Personopplysningsloven: -innhold, styrker og svakheter

1. Personopplysningsloven:-innhold, styrker og svakheter Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO

2. Interessen i selvbestemmelse Interessen i forholdsmessig kontroll Interessen i innsyn og kunnskap Interessen i opplysnings- og behandlings- kvalitet Interessen i brukervennlig behandling Personverninteresser(og -krav) Jf aml § 9-1! Personvern: personlig integritet privatlivets fred opplysningskvalitet (pol § 1)

3. Opplysning - humant materiale Fysisk person - jf juridiske personer - jf enkeltmannsbedrifter -unntak for visse kredittopplysninger Fakta - opplysninger Identifikasjon - en bestemt person må kunne identifiseres Sikker tilknytning til person Nok med mulig tilknytning Alle “rimelige” hjelpemidler “Personopplysning” Person- opplysning

4. “Behandling” • Alle operasjoner som kan utføres på PO • (innsamling, bearbeiding, lagring, videresendelse osv) • Helt eller delvis elektronisk behandling Det spiller ingen rolle hvilket uttrykk person- opplysningene har / hva slags medium som anvendes (skrift, lyd, bilde mv) • Må inneforstå en serie av slike operasjoner “behandlinger” • Ofte naturlig å sette likhetstegn mellom “en behandling” og “ et system” “Behandling av personopplysninger” • Manuell behandling i “personregister” • Manuell behandling av opplysninger som • skal inn i et “personregister” • “Behandlingsansvarlig”,jf § 2 nr 4 • Den som behandler formål og hjelpemidler • … er den øverste ledelsen i en virksomhet • Kan være vanskelig å avgjøre hvem dette er!

5. Samtykke • Lovhjemmel • “Nødvendig grunn” Krav til rettslig grunnlag alltid Rettslig grunnlag er nødvendig for at behandlingen av personopplysninger skal være lovlig, jf §§ 8 og 9. Lovens hovedregel. Må være frivillig, utrykkelig og informert, jf § 2 nr 7 tilbaketrekking! kollektivt? Eksplisitt eller implisitt hjemmel? Bare de loven angir. Kreves selvstendig rettslig grunnlag for å behandle sensitive personopplysninger, jf § 9

6. Krav til formålsangivelse • Det må alltid fastsettes et eller flere formål for behandlingen (§ 11 bokstav b) • Formålet må være saklig begrunnet i den behandlingsansvarliges virksomhet • All behandling av personopplysninger må skje til slike formål • Nye formål kan bare aksepteres hvis ikke “uforenlig med det • opprinnelige formålet for innsamlingen (men hva i all verden betyr det?) Oversikt over øvrige grunnkrav • Krav til opplysningskvalitet: § 11 bokstavene d og e og § 14, jf § 27 • Konsesjons- og meldeplikt (pol kap. VI) • Krav til entydig identifisering, § 12 • Krav til informasjonssikkerhet, § 13 • Krav til internkontroll, § 14

7. En rekke bestemmelser gir den enkelte rettigheter: Særlige regler om fjernsynsovervåking Særlige regler om overføring av personopplysninger til utlandet Viktige regler om Datatilsynets og Personvernnemdas myndighet Oversikt over andre viktige bestemmelser i loven • Generelt innsyn (i informasjonssystemer) • Individuelt innsyn (i opplysninger om egen person) • Krav på informasjon (om informasjonsinnsamling og “profiler”) • Rett til å reservere seg mot markedsføringshenvendelser (Brønnøysund) • Rett til å få opplysninger, rettet, slettet og supplert • Rett til å bli varslet om fjernsynsovervåking

8. BØR ENDRES! Jf http://www.odin.dep.no/filarkiv/217449/Rapport_-_kontroll_og_overvaking.pdf - Rapport om kontroll og overvåking i arbeidslivet fra underutvalg til Arbeidslivslovutvalget Kort om arbeidsmiljøloven, kap. 9 • Legger generelle begrensninger på arbeidsgivers plikt til å • iverksette kontrolltiltak (§ 9-1 (1)) - men sier ikke hva “kontroll” er! • Sier at personopplysningsloven gjelder (§ 9-1 (2)) - men det kunne trengs (!), særlig mht “rettslig grunnlag”, jf personopplysningsloven §§ 8 og 9 • Introduserer plikt tildrøfting, informasjonogevaluering(§ 9-2) • Introduserer begrensninger vedr. helseundersøkelser og • innsamling/bruk av helseopplysninger om ansatte