Personvern i offentlig forvaltning DRI 1010 Gruppeundervisning 3: Krav til rettslig grunnlag 9./11. februar 2009 Jon Berge Holden Mona Naomi Lintvedt

Dagens tema – rettslig grunnlag Oversikt Lovhjemmel Samtykke Andre grunnlag Særlig om sensitive opplysninger

Rettslig grunnlag for behandling av personopplysninger Utgangspunkt – § 8, samtykke som hovedregel, men lov viktig for forvaltningen. Begge grunnlag dekker også sensitive opplysninger. § 8 – I tillegg § 9 for sensitive opplysninger Alternative grunnlag – Behandling av vanlige personopplysninger på nødvendighetsgrunnlag, bl.a. avtale, § 8 a myndighetsutøvelse, § 8 e interesseavveining, § 8 f – Behandling av sensitive opplysninger på nødvendighetsgrunnlag, bl.a. Frivillig har gjort allment kjent, § 9 d Arbeidsrettslige plikter, § 9 f

§§ 8, 9 - lovhjemmel Lov (§§ 8,9) – Kravet til klarhet er relativt, ses i forhold til personvernkonsekvensene. Personverntruslene er relevante for vurderingen, eks. – opplysningenes art, mengde – hvordan innhentes opplysningene, frivillig, informert? – opplysningenes kvalitet, – spredningspotensialet - eks. internett vs. manuell behandling – Sentral for forvaltningen – Har lovgiver vurdert behandlingen? Eks. aksjonærregisteretaksjonærregisteret

Eksempler – lovhjemler Statens lånekasse: Lov om utdanningsstøtte § 6 m.fl., forskriftLov om utdanningsstøtteforskrift Skatteetaten: Ligningsloven kap 4, skattebetalingsloven § 15-1Ligningsloven skattebetalingsloven § 15-1 Universitetet i Oslo: ForskriftForskrift ml ml

Merk: Ulike krav til lovhjemmel Rettslig grunnlag for behandlingen – §§ 8, 9 – “fastsatt i lov at...” – Har lovgiver vurdert om behandlingen kan skje? Konsesjonsplikt (sensitive oppl) – § 33 (fritak fra konsesjonsplikt) hvis hjemmel i ”egen lov” § 33 – Har lovgiver vurdert hvordan behandlingen skal innrettes, slik at nærmere bestemmelser (konsesjon) fra Datatilsynet ikke er nødvendig?

§ 8 - vilkår for behandling Lovhjemmel Informert, frivillig samtykke Nødvendighetsgrunner, bl.a. – Utøvelse av offentlig myndighet, § 8 e – Interesseavveining, § 8 f – Merk: Begrunnelse ut over hensiktsmessighet kreves, PVN Stami pkt 6.2PVN

Eksempler til diskusjon - andre grunnlag Samtykke - frivillig – PVN Esso, pkt Samtykkeerklæringer: Nettby, FacebookNettbyFacebook Avtaleinngåelse, PVN Interesseavveining etter § 8f – PVN Posten, pkt Personvernerklæring Vital sninger.html sninger.html

§ 8f - interesseavveining Behandlingsansvarliges interesse Hensynet til den registrertes personvern personvernøkende tiltak er relevante uavhengig systemrevisjon, eks. PVN bomstasjoner (vedtaket)PVN – Typen opplysninger, praksis PVN Subaru - adresseopplysningerPVN – Tilgangen, planlagt bruk eks. PVN : Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på togetPVN

§ 9 - behandling av sensitive Lovhjemmel, Frivillig, informert samtykke, eller En av nødvendighetsgrunnene i § 8 og – c) til h) c) til h) ”Datatilsynet kan bestemme at sensitive personopplysninger kan behandles også i andre tilfeller dersom viktige samfunnsinteresser tilsier det og det settes i verk tiltak for å sikre den registrertes interesser.”

Meldeplikt og konsesjonsplikt Meldeplikt før behandling starter etter § 8 Meldeplikt Konsesjonsplikt for sensitive opplysninger § 9 og ”Datatilsynet kan bestemme […] dersom behandlingen ellers åpenbart vil krenke tungtveiende personverninteresser […] bl.a. ta hensyn til personopplysningenes art, mengde og formålet med behandlingen” Konsesjonsplikt Unntak både i lov og forskriftforskrift

Annet … Behandlingsansvar, sensitive opplysninger, tilsyn Kronikk fra fange: Svar fra DT: Svar fra Kriminalomsorgen: Replikk fra DT: Sesam - kart med gatebilder treetview=true Lidl overvåking av ansatte Deutsche telekom overvåking av ansatte