BEHANDLING AV PERSONOPPLYSNINGER

Like dokumenter
Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Brukerinstruks Informasjonssikkerhet

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Personopplysninger og opplæring i kriminalomsorgen

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personvern og informasjonssikkerhet

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Krav til formål, utredning og opplysningskvalitet. Dag Wiese Schartum, AFIN

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Personopplysningsloven

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Nye personvernregler

Innsynsrett - Brukers rett til innsyn

Innsynsrettigheter og plikt til å gi informasjon til registrerte. Dag Wiese Schartum, AFIN

LOV nr 31: Lov om behandling av personopplysninger (personopplysnin...

Personvernperspektivet og oppbevaring av intervjumateriale

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Lov om behandling av personopplysninger (personopplysningsloven).

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner

ARKIVDAGEN Maihaugen

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Besl. O. nr. 58. Jf. Innst. O. nr. 51 ( ) og Ot.prp. nr. 92 ( ) År 2000 den 7. mars holdtes Odelsting, hvor da ble gjort slikt

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.


Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Endelig kontrollrapport

Kort innføring i personopplysningsloven

Policy for personvern

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

GDPR - Personvern

GDPR HVA ER VIKTIG FOR HR- DATA

Lydopptak og personopplysningsloven

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

OM PERSONVERN TRONDHEIM. Mai 2018

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Innsyn etter pol, fvl og offtl. DR1010 Mona Naomi Lintvedt

Særavtale om lønns- og personalregistre

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Prosedyre for personvern

Er din bedrift klar for ny personopplysningslov?

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

GDPR Ny personvernforordning

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: Saksnummer:

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad

Databehandleravtale etter personopplysningsloven

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Deres ref Vår ref (bes oppgitt ved svar) Dato

PERSONVERN I FINANSSEKTOREN

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

Arbeidsgivers styringsrett og ansattes personvern. Partnerforum 16. september 2008 Aslaug Bendiksen

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Endelig kontrollrapport

Personvern-rett H2016

Personvern i Røyken Eiendom AS

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Personvern eller vern av personopplysninger. Hvem vet hva om oss

Klima- og miljødepartementet Dato: Versjon: 1.0 Side: 1 av 7

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Endelig kontrollrapport

Personvern - behandlingsgrunnlag etter personopplysningsloven

PERSONVERN ARKIVKONFERANSE

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

GDPR Prosjektgjennomføring Sjekkliste

Personvern og utredningsarbeid hvor går grensen? Cecilie Rønnevik, fagdirektør Forsikringsforeningen 27. november 2013

Nytt personvernregelverk på 1-2-3

VIRKE. 12. mars 2015

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvern i arkivene. Grunnleggende elementer og noen eksempler

Etikk- og personvernshensyn i brukerundersøkelser

Oppgave 1. DRI1010 Emnekode 7464 Kandidatnummer Dato SIDE 1 AV 6

Informasjon om bruk av personnummer i Cristin-systemet

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Deres referanse Vår referanse Dato / /EOL

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Retningslinjer for restriksjonsvurdering i Asta

Foreløpig kontrollrapport

Endelig kontrollrapport

Besl. O. nr. 79. Jf. Innst. O. nr. 62 ( ) og Ot.prp. nr. 5 ( ) År 2001 den 5. april holdtes Odelsting, hvor da ble gjort slikt

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Endelig kontrollrapport

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

NINAs personverndokument

Ny personopplysningslov fokus på personalmappen

Transkript:

BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3 Melde- og konsesjonsplikt 1.3.4 Informasjonssikkerhet og internkontroll 1.4 Informasjon og innsyn 1.5 Bevaring av personopplysninger 1.5.1 Retting av personopplysninger 1.5.2 Sletting av personopplysninger 1.5.3 Klagerett på Datatilsynets vedtak om sletting 1.0 Innledning All behandling av personopplysninger i kommunen blir regulert av lov om personopplysninger som trådde i kraft 1.1. 2001 og erstatter personregisterloven fra 1978. Arkivlovens krav om bevaring av arkiv med administrativ, rettslig, kulturell eller forskningsmessig verdi har fått et sterkere gjennomslag i den nye loven (Se punkt 4.5. Bevaring av personopplysninger). Personopplysningsloven slår fast at Datatilsynet både er kontrollerende og rettledende organ for lovens virkeområde. Det er altså Datatilsynet kommunen bør henvende seg til for å få rettledning og godkjenning for sin behandling av personopplysninger. Nedenfor blir det gjort rede for lovens viktigste regler. 1.1 Definisjon av personopplysninger Loven definerer personopplysninger som opplysninger som kan knyttes til en enkeltperson. Sensitive personopplysninger er definert som opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,

helseforhold, seksuelle forhold, medlemskap i fagforening 1.2 Behandlingsansvarlig En virksomhet som behandler personopplysninger skal ha en behandlingsansvarlig, som er ansvarlig for at behandlingen skjer i samsvar med kravene i personopplysningsloven med forskrifter. I Nordre Land kommune ligger behandlingsansvaret hos ledelsen, men dette er delegert til leder for den administrative enheten som behandler personopplysninger. Behandlingsansvarlig skal sørge for at personopplysninger bare blir behandlet når dette er lovlig etter 8 og 9 i personopplysningsloven, bare blir brukt til uttrykkelig fastsatte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet ikke senere blir brukt til formål som er uforenelig med det opprinnelige formålet, med mindre den registrerte samtykker, er tilstrekkelig og relevant for formålet med behandlingen, er korrekte og oppdaterte, og ikke blir lagret lenger enn nødvendig ut fra formålet med behandlingen. Behandlingsansvarlig er videre ansvarlig for å oppfylle lovens krav om informasjonsplikt, innsyn, retting og sletting av opplysninger, informasjonssikkerhet og internkontroll. 1.3 Vilkår for å behandle personopplysninger Behandling av personopplysninger er lovlig når det foreligger enten samtykke fra den registrerte eller hjemmel i lov, og når behandlingen er nødvendig for å oppfylle bestemte formål fastsatt i loven (bl.a. oppfylle en avtale med den registrerte, oppfylle en rettslig plikt, ta vare på den registrertes vitale interesser, og utøve offentlig myndighet). For å behandle sensitive personopplysninger krever loven at det foreligger samtykke eller hjemmel i lov, når opplysningene er frivillig gjort kjent av personen, eller at behandlingen er nødvendig for å verne en persons vitale interesser og denne ikke kan samtykke, å fastsette, gjøre gjeldende eller forsvare et rettskrav, å gjennomføre arbeidsrettslige plikter og retter, forebyggende eller kurativ sykdomsbehandling. Behandling for historiske og statistiske formål er lovlig, når samfunnets behov og interesse for dette overstiger ulempene for den registrerte.

1.3.1 Samtykke Samtykket skal være en frivillig, uttrykkelig og informert erklæring om at en person godtar behandling av opplysninger om seg selv. Frivillig samtykke er et samtykke som ikke er avgitt under tvang, verken fra den behandlingsansvarlige eller fra andre. Uttrykkelig samtykke vil si at personen foretar seg noe aktivt for å samtykke, som å sende inn en svarslipp e.l. Informert samtykke vil si at personen får tilstrekkelig informasjon til å forstå hva behandlingen gjelder og hvilke konsekvenser det kan få. Informasjonen skal minst omfatte: hvem som er behandlingsansvarlig, hva opplysningene skal brukes til, om opplysningene vil bli utlevert til andre og hvem som er mottaker, om det er frivillig å gi fra seg opplysningene, hvor lenge opplysningene vil bli behandlet - eller oppbevart, og annen informasjon som gjør den registrerte i stand til å bruke sine retter etter loven på best mulig måte, som for eksempel om retten til å kreve innsyn, retting og sletting. Den som skal registreres kan samtykke muntlig eller skriftlig, elektronisk eller på papir. Det må gå klart og utvetydig fram at den registrerte samtykker, hvilke behandlinger samtykket omfatter, og hvem som er den behandlingsansvarlige som samtykket er rettet til. Behandlingsansvarlige skal kunne sannsynliggjøre at samtykket er gitt. Dette er lettere dersom samtykket er gitt skriftlig. Verge eller foresatt må samtykke for mindreårige og umyndiggjorte. 1.3.2 Krav om informasjon Når det blir samlet inn personopplysninger fra en person, skal denne bli informert om hvem som er behandlingsansvarlig, formålet med behandlingen, om opplysningene vil bli utlevert og hvem som eventuelt er mottaker, om det er frivillig å gi fra seg opplysningene og annet som gjør den registrerte i stand til å bruke sine retter på best mulig måte. Dette er ikke nødvendig dersom det er på det rene at den registrerte alt kjenner til denne informasjonen. En registrert har samme rett til informasjon når det blir samlet inn personopplysninger fra andre, i tillegg til informasjon om hvilke opplysninger som blir samlet inn. Den registrerte skal informeres så snart opplysningene er innhentet. Dersom formålet med innsamling av opplysningene er å gi de videre til andre, kan behandlingsansvarlig vente med å varsle til utleveringen skjer.

En person har ikke krav på varsel når innsamling eller formidling av opplysningene er uttrykkelig fastsatt i lov, når varsling er umulig eller uforholdsmessig vanskelig, eller det er på det rene at den registrerte alt kjenner til informasjonen varselet skal inneholde. Informasjon kan kreves skriftlig. 1.3.3 Melde- og konsesjonsplikt Hovedregelen i loven er at behandling av personopplysninger er meldepliktig, mens behandling av sensitive opplysninger er konsesjonspliktig. Behandling av personopplysninger i organ for stat eller kommune er unntatt konsesjonsplikt når behandlingen har hjemmel i egen lov. Slike behandlinger vil være meldepliktige. For behandling av sensitive personopplysninger som ikke har hjemmel i lov vil det være konsesjonsplikt. For personopplysninger i barnevernstjenesten er det meldeplikt. Det skal sendes melding til Datatilsynet på eget skjema senest 30 dager før behandlingen tar til. Datatilsynet skal gi den behandlingsansvarlige kvittering for at meldingen er mottatt, som dokumentasjon for at meldeplikten er oppfylt. Kvitteringen skal ikke oppfattes som en godkjennelse av at behandlingen tilfredsstiller de andre føresegnene i personopplysningsloven. Meldingene skal være offentlig tilgjengelige. Det skal sendes ny melding etter tre år, eller en ny juridisk person blir ansvarlig for behandlingen eller formålet med behandlingen blir endret. Ved endring av andre forhold enn juridisk behandleransvar og formålet med behandlingen skal en sende endringsmelding. 1.3.4 Informasjonssikkerhet og internkontroll Den behandlingsansvarlige skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til sikring av konfidensialitet, dvs. vern mot at uvedkommende får innsyn i opplysningene. sikring av integritet, dvs. vern mot utilsiktet endring av opplysningene. sikring av tilgang, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige dokumentere informasjonssystemet og sikringstiltakene. Sikkerhetssystemet skal bygge på kjente teknikker og anerkjente system for kvalitetsstyring, internkontroll og informasjonssikkerhet. Dokumentasjonen skal omfatte organisering,

rutiner for bruk av systemet og registrering av hendelser, og skal være tilgjengelig for medarbeiderne. Sikkerhetstiltakene skal etableres etter en konkret vurdering av de personopplysningene som blir behandlet i forhold til de truslene mot informasjonssikkerheten som er til stede. Kravene til informasjonssikkerhet er behandlet i 13 i personopplysningsloven og i kapittel 2 i forskriften. Forskriften fastsetter detaljerte krav for personopplysninger som helt eller delvis blir behandlet med elektroniske verktøy, mens lovparagrafen regulerer annen behandling av personopplysninger. Kravene til internkontroll er behandlet i 14 i loven og kapittel 3 i forskriften. Kravene til internkontroll er behandlet i 14 i loven. 1.4 Informasjon og innsyn Behandlingsansvarlig har plikt til å gi informasjon om hva slags behandling av personopplysninger som skjer og til å gi partsinnsyn til registrerte. Alle har rett til å få vite hvem som er behandlingsansvarlig, formålet med behandlingen og hvilke personopplysninger denne omfatter, hvor opplysningene er hentet fra og hvem de ev. vil bli utlevert til. Dersom vedkommende er registrert, skal han/hun få innsyn i hvilke opplysninger om seg selv som blir behandlet og om hvilke sikkerhetstiltak som er satt i verk for å sikre opplysningene. Denne informasjonen skal ikke være så utfyllende at sikkerhetstiltakene blir svekket. Behandlingsansvarlig kan kreve at krav om innsyn blir lagt fram skriftlig. Unntatt fra innsyn er opplysninger som en må regne at det er utilrådelig at den registrerte får kjennskap til, av omsyn til egen helse eller forholdet til personer som står vedkommende nær. Slike opplysninger kan gjøres kjent for en representant for den registrerte når ikke særlige grunner motsier det. det gjelder lovbestemt taushetsplikt for bare finnes i tekst som er utarbeidet for den interne saksforberedelsen og heller ikke er utlevert til andre det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, bl.a. hensynet til den registrerte selv. Opplysninger som kan skade rikets sikkerhet m.v. og opplysninger som må holdes hemmelige på grunn av etterforsking m.m. av straffbare handlinger, er også unntatt fra innsyn. Avslag på krav om innsyn skal grunngis med presis referanse til unntaksheimelen. Behandling av opplysninger til statistiske og historiske formål gir ikke grunnlag for partsinnsyn.

1.5 Bevaring av personopplysninger Personopplysninger med administrativ, rettslig, kulturell eller forskningsmessig dokumentasjonsverdi skal tas vare på for ettertiden når de ikke lenger blir brukt til sitt opphavlige formål. Det er vedtekter gitt i - eller i medhold - av arkivloven som avgjør om personopplysninger som har gått ut av bruk skal bevares for ettertiden eller ikke. Oppbevaring for ettertiden skjer ved avlevering etter faste rutiner og tidsfrister til arkivdepot (se retningslinjer for avlevering av arkiv i kapittel 3 og arkivoversikten i kapittel 2). I enkelte tilfeller kan personopplysninger rettes eller slettes (se etterfølgende punkt), men da bare etter helt spesielle retningslinjer. Legg merke til at vedtektene både i arkivloven og personopplysningsloven legger til grunn at en ikke kan slette feilaktige eller mangelfulle opplysninger dersom de har dokumentasjonsverdi. 1.5.1 Retting av personopplysninger Hovedregelen for retting av personopplysninger er nedfelt i personopplysningsloven 27. Det går her fram at behandlingsansvarlig har plikt til å rette personopplysninger som er urette, ufullstendige eller som det ikke er anledning til å behandle. Dette skal skje på eget initiativ eller etter krav fra den registrerte. En må være klar over at retting av uriktige eller ufullstendige opplysninger som kan ha verdi som dokumentasjon, og skal skje ved at opplysningene blir markerte og supplerte med korrekte opplysninger. Dette er helt i tråd med arkivlovens 9 bokstav d, der det heter at arkivmateriale ikke kan "rettast på ein slik måte at tidligare urette eller ufullstendige opplysningar vert sletta, dersom desse har hatt noko å seia for saksførebuinga, vedtak eller anna som etter føremålet med denne lova bør kunne dokumenterast". Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet gjøre unntak fra kravet om dokumentert retting. I slike tilfeller kan Datatilsynet bestemme at retting av mangelfulle personopplysninger skal skje ved at de blir slettet. Slike vedtak går framfor vedtektene i arkivloven, men Riksarkivaren skal høres dersom slettingen strir imot bevaringsvedtektene. (Jf. Personopplysningsloven 27 for mer utfyllende regler).

1.5.2 Sletting av personopplysninger Den som personopplysningene omhandler kan kreve at opplysninger som føles tyngende blir slettet. Dersom et slikt krav strir mot vedtekter gitt i medhold av andre lover, for eksempel arkivloven, kan ikke kravet gjøres gjeldende. I slike tilfeller kan Datatilsynet - etter at Riksarkivaren er hørt - vedta at personopplysninger skal slettes dersom tungtveiende personvernhensyn tilsier det. Dette vedtaket går da framfor bevaringsreglene i arkivloven. (Jf. personopplysningsloven 28 for mer utfyllende regler). 1.5.3 Klagerett på Datatilsynet sitt vedtak om sletting Dersom Datatilsynet fatter vedtak om sletting av personopplysninger etter 27 og 28 i personopplysningsloven kan vedtaket klages inn for Personvernnemnden av Riksarkivaren eller andre involverte instanser. Dersom klagen til Personvernnemnden ikke fører fram, kan avgjørelsen påklages videre til Kongen. (Jf. personopplysningsloven 43 og 42 siste ledd for mer utfyllende regler). Denne doble klageretten må forstås ut fra at lovgiver ønsker en svært grundig behandling før opplysninger som muligens kan være bevaringsverdige blir slettet. Det er med andre ord personvernhensynet som skal særlig nøye veies mot hensynet til bevaring av historiske data for ettertiden.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding