Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum.

Liknende presentasjoner


Presentasjon om: "Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum."— Utskrift av presentasjonen:

1 Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum

2 Innledende bemerkninger “Rettslig grunnlag” er betegnelsen på et av flere krav som må være oppfylt for at personopplysninger kan behandles på lovlig måte, jf også § 11 Tilsvarer det som i loven kalles “vilkår for å behandle personopplysninger”, og omfatter §§ 8 og 9 Rettslig grunnlag brukes som betegnelse fordi det også er andre vilkår for å behandle personopplysninger som må være oppfylt, særlig: –Fastsettelse av saklig begrunnede formål for behandlingen –Tilstrekkelig kvalitet på personopplysningene –“Rettslig grunnlag” er derfor mer en presis betegnelse enn den loven bruker i §§ 8 og 9 Enhver behandling må ha et rettslig grunnlag i samsvar med §§ 8 og 9 –Kravene i § 8 gjelder bestandig –Kravene i § 9 gjelder bare for sensitive personopplysninger –For sensitive opplysninger må både kravene i § 8 og § 9 være oppfylt

3 Oversikt over typer rettslig grunnlag Lovhjemmel –Dvs. når det er klart bestemt i loven at personopplysninger kan samles inn og behandles Samtykke –Dvs. når den registrerte erklærer at hun godtar at opplysninger blir samlet inn og behandles av behandlingsansvarlige Når det er “nødvendig” (“nødvendig grunn”) –Dvs. når behandlingen er omfattet av (minst) én av alternativene i §§ 8 bokstavene a – f og 9 bokstavene a – h, som angir hvilke «nødvendige grunner» som godtas som rettslig grunnlag Opplysninger som “den registrerte selv frivillig har gjort alminnelig kjent” (§ 9 bokstav d) –Gjelder bare for sensitive personopplysninger –Den registrerte må selv ha gjort noe aktivt for at opplysningene skal bli kjent Hver behandling av personopplysninger kan trenge flere typer rettslig grunnlag (for eksempel både samtykke + en nødvendig grunn etter § 8)

4 Lov “Lov” kan bare være rettslig grunnlag dersom det i lov, eller i forskrift som er gitt i medhold av lov, klart er bestemt at person- opplysninger kan samles inn og behandles Slike bestemmelser finnes typisk i “registerlover”, jf forelesningen den 21.01, for eksempel: –Strpl. § 160a. Kongen kan beslutte at det skal opprettes et sentralt register over DNA- profiler. Registeret kan inneholde DNA-profiler til personer som er dømt for […] –Folkereg.l. § 1. Det skal være ett sentralt folkeregister for Norge. I Det sentrale folkeregister registreres alle personer som: a)er eller har vært bosatt i Norge, b)er født i Norge, c)har fått tildelt fødselsnummer eller D-nummer. Det er typisk offentlig forvaltning som har slike lovhjemler, og det er mange av dem! Det er ikke tilstrekkelig at det i en lov eller forskrift er bestemmelser som forutsetter innsamling mv av personopplysninger

5 Samtykke Dersom det ikke foreligger lovhjemmel, er må det som regel innhentes samtykke fra den registrerte, se s 8 (nedenfor) Samtykke må tilfredsstille tre krav for å være gyldig (§ 2 nr 7): –Frivillig: Det kan ikke være knyttet tvang eller sanksjoner til et samtykke Likevel vanskelig å sikre full frivillighet i streng forstand fordi “alle” innretter seg på samme måte og gir bedre tilbud til den som anvender IKT Frivillighet har særlig vært ansett som problem i arbeidsforhold –Uttrykkelig: Samtykket må vises gjennom en aktiv handling fra den registrerte Ingen formkrav (dvs underskrift e.l.), bruk av ikoner mv er nok Kan tenkes muntlig samtykke, men lite brukbart Stilltiende og “konkludent” samtykke godtas ikke Må ha tilstrekkelig sikkerhet for at det er rett person som samtykker (jf § 15) »samtykke, fortsetter neste side

6 Samtykke (forts. I) –Informert: Den registrerte (og en eventuell representant) skal ha informasjon som klart viser hva samtykket omfatter Informasjonen må gis før selve samtykket gis Informasjonen må normalt inneholde opplysninger om (jf § 19): a) Hvilke opplysningstyper det gjelder b) navn og adresse på den behandlingsansvarlige og dennes eventuell representant, c) formålet med behandlingen, d) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, e) det er frivillig å gi fra seg opplysningene, og f) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f.eks. informasjon om retten til å kreve innsyn, jf. § 18, og retten til å kreve retting, jf. § 27 og § 28 –Samtykke kan skje ved fullmakt –Er ”kollektivt samtykke” mulig (f.eks. i arbeidslivet)?

7 Samtykke (forts. II) Kan mindreårige samtykke? –Kan/må foreldrene samtykke eller kan barn/ungdom samtykke på egenhånd? –Her må bestemmelsene i personopplysningsloven ses i sammenheng med barneloven (jf særlig §§ 31 og 33) –Loven stiller ikke opp noen bestemte aldersgrenser for når mindreårige kan samtykke –Likevel klart at mindreårige kan samtykke i visse situasjoner –Er avhengig av barnets alder og modenhet, dvs. skjønnsmessig avgrenset: «Foreldra skal gje barnet stendig større sjølvråderett med alderen og fram til det fyller 18 år.» (barnelova § 33) –Ungdom kan trolig samtykke alene til å behandle personopplysninger som er knyttet til forhold de har bestemmelsesrett over (15 år: medlemsskap i foreninger, valg av utdanning mv, se barnelova § 32) –Fra 15-/16-års alder vil ungdom ofte kunne samtykke på egenhånd (men også mulig tidligere) –Uansett skal barn og ungdom alltid høres før foreldre tar avgjørelser på deres vegne

8 Nødvendig grunn Det er bare de grunner som loven anerkjenner som kan være rettslig grunnlag De nødvendige grunnene som er nevnt i § 8 er forskjellige fra de som er nevnt i § 9 Nødvendige grunner i § 8: avtale rettslig forpliktelse vitale interesser allmenn interesse utøve offentlig myndighet a)å oppfylle en avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås (kjøp, arbeidsavtale mv), b)at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse (forpliktelse i lov, konvensjon e.l.), c)å vareta den registrertes vitale interesser (særlig liv og helse), d)å utføre en oppgave av allmenn interesse (forskning, statistikk, historie), e)å utøve offentlig myndighet (enkeltvedtak, dømmende virksomhet mv), eller f)at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Husk at bestemmelsene ikke kan fortolkes ut i fra en vanlig språklig forståelse, men må leses ut i fra forarbeider, praksis mv

9 Nødvendig grunn eller samtykke? (PVN 2004/01 (Statens Arbeidsmiljøinstitutt – STAMI) “For at man skal kunne gjøre et avvik fra hovedprinsippet [om samtykke], må det […] foreligge en begrunnelse. Denne begrunnelsen kan […] ikke bare være en ren hensiktsmessighetsbetraktning, f eks å unngå kostnader, spare tid eller lignende – selv om slike begrunnelser selvsagt også må vurderes konkret i forhold til den enkelte sak.” ) PVN 2012/01 (Barn med påførte dødelige skader) Oppsummert: Alle typer rettslige grunnlag i pol § 8 er i utgangspunktet likestilte. En kan derfor ikke generelt anse samtykke som hovedregelen. Er det liten trusselen mot personvernet, f.eks. fordi personenes identiteter er godt beskyttet, kan det f.eks. tale for å benytte annet rettslig grunnlag enn samtykke.

10 Bortfall av rettslig grunnlag De ulike rettslige grunnlagene kan falle bort på ulike måter: –Lovhjemmel kan falle bort fordi loven endres/oppheves –Samtykke kan når som helst trekkes tilbake –Nødvendig grunn kan opphøre fordi situasjonen forandrer seg Dersom det rettslige grunnlaget faller bort, og det ikke finnes et alternativt rettslig grunnlag, mister den behandlingsansvarlige retten til å behandle opplysningene, og de skal slettes, se § 27


Laste ned ppt "Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum."

Liknende presentasjoner


Annonser fra Google