Handsaming av personopplysningar

•Kva er personopplysningar

•Behandlingsansvarleg

•Vilkår for å handsame personopplysningar

•Informasjon og innsyn

•Bevaring av personopplysningar

Kva er personopplysningar?

Definisjonar i § 2 i personopplysningslova• Personopplysning er opplysningar og

vurderingar som kan knytast til ein einskildperson.

• Handsaming av personopplysningar vil seie all bruk av personopplysningar som til dømes innsamling, registrering, samanstilling, lagring og utlevering.

• Personregister er ulike typar av register der personopplysningar er lagra systematisk slik at ein kan finne att opplysningar om den einskilde.

• Sensitive personopplysningar er definert som opplysningar om – Rasemessig eller etnisk bakgrunn, eller politisk,

filosofisk eller religiøs oppfatting

– At ein person har vore mistenkt, sikta, tiltala eller dømt for ei straffbar handling

– Helseforhold

– Seksuelle forhold

– Medlemskap i fagforeiningar.

Behandlingsansvarleg

Definisjon § 2:• Behandlingsansvarleg er den som tar avgjerd om

føremålet med behandlinga av personopplysningar og kva hjelpemiddel som skal nyttast.

I kommunen ligg behandlingsansvaret hos leiinga, men dette kan delegerast til t.d. leiar for administrative einingar som behandlar personopplysningar.

§ 11. Grunnkrav til behandling av personopplysningar

Den behandlingsansvarlege skal sørgje for at personopplysningar

• berre blir behandla når dette er lovleg etter § 8 og § 9 i personopplysningslova,

• berre blir nytta til uttrykkeleg fastsette formål som er sakleg grunngjeve i den behandlingsansvarlege si verksemd,

• ikkje seinare blir brukt til formål som er uforeinlege med det opphavlege formålet, med mindre den registrere samtykker,

• er tilstrekkelege og relevante for formålet med behandlinga,• er korrekte og oppdaterte, og ikkje blir lagra lenger enn

nødvendig ut frå formålet med behandlinga.

§ 8. Vilkår for å behandle personopplysningar

• Behandling av personopplysningar er lovleg når det ligg føre anten samtykke frå den registrerte eller når behandlinga har heimel i lov og når behandlinga er naudsynt for å oppfylle bestemte formål fastsett i lova.

§ 9. Behandling av sensitive personopplysningar

• Ein kan behandle sensitive opplysningar dersom behandlinga oppfyller eit av vilkåra i § 8 og– den registrete samtykker i behandlinga,– det er fastsett i lov at slik behandling kan finne stad, – behandlinga er naudsynt for å verne ein person sine vitale

interesser, og denne ikkje kan samtykke,– det utelukkande behandlast opplysningar som den registrerte

sjølv frivillig har gjort alminnelig kjend,– behandlinga er naudsynt for å fastsette, gjere gjeldande eller

forsvare eit rettskrav,– behandlinga er naudsynt for at den behandlingsansvarlege kan

gjennomføre sine arbeidsrettslege pliktar eller rettar.

Samtykke

• Samtykke skal vere ei frivillig, uttrykkeleg og informert erklæring om at ein person godtar behandling av opplysningar om seg sjølv.– Frivillig: Ikkje gitt under tvang, korkje frå den

behandlingsansvarlege eller frå andre.– Uttrykkeleg: Personen må gjere noko aktivt for å

samtykke, t.d. sende inn ein svarslipp– Informert: Personen får tilstrekkeleg informasjon til å

forstå kva behandlinga gjeld og kva konsekvensar det kan få.

§ 19. Krav om informasjon

Når det blir samla inn personopplysningar frå ein person, skal denne bli informert

• Om kven som er behandlingsansvarleg,• Om formålet med behandlinga• Om opplysningane vil bli utlevert og kven som eventuelt

er mottakar• Om det er frivillig å gje frå seg opplysningane• Om kor lenge opplysningane vil bli behandla eller

oppbevart, og• Anna som gjer den registrerte i stand til å bruke sine rettar

etter lova.

§ 5-8. Lov om sosiale tenester

Opplysningar skal så langt som råd er hentes inn i samarbeid med klienten eller slik at klienten har kjennskap til innhentinga.

Melde- og konsesjonsplikt

Kommunen må gi melding til Datatilsynet før behandling av personopplysningar tek til.

www.datatilsynet.no

Personvernombod•Føre oversyn over verksemda si handsaming av personopplysningar

•Sjå til at leiinga har etablert et system for internkontroll

•Hjelpe personar som er registrerte

•Svare på spørsmål om personvern internt i verksemda

•Peike på brot på personopplysningslova ovanfor leiinga

•Vere kontaktperson for Datatilsynet

•Halde seg orientert om utviklinga innan personvern

§ 13. Informasjonstryggleik

Den behandlingsansvarlege skal gjennom planlagde og systematiske tiltak sørgje for tilfredsstillande informasjonstryggleik med omsyn til – konfidensialitet– integritet– tilgjenge

§ 14. Internkontroll

• Den behandlingsansvarlege skal etablere og halde ved like planlagde og systematiske tiltak som er nødvendige for å oppfylle krava i personopplysningslova.– Dokumentere:

• Organisering

• Rutinar for bruk av datasystem

• Registrering av hendingar

§ 23. Unntak frå retten til informasjon

• Opplysningar ein må rekne at det er utilrådeleg at den registrerte frå kjennskap til, av omsyn til eiga helse eller forholdet til personar som står vedkommande nær.

• Opplysningar underlagt lovbestemt teieplikt• Opplysningar som berre finst i tekst som er utarbeida

for den interne saksførebuinga og som heller ikkje er utlevert til andre

• Opplysningar som det vil vere i strid med openberre og grunnleggjande private eller offentlege interesser å informere om.

Bevaring av personopplysningar

Personopplysningar med administrativt, rettsleg, kulturell eller forskingsmessig dokumentasjon skal takast vare på for ettertida når dei ikkje lenger blir nytta til sitt opphavlege formål.

§ 27. Retting av personopplysningar

• Dersom det er behandla personopplysningar som er uriktige, ufullstendige, eller som det ikkje er høve til å behandle, skal behandlingsansvarleg rette dei mangelfulle opplysningane.

• Retting av uriktige eller ufullstendige personopplysningar skal skje ved at opplysningane blir markerte og supplerte med korrekte opplysningar.