Alla inlägg den 18 juni 2023
https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/
Personvernprinsippene
Personopplysningsloven inneholder både rettigheter og plikter. Felles for alle reglene er at de bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene.
Prinsippene gir på ulike måter uttrykk for at behandling av personopplysninger skal skje på en måte som i størst mulig grad sikrer forutsigbarhet og forholdsmessighet for enkeltmennesket.
Her er en kort gjennomgang av personvernprinsippene:
Lovlig, rettferdig og gjennomsiktig
At behandlingen av personopplysninger må være lovlig innebærer først og fremst at det må finnes et rettslig grunnlag for en planlagt behandling av personopplysninger. Personvernforordningen har en liste over rettslige grunnlag og minst ett av disse må være oppfylt for at behandlingen skal være lovlig. Prinsippet om lovlighet kan også sies å inkludere alle de øvrige prinsippene og reglene for behandling av personopplysninger som en behandlingsansvarlig må oppfylle.
At behandlingen av personopplysninger må skje rettferdig betyr at den skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal være forståelig for de registrerte og ikke foregå på skjulte eller manipulerende måter. Gjennomsiktig betyr i denne sammenheng at bruken av personopplysninger skal være oversiktlig og forutsigbar for den opplysningene gjelder. Gjennomsiktighet bidrar til å skape tillit og det setter enkeltpersonen i stand til å bruke sine rettigheter og ivareta sine interesser.
Formålsbegrensning
Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det betyr at ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer. Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet.
Dataminimering
Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.
Riktighet
Personopplysninger som behandles skal være korrekte, og skal om nødvendig oppdateres. Dette betyr at den behandlingsansvarlige må sørge for å straks slette eller rette personopplysninger som er uriktige ut i fra de formålene de er samlet inn for.
Lagringsbegrensning
Prinsippet om lagringsbegrensning innebærer at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for.
Integritet og konfidensialitet
Personopplysninger skal behandles slik at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes. Dette betyr at den behandlingsansvarlige må sørge for å iverksette tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.
Ansvarlighet
Prinsippet om ansvarlighet understreker ansvaret for å opptre i samsvar med reglene for behandling av personopplysninger. Dette ansvaret ligger på alle virksomheter som behandler personopplysninger. Det er ikke nok å bare ha ansvar – man må vise at man tar ansvar. Det betyr at virksomheten må kunne dokumentere at den har gjennomført tiltak for å etterleve personvernforordningen. Virksomheten må opptre proaktivt og etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid.
https://lod.lovdata.no/journal/2023/2/m-994/Ny_rettspraksis_om_definisjonen_av_personopplysninger
Ny rettspraksis om definisjonen av personopplysninger
Vilkårene for at det skal foreligge en personopplysning
"Domstolen la til grunn at to kumulative vilkår må være oppfylt for at det skal foreligge personopplysninger som definert i GDPR:
For det første må det være snakk om en opplysning om en fysisk person(på engelsk: «related to»). Vilkåret er oppfylt dersom opplysningens innhold knytter seg til en person, men også dersom formålet knytter seg til en person eller dersom resultatet av bruken vil ha innvirkning på en person.
Det er interessant å merke seg at domstolen slo fast at noens meninger kan være personopplysninger,
For det andre, må de fysiske personene som opplysningene handler om være identifiserte eller identifiserbare."
https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/grunnleggende-personvernprinsipper/
Grunnleggende personvernprinsipper
Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene. Denne veilederen er en utredning av personvernprinsippene slik de er beskrevet i personvernforordningens artikkel 5. Veilederen baserer seg også på artikkel 6 og 9.
Lovlig, rettferdig og gjennomsiktig
Behandling av personopplysninger må være lovlig
Det må finnes et rettslig grunnlag for den behandlingen en virksomhet ønsker å gjøre. Forordningens artikkel 6 regulerer i hvilke tilfeller det skal anses lovlig å behandle personopplysninger. Minst ett av vilkårene i denne bestemmelsen må være oppfylt for at behandlingen er tillatt. Dersom det behandles sensitive personopplysninger må i tillegg minst ett av vilkårene i artikkel 9 være oppfylt.
Eksempler på tiltak for å oppnå lovlighet
Eksempler på tiltak for å oppnå rettferdighet
Behandling av personopplysninger skal være gjennomsiktig
Eksempler på tiltak for å oppnå lovlighet
Formålsbegrensning
Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål
Ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme entydige forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer.
Eksempler på tiltak
Sentrale momenter i vurderingen av om en behandling er uforenelig med det opprinnelige formål er:
Eksempler på tiltak
Merk: Gjenbruk av personopplysninger til arkivformål i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller til statistiske formål er ikke uforenelig med opprinnelig formål dersom behandlingen er underlagt nødvendige garantier.
Eksempler på tiltak
Dataminimering
Prinsippet om dataminimering innebærer å begrense mengden personopplysninger som hentes inn og behandles til det som er nødvendig for å oppnå formålet.
Dersom identitetsopplysninger eller personopplysninger ikke er nødvendige for å oppnå formålet, taler dataminimalitetsprinsippet for å ikke samle dem inn eller behandle dem på annen måte. Dataminimalitetsprinsippet kan også være relevant i vurderingen av hvor stort antall personer som skal registreres i et datasett.
Eksempler på tiltak
Det kan gjennomføres tiltak for å:
Riktighet
Personopplysninger som behandles skal være korrekte. Opplysningene skal også oppdateres hvis det er nødvendig.
Dette betyr at behandlingsansvarlig må sørge for å straks slette eller rette personopplysninger som er uriktige med hensyn til de formål de behandles for.
Eksempler på tiltak
Tiltak for å sørge for at personopplysningene er korrekte og oppdaterte. For eksempel kan løsningen regelmessig varsle brukere om at de må kontrollere sine personopplysninger. Mange banker gjør dette ved innlogging til for eksempel nettbank.
Tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, straks slettes eller korrigeres.
Dersom back-up brukes for gjenoppretting av data må også disse gjennomgås med hensyn til nødvendig korrigering.
Lagringsbegrensning
Prinsippet om lagringsbegrensning innebærer at personopplysninger skal lagres slik at de slettes eller anonymiseres når de ikke lengre er nødvendige for formålet de ble innhentet for.
Eksempel på tiltak
Tiltak for å sikre at tidsrommet for lagring av personopplysninger ikke er lengre enn nødvendig. Den behandlingsansvarlige bør innføre tidsfrister for sletting eller periodisk gjennomgang for å sikre at personopplysninger ikke oppbevares lengre enn nødvendig.
Integritet og konfidensialitet
Personopplysninger skal behandles slik at opplysningenes integritet og konfidensialitet beskyttes.
Eksempler på tiltak
Se for øvrig sjekklisten for «Krav» i veiledningen vår om programvareutvikling med innebygd personvern:
Last ned sjekklisten for kravsetting (pdf)
Ansvarlighet
Prinsippet om ansvarlighet understreker den behandlingsansvarliges ansvar for å opptre i samsvar med reglene for behandling av personopplysninger.
Det er ikke nok å bare ha ansvaret – man må vise at man tar ansvaret.
Den behandlingsansvarlige må opptre proaktivt og etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Virksomheten må også kunne vise at den faktisk opptrer i samsvar med reglene.
