Personvern som del av enkeltsaksbehandling i offentlig forvaltning Dag Wiese Schartum

Betydningen av særlov, personopplysningsloven og forvaltningsloven ved behandling av enkeltvedtak Særlov (f.eks. kontantstøtteloven) Personopplysningsloven Forvaltningsloven Gir materielle regler; dvs. angir hvilke personopplysninger mv. som er relevante som grunnlag for enkeltvedtak, og behandlings-reglene som må følges for å nå frem til gyldig enkeltvedtak Gir bl.a. rammer for hvilke personopplysninger som kan behandles, på hvilken måte dette kan/skal skje og hvilke plikter og rettigheter som skal gjelde for å ivareta den registrertes personvern Gir prosessuelle regler for å sikre at de materielle reglene i særloven blir fulgt for å ivareta partens rettssikkerhet Kontantstøtte ytes for barn mellom 1 og 2 år som er bosatt i riket, og som ikke eller bare delvis gjør bruk av barnehageplass som det ytes offentlig driftstilskudd for Den behandlingsansvarlige skal sørge for at personopplysningene … bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet Part som ikke allerede ved søknad eller på annen måte har uttalt seg i saken, skal varsles før vedtak treffes og gis høve til å uttale seg innen en nærmere angitt frist Betyr at alle tre regelsett må bli anvendt paralellt og i sammenheng Særlover kan inneholde særlige bestemmelser som går foran personopplysningsloven og forvaltningsloven

Særlov (f.eks. kontantstøtteloven) Personopplysningsloven Forvaltningsloven Gir materielle regler: Hvilke personopplysninger Hvilke behandlingsregler Regler om personopplysningsvern Setter rammer for hva IKT-systemet kan behandle personopplysninger Gir dessuten andre regler Prosessuelle regler Setter noen få rammer for hva IKT-systemet kan behandle av personopplysninger Kan forøvrig implementeres i systemet, men ikke vanlig Er ofte gjenstand for automatisert rettsanvendelse i IKT-systemer Punkt 1 skal ha betydning for systemutforming Punkt 2 kan være gjenstand for automatiserte prosedyrer (jf. innebygget personvern) Taushetsplikter skal ha betydning for systemutforming, jf. punkt 1 Punkt 2 kan være gjenstand for automatiserte prosedyrer, men ikke vanlig Skal saksbehandlingen automatiseres/digitaliseres, må punkt 1 i alle kategorier + punkt 2 vedrørende særlov tas stilling til som del av systemutviklingen: Hvilke personopplysninger skal behandles, hvordan skal det skje, og innenfor hvilke rammer?

“Fra lov til handling” - forutsetninger Vi har klargjort hvilke særlov som regulerer det materielle innholdet for den aktuelle typen enkeltvedtak Forvaltningsloven gjelder «den virksomhet som drives av … et hvert organ for stat eller kommune» «vedtak som gjelder rettigheter eller plikter til en eller flere bestemte personer» (§ 2 bokstav b, jf. bokstav a) Personopplysningsloven gjelder Saklig virkeområde (§ 3) Geografisk virkeområde (§ 4)

“Fra lov til handling” - systemutvikling Rettslig spørsmål som må løses som ledd i systemutviklingen Klargjøring av roller og ansvar Er det klart hvem som har behandlingsansvar? (jf. pol § 2 nr. 4) Skal det brukes databehandler(e), og er det i så fall inngått databehandleravtale? (jf. pol § 2 nr. 5 og § 15 Etterlevelse av grunnkrav til behandlingen av personopplysninger mv. Er noen opplysninger underlagt taushetsplikt? (jf. fvl § 13 flg.) Har vi rettslig grunnlag for å behandle personopplysninger etter pol § 8? Skal det behandles sensitive personopplysninger og har vi rettslig grunnlag etter pol § 9? Skal personopplysningene overføres til tredjeland og har vi rettslig grunnlag for dette? (jf. §§ 29 og 30) Er det fastsatt ett eller flere formål for behandlingen? (jf. pol § 11 bokstavene b og c) Gir systemløsningen tilfredsstillende opplysningskvalitet mv, jf formålet (jf. § 11 bokstavene d og e) Klarlegge hvor lenge opplysningene kan lagres (jf. pol § 28) Krav til prosedyrer og tillatelser Er behandlingen konsesjonspliktig, og foreligger i så fall konsesjon? (jf. pol § 33 flg.) Er behandlingen meldepliktig, og er i så fall melding sendt? (jf. pol §§ 31 og 32) Er det etablert internkontrollrutiner? (jf. pol § 14) Er det gjennomført risikovurdering og iverksatt nødvendige sikkerhetstiltak? (jf. pol § 13)

“Fra lov til handling” - løpende saksbehandling Rettslig spørsmål som må løses som ledd i den løpende enkeltsaksbehandlingen Registrertes rettigheter Imøtekomme krav til samtykke, jf. § 2 nr. 7 Imøtekomme krav om innsyn, jf. § 18 annet og tredje ledd Imøtekomme krav om begrunnelse for automatiserte avgjørelser (jf. pol § 22) Imøtekomme krav om manuell behandling (jf. pol § 25) Imøtekomme krav om retting og sletting, jf. §§ 27 Behandlingsansvarliges plikter overfor registrerte personer Etterleve informasjonsplikt ved innsamling av opplysninger fra den registrerte (pol § 19) Etterleve informasjonsplikt ved innsamling av opplysninger fra andre enn den registrerte (pol § 20) Etterleve informasjonsplikt ved bruk av personprofiler (pol § 21)