik behandling kan skje når «samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte». Dette vilkåret viderefører personopplysningsloven 2000 § 9 første ledd bokstav h, se Prop. 56 LS (2017–2018) side 213.Videre er det i bestemmelsens andre ledd regler om den behandlingsansvarliges rådføringsplikt, eventuelt gjennomføring av konsekvensutredning mv. Nemnda går ikke nærmere inn på disse bestemmelsene i og med at behandlingen av denne saken startet hos Datatilsynet etter de tidligere reglene i personopplysningsloven 2000.
Det skal med andre ord foretas en interesseavveining både etter artikkel 6 bokstav f) og etter artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9 første ledd. Nemnda legger til grunn at den interesseavveiningen som foretas etter artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven § 9 første ledd, representerer et sterkere vern for personverninteressene enn vurderingen etter artikkel 6 bokstav f), jf. kravet om at behandlingen må være «nødvendig» og at samfunnsinteressene «klart» må overstige ulempene for den enkelte. Det innebærer at dersom man kommer til at behandlingen er lovlig etter en interesseavveining foretatt etter artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven § 9 første ledd, vil den også være lovlig etter artikkel 6 bokstav f.
Personvernnemnda tar utgangspunkt i at det er det opprinnelige behandlingsgrunnlaget (i dette tilfellet samtykke) som normalt danner rammen for hvilken behandling av personopplysninger som er tillatt. Nemnda viser til PVN-2013-17 (Tvillingregisteret), hvor nemnda uttalte:
«Utgangspunktet er […] at det opprinnelige behandlingsgrunnlaget danner rammen for hva opplysningene kan benyttes til. Det vil kunne uthule samtykket som behandlingsgrunnlag dersom man kunne innhente opplysninger til et bestemt prosjekt ved samtykke for deretter å oppbevare dette til andre og nye formål med hjemmel i [personopplysningsloven 2000] §§ 8 d) og 9 h).»
Selv om uttalelsen der gjaldt bruk av opplysninger til et annet formål enn hva det opprinnelig var samtykket til, mens spørsmålet i denne saken er å tillate bruk av opplysninger også etter utløp av et tidsbegrenset samtykke, må utgangspunktet, etter nemndas vurdering, være det samme. Det er det innhentede samtykke som, etter en tolkning, normalt danner rammen for hvilken behandling av personopplysninger som er tillatt, dvs. har behandlingsgrunnlag.
I dette tilfellet har nemnda likevel kommet til at samfunnsinteressene klart overstiger personvernulempene og at de registrertes grunnleggende rettigheter og friheter i dette tilfellet ikke går foran og krever vern av opplysningene, jf. artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9. Det er da også hensyntatt at de registrerte er barn. Nemnda vil begrunne sin vurdering nærmere i det følgende.
Nemnda legger for det første til grunn at EILO-registeret har stor samfunnsinteresse, og også er av stor interesse for de registrerte ved at det er et kvalitetsregister hvor et av formålene med registeret er å sikre kvalitetssikring av helsehjelpen/-tjenesten som gis de pasientene som er rammet av anstrengelsesutløst pustebesvær. Ved å stille krav om nytt samtykke etter at de registrerte fyller 16 år, foreligger det en risiko for at frafallet blir så stort at det går ut over kvaliteten på registeret. Både samfunnet og den enkelte pasient vil derfor ha stor nytte av at registeret er så fulltallig som mulig.
For ordens skyld bemerker nemnda at disse hensynene det nå er pekt på, er hensyn som ofte gjør seg gjeldende ved store nasjonale helseregistre og helseforskningsprosjekter. Eksistensen av disse hensynene er ikke i seg selv tilstrekkelig til å si at samfunnsinteressene klart overstiger personvernulempene. Interesseavveiningen må i det enkelte tilfellet bero på en konkret vurdering av personvernulempene veid opp mot andre interesser.
Selv om det dreier seg om helseopplysninger som tilhører den særlige kategorien av opplysninger som er underlagt strengere regler i GDPR artikkel 9, er fellesnevneren for de som er registrert i registeret at de er diagnostisert med anstrengelsesutløst pustebesvær.
Opplysninger om denne lidelsen vil i de fleste sammenhenger bli oppfattet som mindre sensitivt enn for eksempel visse psykiske lidelser. Å være oppført i EILO-registeret anses derfor, relativt sett, å være av mindre inngripende art.
Videre er det av betydning at den opprinnelige registreringen i registeret er basert på samtykke fra de registrertes foreldre. Det er ingen stor grunn til å tro at foreldrene ville vurdere dette annerledes for barna dersom samtykke også skulle omfatte registrering etter fylte 16 år. Selv om det ikke kan utelukkes at noen av foreldrene har funnet det lettere å samtykke på vegne av barnet når de vet at det vil være barnet selv som skal samtykke etter fylte 16 år, kan uansett dette ivaretas ved at det gis informasjon om en reservasjonsrett og mulighet til å kreve seg slettet fra registeret, slik det er lagt opp til fra Helse Bergens side. Dette er et tiltak som etter nemndas vurdering er egnet til å verne den registrertes grunnleggende rettigheter og interesser, i tråd med retten til å protestere, jf. GDPR artikkel 21.
Nemnda har også lagt vekt på at lovgiver har tatt uttrykkelig standpunkt til gyldigheten av foreldres samtykke til behandling av personopplysninger om barn. Foreldre samtykker på vegne av barna sine på en rekke områder frem til barna selv blir myndige (18 år), med mindre noe annet er særskilt bestemt i lov. Det finnes lovbestemmelser som på visse områder gir barn samtykkekompetanse før fylte 18 år og lovbestemmelser som gir samtykkekompetanse først på et senere tidspunkt. Som gjennomgangen ovenfor viser, følger det av helseregisterloven § 15 at barn etter fylte 16 år har rett til å samtykke til behandling av helseopplysninger. Samtidig er det uttrykkelig sagt at foreldrenes samtykke på vegne av barn under 16 år, fortsatt er gyldige når barnet blir 16 år og får kompetanse til å samtykke på vegne av seg selv. Dette er også den vanlige forståelsen av samtykkekompetanse på andre rettsområder. Den ordningen som er etablert i konsesjonen er derfor ikke i tråd med de kravene som stilles til samtykke i lovgivningen for øvrig.
Nemnda mener at de personvernulempene som foreligger ved at det behandles personopplysninger uten at nye samtykker innhentes for EILO-registeret i tilstrekkelig grad kan avhjelpes ved at det sendes ut informasjon til de som har fylt 16 år om at de er registrert, hva det innebærer og hvordan de kan reservere seg. I en slik situasjon, og forutsatt at de øvrige bestemmelsene i personvernforordningen følges, herunder de grunnleggende kravene i GDPR artikkel 5, anses samfunnsinteressene klart å overstige personvernulempene for den enkelte registrerte.
Helse Bergen får etter dette medhold i klagen.
Nemndas vedtak er enstemmig.
Vedtak
Helse Bergen har behandlingsgrunnlag for EILO-registeret uten at det innhentes nye samtykker, jf. GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9.
Oslo, 17. september 2018
Mari Bø Haugstad
Leder