Personopplysningsloven problemstillinger som er særlig aktuelle for offentlig ansatte. Knut B. Kaspersen, fagdirektør, Datatilsynet 12.

Like dokumenter
Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Arkiv og enkeltindivider. Kim Ellertsen IKA 22. april 2010

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

BEHANDLING AV PERSONOPPLYSNINGER

Arbeidsgivers styringsrett og ansattes personvern. Partnerforum 16. september 2008 Aslaug Bendiksen

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Brukerinstruks Informasjonssikkerhet

PERSONVERN I FINANSSEKTOREN

Personvern-rett H2016

Personopplysningsloven særlig om behandling av studentopplysninger. Mari Hersoug Nedberg Høgskulen i Sogn og Fjordane, 6.

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

GDPR HVA ER VIKTIG FOR HR- DATA

Personvern i arkivene Drammen, 7. september 2011

Personvern - behandlingsgrunnlag etter personopplysningsloven

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Personopplysningsloven

GDPR General Data Protection Regulativ

OM PERSONVERN TRONDHEIM. Mai 2018

LOV nr 31: Lov om behandling av personopplysninger (personopplysnin...

Arbeidsgiver ser deg:

Personopplysninger og opplæring i kriminalomsorgen

Nytt personvernregelverk på 1-2-3

Begrensninger i innsynsrett. DRI mars 2011 Jon Berge Holden

Særavtale om lønns- og personalregistre

Personvern i arbeidsforhold

Nye personvernregler

Melde- og konsesjonsplikt, og om myndighetene. DR1010 Mona Naomi Lintvedt

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Policy for personvern

Lov om behandling av personopplysninger (personopplysningsloven).

Er din bedrift klar for ny personopplysningslov?

Innholdsoversikt. Forord Sammendrag av bokens kapitler Personvernbegrepet Personopplysningsloven og -forskriften...

Medlemsmøte DIS-Hadeland 1/2-14 Foredrag v/ove Nordberg. Personvern. Bruk av og regler rundt personopplysninger i forbindelse med slektsforskning.

Hvordan ivareta personvernet ved skikkethetsvurderinger?

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016


Personvernperspektivet og oppbevaring av intervjumateriale

Personopplysningsloven

1.6 Sentrale lover og forskrifter

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Besl. O. nr. 58. Jf. Innst. O. nr. 51 ( ) og Ot.prp. nr. 92 ( ) År 2000 den 7. mars holdtes Odelsting, hvor da ble gjort slikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Arbeidsgivers personvernplikter

Personvern i offentlig forvaltning

Personvernerklæring Stendi

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Sverre Engelschiøn. Oslo 19. Mai 2008

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Lydopptak og personopplysningsloven

GDPR - Personvern

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Personvern eller vern av personopplysninger. Hvem vet hva om oss

NINAs personverndokument

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Databehandleravtale etter personopplysningsloven

[start kap] Innholdsoversikt

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Kort innføring i personopplysningsloven

Personvern i offentlig forvaltning

Informasjon om bruk av personnummer i Cristin-systemet

Personopplysningsloven, ytrings-/informasjonsfrihet og offentlighetsloven. Dag Wiese Schartum, AFIN

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvern, offentlighet og utlevering fra matrikkelen. Bakgrunnen for kurset

Personvern i offentlig forvaltning

Personvernerklæring. Hvorfor behandler vi personopplysninger om deg?

Personvern og informasjonssikkerhet

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

GDPR Ny personvernforordning

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Offentlighetsloven og taushetsplikt

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

LOV OM RETT TIL INNSYN I DOKUMENT I OFFENTLEG VERKSEMD. En kort innføring i offentleglova av 19. mai 2006

GDPR - viktige prinsipper og rettigheter

VIRKE. 12. mars 2015

Taushetsplikt og andre begrensinger i tilgang til personopplysninger. DRI mars 2014 Jon B. Holden

Oppsummering og råd til eksamen. DR1010 Personvern i offentlig forvaltning Vår 2011 Mona Naomi Lintvedt

Innsynsrettigheter og plikt til å gi informasjon til registrerte. Dag Wiese Schartum, AFIN

Krav til formål, utredning og opplysningskvalitet. Dag Wiese Schartum, AFIN

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Taushetsplikt og offentlighet - kildevern

Transkript:

Personopplysningsloven problemstillinger som er særlig aktuelle for offentlig ansatte Knut B. Kaspersen, fagdirektør, Datatilsynet 12. februar 2009

Disposisjon 1. Kort om Datatilsynets oppgaver og administrasjon 2. Innføring i personopplysningsloven Formål, definisjoner og virkeområde Grunnkrav og behandlingsvilkår Plikter og rettigheter 3. Skjæringspunktet mellom personopplysningsloven og offentlighetsloven og taushetsplikten Retten til innsyn i dokumenter og opplysninger Meroffentlighet og offentliggjøring på Internett 27.04.2009 Side 2

Datatilsynet Uavhengig forvaltningsorgan Etablert i 1980 Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD Direktør Georg Apenes 33 medarbeidere - Fire avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon Håndhever personopplysningsloven og helseregisterloven Saksbehandling Tilsyn/kontroll Veiledning/informasjon 27.04.2009 Side 3

Personvernnemnda Avgjør klager over Datatilsynets avgjørelser Klager skal stiles til Datatilsynet som eventuelt videresender til PVN Beslutningene er endelige og kan bare omgjøres gjennom søksmål Søksmål om nemndas avgjørelser skal rettes mot staten v/pvn Faglig uavhengig Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD 7 medlemmer Leder: Advokat Eva Jarbekk Oppnevnes for 4 + evt. 4 år Sekretær 27.04.2009 Side 4

Personopplysningsloven overtok for personregisterloven av 1978 bygger på EUs personverndirektiv (95/46/EF) vedtatt 14.04.2000 i kraft fra 01.01.2001 samtlige overgangsperioder gikk ut 01.01.2003 27.04.2009 Side 5

Formål - 1 Beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger 27.04.2009 Side 6

Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til å bestemme over egne personopplysninger Retten til å være i fred 27.04.2009 Side 7

Definisjoner - 2 Personopplysninger Kan knyttes til en enkeltperson ( 2 nr. 1) Behandling av personopplysning Enhver bruk av personopplysninger ( 2 nr. 2) Personregister Opplysningene er lagret systematisk slik at de lett kan finnes igjen (2 nr. 3) 27.04.2009 Side 8

Forts. definisjoner Registrert Den som personopplysningen kan knyttes til ( 2 nr. 6) Behandlingsansvarlig Den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes ( 2 nr. 4) Som regel den som har juridisk ansvar Alle plikter i loven hviler på den behandlingsansvarlige Arkivet eller de arkivansatte er som hovedregel ikke behandlingsansvarlig for arkivene, men kan ha fått delegert til seg det daglige ansvaret. 27.04.2009 Side 9

Virkeområde Behandling av personopplysninger - som helt eller delvis skjer elektronisk ELLER - når opplysningene inngår eller skal inngå i et personregister Kredittopplysninger 27.04.2009 Side 10

Unntak Behandlinger som den enkelte foretar for rent personlige eller private formål - 3 Adresselisten i almanakken eller hjemme PC Kameraovervåkning av egen bolig Regulert i annen lov - 5 og 6 Eks. offentlighetsloven, barneverntjenesteloven Behandling som skjer utelukkende for kunstneriske, litterære eller journalistiske formål - 7 Ytringsfriheten som behandlingsgrunnlag Bestemmelsene om sikkerhet, internkontroll, reservasjon og kameraovervåkning gjelder fortsatt 27.04.2009 Side 11

Grunnkrav til behandlingen - 11 Opplysningene må Kun brukes til uttrykkelig angitte formål som er saklig begrunnet i virksomheten Ikke brukes til formål som er uforenelig med det opprinnelige formålet Være tilstrekkelige og relevante Være korrekte og oppdaterte Ikke oppbevares lenger enn nødvendig Ha behandlingsgrunnlag i 8 og 9 27.04.2009 Side 12

Vilkår for behandlingen - 8 Hjemmel i lov Behandlingen må være forutsatt eller nødvendig for gjennomføringen av loven Mange/sensitive opplysninger = krav til klar hjemmel Samtykke - 2 nr. 7 Eller behandlingen er nødvendig for å oppfylle avtale med den registrerte oppfylle en rettslig forpliktelse ivareta den registrertes vitale interesser utføre oppgave av allmenn interesse utøve offentlig myndighet ivareta en berettiget interesse 27.04.2009 Side 13

Samtykke, 2 nr. 7 - frivillig, - uttrykkelig og - informert - erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. Konkludent adferd? 27.04.2009 Side 14

Interesseavveiningen etter 8 f Den behandlingsansvarliges berettigede interesse Hensynet til den registrertes personvern Berettiget interesse 27.04.2009 Side 15

Sensitive personopplysninger 2 nr. 8 uttømmende oppregning Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforening NB! Opplysninger om økonomiske forhold er ikke sensitive. Heller ikke fødselsnummer! 27.04.2009 Side 16

Tilleggsvilkår for behandling av sensitive personopplysninger 9 Samtykke Fastsatt i lov Nødvendig for å beskytte en persons vitale interesser og den registrerte ikke kan samtykke fastsette eller gjøre gjeldende eller forsvare et rettskrav for gjennomføringen av arbeidsrettslige plikter eller rettigheter forebygge sykdomsbehandling m.m. og opplysningene behandles av helsepersonell med taushetsplikt Ivareta historiske, statistiske eller vitenskaplige formål og samfunnets interesse klart overstiger ulempene for den enkelte Den registrerte selv frivillig har gjort opplysningene kjent Ideelle sammenslutninger og stiftelser 27.04.2009 Side 17

Personnummer - 12 Ikke en sensitiv personopplysning Kan bare nyttes når det er 1. Saklig behov for sikker identifisering og 2. Metoden er nødvendig for å oppnå slik identifisering Må ikke fremkomme av postsendinger eller telekommunikasjon slik at det er tilgjengelig for andre enn adressaten (POF 9-2) ikke utenpå konvolutt eller i åpent kort ikke som KID eller medlemsnummer på regning kryptering ved bruk i Internettløsninger sladding av dokumenter før de legges ut på Internett 27.04.2009 Side 18

Informasjonsplikt 19 og 20 Formålet er å gjøre den enkelte i stand til å benytte sine rettigheter etter loven Før innhenting fra den registrerte selv ( 19) Etter innhenting fra andre enn den registrerte selv eller eventuelt før utlevering til andre ( 20) Ved henvendelse eller beslutninger fattet på bakgrunn av personprofiler ( 21) og ved automatiserte avgjørelser ( 22) 30 dagers frist ( 16), gratis ( 17) og skriftlig ( 24) Brudd på informasjonsplikten er straffsanksjonert ( 48 ) 27.04.2009 Side 19

Rett til innsyn - 18 Enhver har rett til grunninformasjon om behandlingen Hva slags behandling av personopplysninger Navn og adresse på den behandlingsansvarlige Hvem som har daglig ansvar for behandlingene Formålet med behandlingen Hvilke typer personopplysninger som behandles Om eventuell utlevering til andre I tillegg kan den registrete kreve å få vite Hva er registrert om meg? Sikkerhetstiltak? Utdypning av informasjonen som gis til enhver Unntak: 18 siste ledd og 23 Innsynsretten muliggjør ivaretakelsen av de øvrige rettighetene i loven 27.04.2009 Side 20

Retting av uriktige eller mangelfulle opplysninger, jf 27 av eget tiltak eller på begjæring skadereduksjon varsle mottakere av opplysningene Retting skal skje ved markering og supplering sperring eller sletting 27.04.2009 Side 21

Sletting Sletting skal skje når opplysningene ikke lenger er nødvendig for å gjennomføre formålet Arkivloven kan medføre fortsatt lagring Sletting kan skje når opplysningene er sterkt belastende Datatilsynet kan på visse vilkår overprøve Riksarkivaren og arkivloven Opplysninger slettes ikke Når samfunnets interesse i historiske, statistiske eller vitenskaplige formål klart overstiger ulempene for den registrerte 27.04.2009 Side 22

Melde- og konsesjonsplikt Konsesjonsplikt, 33 Elektronisk behandling av sensitive personopplysninger Meldeplikt, 31 jf 32 Behandlinger som skjer helt eller delvis elektronisk Opplysningene skal inngå i et personregister Mange unntak fra konsesjons- og meldeplikten både i lov og forskrift 27.04.2009 Side 23

Informasjonssikkerhet og internkontroll 13 og 14 Plikt til å skape og dokumentere rutiner som sikrer at man oppfyller kravene i personopplysningsloven Konfidensialitet Tilgjengelighet Integritet Brudd på bestemmelsene om informasjonssikkerhet er straffsanksjonert ( 48) 27.04.2009 Side 24

Fjernsynsovervåkning Regulert i lovens kapittel 7 og forskriftens kapittel 8 i tillegg må 8,9 og 11 følges vedvarende eller regelmessig gjentatt personovervåkning hvor lenge/hvor mange ganger? Web kamera kan man gjenkjenne enkeltpersoner? fjernbetjent eller automatisk virkende fjernsynskamera eller lignende apparat Fjernsynsovervåkning uten opptak Videofilming Håndholdt fotoapparat eller videokamera faller utenfor Tilleggsvilkår om særskilt behov ved overvåkning av sted der begrenset krets av personer ferdes ( 38) 27.04.2009 Side 25

Fjernsynsovervåkning Plikter for den behandlingsansvarlige Varsle om at overvåkning finner sted ( 40) Melding til Datatilsynet ( 37, 2. ledd) Ikke utlevere personopplysninger fra overvåkningen uten lovhjemmel eller samtykke Unntak: utlevering til politiet Sletting når det ikke lenger er saklig grunn for oppbevaring ( 28) Utg.pkt. 7 dager (POF 8-4) Post og bank 3 mnd. Sikre personopplysningene (POF 8-2 og POL 13 og 14 Konfidensialitet, integritet og tilgjengelighet 27.04.2009 Side 26

Fjernsynsovervåkning i praksis 1. Områder der forventningen om diskresjon er høy: Garderobe,toaletter, nattklubb, badebasseng Interesseavveining etter 8 f vil ofte falle negativt ut for overvåkeren 2. Områder der forventningen om diskresjon er lav eller kravet til sikkerhet stort: Bank, postkontor, offentlige steder, offentlig transport, butikker, kiosker, bensinstasjoner Interesseavveining etter 8 f faller som regel ut til fordel for overvåkeren 3. Områder i mellomstilling: Arbeidsplassen Offentlige områder utenfor kirker, moskeer og lignende Offentlige områder utenfor sykehus, fengsel I sykehuskorridorer Særskilt behov for overvåkning? 27.04.2009 Side 27

Oppsummering Formålet med loven er å styrke personvernet Behandling av personopplysninger må ha saklig begrunnelse og være formålsbestemt Behandlingen kan skje på bakgrunn av lov, samtykke eller oppfyllelse av konkrete nødvendighetskriterier Sensitive personopplysninger skal behandles med særlig varsomhet Informasjonsplikten er grunnleggende Krav til konsesjon/melding til Datatilsynet, men mange unntak Krav til dokumenterte rutiner for sikkerhet m.m. Brudd på loven kan være straffbart 27.04.2009 Side 28

Personvern i lys av offentligheten Personopplysningsloven, offentlighetsloven og taushetsplikten

Offentlighetsloven noen utgangspunkter Enhver kan krevje innsyn i saksdokument, journalar og liknande register til organet hos vedkommende organ - 3 - rett til innsyn på begjæring - hva er tilstrekkelig identifisering av sak? - dokument 4 Utferdiget av, kommet inn eller lagt frem for et forvaltningsorgan Logisk avgrenset informasjonsmengde som er lagra på eit medium for seinare lesing, lytting, framsyning, overføring eller liknande Interne dokumenter 14, 15 og 16 Meroffentlighet - 11 27.04.2009 Side 30

Forts. offentlighetsloven Utsatt offentlighet dokumentet gir et direkte misvisande bilete av saka og at innsyn derfor kan skade klare samfunnsmessige eller private interesser Unntak fra offentlighet for visse opplysninger 13(SKAL) Sladding eller unnta hele dokumentet Samtykke fra som har krav på taushet Unntak for dokumenter med et visst innhold 17-27 (KAN) 27.04.2009 Side 31

Innsyn etter personopplysningslovens 18 Gjelder Både offentlig forvaltning og private virksomheter Supplerer offentlighetsloven Bare personopplysninger I all hovedsak opplysninger om behandlingen som sådan pluss opplysninger om egen person Både opplysninger lagret elektronisk og på papir Ingen krav til konkretisering av sak Ønske om innsyn trenger ikke begrunnes 27.04.2009 Side 32

Særlig om innsyn i interne dokumenter Formålet med dokumentet avgjør om det er internt Typisk: Materiale utarbeidet av en enhet for intern saksforberedelse Hvis dokumentet inngår som en del av beslutningsgrunnlaget er det ikke lenger internt Faktiske opplysninger eller sammendrag av faktum vil sjelden oppfylle kravet til internt dokument Hvis dokumentet faktisk er utlevert til andre (en eller flere ganger) er det ikke lenger internt Offentlig forvaltning: Offvl. 14 og POL 23 e Private virksomheter: POL 23 e 27.04.2009 Side 33

Taushetsplikt Taushetsplikt mht. opplysninger man blir kjent med i forbindelse med tjeneste, arbeid eller i andre sammenhenger Eks. fvl. 13, POL 45 Privatrettslig avtale Taushetsplikten gjelder som regel to kategorier opplysninger: 1. Personlige forhold Eks. sykdom, familiesituasjon, lovbrudd 2. Virksomhetsrelaterte forhold Eks. sikkerhetsløsninger, forretningshemmeligheter Rikets sikkerhet Opplysninger som er undergitt lovpålagt taushetsplikt er unntatt fra offentlighet (Offvl. 13) og innsyn etter personopplysningsloven (POL 23 d) 27.04.2009 Side 34

Meroffentlighet Offvl. 11 Når det er høve til å gjere unntak frå innsyn, skal organet vurdere å gi heilt eller delvis innsyn. Organet bør gi innsyn dersom omsynet til offentleg innsyn veg tyngre enn behovet for unntak Eks. Departementet gjør tilgjengelig offentlige saksdokumenter med personopplysninger på Internett i fravær av konkret innsynsbegjæring. Får personopplysningsloven anvendelse på departementets publisering? Stiller personopplysningsloven strengere krav til hva som kan publiseres enn det som følger av offentlighetslov/forvaltningslov? Hvilke vurderinger må i så fall foretas før publisering? 27.04.2009 Side 35

Rettslig regulering 1 Personopplysningslovens 6: Loven regulerer ikke det tilfelle at innsynsrett gis etter offentlighetsloven, forvaltningsloven eller annen lovbestemt innsynsrett. Forutsetning: Innsyn gis etter en konkret innsynsbegjæring Følge: Personopplysningslovens krav trenger ikke å vurderes. 27.04.2009 Side 36

Rettslig regulering 2 JD s lovavdeling fortolkningsuttalelse av 16.07.04: Personopplysningslovens 6 får ikke anvendelse der saksdokumenter publiseres på Internett uten konkret innsynsbegjæring. Begrunnelse: det er ikke tale om innsynsrett i slike tilfelle MEN meroffentlighet Følge: Begrensningene i personopplysningsloven kommer til anvendelse Fødselsnummer kan ikke publiseres på Internett. Det kan vanskelig tenkes at sensitive personopplysninger kan publiseres uten etter samtykke fra den opplysningene er knyttet til. Dette gjelder selv om opplysningene ikke er taushetsbelagte. 27.04.2009 Side 37

Konsekvenser av lovavdelingens uttalelse Forvaltningen må foreta en skjønnsmessig vurdering av de personvernmessige betenkeligheter ved publisering av et saksdokument før publisering på Internett eller i andre medier Publisering medfører en utlevering av opplysninger som må ha hjemmel i personopplysningsloven Avveiningen mellom offentlighet og personvern må gjøres konkret kan undertiden være komplisert må foretas selv om dokumentet er vurdert til å være offentlig etter offentlighetsloven Grensetilfeller bør forelegges Datatilsynet før publisering Datatilsynet kan overprøve etatens vurdering av personvernkonsekvenser ved publisering 27.04.2009 Side 38

Eksempler på glipper i praksis 27.04.2009 Side 39

Hvilke momenter vektlegges i avveiningen? Dessverre liten fortolkningshjelp i norske rettskilder EU s uavhengige personvernombuds vurdering nr.1 2005: http://www.edps.eu.int/publications/policy-papers/public_access_data_protection_en.pdf 1)Involverer det aktuelle dokumentet personvernelementer? (Stikkord; enkeltperson, privat karakter, ære/rykte, fortrolighet) 2)Vil personvernet bli vesentlig påvirket i negativ retning ved publisering? (Stikkord: offentlig tilgjengelig?, praktisk relevant konsekvenseller bare teoretisk?) 27.04.2009 Side 40

Oppsummering Offentlighetsloven gir rett til innsyn i saksdokumenter, journaler og lignande register Personopplysningsloven gir rett til innsyn i personopplysninger Lovpålagt taushetsplikt går foran rett til innsyn, både etter offentlighetsloven og personopplysningsloven Ved innsynsbegjæring går offentlighetsloven foran personopplysningsloven 27.04.2009 Side 41

Forts. oppsummering Ved utøvelse av meroffentlighet kommer personopplysningsloven til anvendelse Følgende personopplysninger kan ikke publiseres på Internett: Taushetsbelagte opplysninger Sensitive personopplysninger, jf. personopplysningslovens 2 nr.8 Fødselsnummer lønnsopplysninger For andre personopplysninger er det avgjørende hva som i den konkrete sak veier tyngst; hensynet til offentlighet/allmenhetens interesser eller hensynet til den registrertes personvern 27.04.2009 Side 42

Særlig om personellregistre 27.04.2009 Side 43

Innsamling og lagring av opplysninger om ansatte Hvilke personopplysninger kan samles inn Ved ansettelse Underveis i arbeidsforholdet Arbeidsmiljøloven stiller opp noen konkrete grenser for hva man kan spørre om (men gir også hjemmel for en del innsamling) Personopplysningsloven bestemmer hvordan opplysninger lovlig kan behandles for eksempel i et personalregister 27.04.2009 Side 44

Grenser i arbeidsmiljøloven Aml 13-4 Innhenting av opplysninger ved ansettelse - forbudt å spørre om seksuell orientering, politiske spørsmål, fagorganisering Aml. 9-3 Innhenting av helseopplysninger ved ansettelse - forbudt å be om andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen. Aml. 9-4. Medisinske undersøkelser av arbeidssøkere - Bare i de konkrete tilfeller som går frem av loven - Arbeidsgiver må heller ikke iverksette tiltak for å innhente helseopplysninger på annen måte. Samtykke kan ikke oppheve forbud i lov 27.04.2009 Side 45

Hva kan (og skal?) arbeidsgiver samle inn Personalia; navn, adresse, fødselsdato Lønnsinformasjon; avtalt lønn, kontonummer, skattekort, bidragsstrekk, Opplysning om nærmeste pårørende; navn og telefonnummer i tilfelle skade eller lignende Opplysning om ansvar for barn og evt. kronisk sykdom for beregning av sykedager Avtaler om lån, hjemmekontor, Helseopplysninger innefor rammen av Aml., særlovgivning og det som er nødvendig for å tilrettelegge arbeidsplassen Vandelsopplysninger KUN dersom lovhjemmel Kredittvurdering KUN ved stillinger med økonomisk ansvar 27.04.2009 Side 46

Opplysninger som oppstår underveis i arbeidsforholdet 1. Klager, advarsler, tjenestelige tilrettevisninger og lignende Ja, men hvor lenge? 2. Opplysninger om sykdom eller rusmisbruk Ja, men bare innenfor arbeidsmiljølovens grenser 3. Opplysning om tid tilbrakt på jobb, hvor du har vært, hva du har gjort - for eksempel hentet fra adgangskontrollsystem, overvåkningskamera, gps ) Opplysning om telefonbruk, databruk m.m. - for eksempel hentet fra logg, regning ) Ja, men avhenger av avtaler med den ansatte og gitt informasjon NB! Nytt formål nytt behandlingsgrunnlag i 8 NB! Grensen mot ulovlig overvåkning - Eks. Copland vs. United Kingdom av 3. april 2007 27.04.2009 Side 47

Lagringstid for personopplysninger Utgangspunkt: nødvendig for formålet For en del opplysninger innebærer dette lagring i hele ansettelsesperioden og også etter at arbeidsforholdet er avsluttet Regnskapslovgivning, skattelovgivning Bedriftshistorie hvem var ansatt når og i hvilken stilling Adresselister for pensjonistforeningen og andre velferdstiltak med samtykke Rettssaker til rettskraftig avgjørelse om oppsigelse/avskjed foreligger evt. til foreldelse inntreffer 27.04.2009 Side 48

Melde-/konsesjonsplikt? Hovedregel: Ingen melde eller konsesjonsplikt for behandling av personopplysninger i personellregistre (personopplysningsforskriftens 7-16) Skal meldes: Behandling som ikke har hjemmel i lov eller samtykke Behandling som skjer for andre formål enn personaladministrasjon Adgangskontroll Kameraovervåkning Innsyn i e-post (når det faktisk skjer) Annen overvåkning av ansatte Varslingsordninger jf. aml. 3-6 NB! Listen er IKKE uttømmende 27.04.2009 Side 49

Kontaktopplysninger Informasjon på www.datatilsynet.no Juridisk: juridisk@datatilsynet.no Sikkerhet: sikkerhet@datatilsynet.no 27.04.2009 Side 50

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding