Personvern 18.10.06 - Rune V. Bråthen

Disposisjon Hva er personvern ? Hovedreglene i personopplysningsloven Kap I : Formål og virkeområde Kap II : Alminnelige regler Kap III : Informasjon Kap IV : Andre rettigheter Kap V : Overføring til utlandet Kap VI : Melding og konsesjon Kap VII : Fjernsynsovervåking Kap VIII : Tilsyn og sanksjoner Studentoppgaver / forskning

Personvern Kan karakteriseres som den interesse enkeltpersoner har i å ha kontroll med informasjon/opplysninger som beskriver dem Gi opplysninger Ikke gi opplysninger  Informasjon om hvordan innsamlede opplysninger anvendes viktig for å ivareta personvernet

Selvbestemmelse Utgangspunkter i lovverket : Du skal ikke behandle personopplysninger om meg, med mindre jeg har gitt et uttrykkelig samtykke til det Jeg har rett til å vite hva du vet om meg, hvorfor du sitter på opplysningene og hva du skal bruke opplysningene til

Trender/utvikling Spormengden blir komplett Alt vi gjør er sporbart. Spormengden tilgjengeliggjøres Kan samles og kobles Sporene brukes

Kriminalitetsbekjempelse Terror ”Patriot Act” Hvitvasking Overvåkingskameraer Etc

Personvernlovgivning Straffeloven Forvaltningsloven Helselovgivningen Etc…. Personopplysningsloven (pol)

Oversikt over pol Kap I : Formål og virkeområde Kap II : Alminnelige regler Kap III : Informasjon Kap IV : Andre rettigheter Kap V : Overføring til utlandet Kap VI : Melding og konsesjon Kap VII : Fjernsynsovervåking Kap VIII : Tilsyn og sanksjoner

Lovens bakgrunn - Erstatter personregisterloven (fra 1978) Bygger på EUs personverndirektiv (direktiv 95/46/EF) - Trådte i kraft 01.01.2001

Personopplysningsloven Forskjeller Personregisterloven Forhåndskontroll ”Enhver” behandling konsesjonspliktig Datatilsynet satte vilkår for bruk og oppbevaring Personopplysningsloven Etterkontroll Konsesjonsplikt kun for sensitive opplysninger Loven setter vilkår for bruk og oppbevaring

§ 1. Lovens formål - beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. - bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.

Opplysninger og vurderinger knyttet til en identifiserbar person ”Personopplysning” Opplysninger og vurderinger knyttet til en identifiserbar person - Navn, bilde, fødselsnummer, adresse, telefonnummer, ”dårlig betaler” Utenfor : - anonymisert - Forskjell fra ”avidentifisert” - juridiske personer

Enhver bruk av personopplysninger ”Behandling” Enhver bruk av personopplysninger - Innsamling - Registrering - Sammenstilling - Lagring - Utlevering - Kombinasjon av disse  

”Behandlingsansvarlig” ”Den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal benyttes” Privat sektor Offentlig sektor

Sensitive opplysninger Rasemessig/etnisk bakgrunn, Politisk/filosofisk/religiøs oppfatning Straffbare forhold Helseforhold Seksuelle forhold Fagforeningsmedlemskap Ikke sensitivt: - Økonomi Personnummer (men egen bestemmelse om dette)

Lovens virkeområde - § 3 Loven gjelder for Loven gjelder ikke elektronisk behandling av personopplysninger manuelle personregistre Loven gjelder ikke behandling av opplysninger til rent personlige eller private formål Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson

Lovens virkeområde – forts. Begrenset anvendelse : Journalistiske, kunstneriske eller litterære formål, jf § 7 Hensyn : Ytringsfriheten

Generelt forbud mot å behandle personopplysninger Hva er lov? Hovedregel: Generelt forbud mot å behandle personopplysninger Ingenting er lov

§ 11. Grunnkrav til behandling av personopplysninger Den behandlingsansvarlige skal sørge for at personopplysningene som behandles a) bare behandles når dette er tillatt etter § 8 og § 9, b) bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, c) ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker, d) er tilstrekkelige og relevante for formålet med behandlingen, og e) er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. §§ 27 og 28.

Behandlingsgrunnlag -§ 8 Samtykke - Frivillig - Uttrykkelig - Informert Lovhjemmel Nødvendig : - avtale - rettslig forpliktelse - vitale interesser - oppgave av allmenn interesse - utøve offentlig myndighet - interesseavveining

Formålsbestemthet § 11. Grunnkrav til behandling av personopplysninger        Den behandlingsansvarlige skal sørge for at personopplysningene som behandles a) bare behandles når dette er tillatt etter § 8 og § 9, b) bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, c) ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker, d) er tilstrekkelige og relevante for formålet med behandlingen, og e) er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. § 27 og § 28.

Retting - §27 Sletting - § 28 Uriktige, ufullstendige og opplysninger Eget tiltak eller på begjæring Sletting - § 28 Opplysninger som ikke lenger er nødvendige Unntak : lovpålagt lagring

Innsynsrett § 18 Enhver har rett til å vite om en virksomhet behandler opplysninger, formålet, hva slags opplysninger og hvor de er innsamlet. I tillegg kan vedkommende se opplysningene om seg selv, hvis han er registrert

Unntak fra innsyn - §23 opplysninger som utelukkende behandles for historiske, statistiske eller vitenskapelige formål, § 18 siste ledd skade rikets sikkerhet forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare forhold utilrådelig at den registrerte får kjennskap til opplysningene det i medhold av lov gjelder taushetsplikt for når det vil være i strid med åpenbare og grunnleggende offentlige eller private interesser

Skal gis uoppfordret (i motsetning til innsyn) Informasjonsplikt §§19,20 Skal gis uoppfordret (i motsetning til innsyn) Hvem, til hva, utlevert (hvem), frivilligheten og informasjon om rettigheter Samles opplysninger inn fra andre skal det opplyses hvem informasjonen er hentet fra Unntak - § 20 annet ledd - Lovpålagt innsamling eller formidling - Uforholdsmessig vanskelig å varsle - § 23

Generelt om innsyn og informasjon Kan kreves skriftlig, jf § 24 Svar innen 30 dager, jf § 16

Reservasjon mot direkte markedsføring - § 26 Gjelder for telefon og post ”Vaskeplikt” før førstegangs utsendelse, deretter 4 ganger årlig Unntak : Løpende kundeforhold Opinions- og markedsundersøkelser

Overføring til utlandet - §§ 29 og 30 Hovedregel : Kun til stater som sikrer forsvarlig behandling (EU/EØS-området) Unntak : Samtykke Avtale med den registrerte Lovhjemlet Forskriftsregulert : Safe Harbor EUs standardkontrakter

Begrenset krets (På arbeidsplassen) Kameraovervåking Saklig behov Merking Meldeplikt til Datatilsynet Begrenset krets (På arbeidsplassen) Særskilt behov Vurderes konkret, eks forebygge farlige situasjoner eller av hensyn til den ansattes sikkerhet

Informasjonssikkerhet og internkontroll - §§ 13 og 14 ------------------ Konfidensialitet Tilgjengelighet Integritet Doku.plikt Forholdmessig Internkontroll –§ 14 ----------------------- Plikt til å etablere systematiske rutiner som sikrer at lovens krav etterleves Doku.plikt Forholdsmessig

Meldeplikt eller konsesjonsplikt?

Lovens hovedregel Meldeplikt, § 31: Konsesjonsplikt, § 33: Elektronisk behandling av ikke-sensitive opplysninger Manuell behandling av sensitive opplysninger Skal sendes minst 30 dager før oppstart (Ikke PC og ikke sensitivt – Ingen melde/konsesjonsplikt) Konsesjonsplikt, § 33: Elektronisk behandling av sensitive opplysninger

Unntak fra konsesjonsplikt : Lovhjemlet behandling i organ for stat eller kommune. Etat/virksomhet - Hjemlende lov Barnevern - Barnevernloven § 3-1 (jf. kap. 4) Sosialtjenesten- Sosialtjenesteloven § 2-1 (jf. kap. 4, 5 og 6 Rusmiddeletaten- Sosialtjenesteloven kap. 6 PP-tjenesten- Opplæringsloven § 13-5, 1. ledd, jf. § 5-6 Familievernkontorer- Familievernkontorloven § 11, jf. § 1

Unntak : § 7-27. Forskningsprosjekter     Behandling av personopplysninger i forbindelse med et forskningsprosjekt er unntatt fra konsesjonsplikt etter personopplysningslovens § 33 første ledd dersom prosjektet er tilrådd av personvernombud. Omfatter prosjektet medisinsk og helsefaglig forskning, skal det i tillegg være tilrådd av en regional forskningsetisk komité.

Studentprosjekter Spørsmål : Skal/må det behandles personopplysninger eller kan arbeidet gjøres anonymt ? Navn ? Fødselsnummer ? Bilde/video ? Annet som gjør identifisering mulig ? Hvis anonymt – FRITT FRAM ingen meldingskrav ingen sikkerhetskrav ingen slettekrav Etc..

Studentprosjekter ved UiO : Personvernombud/kontaktinstans : Norsk Samfunnsvitenskapelig Datatjeneste (www.nsd.no)

Studentprosjekter ved UiO : Personvernombud/kontaktinstans : Norsk Samfunnsvitenskapelig Datatjeneste Meldeplikt ! Både dersom sensitive og ikke-sensitive opplysninger Kun unntak dersom ikke PC og ikke sensitivt Meldeskjemaet : Ansvarsforhold Hvem, hvor ? Prosjektinformasjon Hva, når, hvordan? Samtykke/informasjon Informasjonssikkerhet Avidentifisert?

Særspørsmål : Prosjekt utenlands Lydopptak Prosjektslutt Er formelt etablert i Norge (UiO), samme regler gjelder. Nødvendig med identitet ? Lydopptak Samme regler. Eventuelt transkriberes og fjerne identifiserende deler? Prosjektslutt Data slettes (eller oftere – Anonymiseres) Andre spørsmål ?