Grunnleggende begreper i person-opplysningsloven og lovens virkeområde Dag Wiese Schartum, AFIN

Generelt om legaldefinisjonene i personopplysningsloven Legaldefinisjon av ord og fraser forekommer i mange lover, og innebærer at det i loven fastsettes hva meningsinnholdet av ordet/frasen skal være I personopplysningsloven er det ni legaldefinisjoner; i § 2 (generelle definisjoner) og § 36 (én definisjon vedr. kameraovervåking) Det er ikke mulig å forstå loven uten å kjenne legaldefinisjonene Dessverre står ikke alle definisjonselementene i loven, men blir supplert av lovforarbeider I pensum er alle definisjonselementer gitt en samlet fremstilling. Likevel kan det være lurt å ta en titt på forarbeidene. Dette gjør dere best ved å gå inn på Lovdata online Personvernforordningen har 26 legaldefinisjoner (!) 8 av 9 definisjoner i personopplysningsloven finnes også i forordningen De fleste øvrige definisjoner i forordningen er mindre sentrale enn de i den gjeldende personopplysningsloven

Nærmere om legaldefinisjoner i personopplysningsloven Eksempel på hvordan legaldefinisjoner brukes i lovteksten: ”§ 11. Grunnkrav til behandling av personopplysninger Den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare behandles når dette er tillatt etter § 8 og § 9, bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker, […]” For hver forekomst av et definert ord/frase må vi lese inn hele definisjonen Viktig at dere er klar over hva som er legaldefinert De fleste definisjonene er preget av at loven er formulert på en teknologi- uavhengig måte. Definisjonene beskriver ulike sider ved teknologibruk, men uten å bruke et eneste ”teknologisk” ord. Kan derfor virke fremmed. Flere av definisjonene i personopplysningsloven er felles med definisjoner i andre lover (helseregisterlov, helseforskningslov, politiregisterlov), men mindre forskjeller kan forekomme!

Definisjoner av de viktigste aktørene i loven Dette er eksempler på legaldefinisjoner. Jeg gjennomgår de viktigste her. Lær alle! (se §§ 2 og 36) “Registrert: den som en personopplysning kan knyttes til” Er den som skal vernes og som har rettigheter etter loven Er alltid en fysisk person Kan la seg representere av en annen (fullmektig) “Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes” Kan være en fysisk person eller en virksomhet Er den de fleste plikter i loven er knyttet til Er ofte den med øverst instruksjonsmyndighet Er ofte den som må sakssøkes ved rettstvist I særlovgivning kan det være fastsatt direkte hvem som er behandlingsansvarlig (og da blir ikke definisjonen viktig) “Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige” (jf oppdragsgiver – oppdragstaker) er alltid en ekstern person eller virksomhet er i praksis en som ikke kan instrueres men som må styres gjennom avtale, jf pol § 15

“Personopplysning” Person- opplysning Fysisk person - levende personer - jf juridiske personer - jf enkeltmannsbedrifter - unntak for visse kredittopplysninger Opplysning - humant materiale Fakta, vurderinger, løgn mv skrift, lyd, bilde mv Person- opplysning Identifiserbar person - en bestemt person - må kunne identifiseres relativt sikkert, jf hjelpemidler Alle “rimelige” hjelpemidler Nok med mulig tilknytning Loven skiller ikke mellom opplysningstype og -verdi, men dette skillet kan være nyttig Sensitive personopplysninger: Slike som er listet opp i § 2 nr 8, se neste bilde

Sensitive personopplysninger Opplysninger om: a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger For sensitive personopplysninger gjelder det strengere krav til behandlingsgrunnlag (§ 9) og konsesjonsplikt (§ 33, men unntak i forskrift)

“Personopplysning” - noens personlige forhold, jf taushetsplikt Fvl § 13: Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1) noens personlige forhold, ... Pol § 2, a: Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson Særlig rettslig grunnlag (§ 9) Konsesjonsplikt (§ 33) (vanligvis taushetspliktige) Sensitive opplysninger Andre taushets- pliktige opplys- ninger Øvrige Noens personlige forhold (taushetsplikt) (innsyn)

“Behandling” “Behandling av personopplysninger” En serie av slike operasjoner = “behandlinger” Ofte naturlig å sette likhetstegn mellom “en behandling” og “ et system”, men er ikke helt det samme Alle operasjoner som kan utføres på personopplysninger (innsamling, bearbeiding, lagring, videresending osv) “Behandling av personopplysninger” Helt eller delvis elektronisk behandling Manuell behandling i “personregister” Manuell behandling av opplysninger som skal inn i et “personregister” Det spiller ingen rolle hvilket uttrykk person- opplysningene har / hva slags medium som anvendes (skrift, lyd, bilde mv)

Saklig virkeområde (hva gjelder loven for?) Loven gjelder for a) behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og b) annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister. c) alle former for kameraovervåking, slik dette er definert i § 36 første ledd Personverndirektivet gjelder bl.a. ikke for behandling som gjelder offentlig sikkerhet, forsvar, statens sikkerhet (herunder statens økonomiske interesser når behandlingen er forbundet med spørsmål om statens sikkerhet) og statens virksomhet på det strafferettslige område Personopplysningsloven inneholder ikke tilsvarende unntak, men unntar dels i forskrift (§ 1-3) og dels i særlovgivning (bl.a. som lex superior) Personvernforordningen inneholder omtrent de samme typer unntak som i direktivet

Viktige unntak fra saklig virkeområde Behandling for rent personlige eller andre private formål er fullstendig unntatt Jf. direktivet: ”rent personlige eller familiemessige aktiviteter” (art. 3(2)) Vesentlige unntak for å beskytte ytringsfrihet mv, se § 7 ”utelukkende for kunstneriske, litterære eller journalistiske formål” (tidligere var også «opinionsdannende» formål unntatt) Bare §§ 13 – 15 (informasjonssikkerhet, internkontroll, databehandleravtaler), og kap. VII (kameraovervåking) gjelder Behandling av personopplysninger i rettspleien, jf pof § 1-3 ”Personopplysningsloven gjelder ikke for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.).” Dessuten enkelte begrensede unntak etter pof § 1-1 (Riksrevisjonen) og § 1-2 (rikets sikkerhet)

Stedlig virkeområde (hvor gjelder loven?) Loven gjelder for behandlingsansvarlige som er etablert i Norge Dersom behandlingsansvarlige ikke er etablert i Norge, men i et annet EØS-land, gjelder vedkommende lands lov (selv om behandlingen skjer i Norge) Loven gjelder også for behandlingsansvarlige som er etablert i stater utenfor EØS-området dersom den behandlingsansvarlige benytter hjelpemidler i Norge (men ikke dersom det kun skjer overføring) Hva vil det si å være “etablert”? Utøve en aktivitet, gjennom fast organisatorisk infrastruktur, over ubestemt tidsrom Personvernforordningen art. 3 gjør vesentlige utvidelser av stedlig virkeområde: Så lenge behandlingsansvarlige er etablert i EU spiller det ingen rolle hvor selve behandlingen av personopplysninger skjer Selv om behandlingsansvarlige ikke er etablert i EU, gjelder forordningen for a) tilbud av varer å tjenester til registrerte i EU og b) overvåking av aktiviteter registrerte i EU gjør når aktiviteten finner sted i EU