Dag Wiese Schartum, AFIN Personopplysningsloven: -”personopplysning” og grunnleggende krav til behandling av personopplysninger Dag Wiese Schartum, AFIN

Generelt Personopplysningsloven er (nesten) alltid relevant ved utvikling av informasjonssystemer som skal behandle “person-opplysninger” Loven er basert på EU-direktiv om personvern som er mønster for lovgivningen i de 25 EU-landene + 3 EØS-land Kan du hovedtrekkene i personopplysningsloven (pol), kan du hovedtrekkene i “all” europeisk persovernlovgivning! Personopplysningslovens (pol) § 1 er en formålsbestemmelse som definerer personvern og som skal brukes aktivt ved fortolkning av loven. Store deler av loven er av interesse i tilknytning til utvikling av informasjonssystemer som skal behandle personopplysninger.

Hovedelementer i loven Definisjoner og virkeområde (7.2) Grunnkrav til behandling av personopplysninger (7.2, I:8.3) Melde- og konsesjonsplikt (8.2) Bestemmelser om innsyn og åpenhet (14.2) Bestemmelser om overføring av personopplysninger til utlandet (tredjeland) Fjernsynsovervåking (14.2) Datatilsynet og personvernnemnda (8.2) Straff og erstatningsansvar

“Personopplysning” Person- opplysning Opplysning - humant materiale Fysisk person - jf juridiske personer - jf enkeltmannsbedrifter -unntak for visse kredittopplysninger Fakta - opplysninger Person- opplysning Identifikasjon - en bestemt person må kunne identifiseres Alle “rimelige” hjelpemidler Nok med mulig tilknytning Sikker tilknytning til person

“Behandling” “Behandling av personopplysninger” Alle operasjoner som kan utføres på PO (innsamling, bearbeiding, lagring, videresendelse osv) Må inneforstå en serie av slike operasjoner “behandlinger” Ofte naturlig å sette likhetstegn mellom “en behandling” og “ et system” “Behandling av personopplysninger” Helt eller delvis elektronisk behandling Manuell behandling i “personregister” Det spiller ingen rolle hvilket uttrykk person- opplysningene har / hva slags medium som anvendes (skrift, lyd, bilde mv) Manuell behandling av opplysninger som skal inn i et “personregister” “Behandlingsansvarlig”, jf § 2 nr 4 Den som behandler formål og hjelpemidler … er den øverste ledelsen i en virksomhet Kan være vanskelig å avgjøre hvem dette er!

Definisjoner av de viktigste aktørene i loven “Registrert: den som en personopplysning kan knyttes til” Er den som skal vernes og som har rettigheter etter loven Er alltid en fysisk person “Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes” Kan være en fysisk person eller en virksomhet Er den de fleste plikter i loven er knyttet til “Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige” er alltid en ekstern person eller virksomhet

Krav til rettslig grunnlag alltid Rettslig grunnlag er nødvendig for at behandlingen av personopplysninger skal være lovlig, jf §§ 8 og 9. Samtykke Lovhjemmel “Nødvendig grunn” Lovens hovedregel. Må være frivillig, utrykkelig og informert, jf § 2 nr 7 tilbaketrekking! kollektivt? Eksplisitt eller implisitt hjemmel? Bare de loven angir. Kreves selvstendig rettslig grunnlag for å behandle sensitive personopplysninger, jf § 9

Krav til formålsangivelse Det må alltid fastsettes et eller flere formål for behandlingen (§ 11 bokstav b) Formålet må være saklig begrunnet i den behandlingsansvarliges virksomhet All behandling av personopplysninger må skje til slike formål Nye formål kan bare aksepteres hvis ikke “uforenlig med det opprinnelige formålet for innsamlingen (men hva i all verden betyr det?) Oversikt over øvrige grunnkrav Krav til opplysningskvalitet: § 11 bokstavene d og e og § 14, jf § 27 Konsesjons- og meldeplikt (pol kap. VI) Krav til entydig identifisering, § 12 Krav til informasjonssikkerhet, § 13 Krav til internkontroll, § 14

Oversikt over andre viktige bestemmelser i loven En rekke bestemmelser gir den enkelte rettigheter: Særlige regler om fjernsynsovervåking Særlige regler om overføring av personopplysninger til utlandet Viktige regler om Datatilsynets og Personvernnemdas myndighet Generelt innsyn (i informasjonssystemer) Individuelt innsyn (i opplysninger om egen person) Krav på informasjon (om informasjonsinnsamling og “profiler”) Rett til å reservere seg mot markedsføringshenvendelser (Brønnøysund) Rett til å få opplysninger, rettet, slettet og supplert Rett til å bli varslet om fjernsynsovervåking