Forskningsinstituttenes Fellesarena - FFA Postboks 5490, Majorstuen 0305 Oslo Tlf

Like dokumenter
Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Høringsuttalelse - Ny personopplysningslov- gjennomføring av personvernforordningen i norsk rett

Høringsuttalelse om utkast til ny personopplysningslov

HØRINGSUTTALELSE UTKAST TIL NY PERSONOPPLYSNINGSLOV GJENNOMFØRING AV PERSONVERNFORORDNINGEN I NORSK RETT

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Hva kan vi bruke NSD til?

Høring om ny personopplysningslov

Personvernperspektivet og oppbevaring av intervjumateriale

Personvernerklæring for Cristin (Current Research Information System in Norway)

Ny personopplysningslov norsk implementering av EUs personvernforordning

Forslag til ny lov om behandling av personopplysninger

Notat. Høringsnotat om endringer i fagskoleloven. Bestemmelser om behandling av personopplysninger

GDPR-møte

Høringsuttalelse til utkast til ny personopplysningslov - gjennomføring av personvernforordningen i norsk rett

Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Hva betyr GDPR for forskere?

Norm for informasjonssikkerhet i helse og omsorgstjenesten

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde.

Nye personvernregler Gullik Gundersen juridisk rådgiver

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

NINAs personverndokument

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Tilgang til forskningsdata. Bjørn Henrichsen NSD Norsk senter for forskningsdata

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Ny personvernforordning trer i kraft i mai 2018

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvern - behandlingsgrunnlag etter personopplysningsloven

0030 Oslo 16. oktober 2017

GDPR Ny personvernforordning

Ny personvernlovgivning

Personvernforordningen

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Høringsuttalelse til utkast til ny personopplysningslov og gjennomføring av personvernforordningen i norsk rett

Høringssvar til utkast til ny personopplysningslov gjennomføring av personvernforordning i norsk rett

Finansdepartementet 10. april Høringsnotat

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

REK-vurderinger etter GDPR

DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil. Vår ref /EMS. Vi viser til Justisdepartementets brev av 3. Juli d.å.

Nye personvernregler

EUs personvernforordning og norsk personopplysningsrett

Behandlingsprotokoll og behandlingsgrunnlag

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Implementering av det nye personvernregelverket ved UiB

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl

Personvernforordningen

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvern og informasjonssikkerhet

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

Rettslig grunnlag for behandling av helseopplysninger til kvalitetssikring og forskning

Samfunnsnytte og belastninger for den registrerte

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Finansdepartementet 20. juni 2013 Høringsnotat

Personvernforordningen

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Oslo kommune Byrådsavdeling for finans

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Databehandleravtale for NLF-medlemmer

GDPR FOR EIENDOMSSELSKAPER

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Prosedyre for personvern

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Får vi en ny arkivlov? NOU-en er sluppet, men hva nå?

102 Definisjoner og forklaringer

Høringssvar fra Arkivverket - utkast til ny personopplysningslov

Personvern - sjekkliste for databehandleravtale

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernerklæring. Museene i Akershus mia.no. Telefon: (+47) E-post: Postboks Strømmen. Org.nr:

Høring - om utkast til ny personopplysningslov

Perspektiver og planer ved Universitetet i Oslo

Nytt i personopplysningsloven (trer i kraft i mai 2018)

Vår referanse (bes oppgitt ved svar)

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

20 JUL Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO

NORID - Registrarseminar 26. april 2017

Regelrådets uttalelse. Om: Høyring av forslag om endringar i reglane om informasjonshandsaminga i Skatteetaten Ansvarlig: Finansdepartementet

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Transkript:

