Personopplysningsloven: -innhold, styrker og svakheter Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO

Personverninteresser (og -krav) Interessen i selvbestemmelse Jf aml § 9-1! Interessen i forholdsmessig kontroll Interessen i innsyn og kunnskap Personvern: personlig integritet privatlivets fred opplysningskvalitet (pol § 1) Interessen i brukervennlig behandling Interessen i opplysnings- og behandlings- kvalitet

“Personopplysning” Person- opplysning Opplysning - humant materiale Fysisk person - jf juridiske personer - jf enkeltmannsbedrifter -unntak for visse kredittopplysninger Fakta - opplysninger Person- opplysning Identifikasjon - en bestemt person må kunne identifiseres Alle “rimelige” hjelpemidler Nok med mulig tilknytning Sikker tilknytning til person

“Behandling” “Behandling av personopplysninger” Alle operasjoner som kan utføres på PO (innsamling, bearbeiding, lagring, videresendelse osv) Må inneforstå en serie av slike operasjoner “behandlinger” Ofte naturlig å sette likhetstegn mellom “en behandling” og “ et system” “Behandling av personopplysninger” Helt eller delvis elektronisk behandling Manuell behandling i “personregister” Det spiller ingen rolle hvilket uttrykk person- opplysningene har / hva slags medium som anvendes (skrift, lyd, bilde mv) Manuell behandling av opplysninger som skal inn i et “personregister” “Behandlingsansvarlig”, jf § 2 nr 4 Den som behandler formål og hjelpemidler … er den øverste ledelsen i en virksomhet Kan være vanskelig å avgjøre hvem dette er!

Krav til rettslig grunnlag alltid Rettslig grunnlag er nødvendig for at behandlingen av personopplysninger skal være lovlig, jf §§ 8 og 9. Samtykke Lovhjemmel “Nødvendig grunn” Lovens hovedregel. Må være frivillig, utrykkelig og informert, jf § 2 nr 7 tilbaketrekking! kollektivt? Eksplisitt eller implisitt hjemmel? Bare de loven angir. Kreves selvstendig rettslig grunnlag for å behandle sensitive personopplysninger, jf § 9

Krav til formålsangivelse Det må alltid fastsettes et eller flere formål for behandlingen (§ 11 bokstav b) Formålet må være saklig begrunnet i den behandlingsansvarliges virksomhet All behandling av personopplysninger må skje til slike formål Nye formål kan bare aksepteres hvis ikke “uforenlig med det opprinnelige formålet for innsamlingen (men hva i all verden betyr det?) Oversikt over øvrige grunnkrav Krav til opplysningskvalitet: § 11 bokstavene d og e og § 14, jf § 27 Konsesjons- og meldeplikt (pol kap. VI) Krav til entydig identifisering, § 12 Krav til informasjonssikkerhet, § 13 Krav til internkontroll, § 14

Oversikt over andre viktige bestemmelser i loven En rekke bestemmelser gir den enkelte rettigheter: Særlige regler om fjernsynsovervåking Særlige regler om overføring av personopplysninger til utlandet Viktige regler om Datatilsynets og Personvernnemdas myndighet Generelt innsyn (i informasjonssystemer) Individuelt innsyn (i opplysninger om egen person) Krav på informasjon (om informasjonsinnsamling og “profiler”) Rett til å reservere seg mot markedsføringshenvendelser (Brønnøysund) Rett til å få opplysninger, rettet, slettet og supplert Rett til å bli varslet om fjernsynsovervåking

Kort om arbeidsmiljøloven, kap. 9 Legger generelle begrensninger på arbeidsgivers plikt til å iverksette kontrolltiltak (§ 9-1 (1)) - men sier ikke hva “kontroll” er! Sier at personopplysningsloven gjelder (§ 9-1 (2)) - men det kunne trengs (!), særlig mht “rettslig grunnlag”, jf personopplysningsloven §§ 8 og 9 Introduserer plikt til drøfting, informasjon og evaluering (§ 9-2) Introduserer begrensninger vedr. helseundersøkelser og innsamling/bruk av helseopplysninger om ansatte BØR ENDRES! Jf http://www.odin.dep.no/filarkiv/217449/Rapport_-_kontroll_og_overvaking.pdf - Rapport om kontroll og overvåking i arbeidslivet fra underutvalg til Arbeidslivslovutvalget