Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Like dokumenter
Høring om ny personopplysningslov

Ny personopplysningslov norsk implementering av EUs personvernforordning

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Høringssvar fra Arkivverket - utkast til ny personopplysningslov

NOU 2019:9 Fra kalveskinn til datasjø Ny lov om samfunnsdokumentasjon og arkiver

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

Innspill til utvalget for endring av arkivloven. Camilla Knudsen Tveiten

20 JUL Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nye arkivforskifter. Monika Kurszus Håland Fagdag onsdag 30.mai 2018

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

NOU 2019: 9. Fra kalveskinn til datasjø. Ny lov om samfunnsdokumentasjon og arkiver

Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

NOU 2019:9 Fra kalveskinn til datasjø Ny lov om samfunnsdokumentasjon og arkiver

GDPR (personopplysningsloven)

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Saksbehandling, arkivdanning og arkiv om arbeidsprosesser, dokumentasjonsforvaltning og langtidslagring

0030 Oslo 16. oktober 2017

Får vi en ny arkivlov? NOU-en er sluppet, men hva nå?

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Arkivfaglig veileder i GDPR-spørsmål

Ny forvaltningslov. Noen kommentarer og spørsmål fra Arkivverket 8. Arkivmøte april 2019

Marianne H. Tengs, på "Åpent møte om Noark og andre utfordringer i dokumentasjonsforvaltningen",

Høringssvar fra Arkivverket - arkivforskriften

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl

Grunnkurs arkiv. Kjetil Reithaug arkivsjef Interkommunalt arkiv i Vest-Agder IKS (IKAVA)

PERSONVERN I C-ITS

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Bakgrunn: Mandat og sammensetning

Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Innspill til utvalget for ny Arkivlov om endringer i Arkivlova og tilhørende organisering og forskrifter

Bakgrunn: Mandat og sammensetning

Forslag til ny lov om behandling av personopplysninger

Arkivlovgivning i endring

Arkivlovutvalget har levert!

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Registrering av e-post e-postrekker og dokumentbegrepet. Norsk arkivråds høstseminar Øivind Kruse Arkivar, Riksarkivet

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Bevaring av dokumentasjon i læringssystemer Lars-Jørgen Sandberg, Riksarkivet

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Ny «Riksarkivarens forskrift» på høring

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

ARKIVLOVUTVALGET BAKGRUNN - MANDAT STATUS

OM PERSONVERN TRONDHEIM. Mai 2018

Hvordan ivareta personvernet ved skikkethetsvurderinger?

NOU 2019: 9. Fra kalveskinn til datasjø. Ny lov om samfunnsdokumentasjon og arkiver

GDPR HVA ER VIKTIG FOR HR- DATA

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Elektronisk arkiv - hva er det? Karin Amalie Holmelid kaho@hib.no Arkivleder/leder for Dokumentsenteret ved Høgskolen i Bergen

KONGELIG RESOLUSJON. Kulturdepartementet Ref.nr.: 16/1984 Statsråd: Linda Hofstad Helleland Dato: 15. desember 2017

Ny personvernforordning trer i kraft i mai 2018

I paragrafenes tegn. Revisjon av arkivloven med forskrifter

HØRING - ENDRINGER I OFFENTLEGLOVA - POLITIDIREKTORATETS MERKNADER

Norsk Arkivråd Frokostmøte om e-postfangst kommentarer til rapport fra arbeidsgruppe i SAMDOK. 12. februar 2015 Jorunn Bødtker

Personvernerklæring for Cristin (Current Research Information System in Norway)

Møte med Arkivlovutvalget

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil. Vår ref /EMS. Vi viser til Justisdepartementets brev av 3. Juli d.å.

Saksbehandling og bruk av sosiale medier

Høring - Nye bevarings- og kassasjonsbestemmelser for kommunene og fylkeskommunene

Forskningsinstituttenes Fellesarena - FFA Postboks 5490, Majorstuen 0305 Oslo Tlf

GDPR Prosjektgjennomføring Sjekkliste

Personvernerklæring for Flyt Høgskolen i Molde

Personvern i skyen Medlemsmøte i Cloud Security Alliance

PERSONVERN ARKIVKONFERANSE

FRA KALVESKINN TIL DATASJØ ARKIVLOVUTVALGETS NOU 2019:9 MEDLEMSMØTE I NA REGION VEST 7. JUNI 2019 NY LOV OM SAMFUNNSDOKUMENTASJON OG ARKIVER

Bevaring og kassasjon nytt regelverk på høring høsten 2012

Revidering av lover med betydning for arkiv

BLIR DET ENDELIG ORDEN PÅ DE ENORME DATAMENGDENE? Sett i lyset av Arkivverkets forslag om earkiv

Dokumentfangst i praksis

Arkivene og personvernforordningen Virksomhetsdokumentasjon og arkivformål i allmennhetenes interesse

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Hva driver NA med og hva kan arkivarenes rolle i omorganiseringer innebære? Marianne Høiklev Tengs, styreleder

Dokumenter som må være på papir i en fullelektronisk verden?

kommunesamling 6. Juni 2007 Svein Amblie

Høringssvar ny forskrift om arkiv

Frokostseminar ISO serien Hva kan den brukes til i Norge?

NOKIOS, 1. november Anne Mette Dørum, Riksarkivet

v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Tenkte å si litt om...

Rådmannen i kommunen er øverste ansvarlig for behandling av personopplysninger.

Arkivplanlegging hva, hvorfor og hvordan. Sigve Espeland Interkommunalt Arkiv i Rogaland IKS

Arkivhistorie i Norge

Arkiv i endring. Revisjon av arkivloven med forskrifter

BEHANDLING AV PERSONOPPLYSNINGER

Ny personopplysningslov som implementerer EUs nye personvernforordning i norsk rett på høring Frokostmøte Norsk arkivråd 26.

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Høring - ny forskrift om offentlige arkiver

GDPR General Data Protection Regulativ

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Transkript:

Justis- og beredskapsdepartementet lovavdelingen@jd.dep.no Oslo, 13.10.2017 Deres ref.: 17/4200 ES ØMO Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett Vi viser til høring om ny personopplysningslov gjennomføring av personvernforordningen i norsk rett datert 6. juli 2017 med høringsfrist 16. oktober 2017. Norsk Arkivråd (NA) er ikke høringsinstans, men ønsker likevel å komme med innspill på de delene av endringene som berører vår medlemsmasse i stor grad. NA er landets største frivillige arkivfaglige organisasjon. Vi har ca. 1200 medlemmer, og medlemsmassen består både av virksomheter og enkeltmedlemmer. Organisasjonen har medlemmer fra alle deler av landet, og de er både fra bedrifter og organisasjoner i offentlig og privat sektor. NA er spesielt opptatt av hvordan arkiver blir dannet (arkivdanning). En god arkivdanning er en forutsetning for at offentlige virksomheter ivaretar sitt samfunnsoppdrag. Våre merknader begrenser seg derfor til den innvirkning ny lov vil ha for arkivskapere i deres arbeid. EU sin personvernforordning innebærer en nødvendig modernisering i forhold til den digitale utviklingen i samfunnet, og våre medlemmer ser fram til å implementere dette innenfor vårt felt. Behov for å avklare når unntak for arkivformål gjelder «Archives» er i den norske versjonen av forordningen oversatt med arkiv. Dette mener vi skaper en del uklarhet for når unntaksbestemmelsene vil gjelde i artikkel 17 pkt. 3 b eller d. Når den engelske teksten bruker «archives» bygger dette på et skille i forståelsen av «governance» eller forvaltning på norsk, hvor det først foregår «records management» som så blir overført til «archives». På norsk vil dette tilsvare skillet mellom «arkivdanning» og 1

«arkivdepot», altså perioden fra informasjon blir skapt i en virksomhet til den er lagret og tilgjengeliggjort med tanke på omverden og fremtiden. Videre er det uklart hvor skillet mellom arkivdanning og arkivdepot går når forståelsen av hva som er "arkivformål" er så forskjellig i de forskjellige europeiske land. Selv innen de nordiske land er det klare nasjonale forskjeller. Flere land bruker ordet «arkiv» om både arkivdanning og -depot, f.eks. de nordiske land, Nederland, Belgia og Spania. I Storbritannia, Frankrike og Tyskland har man derimot forskjellige ord for danning og depot, men har brukt ordet arkiv i sine oversettelser. I og med at nasjonal lovgivning er viktig som klangbunn for den nasjonale tilpasningen av forordningen, blir det viktig å drøfte når «archives» eller arkivformål i allmennhetens interesse oppstår i en norsk kontekst. NA mener derfor det er viktig at det avklares når unntak for arkivformål vil inntreffe for virksomhetene når arkivdanningen skjer. «Retten til å bli glemt» og ny 14 Etter dette følger spørsmålet om hva nasjonal lovgivning sier om forholdet mellom arkivdanning og arkivdepot som grunnlag for hva den nasjonale tilpasning av forordningen innebærer. Når oppstår det et arkivformål? Saksbehandling i offentlig forvaltning forutsetter at det er et behandlingsgrunnlag for at arkivformål blir aktuelt. Her vil vi dog trekke fram at formålsparagrafen i arkivloven i seg selv burde kunne være et behandlingsgrunnlag. Det er en diskusjon som savnes i høringsteksten. Et av de spørsmålene som er reist i den offentlige debatt om personvern er «retten til å bli glemt», og nødvendigheten av juridiske verktøy for å kunne kreve sletting av visse typer opplysninger. I norsk sammenheng har debatten også lagt vekt på «retten til å bli husket», og i flere stortingsmeldinger om arkiv har det blitt poengtert arkivenes plikt til å dokumentere enkeltpersoners rettigheter. I Norge har arkiver også spilt en vesentlig rolle i erstatningssaker etter opphold i barnehjem, utdanning ved spesialskoler og så videre. Bevaringsreglene for arkiv har vært betydningsfulle for å kunne dokumentere enkeltindividers behandling i ettertid, og spesielt gjelder dette der det ikke det finnes andre kilder for dokumentasjon. Ut i fra forordningen er det mulig at dette er utenfor det norske handlingsrommet for å gjøre konkrete endringer. Det henvises i teksten til at sletting ikke skal være i strid med nasjonal lovgivning, men det er et spørsmål om den norske personopplysningsloven kan poengtere slike forhold sterkere enn den gjør i dag. NA forstår dette slik at arkivlovens kassasjonsforbud står sterkere enn en persons rett til eller ønske om sletting. I tillegg faller Datatilsynets adgang til å kreve sletting bort. Dette er 2

endringer som NA mener det er relevant å drøfte av utvalget som skal utarbeide ny arkivlov (jf. dagens arkivlov 9 og 18) framfor at dette skal lovfestes i personopplysningsloven. Høringsteksten viser også til at man bør gå gjennom lover som viser til bestemmelser i dagens personopplysningslov. NA ser det likevel slik at når saksbehandling er avsluttet kan «arkivformål for allmennhetens interesse» være grunnlag for fortsatt bevaring. Norsk arkivtenkning forutsetter at informasjon blir arkiv (dokumentasjon) hvis den er gjenstand for saksbehandling eller har verdi som dokumentasjon (jf. arkivforskriften 2.6). Det vil si at personopplysninger fortsatt kan inngå i dokumentasjon når saken er avsluttet. Denne dokumentasjonen vil være en del av organets arkiv fram til arkivet skal overføres til arkivdepot. For statlige organ er det normalt etter 25 år, mens fylkeskommuner og kommuner har ansvar for eget arkivdepot og må lage egne regler for overføring. I mange tilfeller vil eventuell arkivfaglig kassasjon, etter bevarings- og kassasjonsvedtak, gjennomføres først ved overføring til arkivdepot. NA vil derfor hevde at arkivformålet oppstår med en gang en sak er avsluttet, dvs. i arkivdanningen. Det er ingen klare grenser for når saksbehandling er avsluttet. Man må anta at behandlingsgrunnlaget gjelder så lenge det er klageadgang. Her kan det være stor variasjon i behovet for å oppbevare dokumentasjon fra en virksomhet til en annen. Vi foreslår derfor at personopplysningsloven 14 første ledd får følgende ordlyd: 14 Unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistiske formål. Personvernforordningen artikkel 15, 16, 18, 19, 20 og 21 gjelder ikke for behandling av personopplysninger utelukkende for arkivformål i allmennhetens interesse så langt rettighetene vil gjøre det umulig eller i alvorlig grad vil hindre at målene med behandlingen eller arkivlovens formål nås. Lovbestemt innsyn Departementet gjør noen vurderinger i høringsutkastet på side 105: «anser departementet det som overflødig å lovfeste en ytterligere presisering av at forordningen ikke er til hinder for innsyn etter offentleglova. Departementet foreslår derfor ingen lovregulering av forholdet til offentleglova tilsvarende gjeldende personopplysningslov 6 første ledd. Departementet understreker at dette ikke medfører noen innskrenkning av innsynsretten etter offentleglova sammenlignet med dagens regler. 3

Også når det gjelder forholdet til innsynsrett etter forvaltningsloven og annen lov, anser departementet det som unødvendig å videreføre særreguleringen i gjeldende personopplysningslov 6.» NA undrer seg noe over denne lesningen av forordningen artikkel 86. Er det virkelig så klart i forordningen? Både den engelske og den norske teksten kan leses som at regelverk for innsyn og forordningen skal samordnes. Etter vårt syn står det ikke at innsyn med unntak for sensitive personopplysninger alltid vil gå foran. Article 86 Processing and public access to official documents Personal data in official documents held by a public authority or a public body or a private body for the performance of a task carried out in the public interest may be disclosed by the authority or body in accordance with Union or Member State law to which the public authority or body is subject in order to reconcile public access to official documents with the right to the protection of personal data pursuant to this Regulation. Utkast til ny personopplysningslov 5 har på dette området en uklar formulering. NA ønsker at man opprettholder at det offentlige innsynet blir regulert i loven. Om ikke annet burde det av pedagogiske grunner vært presisert i personopplysningsloven at retten til innsyn fortsatt har fortrinn. Vi foreslår derfor at man finner plass for formuleringen i den nåværende personopplysningsloven 6: «Forholdet til lovbestemt innsynsrett etter andre lover Loven her begrenser ikke innsynsrett etter offentleglova, forvaltningsloven eller annen lovbestemt rett til innsyn i personopplysninger.» Arkivering av e-post Under punkt 35 behandles spørsmålet om arbeidsgivers innsyn i ansattes e-postkasse med videre, og det foreslås at dagens regler videreføres. NA mener tvert imot at vi her har en gylden anledning til å oppdatere lovverket på dette området. Dagens bestemmelser gir den enkelte ansatte for stort ansvar knyttet til arkivering av e-post. Det krever mye kompetanse og gode tekniske løsninger å arkivere i mange av sak-/arkivsystemer som er i bruk i dag, og dette hindrer arkivering av sentrale dokumenter på alle forvaltningsnivåer i både kommunal og statlig sektor. NA ønsker at man nå ser på mulighetene for automatisert fangst av e-post basert på gitte kriterier, bruk av robotteknologi for å søke etter og journalføre arkivverdig e-post eller andre sikre og digitale løsninger som ikke krever mange manuelle operasjoner før lagring er gjennomført. 4

Hvis man likevel velger å videreføre dagens regelverk må det tydeliggjøres hvilket ansvar den enkelte har, for eksempel ved å legge til et ledd i 2 i «Bestemmelser om arbeidsgivers innsyn i e-postkasse m. v.»: «Arbeidstaker plikter å sørge for journalføring og arkivering av all informasjon og saksdokumenter som er gjenstand for saksbehandling og har verdi som dokumentasjon slik arkivforskriften fastsetter.» Personvernrådgiver (personopplysningsloven 6) NA ønsker å framheve noen problemer med de oppgaver som er tillagt personvernrådgiver sett opp mot grunnlag for å overholde arkivformålet. I 6 sies det at grunnlag for oppbevaring av sensitive opplysninger i arkiver kan være tilslutning fra personvernrådgiver. Dette kan være problematisk i noen situasjoner: I tilfeller der Riksarkivaren kan dispensere fra taushetsplikt kan resultatet i praksis blir et krav om «dobbeltgodkjenning». Det finnes gråsoner mellom rekkevidden av personvernrådgivers myndighet, for eksempel når kommuner bruker et interkommunalt arkiv. Vil henholdsvis eierkommunens og det interkommunale selskapets personvernrådgivere begge ha myndighet? Atferdsnormer (jf. forordningen artikkel 40) På grunnlag av forordningens artikkel 40 er vi kjent med at European Archives Group (EAG) har utarbeidet et utkast til «Code of Conduct for Archives Services». EAG foreslår at denne atferdsnormen gjøres obligatorisk for offentlige arkivdepot, men frivillig for private arkivdepot (herunder nasjonalarkiver, universitetssamlinger og museale samlinger både i privat og offentlig sammenheng). En slik atferdsnorm kan være egnet til å skape en bedre forståelse av «arkivformål i allmennhetens interesse». Når man ser på definisjonen av «archives» i utkastet til atferdsnorm gir det viktige innspill til å forstå hvordan arkivdanning og arkivdepot skal forstås: «Archives Materials created or received by a person, family, or organization, public or private, in the conduct of their affairs and preserved because of the enduring value contained in the information they contain or as evidence of the functions and responsibilities of their creator, especially those materials maintained using the principles of provenance, original order, and collective control; permanent records. Atferdsnorm for arkiv vil også slå fast viktige prinsipper på et annet område hvor det er betydelige nasjonale forskjeller i arbeidsdelingen mellom arkivdanning (records 5

management) og arkivdepot (archives); nemlig bevaring og kassasjon (appraisal) (jf. kapittel 4.1). Her vil utviklingen av arkivlovgivningen være av avgjørende betydning for den praktiske utformingen i Norge. Implementering og økonomiske og administrative konsekvenser Når det gjelder bestemmelser knyttet til sletting av opplysninger kan det oppstå noen problemer ved gjennomføring av sletting. Artikkel 89 er grunnlaget som skal garantere for at personopplysninger som oppbevares etter arkivformålet er tilstrekkelig teknisk og organisatorisk sikret med tiltak for å ivareta den registrertes rettigheter. Sletting etter «tilrådning fra personvernrådgiver» er foreslått tatt inn i den nye personopplysningsloven. Det kan være vanskelig å forstå hva dette skal innebære. Forordningen er vag, den gir eksempler på mulige tiltak som muligens burde vært rettet mer konkret mot en norsk virkelighet. Dette kan kanskje høre hjemme i kommende veiledninger. Når det gjelder bestemmelser knyttet til sletting av opplysninger vil vi gjøre oppmerksom på at det i praksis ofte vil være umulig å slette alle spor i for eksempel et NOARK-system. Logger og andre typer data vil være duplisert og flettet inn i systemene på måter som vil gjøre det svært krevende å fjerne hvis det skulle være behov for eller ønske om det. NOARKstandarden sier dessuten eksplisitt at det skal være vanskelig å fjerne informasjon fra arkivsystemene. I tillegg er man etter arkivbestemmelsene pålagt å lage lister over hva som blir slettet når kassasjon foretas. Det er et spørsmål hvordan personopplysninger med nødvendighet må nedfelles i slike lister. Her er det også grunnlag for veiledninger på hvordan og når kassasjon skal utføres. Dokumentere «vurdering av personvernkonsekvenser» Det er uklart hva slik dokumentasjon innebærer. Det legges heller ikke opp til at det skal regelfestes på hvilket tidspunkt dette skal foreligge. Fra et arkivdanningssynspunkt er det også uklart hvem som har ansvar for slik dokumentering blir gjennomført. Det er også uklart hva slags format og eller volum dokumenteringen skal ha. Hvis dette ikke kan leses ut av forordningen eller norsk lovgivning er det vesentlig at det utarbeides egne veiledninger på dette feltet. Særlovgivningen Det bes om høringsinstansenes syn på om det er bestemmelser i særlovgivningen som må anses som unntak eller særreguleringer som forordningen ikke åpner for å videreføre. 6

NA viser her til deler av vår argumentasjon ovenfor og konkluderer med at det er vesentlig å se på forholdet mellom forordning og personopplysningslov med tanke på: Arkivloven særlig spørsmålet om hvordan arkivformål skal forstås i norsk kontekst og om forordningen får betydning for prosedyrer for kassasjon i arkiver før avlevering. Offentleglova særlig med tanke på forholdet mellom innsynsrett og personbeskyttelse. Forvaltningsloven særlig om hva som er tilstrekkelig dokumentasjon av personopplysninger i enkeltvedtak. Vennlig hilsen Marianne H. Tengs leder Norsk Arkivråd 7

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding