Ny personopplysningslov gjennomføring av personvernforordningen i norsk rett høringssvar fra Tolletaten

Like dokumenter
Høringsnotat. 1 Hovedinnholdet i høringsnotatet. 2 Bakgrunnen for forslaget

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Forslag til ny lov om behandling av personopplysninger

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Høringssvar til forslaget til regler om at Skatteetaten og Tolletaten kan bruke personopplysninger til å utvikle og teste it - system.

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

EUs personvernforordning og norsk personopplysningsrett

Personvernforordningen

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Finansdepartementet 10. april Høringsnotat

Regelrådets uttalelse. Om: Høyring av forslag om endringar i reglane om informasjonshandsaminga i Skatteetaten Ansvarlig: Finansdepartementet

Personvernforordningen

Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde.

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Høringsnotat. Forslag til endring av energiloven 9-5 (innhenting av politiattest)

Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Vedrørende pkt. 2 Bør det fastsettes nasjonale regler om behandling av personopplysninger i kredittopplysningsvirksomhet?

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

Personvernforordningen

Høring Forslag til endringer i utlendingsforskriften Adgang til å ta lyd- og bildeopptak av asylregistreringen

Saksnr. 18/ Høringsnotat - adgang for Skatteetaten og Tolletaten til å bruke personopplysninger ved utvikling og testing av itsystemer

Høringsnotat. Forslag til endringer i introduksjonsloven hjemmel for behandling av personopplysninger i Nasjonalt tolkeregister

Personvernforordningen

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Finans Norges bransjenormer. PwC 1

GDPR Hva, hvordan og når

GDPR HVA ER VIKTIG FOR HR- DATA

DATABEHANDLERAVTALE. 1. Bakgrunn

FORSLAG TIL FORSKRIFT OM BETALINGSTJENESTER HØRINGSUTTALELSE FRA KLARNA BANK AB

POLITIDIREKTORATETS HØRINGSUTTALELSE OM FORSLAG TIL ENDRINGER I POLITIREGISTERFORSKRIFTEN KAP 70

DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil. Vår ref /EMS. Vi viser til Justisdepartementets brev av 3. Juli d.å.

Ny personvernlovgivning

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Høringssvar fra Utlendingsdirektoratet politiets tilgang til utlendingsmyndighetenes registre

Utlendingsdirektoratets høringssvar ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

NRK vil nedenfor kommentere lovforslaget i samme rekkefølge som høringsnotatet, og følgende forhold vil bli tatt opp:

HØRING - ENDRINGER I UTLENDINGSLOVEN - POLITIETS TILGANG TIL OPPLYSNINGER OM BEBOERE I ASYLMOTTAK POLITIDIREKTORATETS MERKNADER

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

HØRING OM NY PERSONOPPLYSNINGSLOV - GJENNOMFØRING AV PERSONVERNFORORDNINGEN I NORSK RETT

Høringsuttalelse - Justis- og politidepartementet - Behandling av personopplysninger - Lov av

ØKOKRIM Den sentrale enhet for etterforskning og påtale av økonomisk kriminalitet og

Spørsmål om rekkevidden av unntaket fra rapporteringsplikt for advokater

Svar på spørsmål om kapittel 9 A i opplæringsloven

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Nærings- og fiskeridepartementet Postboks 8090 Dep 0033 OSLO

Høring - Forslag til lov om ikraftsetting av straffeloven 2005 mv.

0030 Oslo 16. oktober 2017

Nye personvernregler fra mai 2018, hva nå?

PERSONVERN I C-ITS

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Personvern - vurdering av personvernkonsekvenser - DPIA

Høringsuttalelse - Forslag om nye lovbestemmelser for tollkontroll

Nye personvernregler fra 2018

«Skremsler» kunne og leseveiledning ha til blitt den som vil sette seg Slik inn kan i personvernforordningenbli. Dag Wiese Schartum

Ny personopplysningslov norsk implementering av EUs personvernforordning

Vår referanse (bes oppgitt ved svar)

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Høringssvar til utkast til ny personopplysningslov gjennomføring av personvernforordning i norsk rett

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

REKRUTTERING OG GDPR

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Databehandleravtale. Charlotte Lindberg Difi

Høringssvar forskrift om styringssystem i helse- og omsorgstjenesten

Høringssvar - lov og forskrifter om gjennomføring av rusomsorgen. Helsedirektoratet viser til departementets høringsbrev av 30. januar 2015.

