Om personopplysningslovens betydning forvaltningens beslutningssystemer og nettsider Dag
Om personopplysningslovens betydning forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN
Generelt • Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens regler • Ikke mulig å trekke sikre generelle slutninger ut i fra type informasjonssystem • I tillegg til personopplysningsloven kan det gjelde særlover som regulerer behandling av personopplysninger innen bestemte forvaltningsområder. • Særlovgivning som regulerer vedkommende forvaltningsområde (ligningslov, folketrygdlov, tollov mv) kan også ha særlig betydning fordi de – sier noe om hvilke opplysninger som er nødvendige for å treffe enkeltvedtak – gir saksbehandlingsregler for øvrig som bør ses i sammenheng med personopplysningslovens regler • Også forvaltningsloven og offentlighetsloven er relevante å ta hensyn til ved vurderingen etter pol, jf forelesning 18. 10.
“Personopplysning” • Beslutningssystemer • Alle opplysninger som anvendes for å treffe enkeltvedtak er (normalt) personopplysning om parten(e) • Logger mv knyttet til beslutningssystemet er (normalt) personopplysninger om saksbehandleren(e) • Nettsider • Opplysninger som publiseres på nettet er ofte personopplysninger • Opplysninger som samles inn via nettet er (normalt) personopplysninger • Opplysninger i logger er (normalt) personopplysninger
Sjekkliste, trinn 1 • Gjelder loven for mitt informasjonssystem? – Beslutningssystemer: • Ja, nesten unntak – Nettsider: • Ja, nesten unntak – Hvem er “behandlingsansvarlig”?
Sjekkliste, trinn 2 • Har jeg lovlig adgang til de opplysningene jeg ønsker å behandle (eller kan jeg skaffe det? ) • Beslutningsystemer – Lovhjemmel (forekommer: f. eks. plikt/rett til informasjon) – Nødvendighet (ofte, jf § 8 bokstav e og § 9 bokstav b) – Samtykke (supplerende grunnlag) • Nettsider – Lovhjemmel (sjelden, bare indirekte) – Nødvendighet (praktisk viktig; jf § 8 bokstav a, jf også § 9 bokstav d) – Samtykke (viktig(ste) grunnlag)
Sjekkliste, trinn 3 • Hva kan forvaltningen benytte PO til (formål)? – Både beslutningssystemer og nettsider må ha ett eller flere bestemte formål – For beslutningssystemer vil formål kunne ligge eksplisitt eller implisitt i særlovgivning, noe som kan begrense adgangen til å endre formålet, jf § 11 bokstav c.
Sjekkliste, trinn 4 • Er personene tilstrekkelig sikkert identifiserte? – Beslutningssystemer: • I praksis akseptert å benytte fødselsnummer • Uklart hva som kan godtas av biometriske identifikasjonsmetoder (her skjer det rettsutvikling!) – Nettsider • Normalt anledning til å benytte fødselsnummer dersom det skal inngis opplysninger som skal utgjøre grunnlag for vedtak, men forutsetningen er tilstrekkelig sikring.
Sjekkliste, trinn 5 • Hva er tilfredsstillende sikkerhetstiltak? – Avhenger av en konkret vurdering – Neppe grunn til å behandle beslutningssystemer strengere enn andre systemer, men. . . – Neppe grunn til å behandle Internett-baserte rutiner strengere enn andre rutiner, men. . .
Sjekkliste, trinn 6 • Er jeg sikker på at jeg vil komme til å etterleve loven? – Internkontroll for beslutningssystemer må gjennomføres for å sikre etterlevelse av krav i: • • vedkommende særlov med forskrifter personopplysningslov med forskrifter forvaltningsloven, eventuelt offentlighetsloven mv konsesjoner og andre enkeltvedtak – Internkontroll for nettsider må/bør gjennomføres for å sikre etterlevelse av krav i: • • personopplysningslov med forskrifter åndsverkloven (opphavsrett) forvaltningsloven, eventuelt offentlighetsloven mv eventuelle enkeltvedtak (men pålegget om interkontroll gjelder bare ift personvern, pol jf § 1)
Sjekkliste, trinn 7 • Kan jeg starte behandlingen? – Beslutningssystemer • Normalt ikke konsesjonsplikt selv om det skal behandles sensitive personopplysninger, jf § 33 fjerde ledd og særlovgivning • Selv om unntak fra konsesjonsplikt, skal behandlingen normalt meldes – Nettsider • Sjelden konsesjonsplikt • Kan også være unntatt fra meldeplikt, jf pof §§ 7 -11 og 7 -12
- Slides: 10