archive-no.com » NO » P » PERSONVERNNEMNDA.NO

Total: 189

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".
  • Personvernnemnda
    for kontroll eller fullmakt fra lovgivende myndighet Datatilsynet mener at dette setter den enkeltes rettssikkerhet på prøve Datatilsynet ser imidlertid at rettighetshavere kan bli skadelidende dersom konsesjonen ikke blir forlenget Tidsbegrensningen ble satt fordi Datatilsynet etterlyste politiske signaler eller initiativer på området Det ligger ingen automatikk i at konsesjonen skal forlenges Søknaden om forlengelse er derfor ikke vurdert i lys av 33 jf 34 Her foreligger verken lovhjemmel eller samtykke fra de enkelte Datatilsynet ser det ikke som sin oppgave å være lovgivende myndighet ved å meddele konsesjon på permanent basis Simonsen har dog søkt om konsesjon til 31 12 2010 Det foreligger imidlertid ikke politiske signaler på at man innen denne datoen vil ha en annen rettstilstand enn den man har i dag Datatilsynet vil presisere at verken konsesjonsvilkår eller forutsetninger for virksomheten er brutt av Simonsen Simonsen har gjennom hele perioden holdt seg innenfor konsesjonens rammer Også når det gjelder informasjonstiltak har bransjen og Simonsen utvist stor aktivitet En tidsbegrenset konsesjon ble gitt for å avdekke omfanget og behovet for virkemidler Datatilsynet har høstet erfaringer i konsesjonsperioden og har sett nye problemstillinger man ikke så omfanget av da konsesjonen ble gitt Blant annet spørsmål om teletjenestetilbydernes rolle som formidlere av brev fra Simonsen grensen mot forbudet mot selvinkriminering og retten til å få utlevert identiteten bak en IP adresse Man har sett ulike bivirkninger av tiltaket og nå er det behov for en avklaring fra politisk hold 6 Personvernnemndas merknader Nestleder i Personvernnemnda Arve Føyen valgte å fratre behandlingen av denne saken idet det kunne oppstå spørsmål vedrørende hans habilitet i saken I hans sted har vararepresentant Ingvild Hanssen Bauer deltatt Det som skal vurderes i denne saken er hvorvidt den behandling av personopplysninger som skjer i forbindelse med overvåkningen av fildelingsnettverkene har hjemmel i personopplysningsloven og om det skal gis konsesjon Selve overvåkningen som sådan det forhold at utreder hos Simonsen er til stede i fildelingsnettverkene og iakttar hva de øvrige brukerne gjør medfører ikke behandling av personopplysninger og er således et forhold som ikke reguleres av personopplysningsloven Simonsens utreder er til stede i fildelingsnettverkene som enhver annen internettbruker og dette krever ingen konsesjon Det er først på det tidspunkt utrederen dokumenterer det som iakttas at det behandles personopplysninger Av Datatilsynets brev av 25 oktober 2006 fremgår at Datatilsynet finner at den behandlingsansvarlige har behandlingsgrunnlag i lovens 8 bokstav f og videre at behandlingen har grunnlag i personopplysningsloven 9 bokstav e Personvernnemnda er enig i at opplysningene som behandles er å anse som sensitive personopplysninger jf lovens 2 nr 8 bokstav b I NOU 1997 19 s 133 fremgår at det ikke er nødvendig at det er innledet noen straffesak og at blant annet et vaktselskaps register over personer som blir pågrepet med ubetalte varer omfattes av oppregningen Det vises også til Ot prp nr 34 1986 87 s 24 høyre spalte Personvernnemnda er også enig i at det foreligger behandlingsgrunnlag etter personopplysningsloven 8 f og at behandlingen har grunnlag i personopplysningsloven 9 e Det fremgår av avslaget fra Datatilsynet at Datatilsynet ikke har vurdert søknaden om forlengelse i henhold til personopplysningsloven 33 og 34 Personvernnemnda mener at dette må anses som en saksbehandlingsfeil idet søknaden om forlengelse må vurderes etter de samme regler som søknad om ny konsesjon Saksbehandlingsfeilen kan imidlertid ikke anses å ha hatt virkning på avgjørelsen idet nemnda er av den oppfatning at utfallet i denne saken ville blitt det samme dersom Datatilsynet hadde vurdert 33 og 34 Datatilsynet gjør i begrunnelsen av sitt vedtak en form for interesseavveining og peker på de relevante hensyn Av personopplysningsloven 34 følger at det ved avgjørelsen av om konsesjon skal gis skal kartlegges om behandlingen av personopplysninger kan volde ulemper for den enkelte som ikke kan avhjelpes gjennom bestemmelsene i kapitlene II IV og vilkår etter 35 I så fall må det vurderes om ulempene blir oppveid av hensyn som taler for behandlingen Ved avgjørelsen av om konsesjon skal gis må det altså først vurderes om behandlingen av personopplysninger vil volde problemer for den enkelte og om problemene eventuelt avhjelpes ved lovens regler for behandlingen eventuelt ved at det stilles vilkår Dersom behandlingen ikke volder problemer for den enkelte vil det som regel ikke være aktuelt å nekte konsesjon jf Ot prp nr 92 1998 99 s 130 Dersom man finner at behandlingen vil volde problemer for den enkelte må det vurderes om fordelene ved behandlingen oppveier disse ulempene Det vises også til kommentarene til tidligere personregisterloven 10 i Ot prp nr 2 1977 78 s 80 hvor det fremgår at samtykke bare kan nektes når opprettelse og bruk av personregisteret kan volde problemer for den enkelte Personopplysningsloven bygger på tidligere lovs 10 og det var ikke tilsiktet å gjøre endringer i loven på dette punkt Ved vurderingen må man altså vurdere de konkrete personvernulempene som overvåkningen i den aktuelle sak vil representere Personvernnemnda er ikke uenig i at man på dette området bør få en rettspolitisk avklaring og en lovregulering men mener