Rusmiddeltesting i arbeidslivet et personvernperspektiv

GDPR - viktige prinsipper og rettigheter

Nye personvernregler

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Nye personvernregler

lntegrerings- og mangfoldsdirektoratet

Høring om ny personopplysningslov

Nye personvernregler fra mai 2018

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Finanstilsynets høringsuttalelse om datalagring

Forslag til utveksling av personopplysninger for å bekjempe arbeidslivskriminalitet - Høring

Høring - Politiets adgang til å benytte et fremtidig nasjonalt ID-kortregister

Nytt i personopplysningsloven (trer i kraft i mai 2018)

HØRING - FORSLAG TIL NY LOV OM UTPRØVING AV SELVKJØRENDE KJØRETØY PÅ VEG POLITIDIREKTORATETS MERKNADER

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Vår referanse (bes oppgitt ved svar)

Høringsnotat NY PERSONOPPLYSNINGSLOV GJENNOMFØRING AV PERSONVERNFORORDNINGEN I NORSK RETT

Høring: NOU 2016:16 - Ny barnevernslov - Sikring av barnets rett til omsorg og beskyttelse

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Nytt personvernregelverk på 1-2-3

Vår ref. (bes oppgitt ved svar) 06/ AFL 28. juni 2006 HØRING - FORSKRIFT OM EIENDOMSREGISTRERING

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Personopplysningsvern med ProFundo som databehandler

EUs nye forordning for personvern

Vi viser til Miljøverndepartementets høringsbrev av om ovennevnte.

Høringssvar - utveksling av personopplysninger for å bekjempe arbeidslivskriminalitet

Høring endringer i politiregisterloven og politiregisterforskriften implementering av direktiv (EU) 2016/ april 2016

Transkript:

Tolldirektoratet Toll - og vareførselsavdelingen Rettsseksjonen Vår ref: 17/25709-10 Arkivkode : 008 Vår dato: 16.10.2017 Deres d ato: Deres ref: Justis - og beredskapsdepartementet Ny personopplysningslov gjennomføring av personvernforordningen i norsk rett høringssvar fra Tolletaten 1. Innledning Det vises til høringsnotatet av 6. juli 2017 fra Justis - og beredskapsdepartementet der det bes om innspill til forslaget til ny personopplysningslov. Ny personopplysningslov er ment å gjennomføre personvernforordningen i norsk rett ved inkorporasjon. Just is - og beredskapsdepartementet tar sikte på at den nye personopplysningsloven skal tre i kraft 25. mai 2018, som er det samme tidspunktet forordningen blir gjeldende i EU. Samtidig oppheves gjeldende personopplysningslov med tilhørende forskrifter. Med de tte følger innspill til høringsnotatet fra Tolletaten. 2. Tolletatens merknader til høringen 2.1 Lovens saklige virkeområde Det vises til høringsnotatets kapittel 4. Forordningen er etter ordlyden i art. 2 nr. 2 bokstav a avgrenset til kun å gjelde EU - ret tens saklige virkeområde. I departementets lovforslag til ny personopplysningslov foreslås presisert i 2 første ledd at forordningens regler også skal gis anvendelse for behandling som faller utenfor EØS - rettens saklige virkeområde. Videre foreslås det i 2 annet ledd at forordningen ikke får anvendelse på saker som behandles etter rettspleielovene, lov om behandling av personopplysninger i kriminalomsorgen eller politiregisterloven. Dette kan blant annet sees i sammenheng med gjennomføringen av, og avg rensningen mot, EU - direktiv 2016/680 om beskyttelse av fysiske personer ved behandling av Postadresse : Besøksadresse : Org.nr: 974761343 Vår saksbehandler: Postboks 8122 Dep Schweigaards gate 15 E - post: post@toll.no 0032 OSLO Oslo Internett: www.toll.no Tlf. direkte: Sentralbord: +47 2286 03 12

