Personopplysningsloven personopplysning og grunnleggende krav til behandling av
Personopplysningsloven: -”personopplysning” og grunnleggende krav til behandling av personopplysninger Dag Wiese Schartum, AFIN
Generelt • Personopplysningsloven er (nesten) alltid relevant ved utvikling av informasjonssystemer som skal behandle “personopplysninger” • Loven er basert på EU-direktiv om personvern som er mønster for lovgivningen i de 27 EU-landene + 3 EØS-land • Kan du hovedtrekkene i personopplysningsloven (pol), kan du hovedtrekkene i “all” europeisk persovernlovgivning! • Personopplysningslovens (pol) § 1 er en formålsbestemmelse som definerer personvern og som skal brukes aktivt ved fortolkning av loven. • Store deler av loven er av interesse i tilknytning til utvikling av informasjonssystemer som skal behandle personopplysninger.
Hovedelementer i loven • • Definisjoner og virkeområde (7. 2) Grunnkrav til behandling av personopplysninger (7. 2) Bestemmelser om innsyn og åpenhet (8. 2) Fjernsynsovervåking (8. 2) Retting og sletting av personopplysninger (14. 2) Melde- og konsesjonsplikt (14. 2) Datatilsynet og personvernnemnda (14. 2) Bestemmelser om overføring av personopplysninger til utlandet (tredjeland) • Straff og erstatningsansvar
“Personopplysning” Fysisk person Opplysning - humant materiale - jf juridiske personer - jf enkeltmannsbedrifter -unntak for visse kredittopplysninger Fakta - opplysninger Person. Identifikasjon - en bestemt person må kunne identifiseres opplysning Sikker tilknytning til person Nok med mulig tilknytning Alle “rimelige” hjelpemidler
“Behandling” • Alle operasjoner som kan utføres på PO (innsamling, bearbeiding, lagring, videresendelse osv) • Må inneforstå en serie av slike operasjoner “behandlinger” • Ofte naturlig å sette likhetstegn mellom “en behandling” og “ et system” “Behandling av personopplysninger” • Helt eller delvis elektronisk behandling • Manuell behandling i “personregister” • Manuell behandling av opplysninger som skal inn i et “personregister” “Behandlingsansvarlig”, jf § 2 nr 4 • Den som behandler formål og hjelpemidler • … er den øverste ledelsen i en virksomhet • Kan være vanskelig å avgjøre hvem dette er! Det spiller ingen rolle hvilket uttrykk personopplysningene har / hva slags medium som anvendes (skrift, lyd, bilde mv)
Definisjoner av de viktigste aktørene i loven • “Registrert: den som en personopplysning kan knyttes til” – Er den som skal vernes og som har rettigheter etter loven – Er alltid en fysisk person • “Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes” – Kan være en fysisk person eller en virksomhet – Er den de fleste plikter i loven er knyttet til • “Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige” – er alltid en ekstern person eller virksomhet
Krav til rettslig grunnlag alltid Rettslig grunnlag er nødvendig for at behandlingen av personopplysninger skal være lovlig, jf §§ 8 og 9. • Samtykke • Lovhjemmel Lovens hovedregel. Må være frivillig, utrykkelig og informert, jf § 2 nr 7 tilbaketrekking! kollektivt? Eksplisitt eller implisitt hjemmel? • “Nødvendig grunn” Bare de loven angir. Kreves selvstendig rettslig grunnlag for å behandle sensitive personopplysninger, jf § 9
Krav til formålsangivelse • Det må alltid fastsettes et eller flere formål for behandlingen (§ 11 bokstav b) • Formålet må være saklig begrunnet i den behandlingsansvarliges virksomhet • All behandling av personopplysninger må skje til slike formål • Nye formål kan bare aksepteres hvis ikke “uforenlig med det opprinnelige formålet for innsamlingen (men hva i all verden betyr det? ) Oversikt over øvrige grunnkrav • • Krav til opplysningskvalitet: § 11 bokstavene d og e og § 14, jf § 27 Konsesjons- og meldeplikt (pol kap. VI) Krav til entydig identifisering, § 12 Krav til informasjonssikkerhet, § 13 • Krav til internkontroll, § 14
Oversikt over andre viktige bestemmelser i loven En rekke bestemmelser gir den enkelte rettigheter: • Generelt innsyn (i informasjonssystemer) • Individuelt innsyn (i opplysninger om egen person) • Krav på informasjon (om informasjonsinnsamling og “profiler”) • Rett til å reservere seg mot markedsføringshenvendelser (Brønnøysund) • Rett til å få opplysninger, rettet, slettet og supplert • Rett til å bli varslet om fjernsynsovervåking Særlige regler om overføring av personopplysninger til utlandet Viktige regler om Datatilsynets og Personvernnemdas myndighet
- Slides: 9