at det forhold at det ikke er kommet en slik avklaring ikke alene kan begrunne at konsesjon ikke gis En konsesjonssøknad må likevel vurderes basert på personopplysningslovens regler og Personvernnemnda er henvist til å begrense sin saksbehandling til en vurdering av den aktuelle klage Det samme syn er kommet til uttrykk i flere av Personvernnemndas tidligere vedtak se for eksempel PVN 2005 11 og PVN 2005 12 I denne saken har Datatilsynet i forbindelse med den første søknaden vurdert at det er grunnlag for å gi konsesjon Datatilsynet har i forbindelse med den første konsesjonen foretatt den interesseavveining som personopplysningsloven 34 gir anvisning på det er stilt vilkår og Datatilsynet har funnet at konsesjon kan gis Datatilsynet har uttalt at det ikke er noen automatikk i at konsesjonen skal forlenges Personvernnemnda er enig i dette men slik nemnda ser det må det foreligge endrede forhold som skulle tilsi at vurderingen i henhold til personopplysningslovens regler nå faller annerledes ut enn da den første tidsbegrensede konsesjonen ble gitt Som man vil se nedenfor deler Personvernnemnda seg i et flertall og et mindretall for så vidt gjelder vurderingen av om det foreligger endrede forhold Det fremgår av Datatilsynets brev av 4 september 2009 at Datatilsynet mener at verken konsesjonsvilkår eller de forutsetninger for virksomheten for øvrig som fremgår av tildelt konsesjon og øvrig korrespondanse mellom Simonsen og Datatilsynet er brutt Datatilsynet uttaler videre at når det gjelder informasjonsvirksomhet har bransjen og Simonsen utvist stor aktivitet Datatilsynet har heller ikke gitt uttrykk for innvendinger i forhold til de tiltak som er iverksatt i henhold til reglene om informasjonssikkerhet og internkontroll jf personopplysningsloven 13 og 14 Datatilsynet viser til at begrunnelsen for å gi en tidsbegrenset konsesjon var at man ønsket å gi en rimelig mulighet for å sjekke om et tiltak har virkning og for å innhente grunnlagsdata for å dokumentere et problems løsning og behovet for virkemidler Datatilsynet uttaler at man slik Datatilsynet ser det ikke har kommet nærmere noen løsning og at man har sett ulike bivirkninger av tiltaket og hvordan personopplysningslovens grunnprinsipper skal kunne overholdes i møtet med annen lovgivning Personvernnemnda har grundig analysert og vurdert denne saken og de hensyn som Datatilsynet har begrunnet avslaget med Nemnda har i vedtaket delt seg i et flertall og et mindretall Personvernnemndas flertall Eva Jarbekk Ingvild Hanssen Bauer Tom Bolstad og Jostein Halgunset er kommet til at konsesjonen bør forlenges Begrunnelsen for denne konklusjonen er som følger Datatilsynet viser til følgende tre problemstillinger som man ifølge Datatilsynet ikke så fullstendig omfanget av da konsesjon ble gitt For det første henvises til teletjeneste tilbydernes rolle som formidlere av brev fra Simonsen Av saksdokumentene fremgår imidlertid at eksempel på kravbrev som sendes via Internettleverandør ble oversendt fra Simonsen i november 2006 før den første tidsbegrensede konsesjonen ble gitt Både brevets innhold og det forhold at dette skulle sendes ut via Internettleverandørene synes derfor å ha vært vurdert av Datatilsynet før den første konsesjonen ble gitt Det er ikke vist til og det fremgår heller ikke av saksdokumentene hvilke endringer som eventuelt skulle ha funnet sted i forhold til dette Den andre problemstillingen Datatilsynet viser til er grensen mot forbudet mot selvinkriminering Flertallet kan ikke se at dette er relevant Forbudet mot selvinkriminering innebærer at ingen kan tvinges til å vitne mot en selv eller erkjenne seg skyldig i en straffesak anlagt mot vedkommende Flertallet kan ikke se at dette er relevant i forhold til den behandling av personopplysninger som skjer i forhold til overvåkningsvirksomheten i herværende sak Den tredje problemstillingen Datatilsynet henviser til er retten til å få utlevert identiteten bak en IP adresse Flertallet kan ikke se at dette heller skulle begrunne at interesseavveiningen i henhold til personopplysningsloven 34 nå skulle falle annerledes ut Det vises til tvisteloven 22 3 om opphevelse av taushetsplikten i forbindelse med bevisfremleggelse eller bevissikring i sivil sak og straffeprosessloven 118 om politiets adgang til taushetsbelagte opplysninger i forbindelse med etterforskning Tilgang til identiteten bak en IP adresse etter disse reglene forutsetter tillatelse fra departementet delegert til Post og teletilsynet samt at domstolen kontrollerer at vilkårene for slik tilgang er oppfylt Dette skulle sikre tilstrekkelige rettssikkerhetsgarantier for den registrerte Høyesterett uttaler dessuten i Altibox saken at det er klar hjemmel i lov for begjæring om at en internettleverandør ved bevissikring utenfor rettssak skal pålegges å opplyse om identiteten til en abonnent når det er anført at abonnenten ved ulovlig fildeling eller medvirkning til dette har brutt bestemmelser i åndsverkloven Videre uttaler Høyesterett at det ikke er uttrykk for en uriktig generell lovforståelse når lagmannsretten fastslår at abonnenten ikke kunne ha en berettiget forventning om beskyttelse av rettsstridig bruk I sitt brev av 4 september 2009 henviser Datatilsynet også til provokasjonsanalogien Datatilsynet mener at det er svært betenkelig at en privat aktør skal kunne utøve privat etterforskning eller kommunikasjonskontroll med provokasjonslignende tiltak som aktivt å legge ut åte Dette er kommentert i brev fra Simonsen av 1 oktober 2009 hvor det vises til retningslinjene som er utarbeidet av Simonsen hvorav fremgår at det ikke skal brukes provokasjon i forbindelse med utredningsarbeidet Flertallet er enig i at det derfor synes å være en svikt i det faktiske grunnlaget for Datatilsynets vedtak Uansett det forhold at det ikke skal brukes provokasjonslignende tiltak er et forhold som kunne vært regulert i form av vilkår for konsesjonen Hovedbegrunnelsen fra Datatilsynets side for ikke å forlenge konsesjonen synes å være at den politiske avklaringen som Datatilsynet etterlyste forut for den første tidsbegrensede konsesjonen ble gitt ikke har kommet Som det fremgår ovenfor mener flertallet at Datatilsynet så lenge vilkårene for å tildele konsesjon er oppfylt og interesseavveiningen etter personopplysningsloven 34 faller ut i søkers favør ikke kan avslå en konsesjonssøknad med den begrunnelse at det bør lovreguleres hvilke virkemidler rettighetshaverne skal kunne benytte Konsesjonssøknaden må vurderes i henhold til gjeldende regelverk Hvorvidt det er betenkelig eller ikke at en privat aktør overvåker nettet på den måten Simonsen gjør på vegne av rettighetshaverne og hvorvidt det er nødvendig med lovregulering er et rettspolitisk spørsmål som ligger utenfor denne konkrete saken Flertallet er derfor enig med klager i at Datatilsynet ikke kan avstå fra å bruke sin kompetanse basert på at Datatilsynet mener det er behov for lovregulering Datatilsynet har ikke vurdert om det er noen nye eller endrede forhold som skulle tilsi at interesseavveiningen skulle falle annerledes ut enn ved vurderingen av den første søknaden om konsesjon og heller ikke om det foreligger endrede forhold som skulle ha betydning for hjemmelsgrunnlaget Tvert i mot forstår flertallet det slik at Datatilsynet mener det ikke foreligger slik nye eller endrede forhold Flertallet mener derfor at konsesjonen bør forlenges frem til 31 12 2010 som omsøkt Ved en eventuell ny søknad om forlengelse må Datatilsynet igjen vurdere hjemmelsgrunnlaget og foreta interesseavveiningen etter personopplysningsloven 34 herunder om det har skjedd noen endringer som skulle tilsi at vurderingen faller annerledes ut Særbemerkning Nemndas leder Eva I E Jarbekk er enig i flertallets konklusjon men baserer denne på en noe annen argumentasjon Hun ønsker derfor å komme med en særbemerkning Jarbekk finner grunn til å presisere at Personvernnemnda står fritt til å vektlegge andre elementer enn hva Datatilsynet har gjort For eksempel kan nemnda tiltre tilsynets konklusjon men med en annen begrunnelse Det er også grunn til å presisere at Datatilsynet står fritt til å trekke tilbake midlertidige konsesjoner basert på eget skjønn herunder på grunn av behov for lovregulering På disse punkter står Jarbekk ved mindretallets oppfatning Slik klager har beskrevet sin aktivitet vurderes fakta i denne saken slik at det ikke foreligger vesentlige personvernulemper som ikke kan avhjelpes ved vilkår i konsesjonen og de informasjonstiltak som er iverksatt Personvernnemndas mindretall Ørnulf Rasmussen Ann R Sætnan og Leikny Øgrim er kommet til at konsesjonen ikke skal forlenges Spørsmålet er om et privat foretak Simonsen advokatfirma skal få permanent konsesjon til å registrere IP nummer som er benyttet av aktører som fildeler på såkalte knutepunkter altså møtesteder på nettet for fildeling Fildeling som sådan er lovlig Deling av filer som er vernet av opphavsretten er ulovlig Slik deling kan være straffbar og erstatningsbetingende smln åndsverksloven 54 og 55 Det er slik deling klageren mener å ha registrert i henhold til den tidsbegrensede konsesjon fra 2006 Spørsmålet nå er om denne konsesjonen skal gjøres permanent Datatilsynet har avslått søknad om det Mindretallet ser det slik at Datatilsynets vedtak er gyldig og hensiktsmessig og mener det bør stadfestes Mindretallet deler i hovedtrekk tilsynets begrunnelse og vil også peke på følgende Slik registrering krever konsesjon Det skyldes at registeret inneholder sensitiv informasjon jf personopplysningsloven 2 nr 8 b Registeret har som formål å ha oversikt over IP nummer man mistenker er benyttet til ulovlig fildeling altså for kriminell virksomhet Spørsmålet om konsesjon skal gis vurderes av Datatilsynet etter personopplysningsloven 33 jf 34 Denne vurderingen forutsetter at det klarlegges om behandlingen av personopplysninger kan volde ulemper for den enkelte som ikke avhjelpes gjennom bestemmelsene i kapittel II V og vilkår etter 35 I så fall må det vurderes om ulempene blir oppveid av hensyn som taler for behandlingen Personopplysningsloven 9 stiller opp minstekrav for at sensitive personopplysninger kan behandles In casu er lit e aktuell behandlingen er nødvendig for å fastsette gjøre gjeldende eller forsvare et rettskrav Hvis man anser vilkåret oppfylt vil det være opp til Datatilsynet å foreta en samlet vurdering i henhold til personopplysningsloven 34 Denne bestemmelsen synes å overlate til Datatilsynet å utøve et skjønn innenfor en ganske romslig ramme Ved den foretatte skjønnsvurdering har tilsynet forutsatt at det knytter seg personvernmessige ulemper til en permanent konsesjon i et slikt tilfelle og da ulemper av en slik art at disse ikke kan avhjelpes gjennom bestemmelsene i kapitlene II V og vilkår etter 35 jf personopplysningsloven 34 første setning Tilsynet har ikke funnet at ulempene blir oppveid av hensyn som taler for behandlingen jf personopplysningsloven 34 annen setning Som vi ser vil det altså til sist bero på en skjønnsmessig interesseavveining om konsesjon skal gis eller ikke Mindretallet mener den vurdering Datatilsynet her har foretatt er lovlig og forsvarlig Mindretallet legger til grunn bl a følgende faktum Identifiseringen av IP nummer skjer ved at klageren går aktivt ut på slike møteplasser og der tilbyr eller etterspør fildeling av filmer eller musikk Respondenter på adresseringen blir identifisert for klageren på skjermen ved sitt IP nummer Dette nummer registreres så av klageren Klageren overvåker altså ikke trafikk mellom andre Klageren fremkaller aktivt en trafikk som så blir registrert hos klageren i et register over slik trafikk Det er et register over IP nummer som klageren mener er benyttet for å begå en straffbar handling nemlig trafikken med klageren På grunnlag av en konstatering av denne trafikken presumerer man antakelig at vedkommende respondent også kommuniserer med andre For i det hele å komme i posisjon til å tilby eller etterspørre fildeling må møteplassen være tilgjengelig for klageren Slike møteplasser er dels åpne for enhver dels lukkede og da begrenset for dem som er opptatt i fellesskapet på den aktuelle møteplassen For slikt opptak stilles ulike krav på ulike møteplasser Klageren har opplyst at man dels opptrer på åpne plasser dels på lukkede og da i situasjoner der man later som om man oppfyller de krav som stilles Vi kjenner ikke forholdet mellom trafikkvolumet på åpne og lukkede plasser men det legges til grunn at de åpne alene muliggjør en omfattende trafikk altså fildeling Hvor serverne til disse møteplasser befinner seg er delvis uvisst og angivelig ikke helt lett å bringe på det rene De kan være plassert hvor som helst i verden hvor det finnes nettdekning Hvem som oppretter slike møteplasser er heller ikke lett å finne ut av om de som gjør det ønsker å ha skjult identitet Det har vært hevdet at for eksempel Pirate Bay serverne etter hvert har blitt selvgående i den forstand at man ikke vet hvor de er og hvem som administrerer dem En enkel måte å nå åpne plasser på er ved søk i Google på musikk eller filmtittel og bruk av torrent port Det er altså det IP nummer som brukes av den annen part i klagerens fildelingstrafikk man registrerer Dette IP nummer er ikke genuint for den enkelte som tilbyr eller etterspør fildeling Det identifiserer bare den nettilknytning som er benyttet ved den aktuelle fildelingen Store virksomheter kan ha ett IP nummer Flere norske bedrifter har bare ett eller få nummer Dette nummer benyttes da av alle som bruker abonnentens nettilknytning Det kan være alle ansatte Men det kan og være abonnentens kunder En av de største hotellkjedene her i landet har ett nummer som benyttes av gjestene eller andre som midlertidig oppholder seg i hotellet Disse kan da få i resepsjonen en kode for å koble seg på nettet Slike koder er i noen tilfelle lik for alle som kobler seg på De kan også være genuine for hver som kobler seg på men da slik at tildeling av slik kode ikke blir registrert på den enkelte bruker En annen kjede har oppslått koden ved maskinen I slike tilfelle vil altså ikke brukeren kunne bli identifisert og dermed

    Original URL path: http://www.personvernnemnda.no/vedtak/2009_18.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    henvendelsen ikke skal behandles av Datatilsynet Klager påklaget avvisningsvedtaket 17 8 2009 Personvernnemnda mottok saken 2 9 2009 som ble oversendt fra Datatilsynet 1 9 2009 Klager ble orientert om dette i brev fra nemnda datert 3 9 2009 med frist til uttalelse innen 20 9 2009 Det er ikke innkommet brev fra klager 3 Faktum Klagen gjelder forhold hos NAV som klager finner kritikkverdige 4 Klagers anførsler Klager har beskrevet en rekke forhold som klager anser kritikkverdige herunder tilfeller hvor NAV ikke har fulgt personopplysningsloven Dette gjelder blant annet NAVs krav om utlevering av kontoutskrift NAVs kontakt med klagers advokat og fastlege uten samtykke påstand om at NAV har betalt klagers advokat og fastlege for å ikke gi klager bistand NAVs håndtering av henvisning av klager til psykiatrisk behandling og NAVs vedtak om å utestenge klager fra å kunne oppsøke NAV kontoret i en periode Klagen inneholder også klage på helsetjenesten herunder flere navngitte psykologer og klagers fastlege Klager ønsker å påklage Datatilsynets vedtak om avvisning 5 Datatilsynets vurdering Datatilsynet fører tilsyn med at personopplysningslovens bestemmelser blir fulgt Lovens 5 begrenser anvendelsesområdet mot behandling av personopplysninger som er særskilt regulert av annet regelverk Etter Datatilsynets vurdering kommer ikke personopplysningslovens bestemmelser til anvendelse da de områdene som klager påpeker er regulert av særskilt regelverk og ivaretas av egne forvaltningsorgan Datatilsynet har i henhold til forvaltningsloven 11 informert klager om rett klageinstans for anførslene klager fremsetter 6 Personvernnemndas merknader Nemnda mener at det er viktig med god saksbehandling i forvaltningen og at reglene for dette blir fulgt I denne saken er problemstillingen hvorvidt saken faller innenfor Datatilsynets myndighetsområde og om Datatilsynet har oppfylt sin veiledningsplikt etter forvaltningsloven Klager har klaget på den behandlingen han har fått hos NAV og av helsepersonell Datatilsynet har vurdert klagers sak og konkludert med at temaene

    Original URL path: http://www.personvernnemnda.no/vedtak/2009_17.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    løyvemyndighetene får nødvendige opplysninger direkte fra de omtalte offentlige instanser Kommunen har anmodet lovgiver om å foreta endringer men har ikke funnet det forsvarlig å vente på lovgiver på dette punktet da behovet for opprydding i drosjenæringen anses prekært og av stor samfunnsmessig betydning Atter subsidiært anfører klager at det under enhver omstendighet er hjemmel i personopplysningsloven 9 siste ledd Det foreligger viktige samfunnsmessige hensyn som gjør seg gjeldende i denne saken Det er avdekket omfattende svindel trygdemisbruk skatteunndragelse mv innenfor drosjenæringen Lovbruddene er mange Det er et stort behov for omfattende opprydding Problemene fører til store tap i skatteinntekter og er også ødeleggende for næringen selv Mangelen på kontroll går også utover publikum Kommunen mener at dette kvalifiserer til viktige samfunnsinteresser i personopplysningsloven 9 siste ledd 5 Datatilsynets vurdering Oslo kommunes behandling av personopplysninger omfatter behandling av sensitive personopplysninger jf personopplysningsloven 2 nr 8 Da kreves et behandlingsgrunnlag Dette kan enten være samtykke lovhjemmel eller nødvendig holdt opp mot nærmere angitte formål jf personopplysningsloven 9 Samtykke er definert i personopplysningsloven 2 nr 7 Det foreligger ikke et gyldig samtykke i denne saken da kravet til frivillighet åpenbart ikke er oppfylt Subsidiært anfører klager at det foreligger lovhjemmel for behandlingen Behandling av sensitive opplysninger er i utgangspunktet underlagt konsesjonsplikt jf personopplysningsloven 33 med mindre annet følger av lov Det følger av yrkestransportloven 4 at Den som mot vederlag vil drive persontransport med motorvogn må ha løyve Det same gjeld den som utfører persontransport mot vederlag på liknande måte som drosje når tilbod om transport vert retta til ålmenta på offentleg plass Løyve kan tildelast den som a god vandel b tilfredsstillande økonomisk evne og c tilstrekkeleg fagleg kompetanse En tilsvarende formulering finner man i yrkestransportforskriften 4 Det følger av forarbeidene at de generelle prinsippene for tildeling av drosjeløyve er flyttet fra forskriften til loven Det er hensynet til klarere fremstilling av løyvevilkår som ligger til grunn for at kravene er tatt inn som en del av lovteksten jf Ot prp nr 74 2001 2002 s 29 Det kan kreves politiattest for å dokumentere god vandel jf lovens 26 Kravet presiseres nærmere i yrkestransportforskriften 6 hvoretter politiattest skal vedlegges søknaden Bestemmelsen gir anvisning på når relevanskravet anses oppfylt ved en vurdering av hvilke forhold som kan tillegges vekt ved en gjennomgang av innhentet politiattest jf yrkestransportforskriften 6 2 ledd Adgangen til å fastsette vilkår for tildeling av løyve er regulert i yrkestransportforskriften 5 som sier at det er adgang til å sette vilkår for løyvet innenfor rammen av yrkestransportlova 25 Etter bestemmelsen kan løyve tildeles dei som fyller krava som er sette i lova eller i forskrift med heimel i lova Det foreligger etter dette ingen adgang til å sette strengere vilkår eller stille strengere krav enn det som følger av yrkestransportloven eller yrkestransportforskriften Datatilsynet kan ikke se at det er adgang til å stille som vilkår for tildeling av løyve at kommunen uten hinder av taushetsplikten skal kunne innhente de omtalte opplysningene Datatilsynet mener at det ikke foreligger hjemmel i

    Original URL path: http://www.personvernnemnda.no/vedtak/2009_16.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    legges til grunn Fingeravtrykk kan være en integritetskrenkelse i motsetning til bruk av fødselsnummer I denne saken brukes fødselsnummer som en nøkkel mellom flere systemer hvor hensikten er å finne elevens identitet Fødselsnummeret er en sikker fellesnevner for de ulike systemene Like sikker identifikasjon er ikke mulig Klager viser til at Justisdepartementet har uttalt at elevlister inkludert fødselsnummer er omfattet av hovedregelen om rett til innsyn etter offentlighetsloven 2 Justisdepartementet har uttalt at I den utstrekning det foreligger en innsynsrett etter offentlighetsloven følger det av personopplysningsloven 6 første ledd at personopplysningsloven ikke kommer til anvendelse Innsyn kan da gis også ved å bruke elektroniske hjelpemidler Klager viser til meldeskjema fra Safir Data AS til Datatilsynet hvor det fremgår at fødselsnummer skulle benyttes i behandlingen av personopplysningene Det kom ikke noe svar fra Datatilsynet og dermed hadde Safir Data AS grunn til å tro at Datatilsynet ikke hadde noen innvendinger mot behandlingen Det vises også til forskrift til folkeregisterloven 9 3 og 9 4 I denne saken har Sentralkontoret for folkeregistrering vurdert det slik at opplysningene var nødvendig Klager mener at dette underbygger at Datatilsynet har lagt en for streng vurdering til grunn av om personnummer er nødvendig i behandlingen 5 Datatilsynets vurdering Datatilsynet er ikke enig i anførselen om at tilsynet bygger på uriktige faktiske forutsetninger Datatilsynet har lagt til grunn de nye opplysningene og detaljene i saken og har gjort en ny vurdering av saken Likevel er Datatilsynet kommet til samme resultat Når det gjelder nødvendighetskravet i personopplysningsloven 12 bemerker Datatilsynet at begge vilkår i bestemmelsen må være oppfylt samtidig Det må foreligge saklig behov for sikker identifisering og det må være nødvendig å benytte fødselsnummer for å oppnå en sikker identifisering Datatilsynet er enig med klager i at saklighetskriteriet er oppfylt Det er nødvendighetskriteriet som hindrer bruk av fødselsnummer I dette vilkåret ligger det et krav om at andre alternative parametre for personidentifikasjon ikke kan anses tilstrekkelige for å oppnå entydig identifisering Dersom faren for forveksling av to personer kan elimineres ved hjelp av navn fødselsdato og adresse vil det normalt ikke være nødvendig å bruke fødselsnummer Det skal tillegges vekt hvilken betydning forveksling eventuelt har for den registrerte og den behandlingsansvarlige Hvis det er umulig eller urimelig vanskelig å oppnå sikker identifisering på annen måte og det er av stor betydning at den registrerte er sikkert identifisert kan fødselsnummer benyttes I de fleste tilfeller vil man imidlertid oppnå en tilfredsstillende identifikasjon ved hjelp av navn adresse og fødselsdato eventuelt med tillegg av egendefinerte kundenummer I tidligere saker om administrering av skolemelkordning og musikkskole har Datatilsynet vurdert personopplysningsloven 12 og kommet til at vilkårene for å bruke fødselsnummer ikke er oppfylt I denne saken vil forveksling for eleven kunne medføre at vedkommende blir tildelt to skysskort dobbeltregistrering forsinket skysskort manuell kontroll eller avslag avdekker misbruk For klager vil forvekslingsfaren og forbud mot bruk av fødselsnummer medføre at man i større grad må stole på at eleven og skolen oppgir riktige opplysninger Det vil medføre merarbeid for klager som

    Original URL path: http://www.personvernnemnda.no/vedtak/2009_15.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    tidspunkt Dersom Altinn må avslutte sin logging vil politiet miste sin kilde til å få opplyst IP adresse i forbindelse med en politianmeldelse av identitetstyveri og uautorisert bruk av Altinn Det er også mulig å logge bare IP adressen i en logg dersom Altinn senere kan ha anledning til å sammenstille denne loggen med påloggingsinformasjon fødselsnummer Slik sammenstilling kan være aktuelt ved ID tyveri og politietterforskning Altinn kan eventuelt erstatte fødselsnummer med et løpenummer eller annen identifikator Da må det beholdes en mulig kobling mellom løpenummer og fødselsnummer for å muliggjøre autentisering og autorisasjon For det tilfelle at Altinn ikke skulle få medhold i klagen ønsker Altinn at Personvernnemnda kommer med en prinsipiell uttalelse om hvordan man på best mulig måte kan ivareta brukernes interesse og sikkerhet i forhold til tyveri av ID 5 Datatilsynets vurdering Datatilsynet mener at Altinn ikke har grunnlag for loggingen i personopplysningsforskriftens 2 14 og 2 16 Forskriften pålegger tiltak for å hindre uautorisert tilgang men ikke slik som Altinn legger opp til nemlig å logge all trafikk for å kunne etterspore en eventuell uautorisert tilgang til systemet Personopplysningsforskriftens 2 14 og 2 16 sikter normalt til aktivitetslogger i eget informasjonssystem hvor brukere er autorisert av behandlingsansvarlig for å gjennomføre behandling av personopplysninger på vedkommendes vegne De nevnte bestemmelsene kan derfor ikke brukes til et utvidet loggregime overfor publikum En slik logg kan heller ikke brukes som sikkerhetslogg fordi fødselsnummer normalt ikke vil avklare om det har skjedd autorisert eller uautorisert adgang til et informasjonssystem jf personopplysningsforskriftens 2 14 En sikkerhetslogg inneholder normalt ikke fødselsnummer eller et løpenummer som kan knyttes til et fødselsnummer Kobling mellom IP adresse og fødselsnummer kan ikke bekrefte eller avkrefte hvem som har benyttet tjenesten da det ikke finnes en konkret tilgjengelig oversikt over hvem som til enhver tid har en spesifikk IP adresse Det må eventuelt hentes ut etter rettsavgjørelse i straffesak eller ved annet gyldig lovgrunnlag hos den aktuelle leverandør av internettilgang Datatilsynet mener at loggen er ment å skulle kompensere for svake autentiseringsløsninger Datatilsynet mener at slik logging ikke kan benyttes som bevis overfor skatteyter 6 Personvernnemndas merknader I denne saken skal nemnda ta stilling til hvorvidt Altinn kan behandle logge IP adresse og fødselsnummer som et sikkerhetstiltak i informasjonssystemet Klager påberoper seg hjemmel for behandlingen prinsipalt i personopplysningsforskriftens 2 14 og 2 16 Datatilsynet har bestridt denne hjemmelen Klager anfører derfor subsidiært personopplysningsloven 8 bokstav f som behandlingsgrunnlag Personopplysningsforskriften 2 8 pålegger behandlingsansvarlig å registrere logge autorisert bruk av informasjonssystemet Det samme gjelder forsøk på uautorisert bruk jf personopplysningsforskriften 2 14 Loggene skal lagres i minst tre måneder jf personopplysningsforskriften 2 16 Sletting skal skje når opplysningene ikke lenger er nødvendige for å gjennomføre formålet med behandlingen jf personopplysningsloven 28 Datatilsynet mener at Altinn logger mer informasjon enn nødvendig for å oppfylle kravene i personopplysningsforskriften når Altinn logger den påloggedes IP adresse og det oppgitte fødselsnummer Dersom behandling av denne typen informasjon ikke har hjemmel i personopplysningsforskriften 2 8 2 14 og 2 16 kreves det

    Original URL path: http://www.personvernnemnda.no/vedtak/2009_14.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    stå oppført med feil ektefelle i folkeregisteret Klager hevder at vigselsattesten med oversettelse som var grunnlaget for å registrere klager som gift med ektefellen er forfalsket Videre hevdes at opplysninger om senere separasjon er en følgefeil av opprinnelig registrering av opplysningene 4 Klagers anførsler Klager anfører at saken ikke burde avsluttes men følges opp ytterligere i forhold til Skatt Øst jf personopplysningsloven 13 Klager har spørsmål vedrørende registrering og kvalitetssikring av opplysninger og Skatt Østs behandling og rutiner i den forbindelse Skatt Øst har ikke besvart Datatilsynets spørsmål på en tilfredsstillende måte Klager hevder at vigselsattesten er forfalsket og at dokumentet aldri ble levert av vedkommende selv slik det anføres av Skatt Øst Underlagsdokumentene som kan bekrefte vigselsattestens gyldighet er aldri blitt fremlagt for norsk rett eller forvaltning 5 Datatilsynets vurdering Datatilsynet anser sakens primære problemstilling hvorvidt selve dokumentasjonen som er lagt til grunn av Skatt Øst er gyldig og tilstrekkelig for å dokumentere inngått ekteskap Det følger av personopplysningsloven 11 at den behandlingsansvarlige skal sørge for at personopplysningene er korrekte og oppdaterte Ved registrering av opplysninger i offentlige registre vil det som hovedregel finnes regler eller retningslinjer for hvilken dokumentasjon som kreves for å dokumentere at gitte opplysninger er korrekte Hvilken grunnlagsdokumentasjon som kreves for å registrere en person som gift er regulert i folkeregistreringsloven med forskrift samt håndbok om folkeregistrering I denne saken hevdes det å være knyttet feil til dokumentet som sådan Spørsmålet om gyldigheten av selve vigselsdokumentet faller etter Datatilsynets vurdering klart utenfor tilsynets kompetanseområde da dette må vurderes av domstolene Datatilsynet bemerker at saken tidligere har vært behandlet av Skatteetaten Barne og familiedepartementet Sivilombudsmannen samt domstolsapparatet uten at mistanken om forfalskning har blitt bekreftet 6 Personvernnemndas merknader I denne saken klages det over Datatilsynets avvisningsvedtak Personvernnemnda skal ta stilling til hvorvidt saksbehandlingen hos Datatilsynet har

    Original URL path: http://www.personvernnemnda.no/vedtak/2009_13.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    2009 Datatilsynet besvarte brevet til klager 19 5 2009 hvor det ble gitt inngående informasjon om politiattest bøteregister og forholdet til sak PVN 2008 02 hvor Datatilsynet hadde pålagt Kripos å slette opplysninger om en person i det sentrale straffe og politiopplysningsregisteret Saker om taushetsplikt skal behandles av Spesialenheten for politisaker Saken ble derfor avsluttet Datatilsynet anser beslutningen som et avvisningsvedtak Datatilsynet mottok 24 6 2009 oversendelsesbrev fra Personvernnemnda med brev fra klager datert 26 5 2009 Personvernnemnda mottok saken som ble oversendt fra Datatilsynet 17 7 2009 Klager ble orientert om dette i brev fra nemnda datert 3 8 2009 med frist til uttalelse innen 18 8 2009 Det er ikke kommet noen uttalelse fra klager innen fristen 3 Faktum Klager ble ilagt en bot for naskeri i 1993 Klager vedtok forelegget Klager mener at saken har forfulgt ham ved at arbeidsgivere er blitt orientert om forholdet fra politiet 4 Klagers anførsler Klager anfører at alle opplysninger om vedkommende skal slettes hos politiet i medhold av personopplysningsloven 28 Klager anfører videre at det foreligger brudd på taushetsplikten ved at politiet har gitt personopplysninger per telefon til potensielle arbeidsgivere Klager mener at Datatilsynet må følge opp saken ytterligere i forhold til Fredrikstad politikammer 5 Datatilsynets vurdering Datatilsynet anser at saken er godt nok opplyst jf forvaltningsloven 17 Etter forvaltningsloven 11 har Datatilsynet en alminnelig veiledningsplikt Etter Datatilsynets vurdering handler saken primært om et eventuelt brudd på taushetsplikten Polititjenestemenn har taushetsplikt jf forvaltningsloven 13 politiinstruksen 34 og strafferegistreringsloven 8 Eventuelle brudd på taushetsplikten er straffbar Ved mistanke om brudd på taushetsplikten kan anmeldelse sendes Spesialenheten for politisaker Datatilsynet mener at det ligger utenfor tilsynets kompetanseområde å vurdere hvorvidt det i ett enkelt tilfelle foreligger brudd på lovbestemt taushetsplikt Det følger av personopplysningsloven 5 at bestemmelsene i personopplysningsloven gjelder for behandling av

    Original URL path: http://www.personvernnemnda.no/vedtak/2009_12.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    umiddelbart Når det gjelder materiell som er forsøkt skjermet jf konsesjonsvilkår nr 2 er Datatilsynet enig i at det kan være flere årsaker til at det settes søkebegrensninger Dersom Nasjonalbiblioteket ønsker å samle inn dette materialet må de benytte seg av metoden som avleveringsloven legger opp til forutsatt at denne loven kan tolkes slik at den også omfatter materiale fra Internett Datatilsynet viser til Personvernkommisjonens forslag til tiltak for pliktavlevering av elektronisk materiale Det vises her til at det bør være mulig å reservere seg mot innsamling og arkivering enten ved at Nasjonalbiblioteket pålegges å følge Robot Exclusion Protocol eller på en annen hensiktsmessig måte Datatilsynet mener at spørsmålet om innsamling av slikt materiale bør være en del av den offentlige debatten i forkant av nye lovbestemmelser på området Når det gjelder mulighet for tilsvar jf konsesjonsvilkår nr 4 er det ikke en forutsetning at alle skal kunne søke og redigere i arkivet Det følger av vilkår nr 3 at Nasjonalbiblioteket i forkant skal gjøre formålet med behandlingen kjent gjennom egnede informasjonstiltak Menigmann skal dermed gjøres kjent med at Nasjonalbiblioteket samler inn materiale Dersom en person finner uriktig informasjon om seg selv på Internett kan denne personen ta kontakt med Nasjonalbiblioteket og be om at sin side av saken kommer frem Brev med tilsvar kobles til det aktuelle nettdokumentet Etter Datatilsynets vurdering vil en innsamling av belastende materiale være en ytterligere belastning for de involverte Muligheten for å kunne kommentere dette materialet vil sammen med muligheten for sletting redusere personvernulempen ved Nasjonalbibliotekets innsamling Datatilsynet har ikke gitt en generell mulighet for tilgjengeliggjøring for forskning Årsaken til dette er at Datatilsynet ønsker at lovgiver skal ta stilling til dette spørsmålet Det gis imidlertid mulighet for allmenn tilgjengeliggjøring av enkelte dokumenter der personvernkonsekvensene anses som små jf konsesjonsvilkår nr 6 6 Personvernnemndas merknader I denne saken klages det over Datatilsynets konsesjonsvilkår Klager påklaget vilkårene og klagers begrunnelse er at samfunnsnytten ved klagers innsamling overstiger personvernulempene jf personopplysningsloven 35 jf 1 og formålet med loven 6 1 Generelt om den rettslige situasjonen og behovet for lovrevisjon Det er klart at avleveringsloven og avleveringsforskriften er laget ut fra en annen teknologisk situasjon Det er behov for en snarlig revidering av lov eller forskrift Generelt sett mener Personvernnemnda at lovens begrep allment tilgjengelig ikke er et hensiktsmessig begrep for den lovregulerte pliktmessige innsamling av ytringer i det offentlige rom Begrepet er ikke lenger dekkende for det som var formålet med avleveringsloven nemlig å samle inn de offentlige ytringer Med Internett har allment tilgjengelig blitt utvidet til å også omfatte private ytringer På Internett legges det enkelt sagt ut tre kategorier informasjon Informasjon som er intendert lagt ut åpent Informasjon som ved en feiltagelse er lagt ut åpent på nettet Kommunikasjon som er intendert rettet mot en privat krets men andre kan se det likevel for eksempel private blogger private nettsteder familiebilder etc Det var ikke lovens intensjon at alle disse kategoriene skulle samles inn Slik situasjonen er nå samler Nasjonalbiblioteket inn informasjon fra alle tre kategorier Ved en lovrevisjon bør det vurderes om en slik utvidelse er ønskelig og hensiktsmessig 6 2 Avleveringsloven og avleveringsforskriften Personvernnemnda må tolke avleveringsloven og avleveringsforskriften Slik lov og forskriftstekst er formulert er disse åpenbart ikke tilpasset nettdokumenter I følge forskriftens 30 2 ledd skal edb dokument som er tilgjengelege ved direktekopling gjennom tele fjernsyns datanett e l avleverast i to eksemplar etter konkret oppmoding frå mottaksinstitusjonen i det einskilde tilfellet Slik nemnda har oppfattet klagers praksis har klager en innsamlingsrobot som selv henter laster ned tilgjengelige dokumenter på Internett automatisk innsamling uten at det sendes ut noen konkret anmodning i det enkelte tilfellet Videre hentes det elektroniske dokumenter ikke to fysiske eksemplarer Praksis avviker med andre ord noe fra forskriftens ordlyd Selv om det er klart at avleveringsloven er teknologisk utdatert jf pkt 6 1 ovenfor og lovens ordlyd ikke regulerer den formen for innsamling som Nasjonalbiblioteket ønsker å gjøre mener Personvernnemnda at konsesjonens vilkår likevel må gis i samsvar med lovens og forskriftens ordlyd og intensjon Personvernnemnda mener at det er betenkelig at Internett skal medføre at innsamlingen blir mer omfattende enn det som var hensikten bak loven Den informasjon som i dag legges ut på Internett er til dels vesentlig annerledes enn det som var forutsatt omfattet av begrepet allment tilgjengelig informasjon da loven ble laget Nemnda mener at innsamlingens resultat innhold det vil si karakteren av materialet som samles inn fortsatt må være innenfor det område som var formålet med loven Konsesjonen kan derfor ikke utvide begrepet allment tilgjengelig informasjon ut over intensjonen og formålet Etter nemndas oppfatning er hjemmelen allerede strukket langt når konsesjonen gir rettslig grunnlag for elektronisk behandling av sensitive personopplysninger og en mer moderne innhøstingsteknikk automatisk innsamling 6 3 Nærmere om de enkelte konsesjonsvilkårene Personvernnemnda skal gjennomgå de konsesjonsvilkår som er påklaget 6 3 1 Allment tilgjengelige filer ikke krypterte Det første vilkåret er at det ikke kan samles inn krypterte filer Nasjonalbiblioteket ber om fritak fra dette vilkåret I oversendelsesbrevet til Personvernnemnda opplyser Datatilsynet at tilsynet godtar en innsamlingsmetode der krypterte filer samles inn dersom disse slettes umiddelbart Dette er akseptabelt for klager Nemnda har ingen ytterligere merknader til dette 6 3 2 Materiale som er forsøkt skjermet robots txt Det andre vilkåret i konsesjonen er at Nasjonalbiblioteket ikke skal samle inn materiale som er forsøkt skjermet Dette er regulert av industrien ved to anerkjente standarder robots txt og W3C metadata heretter kalt industristandarder som er instruksjoner til innsamlingsroboten Personvernnemnda skal bemerke at slike industristandarder er konvensjoner som blant andre Google Microsoft og W3C har utviklet Robots txt er en tekstfil med instrukser til roboter Google Bing og en rekke andre søkemotorer respekterer instruksjonene i industristandardene En industristandard som robots txt brukes dersom man av ulike grunner ikke ønsker indeksering Instruksjonene kan gå ut på at søkemotorene ikke skal indeksere selv om siden er åpen for alle Denne type begrensning kan være hensiktsmessig å bruke som en tilleggssikring dersom et nettsted behandler sensitive personopplysninger Dersom de sensitive personopplysningene ved en feil

    Original URL path: http://www.personvernnemnda.no/vedtak/2009_11.htm (2014-09-28)
    Open archived version from archive