Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens virkeområde d) pliktsubjektet etter loven Krav til behandlingsgrunnlag Sletteplikt Rett til innsyn og informasjonsplikt Melde- og konsesjonsplikt
Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv. Personvern er noe mer enn informasjonssikkerhet.
Begrepet personopplysning og sensitive personopplysninger Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson. Sensitive personopplysninger: uttømmende definert i 2 nr 8. Omfatter blant annet opplysninger om: Etnisk bakgrunn Seksuelle forhold Straffbare handlinger Helseforhold Medlemskap i fagforeninger
Personopplysningslovens virkeområde 3 Loven gjelder i utgangspunktet for all: Behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister
Hvem retter loven seg mot? Den behandlingsansvarlige pliktsubjektet Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Som hovedregel vil den behandlingsansvarlige være den øverste lederen i en virksomhet eller organisasjon
Krav om behandlingsgrunnlag 8 og 9 All behandling av personopplysninger krever et behandlingsgrunnlag Ordinære personopplysninger 8 Sensitive personopplysninger både 8 og 9 Tre alternative grunnlag Lovhjemmel Samtykke Behandlingen er nødvendig holdt opp mot nærmere angitte formål
Hjemmel i lov 8 og 9 Om behandlingen har hjemmel i lov beror på en konkret vurdering av det aktuelle hjemmelsgrunnlaget Jo mer inngripende, desto klarere må lovteksten være - Typen opplysninger (ordinære eller sensitive) - Antall opplysninger
Samtykke i 8 og 9 Krav til gyldig samtykke - 2 nr. 7. frivillig uttrykkelig informert erklæring fra den registrerte om at han eller hun godtar behandlingen Et samtykke kan være både muntlig og skriftlig
Nødvendighetskriterier i 8 Nødvendig 8 ordinære personopplysninger oppfylle et av nødvendighetskriteriene i 8 bokstav a til f Eksempel på to nødvendighetskriterier a) nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, f) nødvendig for å ivareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.
Sletteplikt 11 e og 28 Hovedregel Sletteplikt når personopplysningene ikke lenger er nødvendige for å gjennomføre formålet med behandlingen. Unntak Lovhjemmel for fortsatt oppbevaring - Arkivloven - Regnskapsloven - Bokføringsloven
Rettigheter for den registrerte innsyn 18 Hovedregel: Den registrerte kan kreve innsyn i: - Hvilke opplysninger om vedkommende som behandles - Sikkerhetstiltakene ved behandlingen Mål: Den registrerte skal kunne ivareta sine egne interesser Unntak: - 23
Rettigheter for den registrerte informasjon 19 og 20 Hovedregel: Før det samles inn opplysninger fra den registrerte selv etter 19 Når det er samlet inn opplysninger fra andre enn den registrerte selv etter 20 Unntak: - 20 og 23 NB: Brudd på informasjonsplikten er straffesanksjonert ( 47)
Informasjonsplikt forts. Skal informere om Navn og adresse på behandlingsansvarlige Formålet med behandlingen Opplysningene vil blir utlevert og evt. til hvem Det er frivillig å gi fra seg opplysningene Annet som gjør det mulig for den registrerte til å bruke sine rettigheter, for eksempel retten til retting, sletting og innsyn
Informasjonssikkerhet og internkontroll 13 og 14 Formålet er å sørge for tilfredsstillende sikkerhet ( 13) - Konfidensialitet - Integritet - Tilgjengelighet Skape og dokumentere rutiner som sikrer at man oppfyller kravene i personopplysningsloven ( 14) Veiledere finne på www.datatilsynet.no
Melde- eller konsesjonsplikt? Hovedregel: Sensitive personopplysninger = konsesjonsplikt 33 Ordinære personopplysninger = meldeplikt 31 Enkelte unntak i personopplysningsforskriften kap 7: Kunde-, abonnent og leverandøropplysninger 7-7 Sensitive kundeopplysninger 7-14 Foreningers medlemsopplysninger 7-15 NB: Lovens øvrige plikter skal følges selv om unntatt fra pliktene! Dere kan kreve at Datatilsynet avgjør om en behandling krever konsesjon
Sikre kundedata test mot identitetstyveri Test for virksomheter som er nysgjerrige på hvor gode de er til å sikre seg og sine kunder mot identitetstyveri Sammen med resultatet av testen får du tips til hva virksomheten bør ta tak i Testen finnes på www.datatilsynet.no
Spørsmål? Takk for meg