Utlevering av studentopplysninger

Et privat rekrutteringsselskap vil bygge opp en database over alle studenterUiO har nektet å utlevere slike opplysninger. Når UiO gjør dette blir jeg stolt over å tilhøre dette universitetet.

Jeg har ikke gått inn i detaljene i de konkrete sakene, men kommenterer på et mer generelt plan.

Rekruttering AS påberoper seg offentlighetsloven. Hovedregelen etter offl § 3 er at man har krav på innsyn. Det er ingen tvil om at et offentlig universitet omfattes av loven etter § 2. Man har etter § 9 rett til å få opplysninger sammenstilt fra databaser. Det kan gjøres unntak fra offentlighetsloven og enkelte bestemmelser i denne. I offentlighetsforskriften § 4 er det gjort unntak fra gratisprinsippet (eller selvkost) for bl.a. geodata og eiendomsinformasjon. Det er dette som gjør at vi fortsatt ikke får offentlige kartdata og eiendomsinformasjon gratis, og som sikrer at dette fortsatt er en melkeku for staten. Et slikt unntak burde etter min mening ikke vært gjort. Men jeg bestrider ikke lovligheten av dette, så det er et informasjonspolitisk og ikke et juridisk standpunkt. Det er hjemmel i § 26 for å unnta eksamensbesvarelser, men ikke for eksamensresultater.

Man har etter § 13 ikke innsyn i taushetsbelagte opplysninger. I følge media er det dette UiO har påberopt seg.

Forvaltningsloven § 13 har nærmere bestemmelser om taushetsplikt. Man har blant annet taushetsplikt om personlige forhold. Om personlige forhold heter det i bestemmelsens annet ledd:

“Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige. “

Det er ikke oppgitt mer presist hvilke opplysninger som dette rekrutteringsselskapet ville ha, så jeg har ikke grunnlag for å vurdere om de krevde taushetsbelagte opplysninger.

UiO har også påberopt seg at det er interne opplysninger, som er unntatt etter §§ 14 og 15. Hvem som har studert, hva de har studert, hvilke eksamener de har tatt og resultater kan ikke være interne opplysninger. Det er vanskelig å se at UiO kan nå fram på dette grunnlaget.

Uten å gå så veldig dypt inn i dette, så er min vurdering at utleveringskravet etter offentlighetsloven er diskutabelt. Det kan godt hende at rekrutteringsselskapet etter denne loven kan kreve opplysningene. Det er også grunn til å minne om at hvis man først har krav på å få opplysningene etter offentlighetsloven, så setter ikke den noen begrensninger når det gjelder bruk. Den som utleverer opplysninger kan heller ikke sette vilkår og bare utlevere opplysninger til bruk for bestemte formål. Det skal ikke være slik at den offentlige etat som sitter med opplysningene skal kunne vurdere formålet, og dermed bare utlevere opplysninger til bruk for formål de selv de selv vil godkjenne. Noe av formålet med slike innsynsregler er at man skal kunne utøve kontroll med forvaltningens virksomhet, og de skal ikke kunne nekte utlevering for å hindre kritikk mot seg selv.

Men dette dreier seg om personopplysninger, så vi må også se på personopplysningsloven. I § 6 heter det at personopplysningsloven ikke begrenser innsyn etter offentlighetsloven eller andre lover. Det er i alle fall ikke åpenbart at personopplysningsloven er til hinder for at opplysningene utleveres.

Men personopplysningsloven setter krav til behandling av personopplysninger. Av § 8 følger at personopplysninger bare kan behandles med samtykke fra den registrerte eller med hjemmel i lov, eller hvis behandlingen kan begrunnes i nærmere angitte formål. De to punktene som gir størst rom for skjønn og som man kunne tenke seg påberopt i denne saken er c om å utføre en oppgave av allmenn interesse, og i enda større grad f, som lyder:

at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.

Man bør raskt kunne avvise at det å drive et kommersielt rekrutteringsselskap er en virksomhet av allmenn interesse. Skjønnstemaet i punkt f er vanskeligere. Jeg vil her ikke gå lenger enn til å si at rekrutteringsselskapet i alle fall skal argumentere godt for at deres virksomhet varetar en berettiget interesse som overstiger de registrertes interesse i personvern.

Vi må videre se på § 11 om grunnkrav til behandling av personopplysninger. Det viktigste i denne sammenhengen er punkt c, som sier at personopplysninger

ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker.

Rekrutteringsselskapet vil bruke opplysningene til et helt annet formål enn det de ble samlet inn for ved de respektive universitetene. Igjen får jeg ta forbehold om at jeg ikke har gått inn i detaljene i saken. Men det er vanskelig å se at bruk av personopplysningene i et kommersielt rekrutteringsselskap vil være forenlig med universitetenes formål med å samle inn og registrere opplysningene. Rekrutteringsselskapet vil derfor måtte innhente samtykke fra de registrerte for å kunne gjøre bruk av opplysningene.

Selskapets har påklaget avgjørelsen og daglig leder Kjell  F. Klynderud hevder i følge Aftenposten at han ikke ser noen grunn til å innhente samtykke når det ikke er sensitive opplysninger. Denne saken dreier seg ikke om sensitive opplysninger, slik dette er definert i § 2 nr 8. Men samtykkekravet er ikke begrenset til sensitive opplysninger, så det slipper han ikke unna.

Min konklusjon er at det kan diskuteres om rektrutteringsselskapet kan kreve å få opplysningene utlevert, men at rekrutteringsselskapet uansett ikke vil kunne bruke disse opplysningene uten samtykke fra de registrerte.

Saken avdekker en betydelig svakhet i forholdet mellom offentlighetsloven og personopplysningsloven. Prinsippet om tilgang til offentlige opplysninger er viktig, også opplysninger i offentlige databaser. Geografiske data er et eksempel på data man burde kunne få, og som alle fritt bør kunne bruke slike data som grunnlag for å utvikle egne applikasjoner — gjerne kommersielle. Men at man også skal kunne få utlevert personregistre etter den samme bestemmelsen, det er mer problematisk.

Det blir for meg meningsløst å ha regler som gjør at en virksomhet skal ha krav på å få utlevert opplysninger som den ikke har lov til å benytte i virksomheten. Så uansett hva det endelig resultatet måtte bli i denne konkrete utleveringssaken, så er det behov for en opprydding.

 

Print Friendly
  • Nå er ikke jeg jurist, men om jeg husker rett fra hva jeg lærte en gang for noen år tilbake om personopplysningsloven så er det vel informasjonplikt til personer man samler opplysninger om? La oss si UiO blir tvunget til å gi fra seg informasjonen, vil jeg som en del av det registeret få informasjon om at de har opplysninger om meg?

  • Anonymous

    Du har rett i det. Etter pol § 20 http://www.lovdata.no/all/tl-20000414-031-003.html#20 skal det varsles når man samler inn opplysninger fra andre, f.eks. fra universiteter.

  • Kan jeg da etter personopplysningsloven §28 kreve at opplysningene om meg slettes?

  • Anonymous

    Jeg refererte den generelle bestemmelsen om taushetsplikt i forvaltningsloven. Er opplysningene taushetsbelagte på annet grunnlag skal de heller ikke utleveres. Jeg har ikke sjekket reglene rundt sperrede adresser m.m., men antar at det er opplysninger som ikke skal utleveres.

  • Anonymous

    Jeg tar ikke sjansen på å svare på det på strak arm.

  • Anonymous

    UIO hevder at de ikke har noen god og enkel måte å sortere ut informasjon som ikke kan utleveres her. Eksempel: Noen kan ha fått sperret adresse (f.eks. på grunn av vitnebeskyttelse) uten at det har kommet UIO til kjennskap. Politiet oppgir aldri hvem som lever på kode 6 og 7 (folk som ikke lenger bruker sitt fødselsnr og lever i skjul under politiets beskyttelse) eller noe annen kontaktinformasjon til disse. Derfor kan UIO ved å levere ut all informasjon de har gjennomgått grundig, likevel komme til å oppgi (epost-)adresser el.lignende med katastrofal virkning. Det er ikke mulig for UIO å gardere seg mot slike feil. Det er nok med ett eneste slikt tilfelle for at menneskeliv går tapt. Eneste løsning er derfor at ingen informasjon utleveres.

  • Anonymous

    Man kan bare kreve innsyn i sammenstillinger fra databaser etter offentlighetsloven § 9 http://www.lovdata.no/all/tl-20060519-016-002.html#9 hvis det kan gjøres med enkle fremgangsmåter. Hvis det vil være vanskelig å skille ut beskyttet informasjon fra basene tilsier det at de ikke har krav på å få kopi av basen.

  • Hei Torvund
    Jeg er for tiden student ved UiO og dette er derfor noe som naturligvis opptar meg. Det kan jo være mye sensitiv informasjon som UiO sitter på, noe som også har blitt formidlet i media. UiO har jo folk som sitter i fengsel, hemmelig adresse osv., men jeg vet det er mange som søker om tilrettelegging ved eksamen ved UiO. Det trenger ikke å være noen hemmelighet i seg selv, men årsaken til at man søker tilrettelegging kan være svært sensitiv og en type informasjon man ønsker å ha kontroll på selv. Jeg har ingen oversikt over hvor og hvordan all denne informasjonen er lagret, men jeg kan ikke se for meg en sikker maskinell filtrering av all denne informasjonen. 

    Jeg kom egentlig hit for å se om du hadde noen tanker angående SOPA, til tross for min “drama-queen”-aktige sorti i sykkelsaken. 😉 Har du tenkt å skrive noe om det?

    Thomas, Oslo

  • Anonymous

    Jeg kjenner ikke saken om utlevering av opplysninger fra stundentregisteret annet enn gjennom media. Men det er åpenbart at UiO ikke kan utlevere sensitiv informasjon (at behandlingen av slik informasjon ikke alltid har vært forsvarlig, er et annet problem). Kravet om å få utlevert opplysninger fra database i henhold til offentlighetsloven, gjelder bare så langt det kan gjennomføres på en enkel måte. Inneholder basen opplysninger som ikke kan utleveres, og som man derfor selvfølgelig heller ikke kan kreve utlevert, må dette filtreres ut. Hvis dette ikke kan gjøres på en enkel eller tilstrekkelig sikker måte, vil man ikke ha plikt til å levere dem ut. Men jeg kjenner ikke den konkrete saken godt nok til å mene noe mer spesifikt om denne.

    Som du kanskje ser, så har jeg nå skrevet litt om SOPA, men det innlegget ble publisert etter at du skrev din kommentar.

    Ellers har jeg ikke noen problemer med av folk ikke er enig med meg, enten det gjelder sykkelpolitikk, personvern, opphavsrett eller annet, så lenge man klarer å holde denne uenigheten innenfor noenlunde saklige rammer.

  • Anonymous

    Veldig bra innlegg, kjekt å se at jeg ikke har bomma helt i mine egne tanker og refleksjoner. 😉
     
    Du skriver imidlertid at “det er hjem­mel i § 26 for å unnta eksa­mens­be­sva­rel­ser, men ikke for eksamensresultater.” Det står da vitterlig i § 26 første ledd siste punktum at “det kan dessutan gjerast unntak frå innsyn for karakterar og vitnemål frå utdanning”. Karakterer og vitnemål kan vel ikke regnes som annet enn eksamensresultater?
     

  • Anonymous

    Jeg mener å ha lest en avisartikkel der Datatilsynet faktisk oppfordrer til at personer som har fått sitt navn registrert i denne basen skal be om å bli slettet, men klarer dessverre ikke finne den igjen.