top of page
Search

Når «interne dokumenter» blir en gummiparagraf: POL § 16 bokstav e, retten til innsyn og EU‑retten.

  • troenaas
  • Jan 2
  • 8 min read

I norske forvaltningsorganer har personopplysningsloven § 16 første ledd bokstav e blitt en stadig mer brukt hjemmel for å nekte innsyn i interne dokumenter. Begrunnelsen er ofte kort: Dokumentene er «utarbeidet for intern saksforberedelse», og innsyn vil «undergrave interne avgjørelsesprosesser».


Men stemmer det egentlig at § 16 bokstav e gir et slags generelt unntak fra innsyn når opplysningene ligger i interne notater, e‑poster eller vurderingsdokumenter?


Ser vi bestemmelsen i lys av EUs personvernforordning (GDPR), EDPBs retningslinjer og EU‑domstolens praksis – særlig Pankki‑ og Nowak‑dommene – blir svaret ganske klart: Nei. § 16 bokstav e er et snevert unntak som må tolkes restriktivt, og som ikke kan brukes som gummiparagraf for å gjøre hele den interne saksforberedelsen usynlig for den personen saken faktisk gjelder.


I dette innlegget går jeg gjennom hvorfor.


Tre forskjellige innsynsregimer

Først et grunnleggende poeng som ofte glipper i praksis:


Når en person ber om «innsyn» i en sak hos et forvaltningsorgan, kan vedkommende i realiteten utløse tre forskjellige rettigheter:


  1. Partsinnsyn – Forvaltningsloven gir partene innsyn i sakens dokumenter.

  2. Allmenninnsyn – Offentleglova gir «kven som helst» rett til innsyn i saksdokumenter.

  3. Innsyn som registrert – GDPR artikkel 15, gjennomført i personopplysningsloven, gir rett til innsyn i egne personopplysninger.


Det helt sentrale er at innsynretten etter GDPR er noe annet enn – og kommer i tillegg til – innsyn etter forvaltningsloven og offentleglova. Den har et annet formål: ikke offentlig kontroll med forvaltningen, men at den registrerte skal kunne:


  • forstå hvilke personopplysninger som behandles,

  • forstå hvorfor og hvordan de behandles, og

  • kontrollere om behandlingen er lovlig.


Det er dette EDPB (European Data Protection Board) understreker i sine retningslinjer om retten til innsyn: retten etter artikkel 15 må holdes atskilt fra f.eks. innsyn i offentlige dokumenter. Du kan ha krav på innsyn etter begge regelsett – men de skal vurderes hver for seg.


Lex superior: GDPR på toppen av innsynspyramiden

I forvaltningsretten lærer vi tidlig trinnhøydeprinsippet (lex superior): Rettsregler står i et hierarki, og regler på lavere trinn kan ikke gyldig anvendes i strid med regler på høyere trinn. Som Marius Stub påpeker i sin fremstilling av forvaltningsretten, er dette en grunnleggende skranke for hvordan både lovgiver og forvaltning kan bruke underordnede regler.


Overført til EØS- og personvernretten betyr det:


  • GDPR (som en del av EØS-retten) ligger over norsk forvaltningslovgivning.

  • Personopplysningsloven er gjennomføringsloven som binder norske organer til å anvende GDPR korrekt.

  • Sektorlover som forvaltningsloven og offentleglova kan ikke brukes til å uthule rettigheter etter GDPR.


Konsekvensen er viktig: Nasjonale regler om partsinnsyn og allmenninnsyn kan utvide innsyn (merinnsyn), men de kan ikke brukes til å innskrenke rekkevidden av innsynsretten etter artikkel 15, utover det som følger av forordningens egne unntaksbestemmelser – særlig artikkel 23.


EDPB understreker at artikkel 23 er en uttømmende hjemmel for nasjonale begrensninger:


  • Begrensningene må være lovfestede,

  • de må være nødvendige og forholdsmessige,

  • og de må respektere «essensen» av rettigheten.


I lys av Pankki S og Nowak, hvor EU-domstolen tolker både personopplysningsbegrepet og artikkel 15 vidt, følger det at unntak som personopplysningsloven § 16 første ledd bokstav e bare kan anvendes som en snever artikkel 23-begrensning. Bestemmelsen kan ikke fungere som en generell overstyring av den registrertes rett til innsyn i egne personopplysninger bare fordi opplysningene også inngår i interne dokumenter.


Artikkel 15: En bred og grunnleggende rettighet

GDPR artikkel 15 gir den registrerte rett til:


  • å få bekreftet om personopplysninger om vedkommende behandles,

  • å få innsyn i selve personopplysningene, og

  • å få en rekke supplerende opplysninger (formål, kategorier, mottakere, lagringstid, rettigheter osv.).


Fortalen til GDPR understreker at formålet med innsyn er at den registrerte skal være «klar over og kunne kontrollere lovligheten av behandlingen».


EU‑domstolen har bygget videre på dette. I Pankki‑dommen (C‑579/21) slår domstolen fast at:


  • retten til innsyn har et svært bredt anvendelsesområde,

  • den er et kjerneelement i transparens, og

  • den er avgjørende for at den registrerte skal kunne vurdere lovlighet og eventuelt gjøre gjeldende andre rettigheter (retting, erstatning, mv.).


Med andre ord: Artikkel 15 er ikke en formalitet, men en reell kontrollmekanisme.


Artikkel 23 og § 16 bokstav e: Bare snevre unntak er lov

Så kommer begrensningssiden.


GDPR artikkel 23 åpner for at nasjonal lov kan begrense enkelte rettigheter – blant annet innsynsretten – for å verne særskilte interesser, som f.eks. offentlig sikkerhet, etterforskning eller andres rettigheter.


Men det er strenge vilkår:


  • Begrensningen må være fastsatt i lov.

  • Den må respektere «kjernen» i rettigheten.

  • Den må være nødvendig og forholdsmessig i et demokratisk samfunn.


I Norge er artikkel 23 gjennomført i personopplysningsloven § 16. Bokstav e lyder (kort fortalt) slik:

Retten til innsyn gjelder ikke for opplysninger som – utelukkende finnes i tekst utarbeidet for intern saksforberedelse, – som ikke er utlevert til andre, så langt det er nødvendig for å sikre «forsvarlige interne avgjørelsesprosesser».

Det betyr minst tre ting:


  1. § 16 bokstav e er ikke et generelt interndokument‑unntak, men en konkret artikkel 23‑restriksjon.

  2. Hvert vilkår må være oppfylt, og «nødvendig» må tolkes strengt.

  3. Bestemmelsen må tolkes i tråd med EU‑retten. Ved motstrid går GDPR foran, jf. EØS‑loven og personopplysningsloven § 2.


EDPB har egne retningslinjer om artikkel 23. Der understrekes blant annet:


  • Begrensninger av rettighetene er unntak, ikke hovedregel.

  • Man kan ikke «skru av» rettighetene generelt, selv i ekstraordinære situasjoner.

  • Begrensninger må skreddersys, og det skal alltid vurderes om det kan gis delvis innsyn (f.eks. med sladding).


Hvis bare noe av informasjonen må skjermes, skal resten gis.


Pankki: Loggdata og «andre» personers rettigheter

Pankki‑dommen er særlig interessant for norske innsynstvister.


Saken gjaldt en bankkunde som ville vite:


  • hvem i banken som hadde slått opp i opplysningene hans,

  • når oppslagene skjedde, og

  • hvorfor.


Banken nektet, og mente loggdataene var personopplysninger om de ansatte – ikke om kunden.


EU‑domstolen var uenig:


  • Loggdataene er personopplysninger om kunden, fordi de gjennom innhold, formål og virkning er knyttet til ham.

  • At de samtidig er personopplysninger om ansatte, er ikke et argument for å si at artikkel 15 ikke gjelder.

  • Eventuelle hensyn til ansattes rettigheter skal håndteres gjennom artikkel 15 nr. 4 (vern av andres rettigheter og friheter) og eventuelle artikkel 23‑begrensninger – f.eks. ved delvis innsyn.


Poenget for norske saker:


  • Det holder ikke å si: «Dette er interne logg‑ eller vurderingsdata om saksbehandlere, ikke om deg.»

  • Hvis opplysningene også sier noe om hvordan dine data er brukt, er de som hovedregel omfattet av din innsynsrett.


Nowak: Interne vurderinger og notater er også personopplysninger


Nowak: Interne vurderinger og notater er også personopplysninger

Nowak‑dommen (C‑434/16) handler om noe mange virksomheter fortsatt har litt motstand mot å akseptere:


Subjektive vurderinger, interne notater og kommentarer kan være personopplysninger om den det gjelder.


Saken gjaldt en eksamenskandidat som ville ha innsyn i sin besvarelse og sensorens kommentarer. Argumentet mot var blant annet at sensorkommentarene var faglige vurderinger, ikke «personopplysninger».


Domstolen var krystallklar:


  • «Enhver informasjon» omfatter både objektive og subjektive opplysninger, så lenge de er knyttet til en identifisert person.

  • Eksamensbesvarelsen beskrev kandidatens kunnskap og evner og hadde direkte betydning for hans muligheter videre.

  • Sensorkommentarene var vurderinger av nettopp disse forholdene – og dermed personopplysninger om kandidaten.

  • At kommentarene også er opplysninger om sensoren, er uten betydning.


Overført til norsk forvaltning betyr det:


  • Interne vurderinger av en arbeidstakers prestasjoner, troverdighet, oppførsel mv. er normalt personopplysninger om arbeidstakeren.

  • Juristnotater i en personalsak som beskriver «hvordan vi bør håndtere NN», inneholder personopplysninger om NN.

  • At notatet også er en rettslig eller strategisk vurdering, gjør det ikke mindre til personopplysning.


Eventuelle begrensninger i innsyn må altså begrunnes med artikkel 15 nr. 4 og artikkel 23 / § 16 – ikke ved å late som om dette ikke er personopplysninger.


Hva betyr dette for § 16 bokstav e i praksis?

Setter vi alt dette sammen, får vi en ganske tydelig rettslig standard:


  1. § 16 bokstav e er et snevert unntak, ikke hovedregelen Den kan bare brukes når alle vilkår er oppfylt, og bare så langt det er strengt nødvendig for å beskytte interne prosesser.

  2. Man må først identifisere personopplysningene Virksomheten kan ikke bare avfeie hele dokumenter som «interne». Den må konkret gå inn og se:

    1. hvilke setninger/avsnitt inneholder personopplysninger om den registrerte? og

    2. hvilke deler gjelder rene interne vurderinger uten personopplysninger? Pankki og Nowak viser at terskelen for hva som er personopplysninger er lav.

  3. Så må man vurdere om innsyn faktisk vil skade interne prosesser Her holder det ikke med generelle fraser om «intern saksforberedelse». Det må forklares:

    1. hvorfor akkurat innsyn i disse opplysningene vil undergrave forsvarlige prosesser,

    2. hvorfor andre (mindre inngripende) tiltak ikke er tilstrekkelige.

  4. Delvis innsyn skal vurderes systematisk Hvis bare deler av et dokument er problematiske, skal man gi innsyn i resten. Tiltak kan være:

    1. sladding av andres navn,

    2. fjerning av spesifikke vurderinger som ikke er nødvendige for at den registrerte skal forstå behandlingen, og

    3. utlevering av opplysningene i et annet format (f.eks. en tro gjengivelse av innholdet uten enkelte tekniske eller interne detaljer).