Forskningsinstituttenes Fellesarena - FFA Postboks 5490, Majorstuen 0305 Oslo Tlf 915 46 610 Justis- og beredskapsdepartementet Oslo, 13.12.2018 Høringsuttalelse fra FFA til ny Personopplysningslov Vi takker for muligheten til å gi innspill til utkast til Ny personopplysningslov - gjennomføring av personvernforordninga i norsk rett. Forskningsinstituttenes Fellesarena FFA er en samarbeidsorganisasjon for de 46 selvstendige forskningsinstituttene som er kvalifisert for basisbevilgning i Forskningsrådet, til sammen 6.300 årsverk. På vegne av våre forskningsinstitutter, vil vi i det følgende gi noen innspill på de deler av loven som angår håndtering av persondata i forskning og statistikkarbeid, og organisering av persondataarbeid i forskningsinstituttene. Enkeltinstitutter avgir også uttalelser. Arbeidsgiverrelaterte spørsmål i forordningen blir ikke berørt her, de håndteres i uttalelser fra instituttenes arbeidsgiverorganisasjoner. Sammendrag Det er etter vår oppfatning viktig at norsk lov klart og entydig fastslår at personopplysninger kan brukes til forskningsformål og arkivformål i allmenhetens interesse, med hjemmel i forordningens artikkel 6 e. En slik bestemmelse har generell aktualitet og bør dermed inngå i den nye personopplysningsloven, ikke kun i særlovgivningen. Dette vil sikre gode vilkår for arkivering og forskning på personopplysninger som ikke kan baseres på samtykke. FFA mener at den norske personopplysningsloven bør sikre at både offentlige og private forskningsinstitusjoner, uavhengig av eierskap og organisasjonsform, kan forske på personopplysninger i allmenn interesse. Unntak for forskning og statistiske formål Hovedformålet med personopplysningsloven er å hindre at personvernet krenkes gjennom behandling av personopplysninger. Personopplysninger kan bare innsamles og nyttes til formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Dette overordnede målet støttes full ut. Forordningens hovedregel er krav om samtykke fra den registrerte, rett til informasjon og rett til sletting. Forordningen åpner også for å gjøre unntak fra hovedregelen bl.a. ved å etablere nasjonalt lovgrunnlag for dette. For forskningsinstituttene er det to unntak som er særlig viktige, slik de er formulert i forordningens artikkel nr. 6.1, c og e og artikkel nr 9.2, bom sensitive personopplysninger. Vi vil understreke at vi gir full støtte til Justisdepartementets forslag om åta i bruk unntaket som ligger i forordningen knyttet til behandling av persondata til vitenskapelig forskning og statistiske formål. r Forskningsvirksomhet, arkivering av forskningsdata og "statistiske formål" er helt klart behandlinger som skjer «i allmennhetens interesse». Her er det viktig å presisere at all forskning skjer i "allmennheten' interesse", enten den defineres som oppi rags- eller bidragsforskning innenfor et

2 av 5 mangfold av finansieringsformer. Forordningens brede definisjon av forskning sikrer at bredden av forskning vil omfattes av den særstilling som forskningen gis i forordningen og de nasjonale komplementerende bestemmelsene. Forskningsinstituttene i FFA representerer en bredde av private og noen offentlig eide forskningsinstitutter. De fleste er organisert som stiftelser, mange aksjeselskaper og noen forvaltningsorgan med særskilte fullmakter. Felles for alle er at en driver anvendt forskning i konkurranse og samarbeid med forskningsmiljø nasjonalt og internasjonalt, både oppdragsforskning og bidragsforskning. Mange av våre forskingsinstitutter driver forskning og statistisk arbeid der en benytter personopplysninger, eksempelvis Institutt for samfunnsforskning {ISF), Uni Research, NIFU, SINTEF eller FaFo. Forordningens hjemmel i artikkel nr 6.1 c og eer avgjørende for at forskningsinstituttene skal kunne fortsette å utføre den allmennyttige forskningen og statistiske arbeidet. Når det gjelder lovforslagets 6 første ledd, oppfatter vi teksten slik at a) og b) er alternative grunnlag, som skal kumuleres med c) og d). For å tydeliggjøre bestemme/sen på dette punktet, foreslår FFA at lovforslagets 6 a) får tilføyd et "eller". Behov for et supplerende lovgrunnlag for ikke-offentlige forskningsinstitutter Departementet ber særlig om høringsinstansenes tilbakemelding på eventuelle konsekvenser av at behandlingsgrunnlagene i artikkel 6 nr. 1 bokstav c og e krever et supplerende rettslig grunnlag i nasjonal rett. Departementet ber også om innspill på hvorvidt det vil være behov for en lovregulering som kan utgjøre behandlingsgrunnlag for private forskningsinstitusjoner og viser til et forslag inntatt som 6 i SOU 2017:50 Personuppgiftsbehandling for forskningsandamål, hvor det bl.a. heter følgende: 6 Personuppgifter får med stod av artikel 6.1 ei dataskyddsforordningen behandlas for forskningsiindamål om behandlingen iir nodviindig och proportionerlig for att utfora forskning av allmiint intresse. Forskning av allmiint intresse får utforas av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda niiringsidkare. Forordningens artikkel 6.1 c synes avgrenset i utgangspunktet til offentlige forskningsinstitusjoner, slik forordningen er formulert. For ikke-offentlige forskningsaktører er forskningsoppgavene sjelden fastsatt i form av lov eller forskrift. Det er likevel en allmenn anerkjennelse at forskningsinstituttene og andre private aktører utfører forskning av allmenn interesse. En lovgivning som avgrenser forskningsinstituttenes behandling av persondata ville være en urimelig forskjellsbehandling av forskningsinstitusjoner, basert på organisasjons- og eierform. Dette regner vi ikke med er intendert. Det er nødvendig med en enhetlig lovgivning for behandling av persondata i forskning og til statistiske formål ihht forordningen artikkel nr 6.1 e. FFA mener det er avgjørende viktig å sikre at forskningsinstitutter og andre ikke-offentlige forskningsaktører kan påberope seg artikkel 6.1 e og dermed kan behandle personopplysninger i forskning og til statistiske formål. Vi synes det er vanskelig å vurdere ev hva som skal til for å sikre instituttene det nødvendige lovgrunnlaget for å behandle personopplysninger. Vi forutsetter at justisdepartementet sikrer at dette behovet blir ivaretatt i ny lov. Sensitive personopplysninger

3 av5 Når det gjelder unntaket fra det generelle forbudet om behandling av sensitive personopplysninger i artikkel 9.2, j, forstår vi at private og offentlige forskningsinstitusjoner likebehandles og det kreves et nasjonalt lovgrunnlag for slik behandling for alle instanser. FFA støtter dette. FFA forutsetter at Justisdepartementet også her sikrer lovgrunnlaget for forskningsmiljøenes - private så vel som offentlige - mulighet for å behandle sensitive personopplysninger i forskning og til statistiske formål, under de gitte forutsetningene. For størst mulig likhet synes det fornuftig at dette lovgrunnlaget gis i den generelle Personopplysningsloven, som supplement til særlovgivningen. FFA støtter derfor departementets forslag om en generell lovbestemmelse som åpner for behandling av sensitive opplysninger for arkiv-, forskning- og statistikkformål uten samtykke. Departementet foreslår videre at behandlingsansvarlige forutsettes å sette i verk egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser, jfr også artikkel 9.2 j og artikkel 89.1. Videre mener departementet det må settes som vilkår at den behandlingsansvarlige har utpekt personvernrådgiver og at denne har anbefalte behandlingen av sensitive persondata. Krav om godkjenning fra personvernrådgiver skal også gjelde i behandling av sensitive persondata til forsknings- og statistikkformål der den registrerte har gitt sitt samtykke. Dette må også ses i lys av at konsesjonsplikten ikke videreføres, men et større ansvar legges til behandlingsansvarlig institusjon. FFA støtter Justisdepartementets forslag til krav om godkjenning fra personvernrådgiver. Organisering av arbeidet med å ivareta personvernhensyn - krav om personvernrådgiver Forordningen innebærer at forskningsinstitutter og andre som behandler data, overtar en vesentlig del av ansvaret for egen håndtering av data. Det kreves bl.a. at alle offentlige og mange private virksomheter, inkl forskningsinstitutter, skal opprette personvernombud eller personvernrådgiver. Personvernombud er en frivillig ordning i dag, som administreres av Datatilsynet. Den nye forordningen stiller imidlertid nye krav, særlig til den behandlingsansvarlige og den som eventuelt behandler opplysningene på vegne av denne, de såkalte databehandlerne. Personvernrådgiveren vil etter den nye forordningen ha et overordnet ansvar for at virksomheten opptrer i henhold til personvernregelverket. Personvernrådgiveren er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Rådgiveren kan være en ansatt eller en profesjonell tredjepart. Dette gjelder for bl.a. forskningsinstitutter som håndterer personopplysninger i sin forskning. Samtidig lempes reglene om melding og konsesjon, parallelt med at bedriftene selv pålegges mer ansvar for å utrede konsekvenser av sin behandling. FFA anerkjenner forordningens krav om at virksomheter for forskningsinstituttene har personvernrådgiver og kravet om at personvernrådgiver skal tilrå behandlingen av persondata uten registrertes samtykke. FFA støtter departementets forslag om at kravet om tilråding fra personvernrådgiver også skal gjelde for forskningsprosjekter som behandler sensitive opplysninger på grunnlag av den registrertes samtykke. NSD har funksjon som personvernrådgiver for en rekke av forskningsinstituttene som driver forskning basert på personopplysninger. FFA støtter departementets vurdering av at denne ordningen fungerer godt for instituttene og anbefaler sterkt at ordningen videreføres som i dag. Dvs at forskningsinstitutter kan benytte NSD som sin personvernrådgiver ihht personvernforordningen.

