Utlendingsdirektoratets høringssvar ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Like dokumenter
Høringssvar fra Utlendingsdirektoratet politiets tilgang til utlendingsmyndighetenes registre

Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO

Utlendingsdirektoratets innspill til høring om forslag til endring i utlendingslovens regler om visitasjon i forbindelse med asylregistreringen

Høring - Politiets adgang til å benytte et fremtidig nasjonalt ID-kortregister

Høring - Forslag til endringer i barneloven og straffeloven

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

Utlendingsdirektoratets innspill til høring om forslag til endringer i utlendingslovens regler om tvangsmidler

GDPR HVA ER VIKTIG FOR HR- DATA

Høring Forslag til endringer i utlendingsforskriften Adgang til å ta lyd- og bildeopptak av asylregistreringen

Høringsinnspill fra UDI - Lov- og forskriftsendring som følge av Storbritannias uttreden fra Den europeiske union (Brexit)

Utlendingsdirektoratets høringsuttalelse - Forslag til endringer i utlendingsloven og utlendingsforskriften - Gjennomføring av Dublinforordningen

Vår referanse:

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

Innsynsrettigheter og plikt til å gi informasjon til registrerte. Dag Wiese Schartum, AFIN

0030 Oslo 16. oktober 2017

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Arbeidsgivers personvernplikter

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Utlendingsdirektoratetes merknader - endringer i utlendingsloven - 24-årsgrense for familieetablering

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Personvernerklæring. Hvorfor behandler vi personopplysninger om deg?

Personvernforordningen

Høringsuttalelse fra UDI - Økt kvalitet og bedre gjennomføring av introduksjonsprogrammet og opplæring i norsk og sammfunnskunnskap

Personvernforordningen

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

UTLENDINGSDIREKTORATETS HØRINGSVAR - POLITIREGISTERFORSKRIFTEN

Utlendingsdirektoratets høringssvar - endringer i utlendingsforskriften, varig ordning for lengeværende barn og begrunnelse i vedtak som berører barn

Høringssvar til utkast til ny personopplysningslov gjennomføring av personvernforordning i norsk rett

Personopplysningsvern med ProFundo som databehandler

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Deres ref: 15/2459 Vår ref: 15/ Dato:

EUs personvernforordning og norsk personopplysningsrett

Høringsnotat. Innhold. Innvandringsavdelingen 27. november 2017 Høringsfrist: 12. januar 2018 Snr. 17/6598

Nytt i personopplysningsloven (trer i kraft i mai 2018)

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Høringsnotat. Innvandringsavdelingen Dato: 21. juni 2017 Saksnr: 17/3822 Høringsfrist: 15. september 2017

Personvernerklæring for Flyt Høgskolen i Molde

Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde.

Bestilling - utlendingsforvaltningens behov for informasjon fra barnevernet

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

HØRING - ENDRINGER I UTLENDINGSLOVEN - POLITIETS TILGANG TIL OPPLYSNINGER OM BEBOERE I ASYLMOTTAK POLITIDIREKTORATETS MERKNADER

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernforordningen

Deres ref: 15/ Vår ref: 15/ Dato: Utlendingsdirektoratet har følgende innspill til endringsforslagene:

Forslag til ny lov om behandling av personopplysninger

å PoLmET á OSLO POLITIDISTRIKT b. Frist for innspill til Politidirektoratet også forelagt andre enheter i politidistriktet.

Høring om ny personopplysningslov

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

GDPR Prosjektgjennomføring Sjekkliste

Ny personopplysningslov fokus på personalmappen

Rådmannen i kommunen er øverste ansvarlig for behandling av personopplysninger.

Personvern-rett H2016

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

NINAs personverndokument

Høring om ny prosessordning i sikkerhetssaker etter utlendingsloven

SVAR FRA UDI - HØRING OM ENDRINGER I UTLENDINGSREGELVERKET OM ARBEIDSINNVANDRING

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Utlendingsnemnda (UNE) viser til departementets brev med vedlagt høringsnotat.

Høringssvar fra Utlendingsdirektoratet - Forslag om å avvikle prinsippet om ett statsborgerskap i statsborgerloven

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Personvernerklæring i NOAH AS

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

GDPR - viktige prinsipper og rettigheter

IM V8. Saksnummer: 11/ Dato: 2. februar 2012

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Personvernerklæring for Edvarda (Consortia Manager)

Personvern i EPD-Norge

Personvernerklæring for Søknadsweb

Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

Nytt personvernregelverk på 1-2-3

GDPR Hva, hvordan og når

IM V4. Saksnummer: 11/ Dato: 2. februar 2012

GDPR og innsyn. Ingvild Stock-Jørgensen Jurist/informasjonssikkerhetsrådgiver, Avdeling for IT UiT Norges arktiske universitet. Norsk Arkivråd 13.6.

Personvernerklæring for EVUweb - søkere

Dato: Vår ref: 17/ Deres ref: 17/762. Høringssvar - tilknytningskrav for familieinnvandring

Offentlighetsloven og taushetsplikt

Personvernforordningen

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Personvernerklæring for Søknadsweb

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Høringsuttalelse - Justis- og politidepartementet - Behandling av personopplysninger - Lov av

Personvernerklæring for EVUweb - søkere

Prosedyre for personvern

Seminar for Norids forhandlere

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

BEHANDLING AV PERSONOPPLYSNINGER

POLITIDIREKTORATETS HØRINGSSVAR - ENDRINGER I UTLENDINGSFORSKRIFTEN - VILKÅR FOR TVANGSRETUR AV BARN MED LANG OPPHOLDSTID I NORGE

Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Unødvendig, overdreven bruk av identifisering og biometri vil kunne skade vår sikkerhet og personvernet.

Personvernforordningens krav til bruk av databehandlere

Utlendingsdirektoratets høringssvar - NOU 2014:8 Tolking i offentlig sektor

IM V1. Navn på søker. Statsborgerskap. Fødselsdato. Sivilstand. Eventuelt alias. Personlig dokument. Relevante relasjoner.

Prop. 6 L. ( ) Proposisjon til Stortinget (forslag til lovvedtak) Endringer i introduksjonsloven (Nasjonalt tolkeregister)

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Transkript:

Justis- og beredskapsdepartementet v/ Lovavdelingen Postboks 8005 Dep 0030 OSLO Deres ref: 17/4200 ES ØMO/bj Vår ref: 17/03074-3 Dato: 12.10.2017 Utlendingsdirektoratets høringssvar ny personopplysningslov gjennomføring av personvernforordningen i norsk rett Vi viser til høringsbrev av 6. juli 2017 fra Justis- og beredskapsdepartementet om utkast til ny personopplysningslov, som gjennomfører EUs personvernforordning i norsk rett. Departementet foreslår at forordningen inkorporeres i norsk rett, og at den gjøres gjeldende gjennom en henvisningsbestemmelse i den nye personopplysningsloven. Departementet foreslår videre enkelte lovbestemmelser i ny personopplysningslov som utfyller bestemmelsene i forordningen. Utlendingsdirektoratet (UDI) har flere innspill og kommentarer til endringsforslagene. Inkorporasjon gjennom henvisningsbestemmelse UDI mener det er lite brukervennlig at forordningen gjøres gjeldende som norsk rett gjennom en henvisningsbestemmelse i den nye personopplysningsloven, samtidig som den nye personopplysningsloven inneholder egne lovbestemmelser som utfyller bestemmelsene i forordningen. Regelverket vil bli svært fragmentert på områder der behandlingen av personopplysninger krever ytterligere regulering i særlovgivningen, som for eksempel ved offentlig myndighetsutøvelse, jf. artikkel 6 nr. 3 og artikkel 9 nr. 2 bokstav g. Vi foretrekker derfor at alle bestemmelsene i forordningen inkorporeres i den nye personopplysningsloven, etter mønster fra menneskerettsloven. Anvendelse av personvernforordningen, direktivet og ny personopplysningslov på sikkerhetssaker Saker som er nødvendige av hensyn til rikets eller alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser (sikkerhetssaker) er ikke omfattet av personvernforordningen (jf. artikkel 2 nr. 2 bokstav a og b) eller EUs direktiv 2016/680 (jf. artikkel 2 nr.3 bokstav a og punkt 14 i fortalen). Utlendingsdirektoratet Norwegian Directorate of Immigration Hausmanns gate 21 Pb. 8108 Dep. NO-0032 Oslo +47 23 35 15 00 udi@udi.no, www.udi.no Organisasjonsnummer 974760746 Saksbehandler: Stefanie Pettersen

Departementet står derfor fritt til å regulere behandlingen av personopplysninger i slike sikkerhetssaker. Behandlingen må imidlertid tilfredsstille rammene i henhold til EMK artikkel 8 og Grunnloven 102. Departementet foreslår å videreføre dagens rettstilstand, slik at personopplysningsloven har generell anvendelse, og ikke er begrenset til å gjelde innenfor EØS-rettens saklige virkeområde, jf. høringsnotatet punkt 4.3.1. Det fremgår imidlertid av høringsnotatet punkt 4.3.6 at særlige hensyn gjør seg gjeldende for virksomheten til Etterretningstjenesten og Politiets sikkerhetstjeneste (PST). PSTs virksomhet reguleres av politiregisterloven, og departementet foreslår at også Etterretningstjenestens virksomhet unntas fra forordningens virkeområde og reguleres særskilt i etterretningstjenesteloven. UDI gjør oppmerksom på at også utlendingsmyndighetene behandler sikkerhetssaker i henhold til utlendingsloven kapittel 14 om særskilte regler for saker som berører grunnleggende nasjonale interesser eller utenrikspolitiske hensyn. Vi ber derfor departementet vurdere om saker som behandles etter utlendingsloven kapittel 14 også bør unntas fra forordningens virkeområde og reguleres særskilt i utlendingsloven. Ny personopplysningslov vs. forvaltningsloven Vi mener at forholdet mellom ny personopplysningslov og forvaltningsloven bør tydeliggjøres. Det er særlig forholdet mellom bestemmelsene om den registrertes rett til innsyn i ny personopplysningslov (se artikkel 15 i forordningen) og bestemmelsene om partsinnsyn i forvaltningsloven (se fvl. 18 til 19) som bør avklares nærmere. Retten til partsinnsyn etter forvaltningsloven gir i dag større rettigheter enn innsynsretten etter gjeldende personopplysningslov (se 18). For eksempel kan parten (med enkelte unntak) få innsyn i sakens dokumenter i henhold til forvaltningsloven. Ny personopplysningslov og personvernforordningen gir den registrerte en utvidet rett til innsyn, jf. artikkel 15. For eksempel skal den behandlingsansvarlige utlevere en kopi av personopplysningene som behandles, jf. artikkel 15 nr. 3. Det fremgår av høringsnotatet punkt 12.3.2 at unntaket for opplysninger i interne dokumenter som finnes i gjeldende personopplysningslov 23 første ledd bokstav e, ikke kan videreføres. Departementet viser til at innsynsretten kun omfatter opplysninger, og at den registrerte ikke har krav på innsyn i dokumenter som sådan. UDI synes likevel at det er uklart om artikkel 15 i praksis vil gi den registrerte flere rettigheter enn bestemmelsene om partsinnsyn i forvaltningsloven. Grunnen til at forvaltningen kan unnta interne dokumenter fra partsinnsyn er innholdet i dokumentene, det vil si opplysningene som sådan. Slike dokumenter vil kunne inneholde personopplysninger, for eksempel interne vurderinger knyttet til vektleggingen av ulike momenter i en utlendingssak og hva utfallet i saken skal bli. Vi ber departementet vurdere om bestemmelsene i forvaltningsloven 18a og 18b bør harmoniseres med forordningen for å tydeliggjøre hva forvaltningen kan unnta fra partens/den registrertes innsynrett. Side 2 / 8

Vi gjør videre oppmerksom på at utlendingsloven gjør flere unntak fra forvaltningslovens regler, blant annet gis overføringsflyktninger ikke innsyn i dokumenter som er utarbeidet før innreise (innreisetillatelse), jf. utlendingsloven 35 fjerde ledd. Vi legger til grunn at saker om overføringsflyktninger faller utenfor EØS-rettens anvendelsesområde og at norske myndigheter står fritt til å begrense utlendingens rett til innsyn etter personopplysningsloven, slik det er gjort for partsinnsyn i utlendingsloven 35 fjerde ledd. Bruk av fødselsnummer og andre entydige identifikasjonsnumre Departementet ber om høringsinstansenes syn på om det er behov for å videreføre personopplysningsforskriften 10-12 om forsendelser som inneholder fødselsnummer eller andre identifikasjonsnumre, og om det vil være hensiktsmessig å angi mer spesifikt i lovteksten hvilke krav som stilles til elektronisk kommunikasjon, for eksempel at kommunikasjonen må være kryptert. Alle utlendinger som blir registrert i utlendingsmyndighetenes registre tildeles et registreringsnummer (et DUF-nummer) for å sikre entydig identifisering av personen i utlendings- og statsborgersaker. DUFnummeret skal kun benyttes innenfor utlendingsforvaltningen og kan derfor ikke anses som et nasjonalt identifikasjonsnummer. I høringsnotatet punkt 30.3.1 ser det likevel ut som at også DUF-numre vil være omfattet av departementets forslag til lovutkast 9 om bruk av fødselsnummer og andre entydige identifikasjonsmidler. Vi foreslår derfor at lovteksten presiseres på følgende måte: «Fødselsnummer og andre entydige nasjonale identifikasjonsmidler». Dersom også DUF-nummer skal omfattes av ny personopplysningslov 9, er vi usikre på om all bruk av DUF-nummer i elektronisk kommunikasjon må krypteres. UDI sender i dag en rekke servicemeldinger med DUF-nummer til brukerne, for eksempel for å minne dem på at deres oppholdstillatelse må fornyes, eller for å informere om at vedtak i saken er fattet og hvor de må henvende seg for å bli underrettet. Slike servicemeldinger inneholder verken taushetsbelagte eller sensitive personopplysninger og sendes i dag ukryptert enten til brukernes mobiltelefon eller epostadresse. Behandling av personopplysninger på utlendingsfeltet Utlendingslovgivningen inneholder få bestemmelser som regulerer behandling av personopplysninger direkte. I tillegg utfører UDI en rekke oppgaver som ikke er lov- eller forskriftsregulert, herunder behandling av søknader om assistert retur, tildeling av mottaksplass og utbetaling av økonomiske ytelser til asylsøkere. Behandling av personopplysninger til slike formål er i dag hjemlet i personopplysningsloven 8 bokstav e (utøve offentlig myndighet) og UDIs konsesjon fra Datatilsynet (personopplysningsloven 9 tredje ledd). Departementet ber om tilbakemelding på eventuelle konsekvenser av at behandlingsgrunnlagene i artikkel 6 nr.1 bokstav c (oppfylle en rettslig forpliktelse) og e (utøve offentlig myndighet) krever et supplerende rettslig grunnlag i nasjonal rett. UDIs behandling av personopplysninger på mottaksfeltet og ved søknader om assistert retur vil etter implementeringen av forordningen kreve et supplerende rettslig grunnlag i utlendingslovgivningen. Som det fremgår av høringsnotatet er Side 3 / 8

departementet i ferd med å utarbeide bestemmelser i utlendingsloven og utlendingsforskriften, som vil gi et klart behandlingsgrunnlag for behandling av personopplysninger i utlendingsforvaltningen. UDI legger til grunn at de nødvendige endringene vil være på plass innen mai 2018. Unntak fra den registrertes rettigheter Norge kan på nærmere vilkår med hjemmel i artikkel 23 begrense den registrertes rettigheter i artikkel 12-22. Departementet har vurdert om det er behov for å fastsette unntak i nasjonal rett for den registrertes rettigheter og foreslår en egen bestemmelse for unntak fra retten til informasjon, innsyn og plikten til underretning om brudd på personopplysningssikkerheten i lovutkast til ny 13. Departementet foreslår ingen konkrete lovbestemmelser om unntak fra retten til korrigering, sletting, begrensning av behandling, dataportabilitet, retten til å protestere og retten til ikke å være gjenstand for automatiserte individuelle avgjørelser. Innspill til ny personopplysningslov 13 UDI gjør oppmerksom på at kravet i tredje ledd om at begrunnelsen for hvorfor den registrerte nektes innsyn skal inneholde en presis henvisning til unntakshjemmelen kan virke mot sin hensikt. For eksempel vil dokumenter i utlendingssaker kunne inneholde opplysninger som den registrerte ikke bør få innsyn i eller ikke bør få informasjon om at eksisterer i det hele tatt. For eksempel opplysninger som berører grunnleggende nasjonale interesser eller utenrikspolitiske hensyn, eller opplysninger som er påkrevd hemmeligholdt av hensyn til forebygging, etterforskning, avdekking og rettslig forfølging av straffbare handlinger. Vi påpeker at det vil være vanskelig å hemmeligholde at slik informasjon eksisterer, dersom et eventuelt avslag på innsyn må begrunnes med at opplysningene er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser (henvisning til 13 første ledd bokstav a) eller det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølging av straffbare handlinger (henvisning til 13 første ledd bokstav b). Behov for unntak fra artikkel 16 om den registrertes rett til å kreve korrigering Den registrerte har rett til å kreve retting av uriktige eller ufullstendige opplysninger, jf. artikkel 16. UDI legger til grunn at avgjørelsen om hvorvidt personopplysninger er uriktige eller ikke, ligger hos den behandlingsansvarlige. Utlendingsmyndighetene har en generell utredningsplikt og vil kunne registrere personopplysninger som er innhentet fra andre enn den registrerte selv og som den registrerte ikke nødvendigvis er enig i. For eksempel kan utlendingsmyndighetene fastsette en annen identitet i utlendingssaken enn det den registrerte har opplyst og hevder er den rette. Det må da være adgang til å tilbakevise eventuelle påstander fra den registrerte om at opplysningene ikke er korrekte uten hinder av den registrertes rett til korrigering i henhold til artikkel 16. Vi antar at denne problemstillingen er relevant for flere forvaltningsorganer, og anbefaler at departementet vurderer om det er behov for å regulere dette nærmere. Side 4 / 8

Behov for unntak fra artikkel 18 om den registrertes rett til å kreve begrensning av behandlingen UDI mener det er behov for å gjøre unntak fra artikkel 18 ved offentlig myndighetsutøvelse. Bestemmelsen gir den registrerte adgang til å kreve begrensninger i behandlingen av personopplysninger blant annet dersom riktigheten av opplysningene bestrides (artikkel 18 nr. 1 bokstav a) eller den registrerte motsetter seg behandling (artikkel 18 nr. 1 bokstav d). Slik sperring av opplysninger innebærer for eksempel at utlendingsmyndighetene ikke gis adgang til å behandle personopplysningene, herunder ikke gis mulighet til å utlevere nødvendige personopplysninger til andre offentlige etater. UDI mener en slik begrensning vil være uheldig og uhensiktsmessig for utøvelsen av offentlig myndighet. Sett hen til de kravene som stilles til regulering av offentlig myndighetsutøvelse og god forvaltningsskikk, mener vi at artikkel 18 bør gis begrenset anvendelse ved offentlig myndighetsutøvelse. Behov for unntak fra artikkel 21 om den registrertes rett til å protestere mot behandling (innsigelsesrett) Den registrerte har rett til å motsette seg behandling av sine personopplysninger basert på artikkel 6 nr. 1 e (offentlig myndighetsutøvelse) eller f (legitim interesse). Den behandlingsansvarlige kan ikke lenger behandle personopplysningene, med mindre den kan påvise tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter. UDI legger til grunn at vår lovpålagte plikt til å behandle utlendingssaker, herunder saker om utvisning og tilbakekall, anses som tvingende berettigede grunner etter artikkel 21. Vi antar derfor at eventuelle innsigelser mot behandling av opplysninger fra den registrerte i utlendingssaker kan avvises uten nærmere vurdering. Plikten til å varsle tilsynsmyndigheten ved brudd på personopplysningssikkerheten Den behandlingsansvarlige skal varsle Datatilsynet om brudd på personopplysningssikkerheten uten ugrunnet opphold og når det er mulig senest 72 timer etter å ha fått kjennskap til det, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter, jr. artikkel 33 nr.1. Vi synes det er uklart hva som ligger i «risiko for fysiske personers rettigheter og friheter», særlig sett hen til departementets uttalelse i høringsnotatet (punkt 13.6.2) om at bestemmelsen innebærer en viss utvidelse av varslingsplikten sammenlignet med personopplysningsforskriften 2-6 tredje ledd. UDI gjør også oppmerksom på at vi fra tid til annen avdekker avvik (for eksempel i form av uautorisert tilgang til opplysninger i registeret) som krever en nærmere vurdering av PST før Datatilsynet kan bli varslet. Det fremgår av lovutkast til ny 19 at behandling av personopplysninger som er nødvendig av hensyn til rikets eller alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser, er unntatt fra personvernforordningen artikkel 58 nr.1 om Datatilsynets undersøkelsesmyndighet. Vi legger derfor til grunn at det ikke anses som et ugrunnet opphold når eventuelle brudd på personopplysningssikkerheten krever nærmere vurdering av sikkerhetsmyndighetene før varsel til Datatilsynet kan sendes. Side 5 / 8

Plikten til å underrette den registrerte om brudd på personopplysningssikkerheten Det innføres en plikt til å varsle den registrerte om brudd på personopplysningssikkerheten hvis det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter, jf. artikkel 34 nr. 1. UDI synes det er vanskelig å vurdere når plikten inntrer. Det er også uklart hvor mye informasjon varselet til den registrerte skal inneholde. Vi er for eksempel usikre på om den registrerte ved registersnoking har rett til å få utlevert navnet på den ansatte som uten tjenstlig behov har gjort oppslag i den registrertes personopplysninger. Begrepet «personvernrådgiver» Departementet begrunner valg av begrepet med at det benyttes samme begrep i den norske oversettelsen av EUs direktiv om behandling av personopplysninger i straffesakskjeden (EU 2016/680). UDI foretrekker imidlertid begrepet «personvernombud» fremfor «personvernrådgiver». Grunnen til dette er at ombudsbegrepet samsvarer i større grad med de oppgavene som er tillagt denne rollen. Vi viser i den forbindelse særlig til oppgaven knyttet til å føre kontroll med virksomhetens overholdelse av forordningen, andre lovfestede personvernregler og personvernretningslinjer, jf. artikkel 39 nr.1 bokstav b. Rollen har således flere oppgaver enn å gi råd til virksomheten. Vi viser videre til at det i UDI i dag finnes én personvernkoordinator som koordinerer personvernarbeidet i direktoratet, mens de ulike fagavdelingene har sine personvernrådgivere som skal ivareta etterlevelsen av regelverket innenfor eget fagområde. Vi gjør for øvrig oppmerksom på at dagens personvernrådgiverrolle i politiet har et annet innhold enn rollen i direktivet og forordningen. Det kan derfor være hensiktsmessig å benytte et annet begrep enn «personvernrådgiver» fremover. Vi anbefaler derfor at begrepet i både forordningen og direktivet oversettes til «personvernombud», slik det er gjort i Sverige. Arbeidsgivers rett til innsyn i ansattes e-postkasse, annet elektronisk lagret materiale og aktivitetslogg Departementet foreslår at gjeldende regler i personopplysningsforskriften kapittel 9 om arbeidsgivers rett til innsyn i ansattes e-postkasse mv. videreføres i ny personopplysningslov, men med visse innholdsmessige endringer. For eksempel utvides bestemmelsens virkeområde til også å omfatte innsyn i ansattes aktivitetslogg. Dette innebærer at arbeidsgiveren må følge de samme prosedyrereglene som ved innsyn i arbeidstakerens e-post mv., med mindre formålet med innsynet i aktivitetsloggene er å administrere virksomhetens datanettverk eller avdekke sikkerhetsbrudd i nettverket, og innsynet ikke er rettet mot én eller flere konkrete ansatte. UDI har behandlingsansvaret for Utlendingsdatabasen som inneholder informasjon om alle utenlandske statsborgere som har eller har hatt en utlendings- eller statsborgersak til behandling, samt opplysninger om deres referansepersoner. Dette registeret inneholder store mengder Side 6 / 8

sensitive og taushetsbelagte opplysninger om til dels sårbare personer. For å sikre tilstrekkelig informasjonssikkerhet i registeret og UDIs nettverk gjennomfører vi systematiske risikobaserte søk i aktivitetsloggene for å forebygge og avdekke registersnoking. Slike søk er helt avgjørende for å beskytte de registrerte fra blant annet flyktningespionasje. Metodene, som benyttes for innsyn i loggene og hvilke oppslag som gjøres innenfor ulike risikogrupper, er gradert etter beskyttelsesinstruksen eller sikkerhetsloven. Vi gjør oppmerksom på at informasjon om hvilke ansatte som rutinemessig har blitt sjekket i seg selv kan avsløre metodebruken og risikovurderingene. UDI har derfor behov for å kunne gjøre unntak fra prosedyrereglene, herunder fra plikten til å informere den ansatte om gjennomførte innsyn i hans/hennes aktivitetslogg, når rutinekontrollen ikke har avdekket brudd på informasjonssikkerheten eller arbeidsrettslige plikter. Opplysninger om gjennomførte kontroller er gradert og omfattes således av taushetsplikten i beskyttelsesinstruksen eller sikkerhetsloven. Vi ber departementet vurdere om unntak fra prosedyrereglene i slike saker kan hjemles i ny personopplysningslov 13 første ledd bokstav d. Alternativt bør det kunne gjøres unntak fra bestemmelsen om prosedyreregler i særlovgivningen. Dersom innsynet viser informasjonssikkerhetsbrudd som kan ha betydning for nasjonale sikkerhetsinteresser eller Norges forhold til fremmede makter oversender UDI informasjonen til PST. Vi vil i slike saker ikke foreta oss noe før sikkerhetsmyndighetene har vurdert saken nærmere. Dersom resultatet fra innsynet tilsier at den ansatte må følges opp nærmere, vil UDI gjennomføre en samtale med vedkommende. Den ansatte kan la seg bistå av en tillitsvalgt eller annen representant. Under samtalen vil UDI informere om bakgrunnen for gjennomgangen av loggene, resultatet fra innsynet og hvilke konsekvenser forholdet vil få for den ansatte. Etter samtalen utarbeides det et utkast til rapport som den ansatte kan kommentere på før rapporten blir ferdigstilt. UDI mener at bestemmelsen om prosedyreregler bør utformes på en mer fleksibel måte, slik at underretningen i henhold til tredje ledd kan skje muntlig. Arbeidsgivers behandling av sensitive personopplysninger UDI behandler i dag sensitive personopplysninger om egne ansatte, for eksempel helseopplysninger, med hjemmel i personopplysningsloven 9 første ledd bokstav f. Departementet ber om innspill til hvor en eventuell hjemmel for behandling av personopplysninger i arbeidsforhold kan plasseres. UDI mener det kan være hensiktsmessig å regulere arbeidsgiverens adgang til å behandle personopplysninger i arbeidsmiljøloven. Feil i norsk oversettelse av forordningen Vi gjør oppmerksom på at artikkel 9 nr. 1 mangler et ord i den norske oversettelsen. Både den engelske og danske versjonen ramser opp filosofisk overbevisning som en sensitiv personopplysning, mens dette ordet mangler i den norske oversettelsen. Økonomiske og administrative konsekvenser Det er, som nevnt i høringsnotatet, behov for å regulere behandling av personopplysninger i utlendings- og statsborgersaker i særlovgivningen. I Side 7 / 8

tillegg ser vi at utvidelsen av retten til innsyn vil kreve tekniske endringer som vil medføre betydelige økonomiske konsekvenser for UDI. Det fremgår av artikkel 15 nr. 3 at den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles om den registrerte. Denne kopien skal gis i en vanlig elektronisk form med mindre den registrerte ber om noe annet. Mange personopplysninger i utlendingsog statsborgersaker er sensitive og/eller taushetsbelagte og må sikres på en tilstrekkelig måte. UDI kan følgelig ikke sende kopi av personopplysninger til den registrerte med vanlig epost. Som nevnt ovenfor inneholder Utlendingsdatabasen store mengder sensitive og taushetsbelagte opplysninger om til dels sårbare personer. UDI kan derfor ikke utlevere personopplysninger uten å forsikre seg om at personen som ber om innsyn faktisk er den registrerte. Dette innebærer at UDI må legge til rette for både elektronisk autentisering og sikker elektronisk kommunikasjon med den registrerte. Det er ulike måter å løse denne utfordringen på, og UDI vil søke å finne en løsning som er både effektiv og sikker. Dette vil imidlertid kunne medføre utgifter som er større enn det som kan dekkes innenfor gjeldende budsjettrammer, og vil kreve egen bevilgning. Med hilsen Stephan Mo avdelingsdirektør Ina Knarvik Hørnes seksjonssjef Dokumentet er godkjent elektronisk i Utlendingsdirektoratet og har derfor ingen signatur. Brevet sendes kun elektronisk. Kopi: Justis- og beredskapsdepartementet v/ Innvandringsavdelingen Side 8 / 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding