Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN

Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens regler Heller ikke mulig å trekke sikre generelle slutninger ut i fra type informasjonssystem I tillegg til personopplysningsloven kan det gjelde særlover som regulerer behandling av personopplysninger innen bestemte forvaltningsområder. Særlovgivning som regulerer vedkommende forvaltningsområde (ligningslov, folketrygdlov, tollov mv) kan også ha særlig betydning fordi de –sier noe om hvilke opplysninger som er nødvendige for å treffe enkeltvedtak –gir saksbehandlingsregler for øvrig som bør ses i sammenheng med personopplysningslovens regler Også forvaltningsloven og offentlighetsloven er relevante å ta hensyn til ved vurderingen etter pol

“Personopplysning” Beslutningssystemer Alle opplysninger som anvendes for å treffe enkeltvedtak er (normalt) personopplysning om parten(e) Logger mv knyttet til beslutningssystemet er (normalt) personopplysninger om saksbehandleren(e) Nettsider Opplysninger som publiseres på nettet er ofte personopplysninger Opplysninger som samles inn via nettet er (normalt) personopplysninger Opplysninger i logger er (normalt) personopplysninger

Sjekkliste, trinn 1 Gjelder loven for mitt informasjonssystem? –Beslutningssystemer: Ja, nesten uten unntak –Nettsider: Ja, nesten uten unntak –Hvem er “behandlingsansvarlig”?

Sjekkliste, trinn 2 Har jeg lovlig adgang til de opplysningene jeg ønsker å behandle (eller kan jeg skaffe det?) Beslutningsystemer –Lovhjemmel (delvis, indirekte) –Nødvendighet (ofte, jf § 8 bokstav e og § 9 bokstav b) –Samtykke (supplerende grunnlag) Nettsider –Lovhjemmel (sjelden, bare indirekte) –Nødvendighet (praktisk viktig; jf § 8 bokstav a, jf også § 9 bokstav d) –Samtykke (viktig(ste) grunnlag)

Sjekkliste, trinn 3 Hva kan forvaltningsorganet benytte PO til? –Både beslutningssystemer og nettsider må ha ett eller flere bestemte formål –For beslutningssystemer vil formål kunne ligge eksplisitt eller implisitt i særlovgivning, noe som kan begrense adgangen til å endre formålet, jf § 11 bokstav c.

Sjekkliste, trinn 4 Er personene tilstrekkelig sikkert identifiserte? –Beslutningssystemer: I praksis akseptert å benytte person-/fødselsnummer Uklart hva som kan godtas av biometriske identifikasjonsmetoder –Nettsider Normalt anledning til å benytte person-/nummer dersom det skal inngis opplysninger som skal utgjøre grunnlag for vedtak Den enkelte kan frivillig benytte de identifikasjonsmidler de ønsker (samtykke)

Sjekkliste, trinn 5 Hva er tilfredsstillende sikkerhetstiltak? –Avhenger av en konkret vurdering –Sikkerhetskravene vil normalt være strengere i relasjon til beslutningssystemer enn i relasjon til nettsider –Sikkerhetsspørsmålenes innhold avhenger i stor grad om det er tale om Internett-baserte rutiner eller ikke

Sjekkliste, trinn 6 Er jeg sikker på at jeg vil komme til å etterleve loven? –Internkontroll for beslutningssystemer må gjennomføres for å sikre etterlevelse av krav i: vedkommende særlov med forskrifter personopplysningslov med forskrifter forvaltningsloven, eventuelt offentlighetsloven mv konsesjoner og andre enkeltvedtak –Internkontroll for nettsider må gjennomføres for å sikre etterlevelse av krav i: personopplysningslov med forskrifter lov om opphavsrett forvaltningsloven, eventuelt offentlighetsloven mv eventuelle enkeltvedtak

Sjekkliste, trinn 7 Kan jeg starte behandlingen? –Beslutningssystemer Normalt ikke konsesjonsplikt selv om det skal behandles sensitive personopplysninger, jf § 33 fjerde ledd og særlovgivning Selv om unntak fra konsesjonsplikt, skal behandlingen normalt meldes –Nettsider Sjelden konsesjonsplikt Kan også være unntatt fra meldeplikt, jf pof §§ 7-11 og 7-12