Personopplysningsloven (utdrag)
https://lovdata.no/dokument/NL/lov/2018-06-15-38/*#*
https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-4#KAPITTEL_gdpr-3-4
https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-3#KAPITTEL_gdpr-3-3
https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-2#KAPITTEL_gdpr-3-2
Lov om behandling av personopplysninger (personopplysningsloven)
EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]
KAPITTEL III Den registrertes rettigheter
Avsnitt 2 Informasjon og innsyn i personopplysninger
Artikkel 13.Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte
1. Når personopplysninger om en registrert samles inn fra den registrerte, skal den behandlingsansvarlige på tidspunktet for innsamlingen av personopplysningene gi den registrerte følgende informasjon:
a.identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,
b.kontaktopplysningene til personvernombudet, dersom dette er relevant,
c.formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,
d.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,
e.eventuelle mottakere eller kategorier av mottakere av personopplysningene,
f.dersom det er relevant, det faktum at den behandlingsansvarlige akter å overføre personopplysninger til en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem, eller hvor de er gjort tilgjengelig.
2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige på tidspunktet for innsamling av personopplysninger gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling:
a.det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,
b.retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet,
c.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,
d.retten til å klage til en tilsynsmyndighet,
e.om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det,
f.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
3. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon som nevnt i nr. 2.
4. Nr. 1, 2 og 3 får ikke anvendelse dersom og i den grad den registrerte allerede har informasjonen.
Artikkel 14.Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerte
1. Dersom personopplysninger ikke er blitt samlet inn fra den registrerte, skal den behandlingsansvarlige gi den registrerte følgende informasjon:
a.identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,
b.kontaktopplysningene til personvernombudet, dersom dette er relevant,
c.formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,
d. de berørte kategoriene av personopplysninger,
e.eventuelle mottakere eller kategorier av mottakere av personopplysningene,
f.dersom det er relevant, at den behandlingsansvarlige har til hensikt å overføre personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller, når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem eller hvor de er gjort tilgjengelig.
2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige gi den registrerte følgende informasjon som er nødvendig for å sikre den registrerte en rettferdig og åpen behandling:
a.det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,
b.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,
c.retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, og til å protestere mot behandlingen samt retten til dataportabilitet,
d.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,
e.retten til å klage til en tilsynsmyndighet,
f.fra hvilken kilde personopplysningene stammer fra, og, dersom det er relevant, om de stammer fra offentlig tilgjengelige kilder,
g.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
3. Den behandlingsansvarlige skal gi informasjonen nevnt i nr. 1 og 2
a.innen en rimelig frist etter at personopplysningene er samlet inn, men senest innen én måned, idet det tas hensyn til de særlige forholdene som personopplysningene er behandlet under,
b.dersom personopplysningene skal brukes til å kommunisere med den registrerte, senest på tidspunktet for den første kommunikasjonen med vedkommende, eller
c.dersom det er planlagt at personopplysningene skal utleveres til en annen mottaker, senest når personopplysningene første gang utleveres.
4. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen relevant informasjon som nevnt i nr. 2.
5. Nr. 1-4 får ikke anvendelse dersom og i den grad
a.den registrerte allerede har informasjonen,
b.det viser seg umulig å gi nevnte informasjon eller det vil innebære en uforholdsmessig stor innsats, særlig i forbindelse med behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til vilkårene og garantiene nevnt i artikkel 89 nr. 1, eller i den grad forpliktelsen nevnt i nr. 1 i denne artikkel sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås. I slike tilfeller skal den behandlingsansvarlige treffe egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, herunder gjøre informasjonen offentlig tilgjengelig,
c.innsamling eller utlevering er uttrykkelig fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og som inneholder egnede tiltak for å verne den registrertes berettigede interesser, eller
d.dersom personopplysningene må holdes konfidensielle som følge av taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett, herunder en lovfestet taushetsplikt.
Artikkel 15.Den registrertes rett til innsyn
1. Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:
a.formålene med behandlingen,
b. de berørte kategoriene av personopplysninger,
c.mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner,
d.dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,
e.retten til å anmode den behandlingsansvarlige om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling,
f.retten til å klage til en tilsynsmyndighet,
g.dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,
h.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
2. Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til artikkel 46 i forbindelse med overføringen.
3. Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.
4. Retten til å motta en kopi nevnt i nr. 3 skal ikke ha negativ innvirkning på andres rettigheter og friheter.