Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Krav til rettslig grunnlag for behandling av personopplysninger («behandlingsgrunnlag») Dag Wiese Schartum.

PublisertLisbeth Simonsen Endret for 6 år siden

Liknende presentasjoner

Presentasjon om: "Krav til rettslig grunnlag for behandling av personopplysninger («behandlingsgrunnlag») Dag Wiese Schartum."— Utskrift av presentasjonen:

1 Krav til rettslig grunnlag for behandling av personopplysninger («behandlingsgrunnlag»)
Dag Wiese Schartum

2 Innledende bemerkninger
“Rettslig grunnlag” for å behandle personopplysninger (eller «behandlings-grunnlag»), er betegnelsen på et av flere krav som må være oppfylt for at personopplysninger kan behandles på lovlig måte, jf også § 11 Tilsvarer det som i loven kalles “vilkår for å behandle personopplysninger”, og reguleres av §§ 8 og 9 Enhver behandling av personopplysninger må ha et rettslig grunnlag i samsvar med § 8 Kun behandling av sensitive opplysninger (jf § 2 nr 8) må ha behandlingsgrunnlag etter § 9 Innebærer at sensitive personopplysninger må ha behandlingsgrunnlag etter både § 8 og § 9

3 Oversikt over typer rettslig grunnlag
Lovhjemmel Dvs. når det er klart bestemt i loven at personopplysninger kan samles inn og behandles Samtykke Dvs. når den registrerte godtar at opplysninger blir samlet inn og behandlet av behandlingsansvarlige Når det er “nødvendig” (“nødvendig grunn”) Generelt: når behandlingen er omfattet av (minst) én av de nødvendige grunner som loven angir i § 8 bokstavene a – f For sensitive personopplysninger er det de nødvendige grunnene som er nevnt i § 9 bokstavene a – h som gjelder Opplysninger som “den registrerte selv frivillig har gjort alminnelig kjent” (§ 9 bokstav d) Gjelder bare for sensitive personopplysninger Den registrerte må selv ha gjort noe aktivt for at opplysningene skal bli kjent Hver behandling av personopplysninger kan trenge flere typer rettslig grunnlag (den behandlingsansvarlige har f.eks. lovhjemmel for å behandle noen opplysninger, mens andre opplysninger trenger samtykke eller nødvendig grunn)

4 Lov “Lov” kan bare være rettslig grunnlag dersom det i lov, eller i forskrift som er gitt i medhold av lov, klart er bestemt at person-opplysninger kan samles inn og behandles Slike bestemmelser finnes typisk i “registerlover”, jf forelesningen den 18.01, for eksempel: Strpl. § 160a. Kongen kan beslutte at det skal opprettes et sentralt register over DNA- profiler. Registeret kan inneholde DNA-profiler til personer som er dømt for […] Folkereg.l. § 1. Det skal være ett sentralt folkeregister for Norge. I Det sentrale folkeregister registreres alle personer som: a) er eller har vært bosatt i Norge, b) er født i Norge, c) har fått tildelt fødselsnummer eller D-nummer. Det er i stor grad offentlig forvaltning som har slike lovhjemler, og det er mange av dem! Det er ikke tilstrekkelig for å ha lovhjemmel at det i en lov eller forskrift er bestemmelser som stilltiende forutsetter innsamling mv av person- opplysninger

5 Samtykke Dersom det ikke foreligger lovhjemmel, er må det som regel innhentes samtykke fra den registrerte, se s 8 (nedenfor) Samtykke må tilfredsstille tre krav for å være gyldig (§ 2 nr 7): Frivillig: Det kan ikke være knyttet tvang eller sanksjoner til et samtykke Likevel vanskelig å sikre full frivillighet i streng forstand fordi “alle” innretter seg på samme måte og gir bedre tilbud til den som anvender IKT Frivillighet har særlig vært ansett som problem i arbeidsforhold Uttrykkelig: Samtykket må vises gjennom en aktiv handling fra den registrerte Ingen formkrav (dvs underskrift e.l.), bruk av ikoner mv er nok Kan tenkes muntlig samtykke, men lite brukbart Stilltiende og “konkludent” samtykke godtas ikke Må ha tilstrekkelig sikkerhet for at det er rett person som samtykker (jf § 13) samtykke, fortsetter neste side

6 samtykke, fortsetter neste side
Samtykke (forts. I) Informert: Den registrerte (og en eventuell representant) skal ha informasjon som klart viser hva samtykket omfatter Informasjonen må gis før selve samtykket gis Informasjonen må normalt inneholde opplysninger om (jf § 19): a) Hvilke opplysningstyper det gjelder b) navn og adresse på den behandlingsansvarlige og dennes eventuell representant, c) formålet med behandlingen, d) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, e) det er frivillig å gi fra seg opplysningene, og f) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f.eks. informasjon om retten til å kreve innsyn, jf. § 18, og retten til å kreve retting, jf. § 27 og § 28 Samtykke kan skje ved fullmakt Er ”kollektivt samtykke” mulig (f.eks. i arbeidslivet)? samtykke, fortsetter neste side

7 samtykke, fortsetter neste side
Samtykke (forts. II) Kan mindreårige samtykke? Kan/må foreldrene samtykke eller kan barn/ungdom samtykke på egenhånd? Her må bestemmelsene i personopplysningsloven ses i sammenheng med barneloven (jf særlig §§ 31 og 33) Loven stiller ikke opp noen bestemte aldersgrenser for når mindreårige kan samtykke Barns adgang til selv å samtykke avhenger i utgangspunktet av barnets alder og modenhet, dvs. skjønnsmessig avgrenset: «Foreldra skal gje barnet stendig større sjølvråderett med alderen og fram til det fyller 18 år.» (barnelova § 33) I en digital verden kan det imidlertid være vanskelig å vurdere individuelt Likevel klart at mindreårige kan samtykke i visse situasjoner, se neste side samtykke, fortsetter neste side

8 Samtykke (forts. III) Ungdom kan trolig samtykke alene til å behandle personopplysninger som er knyttet til forhold de har bestemmelsesrett over (15 år: medlemskap i foreninger, valg av utdanning mv, se barnelova § 32) Fra 15-/16-års alder vil ungdom ofte kunne samtykke på egenhånd (men også mulig tidligere) Uansett alder skal barn og ungdom alltid høres før foreldre tar avgjørelser på deres vegne (forutsatt at de er gamle nok til å forstå/gjøre seg opp en mening) Absolutt (men skjønnsmessig) skranke: «Personopplysninger som gjelder barn, skal ikke behandles på en måte som er uforsvarlig av hensyn til barnets beste.» (§ 11 siste ledd) Forordningen (noe forenklet): Ungdom mellom 16 og 18 år kan samtykke alene til behandling av personopp- lysninger i forbindelse med betalte elektroniske tjenester som de har anmodet om Medlemsstatene kan bestemme at det samme kan skje for ungdom mellom 13 og 16 år når det er autorisert av en forelder

9 Nødvendig grunn Det er bare de grunner som loven anerkjenner som kan være rettslig grunnlag De nødvendige grunnene som er nevnt i § 8 er forskjellige fra de som er nevnt i § 9 (gjennomgår ikke grunnene i § 9 her) Nødvendige grunner i § 8: a) å oppfylle en avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås (kjøp, arbeidsavtale mv), b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse (forpliktelse i lov, konvensjon e.l.), c) å vareta den registrertes vitale interesser (særlig liv og helse), d) å utføre en oppgave av allmenn interesse (forskning, statistikk, historie), e) å utøve offentlig myndighet (enkeltvedtak, dømmende virksomhet mv), eller f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Husk at bestemmelsene ikke kan fortolkes ut i fra en vanlig språklig forståelse, men må leses ut i fra forarbeider, praksis mv

10 Nødvendig grunn eller samtykke?
To avgjørelser i Personvernnemnda illustrerer rettsutvikling på området: (PVN 2004/01 (Statens Arbeidsmiljøinstitutt – STAMI) “For at man skal kunne gjøre et avvik fra hovedprinsippet [om samtykke], må det […] foreligge en begrunnelse. Denne begrunnelsen kan […] ikke bare være en ren hensiktsmessighetsbetraktning, f eks å unngå kostnader, spare tid eller lignende – selv om slike begrunnelser selvsagt også må vurderes konkret i forhold til den enkelte sak.”) PVN 2012/01 (Barn med påførte dødelige skader) Oppsummert: Alle typer rettslige grunnlag i pol § 8 er i utgangspunktet likestilte. En kan derfor ikke generelt anse samtykke som hovedregelen. Er det liten trusselen mot personvernet, f.eks. fordi personenes identiteter er godt beskyttet, kan det f.eks. tale for å benytte annet rettslig grunnlag enn samtykke.

11 Bortfall av rettslig grunnlag
De ulike rettslige grunnlagene kan falle bort på ulike måter: Lovhjemmel kan falle bort fordi loven endres eller oppheves Samtykke kan når som helst trekkes tilbake Nødvendig grunn kan opphøre fordi situasjonen forandrer seg Dersom det rettslige grunnlaget faller bort, og det ikke finnes et alternativt rettslig grunnlag, mister den behandlingsansvarlige retten til å behandle opplysningene, og opplysningene skal slettes, se § 27

Laste ned ppt "Krav til rettslig grunnlag for behandling av personopplysninger («behandlingsgrunnlag») Dag Wiese Schartum."

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Hva er et vedtak, og hvem er part i en sak?

Hva er et "vedtak", og hvem er "part" i en sak?
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Etikk og nettvett i barnehagen

Etikk og nettvett i barnehagen
Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.

Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.
Krav til samtykke og informasjon.

Krav til samtykke og informasjon.
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)

Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Personopplysningslovens formål og grunnleggende begreper

Personopplysningslovens formål og grunnleggende begreper
Norm for informasjonssikkerhet Taushetsplikt

Norm for informasjonssikkerhet Taushetsplikt
Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier

Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier
E-post l Raskt l Oversiktlig? l Uformelt l Kan nå mange l Raskt l Uformelt l Upersonlig l Informasjons- oversvømmelse l Søppelmail l Overvåking.

E-post l Raskt l Oversiktlig? l Uformelt l Kan nå mange l Raskt l Uformelt l Upersonlig l Informasjons- oversvømmelse l Søppelmail l Overvåking.
Oppgave 2. Oppgave 2 a) De sentrale paragrafene her er §§ 2 og 31 i personopplysningsloven (herretter forkortet til p.o. loven) og § 7-16 i forskriften.

Oppgave 2. Oppgave 2 a) De sentrale paragrafene her er §§ 2 og 31 i personopplysningsloven (herretter forkortet til p.o. loven) og § 7-16 i forskriften.
Personopplysningsloven

Personopplysningsloven
Personopplysningsloven

Personopplysningsloven
Svekkes personvernet i skolen?

Svekkes personvernet i skolen?
Personopplysningsloven Morten S Hagedal

Personopplysningsloven Morten S Hagedal
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger

Liknende presentasjoner

Annonser fra Google