  5. Man kan ikke tømme innsynsretten for innhold Dersom resultatet av å bruke § 16 bokstav e er at den registrerte i praksis ikke får vite hvilke vurderinger som har vært styrende for en avgjørelse, er man fort i konflikt med artikkel 23‑kravet om å respektere rettighetens «kjerne».


Hvor står vi egentlig i norsk praksis?

Mye tyder på at en del offentlige virksomheter fortsatt anvender § 16 bokstav e som om den var en kopi av offentleglova § 14 om interne dokumenter – og noen ganger som en «komfortbestemmelse» for å slippe å gi innsyn i ubehagelige vurderinger og notater.


Det er problematisk av to grunner:


  • Formålene er ulike: Offentleglova handler om offentlighet, GDPR om den registrertes kontroll med egne personopplysninger.

  • EU‑retten stiller tydeligere krav til nødvendighet, proporsjonalitet og individuelle vurderinger enn det som ofte reflekteres i dagens praksis.


Innsynsretten etter GDPR er en individuell kontrollrettighet. Når den møtes med et standardisert «internt dokument»-stempel, uten nærmere begrunnelse, er det vanskelig å se hvordan kravene i artikkel 23 og EDPB‑retningslinjene blir oppfylt.


Hva bør behandlingsansvarlige gjøre?

For behandlingsansvarlige – særlig i offentlig sektor – peker dette mot noen klare «best practices»:


  • Skille tydelig mellom GDPR‑innsyn og offentleglova/forvaltningsloven Tenk: Hvilke rettsgrunnlag er utløst, og vurder dem hver for seg.

  • Etablere rutiner for konkret gjennomgang av interne dokumenter Ikke stempl alt som «internt». Marker personopplysninger og vurder delvis innsyn.

  • Dokumentere nødvendighets- og proporsjonalitetsvurderingen En ren henvisning til § 16 bokstav e er ikke nok. Forklar hvorfor innsyn vil skade interne prosesser, og hvorfor delvis innsyn ikke er tilstrekkelig.

  • Ta Pankki og Nowak inn i opplæring og malverk Sørg for at jurister, personvernombud og saksbehandlere kjenner til at loggdata og interne vurderinger faktisk er personopplysninger – og dermed utgangspunktet for innsyn.


Og for registrerte (arbeidstakere, parter, borgere)?

Hvis du har fått avslag på innsyn med en ren henvisning til at «dette er interne dokumenter»:


  • Be om en konkret begrunnelse for hvorfor innsyn i akkurat dine personopplysninger er «nødvendig» å nekte for å sikre interne prosesser.

  • Spør om det er vurdert delvis innsyn eller sladding.

  • Pek gjerne eksplisitt på at EU‑domstolen har slått fast at både loggdata og interne vurderinger kan være personopplysninger, og at begrensninger må følge vilkårene i artikkel 23.


Mange saker vil løse seg på saksbehandlernivå når virksomheten blir tvunget til å gjøre en mer presis vurdering.


Avslutning

Personopplysningsloven § 16 bokstav e har en viktig funksjon: Forvaltningen må kunne ha et rom for interne drøftelser. Men bestemmelsen er ikke laget for å være en mur mot innsyn i egne personopplysninger.


Lest i lys av GDPR, EDPB‑retningslinjer og EU‑domstolens praksis, er konklusjonen ganske klar:


  • Retten til innsyn etter artikkel 15 er bred.

  • Unntak etter artikkel 23 – som § 16 bokstav e – er snevre, og må begrunnes konkret.

  • Interne dokumenter er ikke et «friområde» hvor personvernregelverket kan settes til side.


Det er et budskap både behandlingsansvarlige, tilsyn og domstoler må ta på alvor fremover.

 
 
 

Comments

Rated 0 out of 5 stars.
No ratings yet
Add a rating

Har du et spørsål eller en kommentar? Ta kontakt med Personvernvokteren idag.

Takk for at du tar kontakt

© 2021 Personvernvokteren. All rights reserved.

Privacy policy

bottom of page