Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. september 2007) Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1
Arbeidstakeres personvern Jf. maktperspektivet på personvern Private sfærer informasjon Opplysninger om ansatte og ansattes opplysninger Integritet Autonomi kommunikasjon geografisk kroppslig Epost, filoverføring mv Privatliv på jobben, arbeidsliv privat? Helseundersøkelser, kroppsundersøkelser psykisk Prestasjonsmåling, lokaliseringsteknologi I lovgivningen er det lagt avgjørende vekt på vernet av elektronisk informasjon og kommunikasjon av slik informasjon ===> personopplysningsvern 2
Hvor finner vi bestemmelser om personvern? Personopplysningsloven med forskrift er hovedreguleringen på området og den jeg legger avgjørende vekt på her. Noen få områder reguleres av særlover som ligner på personopplysningsloven: helseregisterloven og lov om Schengen informasjonssystem. I tillegg har vi et stort antall lover og enkeltbestemmelser vedrørende ulike personregistre : Folkeregisteret, Våpenregisteret, Medisinsk fødselsregister mv Sist men ikke minst har vi et stort antall spredte enkeltbestemmelser som regulerer tilgang til personopplysninger: taushetsplikt, opplysningsplikt og andre enkeltbestemmelser. Arbeidsmiljøloven kap. 9 inneholder enkelte bestemmelser vedrørende personvern for arbeidstakere. 3
Generelt om personopplysningsloven Personopplysningsloven er (nesten) alltid relevant for saksbehandling ved UiO, og supplerer forvaltningsloven og offentlighetsloven og arkivloven på viktige måter. Må derfor ses i sammenheng med disse forvaltningslovene. Loven er basert på EU-direktiv om personvern som er mønster for lovgivningen i de 27 EU-landene + 3 EØS-land Kan du hovedtrekkene i personopplysningsloven (pol), kan du hovedtrekkene i all europeisk personvernlovgivning! Personopplysningslovens (pol) 1 er en formålsbestemmelse som definerer personvern og som skal brukes aktivt ved fortolkning av loven, jf personopplysningsvern 4
Hovedelementer i personopplysningsloven Definisjoner og virkeområde Grunnkrav til behandling av personopplysninger Melde- og konsesjonsplikt Bestemmelser om innsyn og åpenhet Retting, sletting og supplering av personopplysninger Bestemmelser om overføring av personopplysninger til utlandet (tredjeland) Fjernsynsovervåking Datatilsynet og Personvernnemnda Straff og erstatningsansvar 5
Personopplysning Fysisk person - jf juridiske personer - jf enkeltmannsbedrifter Person- Identifikasjon - en bestemt person må kunne identifiseres Opplysning - humant materiale Fakta - opplysninger opplysning Sikker tilknytning til person Nok med mulig tilknytning Alle rimelige hjelpemidler 6
Behandling Alle operasjoner som kan utføres på PO (innsamling, bearbeiding, lagring, videresendelse osv) En serie av slike operasjoner = behandlinger Ofte naturlig å sette likhetstegn mellom en behandling og et system Behandling av personopplysninger Helt eller delvis elektronisk behandling Manuell behandling i personregister Manuell behandling av opplysninger som skal inn i et personregister Det spiller ingen rolle hvilket uttrykk personopplysningene har / hva slags medium som anvendes (skrift, lyd, bilde mv) 7
Definisjoner av de viktigste aktørene i loven Registrert: den som en personopplysning kan knyttes til Er den som skal vernes og som har rettigheter etter loven Er alltid en fysisk person Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Kan være en fysisk person eller en virksomhet Er den de fleste plikter i loven er knyttet til Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige er alltid en ekstern person eller virksomhet 8
Krav til rettslig grunnlag alltid Rettslig grunnlag er nødvendig for at behandlingen av personopplysninger skal være lovlig, jf 8 og 9. Samtykke Lovhjemmel Nødvendig grunn Lovens hovedregel. Må være frivillig, utrykkelig og informert, jf 2 nr 7 Tilbaketrekking av samtykke! Eksplisitt eller implisitt hjemmel? Bare de grunner loven angir. Kreves selvstendig rettslig grunnlag for å behandle sensitive personopplysninger, jf 9 9
Krav til formålsangivelse Det må alltid fastsettes et eller flere formål for behandlingen ( 11 bokstav b) Formålet må være saklig begrunnet i den behandlingsansvarliges virksomhet All behandling av personopplysninger må skje til slike formål Nye formål kan bare aksepteres hvis ikke uforenlig med det opprinnelige formålet for innsamlingen (men hva i all verden betyr det?) Oversikt over øvrige grunnkrav Krav til opplysningskvalitet: 11 bokstavene d og e og 14, jf 27 Krav til entydig identifisering, 12 Krav til informasjonssikkerhet, 13 (som jeg kommer tilbake til!) Krav til internkontroll, 14 10
Meldeplikt I utgangspunktet generell plikt til å melde all elektronisk behandling av personopplysninger + registre med sensitive opplysninger (dog unntak) Skal melde fra til Datatilsynet minst 30 dager før behandlingen starter Innebærer et det etableres kontakt med Datatilsynet Lagt til rette for elektronisk melding Innholdet av meldingen tilsvarer lagt på vei elementene i innsynsbestemmelsene ( 18) og opplysningsplikten ( 19) Skjer det endringer i behandlingsopplegget skal det sendes ny melding Skal uansett sendes melding etter 3 år Får kvittering på at melding er mottatt, men skjer ingen saksbehandling og gis ingen godkjenning 11
Når er det krav til konsesjon? (hovedregler) Når det planlegges å behandle sensitive personopplysninger, jf 2 nr 8 [rase, etnisitet, politikk, filosofi, religion, straffbare handlinger, helseforhold, seksuelle forhold, fagforeningsmedlemsskap] Nok at én opplysningstype er sensitiv for at konsesjonsplikten skal inntre Gjelder ikke for personopplysninger som (frivillig) er avgitt uoppfordret Når Datatilsynet mener behandlingen åpenbart vil krenke tungtveiende personverninteresser Forutsetter en konkret vurdering Kan bare fastsette konsesjonsplikt i enkelttilfelle Den behandlingsansvarlige kan kreve avgjørelse av om det foreligger konsesjonsplikt eller ikke 12
Rettigheter for enhver Enhvers rett til innsyn ( 18 første ledd) Rett til å spørre om det behandles personopplysninger, og hvilke behandlinger som skjer og bestemte generelle opplysninger som beskriver hver behandling av personopplysninger. Retten er begrenset av unntaksbestemmelser i 23, men disse er lite viktig for denne type innsyn Enhvers rett til å reservere seg mot direkte markedsføring ( 26) Enhvers rett til raskt svar + gratis bruk av rettigheter ( 16 og 17) 13
Rettigheter for den registrerte Registrertes rett til innsyn ( 18 andre og tredje ledd) Rett til alle opplysninger om den registrerte selv Rett til utdypende opplysninger om det enhver har rett til å se Rett til informasjon om sikkerhetstiltak uten å svekke sikkerheten Unntak gjelder for personopplysninger som utelukkende blir behandlet for historiske, statistiske og vitenskapelige formål (jf. siste ledd) Rett til å bli informert ved innsamling ( 19) Rett til å bli informert ved videresendelse ( 20) Retten til innsyn og informasjon er begrenset av unntaksbestemmelser i 23 14
Bestemmelser om personvern for arbeidstakere i arbeidsmiljøloven, kap.. 9 Behandling av personopplysninger om arbeidstakere reguleres av personopplysningsloven Arbeidsmiljøloven inneholder enkelte supplerende bestemmelser vedrørende arbeidstakers behandling av helseopplysninger om ansatte Arbeidsgiver kan ikke be om/innhente andre helseopplysninger om ansatte enn de som er nødvendige for utførelsen av arbeidsoppgavene i stillingen Arbeidsgiver kan bare kreve medisinske undersøkelser når i) det følger av lov eller forskrift, ii) stillingen innebærer særlig risiko eller iii) arbeidsgiver mener det er nødvendig for å verne liv eller helse For øvrig regulerer kap. 9 arbeidsgivers kontrolltiltak. Slik kontroll kan innbefatte behandling av personopplysninger men gjelder også annet. Arbeidsgivers kontrolltiltak overfor arbeidstakere må alltid være saklig begrunnet i virksomheten og ikke gi uforholdsmessig belastning for arbeidstakerne ( 9-1 (1)) Behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak skal drøftes så tidlig som mulig med tillitsvalgte Før iverksetting av kontrolltiltak skal det alltid informeres om formål, praktiske konsekvenser og antatt varighet Behov for iverksatte kontrolltiltak skal jevnlig evalueres sammen med tillitsvalgte Regjeringen har fremmet forslag om innskrenkning av arbeidsgivers tilgang til ansattes epost 15
Regler om informasjonssikkerhet (hva er det?) Fvl 13c, annet ledd: oppbevaring på betryggende måte Enkeltstående regler Indirekte vern tilgjengelighet konfidensialiet integritet Krav til internkontroll (pol 14) Prinsippet om forsvarlig saksbehandling Helhetlige regelverk Personoppl.forskr. kap 2 Eforvaltningsforskriften Sikkerhetsloven kap. 4 Arkivforskriften kap IV F.eks: taushetsplikt korrekthet innsynsrett Grunnregler vedrørende informasjonsbehandling Sikring av personopplysninger er nødvendig i alle virksomheter 16
Krav til informasjonssikkerhet etter pol 13 Bestemmelsen i 13 gjelder både behandlingansvarlig og databehandler og utgjør ramme for hva som kan bestemmes i forskrift Arbeidet med informasjonssikkerhet skal omfatte Konfidensialitet Integritet Tilgjengelighet Informsjonssikkerheten skal være tilfredsstillende, jf pol 13 Vurderingen gjelder hvor ekstensive (omfattende) tiltakene skal være og hvor intensive/strenge tiltakene skal være 13 innebærer krav om konkret vurdering av hver behandling Forskriften stiller opp krav til organisering mv av sikkerhetsarbeidet Forskriften stiller opp krav til framgangsmåter for sikkerhetsarbeidet Forskriften stiller opp noen materielle minstekrav mv Datatilsynet kan gi pålegg om sikring ( 2-2, jf pol 46 og 47) 17
Krav til organisering av sikkerhetsarbeidet Instruksjons- og organisasjonsmyndighet Daglig leder Skriftlig avtale Daglig leder Daglig ansvarlig Daglig ansvarlig Daglig ansvarlig Daglig ansvarlig Sikkerhetsrevisor Sikkerhetsrevisor Medarbeidere Behandlingsansvarlig, jf pol 2 nr 4 Medarbeidere Databehandler, jf pol 2 nr 5 Både behandlingsansvarlige og databehandler har selvstendig ansvar for informasjonssikkerheten 18
Krav til fremgangsmåter Det skal føres oversikt over hvilke personopplystyper som behandles Det skal gjennomføres risikovurdering for behandlingen av disse opplysningstypene: Sansynlighet for... Konsekvensene av... sikkerhetsbrudd Organisatoriske, tekniske, juridiske, fysiske, pedagogiske mv Tiltak Vurdert risiko Akseptabel risiko Stor + Tiltak skal være Planlagte Systematiske Dokumenterte Risiko Liten Avvikshåndtering All behandling av personopplysninger skal skje i henhold til på forhånd fastlagte rutiner. Behandling i strid med fastlagte rutiner og sikkerhetsbrudd skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. 19
Gruppearbeid på konferansens første dag, første del Hvis "kunnskap er makt" er det kanskje også sant at "kunnskap om personer er makt over personene"? Ta utgangspunkt i denne påstanden og drøft om arbeidsgivers behandling av personopplysninger om arbeidstakere kan tenkes å innebære en maktforskyvning? Som grunnlag for diskusjonen bør dere forutsette bruk av vanlig kontrollteknologi (adgangskontrollsystemer, logging av telefon- og nettbruk, fjernsynsovervåking, personovervåking med GPS mv). På hvilken måte kan personopplysningsloven sies å beskytte arbeidstakere mot overdreven innsamling og bruk av personopplysninger fra arbeidstakers side? Nevn de to bestemmelser i denne loven som dere antar er viktigst for ansattes personvern. Her kan dere enten ta direkte utgangspunkt i lovteksten eller i "Kort innføring i personopplysningsloven" (Schartum). Kan det være behov for å gjøre vernet sterkere enn i dag? Forklar og begrunn eventuelt kort hva nye bestemmelser bør gå ut på. 20