Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Personopplysningsloven – problemstillinger som er særlig aktuelle for offentlig ansatte Knut B. Kaspersen, fagdirektør, Datatilsynet 22. Oktober 2010.

Liknende presentasjoner


Presentasjon om: "Personopplysningsloven – problemstillinger som er særlig aktuelle for offentlig ansatte Knut B. Kaspersen, fagdirektør, Datatilsynet 22. Oktober 2010."— Utskrift av presentasjonen:

1 Personopplysningsloven – problemstillinger som er særlig aktuelle for offentlig ansatte Knut B. Kaspersen, fagdirektør, Datatilsynet 22. Oktober 2010

2 Side 2

3 Side 3 Disposisjon 1.Kort om Datatilsynets oppgaver og administrasjon 2.Innføring i personopplysningsloven Formål, definisjoner og virkeområde Grunnkrav og behandlingsvilkår Plikter og rettigheter 3.Skjæringspunktet mellom personopplysningsloven og offentlighetsloven og taushetsplikten Retten til innsyn i dokumenter og opplysninger Meroffentlighet og offentliggjøring på Internett

4 Side 4 Datatilsynet Uavhengig forvaltningsorgan Etablert i 1980 Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD Direktør Bjørn Erik Thon 33 medarbeidere - Fire avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon Håndhever personopplysningsloven og helseregisterloven Saksbehandling Tilsyn/kontroll Veiledning/informasjon

5 Side 5 Personvernnemnda Avgjør klager over Datatilsynets avgjørelser Klager skal stiles til Datatilsynet som eventuelt videresender til PVN Beslutningene er ”endelige” og kan bare omgjøres gjennom søksmål Søksmål om nemndas avgjørelser skal rettes mot staten v/PVN Faglig uavhengig Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD 7 medlemmer Leder: Advokat Eva Jarbekk Oppnevnes for 4 + evt. 4 år Sekretær

6 Side 6 Personopplysningsloven overtok for personregisterloven av 1978 bygger på EUs personverndirektiv (95/46/EF) vedtatt i kraft fra samtlige overgangsperioder gikk ut

7 Side 7 Formål - § 1 Beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger

8 Side 8 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger Retten til å være i fred

9 Side 9 Definisjoner - § 2 Personopplysninger Kan knyttes til en enkeltperson (§ 2 nr. 1) Behandling av personopplysning Enhver bruk av personopplysninger (§ 2 nr. 2) Personregister Opplysningene er lagret systematisk slik at de lett kan finnes igjen (2 nr. 3)

10 Side 10 Forts. definisjoner Registrert Den som personopplysningen kan knyttes til (§ 2 nr. 6) Behandlingsansvarlig Den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes (§ 2 nr. 4) Som regel den som har juridisk ansvar Alle plikter i loven hviler på den behandlingsansvarlige Arkivet eller de arkivansatte er som hovedregel ikke behandlingsansvarlig for arkivene, men kan ha fått delegert til seg det daglige ansvaret.

11 Side 11 Virkeområde Behandling av personopplysninger - som helt eller delvis skjer elektronisk ELLER - når opplysningene inngår eller skal inngå i et personregister Kredittopplysninger

12 Side 12 Unntak Behandlinger som den enkelte foretar for rent personlige eller private formål - § 3 Adresselisten i almanakken eller hjemme PC Kameraovervåkning av egen bolig Regulert i annen lov - §§ 5 og 6 Eks. offentlighetsloven, barneverntjenesteloven… Behandling som skjer utelukkende for kunstneriske, litterære eller journalistiske formål - § 7 Ytringsfriheten som behandlingsgrunnlag Bestemmelsene om sikkerhet, internkontroll, reservasjon og kameraovervåkning gjelder fortsatt

13 Side 13 Grunnkrav til behandlingen - § 11 Opplysningene må Kun brukes til uttrykkelig angitte formål som er saklig begrunnet i virksomheten Ikke brukes til formål som er uforenelig med det opprinnelige formålet Være tilstrekkelige og relevante Være korrekte og oppdaterte Ikke oppbevares lenger enn nødvendig Ha behandlingsgrunnlag i §§ 8 og 9

14 Side 14 Vilkår for behandlingen - § 8 Hjemmel i lov Behandlingen må være forutsatt eller nødvendig for gjennomføringen av loven Mange/sensitive opplysninger = krav til klar hjemmel Samtykke - § 2 nr. 7 Eller behandlingen er nødvendig for å oppfylle avtale med den registrerte oppfylle en rettslig forpliktelse ivareta den registrertes vitale interesser utføre oppgave av allmenn interesse utøve offentlig myndighet ivareta en berettiget interesse

15 Side 15 Samtykke, § 2 nr. 7 - frivillig, - uttrykkelig og - informert - erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Konkludent adferd?

16 Side 16 Interesseavveiningen etter § 8 f Berettiget interesse Den behandlings- ansvarliges berettigede interesse Hensynet til den registrertes personvern

17 Side 17 Sensitive personopplysninger § 2 nr. 8 – uttømmende oppregning Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforening NB! Opplysninger om økonomiske forhold er ikke sensitive. Heller ikke fødselsnummer!

18 Side 18 Tilleggsvilkår for behandling av sensitive personopplysninger § 9 Samtykke Fastsatt i lov Nødvendig for å beskytte en persons vitale interesser og den registrerte ikke kan samtykke fastsette eller gjøre gjeldende eller forsvare et rettskrav for gjennomføringen av arbeidsrettslige plikter eller rettigheter forebygge sykdomsbehandling m.m. og opplysningene behandles av helsepersonell med taushetsplikt Ivareta historiske, statistiske eller vitenskaplige formål og samfunnets interesse klart overstiger ulempene for den enkelte Den registrerte selv frivillig har gjort opplysningene kjent Ideelle sammenslutninger og stiftelser

19 Side 19 Personnummer - § 12 Ikke en sensitiv personopplysning Kan bare nyttes når det er 1.Saklig behov for sikker identifisering og 2. Metoden er nødvendig for å oppnå slik identifisering Må ikke fremkomme av postsendinger eller telekommunikasjon slik at det er tilgjengelig for andre enn adressaten (POF § 9-2) ikke utenpå konvolutt eller i åpent kort ikke som KID eller medlemsnummer på regning kryptering ved bruk i Internettløsninger sladding av dokumenter før de legges ut på Internett

20 Side 20 Informasjonsplikt §§ 19 og 20 Formålet er å gjøre den enkelte i stand til å benytte sine rettigheter etter loven Før innhenting fra den registrerte selv (§ 19) Etter innhenting fra andre enn den registrerte selv eller eventuelt før utlevering til andre (§ 20) Ved henvendelse eller beslutninger fattet på bakgrunn av personprofiler (§ 21) og ved automatiserte avgjørelser (§ 22) 30 dagers frist (§ 16), gratis (§ 17) og skriftlig (§ 24) Brudd på informasjonsplikten er straffsanksjonert (§ 48 )

21 Side 21 Rett til innsyn - § 18 Enhver har rett til grunninformasjon om behandlingen Hva slags behandling av personopplysninger Navn og adresse på den behandlingsansvarlige Hvem som har daglig ansvar for behandlingene Formålet med behandlingen Hvilke typer personopplysninger som behandles Om eventuell utlevering til andre I tillegg kan den registrete kreve å få vite Hva er registrert om meg? Sikkerhetstiltak? Utdypning av informasjonen som gis til enhver Unntak: § 18 siste ledd og § 23 Innsynsretten muliggjør ivaretakelsen av de øvrige rettighetene i loven

22 Side 22 Retting av uriktige eller mangelfulle opplysninger, jf § 27 av eget tiltak eller på begjæring skadereduksjon  varsle mottakere av opplysningene Retting skal skje ved markering og supplering sperring eller sletting

23 Side 23 Sletting Sletting skal skje når opplysningene ikke lenger er nødvendig for å gjennomføre formålet Arkivloven kan medføre fortsatt lagring Sletting kan skje når opplysningene er sterkt belastende Datatilsynet kan på visse vilkår overprøve Riksarkivaren og arkivloven Opplysninger slettes ikke Når samfunnets interesse i historiske, statistiske eller vitenskaplige formål klart overstiger ulempene for den registrerte

24 Side 24 Melde- og konsesjonsplikt Konsesjonsplikt, § 33 Elektronisk behandling av sensitive personopplysninger Meldeplikt, § 31 jf § 32 Behandlinger som skjer helt eller delvis elektronisk Opplysningene skal inngå i et personregister Mange unntak fra konsesjons- og meldeplikten både i lov og forskrift

25 Side 25 Plikt til å skape og dokumentere rutiner som sikrer at man oppfyller kravene i personopplysningsloven Konfidensialitet Integritet Tilgjengelighet Brudd på bestemmelsene om informasjonssikkerhet er straffsanksjonert (§ 48) Informasjonssikkerhet og internkontroll §§ 13 og 14

26 Side 26 Fjernsynsovervåkning Regulert i lovens kapittel 7 og forskriftens kapittel 8 i tillegg må §§ 8,9 og 11 følges ”vedvarende eller regelmessig gjentatt personovervåkning” hvor lenge/hvor mange ganger? Web kamera – kan man gjenkjenne enkeltpersoner? ”fjernbetjent eller automatisk virkende fjernsynskamera eller lignende apparat” Fjernsynsovervåkning uten opptak Videofilming Håndholdt fotoapparat eller videokamera faller utenfor Tilleggsvilkår om ”særskilt behov” ved overvåkning av sted der begrenset krets av personer ferdes (§ 38)

27 Side 27 Fjernsynsovervåkning Plikter for den behandlingsansvarlige Varsle om at overvåkning finner sted (§ 40) Melding til Datatilsynet (§ 37, 2. ledd) Ikke utlevere personopplysninger fra overvåkningen uten lovhjemmel eller samtykke Unntak: utlevering til politiet Sletting når det ikke lenger er saklig grunn for oppbevaring (§ 28) Utg.pkt. 7 dager (POF § 8-4) Post og bank – 3 mnd. Sikre personopplysningene (POF § 8-2 og POL § 13 og 14 Konfidensialitet, integritet og tilgjengelighet

28 Side 28 Fjernsynsovervåkning i praksis 1.Områder der forventningen om diskresjon er høy:  Garderobe,toaletter, nattklubb, badebasseng Interesseavveining etter § 8 f vil ofte falle negativt ut for overvåkeren 2. Områder der forventningen om diskresjon er lav eller kravet til sikkerhet stort:  Bank, postkontor, offentlige steder, offentlig transport, butikker, kiosker, bensinstasjoner Interesseavveining etter § 8 f faller som regel ut til fordel for overvåkeren 3. Områder i mellomstilling:  Arbeidsplassen  Offentlige områder utenfor kirker, moskeer og lignende  Offentlige områder utenfor sykehus, fengsel  I sykehuskorridorer ”Særskilt behov for overvåkning”?

29 Side 29 Oppsummering Formålet med loven er å styrke personvernet Behandling av personopplysninger må ha saklig begrunnelse og være formålsbestemt Behandlingen kan skje på bakgrunn av lov, samtykke eller oppfyllelse av konkrete nødvendighetskriterier Sensitive personopplysninger skal behandles med særlig varsomhet Informasjonsplikten er grunnleggende Krav til konsesjon/melding til Datatilsynet, men mange unntak Krav til dokumenterte rutiner for sikkerhet m.m. Brudd på loven kan være straffbart

30 Personvern i lys av offentligheten Personopplysningsloven, offentlighetsloven og taushetsplikten

31 Side 31 Offentlighetsloven – noen utgangspunkter Enhver kan ”krevje innsyn i saksdokument, journalar og liknande register til organet hos vedkommende organ” - § 3 - rett til innsyn på begjæring - hva er tilstrekkelig identifisering av ”sak”? - ”dokument” § 4 Utferdiget av, kommet inn eller lagt frem for et forvaltningsorgan Logisk avgrenset informasjonsmengde som er lagra på eit medium for seinare lesing, lytting, framsyning, overføring eller liknande Interne dokumenter §§ 14, 15 og 16 Meroffentlighet - § 11

32 Side 32 Forts. offentlighetsloven Utsatt offentlighet – dokumentet gir et ”direkte misvisande bilete av saka og at innsyn derfor kan skade klare samfunnsmessige eller private interesser” Unntak fra offentlighet for visse opplysninger § 13 (SKAL) Sladding eller unnta hele dokumentet Samtykke fra som har krav på taushet Unntak for dokumenter med et visst innhold §§ (KAN)

33 Side 33 Innsyn etter personopplysningslovens § 18 Gjelder Både offentlig forvaltning og private virksomheter Supplerer offentlighetsloven Bare personopplysninger I all hovedsak opplysninger om behandlingen som sådan pluss opplysninger om egen person Både opplysninger lagret elektronisk og på papir Ingen krav til konkretisering av sak Ønske om innsyn trenger ikke begrunnes

34 Side 34 Særlig om innsyn i interne dokumenter Formålet med dokumentet avgjør om det er internt Typisk: Materiale utarbeidet av en enhet for intern saksforberedelse Hvis dokumentet inngår som en del av beslutningsgrunnlaget er det ikke lenger internt Faktiske opplysninger eller sammendrag av faktum vil sjelden oppfylle kravet til internt dokument Hvis dokumentet faktisk er utlevert til andre (en eller flere ganger) er det ikke lenger internt Offentlig forvaltning: Offvl. § 14 og POL § 23 e Private virksomheter: POL § 23 e

35 Side 35 Taushetsplikt Taushetsplikt mht. opplysninger man blir kjent med i forbindelse med tjeneste, arbeid eller i andre sammenhenger Eks. fvl. § 13, POL § 45 Privatrettslig avtale Taushetsplikten gjelder som regel to kategorier opplysninger: 1.Personlige forhold Eks. sykdom, familiesituasjon, lovbrudd… 2.Virksomhetsrelaterte forhold Eks. sikkerhetsløsninger, forretningshemmeligheter… Rikets sikkerhet Opplysninger som er undergitt lovpålagt taushetsplikt er unntatt fra offentlighet (Offvl. § 13) og innsyn etter personopplysningsloven (POL § 23 d)

36 Side 36 Meroffentlighet – Offvl. § 11 ”Når det er høve til å gjere unntak frå innsyn, skal organet vurdere å gi heilt eller delvis innsyn. Organet bør gi innsyn dersom omsynet til offentleg innsyn veg tyngre enn behovet for unntak” Eks. Departementet gjør tilgjengelig offentlige saksdokumenter med personopplysninger på Internett i fravær av konkret innsynsbegjæring. Får personopplysningsloven anvendelse på departementets publisering? Stiller personopplysningsloven strengere krav til hva som kan publiseres enn det som følger av offentlighetslov/forvaltningslov? Hvilke vurderinger må i så fall foretas før publisering?

37 Side 37 Rettslig regulering 1 Personopplysningslovens § 6: Loven regulerer ikke det tilfelle at innsynsrett gis etter offentlighetsloven, forvaltningsloven eller annen lovbestemt innsynsrett. Forutsetning: Innsyn gis etter en konkret innsynsbegjæring Følge: Personopplysningslovens krav trenger ikke å vurderes.

38 Side 38 Rettslig regulering 2 JD’s lovavdeling fortolkningsuttalelse av : Personopplysningslovens § 6 får ikke anvendelse der saksdokumenter publiseres på Internett uten konkret innsynsbegjæring. Begrunnelse: det er ikke tale om innsynsrett i slike tilfelle MEN meroffentlighet Følge: Begrensningene i personopplysningsloven kommer til anvendelse Fødselsnummer kan ikke publiseres på Internett. Det kan vanskelig tenkes at sensitive personopplysninger kan publiseres uten etter samtykke fra den opplysningene er knyttet til. Dette gjelder selv om opplysningene ikke er taushetsbelagte.

39 Side 39 Konsekvenser av lovavdelingens uttalelse Forvaltningen må foreta en skjønnsmessig vurdering av de personvernmessige betenkeligheter ved publisering av et saks- dokument før publisering på Internett eller i andre medier Publisering medfører en utlevering av opplysninger som må ha hjemmel i personopplysningsloven Avveiningen mellom offentlighet og personvern må gjøres konkret kan undertiden være komplisert må foretas selv om dokumentet er vurdert til å være offentlig etter offentlighetsloven Grensetilfeller bør forelegges Datatilsynet før publisering Datatilsynet kan overprøve etatens vurdering av personvernkonsekvenser ved publisering

40 Side 40 Eksempler på ”glipper” i praksis

41 Side 41 Hvilke momenter vektlegges i avveiningen? Dessverre liten fortolkningshjelp i norske rettskilder EU’s uavhengige personvernombuds vurdering nr : 1)Involverer det aktuelle dokumentet personvernelementer? (Stikkord; enkeltperson, privat karakter, ære/rykte, fortrolighet) 2)Vil personvernet bli vesentlig påvirket i negativ retning ved publisering? (Stikkord: offentlig tilgjengelig?, praktisk relevant konsekvens- eller bare teoretisk?)

42 Side 42 Oppsummering Offentlighetsloven gir rett til innsyn i saksdokumenter, journaler og lignande register Personopplysningsloven gir rett til innsyn i personopplysninger Lovpålagt taushetsplikt går foran rett til innsyn, både etter offentlighetsloven og personopplysningsloven Ved innsynsbegjæring går offentlighetsloven foran personopplysningsloven

43 Side 43 Forts. oppsummering Ved utøvelse av meroffentlighet kommer personopplysningsloven til anvendelse Følgende personopplysninger kan ikke publiseres på Internett: Taushetsbelagte opplysninger Sensitive personopplysninger, jf. personopplysningslovens § 2 nr.8 Fødselsnummer lønnsopplysninger For andre personopplysninger er det avgjørende hva som i den konkrete sak veier tyngst; hensynet til offentlighet/allmenhetens interesser eller hensynet til den registrertes personvern

44 Side 44 Særlig om personellregistre

45 Side 45 Innsamling og lagring av opplysninger om ansatte Hvilke personopplysninger kan samles inn Ved ansettelse Underveis i arbeidsforholdet Arbeidsmiljøloven stiller opp noen konkrete grenser for hva man kan spørre om (men gir også hjemmel for en del innsamling) Personopplysningsloven bestemmer hvordan opplysninger lovlig kan behandles for eksempel i et personalregister

46 Side 46 Grenser i arbeidsmiljøloven Aml § 13-4 Innhenting av opplysninger ved ansettelse -forbudt å spørre om seksuell orientering, politiske spørsmål, fagorganisering Aml. §9-3 Innhenting av helseopplysninger ved ansettelse -forbudt å be om andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen. Aml. §9-4. Medisinske undersøkelser av arbeidssøkere … -Bare i de konkrete tilfeller som går frem av loven -Arbeidsgiver må heller ikke iverksette tiltak for å innhente helseopplysninger på annen måte. Samtykke kan ikke ”oppheve” forbud i lov

47 Side 47 Hva kan (og skal ?) arbeidsgiver samle inn Personalia; navn, adresse, fødselsdato Lønnsinformasjon; avtalt lønn, kontonummer, skattekort, bidragsstrekk, … Opplysning om nærmeste pårørende; navn og telefonnummer i tilfelle skade eller lignende Opplysning om ansvar for barn og evt. kronisk sykdom for beregning av sykedager Avtaler om lån, hjemmekontor, … Helseopplysninger innefor rammen av Aml., særlovgivning og det som er nødvendig for å tilrettelegge arbeidsplassen Vandelsopplysninger KUN dersom lovhjemmel Kredittvurdering KUN ved stillinger med økonomisk ansvar…

48 Side 48 Opplysninger som ”oppstår” underveis i arbeidsforholdet 1.Klager, advarsler, tjenestelige tilrettevisninger og lignende Ja, men hvor lenge? 2.Opplysninger om sykdom eller rusmisbruk Ja, men bare innenfor arbeidsmiljølovens grenser 3.Opplysning om tid tilbrakt på jobb, hvor du har vært, hva du har gjort -for eksempel hentet fra adgangskontrollsystem, overvåkningskamera, gps…) Opplysning om telefonbruk, databruk m.m. -for eksempel hentet fra logg, regning…) Ja, men avhenger av avtaler med den ansatte og gitt informasjon NB! Nytt formål – nytt behandlingsgrunnlag i § 8 NB! Grensen mot ulovlig overvåkning -Eks. Copland vs. United Kingdom av 3. april 2007

49 Side 49 Lagringstid for personopplysninger Utgangspunkt: nødvendig for formålet  For en del opplysninger innebærer dette lagring i hele ansettelsesperioden og også etter at arbeidsforholdet er avsluttet Regnskapslovgivning, skattelovgivning Bedriftshistorie –hvem var ansatt når og i hvilken stilling Adresselister for pensjonistforeningen og andre velferdstiltak – med samtykke Rettssaker – til rettskraftig avgjørelse om oppsigelse/avskjed foreligger evt. til foreldelse inntreffer

50 Side 50 Melde-/konsesjonsplikt? Hovedregel: Ingen melde eller konsesjonsplikt for behandling av personopplysninger i personellregistre (personopplysningsforskriftens § 7-16) Skal meldes: Behandling som ikke har hjemmel i lov eller samtykke Behandling som skjer for andre formål enn personaladministrasjon Adgangskontroll Kameraovervåkning Innsyn i e-post (når det faktisk skjer) Annen ”overvåkning” av ansatte Varslingsordninger jf. aml. § 3-6 NB! Listen er IKKE uttømmende

51 Side 51 Kontaktopplysninger Informasjon på Juridisk: Sikkerhet:


Laste ned ppt "Personopplysningsloven – problemstillinger som er særlig aktuelle for offentlig ansatte Knut B. Kaspersen, fagdirektør, Datatilsynet 22. Oktober 2010."

Liknende presentasjoner


Annonser fra Google