Informasjon og åpenhet

Unntak

Det finnes noen unntak fra plikten til å gi informasjon. Her er en gjennomgang.

Dersom personopplysningene er samlet inn direkte fra enkeltpersoner eller ved observasjon av personen

Virksomheten behøver ikke å gi informasjon dersom og i den grad personene allerede har informasjonen. Ansvarlighetsprinsippet betyr at virksomheten må være sikker på at den enkelte har informasjonen og at den er oppdatert.

Dersom personopplysningene er innhentet fra andre kilder enn personen selv

Virksomheten trenger ikke gi informasjon dersom og i den grad

  • den enkelte allerede har informasjonen
  • innsamling eller utlevering har en uttrykkelig hjemmel i lov som virksomheten er underlagt og som inneholder egnede tiltak for å verne den enkeltes interesser
  • personopplysningene må holdes konfidensielle som følge av taushetsplikt
  • det er umulig å gi informasjonen
  • det vil innebære en uforholdsmessig stor innsats å gi informasjonen
  • informasjon sannsynligvis vil umuliggjøre eller i alvorlig grad hindre formålet med behandlingen

Merk! I de tre siste tilfellene må virksomheten ha på plass passende tiltak for å verne hver enkeltes rettigheter, friheter og interesser. Det betyr også å gjøre informasjonen offentlig tilgjengelig.

Eksempler på andre passende tiltak er:

I vurderingen av hva som er uforholdsmessig, må virksomheten alltid se innsatsen som kreves opp mot den enkeltes behov for informasjon og innvirkningen på den enkelte dersom hun ikke får informasjon. Med andre ord må man utføre en balansetest. Det følger av ansvarlighetsprinsippet at denne vurderingen bør dokumenteres.

Virksomheten kan også se på hvor mange personer den må informere, hvor gamle personopplysningene er og hvilke personvernvennlige tiltak som allerede foreligger.

Eksempler

Et sykehus ber alle pasienter oppgi nærmeste pårørende og mottar derfor svært store volum av kontaktopplysninger. I dette tilfellet kan det være uforholdsmessig å gi informasjon til hver enkelt person. I stedet har sykehuset informasjonen lett synlig og tilgjengelig på nettsidene sine.

Historieforskere undersøker slektskap ved hjelp av etternavn. De innhenter data fra en 50 år gammel database over 20 000 mennesker i en kommune. Databasen er ikke oppdatert og inneholder ingen kontaktopplysninger. I dette tilfellet kan det være uforholdsmessig å gi informasjon til hver enkelt person. Forskerne sørger for å informere om studien og innsynsretten i lokalavisen i kommunen.

Å gi informasjon kan noen ganger innebære en uforholdsmessig stor innsats ved behandling av personopplysninger for arkivformål i allmenhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Ved behandling for disse formålene skal det imidlertid foreligge nødvendige garantier for personvernet i tråd med personvernforordningen artikkel 89.

Selv om det gjelder unntak fra informasjonsplikten der informasjon vil umuliggjøre eller i alvorlig grad hindre formålet med behandlingen, er det viktig å huske på å at behandlingen av personopplysninger fremdeles må være i tråd med personvernprinsippene og ha et behandlingsgrunnlag. Virksomheter kan altså ikke fastsette illegitime formål og så bruke dette unntaket til å la være å gi informasjon.

Dersom en virksomhet påberoper seg unntaket om at innhenting eller utlevering har uttrykkelig hjemmel i lov, må den kunne vise hvordan loven gjelder virksomheten og at loven pålegger en plikt til å innhente eller utlevere. Virksomheten bør formidle på en generell måte at den innhenter eller utleverer opplysninger med hjemmel i den aktuelle loven.

Når det gjelder punktet om konfidensialitet som følge av taushetsplikt i punktlista over, er dette særlig aktuelt i helsesektoren.

Eksempel

En pasient lider av en genetisk lidelse og forteller helsepersonell om nærstående med samme lidelse. Helsepersonellet kan ikke gi informasjon til de nærstående om at personopplysningene deres er samlet inn uten å samtidig bryte taushetsplikten. Derfor gjelder ikke informasjonsplikten i dette tilfellet.

Generelle unntak

Personopplysningsloven inneholder en rekke særnorske unntak fra plikten til å gi informasjon. Disse gjelder uavhengig av hvordan personopplysningene ble hentet inn. Informasjonsplikten gjelder ikke opplysninger som:

  • er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser, når virksomheten kan unnta opplysningene etter offentlighetsloven §§ 20 eller 21
  • det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger
  • det må anses utilrådelig at den enkelte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær (disse opplysningene kan imidlertid gjøres kjent for en representant for den enkelte dersom hun ber om det og ikke særlige grunner taler mot det)
  • i lov eller med hjemmel i lov er underlagt taushetsplikt
  • utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser
  • det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om

Dersom virksomheten bruker ett av unntakene, må virksomheten kunne begrunne det skriftlig og presist henvise til unntakshjemmelen i personopplysningsloven.