Vår ref.: 17/25709-10 Side 2 personopplysninger for å forebygge, etterforske, avdekke eller straffeforfølge lovbrudd eller gjennomføring av straffereaksjoner, og om fri utveksling av slike opplysninger og om opphevelse av rådets rammebeslutning 2008/977/JIS. Ovennevnte EU-direktiv 2016/680 får anvendelse på behandling av personopplysninger som utføres «by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.» Ordlyden korresponderer med avgrensingen av virkeområdet for personvernforordningen, jf. art. 2 nr. 2 bokstav d. Gjennomføring av nevnte EU-direktiv er forutsatt ved endring i politiregisterloven, der høringsrunden er avsluttet. I høringen om direktivet, fremholder Justis- og beredskapsdepartementet at direktiv (EU) 2016/680 regulerer politiets og påtalemyndighetens behandling av personopplysninger til kriminalitetsbekjempende formål, og behandling av personopplysninger innenfor rammene av politisamarbeid og annet rettslig samarbeid i straffesaker. Etter Tolletatens oppfatning fremgår det imidlertid ikke av ordlyden at unntaket fra forordningen kun skal få anvendelse for politi- og påtalemyndigheters arbeid med å etterforske og avdekke lovovertredelser. I den nasjonale høringssaken om EU-direktiv 2016/680 er det heller ikke nærmere kommentert hvorfor virkeområdet har blitt tolket fra «competent authorities» til kun å omfatte politi- og påtalemyndighet. Flere kontrollmyndigheter (herunder Tolletaten) nedlegger også et betydelig kontroll- og etterretningsarbeid med å avdekke lovbrudd, og med å ivareta sikkerheten. Som en del av vareførselskontrollen kan tollmyndighetene etter gjeldende rett stanse og undersøke all vareførsel og enhver person som ferdes til eller fra landet, jf. tolloven 13-1 og 13-3. Tolletaten skal føre kontroll med vareførselen til og fra landet, og med at gjeldende bestemmelser om vareførselen overholdes, jf. tolloven 1-5. For å hindre at ulovlige og farlige varer kommer inn til landet, fører derfor tollmyndighetene kontroll med at de til enhver tid gjeldende restriksjoner og forbud etter straffeloven, legemiddellovgivningen og våpenloven om innførsel og utførsel av narkotika, doping og våpen etterleves. Tolletaten har for eksempel også lovpålagte oppgaver knyttet til kontroll med utførselen av strategiske varer etter eksportkontrolloven. Kontrollvirksomheten tollmyndighetene bedriver er rent faktisk og etter tolloven å avverge og avdekke straffbare forhold som faller utenfor forordningens virkeområde og den tiltenkte avgrensningen i ny personopplysningslov. Tolletaten kommenterte denne problemstillingen ved vårt høringssvar av 1. juni 2012 til EUkommisjonens forslag til ny forordning om personvern. Vi påpekte at det var «svært viktig at det forslaget til direktiv for myndighetenes behandling av personopplysninger i politi- og

Vår ref.: 17/25709-10 Side 3 straffesektoren som skal erstatte rammebeslutning 2008/977, også vurderes i forhold til tollvesenets kriminalitetsbekjempende oppgaver og roller.» Vi er ikke kjent med at en slik utredning er blitt foretatt av departementet. Tolletaten ser det som nødvendig at dette spørsmålet blir utredet særskilt, og at det tas stilling til om hele eller deler av etatens virksomhet er unntatt fra personopplysningslovens virkeområde. Dersom slik utredning ikke gjennomføres innen lovens ikrafttredelse, er Tolletaten av den oppfatning at hele eller deler av etatens virksomhet er unntatt fra lovens virkeområde, og må reguleres særskilt i eget regelverk, jf. art 2 nr. 2 bokstav d. Gitt at spørsmålet utredes, og konklusjonen blir at Tolletaten likevel skal omfattes av lovens virkeområde, følger våre bemerkninger til departementets høringsnotat om ny personopplysningslov nedenfor. 2.2 Prinsippet om formålsbegrensning og lovforslagets 12 Det vises til høringsnotatet kapittel 6.4. Forslaget til ny personopplysningslov 12 lyder som følger: «12 Unntak fra formålsbegrensningen ved lovpålagte tilsynsoppgaver Formålsbegrensningen i artikkel 5 nr. 1 bokstav b og artikkel 6 nr. 4 er ikke til hinder for at offentlige myndigheter som har til oppgave å håndheve lovgivningen om arbeidsmiljø, trygd, skatter og avgifter, utveksler informasjon så langt dette er nødvendig for å utføre lovpålagte tilsynsoppgaver.» Bestemmelsen er ment som en presisering av rettstilstanden som følger av forordningen, nemlig at der nasjonal rett åpner for viderebehandling som ikke er forenlige med innsamlingsformålet (her utveksling av opplysninger mellom offentlige myndigheter), skal ikke formålsbegrensningen i art. 5 hindre slik behandling. Forutsetningen er at regler om viderebehandling utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene i art. 23 nr. 1, jf. art. 6 nr. 4. Tollmyndighetene utveksler i dag opplysninger med flere andre offentlige myndigheter, for eksempel politi- og påtalemyndighet, skattemyndigheter, og andre lands tollmyndigheter. Forutsetningen er at utvekslingen er tillatt etter nasjonal rett. Tolletaten mener imidlertid at den foreslåtte bestemmelsen i 12 har en noe uheldig formulering. Tilsynelatende vil den kunne misoppfattes som en (selvstendig) hjemmel for enkelte tilsynsmyndigheter til å utveksle opplysninger mellom hverandre, uten supplerende

Vår ref.: 17/25709-10 Side 4 rettsgrunnlag i særlovgivning. Videre fremstår det som uheldig å eksplisitt nevne enkelte virksomhetsområder, når det i høringsnotatet likevel understrekes at «Bestemmelsen skal ikke forstås slik at informasjonsutveksling på områder som ikke er dekket av bestemmelsen, er forbudt.» (side 24). Dersom det etter høringen fortsatt er aktuelt å opprettholde en slik bestemmelse, foreslår vi at ordlyden gjøres mer virksomhetsnøytral og generell i utformingen. For eksempel kan man heller vise til at formålsbegrensningen i forordningen ikke skal være til hinder for utveksling av opplysninger mellom offentlige myndigheter som har grunnlag i lov. Presumtivt vil slike bestemmelser om informasjonsutveksling i norsk rett utgjøre et nødvendig og forholdsmessig tiltak for å sikre oppnåelse med et av de formål som er listet opp i art. 23 nr. 1 da listen over formål også omfatter «viktige mål av generell samfunnsinteresse for unionen eller en medlemsstat». 2.3 Behandlingsgrunnlag krav til supplerende rettslig grunnlag i nasjonal rett Det vises til høringsnotatets kapittel 7. Tolletaten deler departementets forståelse av hva som kreves av behandlingsgrunnlag etter forordningens art. 6 bokstav c) og e). Den forståelse av forordningen som departementet redegjør for i høringsnotatet innebærer at behandlinger av personopplysninger som er nødvendig for å utføre en oppgave i allmennhetens interesse eller som er nødvendig for å utøve offentlig myndighet forutsetter en supplerende forankring i nasjonal lov. Formålet med behandlingen behøver for slike tilfeller ikke fremgå direkte av det rettslige grunnlaget, men det må være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Dette innebærer at det ikke kreves lovbestemmelser som eksplisitt angir grunnlaget og rammene for behandling av personopplysninger, men at utførelse av de oppgaver vedkommende er pålagt ved lov, direkte eller indirekte, forutsetter at det behandles personopplysninger. Tolloven har flere bestemmelser som forutsetter behandling av personopplysninger, for eksempel om opplysningsplikt og kontroll. Tolletaten legger således til grunn at behandlinger som har til formål å utføre oppgaver pålagt i gjeldende lovgivning også vil kunne fortsette ved ikrafttredelsen av ny personopplysningslov. Merknader knyttet til behov for eventuelle presiseringer eller tekniske rettinger i særlovgivning på Tolletatens område behandles under i eget pkt. 3.

Vår ref.: 17/25709-10 Side 5 2.4 Om den registrertes rettigheter og unntakene fra disse 2.4.1 Unntak fra de registrertes rett til innsyn av hensyn til tollmyndighetens kontroll- og etterretningsvirksomhet Tolletaten registrerer at ordlyden i gjeldende personopplysningslov 23 videreføres tilnærmet uendret i forslag til ny 13. Det understrekes at tollmyndighetene har behov for å kunne gjøre unntak når hemmelighold er påkrevd av hensyn til tollmyndighetens kontroll- og etterretningsvirksomhet, på grunnlag av lovbestemt taushetsplikt, eller som følge av forpliktelser i henhold til overenskomst med annen stat. Vi legger derfor til grunn at den foreslåtte bestemmelsen, som i dag, også åpner for unntak for å avdekke straffbare forhold som ledd i blant annet tollmyndighetenes virksomhet, jf. Ot.prp. nr. 92 (1998-1999) s. 121. Vi forutsetter også at bestemmelsen ikke kun gir anvisning på en utsatt informasjonsplikt. Unntak fra de registrertes rettigheter av hensynet til ulike kontroll- og tilsynsfunksjoner er også listet opp i forordningens art. 23 nr. 1 bokstav h som viser til at unntak kan gjøres i nasjonal rett for å sikre «a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (e) and (g);». Det er viktig for myndigheter som utfører kontrolloppgaver at unntaksbestemmelsene i ny personopplysningslov også ivaretar kontrollmyndigheters behov for å gjøre unntak der hemmeligholdelse er nødvendig. Tolletaten mener det ikke er nødvendig å begrense unntaksmuligheten ytterligere. 2.4.2 Unntak fra plikten om å underrette den registrerte ved brudd på personopplysningssikkerheten Tollmyndighetene vil tilsvarende som for innsyn ha behov for å unnlate å underrette den registrerte av hensyn til kontroll- og etterretningsvirksomheten eller på grunnlag av lovbestemt taushetsplikt. Vi støtter forslaget til 13. 2.4.3 Unntak for retten til å protestere mot behandling, herunder profilering I høringsnotatets punkt 12.3.3 etterspørres høringsinstansenes syn på om og eventuelt i hvilken utstrekning det er behov for å fastsette unntaksregler i nasjonal rett fra de øvrige rettighetene fastsatt i forordningen artikkel 16-22.

Vår ref.: 17/25709-10 Side 6 Forordningens art. 21 nr. 1 gir den registrerte rett til å protestere mot behandling, herunder profilering, for behandling som skjer med grunnlag i art. 6 nr. 1 bokstav e, og som gjelder vedkommendes særlige situasjon. Tolletaten stiller spørsmål til den tenkte rekkevidden, og de praktiske konsekvensene, av denne bestemmelsen når det gjelder behandlinger som foretas av offentlige myndigheter. Vi anser det ikke som usannsynlig at det vil kunne komme svært mange henvendelser i saker der den registrerte nettopp vil ha «innsigelser» mot kontrollmyndighetenes (her tollmyndighetenes) behandling av personopplysninger. Samtidig vil det være svært begrenset anledning til å stanse behandlingen, som følge av de oppgaver kontrollmyndighetene er pålagt. Tolletaten vil således oppfordre til at det vurderes unntak fra innsigelsesretten i art. 21 nr. 1, herunder unntak for den behandlingsansvarliges plikt til å stanse behandlingen eller påvise "tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter". Dette har også en side mot ressursbruk uten mulighet for å gjøre unntak vil bestemmelsen i art. 21 nr. 1 kunne medføre betydelige krav til ressurser både til løpende administrasjon av ordningen og utvikling av egnede systemløsninger. Av tilsvarende grunn mener vi det også burde vurderes unntak for regelen om begrensing av behandling i art. 18. Ad forordningens artikkel 22 som gjelder automatiserte individuelle avgjørelser, herunder profilering, vil Tolletaten bemerke at en unntaksmulighet også fra denne bestemmelsen er ønskelig. I motsatt fall vil det antakelig for enkelte deler av etatens virksomhet være nødvendig å utarbeide særskilt hjemmel for automatiserte avgjørelser og profilering, jf. art. 22 nr. 2 bokstav b. 2.5 Administrative og økonomiske konsekvenser Det vises til høringsnotatets kapittel 38, hvor departementet også har bedt om høringsinstansenes innspill. Tolletaten savner en grundig redegjørelse for de administrative og økonomiske konsekvensene som lovforslaget innebærer, herunder både for forvaltningen, næringslivet og privatpersoner. Selv om forordningen på mange måter viderefører grunnprinsippene i gjeldende rett, vil utvilsomt de nye kravene og rettighetene som følger av forordningen kreve ressurser for tilpasning og kontinuerlig oppfølging. Dette gjelder både for personell for å ivareta virksomhetens nye (løpende) plikter etter loven, og for systemutvikling som skal tilpasses

Vår ref.: 17/25709-10 Side 7 skjerpede krav til personvern, herunder egnede løsninger for å ivareta de registrertes rettigheter. Blant annet forutsetter den nye personvernforordningen økte krav til gjennomsiktighet i behandlingen og informasjon (herunder innsyn) til de registrerte. Dette finnes det også bestemmelser om i eksisterende regelverk, men de nye reglene vil for mange virksomheter kreve en mer systematisk tilnærming til hvordan dette skal håndteres på tvers av ulike systemer. I en forlengelse av dette er det også lagt et større ansvar til virksomheten for å sikre etterlevelse («Compliance»), herunder med krav til risikovurderinger og økte dokumentasjonskrav. Videre må systemenes funksjonalitet tilpasses øvrige rettigheter, for eksempel krav til å få stanset en behandling når det inngis protest og de registrertes muligheter til å motsette seg ulike typer av behandling. I tillegg stilles det krav til innebygget personvern i alle løsninger og «privacy by default», funksjonalitet for dataportabilitet der dette kan være aktuelt, og funksjoner for unntak i ulike systemer der det foreslås unntak i lovgivningen. Det utvikles også ulike bransjenormer på IKT-siden i farvannet av forordningen, for eksempel håndtering av testdata. I tillegg kommer også kravene til personvernrådgiver i offentlig forvaltning. Særlig i de etatene hvor det behandles personopplysninger i relativt bredt omfang, må det påregnes at kravet til personvernrådgiver vil kunne medføre kostnader som ikke kan dekkes innenfor eksisterende budsjettrammer. I forordningens art. 37 flg. stilles det flere konkrete krav til personvernrådgiverens oppgaveutførelse, kompetanse, uavhengighet og involvering i virksomheten. Det hitsettes også fra art. 38 nr. 2 hvor det fremgår at: «Den behandlingsansvarlige og databehandleren skal støtte personvernrådgiveren i forbindelse med utførelsen av oppgavene nevnt i artikkel 39 ved å stille til rådighet de ressurser som er nødvendig for å utføre nevnte oppgaver, samt gi tilgang til personopplysninger og behandlingsaktiviteter og gjøre det mulig for vedkommende å opprettholde sin dybdekunnskap.» Det er således først når de nye rettighetene og pliktene som følger av forordningen «omsettes» fra rettslige standarder til driftsmessige kravspesifikasjoner at de faktiske konsekvensene kan fastslås med en høyere grad av nøyaktighet. Dette vil imidlertid kunne være forskjellig fra virksomhet til virksomhet, og beror for eksempel på hvilke typer behandlingsprosesser virksomheten utfører, hvordan man tidligere har organisert behandlingsansvaret og hvordan man har strukturert driftsmiljøet på IKT-siden. Tolletaten har påbegynt et slikt kartleggingsarbeid (se også pkt. 3), og vil gi sine innspill til Finansdepartementet når en ressurs- og kostnadsanalyse er gjennomført.

Vår ref.: 17/25709-10 Side 8 Vi må be om å få komme tilbake til kostnadsspørsmålet når premissene er lagt for hvilken utstrekning den nye personopplysningsloven rent faktisk vil få for etatens virksomhet. Kostnadene vil kunne bli betydelige, men vil avhenge av lovens virkeområde om den skal omfatte hele, deler eller ingen av tolletatens virksomhet, samt de konkrete unntakenes omfang og utstrekning. 3. Særlovgivning på Tolletatens område Tolletaten kartlegger og forbereder for tiden etatens tilpasningsbehov til det nye personvernregelverket. Dette gjelder både på system-, organisasjons- og regelverksiden. Vi er også kjent med at Finansdepartementet har en pågående prosess med å vurdere behov for tilpasninger i særlovgivning i forbindelse med ikrafttredelsen av den nye personvernforordningen. Tolletaten skal i den forbindelse gi en oversikt med omtale av eget regelverk der det kan være behov for å foreta tekniske rettinger innen 1. november 2017. Tolloven 13-12 regulerer Tolletatens behandling av opplysninger for kontrollformål. Bestemmelsen åpner for behandling av sensitive personopplysninger, inneholder en henvisning til personopplysningsloven 2 nr. 8 bokstav b og c, samt gjentar, i noe omskrevet form, deler av og presiserer personopplysningsloven 11. Bestemmelsen regulerer også behandling av opplysninger i forbindelse med skiltgjenkjenningssystem (kamera). Når det gjelder sensitive personopplysninger i forordningen fremgår det av høringsnotatet at det kan gjelde et noe strengere krav til tydelighet i lovgrunnlaget enn det som kreves etter behandling av alminnelige personopplysninger etter art. 6. Opplysninger om straffedommer og lovovertredelser kategoriseres ikke lenger som sensitive, men reguleres særskilt i art. 10. Vi vurderer det slik at bestemmelsen i tolloven 13-12 burde gjennomgås for å oppnå en best mulig tilpasning til kravene i den nye forordningen, spesielt art. 9 og 10. Uansett må det foretas teknisk retting av henvisningen til gjeldende personopplysningslov. Det er imidlertid viktig å påse at en slik tilpasning ikke medfører utilsiktede endringer i rettstilstanden, det vil si at tollmyndighetene etter lovendringen må kunne behandle personopplysninger på samme måte som tidligere. Når det gjelder behandlingsgrunnlag for de øvrige behandlingsprosesser som Tolletaten utfører per i dag, er etatens foreløpige vurdering at disse også vil ha tilstrekkelig behandlingsgrunnlag i lovgivningen etter at ny forordning trer i kraft. Som påpekt over legger vi til grunn at behandlinger som har til formål å utføre oppgaver pålagt i gjeldende lovgivning også vil kunne fortsette ved ikrafttredelsen av ny personopplysningslov. Vi har foreløpig heller ikke

Vår ref.: 17/25709-10 Side 9 identifisert områder der behandling foretas basert på dagens personopplysningslov 8 bokstav d og e som selvstendige behandlingsgrunnlag. Vurderingene knyttet til dette er imidlertid en del av det pågående kartleggingsarbeidet i Tolletaten, og det tas forbehold om at det likevel kan vise seg behov for regelverkstilpasninger etter hvert som dette arbeidet går fremover. Som følge av Tolletatens unike plassering på grensen, utfører vi også oppgaver på vegne av mange andre regelverkseiere, som for eksempel Mattilsynet, Statens legemiddelverk, Statens Vegvesen etc. Som en del av kartleggingsprosessen vil det også sees hen til behandlingsprosesser der Tolletaten utfører oppgaver på vegne av andre regelverkseiere, og der Tolletaten er gitt tilgang til opplysninger som andre har innsamlet. For øvrig vil vi vurdere eventuelle behov for presiseringer av rammene for enkelte av tollmyndighetenes behandlingsprosesser. Dette må også sees i sammenheng med Tolletatens strategi om økt digital satsing på kontrollområdet. Eksempelvis vil det for enkelte deler av Tolletatens virksomhet kunne bli nødvendig å utarbeide særskilte hjemler for automatiserte avgjørelser og profilering, slik forordningen åpner for i art. 22 nr. 2 bokstav b, med mindre det foreslås unntak fra art. 22. 4. Avslutning Tolletatens innspill til Justis- og beredskapsdepartementets høringsnotat til ny personopplysningslov kan sammenfattes slik; Lovens virkeområde problematiseres, og Tolletaten er av den oppfatning at det må utredes særskilt om hele eller deler av etatens virksomhet skal unntas fra lovens virkeområde, jf. art. 2 nr. 2 bokstav d. Det er i pkt. 2.4 inngitt merknader til unntakene fra den registrertes rettigheter som er av særlig praktisk betydning for Tolletaten. Tolletaten har nylig påbegynt en kostnadsanalyse, som igjen er avhengig av hvilke punkter i forordningen som får gjennomslag, samt utstrekningen av lovens virkeområde. En vurdering av forordningens økonomiske og administrative konsekvenser må vi derfor komme tilbake til. Våre innspill om behov for tekniske rettinger i særlovgivning vil bli levert Finansdepartementet for videre oppfølging. Etter det vi oppfatter er det imidlertid muligheter for at slike tekniske rettinger vil kunne følge Justis- og beredskapsdepartementets lovproposisjon.

Vår ref.: 17/25709-10 Side 10 Med hilsen Pål Hellesylt avdelingsdirektør Aud Børset Dellrud underdirektør Dokumentet er elektronisk godkjent.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding