DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Like dokumenter
Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Policy for personvern

Nye personvernregler

Personopplysninger og opplæring i kriminalomsorgen

GDPR Ny personvernforordning

Personopplysningslovens formål og grunnleggende begreper. Dag Wiese Schartum, AFIN

BEHANDLING AV PERSONOPPLYSNINGER

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Oppgave 1. DRI1010 Emnekode 7464 Kandidatnummer Dato SIDE 1 AV 6

Krav til formål, utredning og opplysningskvalitet. Dag Wiese Schartum, AFIN

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Personopplysningslovens formål, grunnbegreper og virkeområde. Dag Wiese Schartum, AFIN

Personvern eller vern av personopplysninger. Hvem vet hva om oss

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Adressemekling. Innhold INNLEDNING AKTØRENE

Mønsterbesvarelse til DRI1010 eksamen vår 2013

Personvern og informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Personvernperspektivet og oppbevaring av intervjumateriale

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

OM PERSONVERN TRONDHEIM. Mai 2018

Personvern i offentlig forvaltning

Særavtale om lønns- og personalregistre

Personvern i offentlig forvaltning, DRI 1010

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Etikk- og personvernshensyn i brukerundersøkelser

Personvernerklæring for Edvarda (Consortia Manager)

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Hva er en behandling av personopplysning Alle handlinger som utføres med personopplysninger. Eksempel på handlinger: *lagring av opplysninger

PERSONVERN TIL HINDER FOR BRUK AV BIG DATA? Advokat Therese Fevang, Bisnode Norge

Ny personvernforordning trer i kraft i mai 2018

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Kort innføring i personopplysningsloven

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvernerklæring for Søknadsweb

Personvern, offentlighet og utlevering fra matrikkelen. Bakgrunnen for kurset

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Informasjon om bruk av personnummer i Cristin-systemet

Personvernerklæring for EVUweb - søkere

Oppsummering og råd til eksamen. DR1010 Personvern i offentlig forvaltning Vår 2011 Mona Naomi Lintvedt

Nye regler om personvern. Halvor E. Sigurdsen, NHO

Introduksjon til DRI1010 Personvern i offentlig forvaltning: Oversikt over personvern og personvernlovgivningen. Dag Wiese Schartum, AFIN

Prosedyre for personvern

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Lydopptak og personopplysningsloven

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler

Personvern og velferdsteknologi

Personvernerklæring for Søknadsweb

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Hvilken rolle spiller personopplysningsloven for forvaltningens saksbehandling?

Personvernerklæring for Søknadsweb

Personvern-rett H2016

Databehandleravtale etter personopplysningsloven

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvernerklæring for EVUweb - søkere

Det juridiske rammeverket for helseregistre

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Personvern og sikkerhet

EUs personvernforordning (GDPR)

ARKIVDAGEN Maihaugen

GDPR General Data Protection Regulativ

Åpne data og juridiske problemstillinger

HØRINGSUTTALELSE - ENDRINGER I FORVALTNINGSLOVEN

Personvernerklæring for Studentweb

Nye personvernregler

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

JURIDISKE AVKLARINGER OM PLANLAGT NY FUNKSJONALITET I EVUWEB 3

Personvernerklæring for Studentweb

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Personvernerklæring for Studentweb

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Personvern i offentlig forvaltning

DEL I TILRÅDING ELLER KONSESJON?

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

Personvernerklæring. Innledning. Om personopplysninger og regelverket

GDPR HVA ER VIKTIG FOR HR- DATA

Retningslinjer for databehandleravtaler

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: Saksnummer:

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

1. Hvilke personopplysninger behandler YMI Norge?

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Transkript:

