archive-no.com » NO » P » PERSONVERNNEMNDA.NO

Total: 189

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".
  • Personvernnemnda
    Klagers anførsler VEF Entreprenør AS påklager kredittvurderingen som er foretatt av Lindorff Decision AS Det er riktig at daglig leder fratrådte sin stilling 12 9 2008 Ny daglig leder ble registrert 11 10 2008 Klager mener at det ikke er noen dramatikk knyttet til skiftet av daglig leder Klager mener at Lindorffs vurdering er feil og den oppleves som sterkt belastende Klager ber om at vurderingen blir rettet Klager viser til personopplysningsloven 28 3 ledd hvor den registrerte kan kreve sletting av opplysning som er sterkt belastende for ham 5 Datatilsynets vurdering Datatilsynet viser til at VEF Entreprenør AS klager på vektingen av de ulike momenter som kredittopplysningsvirksomhetene har anledning til å benytte ved en kredittvurdering samt Datatilsynets kompetanse i forbindelse med dette Datatilsynet har kompetanse til å vurdere hvorvidt kravet til saklig behov for en kredittvurdering er oppfylt jf personopplysningsforskriften 4 3 De kilder som kredittopplysningsvirksomheten har anledning til å benytte seg av er regulert i konsesjon om behandling av personopplysninger i kredittopplysningsvirksomhet av 1 3 2006 Det følger av konsesjonens punkt 1 5 at det kun er tillatt å bruke opplysninger som er tilknyttet det aktuelle foretaket I følge konsesjonens punkt 1 1 1 kan registeret blant annet inneholde opplysninger om offentlig tilgjengelige grunndata om enheten innhentet fra Brønnøysundregistrene Videre heter det i konsesjonens punkt 1 1 2 at det kan innhentes opplysninger om aktuelle hendelser av faktisk og økonomisk karakter som åpenbart er av betydning Verken personopplysningsloven personopplysningsforskriften eller standardkonsesjonen for kredittopplysningsvirksomhet regulerer vektingen av de ulike opplysningene som man lovlig kan innhente Datatilsynet har ikke kompetanse til å vurdere vektleggingen av de ulike momenter Det følger av personopplysningsloven 28 3 ledd at den registrerte kan kreve at opplysninger som er sterkt belastende for ham skal slettes Forarbeidene Ot prp nr 92 1998 99 s 124 sier om bestemmelsen at de uriktige eller ufullstendige personopplysningene kan gi et så uheldig og stigmatiserende bilde av den registrerte at markering og supplering åpenbart ikke gir noen tilfredsstillende løsning for den registrerte Det følger videre s 125 at Vilkårene for dette er strenge Hva som må anses som sterkt belastende må i utgangspunktet vurderes objektivt det må spørres om oppbevaringen av denne type opplysninger ville oppleves som sterkt belastende av folk flest Datatilsynet bemerker at terskelen for slik sletting er høy Den situasjonen klager har kommet i hvor faktiske opplysninger om selskapet har medført at det får en dårlig kredittrating vil ikke falle inn under anvendelsesområdet for bestemmelsen Datatilsynet legger til grunn at kredittvurderingen er basert på oppdaterte opplysninger om vedkommende som kredittvurderes Resultatet av en kredittvurdering vil således ikke lagres for senere bruk da det må foretas en ny vurdering på bakgrunn av de opplysninger som foreligger 6 Personvernnemndas merknader Kredittopplysningsvirksomhet er regulert i personopplysningsforskriftens kapittel 4 Denne saken gjelder en klage fra et aksjeselskap Det følger av forskriftens 4 1 2 ledd at personopplysningsloven også gjelder for behandling av kredittopplysninger om juridiske personer Datatilsynet har regulert kredittopplysningsvirksomhet i en standardkonsesjon av 1 3 2006 Konsesjonen regulerer hvilke opplysninger

    Original URL path: http://www.personvernnemnda.no/vedtak/2009_2.htm (2014-09-28)
    Open archived version from archive


  • Personvernnemnda
    som utleveres og for å gi den registrerte mulighet til retting av eventuelle feil i opplysningene som kredittvurderingen bygger på Formålet med gjenpartsplikten er oppfylt når den registrerte får informasjon om hvilke opplysninger som er utlevert til spørrer eller lagt til grunn for kredittvurderingen Selve kredittvurderingen er det opp til byråene å foreta Denne kan ikke påvirkes av den registrerte med mindre det kan påvises at uriktige eller mangelfulle opplysninger har ligget til grunn for vurderingen Det er kunden den som innhenter kredittvurderingen som fatter beslutning om kreditt skal innvilges eller ikke Dette kan variere mellom kredittytere og den konkrete transaksjonen Resultatet av en kredittvurdering kan angis på ulike måter og kan være tilpasset den enkelte spørrer Det kan være angitt som en poengsum en bokstavkode eller farge Slike angivelser gir ikke noen presis informasjon hvis den blir sendt til den registrerte Informasjon om selve kredittvurderingen kan virke mer villedende enn opplysende Derfor taler også hensynet til den registrerte imot at selve kredittvurderingen skal tas med i gjenpartsbrevet Gjenpartsplikten er en direkte videreføring av den ordning som gjaldt under personregisterloven 19 Ordningen har hele tiden vært praktisert slik at selve kredittvurderingen ikke har vært med i gjenpartsbrevet Byråene kan ikke se at det er grunnlag for å kreve endring av denne langvarige praksis 5 Datatilsynets vurdering Datatilsynet viser til personopplysningsloven 2 nr 1 hvor personopplysninger er definert som opplysninger og vurderinger som kan knyttes til en enkeltperson En score sier noe om en persons kredittverdighet og er følgelig å anse som en personopplysning Begrepet kredittopplysning er i personopplysningsforskriften 4 2 definert som meddelelser som belyser kredittverdighet eller økonomisk vederheftighet Etter Datatilsynets mening må kredittopplysningsbegrepet leses i lys av personopplysningsloven 2 nr 1 når det gjelder kredittvurdering av enkeltpersoner Med bakgrunn i definisjonen av personopplysninger er det naturlig å forstå begrepet kredittopplysning som opplysninger og vurderinger som belyser kredittverdighet eller økonomisk vederheftighet Dette innebærer at både scoren og de underliggende personopplysningene omfattes av kredittopplysningsbegrepet Det følger av personopplysningsforskriften 4 3 at kunder med saklig behov kan få tilgang til kredittopplysninger Samtidig skal den omspurte den registrerte få oversendt gjenpart kopi eller annen melding om innholdet jf 4 4 Datatilsynet kan ikke se at 4 4 1 ledd og de utdypende konsesjonsbestemmelsene tilsier at den registrerte skal få noen annen informasjon enn det kunden får En normal forståelse av begrepene gjenpart og kopi tilsier at den registrerte skal få informasjonen presentert på nøyaktig samme måte som kunden Begrepet annen melding om innholdet tilsier at den registrerte og kunden skal få den samme informasjonen men at denne kan være presentert på en annen måte for eksempel muntlig Datatilsynet viser også til personopplysningsforskriften 4 4 3 ledd som lyder Den registrerte kan også få opplyst hvilke kredittopplysninger som er gitt om vedkommende de siste seks måneder Datatilsynets understreking Begrepet kredittopplysning skal her tolkes som i 4 2 og 4 3 Den registrerte har dermed krav på å få oppgitt scoren etter 4 4 3 ledd dersom kunden har fått en slik Scoren er basert

    Original URL path: http://www.personvernnemnda.no/vedtak/2009_1.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    8 2008 Personvernnemnda mottok saken fra Datatilsynet 2 10 2008 Klager ble orientert om dette i brev fra nemnda 6 10 2008 med frist til uttalelse innen 21 10 2008 Klager sendte i brev av 3 10 2008 flere vedlegg i saken I e post av 14 10 2008 mottok Personvernnemnda ytterligere vedlegg i saken I brev av 19 10 2008 adressert til Datatilsynet og 20 10 2008 sendte klager nye vedlegg i saken 3 Klagers anførsler Klagen knytter seg til tre forhold For det første gjelder den avvisning av anmodningen om å gjennomføre et tilsyn For det annet gjelder den avvisning av anmodning om å iverksette nye forsøk på å gjenopprette data For det tredje gjelder den innsyn i rapporten fra IBAS Klager ønsker at Datatilsynet skal dobbeltsjekke fysioterapeutens harddisk Han ønsker at Datatilsynet innhenter harddisken og eventuelt hele datamaskinen fra fysioterapeuten for å finne tilsvarende filer som IBAS etterlyser Datatilsynet må sende harddisken på nytt til et gjenopprettingsfirma fordi fysioterapeuten ikke har oppgitt gjenopprettingsårsak til IBAS Harddisken må også sjekkes for virus Videre stiller klager spørsmålstegn ved at fysioterapeuten ikke kunne legge frem journalen vinteren 2006 fordi han hadde fått virus I følge Helsetilsynet førte imidlertid fysioterapeuten kun papirjournal frem til våren 2006 Klager mener at Datatilsynet er rette organ når det gjelder datakriminalitet Klager ber om at Datatilsynet bruker sin myndighet til å komme til bunns i denne saken Klager fikk innsyn på en uoffisiell måte i det usignerte brevet med IBAS rapporten vedlagt Klager ber om at Personvernnemnda sørger for at fysioterapeutens harddisk blir gransket 4 Datatilsynets anførsler Når det gjelder klagen på avvisningen av anmodningen om å gjennomføre et tilsyn bemerker Datatilsynet at det følger av forvaltningsloven 17 at forvaltningsorganet skal påse at saken er så godt opplyst som mulig før vedtak treffes Datatilsynet har en særlig plikt etter personverndirektivet art 28 nr 4 andre ledd til å bistå den registrerte i saker hvor det gjøres innhogg i den registrertes individuelle rettigheter med hjemmel i direktivets art 13 tilsvarende personopplysningsloven 23 om unntak fra rett til innsyn og informasjon Etter Datatilsynets vurdering har Helsetilsynets behandling av saken i tilstrekkelig grad belyst de spørsmål som knytter seg til klagers innsigelser overfor fysioterapeuten Dette gjelder også de forhold som reguleres av det regelverket Datatilsynet håndhever Datatilsynet finner det ikke formålstjenlig å gjennomføre et tilsyn mot en virksomhet som har vært underlagt kontroll av Helsetilsynet vedrørende de samme forhold Datatilsynet er derfor av den oppfatning at det ikke er påkrevd å foreta et tilsyn mot fysioterapeuten For så vidt gjelder klagen på avvisningen av anmodningen om å iverksette nye forsøk på å gjenopprette data bemerker Datatilsynet at IBAS utførte i 2007 et forsøk på å gjenopprette eller rekonstruere materialet Datatilsynet finner ikke holdepunkter for å betvile kvaliteten på undersøkelsene gjort av IBAS eller resultatene av undersøkelsen I klagen legges det vekt på at IBAS refererer til slagskader på harddisken mens fysioterapeuten har opplyst at harddisken ble utsatt for et virusangrep Slik Datatilsynet oppfatter rapporten er det ikke grunnlag

    Original URL path: http://www.personvernnemnda.no/vedtak/2008_6.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    gi tilgang til kredittvurdering som på det aktuelle tidspunkt er lagret i databasen jf personopplysningsloven 18 Creditinform fremholdt imidlertid at salg av bransjeanalyser er omfattet av dagens konsesjon og Creditinform vil opprettholde dagens praksis med salg av slike analyser uten å søke om utvidelse av konsesjonen Den 11 6 2008 ga Datatilsynet følgende pålegg Creditinform må stoppe salget av verdiøkende produkter inntil konsesjonen for slik bruk av kredittopplysningsdatabasen foreligger Creditinform svarte 7 7 2008 med å påklage vedtaket Datatilsynet oversendte saken til Personvernnemnda 29 7 2008 Creditinform ble orientert om dette i brev fra nemnda 19 8 2008 med frist til uttalelse innen 10 9 2008 3 Faktum Creditinform er et kredittopplysningsforetak som har konsesjon fra Datatilsynet I tillegg til vanlig kredittopplysning selger Creditinform såkalte bransjeanalyser Creditinform kaller dette et verdiøkende produkt ettersom det har karakter av en analyse som viser det aktuelle foretakets soliditet og kredittverdighet i forhold til andre virksomheter i samme bransje lokalt og nasjonalt Datatilsynet og Creditinform er enige om at denne type tjeneste er omfattet av begrepet kredittopplysningsvirksomhet og at det faller innenfor formålet med kredittopplysningskonsesjonen Det er imidlertid ingen vilkår i konsesjonen som sier noe om salg av verdiøkende produkter Datatilsynet er derfor av den oppfatning at Creditinform må søke om utvidelse av dagens konsesjon 4 Klagers anførsler Creditinform anfører at salg av verdiøkende produkter som bransjeanalyser er omfattet av gjeldende konsesjon og at det derfor ikke er nødvendig å søke om en utvidelse av konsesjonen Behandlingens formål er i konsesjonen definert som Utøvelse av virksomhet som består i å gi meddelelser som belyser kredittverdigheten eller økonomisk vederheftighet Konsesjonen begrenser ikke Creditinforms handlefrihet når det gjelder behandling av opplysninger innenfor rammen av behandlingsformålet på annen måte enn de vilkår som er satt når det gjelder hvilke opplysningstyper som behandles registerets innhold hvilke kilder som kan benyttes tidspunkter for registrering og sletting samt varslingsplikter For øvrig kan opplysninger behandles innenfor rammen av behandlingsformålet Creditinform hevder at tilsynet under enhver omstendighet ikke kan sette vilkår i tilknytning til salg av bransjeanalyser og verdiøkende produkter for juridiske personer Adgangen til å sette vilkår i konsesjonen går ikke lenger enn det som er nødvendig for å begrense personvernulempene behandlingen ellers ville medføre for den registrerte jf personopplysningsloven 35 Det er ingen personvernulemper knyttet til behandling av opplysninger om næringsdrivende 5 Datatilsynets vurdering Datatilsynet viser til personopplysningsforskriften 4 5 første ledd om at kredittopplysningsvirksomhet krever konsesjon og at denne plikten også gjelder kredittopplysninger om juridiske personer Det følger av konsesjonen at Konsesjonen er gitt under forutsetning av at behandlingen foretas i henhold til søknaden og videre at Dersom det skjer endringer i behandlingen i forhold til de opplysninger som er gitt i søknaden må dette fremmes i en ny konsesjonssøknad Salg av verdiøkende produkter som bransjeanalyser er helt nytt for Datatilsynet Fordi tilsynet ikke har vært klar over salg av bransjeanalyser om eget foretak er det ingen regler for slik bruk av kredittopplysningsregisteret i konsesjonen i dag Dette kan ikke tolkes slik at det er fritt frem for å

    Original URL path: http://www.personvernnemnda.no/vedtak/2008_5.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    mange adresseendringer sammenlignet med de som ikke har adresseendring Opplysningstypen benyttes som en av flere variabler i forbindelse med kredittvurdering Til alle variabler er det knyttet vekter basert på statistisk sannsynlighet for mislighold Selv om vektene for den enkelte variabel opplysningstype er basert på statistisk materiale vil variablene samlet gi grunnlag for individuelt å beregne kredittrisiko for den enkelte registrerte Det høye antall opplysningstyper og statistiske og individuelle parametre bidrar til å gjøre kredittvurderingen presis og relatert til den enkeltes situasjon Det å fjerne opplysningstyper fra denne vurderingen vil innebære at man får et mindre treffsikkert verktøy Personer som nylig har flyttet blir hyppig kredittvurdert Det skyldes høy kredittaktivitet i perioden rundt flytting blant annet knyttet til kjøp av ny bolig flytting og nytegning av abonnementer mv Det høye antallet forespørsler om kredittvurdering av personer som har flyttet og at de langt fleste kommer ut med en positiv kredittvurdering viser at variabelen fungerer slik den skal og at den vektes korrekt i scoremodellene 5 Datatilsynets vurdering Datatilsynet er av den oppfatning at konsesjonen av 1 3 2006 ikke gir adgang til å registrere tidligere adresser eller såkalte historiske adresser Teksten i konsesjonsvilkårene og merknadene til konsesjonen sikter til nåværende kontaktopplysninger Datatilsynet vil etter eget initiativ endre konsesjonen slik at opplysningene om tidligere adresser kan brukes for formål nr 1 og 2 ovenfor Datatilsynet er av den oppfatning at opplysninger om tidligere adresser ikke kan brukes som ledd i en kredittvurdering herunder risikoklassifisering Dette gjelder både antall ganger en person har flyttet samt selve adressen knyttet til geografi Datatilsynet mener at det samme må gjelde navneendringer Datatilsynet viser til personopplysningsloven 11 bokstav d og e Tilsynet mener at tidligere adresser ikke er relevant i forhold til en vurdering av en persons betalingsevne eller vilje Videre mener tilsynet at en opplysning om tidligere adresser hører fortiden til og dermed ikke lenger kan betraktes som saklig jf personopplysningsloven 11 bokstav b Tidligere adresser kan heller ikke sies å være en oppdatert opplysning etter 11 bokstav e Det vises til PVN 2004 05 pkt 6 2 der Personvernnemnda slutter seg til at fordringer som er gjort opp ikke kan benyttes i kredittvurderingen fordi det blant annet vil stride mot personopplysningsloven 11 bokstav e Datatilsynet viser til brev fra NKF av 28 9 2007 hvor det fremgår at bransjen er av den oppfatning at en person som nettopp har flyttet gjerne blir gjenstand for hyppige kredittvurderinger Datatilsynet viser i den forbindelse til en avgjørelse fra Justisdepartementet referert i Personvern i praksis Lee Bygrave side 105 sak 29 Justisdepartementet sluttet seg til Datatilsynets vurdering om at antall tidligere forespørsler om en kredittvurdering ikke var å anse som en opplysning som nødvendigvis belyser kredittverdighet Departementet uttalte at selv om den anførte statistiske undersøkelse viser at hyppige søknader om lån eller kreditt kan være tegn på svak betalingsevne finner departementet det lite betryggende å benytte en slik statistisk tendens som et kriterium i en konkret vurdering av enkelttilfeller Det følger av konsesjonens pkt 1 6 at opplysninger om

    Original URL path: http://www.personvernnemnda.no/vedtak/2008_4.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    lagt til grunn Videre mener klager at det som en del av en helhetsvurdering er relevant å se hen til hvordan og hvorfor personopplysninger blir lagret i eMegler Alle personopplysninger som legges inn vedrører aktører som har en relasjon til salgsoppdraget enten som selger kjøper eller budgiver Det er alle personer som har en klar egeninteresse i oppdraget som gjennomføres og som selv frivillig gir OBOS megleren de aktuelle opplysninger som blir behandlet I praksis er det selgergruppen som er mest interessant i personvernsammenheng Her legges det inn de fleste opplysningene og de ligger også tilgjengelig over det lengste tidsrom Budgivere og kjøpere gir færre opplysninger og faren for spredning er også mindre fordi eMegler saken skal sperres for tilgang når saken avsluttes Alle sentrale dokumenter i salgsprosessen blir nå påført påtegning om at megler behandler personopplysninger i anledning oppdraget slik at aktørene må forutsettes å være innforstått med dette De registrerte boligselgerne vil ha en interesse i at informasjonen spres til en videst mulig krets av mottakere Å innføre strenge restriksjoner på tilgang til de samme opplysningene i eMegler fremstår som både ulogisk og inkonsekvent og neppe i den registrertes interesse Det må også tillegges vekt at de som har tilgang til opplysningene er underlagt en streng lovfestet taushetsplikt i eiendomsmeglerloven 3 6 I tillegg gjelder OBOS interne etiske retningslinjer Eiendomsmeglere må ved ansettelse fremlegge politiattest og bransjen står under strengt tilsyn av Kredittilsynet og følges nøye av media Det vil i fremtiden bli lagt inn sperre på avsluttede oppdrag i eMegler slik at disse ikke vil være tilgjengelige for den alminnelige bruker av systemet Klager anfører også at det foreligger en saksbehandlingsfeil For det første mener klager at personopplysningsloven 11 bokstavene b og d ikke gir anvisning på en slik tilgangsbegrensning som tilsynet påstår Det er ikke snakk om å bruke personopplysningene til et annet formål enn det de er innhentet for innen OBOS meglerens virksomhet Klager kan heller ikke se at opplysningene ikke er tilstrekkelige eller relevante for formålet Videre kan ikke klager se at personopplysningsforskriften 2 12 etter sin ordlyd er relevant i denne saken Klager mener derfor at enten har Datatilsynet anvendt rettsreglene feil eller så må bestemmelsene anses som så lite tilgjengelige for en alminnelig leser at tilsynet må ha en skjerpet plikt til å forklare rettsreglene For det annet mener klager at vedtaket har saksbehandlingsfeil fordi det er mangelfullt begrunnet jf forvaltningsloven 24 og 25 Datatilsynet viser kun til erfaring fra øvrige virksomheter i bransjen og konkluderer med at det er tilstrekkelig at en megler kun har tilgang til opplysninger knyttet til sitt eget kontor 5 Datatilsynets vurdering Datatilsynet viser til personopplysningsloven 11 Det følger av bestemmelsen at den behandlingsansvarlige skal sørge for at opplysningene som behandles bare nyttes til uttykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet jf 11 bokstav b Det følger av bestemmelsens bokstav d at personopplysningene som behandles skal være tilstrekkelige og relevante for formålet med behandlingen Personopplysningsforskriftens 2 11 stiller krav om at det skal

    Original URL path: http://www.personvernnemnda.no/vedtak/2008_3.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    en faglig vurdering som Datatilsynet verken har formell eller reell kompetanse til å overprøve Kripos vil også anføre at Datatilsynets vedtak bygger på en uforsvarlig saksutredning Tilsynet har lagt klagers saksfremstilling til grunn uten å vurdere hvilke saklige behov politi og andre kan ha for opplysningen ikke undersøkt om det i den konkrete sak foreligger andre straffbare forhold som kan ha betydning for ønsket om å beholde opplysningen og ikke utredet de manglende muligheter for å gjenfinne opplysningen på annen måte 5 Datatilsynets vurdering Datatilsynet nevner at det ble gjennomført stedlig tilsyn hos Kripos i november og desember 2005 Dette er en egen sak som Datatilsynet følger opp Samtidig med at Datatilsynet oversendte vedtak i foreliggende klagesak til Kripos sendte tilsynet varsel om vedtak om utarbeidelse av sletterutiner for SSP Personopplysningsloven utfyller strafferegistreringsloven Strafferegistreringsloven har ingen bestemmelser om sletting av opplysninger om varetektsfengsling Varetekt er et tvangsmiddel som besluttes av retten ved kjennelse Opplysning om varetektsfengsling faller ikke inn under hovedbestemmelsen i strafferegistreringsloven 1 men forskrift til strafferegistreringsloven 11 gir hjemmel for Kripos til å etablere et sentralt register til bruk for etterforskning og oppklaring av lovbrudd med opplysninger som skal fremgå av instruks Datatilsynet antar at dette er hjemmelen for registreringen og at opplysninger av denne karakter hører inn under politiopplysningsdelen i SSP I NOU 2003 21 Kriminalitetsbekjempelse og personvern fremgår det at det utføres en ulovfestet sletting av etterforskningsskritt når det er gått 15 år jf kap 4 6 5 Det er denne fristen Datatilsynet har forholdt seg til i saken For strafferegistreringsdelen i SSP gjelder forskrift til strafferegistreringsloven 19 bokstav c som stadfester at opplysninger skal saneres tas ut av SSP og fjernarkiveres når personen er 75 år eller død Datatilsynet viser til at personopplysningsloven 28 krever at personopplysninger skal slettes når de ikke lenger er nødvendige for å oppfylle formålet med behandlingen med mindre annet følger av særskilt lovgivning Personopplysningsloven 11 bokstav e stiller grunnkrav til behandlingen og stadfester også prinsippet om at opplysninger ikke skal lagres lenger enn nødvendig I tillegg plikter behandlingsansvarlig å etablere internkontroll gjennom dokumenterte planlagte og systematiske tiltak jf personopplysningsloven 14 Personopplysningsforskriften 1 3 begrenser Datatilsynets kompetanse og ved etterforskning av straffesaker er det straffeprosessloven som i hovedsak er styrende for politiets informasjonsinnhenting og bruk av personopplysninger Datatilsynet er med andre ord klar over de begrensninger som gjelder både tilsyns og påleggskompetansen men kan ikke se at disse gjør seg gjeldende i denne saken Datatilsynet er ikke uenig med Kripos i at spørsmålet om sletting bør avgjøres av lovgiver men så lenge lovgiver ikke har tatt klart stilling til hvor lenge opplysninger i politiopplysningsdelen i SSP bør lagres er det personopplysningsloven som angir prinsippet jf personopplysningsloven 28 Som følge av tekniske feil ved SSP er det ikke blitt slettet opplysninger der siden 2001 Datatilsynet fikk kunnskap om mangel på gjennomføring av rutiner og praksis ved sitt tilsyn i 2005 Datatilsynet mener at det er uholdbart at enkeltpersoner skal bære belastningen ved en systemfeil som har vart siden 2001 og som Kripos etter syv år fremdeles ikke har rettet Datatilsynet mener at hensynet til notoritet kan ivaretas på en mindre personvernkrenkende måte enn at opplysningene lagres i et landsdekkende sentralt system som over 13 000 personer har tilgang til 6 Personvernnemndas merknader Hovedproblemstillingen i denne saken er hvorvidt det er hjemmel for å pålegge Kripos å slette en opplysning om varetektsfengsling som er registrert i SSP Personvernnemnda vil først vurdere unntaksbestemmelsen i personopplysningsforskriften 1 3 og personopplysningsloven 5 Deretter vil nemnda vurdere hvorvidt personopplysningsloven kommer til anvendelse herunder forholdet mellom personopplysningsloven og strafferegistreringsloven På denne bakgrunn vil nemnda ta stilling til om personopplysningsloven kommer til anvendelse og hvorvidt opplysningen om varetektsfengsling fra 1988 skal slettes fordi den ikke lenger er nødvendig jf personopplysningsloven 28 6 1 Rettspleielovene jf personopplysningsforskriften 1 3 og personopplysningsloven 5 Det rettslige grunnlaget for SSP er strafferegistreringsloven av 1971 52 1 og 4 1 ledd jf forskrift om strafferegistrering av 20 12 1974 nr 4 10 og 11 Strafferegistreringsloven 4 gir hjemmel for politiopplysningsdelen av SSP og lyder Ved sentral politimyndighet føres et register for hele riket med personopplysninger som kan være av betydning for politiets arbeid med etterforskning og oppklaring av lovbrudd Strafferegistreringsforskriften 11 sier at det skal føres et sentralregister til bruk for etterforskning og oppklaring av lovbrudd som fremgår av instruks Personopplysningsloven kommer til anvendelse på SSP der hvor strafferegistreringsloven ikke regulerer forholdet jf personopplysningsloven 5 Personopplysningsloven 5 lyder Bestemmelsene i loven gjelder for behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten Dette betyr at Datatilsynet har kompetanse etter bestemmelsene i personopplysningsloven med mindre noe annet følger av spesiallov Det er imidlertid en begrensning også i personopplysningsforskriften 1 3 hvoretter personopplysningsloven ikke gjelder for saker som behandles eller avgjøres i medhold av rettspleielovene Nemnda vil først se nærmere på hva som unntas av personopplysningsforskriften 1 3 Lover for rettspleien er domstolloven straffeprosessloven tvisteloven og tvangsfullbyrdelsesloven mv Varetekt besluttes i medhold av straffeprosessloven Spørsmålet er om dette betyr at all behandling av personopplysninger i forbindelse med en varetektssak er unntatt personopplysningsloven I utgangspunktet må svaret være ja for så vidt gjelder selve varetektssaken Politiets og domstolenes behandling av personopplysninger i forbindelse med beslutning om pågripelse fremstilling for varetektsfengsling beslutning om varetekt gjennomføring av varetekt løslatelse fra varetekt mv er unntatt personopplysningslovens bestemmelser Tolkningen av rekkevidden av unntaksbestemmelsen i personopplysningsforskriften 1 3 er blitt berørt i rettspraksis For eksempel LoD 2007 91 6 Ryfylke tingretts kjennelse av 24 5 2007 hvor en domstols bruk av personopplysninger i avgjørelse av tvisten ikke var omfattet av personopplysningsloven Problemstillingen var også oppe i sak ADA 2003 37 Disiplinærutvalget for Oslo krets av Advokatforeningen beslutning av 15 9 2003 Der kom man til at unntaket i personopplysningsforskriften 1 3 ikke kom til anvendelse fordi det ikke gjaldt domstolenes eller politiets bruk av opplysningene Dermed gjaldt personopplysningslovens alminnelige bestemmelser En opplysning om en tidligere varetektsfengsling vil derfor ikke alltid være unntatt personopplysningsloven Senere bruk av opplysningen vil omfattes av personopplysningsloven dersom den senere bruken ikke behandles

    Original URL path: http://www.personvernnemnda.no/vedtak/2008_2.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    til Datatilsynets praksis kan den registrerte ikke samtykke seg bort fra grunnvilkårene i 11 Uansett vil et samtykke ikke være frivillig jf personopplysningsloven 2 nr 7 Behovet for bolig er et grunnleggende behov og boligmarkedet er presset I følge Utleiemegleren vil en interessent som ikke samtykker til kredittvurdering etter all sannsynlighet ikke få tilbud om leiligheten I denne situasjonen vil det være nærmest umulig å ikke samtykke til kredittvurdering 6 Personvernnemndas merknader Personvernnemnda mener at det å be et kredittopplysningsforetak om en kredittvurdering av en person er en behandling av personopplysning i personopplysningslovens forstand jf personopplysningsloven 2 nr 2 enhver bruk av personopplysninger Såfremt behandlingen helt eller delvis skjer med elektroniske hjelpemidler eller skal inngå i et register vil personopplysningsloven komme til anvendelse jf personopplysningsloven 3 1 ledd litra a og b Motsatt vil ikke loven komme til anvendelse dersom kredittopplysningen blir meddelt muntlig fra kredittopplysningsforetaket Nemnda skal bemerke at dersom en privatperson ønsker å be om en kredittvurdering før utleie av egen bolig vil dette i forhold til vedkommende privatperson mest sannsynlig falle utenfor loven jf personopplysningsloven 3 2 ledd Nemnda skal først drøfte behandlingsgrunnlaget for å innhente kredittopplysninger i forbindelse med inngåelse av en boligleieavtale jf personopplysningsloven 8 og 11 Datatilsynet har hevdet at det samtykket som innhentes i denne situasjonen ikke kan være behandlingsgrunnlag fordi det foreligger en tvangssituasjon man samtykker ikke frivillig når samtykket gis for å oppnå noe jf personopplysningsloven 2 nr 7 Nemnda er imidlertid kommet til at det riktige behandlingsgrunnlaget må være personopplysningsloven 8 litra a behandlingen er nødvendig for å oppfylle en avtale med den registrerte eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås Nemnda viser i denne forbindelse til uttalelse fra Lovavdelingen av 27 9 2006 JDLOV 2005 9112 Personopplysningsloven 8 bokstav a gir adgang til å behandle personopplysninger dersom behandlingen er nødvendig for å oppfylle en avtale med den registrerte eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås Om dette alternativet uttales det følgende i merknaden til bestemmelsen i Ot prp nr 92 98 99 på s 109 Bokstav a gir også adgang til å behandle personopplysninger når dette er nødvendig for å utføre gjøremål som den registrerte har bedt om før han eller hun inngår en avtale med den behandlingsansvarlige jf bokstav a annet alternativ Et typisk eksempel her er behandling av personopplysninger som er nødvendig for å kunne gi et tilbud til den registrerte f eks kredittvurderinger som ledd i finansieringsvirksomhet Ordlyden synes å forutsette at den registrerte kunden har et eget ønske om gjøremålet kredittvurderingen for at det i den forbindelse skal være adgang til å behandle personopplysninger etter bestemmelsen I merknaden til bestemmelsen heter det til og med at den registrerte skal ha bedt om at gjøremålet utføres før han eller hun inngår avtalen Eksemplet om kredittvurderinger tyder imidlertid på at det i hvert fall i disse tilfellene er tilstrekkelig at gjøremålet utføres i den registrertes kundens interesse når dette er en forutsetning for

    Original URL path: http://www.personvernnemnda.no/vedtak/2008_1.htm (2014-09-28)
    Open archived version from archive