|
Personopplysningsloven, jf. § 1, har som formål «å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.» Virksomhetens øverste administrative leder er behandlingsansvarlig. I fylkeskommunen er dette fylkesrådmannen og i en kommune kommunedirektøren. Den behandlingsansvarlige er den som har bestemmelsesrett over personopplysningene, som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes for å oppnå formålet. Gjennomføringen er delegert til underliggende etat, skole eller helseinstitusjon. Lederen i dette underliggende organet får dermed et selvstendig ansvar for at personopplysningslovens regler blir fulgt. Fylkeskommunens eller kommunens ledelse kan imidlertid ikke fraskrive seg sitt rettslige behandlingsansvar ved delegeringen. Ved eventuelle lovbrudd er det fylkeskommunen, representert ved fylkesrådmannen, som er rettslig ansvarlig og som kan saksøkes og pådra seg straffeansvar. I en kommune er det kommunedirektøren. Definisjoner Behandlingsansvarlig - er det primære pliktsubjekt etter forordningen og overordnet ansvarlig for å overholde personvernprinsippene og regelverket. Databehandler - behandler personopplysninger på vegne av andre. En databehandler har fått delegert en oppgave om å behandle personopplysninger fra en behandlingsansvarlig. Ansvar for informasjonssikkerhet og dokumentasjonJfr. personopplysningslovens § 13 skal:
- Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
- For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda
Ansvar for internkontroll og dokumentasjonJfr. personopplysningslovens § 14 skal:
- Den behandlingsansvarlige skal dokumentere internkontrolltiltak. Dokumentasjonen for internkontroll skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren.
Databehandlerens rådighet over personopplysningerJfr. personopplysningslovens § 15 skal:
- En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
- I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av personopplysningslovens § 13.
Personopplysninger og sensitive personopplysninger Ifølge Datatilsynet er en personopplysning en «opplysning eller vurdering som kan knyttes til en enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer)», jf. personopplysningsloven § 2-1. «Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger,» jf. personopplysningsloven § 2-8. Meldeplikt eller konsesjonsplikt? Den nye personopplysningsloven med personvernforordning har avskaffet ordningen med meldeplikt og som hovedregel krav til forhåndsgodkjenning (konsesjon) fra Datatilsynet. |