Oppgave 1 361 2015-05-05 For å kunne vite hvilken betydningen det har for anvendelsen av personopplysningsloven når det skal behandles sensitive personopplysninger så må man vite hva «sensitive personopplysninger» er. Pol 2 nr 8 definerer at sensitive personopplysninger er opplysninger om rase, etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, mistenkt/siktet/dømt/ i straffbar handling, helseforhold, seksuell forhold og medlemskap i fagforening. Dette er gjerne opplysninger som hver enkelt vil holde privat (privat livets fred), fordi det som regel er mye enklere å knytte sensitive personopplysninger til enkelt personer og gjenkjenne personer med disse opplysningene. Det er også viktig at man skiller mellom personopplysninger og sensitive personopplysninger fordi det stilles strengere krav for å behandle sensitive personopplysninger jf. Pol 9. Grunnen til det er at sensitive personopplysninger røper gjerne forhold/svære personer vil holde for seg selv eller har betrodd seg til å gi til forvaltningen f.eks fordi disse opplysningene kan avgjøre et enkeltvedtak. Derfor er det svært viktig at vi har en lov som regulerer anvendelsen av sensitive personopplysninger og sikrer at ikke hvem som helst har tilgang til disse opplysningene og at ikke hvem som helst kan behandle dem heller. Det å holde private forhold sikkert er en grunnleggende menneskerettighet som beskytter individers privatliv og personlig integritet. Dette er nedfelt formåls bestemmelse pol 1 andre ledd. Hvis man ser på de andre bestemmelsene i personopplysningsloven i lys av formålsbestemmelsen oppdager man betydningen av å behandle sensitive personopplysninger som sammen med personopplysninger beskytter personers private liv og integritet. Oppgave 2 For å kunne vise til hvilke bestemmelser i personopplysningsloven (herved pol) som sikrer kvalitet av personopplysninger vil første stopp være pol 11 bokstav d og e. Lovbestemmelsen regulerer grunnkravene til å kunne behandle personopplysninger. For å kunne gjøre det etter bokstav d og e må personopplysningene være «tilstrekkelige», «relevante», «korrekte», «oppdaterte» og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. For å kunne oppfylle alle de 5 vilkårene må den behandlingsansvarlige informere den det gjelder (registrerte) 1 1

om de opplysningene som samles inn fra den registrerte 361 og hva de skal brukes til (formålet) jf. Pol 19. Pol 202015-05-05 regulerer også informasjonsplikt til behandlingsansvarlig når det samles inn opplysninger fra andre enn den registrerte. Eks diffus forvaltning, når opplysninger blir hentet inn automatisk fra andre aktører. Et reelt eksempel er når lånekassa henter inn skatteopplysninger og opplysninger fra folkeregistret uten hjelp av den registrerte. Videre regulerer pol 18 enhvers rett til innsyn til hva slags personopplysninger behandlingsansvarlig foretar. Med innsynsrett kan alle og den registrerte å få innsyn til hva slags personopplysninger som blir behandlet. Forskjellen er at når man er registrert så får man innsyn om sin egen opplysning som er gitt, mens på enhver kan hvem som helst få innsyn i hvordan opplysninger som blir behandlet av behandlingsansvarlig. Innsynsretten kan sammenlignes med innsynsretten til en part etter forvaltningsloven 18 (vennligst sjekk tegning). 2 Enhver Registrert Part pol 18 18.2 fvl 18 Figur: Innsyntrapp viser at part etter fvl har mest innsynsrett til å kvalitetssjekke opplysninger. Det fordi at «part» gjerne ikke bare den det direkte gjelder men også indirekte. Så i en forvaltningssak har man mulighet til å bruke innsynsretten sin etter både personopplysningsloven og forvaltningsloven. Det er også viktig å ikke glemme at behandlingsansvarlig må etablere rutiner og andre organisatoriske tiltak for å kontrollere om personopplysningene opprettholder kvaliteten. Også kalt internkontroll jf. Pol 14. Et eksempel på alt det jeg har nevnt ovenfor er når man f. eks skal søke lån og stipend fra lånekassen så vil man gjerne ha generell informasjon og innsyn i hvordan personopplysninger Lånekassen behandler og har behov for å kunne treffe en avgjørelse om tildeling av lån og stipend jf. Pol 18 og 19. Dette skjer som regel i form av en personvernserklæring når man registrer seg som bruker hos lånekassen. Her blir man informert hvordan opplysninger de behandler og gjerne henter inn fra andre aktører jf. Pol 20. Som en registrert bruker kan 2

man når som helst logge seg inn på lånekassa til enhver tid 361å få innsyn/sjekke (jf. Pol 18 annet ledd) om de opplysningene 2015-05-05 som er oppført er oppdaterte, relevante og korrekte for fremtidige avgjørelser (eks sjekke om korrekte eksamensresultater er oppgitt for å kunne få stipend). Og hvis disse opplysningene ikke er korrekte, oppdaterte eller relevante har man rett til å kunne rette uriktige eller ufullstendige personopplysninger jf. Pol 27. Etter det gitte eksemplet her vil vilkårene for å kunne behandle personopplysninger jf. Pol 11 bokstav d og e være oppfylt. Det vil si at de bestemmelsene som har særlig betydning for å sikre kvalitet av personopplysninger etter pol er 14, 18, 19, 20 og 27. Oppgave 3 Problemstillingen er hvorvidt det er noe rettslig hinder for Peder Ås å sende epost til alle som hadde svart på undersøkelsen? Tvisten står mellom Fagervang kommune og innbyggerne. Det vil si at kommunen er et forvaltningsorganet jf. Fvl 1 første ledd annet punktum. Det vil si at forvaltningsloven kommer til anvendelse i denne saken. Det neste spørsmålet blir hvorvidt publikumsundersøkelsen reguleres av personopplysningsloven fra 2000? Personopplysningsloven (herved benevnt ette forkortelsen pol) må ses i lys av lovens formålsbestemmelse og virkeområde jf. Pol 1. Formålet med loven er å beskytte enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Hva er «behandling av personopplysninger»? Lovens definisjoner pol 2 nr 1 definerer at en personopplysning er «opplysninger og vurderinger som knyttes til en enkeltperson». Saken opplyser at kommunen ønsket og «høre om din mening» og «du kan medvirke». Min oppfatning er at kommunen ønsker å kartlegge hva «hver» og enkel innbyggers vurdering om kommunens service tilbud. Viktig å nevne at innbyggerne blir bedt om å legge fra seg «epostadresse» hvis de vil være med i trekningen av en fruktkurv. Så her er det mulig å knytte en epostadresse til en bestemt person, særlig med nyere teknologi hvor registrering av epostadresser er gjerne blir gjort på personlige navn. Behandling er f.eks innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike 3 3

bruksområder. Saken nevner at «det blir sendt ut publikumsundersøkelse for å høre om meningene til 4 DRI1010 361 2015-05-05 innbyggerne kommunens servicetilbud». Det betyr at det skjer en behandling fordi kommunen innsamler innbyggernes meninger jf. Pol 2 nr.2. Fagervang kommunes publikumsundersøkelse behandler personopplysninger jf. Pol 2 nr 1 og 2. For at saken skal reguleres av personopplysningsloven så må behandlingen av personopplysningene oppfylle lovens saklig og geografiske virkeområde. Saklig virkeområde stiller krav om at behandlingen skal «helt», «delvis» eller at behandlingen av personopplysningene skal inngå(r) «personregister» jf. Pol 3 bokstav a og b. Saken opplyser ikke publikumsundersøkelsen blir sendt elektronisk eller manuelt (pr. post). Jeg antar likevel at undersøkelsen blir sendt per post (manuelt), ettersom de ber om at innbyggere skal fylle på epost. Hadde kommunen sendt ut undersøkelsen elektronisk ville de ikke bedt om epost. I praksis er det vanlig at svar på undersøkelser blir ivaretatt for å kunne analysere og jobbe med funnene på undersøkelsen. Så lenge det er mulig å finne fram til svarene på undersøkelsen (her også personopplysningene) tolker jeg pol 3 bokstav b utvidende og besvarelsene på undersøkelsen går derfor under «personregister». Det vil si at publikumsundersøkelsen går under loves saklig virkeområde. Tidligere nevnt er Fagervang kommune et forvaltningsorgan og det ingen tvil om at de også er den behandlingsansvarlige som er etablert i Norge jf. Pol 4 første ledd. Hva vil det si å være «behandlingsansvarlig» og «etablert»? Behandlingsansvarlig er den som bestemmer «formålet» med behandlingen av personopplysningene. Formålet i denne saken er å kartlegge innbyggernes meninger og vurderinger om kommunens kundeservice. Videre betyr etablert at behandlingsansvarlig utøver sin myndighet og er en velfungerende organisatorisk. Fagervang kommune oppfyller lovens saklig og geografisk virkeområde jf. Pol 3 og 4. Til nå har vi funnet ut at saken behandler personopplysninger etter lovens definisjoner og behandlingen går under lovens saklig og geografisk virkeområde. Det er nå naturlig å spørre hvorvidt Fagervang kommune behandler personopplysninger etter lovens grunnkrav? 4

361 Den behandlingsansvarlige som i denne saken er Fagervang 2015-05-05 kommune jf. Ovenfor skal sørge for at personopplysningene som behandles er tillatt etter pol 8 og 9, bare nyttes til uttrykkelig angitte formål som er «saklig begrunnet» i den behandlingsansvarliges virksomhet og ikke brukes til formål som er «uforenlige» med det opprinnelige formålet jf. Pol 11 bokstav a-c. Ettersom saken ikke opplyser noe om at publikumsundersøkelsen behandler sensitive personopplysninger vil ikke pol 9 anvendes i denne oppgaven ettersom den lovregelen regulerer behandling av sensitive personopplysninger. Pol 8 regulerer behandling av personopplysninger og setter tre rettslige grunnlag for at personopplysninger kan behandles. Disse er samtykke, fastsatt i lov eller at behandlingen er nødvendig. Oppgaven opplyser ikke om at det er innhentet noe samtykke for innsamlingen av personopplysningene eller at det er fastsatt i noe lov. Eks: på når det kan være fastsatt i lov er typisk folkeregistret krever at alle som er bosatt i Norge på registreres. Formålet med publikumsundersøkelsen er som tidligere nevnt å kartlegge innbyggerens meninger og vurderinger om kommunens servicetilbud. Grunnen er at Fagervang kommune «er til for innbyggeren», som jeg tolker på den måten at kommunen ønsker å møte innbyggerens behov og forbedre servicetilbudet hvis det er det som ønskes av innbyggerne. Ettersom kommunen er en forvaltningsorgan som utøver myndighet anser jeg denne publikumsundersøkelsen «nødvendig» for at de kan utøve myndighet på en bedre måte i fremtiden jf. Pol 8 bokstav e. Formålet er også uttrykkelig angitt og stemmer overens med hva behandling ansvarlige (Fagervang kommune) ønsker å oppnå i deres virksomhet. Fagervang kommune oppfyller to av grunnkravene gitt i pol 11 bokstav a og b. Med bokstav c kommer vi tilbake til oppgavens problemstilling. Pol 11 bokstav c gir krav om at personopplysninger «ikke skal brukes til senere formål som er uforenlig med det opprinnelige formålet med innsamling». Her er det viktig å analysere sakens gitte formål. Jeg oppfatter to formål med den gitte informasjonen fra Fagervang kommune til innbyggerne. Den ene er å samle inn meninger og vurderinger om hva innbyggerne syntes om kommunes servicetilbud og det andre 5 5

formålet er å samle inn epost (som også kan knyttes en enkel 361 person) for å kontakte personen som har vunnet fruktkurven. 2015-05-05 Det vil si at å kontakte alle som har svart på undersøkelsen for å minne om valget og valgets betydning vil være uforenlig med det opprinnelige formålet jf. Pol 11 bokstav c. Selv om kommunen er en forvaltningsorgan jf. Ovenfor i oppgaven og elektronisk kommunikasjon med forvaltingen er tillatt etter eforvaltningsforskriften kapittel 2, så legger forskriften til rette for elektronisk kommunikasjon når personer/innbyggere først har henvendt seg til forvaltningen elektronisk jf. eforvaltningsforskriften 3 første ledd. Dette gjelder ikke i denne saken, fordi innbyggerne kun har blitt informert om at formålet med bruken av epostadressen hvis man vinner fruktkurven. 6 Jeg tolker lovregelen pol 11 i lys av formålsbestemmelsen gitt i pol 1 om å beskytte grunnleggende personvernhensyn, som består av behovet for personlig integritet og privatlivets fred som er en svære variere fra person til person og bør derfor ikke krenkes ved å behandle personopplysninger uforenlig med opprinnelig formål jf. Pol 11 bokstav e. Konklusjonen på problemstillingen er at det rettslige hindret for Peder Ås å kontakte alle per epost (fra publikumsundersøkelsen om kommunens servicetilbud) fordi det er uforenlig med formålet som ble gitt til å bruke epostadressene jf. Pol 11 bokstav e. 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding