Konsesjons- og meldeplikt Datatilsynets og Personvernnemndas oppgaver og myndighet Prof. Dag Wiese Schartum

Utgangspunkter for håndhevelsen av personopplysningsloven Generelle utgangspunkter - før og nå – : Bare lov å behandle personopplysninger i “personregistre” når det foreligger konsesjon (forhåndstillatelse) fra Datatilsynet [prinsippet ble gradvis svekket. Endret i 2001 med ny personopplysningslov] – ??: Lov å behandle personopplysninger med mindre det i loven foreligger særskilt krav til konsesjon [også restene av konsesjonsordningen står under press] Den enkelte er selv ansvarlig for å etterleve loven –Konsesjoner kan ses på som en “oversettelse” og konkretisering av de rettslige kravene i loven –Uten konsesjon kan det bli mer krevende for den behandlingsansvarlige å finne ut hvilke regler som gjelder, men… –hvis reglene følges får det ikke nødvendigvis særlige konsekvenser! [jf likevel tvangsmulkt, straff og erstatning] –…og med mindre konsesjon kan det bli mer kontroll, og risikoen for å avdekke ulovligheter øker!

Meldeplikt I utgangspunktet generell plikt til å melde all elektronisk behandling av personopplysninger + registre med sensitive opplysninger (dog unntak) Skal melde fra til Datatilsynet minst 30 dager før behandlingen starter Innebærer et det “etableres kontakt” med Datatilsynet Lagt til rette for elektronisk melding Innholdet av meldingen tilsvarer lagt på vei elementene i innsynsbestemmelsene (§ 18) og opplysningsplikten (§ 19) Skjer det endringer i behandlingsopplegget skal det sendes ny melding Skal uansett sendes melding etter 3 år Får kvittering på at melding er mottatt, men skjer ingen saksbehandling og gis ingen godkjenning

Konsesjon (forhåndstillatelse) eller ikke? Pro –Føre var –Veiledning/diskusjon –Forpliktende kontakt –Oppmerksomhet og debatt –Bremsende virkning –Verdifull kontakt med det praktiske liv Kontra –Dyrt og tidkrevende –Ikke effektivt –Krever oppfølging –Hemmende på IKT- og samfunnsutviklingen

Når er det krav til konsesjon? (hovedregler) Når det planlegges å behandle “sensitive personopp- lysninger”, jf § 2 nr 8 [rase, etnisitet, politikk, filosofi, religion, straff- bare handlinger, helseforhold, seksuelle forhold, fagforeningsmedlemsskap] –Nok at én opplysningstype er sensitiv for at konsesjons- plikten skal inntre –Gjelder ikke for personopplysninger som (frivillig) er avgitt uoppfordret Når Datatilsynet mener behandlingen “åpenbart vil krenke tungtveiende personverninteresser” –Forutsetter en konkret vurdering –Kan bare fastsette konsesjonsplikt i enkelttilfelle –Eks.: Automatiske bomstasjoner (se vedlegg) Den behandlingsansvarlige kan kreve avgjørelse av om det foreligger konsesjonsplikt eller ikke

Avgjørelser i saker om konsesjon Datatilsynet skal gjøre en avveining mellom personverninteresser og andre (motstående) interesser Skal undersøke om tiltak kan oppveie eventuelle ulemper Bare dersom ulemper ikke kan oppveies, kan konsesjonssøknaden avslås Dersom avslag blir gitt, kan saken klages inn for Personvernnemnda

Unntak fra konsesjonsplikten Unntak fra konsesjonsplikt i loven –Behandling i organ for stat eller kommune som er hjemlet i lov –Hjemmelen må være eksplisitt –Med eksplisitt hjemmel kan det neppe være et krav at det er organ for stat eller kommune som behandler [men det vil være den typiske situasjonen] Unntak i forskriften fra konsesjonsplikt og meldeplikt –Sensitive kundeopplysninger –Foreningers medlemsopplysninger (hvis samtykke og “naturlig sammenheng”) –Arbeidsgivers beh. av personellregistre mv. (som tilfredsst. visse nærmere vilkår) –Kommuners, kirkers og Stortingets behandling av opplysninger om (sine) offentlige representanter –Domstolenes behandling av personopplysninger –Datatilsynets og Personvernnemndas behandling av personopplysninger –Elev- og studentopplysninger ved skoler og universiteter mv –Opplysninger om barn i barnehager og skolefritidsordninger Unntak i forskriften fra konsesjonsplikt (men med meldeplikt) –Visse klientregistre mv –Hvitvaskingsregistre –Helse- og sosialpersonell uten autorisasjon eller lisens (på visse vilkår) –Helse- og sosialpersonell med autorisasjon eller lisens –Forskningsprosjekter (på visse vilkår; forslag om utvidet unntak er til høring)

Generelt om Datatilsynet og Personopplysningsnemnda Begge er uavhengige forvaltningsorganer som ikke kan instrueres Datatilsynet kan –Treffe vedtak om at konsesjon er nødvendig –Avgjøre søknader om konsesjon –Treffe enkeltvedtak om etterlevelse av loven –Ilegge tvangsmulkt Personvernnemnda avgjør klager på Datatilsynets vedtak Datatilsynet og Personvernnemnda har nødvendig tilgang til opplysninger, lokaler og bistand fra personell