Arkiv, personvern og GDPR
EUs personvernforordning, GDPR, legger til rette for at personvern og arkiv kan kombineres på en effektiv og sikker måte til beste for individet og samfunnet som helhet.
For offentlige organ med arkivplikt etter arkivloven
Offentlige organ nevnt i arkivloven § 5 har en direkte lovpålagt plikt etter arkivloven § 6 til å holde arkiv. Dette skal skje i henhold til reglene i arkivloven kap. II og føringer i arkivforskriften samt i riksarkivarens forskrift. Disse organene vil ikke oppleve noen endring i sine arkivplikter som konsekvens av personvernforordningen.
For disse organene går det tydelig frem av Riksarkivarens forskrift at de har plikt til å sikre at flere typer dokumentasjon blir bevart for ettertiden. For kommuner og fylkeskommuner gis det nokså utførlige regler i riksarkivarens forskrift kapitel 7. For statlige organer gis det bevaringsregler om såkalte egenforvaltningssaker. I tillegg må det enkelte organ utforme en bevarings- og kassasjonsplan som skal godkjennes av Riksarkivaren.
Kommuner og fylkeskommuner kan i tillegg til påleggene i kapittel 7 i Riksarkivarens forskrift vurdere såkalt «merbevaring». Det betyr ikke at man kan la være å kassere materiale ut fra en helt generell merbevaringsvurdering; spesielt i lys av personvernforordningen er det viktig å ha planer for hva man skal ta vare på og hvorfor.
Arkivloven med forskrifter gir dermed et godt grunnlag i nasjonal rett om hva som kan tilintetgjøres og hva som må bevares for ettertiden. Forordningen innebærer at, så lenge man har et slikt grunnlag, vil arkivlovens regler om bevaring på samme måte som i dag gå foran retten til sletting.
Arkivverket råder offentlige organ med arkivplikt etter arkivloven til å fortsette med å etterleve dagens regelverk, inntil det kommer nye regler og føringer. Offentlige organers arkivplikt består, slik at opplysninger ikke kan tilintetgjøres uten at det foreligger hjemmel for kassasjon i eller i medhold av arkivloven.
For private rettssubjekter uten arkivplikt etter arkivloven
Ifølge Arkivloven har private virksomheter, som blant annet bedrifter, organisasjoner, stiftelser og privatpersoner, ingen rettslig forpliktelse til å holde arkiv. Private virksomheter har likevel behov for å ha dokumentasjon, og kan ha mange forskjellige typer grunnlag for å behandle personopplysninger i denne dokumentasjonen.
Forskjellige typer regler kan gi krav om hvor lenge man minimum må ta vare på visse typer informasjon. De fleste virksomhetene vil dermed ha behov- og grunnlag for å samle dokumentasjon i det som man til daglig vil kalle et arkiv.
Private aktører har adgang til å bevare personopplysninger i eget arkiv til arkivformål i allmennhetens interesse. Artikkel 5.1.b. i GDPR konstaterer at personopplysninger kan samles inn for ett formål, og så senere viderebehandles til arkivformål. Det gjelder så lenge det er snakk om samme behandlingsansvarlige som samler inn og viderebehandler opplysningene. Foreløpig er det opp til den enkelte behandlingsansvarlige å vurdere om behandlingen er til arkivformål i allmennhetens interesse, hva dette innebærer og sørge for at behandlingen oppfyller kravene i lovverket.
Offentlige og private arkivbevarende institusjoner
Arkivbevarende institusjoner trenger et rettsgrunnlag i nasjonal rett for å arkivere til arkivformål i allmennhetens interesse. Arkivverket, fylkeskommunale- og kommunale arkivinstitusjoner har et slikt grunnlag i arkivlovgivningen. Private arkivbevarende institusjoner kan ikke vise til arkivloven og må se til andre rettsgrunnlag. Paragraf 8 og 9 i personopplysningsloven kan gi et supplerende rettsgrunnlag for arkivformål i allmennhetens interesse på områder som ikke er dekket av arkivloven. Bestemmelsene krever at tiltakene og garantiene i artikkel 89 i personvernforordningen overholdes, og gjelder det særlige kategorier personopplysninger, blir det også nødvendig å søke råd hos personvernombudet eller foreta en personvernkonsekvens-utredning.
Arkivverket er Norges største aktør for bevaring av privatarkiv, og tar imot bevaringsverdige privatarkiv som faller inn under vår bevaringspolitikk og satsingsområder.
Europakommisjonens ekspertgruppe på arkiv – European Archives Group (EAG) har laget en felles veileder om GDPR for alle europeiske arkivbevarende institusjoner. Formålet med veilederen er å gi informasjon og råd om forholdet mellom arkiv og GDPR, sett ut ifra et arkivfaglig ståsted. Den vil være et nyttig arbeidsverktøy for ulike typer arkivarer, uavhengig av deres geografiske plassering og institusjonell tilhørighet.
Veilederen går ikke inn på de forskjellige nasjonale tilpasninger som GDPR åpner for og som gjelder for de ulike medlemslandene. Arkivverket har derfor valgt å opprette tillegget «Arkivverkets merknader til veileder i personvern for arkivbevarende institusjoner».