4 av 5 Denne ordningen er godt innarbeidet og sikrer høy kompetanse og stabilitet hos personvernrådgiverfunksjonen. For de fleste institutter vil det være tilstrekkelig med en personvernrådgiver for forskning, og da hos NSD. Ett alternativ, for institutter som ønsker det, kan være at NSD har funksjon som rådgiver for den institutt-interne personvernrådgiveren. Noen institutter med stor faglig bredde vil kunne ha behov for flere personvernrådgivere for å dekke flere forskningsfelt. NSD kan i slike tilfeller ha rollen som personvernrådgiver for ett forskningsfelt, mens et annet felt dekkes av en intern personvernrådgiver, ev som rådgiver for intern personvernrådgiver. Ev kan også personvernrådgiver "deles" mellom flere forskningsinstitusjoner. FFA mener at NSDs rolle som personvernrådgiver må videreføres. Videre mener en at personvernrådgiverrollen må kunne ivaretas gjennom ulike løsninger, bestemt av den enkelte behandlingsansvarlige institusjon. Personvern i internettbaserte forskningsdata I økende grad hentes en del type personopplysninger ikke fra offentlige registre eller fra datainnsamling fra enkeltpersoner, men gjennom forskning på internett. Det er ikke gitt at det er personopplysningene man er på jakt etter, men ethvert prosjekt der man for eksempel henter data fra Facebook eller Twitter eller andre sosiale medier, betyr at man får med seg personopplysninger, informasjon om tredjepart mm. Dagens regler på dette området er uklare. NESH arbeider med å revidere sine retningslinjer for forskning på internett og vil forhåpentlig klargjøre noe i dette. FFA mener at det vil være en styrke hvis departementet i sin fortolkning av forordningens art 9.2 j også kommenterer dette området og ev går opp noen grenseganger, som støtte for NESH og for forskningsmiljøene. Varsel og sanksjonsregime FFA tar til etterretning at reglene for håndtering av sikkerhetsbrudd blir strengere med den nye forordningen og at de nasjonale datatilsynene får videre fullmakter til å ilegge sanksjoner. Etter det nye regelverket kan Datatilsynet gi gebyrer på opptil fire prosent av en virksomhets årlige, globale omsetning. FFA mener at dette er lite egnet sanksjonsform for instituttene, men anerkjenner at dette ikke er gjenstand for nasjonal tilpasning. Veiledere og sektorvise bransjenormer Vi er kjent med at Datatilsynet utarbeider veiledere på feltet. Regelverket er omfattende og kan virke overveldende. FFA mener der er behov for gode, tilpassede veiledere for å sikre at regelverket blir praktisert etter intensjonen. FFA vil anbefale at det utarbeides en egen veileder for forskningsinstituttene, tilpasset deres virksomhet. Vi vil i så fall anbefale at NSD, som kjenner forskningsinstituttenes virksomhet godt, får i oppdrag å utarbeide denne. De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om virksomhetene følger bransjenormer, vil de ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene. FFA støtter utviklingen av sektorvise retningslinjer og bransjenormer som skal godkjennes av Datatilsynet. FFA bidrar gjerne i utviklingen av slike bransjenormer.

5 av 5 Mest mulig lik lovgivning i Norden og i Europa FFA mener det er viktig at forordningen implementeres så likt som mulig i de nordiske landene, så vel som i Europa Vi understreker viktigheten av at norske lovgivere ser hen til andre land, særlig Sverige, Danmark og Finland, ved utformingen av den nye personopplysningsloven og særlovene som gir lovlig grunnlag for utlevering, sammenstilling og behandling av personopplysninger til forsknings- og arkivformål. På denne måten vil forskere og forskningsinstitusjoner i Norden og Europa operere på like vilkår, og likebehandling sikres. Vennlig hilsen ~n~ kt,j Daglig leder FFA

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding