archive-no.com » NO » P » PERSONVERNNEMNDA.NO

Total: 189

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".
  • Personvernnemnda
    som angir at forskningsfilen ikke skal kunne utleveres eksternt med mindre mottakeren har konsesjon fra Datatilsynet FHI anfører at erfaring viser at en rekke filer som er opprettet til et bestemt formål også kan være svært nyttig i andre forskningssammenhenger på grunn av sitt generelle innhold FHI er dermed opptatt av at forskningsfilen skal kunne brukes til flere prosjekter som alle defineres inn under en overordnet problemstilling FHI mener at det ved ekstern utlevering av forskningsfilen vil være tilstrekkelig med melding til Datatilsynet Det henvises i denne forbindelse til at politikken med henhold til konsesjon versus melding også taler i favør av at melding bør være tilstrekkelig jf personopplysningsforskriften 7 27 og forslaget til endringer av denne Begrunnelsen for at melding bør være tilstrekkelig er at rutinene omkring slik utlevering ikke utgjør noen trussel mot personvernet Ifølge FHI er det en klar forutsetning for forskningsregisteret at det ikke skal være mulig å identifisere opplysningene Utlevering av forskningsfilen vil bare forekomme i tilfeller der forskeren ikke selv besitter opplysninger som gjør bakveisidentifikasjon mulig Videre anføres det at koblingsnøkkelen vil bli oppbevart hos SSB Det vil altså være umulig for forskeren å personidentifisere opplysningene FHI vil også vurdere om forskeren har den kompetanse som kreves for å få utlevert opplysningene og om forskeren har berettiget krav på informasjonen med henhold til taushetsplikt Forøvrig anmodet FHI Datatilsynet å innhente en vurdering fra Helse og omsorgsdepartementet vedrørende grensedragningen mellom helseregisterloven 5 og 8 før saken ble oversendt til Personvernnemnda 5 Datatilsynets vurdering Datatilsynet anfører at en sammenstilling av fire registre av den aktuelle karakter er omfattende og at et slikt register representerer en betydelig personverntrussel Medisinsk fødselsregister og Dødsårsaksregisteret er to selvstendige registre som hver for seg er vurdert å måtte ha et klart rettsgrunnlag jf helseregisterloven 8 Datatilsynet mener at en sammenstilling av disse to registrene og tilføring av ytterligere opplysninger fra SSB i tillegg til jevnlige oppdateringer og ubegrenset varighet innebærer at forskningsfilen også er et selvstendig register som forutsetter hjemmel i helseregisterloven 8 Tilsynet mener at dette gjelder uavhengig av om filen inneholder direkte identifiserbare eller avidentifiserte opplysninger Datatilsynet mener at dispensasjon fra taushetsplikten ikke bør vektlegges i denne saken Tilsynet henviser til brevet fra Sosial og helsedirektoratet der direktoratet presiserer at dispensasjon fra taushetsplikt kun innvilges i enkeltprosjekter og for en tidsbegrenset periode Tilsynet gjør gjeldende at dette innebærer at finalitetsprinsippet som er et sentralt utgangspunkt i personvernrelaterte vurderinger også kommer til uttrykk i direktoratets vedtak Datatilsynet mener det er tvilsomt om tilsynet har myndighet til å gi konsesjon for omfattende og langvarige eller permanente helseregistre av denne type jf helseregisterloven 5 og 8 Nærmere begrunnelse for dette er at behandling av helseopplysninger kan være så inngripende for de registrerte at det stilles strenge krav til lovhjemmelens klarhet Datatilsynet anfører i henhold til dette at lovens forarbeider uttaler at mindre omfattende helseregistre som avdekker en ikke spesielt sensitiv sykdomsgruppe kan reguleres i konsesjon fra Datatilsynet Videre heter det at d ette gjelder særlig hvis det er forutsatt at helseregisteret bare

    Original URL path: http://www.personvernnemnda.no/vedtak/2005_7.htm (2014-09-28)
    Open archived version from archive


  • Personvernnemnda
    omhandlet nemlig Datatilsynets krav om at hvis tredjepart fikk overført opplysninger fra forskningsfilen må denne tredjepart selv ha konsesjon for behandling av opplysningene Tilleggsvedtaket tar stilling til dette spørsmålet 2 Personvernnemndas vurdering Forskningsfilene vil delvis være anonymisert under behandling ved FHI Hvis de opplysningene som utleveres fra FHI ikke kan knyttes til enkeltpersoner vil de ikke være personopplysninger etter personopplysningsloven 2 nr 1 og faller utenfor personopplysningslovens saklige virkeområde jfr personopplysningsloven 3 Slik utlevering reguleres altså ikke av personopplysningsloven Man vil derfor stå tilbake med personopplysninger utlevert fra FHI Etter personopplysningsloven 11 kan opplysningene ikke brukes til nye formål som er uforenlige med det opprinnelige formål jfr personopplysningsloven 11 1 ledd litra c Etter 11 2 ledd antas behandling for historiske statistiske eller vitenskapelige formål ikke uforenlig med de opprinnelige formålene dersom dersom samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte Det påligger FHI som behandlingsansvarlig å påse at denne forpliktelsen overholdes Mottaker av slike opplysninger vil selv bli behandlingsansvarlig og må da finne grunnlag i personopplysningsloven for sin behandling av dem Hvis det er sensitive opplysninger blant de som utleveres jfr personopplysningsloven 2 nr 8 krever dette konsesjon jfr personopplysningsloven 33 sml 9 I begge tilfeller vil her opplysninger samles inn fra andre enn den registrerte og det utløser en varslingsplikt for mottaker av opplysningene sml personopplysningsloven 20 FHI må i dette tilfellet ha konsesjon for registeret jfr personopplysningsloven 33 sml helseregisterloven 8 I konsesjonen kan det stilles krav utover de som følger av loven I dette tilfellet innebærer Datatilsynets konsesjonsvedtak at det stilles krav om konsesjon hos den tredjepart som mottar personopplysninger av FHI fra de konsesjonerte forskningsfilene altså også i tilfeller hvor disse opplysningene ikke er sensitive Personvernnemnda anser det som en nærliggende styrking av de registrertes personvern at

    Original URL path: http://www.personvernnemnda.no/vedtak/2005_7_tilleggsvedtak.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    her er påklaget har vært praksis i Securitas gjennom en årrekke Rutinene er følgelig godt innarbeidet Securitas kan ikke se at det vil ha nevneverdig betydning for de ansattes personvern dersom en slik årelang praksis videreføres i påvente av endelig klagebehandling av de omstridte punktene hos Personvernnemnda Securitas mener også at det vil være et svært uheldig signal å endre praksis for en kort periode da de forhold som er påklaget er meget vesentlig i bedriftens holdningsskapende arbeid overfor de ansatte og Securitas troverdighet overfor kundene Det fremgår også av Datatilsynets vurdering at tilsynet ikke legger vekt på et eventuelt behov for å markedsføre rusfrie ansatte Securitas anfører at bedriften nesten finner dette provoserende Virksomhetens ønske om å sikre at de ansatte er rusfrie ved utøvelsen av sitt arbeid har ikke noe med selskapets markedsføring å gjøre Securitas anfører at det at de ansatte er rusfrie har avgjørende betydning for sikkerheten til vedkommendes kollegaer allmennheten og oppdragsgiverne Securitas informerer forøvrig om at bransjeforeningen Servicebedriftenes Landsforening arbeider for at lovgiver skal se behovet for å lovregulere forholdet omkring helseopplysninger og adgangen til å rusmiddelkontrollere vektere da dette anses som vesentlig for bransjen Arbeidet gjelder også ønsket om muligheten for å kunne oppbevare politiattest under ansettelsesforholdet Dette understreker hvor viktig Securitas mener det er med rusfrie ansatte 5 Datatilsynets vurdering Datatilsynet mener at rusmiddelkontroll er et så stort inngrep i den personlige integritet at det må kreves klar hjemmel i lov for gjennomføring Samtykke er ikke tilstrekkelig hjemmelsgrunnlag for rustesting på generelt grunnlag og tilsynet stiller særlig spørsmål til frivilligheten Datatilsynet mener at selv om tilsynet som forvaltningsorgan vil utvise forsiktighet med å overprøve et gitt samtykke er det ikke tvil om at mange arbeidstakere føler seg forpliktet til å samtykke i denne typen inngrep Tilsynet legger også vekt på at blod eller urinprøve har et vesentlig misbrukspotensial da andre sensitive opplysninger kan utledes av materialet Tilsyner viser til at både blod og urin kan gi grunnlag for forholdsvis detaljerte opplysninger knyttet til helsetilstand eller for eksempel graviditet Sett hen til behandlingens inngripende karakter og den manglende maktbalanse som det ofte er i et arbeidsforhold mener tilsynet at lovgiver burde ta stilling til i hvilke bransjer eller arbeidsforhold det er behov for rusmiddelkontroller ved ansettelse og fortløpende i arbeidsforholdet Datatilsynet er av den oppfatning at personopplysningslovens formål menneskerettigheter legalitetshensyn og ulovfestede personvernprinsipper således tilsier en innskrenkende tolkning av hjemmelsgrunnlaget Etter Datatilsynets vurdering vil dette også avskjære mulighetene til å hjemle behandlingen i personopplysningsloven 9 litra f jf 8 litra f Tilsynet mener at opplysningenes sensitive karakter gjør det klart at de ansattes personverninteresse overstiger Securitas interesse i dette tilfellet Det at Securitas skal kunne anføre overfor sin kundekrets eller oppdragsgivere at deres ansatte er rusfrie er ifølge tilsynet uansett ikke å anse som en arbeidsrettslig forpliktelse i relasjon til personopplysningsloven 9 litra f Datatilsynet avviser at arbeidsgivers styringsrett kan hjemle ruskontroll i denne saken Tilsynet mener styringsretten begrenses av personopplysningslovens regler slik at et krav til lovhjemmel også vil innskrenke arbeidsgivers styringsrett her jf drøftelsen ovenfor I denne forbindelse finner Datatilsynet ikke å kunne legge vesentlig vekt på at Arbeidslivslovutvalget i sin utredning antyder at styringsretten kan hjemle ruskontroll Den rettskildemessige verdien av et slikt lovforslag er per dags dato begrenset Datatilsynet antar dessuten at flere av de konklusjonene som trekkes i lovforslaget vil være gjenstand for diskusjon og meningsforskjell i det videre lovarbeidet Datatilsynet mener forøvrig at behandlingen er i strid med personopplysningsloven 11 1 ledd litra b da den ikke kan anses saklig begrunnet i virksomheten Datatilsynet kan ikke se at Securitas har dokumentert et større behov for rusmiddelkontroll enn andre arbeidsgivere kan påberope seg Datatilsynet avviser Securitas anførsler om at kundene og allmennheten forventer at det foretas særskilt kontroll Tilsynet mener at et eventuelt behov for å markedsføre rusfrie ansatte ikke kan tillegges vekt Datatilsynet har hatt tilsyn ved et annet stort vaktselskap og Datatilsynet bemerker at dette vaktselskapet ikke påberopte seg det samme behovet Datatilsynet mener at personer som ikke er egnet til å utføre virksomhetens oppgaver må identifiseres på en annen måte I vurderingen av hvorvidt det foreligger et saklig behov har Datatilsynet også lagt vekt på at lov om vaktvirksomhet 1988 29 ikke hjemler rusmiddelkontroll mens den ellers regulerer behandling av personopplysninger i slik virksomhet for eksempel innhenting av vandelsattest Tilsynet mener det ville ha vært naturlig å lovfeste rusmiddelkontroll i forbindelse med denne loven dersom lovgiver mente at vaktselskaper har et slikt generelt behov Datatilsynet presiserer at vurderingene knytter seg til rusmiddelkontroll på generelt grunnlag slik det åpnes for i Securitas ansettelseskontrakt Tilsynet har ikke tatt stilling til om samtykke kan hjemle rustesting i andre konkrete saker Ved oppbevaring av vandelsattester mener Datatilsynet at både personopplysningsloven 28 og strafferegistreringsforskriften 20 pålegger at vandelsattester skal slettes når formålet er oppfylt Datatilsynet mener at formålet er oppfylt når Securitas har konstatert at den enkelte ansatte har tilfredsstillende vandel ettersom det er selve tilsettingen som er formålet med innhenting av attesten Datatilsynet legger dessuten til grunn at attesten i utgangspunktet kun sier noe om situasjonen på det tidspunktet den er innhentet De forhold som en vandelsattest berører vil kunne forandre seg i løpet av ansettelsesperioden slik at opplysningene ikke lenger er oppdaterte Opplysningene vil således ikke være egnet til å oppfylle formålet Datatilsynet kan ikke se at Securitas argumenter er tilstrekkelig til å begrunne at det er nødvendig å oppbevare vandelsattester under hele ansettelsesforholdet Tilsynet avviser Securitas anførsler om at attesten fungerer som bevis for at vandel faktisk er kontrollert i forhold til enkelte ansatte Datatilsynet mener at bevis for at vandelskontrollen er gjennomført kan ivaretas på andre måter for eksempel gjennom interne rutiner I slike særlige tilfeller vil dessuten forskrift om vaktvirksomhet kunne hjemle innhenting av politiattest også etter tilsetting jf 4 Tilsynet har valgt å ikke legge vekt på tillatelsen til oppbevaring av vandelsattesten i personalmappen som er gitt fra Landsdelspolitikammer Østlandet da tilsynet har vurdert denne til å være i strid med personopplysningslovens regler Datatilsynet har også lagt vesentlig vekt på uttalelsen fra Justis og politidepartementet av 28 5 2004 der departementet støtter Datatilsynets konklusjon om at vandelsattester skal slettes når tilsettingen er gjennomført Ifølge Politiavdelingen vil slikt pålegg også følge av strafferegistreringsforskriften 20 Politiavdelingen kan heller ikke se at det nevnte samtykket fra Landsdelspolitikammer Østlandet er i samsvar med strafferegistreringsforskriften 6 Personvernnemndas vurderinger 6 1 Oppsettende virkning Securitas har klaget på at Datatilsynet ikke ga klagen på Datatilsynets hovedvedtak oppsettende virkning slik at rutiner måtte endres før Personvernnemndas vedtak forelå I egen beslutning av 15 2 2005 har Personvernnemnda imøtekommet Securitas begjæring i så måte og gitt klagen på hovedvedtaket oppsettende virkning 6 2 Kontroll av bruk av rusmidler 6 2 1 Innledning forholdet til arbeidsmiljøloven og biobankloven Securitas ønsker å sikre at ansatte er rusfrie på arbeid ved å ta blod eller urinprøve når det foreligger skjellig grunn til mistanke om misbruk Den aktuelle ansatte må samtykke til at det tas prøve Selve det inngrepet overfor den enkelte ansatte som sikring av en blodprøve representer faller ikke inn under personopplysningsloven Adgangen til å foreta dette inngrepet fremstår likevel som hovedproblemet i saken Hvorvidt arbeidsgiver har rett til å foreta et slikt inngrep vil avgjøres av arbeidsmiljølovens bestemmelser eventuelt også av avtaleverket mellom organisasjonene for arbeidsgiver og arbeidstaker Arbeidsmiljøloven 2005 ble vedtatt 17 6 2005 med ikrafttredelse 1 1 2006 Personvernnemnda legger den nye loven til grunn for sin behandling For at testing ved blodprøve skal gi mening må det foretas en analyse av prøven Analyseresultatene vil representere personopplysninger av sensitiv karakter jfr personopplysningsloven 2 nr 1 jf nr 8 Også om resultatet av testingen bare angis med to verdier positivt eller negativt vil dette representere personopplysninger Det er derfor noe villedende når det i Ot prp nr 49 2004 2005 Om lov om arbeidsmiljø arbeidstid og stillingsvern mv arbeidsmiljøloven s 138 139 heter at alkohol og narkotikatesting ikke omfattes av personopplysningsloven Etter personopplysningsloven 8 er ett av de alternative behandlingsgrunnlag at det er fastsatt i lov at det er adgang til slik behandling Spørsmål om hvorvidt inngrepet er tillatt blir å vurdere etter arbeidsmiljøloven 9 1 jfr 9 4 Anvendelsen av arbeidsmiljøloven og personopplysningsloven fremstår som prinsipielt forskjellig Arbeidsmiljølovens bestemmelser regulerer hvorvidt arbeidsgiver kan iverksette det kontrolltiltak som slike prøver representerer Dette vil da være en medisinsk undersøkelse som arbeidsgiver bare kan kreve gjennomført etter arbeidsmiljøloven 9 4 Personopplysningsloven regulerer hvorvidt personopplysninger fra slike prøver kan behandles jf henvisningen i arbeidsmiljøloven 9 1 nr 2 De to lovene vil i slike tilfeller som i nærværende sak regulere to sider av det samme spørsmålet Det ville gi liten sammenheng i lovverket om man antok at det var tillatt å iverksette en medisinsk undersøkelse etter arbeidsmiljølovens bestemmelser men ikke tillatt å behandle opplysningene etter personopplysningsloven og vice versa Personvernnemnda legger denne forståelse til grunn for sin behandling av saken Personvernnemnda peker også på at blodprøven vil være humant biologisk materiale som er avgitt for medisinsk undersøkelse eller diagnostikk jf biobankloven 2 1 ledd Det fremgår ikke om en slik blodprøve vil inngå i en samling som kvalifiseres som biobank etter den samme bestemmelsen Dette vil bero på de aktuelle rutinene f eks hvor mange prøver som tas hvordan og hvor lenge de oppbevares man antar at prøvene må oppbevares en viss tid bl a for bevissikring og eventuell klage fra den som prøven er tatt av Personvernnemnda tar ikke stilling til om biobankloven kommer til anvendelse men forutsetter at den behandlingsansvarlige vurderer dette og eventuelt følger lovens bestemmelser om meldeplikt for diagnostisk biobank utpeking av en ansvarshavende med nødvendige kvalifikasjoner mv 6 2 2 Samtykke som behandlingsgrunn i forhold til personopplysningsloven 8 For å kunne behandle analyseresultatene må det foreligge en behandlingsgrunn Samtykke kan være en tilstrekkelig behandlingsgrunn jfr personopplysningsloven 11 jf 8 første alternativ og 9 1 ledd litra a Som nevnt innhentes den enkeltes samtykke i forbindelse med den aktuelle testingen Spørsmålet vil være om samtykket tilfredsstiller de krav som personopplysningsloven stiller jfr personopplysningsloven 2 nr 7 Securitas anfører at den enkelte står fritt til å nekte samtykke og at en slik nektelse ikke vil få følger for ansettelsesforholdet ettersom vedkommende på dette tidspunkt allerede er ansatt Etter forarbeidene Ot prp nr 92 1998 1999 Behandling av personopplysninger personopplysningsloven til personopplysningsloven 2 ligger det i uttrykket at samtykket ikke må være avgitt under noen form for tvang fra den behandlingsansvarlige eller andre I dette tilfellet fremhever Securitas som arbeidsgiver at en nektelse ikke vil få følger for den aktuelle persons ansettelsesforhold For den enkelte vil det likevel være nærliggende å oppleve at det vil kunne få konsekvenser for vedkommendes arbeidsforhold Arbeidsgiver har alltid en viss makt over de ansatte gjennom sin styringsrett Det vil i skyggen av denne være vanskelig å anse et samtykke fra en ansatt avgitt uten tanke på at nektelse vil kunne ha betydning for fremtiden selv om arbeidsgiver ikke har til hensikt å utnytte opplysningene til skade for arbeidstaker Personvernnemnda anser at det samme følger av arbeidsmiljøloven hvor samtykke ikke er nevnt som begrunnelse for iverksettelse av kontrolltiltak fra arbeidsgivers side jf ordlyden i arbeidsmiljøloven 9 1 nr 1 Jf også Protection of workers personal data an ILO code of practice 1996 hvor det fremgår at samtykke som hovedregel ikke er tilstrekkelig for narkotikatesting av ansatte Personvernnemnda har merket seg at etter personopplysningsforskriften 7 16 2 ledd litra a denne bestemmelsen gjelder Personellregistre mv gjøres det et unntak fra konsesjonsplikten for sensitive opplysninger når den registrerte har samtykket i behandlingen Dette synes å forutsette at samtykke fra arbeidstaker kan være en behandlingsgrunn Som det fremgår av bemerkningene ovenfor antar Personvernnemnda at samtykke ikke kan være en tilfredsstillende behandlingsgrunn etter personopplysningsloven 8 første alternativ Nemnda utelukker imidlertid ikke at det kan være spesielle situasjoner der man kan bygge på samtykke men dette vil vanligvis ikke være tilfellet og er ikke tilfellet i denne situasjonen Personvernnemnda finner derfor at behandling av personopplysninger som innhentes ved testene ikke kan skje med grunnlag i samtykke fra den enkelte ansatte Av denne grunn finner Personvernnemnda at unntaket fra konsesjonsplikten i personopplysningsforskriften 7 16 2 ledd ikke kommer til anvendelse da vilkåret i bestemmelsens litra a ikke er oppfylt Nemnda må derfor vurdere om behandlingen kan skje med grunnlag i personopplysningsloven 9 1 ledd litra b jf 8 litra f sml personopplysningsloven 33 6 2 3 Saklighetsprinsippet personopplysningsloven 11 1 ledd litra b jf 8 litra f Etter personopplysningsloven 8 litra f kan behandlingen skje når det er nødvendig for å vareta en berettiget interesse og hensynet til den registrertes personvern ikke overstiger denne interessen I stor utstrekning vil dette bero på den rett Securitas som arbeidsgiver har til å iverksette kontrolltiltak overfor ansatte I Ot prp nr 49 2004 2005 Om lov om arbeidsmiljø arbeidstid og stillingsvern mv arbeidsmiljøloven s 135 heter det bl a om dette spørsmål Det rettslige utgangspunkt er at kontrolltiltak som virker inngripende i forhold til arbeidstakerens personlige sfære eller integritet ikke er rettmessig med mindre det foreligger en hjemmel for tiltaket Hvilket krav som må stilles til rettsgrunnlaget for at kontrollen skal være rettmessig vil særlig bero på begrunnelsen og behovet for kontrollen kontrolltiltakets art og hvor inngripende det vil virke i forhold til den enkelte ansatte I utredningen skilles det mellom spørsmålet om rekkevidden av arbeidsgivers adgang til å iverksette kontrolltiltak og spørsmålet om adgangen til å behandle opplysninger som fremkommer som et resultat av tiltaket Imidlertid fremheves det at det er en nær indre sammenheng mellom problemstillingene I oppsummeringen av nordisk rett heter det at et felles trekk ved kriteriene for å tillate kontroll av egne ansatte er saklighet begrunnet i virksomhetsrelaterte forhold og proporsjonalitet mellom mål og middel jf også oppsummeringen av gjeldende rett Ot prp nr 49 2004 2005 Om lov om arbeidsmiljø arbeidstid og stillingsvern mv arbeidsmiljøloven s 139 40 Etter arbeidsmiljøloven 9 4 nr 1 kan medisinske undersøkelser bare benyttes som kontrolltiltak når det følger av lov eller forskrift ved stillinger som innebærer særlig risiko når arbeidsgiver finner det nødvendig for å verne liv eller helse Det antas også i forarbeidene at beslutningen om å iverksette medisinske kontrolltiltak ofte må forankres i en vurdering av ulovfestede prinsipper om vern av den personlige integritet Personvernnemnda anser at henvisningen i personopplysningsloven 8 litra f til den registrertes personvern omfatter slike ulovfestede prinsipper jfr Ot prp nr 49 2004 2005 Om lov om arbeidsmiljø arbeidstid og stillingsvern mv arbeidsmiljøloven s 146 som antar at det langt på vei er sammenfall mellom de arbeidsrettslige prinsipper og de personvernnormer som personopplysningsloven bygger på Dette fremheves også i Stefan Jørstad Arbeidsgiveres adgang til å kontrollere og overvåke sine ansatte CompLex 3 04 Institutt for rettsinformatikk Oslo 2004 75 Det saklighetsprinsipp som fremheves ovenfor vil i denne saken svare til det som fremgår av personopplysningsloven 11 1 ledd litra b som krever at opplysningene bare kan benyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet Etter personopplysningslovens systematikk må alltid kravene i personopplysningsloven 11 1 ledd være oppfylt for at behandlingen av personopplysninger skal være tillatt I tillegg må et av nødvendighetskravene være oppfylt i dette tilfellet personopplysningsloven 8 litra f For behandling av sensitive opplysninger må dessuten et av alternativene i personopplysningsloven 9 være oppfylt I departementets bemerkninger til arbeidsmiljøloven 9 4 fremheves at det saklige formålet både for virksomhet og arbeidstaker ikke bare må være forankret i virksomhetens formål som sådan men også må gjelde den enkelte arbeidstaker som omfattes av kontrolltiltaket Som eksempel nevnes at et flyselskap etter omstendighetene kan ha saklig grunn til å pålegge pilotene rusmiddelkontroll sml arbeidsmiljøloven 9 4 nr 1 litra b men ikke kontorpersonalet Det fremheves også at begrunnelsen må være vedvarende dvs at kontrollen må opphøre når det behov eller formål som begrunnet kontrollen ikke lenger foreligger eller er sterkt redusert Personvernnemnda anser på denne bakgrunn at saklighetsprinsippet både etter personopplysningsloven og arbeidsmiljøloven er til hinder for Securitas kan gjennomføre en generell testing av alle sine ansatte Hvis Securitas imidlertid begrenser testingen til de som utfører vektertjenester for sikring av personer mv dvs den gruppen man antar at vil kunne komme i situasjoner hvor liv eller helse står på spill vil en testing kunne være tilstrekkelig begrunnet hvis Securitas etter omstendighetene finner at dette er nødvendig for å verne liv eller helse sml arbeidsmiljøloven 9 4 nr 1 litra c Ett forhold som kan gjøre at et tiltak som ellers ville anses som berettiget ikke utgjør en tilstrekkelig saklig grunn vil være usikre testresultater dvs at til tiltaket ikke er egnet til å fremme formålet Usikkerheten ved rusmiddelkontroll er diskutert bl a av Breisteinutvalget NOU 2001 4 pkt 9 3 3 I oppsummeringen heter det bl a Hvis målsetningen er økt sikkerhet og effektivitet har utvalget ikke funnet dokumentasjon som bekrefter at rutinemessig eller tilfeldig rusmiddeltesting i de tilfellene det gjennomføres har noen slik effekt Den testingen som Securitas ønsker å gjennomføre vil ikke være rutinemessig eller tilfeldig men basert på en konkret mistanke om at det foreligger misbruk I slike tilfeller vil sikkerheten for å kunne bekrefte mistanken være større og innvendingene i det siterte avsnittet ikke gjelde i alle fall ikke med samme tyngde Som vedlegg til dette vedtaket har Personvernnemnda gjengitt et kort notat som behandler pålitelighet ved denne typen testresultat Personvernnemnda finner likevel den begrunnelse Securitas har angitt for testene som ikke tilstrekkelig tungtveiende Det gjelder for det første henvisingen til en ønsket preventiv effekt Men hvis det forekommer en konkret mistanke skjellig grunn til mistanke om at arbeidstaker er påvirket synes det som om det i en slik situasjon er flere alternativ til en test f eks kan arbeidsgiver bortvise arbeidstaker For det andre kan det være at Securitas ønsker å sikre seg bevis for at arbeidstakeren er påvirket f eks til bruk i en senere oppsigelsessak Dette er imidlertid et formål som ikke isolert sett vil virke preventivt og dermed bidra til å verne liv eller helse jfr arbeidsmiljøloven 9 4 nr 1 litra c Personvernnemnda utelukker ikke at slik testing vil kunne bidra til å fremme virksomhetens formål Securitas relaterer imidlertid ikke begrunnelsene klart til selve virksomheten 6 2 4

    Original URL path: http://www.personvernnemnda.no/vedtak/2005_6.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    kun en administrativ rolle Avtaleinngåelsen skjer ved at det fylles ut et skjema som popper opp som et ekstra vindu på dataskjermen Vesta mener følgelig at forsikringsselskapet må være den rette part til å definere hvilke opplysninger som skal fremgå av avtalen mellom Vesta og kunden Videre mener Vesta at fakturautsenderne må ha disposisjon over kontroll med og innsyn i opplysningene som fremgår av denne avtalen innenfor de begrensninger som følger av personopplysningsloven 11 Vesta anfører videre at en utkontrahering av tjenester ikke medfører en tilsvarende ansvarsoverføring Forsikringsselskapet har i dette tilfellet fortsatt ansvaret for at forsikringstakeren får den informasjon og oppfølging som forsikringstakeren har krav på Forsikringsselskapet vedgår at det ikke klart fremstår at e fakturaavtalen er en avtale mellom Vesta og kunden Vesta mener imidlertid at kunden forstår det slik og at kunden er inneforstått med og forventer at e postadressen er tilgjengelig for Vesta i de tilfeller der kunden velger å registrere den Vesta anfører at tilgang til e postadressen er nødvendig for å kunne gjennomføre de arbeidsoppgaver som følger av e fakturaavtalen overfor den som har registrert sin e post Kunden vil ha forventning om å bli varslet via e post om at ny faktura har inngått i nettbanken og om feil ved fakturautsendelsen E postadressen er også viktig for å kunne sende påkrav til skyldneren dersom betaling uteblir Vesta poengterer viktigheten av at forsikringspremien betales til rett tid da forsikringstakeren risikerer å stå uten forsikring dersom premien uteblir Forsikringsselskapet anfører forøvrig at en videresending av kunders e postadresser er lite ressurskrevende å få satt i drift da løsningen teknisk sett er på plass hos både nettbankene og utstederne Det fremgår av DnB NORs anførsler at brukerhåndboka gjør det klart at Vesta ikke kan kreve utlevering av e postadressene da brukerhåndboka oppgir at e postadressen ikke er i bruk Vesta ser seg ikke enig i denne tolkningen Brukerhåndboka beskriver ifølge Vesta utelukkende tekniske og funksjonelle krav som gjelder for e faktura Den kan ikke sies å regulere fakturautsendernes adgang til å kreve utlevering av e postsdressene Vesta anfører at utstederne under hele prosessen har gitt uttrykk for å kreve utlevering av e postadressene Vesta anfører at det er grunn til å tro at bankene ønsker å bruke e postadressene til egne formål Forsikringsselskapet mener at bankene ikke har anledning til dette E faktura avtalen samler inn opplysninger som er nødvendig for å gjennomføre avtalen Kundene er ikke informert om at e postadressen skal brukes av bankene til andre formål Vesta kan derfor ikke se at kundene har samtykket til at e postadressene skal bli brukt til andre formål jf reglene om samtykke i personopplysningsloven I de tilfeller fakturautsteder er et forsikringsselskap anser Vesta bankenes eventuelle bruk av e postadressene til egne formål som et brudd på reglene om taushetsplikt i lov om forsikringsvirksomhet 3 1 Vesta anfører at disse reglene ikke bare omfatter ansatte i et forsikringsselskap men også andre som utfører oppdrag for forsikringsselskap De ansatte i bankene som utfører oppdrag på vegne av forsikringsselskapene er underlagt denne straffesanksjonerte taushetspliktregelen og vil således ikke kunne utlevere opplysninger som de mottar i forbindelse med oppdraget Vesta anfører i denne forbindelse at banken har en særskilt plikt til å skille mellom den virksomhet som drives på egne vegne og den virksomhet som drives på vegne av andre Opplysninger som er innsamlet på vegne av andre kan ikke brukes til egne formål Personopplysningslovens 15 angir at en databehandler bankene ikke kan behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige utsenderne DnB NOR anfører at banken er rettmessig mottaker av e postadressene DnB NOR oppfatter kundens mulighet for varsling per e post som et avtaleforhold mellom banken på den ene siden og nettbankkunden på den andre Varslingen er regulert i DnB NORs avtalevilkår overfor nettbankkunder som benytter e faktura og utføres på vegne av banken DnB NOR bestrider med andre ord at banken er å anse som en tjenesteformidler eller databehandler for fakturautsteder Banken avviser Vestas anførsler om at forsikringsselskapet skal definere innholdet i e fakturaavtalen DnB NOR mener at det må være opp til banken selv å avgjøre hvilke tjenester man ønsker å tilby nettbankkundene og innholdet i disse tjenestene Banken mener at nettbankkundenes e postadresser ikke omfattes av e fakturatjenesten men av bankenes nettbanktjeneste som sådan Varsling til kunder per e post er kun et tilbud til nettbankkundene Banken anfører at i den grad det er passende å tale om eierskap til opplysninger ved fakturamottakers aksept av en e fakturaavtale vil det være begrenset til hvorvidt 1 vedkommende kunde har registrert seg som mottaker av e faktura samt 2 e fakturareferansen som er produsert av fakturautsteder DnB NOR anfører at det følger av avtalen mellom Vesta og Vestas bankforbindelse fakturautsteders bank at Vesta ikke kan kreve e postadressene utlevert Banken mener at avtalen ikke gir noen holdepunkter for at nettbankkundenes e postadresser er en del av e fakturatjenesten Banken henviser til brukerhåndboka der det fremgår at e postfunksjonen ikke skal benyttes DnB NOR er av den oppfatning at bankens innhenting av kunders e postadresser skjer på bankens eget initiativ for å kunne tilby de nettbankkunder som også er e fakturakunder en egen varslingstjeneste når det er kommet nye fakturaer til vedkommende kundes nettbank DnB NOR mener følgelig at Vesta ikke har noen berettiget forventning om at e postadressene skal tilgjengeliggjøres DnB NOR anfører at e postadresse ikke er nødvendig for gjennomføringen av e fakturatjenesten Verken e fakturatjenesten eller den enkelte nettbank fremsetter fakturaen til mottakerens e postadresse DnB NOR er av den oppfatning at banken under enhver omstendighet i relasjon til nettbankkundene fakturamottakerne har rett og plikt til å unnlate å videreformidle kundenes e postadresser til fakturautstederne eller andre Videreformidling forutsetter at det foreligger samtykke etter personopplysningsloven Banken mener videre at en utlevering av e postadressene uten samtykke fra kunden vil stride mot bankens taushetsplikt etter forretningsbankloven 18 Banken bemerker at den ikke benytter de innhentede e postadressene til annet enn det formål de i denne sammenheng er innhentet for

    Original URL path: http://www.personvernnemnda.no/vedtak/2005_5.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    i slike sensitive data men kun innsyn i diabetesopplysninger i familietrios Sykehuset mener at dette begrenser personverntrusselen i betydelig grad Haukeland universitetssykehus anfører videre at personverntrusselen begrenses ytterligere ved at dataene er anonymisert for sykehuset Det refereres her til at HUNT koder opplysningene gjennom koblingsbroen som i seg selv ikke er tilgjengelig for forskerne Opplysningene blir dessuten oppbevart på en arbeidsstasjon som er innelåst innenfor sykehusets elektroniske brannmurer Opplysningene behandles av kun én person som ikke har noen forutgående kunnskaper om utvalget som innegår i HUNT materialet Sykehuset mener dermed at det foreligger en praktisk sett fullstendig anonymisering av opplysningene og at prosjektet følgelig faller utenfor en rimelig oppfatning av hva som utgjør en personverntrussel Haukeland universitetssykehus bemerker forøvrig at Datatilsynet selv har hatt en forsinkelse i sin saksbehandlingstid på ett år og to måneder fra søknad ble sendt den 27 2 2003 til svar ble gitt den 19 4 2004 jf forvaltningsloven 11 litra a Dette kan tolkes dit hen at sykehuset mener at en forsinket sletting av koblingsbroen fra HUNT sin side bør aksepteres Sykehuset er uansett av den oppfatning at all rimelighet tilsier at det bør gis en tidsbegrenset konsesjon til oppbevaring av koblingsbroen 5 Datatilsynets vurdering Datatilsynet anfører at konsesjonen gitt i 1999 ikke lenger er gyldig i henhold til overgangsreglene i personopplysningsloven 51 jf helseregisterloven 36 Tilsynet ga under behandlingen av saken i 1999 uttrykk for skepsis til prosjektet Dette var begrunnet i den økte personverntrusselen det innebærer å sammenstille et så stort omfang data som det her er snakk om herunder mye sensitivt materiale Datatilsynet anfører at samtykket avgitt av deltakerne i HUNT heller ikke kunne sies å dekke en så omfattende sammenstilling Forskningsbehovet ble likevel tillagt stor vekt og konsesjonen ble gitt Tilsynet legger vekt på at etableringen av forskningsfilen ikke er dekket av det opprinnelige samtykket som er gitt av deltakerne i HUNT Spørsmålet blir derfor hvorvidt videre oppbevaring av koblingsbroen i tillegg til forskningsfilen kan hjemles i dette behandlingsgrunnlaget Vurderingen tar utgangspunkt i personopplysningsloven 9 1 ledd litra h da oppfyllelse av dette vilkåret tilsier at også vilkårene i personopplysningsloven 8 litra d er oppfylt Datatilsynet er av den oppfatning at etableringen av en stor forskningsfil med et slikt omfang i seg selv innebærer en trussel mot personvernet til den enkelte registrerte og personvernet generelt Forskningsfilen innebærer en sammenstilling av ulike typer opplysninger som sier mye om hver enkelt registrert Dersom koblingsbroen også skal oppbevares vil det være enkelt å identifisere de registrerte hvilket igjen øker personverntrusselen Tilsynet påpeker for øvrig at mange av opplysningene som er inkludert i forskningsfilen i utgangspunktet er innsamlet på bakgrunn av den enkeltes samtykke At disse er koblet til en mengde andre opplysninger som det verken er samtykket til eller gitt informasjon om kan ifølge tilsynet fremstå som illojalt overfor de registrerte Dette gjelder særlig dersom deres identitet skal oppbevares også etter at koblingene for lengst er gjennomført Datatilsynet mener forøvrig at det forhold at samtykke er innhentet i HUNT på et generelt nivå og at HUNTs hjemmesider kontinuerlig oppdateres med informasjon om pågående forskningsprosjekter kan benyttes som et argument til fordel for at det finnes behandlingsgrunnlag i personopplysningsloven 8 litra d og 9 1 ledd litra h Datatilsynet kan imidlertid ikke se at samfunnets interesse i at koblingsbroen oppbevares klart overstiger hensynet til den enkeltes personvern Datatilsynet har forståelse for at koblingsbroen grunnet kvalitetssikring måtte oppbevares også en tid etter at koblingene var foretatt Tilsynet har videre forståelse for at koblingsbroen nå som den er etablert er et viktig verktøy i forskningssammenheng og at etableringen av denne og tilhørende forskningsfil har hatt en betydelig kostnad Datatilsynet understreker likevel at tillatelse til gjennomføringen har vært tidsbegrenset Det underliggende kravet har vært at koblingsbroen skulle slettes når forskningsfilen var etablert Datatilsynet anfører at dersom det stadig skal gis nye tillatelser for utvidet oppbevaring vil det opprinnelige vilkåret om sletting av koblingsbroen fremstå som illusorisk Datatilsynet er av den oppfatning at koblingsbroen har vært ulovlig oppbevart fordi den ikke er blitt slettet i samsvar med konsesjonsvilkåret Dette til tross for at konsesjon er blitt innvilget etter personregisterloven og at det ble sendt søknad om ny konsesjon etter personopplysningsloven og helseregisterloven kort tid etter at overgangsfristen var utgått Datatilsynet presiserer at den personverntrusselen som tilsynet mener at forskningsfilen etablerer ikke er ment å gi uttrykk for at Datatilsynet er skeptisk til HUNTs håndtering av data forøvrig Datatilsynet mener at det likevel er en kjensgjerning at en forskningsfil som består av en kobling mellom svært mange registre etablerer dyp innsikt i den enkelte registrertes personlige forhold Når det finnes en enkel mulighet for å finne tilbake til de registrertes identitet via en koblingsbro etablerer denne kunnskapen en større trussel for den enkeltes personvern enn dersom koblingsbroen ikke var tilstede Datatilsynet fremhever at det altså er koblingsbroens eksistens i seg selv som er problematisk ikke HUNTs behandling av det aktuelle materialet 6 Personvernnemndas vurderinger 6 1 Innledning Personvernnemnda behandler klagen med utgangspunkt i om ny konsesjon skal gis Etter personopplysningsloven 11 litra a skal den behandlingsansvarlige sikre seg at behandlingen av personopplysninger er tillatt etter personopplysningsloven 8 og 9 I dette tilfellet dreier det seg om sensitive personopplysninger jf personopplysningsloven 2 nr 8 litra c Behandlingen av slike opplysninger faller inn under personopplysningsloven 9 behandlingen krever derfor konsesjon fra Datatilsynet jf personopplysningsloven 33 1 ledd Personopplysningsloven 9 angir rammene for Datatilsynets kompetanse til å gi konsesjon for behandlingen av sensitive opplysninger Gjennom henvisningen fra personopplysningsloven 9 til personopplysningsloven 8 endrer også personopplysningsloven 8 karakter i et slikt tilfelle fra å være en pliktnorm som direkte regulerer den behandlingsansvarliges plikter til å bli en kompetansenorm som setter grenser for Datatilsynets adgang til å gi konsesjon Grunnkravet er at konsesjon bare kan gis når betingelsene i personopplysningsloven 8 er oppfylt og dersom i tillegg minst ett av de ytterligere vilkårene i personopplysningsloven 9 1 ledd litra a h er oppfylt Etter personopplysningsloven 8 er det tre alternative grunnlag for å gjennomføre behandling av personopplysninger Ett av disse er samtykke fra den registrerte

    Original URL path: http://www.personvernnemnda.no/vedtak/2005_4.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    dette grunnlag Claes Zangenberg anfører at slik Datatilsynet synes å tolke loven vil en hver form for samfunnskritikk tilsynelatende lovliggjøre et hvert brudd på personopplysningsloven Claes Zangenberg anfører videre at når opplysningene og behandlingen av disse ikke omfattes av lovens unntak kreves det samtykke fra den opplysningene gjelder jf personopplysningsloven 8 Et slikt samtykke er ikke gitt i denne saken Juristfirmaet mener at selv om nettstedets hensikt kan være å utføre en oppgave av allmenn interesse jf 8 litra d er oppramsingen av personopplysningene i seg selv ikke egnet til å utføre denne oppgaven Både Claes Zangenberg og Bærum kommune anfører at opplysningene som samles og gjøres kjent på nettstedet vanskeliggjør de offentlige tjenesteoppgaver deres klienter er pålagt gjennom lov Begge klagende ser meget alvorlig på saken og mener at nettstedet gjør det problematisk for deres klienter å utøve det viktige arbeidet de står overfor i forhold til barn Begge parter gir uttrykk for at deres klienter opplever nettstedet som en personlig krenkende belastning Claes Zangenberg viser også til at den nummererte oppramsning er lett tilgjengelig på nettet For det første kan listen hentes fram direkte uten å gå via andre nettsider på nettstedet Brukere kan følge en såkalt link fra e post eller andre nettsider og brukere kan selv direkte skrive inn et av nettstedets fire adresser For det andre er siden med alle personopplysninger indeksert i søkemotorer Nettsidene er blant annet gjennomsøkt av den internasjonale søkemotoren google com slik at klientens personopplysninger kan gjenfinnes helt løsrevet fra den angivelige samfunnskritikk Videre blir nettstedet jevnlig oppdatert av de ansvarlige og fulgt opp av media med fargerike beskrivelser og henvisninger til personer på listen Over 10 000 personer besøkte i en periode nettstedet hver dag Bærum kommune frykter at allmennheten oppfatter opplysningene som sannheter Begge klagere har for øvrig anmeldt de ansvarlige for ærekrenkelser Bærum kommune anfører at de ansvarlige i tillegg til ønsket om å sette søkelyset mot barnevernet også har til hensikt å skremme bort personer fra å ha befatning med barnevernssaker Ifølge kommunen kan det også synes som om de ansvarlige ønsker hevn over personer som de føler har begått urett mot dem Claes Zangenberg anfører at Datatilsynet har utvist en uklar passiv og vinglete holdning i saken Juristfirmaet mener at personene bak nettstedet har oppfattet tilsynets passivitet som en godkjenning av sidenes innhold Juristfirmaet viser til at det på nettstedet blir opplyst at Datatilsynet støtter nettsidene 5 Datatilsynets vurdering Datatilsynet anfører at tilsynet ikke kom til at personopplysningene ble behandlet for opinionsdannende formål etter 7 slik klagede parter anfører Tilsynet har valgt å ikke ta stilling til om behandlingen av personopplysninger var gjort for opinionsdannende formål eller ikke Tilsynet poengterer at det har avvist saken med den begrunnelse at det finner at ytringene ligger i grenseområdet mellom ytringsfrihet og personvern Tilsynet baserer sin avgjørelse på at inngrep i ytringsfriheten etter legalitetsprinsippet og Europeiske menneskerettskonvensjon artikkel 10 2 forutsetter klar hjemmel Datatilsynet mener at personopplysningsloven 7 ikke gir klar nok hjemmel i foreliggende sak Tilsynet legger herunder

    Original URL path: http://www.personvernnemnda.no/vedtak/2005_3.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    viser til at Datatilsynet i likhet med klager selv finner det uklart hvorledes Vital registrerer pensjonsopplysningene 5 Datatilsynets vurdering Datatilsynet mener at innbetalt premiebeløp ikke er en personopplysning som man kan kreve innsyn i etter reglene i personopplysningsloven 18 Til tross for mottatt oversikt fra Vital over hvilke personopplysninger som er registrert om klager finner Datatilsynet det noe uklart hvordan personopplysningene er registrert hos Vital Tilsynet mener at dersom opplysningene er registrert i tilknytning til klagers navn polisenummer eller annen identifikasjon av klager vil dette utgjøre en personopplysning jf personopplysningsloven 2 nr 1 Datatilsynet oppfatter imidlertid oversikten som Vital har oversendt til tilsynet sammenholdt med Kredittilsynets vurdering av saken dit hen at de registrerte opplysningene ikke er å anse som personopplysninger jf personopplysningsloven 2 Dette medfører at det ikke kan kreves innsyn med hjemmel i personopplysningsloven 18 Tilsynet mener at SAS premieinnbetalinger ikke er en opplysning av slik art at klagers pensjonsrettigheter avhenger av innsyn Tilsynet begrunner dette med at klagers rettigheter avhenger av vilkårene i avtalen mellom SAS og Vital og ikke av den konkrete premieinnbetaling Tilsynet slutter seg forøvrig til Kredittilsynets vurdering av saken Kredittilsynet har vurdert problemstillinger knyttet til grensen mellom taushetsplikt og innsynsrett regulert i forsikringsvirksomhetsloven 1 3 og forsikringsavtaleloven 17 2 annet ledd Dette ble av Kredittilsynet også vurdert i forhold til personopplysningslovens bestemmelser Det foreligger en vurdering av hvilken innsynsrett som forsikringsavtaleloven hjemler hvilke opplysninger som må anses som personopplysninger med innsynsrett etter personopplysningsloven samt hvilke opplysninger som må sies å være underlagt lovbestemt taushetsplikt og eventuelt innsynsrett etter forsikringsvirksomhetsloven og forsikringsavtaleloven Det fremgår av Kredittilsynets vurdering at innbetalt premie til kollektiv tjenestepensjonsording må anses som en opplysning om forretningsmessige forhold Følgelig er slike opplysninger i utgangspunktet taushetsbelagt i henhold til forsikringsvirksomhetsloven 1 3 Kredittilsynet legger altså til grunn at Vital har taushetsplikt overfor forsikrede om forsikringstakerens forretningsmessige forhold Det fremgår videre av Kredittilsynets vurdering at det må tas stilling til hva slags betydning innsynsrett har for klager i den konkrete sak Kredittilsynet er av den oppfatning at klager i medhold av forsikringsavtaleloven 17 2 kunne ha krevd innsyn om opplysninger om SAS premiebetaling dersom disse opplysningene hadde hatt betydning for forsikredes muligheter til å fastslå sine pensjonsrettigheter Kredittilsynet konkluderte imidlertid med at opplysninger om hvilke premier SAS har betalt for klager i en ytelsesbaserte pensjonsordning ikke er av betydning for klager ved vurderingen av hvilke rettigheter vedkommende har i pensjonsordningen jf forsikringsavtaleloven 17 2 annet ledd Kredittilsynet mener dermed at klager ikke kan kreve innsyn i SAS premieinnbetalinger 6 Personvernnemndas vurderinger 6 1 Foreligger det personopplysninger Datatilsynet bygger sin avvisning av kravet om innsyn på at de opplysninger det kreves innsyn i ikke er personopplysninger i henhold til legaldefinisjonen i personopplysningsloven 2 nr 1 jf brev av 27 4 2004 Det dreier seg her om visse opplysninger som er oppregnet i en matrise i vedlegg 3 til Vitals brev av 27 4 2004 Det fremgår av denne matrisen at det er nektet innsyn i opplysningstypene Beregnet premie og Beregnet premie historiske opplysninger Etter henvendelse fra Personvernnemnda ble de to aktuelle opplysningstypene nærmere beskrevet i brev fra Vital av 1 3 2005 I Datatilsynets oversendelsesbrev av 27 juli 2004 er det lagt til grunn at SAS har betalt inn premiebeløpet for pensjonsavtalen som et samlet beløp for samtlige forsikrede og ikke som et enkeltbeløp knyttet til hver forsikret og at beløpene heller ikke er registrert i tilknytning til hver enkelt forsikret hos Vital Forsikring Det er korrekt at premiekravene betales inn samlet men det totale premiekravet er delvis bygget opp av premieberegninger gjort for hvert enkelt medlem Disse premieberegningene gjelder nettopremier og er registrert i tilknytning til det enkelte medlem Det samlede premiekravet utgjøres av nettopremien administrasjonsreservepremie og administrasjonskostnader de to sistnevnte størrelsene er ikke registrert i tilknytning til noe medlem Klagers primære krav var innsyn i hva forsikringstaker hadde innebetalt for det enkelte medlem Begrepene Beregnet Premie og Beregnet Premie Historiske opplysninger som fremgår av ovennevnte matrise utgjør konkrete tallstørrelser men som gir som ovenfor beskrevet ingen anvendelig informasjon om hvilken innbetaling som forsikringstaker reelt sett har gjort for det enkelte medlem Etter dette er det på det rene at de to typene opplysninger Beregnet premie og Beregnet premie historiske opplysninger er konkrete tall knyttet til klagers navn Personvernnemnda anser at dette er et eksempel på opplysninger og vurderinger som kan knyttes til en enkeltperson og dermed utgjør personopplysninger etter personopplysningsloven 2 nr 1 Det er ikke noe krav etter personopplysningsloven at opplysningene skal være nyttige eller anvendelige i forhold til en bestemt mulig bruk som den registrerte måtte ønske å gjøre av opplysningene Etter Personvernnemndas syn foreligger det derfor personopplysninger som den registrerte kan kreve å få innsyn i etter personopplysningsloven 18 2 ledd litra a 6 2 Forholdet til forsikringsavtaleloven 17 2 Når Personvernnemnda kommer til at det i utgangspunktet foreligger en rett til innsyn etter personopplysningsloven 18 2 ledd litra a må den så ta stilling til hvorvidt forsikringsavtaleloven 1989 69 17 2 avskjærer et slikt innsyn Dette forholdet er også fremhevet av Vital som i brev av 1 3 2005 bl a understreker Vital Forsikring ASA har i saken ikke noen selvstendig interesse i å henholdsvis å åpne for eller nekte innsyn Vital Forsikring ASAs hovedinteresse i saken er å opptre i tråd med gjeldende regelverk henholdsvis personopplysningslovens regler om innsynsrett for den registrerte og forsiktingsvirksomhetslovens og forsikringsavtalelovens regler om taushetsplikt og innsynsrett Forsikringsavtaleloven 17 2 lyder 17 2 utskrift Utskrift av registeret kan kreves av forsikringstakeren forsikringstakerens ektefelle den forsikrede en endelig begunstiget en panthaver i forsikringen eller i en panterett i forsikringen eller av tingretten En utskrift skal bygge på det som er innført i registeret på det tidspunkt den blir utlevert fra selskapet Utskrift etter første ledd skal bare inneholde opplysninger av betydning for den som begjærer utskriften For øvrig skal selskapet bevare taushet om innholdet av livsforsikringsregisteret Kongen kan gi nærmere regler om innholdet av utskrift etter annet ledd første punktum og kan gi bestemmelser om betaling av et nærmere fastsatt gebyr Etter henvendelse fra

    Original URL path: http://www.personvernnemnda.no/vedtak/2005_2.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    klagers navn og oppbevart i en lukket konvolutt påført navnet til den advokat ved WMB som gjorde opptakene Opptakene oppbevares i et sikkerhetsskap Etter at klager krevde innsyn ble det fremstilt to analoge kopier av kassettene den ene ble overlevert klager den andre oppbevares sammen med originalene Det er i tillegg skrevet ut en beskjed som klager leste inn på telefonsvareren til den aktuelle advokat hos WMB klager har fått kopi av denne utskriften I dette tilfellet er det åpenbart at klager var kjent med at det ble gjort opptak og at klager samtykket i det Papirutskriften som sådan faller klart utenfor personopplysningslovens saklige virkeområde Personvern nemnda vil ikke ytterligere drøfte dette punktet Det første Personvernnemnda må ta stilling til er hvorvidt opptaket av samtalene faller inn under lovens saklige virkeområde slik dette er angitt i personopplysningsloven 3 1 ledd 3 Saklig virkeområde Loven gjelder for a behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler og 1 b annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister Datatilsynet fant at opptakene falt inn under personopplysningsloven 3 1 ledd litra b og at informasjonsplikten etter personopplysningsloven 19 ikke var oppfylt Tilsynet mente derfor å ha nødvendig hjemmel til å gi pålegg etter personopplysningsloven 46 om at den ulovlige behandlingen av personopplysninger skulle opphøre noe som i praksis i dette tilfellet vil være et pålegg om sletting Hvorvidt Datatilsynet velger å benytte seg av denne kompetanse vil høre inn under tilsynets frie skjønn som forvaltningsorgan Personvernnemnda kan imidlertid også overprøve denne del av tilsynets vedtak I denne saken må Personvernnemnda ta stilling til tre hovedspørsmål For det første må det vurderes om opptakene representerer et personregister i så fall vil opptakene falle inn under personopplysningslovens saklige virkeområde For det andre må det vurderes om elektroniske hjelpemidler skal tolkes som et krav om at opptaket må være gjort automatisk jf diskusjonen nedenfor I denne sammenheng må det også vurderes om elektroniske hjelpemidler skal tolkes på grunnlag av en teknisk sondring mellom elektroniske og andre former for hjelpemidler 6 2 Representerer opptaket isolert sett et register Datatilsynet har lagt til grunn at opptakene isolert sett representerer et register Etter person opplysningsloven 3 1 ledd litra b faller behandling av personopplysninger inn under lovens saklige virkeområde hvis opplysningene disse inngår i eller skal inngå i er et person register Personregister er definert i personopplysningsloven 2 nr 3 som registre fortegnelser m v der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen Ordlyden er den samme som i legaldefinisjonen i den tidligere personregisterloven 1 2 ledd 2 pkt Personvernnemnda antar at kriteriet skal forstås på samme måte i personopplysningsloven som i den tidligere lov Legaldefinisjonen oppsummeres gjerne ved at registerbegrepet bygger på et gjenfinnings kriterium dvs at registeret er organisert på en slik måte at det er enkelt i alle fall mulig å finne frem til opplysninger om de registrerte enkeltpersoner Typisk vil slike manuelle registre være organisert alfabetisk på personnavn Problemstillingen ble behandlet av Høyesterett i 1991 avgjørelse om bevisavskjæring i en straffesak Rt 1991 616 den såkalte Gatekjøkkenkjennelsen Saken angikk bruk av fjernsynsopptak som var gjort av ansatte uten deres samtykke eller kunnskap og som ble påberopt som bevis i en senere sak der det var reist tiltale om underslag mot en av de ansatte Høyesterett avgjorde saken på grunnlag av det ulovfestede personlighetsvernet men diskuterer også hvorvidt personregister loven kom til anvendelse under henvisning til en uttalelse fra Datatilsynet Som før nevnt har aktor for Høyesterett innhentet uttalelser av Datatilsynet til bruk i saken Datatilsynet som ble forelagt spørsmål om det i den konkrete sak kunne sies å foreligge et personregister har i brev av 1 februar 1991 blant annet uttalt Datatilsynet ønsker innledningsvis å presisere at det på styremøte i desember 1990 ble konstatert at også fjernsynsopptak kan falle innenfor personregisterloven s område jfr personregisterloven 1 Hvis det i tillegg er opprettet et personregister vil dette være konsesjonspliktig etter personregisterloven 9 Det går imidlertid en nedre grense for hvorvidt man kan si at det er opprettet noe personregister Et opptak av bare 1 person kan ikke være noe personregister At dette er en personopplysning se personregisterloven 1 er derimot lite tvilsomt Når det gjelder det fjernsynsopptak som ble gjort på et gatekjøkken er Datatilsynet kommet til at dette må anses som et personregister Det ble gjort opptak av to ettermiddagsskift da den mistenkte var på jobben På hvert skift arbeidet 3 personer som i likhet med gatekjøkkenets kunder ble gjort opptak av Hvorvidt den enkelte kunde kan igjenkjennes via opptaket er også en del av skjønnstemaet i Datatilsynets vurdering av hvorvidt dette er et personregister På bakgrunn av det materiale som er kjent for Datatilsynet vil opptakene omfatte minst tre personer fra det faste personalet som kan identifiseres det er ikke gitt opplysning om hvorvidt de to skiftene er identiske I telefonsamtale opplyses det at også andre kan identifiseres på opptaket bl a rengjøringspersonalet og noen kunder Slik Datatilsynet ser det vil vilkårene for å si at dette er et personregister etter personregisterloven 1 være oppfylt Så langt Datatilsynet kan vurdere saken gjelder dette et personregister som ikke er opprettet med den nødvendige konsesjon Det kan også være tvilsomt hvorvidt registeret ville fått konsesjon av Datatilsynet I et senere brev datert 30 april 1991 har Datatilsynet utdypet sin uttalelse og har blant annet fremholdt at selv om loven ikke har vært endret på dette punkt har det vært en utvikling over tid hvor både jussen og teknikken har gått i retning av at også denne type opptak ville være konsesjonspliktige Jeg må nok medgi at jeg har problemer med å finne holdepunkter i loven eller lovforarbeidene for at de to fjernsynsopptak det er tale om i denne sak skulle kunne ansees som personregistre og dermed undergitt konsesjonsplikt etter loven Opptakene kan vanskelig sies å innebære noen registrering eller systematisering av personopplysninger Da jeg ikke anser spørsmålet avgjørende for saken går jeg ikke nærmere inn på det Dommen er blitt tolket

    Original URL path: http://www.personvernnemnda.no/vedtak/2005_1.htm (2014-09-28)
    Open archived version from archive