Hvordan ivareta personvernet ved skikkethetsvurderinger? 25.10.2018
Agenda Overblikk over relevante plikter og rettigheter etter personvernregelverket Behandling av personopplysninger i skikkethetsvurderinger Formål Lovlighet Praktisk eksempel personopplysninger i sosiale medier Behandling av tredjeparters personopplysninger i skikkethetsvurdering Krav til internkontroll og informasjonssikkerhet Rettigheter Innsynsretten Rett til retting Rett til sletting Spørsmål fra salen 2
Overblikk relevante plikter og rettigheter Virksomheten plikter Formål Lovlighet Informasjon- og åpenhet Internkontroll Informasjonssikkerhet Den registrertes rettigheter Innsyn Retting Sletting 3
Behandling av personopplysninger i skikkethetsvurderinger
Hva utgjør en «behandling» etter personvernregelverket? Art 4 nr. 2 - tolkes vidt «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring» Løpende skikkethetsvurderinger I den grad det utgjør en operasjon eller rekke av operasjoner som gjøres med personopplysninger Særskilte skikkethetsvurderinger basert på mottak av tvilsmelding Institusjonsansvarliges behandling på bakgrunn av tvilsmelding Behandling i skikkethetsnemnd Behandling av klagenemnd 5
Formål All behandling av personopplysninger må ha klart definerte formål Art. 5 nr. 1 b) Formålsbegrensningsprinsippet «Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene» Formålet med skikkethetsvurderinger - skikkethetsforskriften 2 første ledd: Vurdere om en studenten «utgjør en mulig fare for liv, fysisk og psykisk helse, rettigheter og sikkerhet til de pasienter, brukere, barnehagebarn, elever, eller andre studenten vil komme i kontakt med under praksisstudiene eller under fremtidig yrkesutøvelse» Særskilte kriterier etter utdanning - 3-5 6
Lovlighet krav til rettslig grunnlag (behandlingsgrunnlag) Personvernforordningen art 6 nr. 1 c) «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige» Særskilte kategorier av personopplysninger, art 9 nr. 2 «Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser» 7
Rettslig forpliktelse til å foreta skikkethetsvurderinger Lov om universitet og høyskoler 4-10 Enkelte utdanninger forutsetter vitnemål for fullført utdanning at studenten er vurdert som skikket for yrket. Dvs. plikt til å vurdere skikkethet for å kunne utstede vitnemål Forskrift om skikkethetsvurdering i høyere utdanning 2 annet ledd løpende skikkethetsvurdering «skal foregå gjennom hele studiet og skal inngå i en helhetsvurdering av studentens forutsetninger for å kunne fungere i yrket» tredje ledd særskilt skikkethetsvurdering «Hvis det er begrunnet tvil om en student er skikket» 8
Personopplysninger fra sosiale medier - problemstilling Kan institusjoner bruke personopplysninger fra sosiale medier? Hvordan kan institusjonene bruke opplysninger fra sosiale medier som meldes inn som tvilsmelding? Hvordan kan funn i sosiale medier brukes som bevis i skikkethetssaken? Beror på vurdering av formål og behandlingsgrunnlag OBS! Behandling av tredjepersoners personopplysninger må også oppfylle krav om lovlighet og formål. 9
Personopplysninger fra sosiale medier (forts.) Formål Hva er formålet med å benytte seg av personopplysningene som befinner seg i sosiale medier? avdekke hvorvidt studenten er skikket, dvs. om vedkommende «har de nødvendige forutsetningene for å kunne utøve yrket» Behandlingsgrunnlag Foreligger det rettslig plikt til å vurdere personopplysningene i sosiale medier? Uhl. 4-10: Institusjonen har plikt til å vurdere studentens forutsetninger for å kunne fungere i yrket Skikkethetsforskriften 2: Løpende skikkethetsvurdering skal foregå gjennom hele studiet, særskilt skikkethetsvurdering hvis det foreligger begrunnet tvil. 10
Behandling av tredjeparters personopplysninger Hvem er tredjeparter? Ikke den behandlingsansvarlige (institusjonen og dens representanter) Ikke den registrerte (studenten) Eksempler: Varsler - innsender av tvilsmelding Eier av sosiale medier-konto som personopplysningene om studenten er hentet fra Formål: Samme som ved behandlingen av personopplysningene til studenten? Må være lik for å kunne anvende samme hjemmel i uhl.: Vurdere skikketheten til studenten Behandlingsgrunnlag: Gjelder uhl. også behandling av personopplysninger til tredjeparter? Loven begrenser ikke mot bruk av tredjeparters personopplysninger i en skikkethetsvurdering. Der uhl. ikke kommer til anvendelse, kreves et annet behandlingsgrunnlag etter personvernforordningen art 6 nr. 1 Varsleres rettigheter skal ivaretas 11
Internkontroll og informasjonssikkerhet
Krav til internkontroll Art 24 den behandlingsansvarlige skal «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning» Virksomheter skal kunne dokumentere og demonstrere at de behandler personopplysninger i tråd med personvernregelverket. Det gjøres ved å etablere og vedlikeholde tiltak for å sikre at personopplysninger behandles i samsvar med regelverket internkontroll. For eksempel: Opplæring av ansatte Klare rutiner som sikrer etterlevelse av regelverket Gjennomgang av rutiner med jevne mellomrom Håndtering og oppfølging av avvik
Informasjonssikkerhetskrav Art 32 Den behandlingsansvarlige skal «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen» «Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.» Taushetsbelagte personopplysninger skal behandles konfidensielt Opplysninger om noens «personlige forhold» er taushetsbelagte etter fvl. 13 Konfidensialitet tilsier at uvedkommende ikke skal ha tilgang til opplysningene Viktig å bruke sikre linjer for varsling av tvilsmeldinger Datatilsynet har tidligere truffet vedtak om ileggelse av overtredelsesgebyr på grunn av utilstrekkelig informasjonssikkerhet i behandlingen av en students skikkethetsvurdering. Vern av varslere er vektlagt Varslingskanalen skal være sikret. 14
Den registrertes rettigheter
Informasjon og åpenhet personvernforordningen art 12-14 Virksomhetens plikter å informere den registrerte om behandlingen av personopplysninger Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis Både studenter og varslere må informeres om hvordan personopplysninger behandles. 16
Innsynsrett personvernforordningen art 15 Gjelder i utgangspunktet alle personopplysninger som behandles om den registrerte For eksempel i studentmappe, brukerprofil, saksmappe, e.l. Kan kreves innsyn i ustrukturert data Unntak: For eksempel notater, møtereferater, e-poster, e.l. Virksomheten kan imidlertid kreve spesifisering av hvilket ustrukturert data det kreves innsyn i. Innsynet vil krenke rettighetene og frihetene til andre Personopplysningsloven 16 inneholder en rekke unntak, Bl.a.: utilrådelig av hensyn til den registrerte selv eller andre som står vedkommende nær, taushetsbelagte opplysninger, intern saksforberedelse 17
Forholdet til innsynsretten etter offl. og fvl. Offentleglova: 3 Alle har rett til innsyn i «Saksdokument, journalar og liknande register for organet er opne for innsyn dersom ikkje anna følgjer av lov eller forskrift med heimel i lov.» 13-27 Unntak 11 Merinnsyn Forvaltningsloven: 18 Rett til partsinnsyn «En part har rett til å gjøre seg kjent med sakens dokumenter, for så vidt ikke annet følger av reglene i 18 til 19» Forholdet til personopplysningsloven: Utlevering av personopplysninger i henhold til offl./fvl. utgjør en behandling av personopplysninger Krever behandlingsgrunnlag i art 6 nr 1 Rettslig forpliktelseart. 6 nr 1 c Med hjemmel i offl. eller fvl. Dersom det foreligger unntak fra innsyn i disse lovene, vil art. 6 nr. 1 c) ikke komme til anvendelse. Det må da foreligge et annet grunnlag i art 6 nr. 1 for å kunne utlevere personopplysningene, f. eks. samtykke 18
Rett til retting personvernforordningen art 16 Dersom det foreligger uriktige eller mangelfulle opplysninger om den registrerte, kan det kreves retting eller supplering av personopplysninger Den registrerte må sannsynliggjøre at det foreligger slike feil eller mangler Prinsippet om riktighet, art. 5 nr. 1 d): «Personopplysningene skal være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes» 19
Sletting av personopplysninger Virksomhetens selvstendige sletteplikt: Personopplysninger skal slettes når det ikke lenger er nødvendig for å ivareta formålet med behandlingen, jf. art. 5 nr. 1 b formålsbegrensningsprinsippet Behandlingsgrunnlaget utgått Hva med arkiveringsplikt? Utgjør annen behandling Arkivering Behandlingsgrunnlag: Rettslig plikt med hjemmel i arkivloven Formål: Arkivformål i den grad det er arkivverdige opplysninger. Lagres kun så lenge det foreligger behandlingsgrunnlag etter denne loven Den registrertes rett til å kreve sletting - art 17 Nr. 1 a) «personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for» Unntak nr. 3 e) dersom behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav 20
Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no 21