archive-no.com » NO » P » PERSONVERNNEMNDA.NO

Total: 189

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".
  • Personvernnemnda
    til utlandet selv om de ordinære vilkårene i loven ikke er oppfylt Personopplysningsloven 33 Om at behandling av annet enn sensitive personopplysninger krever konsesjon Personopplysningsloven 34 Om konsesjon for behandling av personopplysninger Personopplysningsloven 35 Om vilkår for konsesjon for behandling av personopplysninger Personopplysningsloven 44 Om Datatilsynets krav på opplysninger adgang til lokaler og assistanse Personopplysningsloven 46 Om pålegg om at behandling av personopplysninger i strid med bestemmelser i eller i

    Original URL path: http://www.personvernnemnda.no/klage_personopplysningsloven.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    bestemmelser om internkontroll i kap 3 Personopplysningsforskriften 4 7 Om fritak fra plikter etter forskriftens kap 4 om kredittopplysnings virksomhet Personopplysningsforskriften 6 2 Om forbud mot overføring av personopplysninger til Sveits og Ungarn Personopplysningsforskriften 6 3 Om forbud mot overføring av personopplysninger til visse mottakere i USA Personopplysningsforskriften 7 4 Om at unntak fra konsesjons og eller meldeplikt likevel ikke skal gjelde Personopplysningsforskriften 7 12 Om samtykke til unntak fra

    Original URL path: http://www.personvernnemnda.no/klage_forskrift.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    Lov om Schengen informasjonssystem SIS Se lovens 23 om klage på Datatilsynets pålegg om endring eller opphør av ulovlige behandlinger Lov om helseregistre og behandling av helseopplysninger Se lovens 32 om klage på Datatilsynets avgjørelser med hjemmel i 26 28

    Original URL path: http://www.personvernnemnda.no/klage_andre_lover.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    delta på den internasjonale konferansen i 2012 men deltok i stedet på den tredje årlige European Data Protection Privacy Conference som ble avholdt i Brussel 4 desember Personvernnemnda ytet økonomisk støtte til Personvernkonferansen 2012 som ble arrangert av Senter for rettsinformatikk SERI Universitetet i Oslo 7 desember 2012 med tema Fra lov til innbygget personvern hvordan kan personvernet styres Konferansen var fulltegnet 6 Saksbehandlingstid restanser En sak blir i gjennomsnitt ferdigbehandlet i løpet av fire til seks måneder De mest komplekse sakene blant annet PVN 2011 09 Toll PVN 2011 10 Simonsen PVN 2011 11 Visma Retail PVN 2012 01 Barn med påførte dødelige skader PVN 2012 03 Nettby og PVN 2012 10 SUSS har nemnda imidlertid arbeidet med i en rekke nemndsmøter i både 2011 og 2012 Nemnda har i 2012 hatt fokus på å redusere saksbehandlingstiden og har derfor utvidet møtetiden for hvert møte Personvernnemnda hadde ingen restanser ved årets slutt 7 Rådgivende uttalelser Personvernnemnda har tradisjonelt ikke avgitt rådgivende uttalelser I saken PVN 2011 11 Visma Retail ble Datatilsynets vurdering av rettstilstanden påklaget til nemnda Personvernnemnda måtte derfor gi en slags rådgivende uttalelse Nemnda foretok en avvikende tolkning i forhold til tidligere biometri saker og vurderte bruken av fingeravtrykk i denne saken annerledes enn Datatilsynet 8 Hvilke parter klager til nemnda Personvernnemnda behandler klager fra privatpersoner bedrifter statlige kommunale og fylkeskommunale organer Av de 22 sakene nemnda avgjorde i 2012 var det syv klager fra privatpersoner resten av sakene var klaget inn av ulike bedrifter og statlige organer helseforetak 9 Klagesaksbehandling statistikk og viktige saker Personvernnemnda mottok i 2012 totalt 15 klagesaker Samtlige av disse var ferdigbehandlet ved utgangen av året I tillegg ble syv saker fra 2011 ferdigbehandlet i 2012 Oversikt over vedtakene samt vedtakene i sin helhet er publisert på Personvernnemndas hjemmesider I tillegg er vedtakene som nevnt publisert i egen database hos Lovdata Saksmengden har vært normal Flere av sakene har vært prinsipielle jf punkt 2 over om tendenser Også i 2012 har omfangsrike saker medført arbeid for medlemmene ut over de tilmålte fire timers forberedelse til hvert møte Personvernnemnda vil særlig fremheve følgende prinsipielle saker i kronologisk rekkefølge PVN 2011 06 ConocoPhillips Selskapet er et norskregistrert utenlandsk foretak NUF Personvernnemnda la til grunn at det amerikanske selskapet og NUF et er samme juridiske enhet I Norge har ConocoPhillips Norge NUF registre med opplysninger om ansatte kunder og leverandører Disse opplysningene er lovlig innsamlet her Det rettslige spørsmålet var om overføringen av de legalt innsamlede opplysninger til USA hadde rettslig grunnlag Overføringen måtte vurderes i henhold til 30 Spørsmålet om det forelå adgang til å foreta screening av denne informasjonen i USA lå etter Personvernnemndas syn utenfor vår jurisdiksjon Etter nemndas syn hadde overføringen hjemmel i personopplysningsloven 30 bokstav c det vil si at det er nødvendig for å oppfylle en avtale Behandlingen er også nødvendig for å ivareta selskapets interesser i kontrakter med leverandører og kunder samt arbeidsavtaler med de ansatte PVN 2011 09 Toll I denne saken konkluderte Personvernnemnda med at tollmyndighetene kan be om opplysninger fra privatperson Når det gjelder å be om opplysninger hadde Datatilsynet tatt som standpunkt at tollmyndighetene ikke kan spørre en privatperson om identifiserte uttak forbruk i utlandet i ettertid og om hva disse penger ble brukt til Tilsynet mener at slikt spørsmål krever hjemmel i lov jf legalitetsprinsippet Nemnda delte ikke denne rettslige forståelse Nemnda fremhever at legalitetsprinsippet er gradert og hjemmelskravet relativt Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak er ikke omfattet av legalitetsprinsippet Når det gjaldt innsyn i valutaregisteret var hovedgrunnen til at nemnda ikke kunne dele tilsynets vurdering nettopp ulikt syn på legalitetsprinsippet Datatilsynet mener at legalitetsprinsippet fordrer at innsyn i et slikt register har eksplisitt lovhjemmel Etter nemndas syn må legalitetsprinsippet forstås slik at det foreligger tilstrekkelig lovhjemmel for innsyn i registeret Legalitetsprinsippet vil beskytte registereier mot et annet forvaltningsorgans inntrengning i registeret Ordlyden i valutaregisterloven 6 vil klart oppfylle legalitetsprinsippets krav til hjemmel i en slik situasjon Personvernnemnda knyttet også noen bemerkninger til fordeling av den personelle kompetansen mellom toll og politi som Datatilsynet hadde problematisert i saken PVN 2011 10 Simonsen Personvernnemnda delte seg i et flertall og et mindretall i denne saken Personvernnemndas flertall Eva Jarbekk Gisle Hannemyr Leikny Øgrim Ørnulf Rasmussen og Tom Bolstad kom til at man må legge avgjørende vekt på ordlyden i loven og at Simonsen ikke kunne være behandlingsansvarlig Simonsen hevdet at det er de som bestemmer eller detaljerer formålet Etter flertallets syn er det mulig at Simonsen detaljerer hvordan opplysningene behandles men det må være rettighetshaverne som innledningsvis har bestemt og definert formålet Videre var flertallet av den klare oppfatning at det er mulig at Simonsen både foreslår og bestemmer hvilke praktiske hjelpemidler som brukes men det er rettighetshaverorganisasjonene som overordnet bestemmer virkemidlene og fremgangsmåten herunder valget å bruke Simonsen som utreder Det er Simonsen som operativt utfører oppdraget bearbeider funn og opplysninger legger data inn sikrer bevis etc Simonsen har ingen selvstendig evne til å rettslig forfølge rettighetskrenkere det må gjøres i samråd med og på vegne av rettighetsorganisasjonene De nevnte forhold påberopt av Simonsen var dermed helt typiske situasjoner for mange databehandlere Slik flertallet så det kan en behandlingsansvarlig gjerne knytte til seg en rekke forskjellige eksperter altså databehandlere innen ulike områder Dette står det behandlingsansvarlig fritt å gjøre og da må behandlingsansvarlig inngå databehandleravtaler som definerer de ulike ansvarsområdene Hele nemnda var enig i vurderingen av Datatilsynets saksbehandling i saken Datatilsynets konklusjon om at Simonsen ikke var behandlingsansvarlig må bygge på at behandlingsansvaret påhviler et annet subjekt og at Simonsen er å anse som databehandler PVN 2011 11 Visma Retail I denne saken foretok nemnda en avvikende tolkning i forhold til tidligere biometri saker og kritiserte forarbeidenes omtale av biometri Nemnda kunne ikke se at registrering av fingeravtrykk mønster i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebar identifisering eller at fingeravtrykk ble brukt som entydig identifikasjonsmiddel Bruken begrenses til å framskaffe et sannferdig svar på spørsmålet Er kunden gammel nok til å kjøpe den aktuelle vare Det er altså kun tale om autentisering ikke identifisering Etter nemndas syn kommer personopplysningsloven 12 ikke til anvendelse når behandlingen ikke foretas med det formål å oppnå sikker identifisering som 12 beskriver Det var videre nemndas oppfatning at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger jf personopplysningsloven 2 nr 1 Templatet skal ikke brukes til identifikasjon men til ren autentisering Slik systemet skal fungere i denne saken skal det ikke være mulig med bakveisidentifikasjon Saken var således ikke sammenlignbar med de tidligere sakene om biometri som Personvernnemnda har behandlet hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon PVN 2012 01 Barn med påførte dødelige skader Personvernnemnda så annerledes på saken enn Datatilsynet Nemnda la til grunn at kun aggregerte data ikke kasuistikk ville bli publisert Dette vil igjen gjøre det forutsetningsvis umulig å gjenkjenne enkelttilfeller Nemnda la til grunn at en forskningsrapport vil evaluere politiets handlemåter under etterforskning men at taushetsplikten vil bli respektert hva gjelder omtale av den enkelte sak Når det gjelder behandlingsgrunnlaget fant nemnda at dette fantes i personopplysningsloven 8 bokstav f og 9 bokstav h Nemnda var enig med REK at personvernulempene var små i dette prosjektet og at samfunnsnytten klart oversteg de eventuelle ulempene Etter nemndas syn kan man ikke i denne saken legge avgjørende vekt på den mulige personvernulempe for de registrerte som foreligger ved at noen kan koble til virkelige personer ut fra publisering av en forskningsrapport med opplysninger fra medieomtale Nemnda mente at denne faren måtte tillegges liten vekt i forhold til samfunnets interesse i at det blir forsket på dette temaet Nemnda konkluderte med at samfunnsnytten er betydelig og overstiger klart personvernulempene for de registrerte Vilkårene i personopplysningsloven 8 bokstav f jf 9 bokstav h er oppfylt når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven 13e opprettholdes PVN 2012 03 Nettby Klagen ble ikke tatt til følge men nemnda kom frem til en annen løsning enn Datatilsynet Nemnda kom til at det forelå avleveringsplikt for de dokumenter VG ønsket å lagre i denne saken det vil si innholdet i de åpne fora områdene som var åpen for indeksering i søkemotorer og de deler som ikke var åpen for indeksering men som var tilgjengelig for samtlige borgere av Nettby jf pliktavleveringsloven 1 og 3 og 4 Avleveringsplikten måtte oppfylles og deretter måtte materialet slettes av utgiver VG PVN 2012 10 SUSS Klagen ble ikke gitt medhold og nemnda var enig i Datatilsynets vurderinger Nemnda kom til at SUSS må ha to registre et journalsystem og en logg Loggen kan føres i samme database som journalen I loggen vil man da ikke fylle ut persondatafelt og andre felt som kan være personidentifiserbare mens i journalen vil disse felter være utfylt Personvernnemnda konkluderte med at SUSS må rydde opp i de allerede registrerte opplysninger ved enten å anonymisere eller å slette alle personopplysninger som er registrert i forbindelse med at SUSS har gitt veiledning eller råd til personer som ønsker å være anonyme Det foreligger ingen sletteplikt for anonyme data idet en anonym logg vil falle utenfor personopplysningsloven SUSS er således ikke pålagt å slette loggen dersom den anonymiseres ved at forbindelsen mellom opplysningen og personen slettes For journalføring og loggføring i fremtiden må SUSS innrette seg etter dette skillet Nemnda mente også at teksten på nettsiden var misvisende Det samme gjelder sms tjenesten hvor man ikke bare blir registrert dersom man henvender seg flere ganger men hvor man blir registrert allerede ved første gangs henvendelse Nemnda kom til at etter at de nødvendige omformuleringer er gjort må de fremlegges Datatilsynet for godkjennelse Nemnda kom også til at SUSS må skrive om internkontrollsystemet sitt Personvernnemnda satte en frist på to måneder fra vedtaksdato til å implementere nemndas avgjørelse i virksomheten Saken reiste viktigheten av at en behandlingsansvarlig har en riktig oppfatning av hva anonym er og hva anonymisering innebærer 10 Fullstendig oversikt over saker som ble behandlet i 2012 Følgende saker ble ferdigbehandlet i 2012 PVN 2011 06 ConocoPhillips Klage på Datatilsynets vurdering av krav til behandlingsgrunnlag ved screening innen ConocoPhillips konsernet Klage på Datatilsynets vedtak om manglende behandlingsgrunnlag for screening innen ConocoPhillips konsernet Personvernnemnda opphevet vedtaket Etter nemndas syn er dette tale om lovlig innsamlede opplysninger i Norge som lovlig overføres til USA med hjemmel i 30 bokstavene c og f Når de registrerte opplysningene er legalt overført til USA er det deretter amerikansk lov som regulerer de krav som stilles til behandlingen der Opplysningene kan i USA brukes til andre formål enn det de opprinnelig ble samlet inn for dersom det finnes hjemmel for slik bruk etter amerikansk rett PVN 2011 07 Tilgang til fellesregister Gerica Klage på Datatilsynets vedtak om private tjenesteyteres tilgang til Oslo kommunes helseregistre Tilgang til fellesregister Gerica Datatilsynet og klager er enige om at helseregisterloven 13 er til hinder for at Oslo kommune kan gi private virksomheter tilgang til kommunens helseregistre Klager mener dog at Datatilsynets vedtak lider av saksbehandlingsfeil Oslo kommune mener at alvorlighetsgraden av manglende etterkommelse av lovens bokstav i helseregisterloven 13 ikke står i forhold til omfanget og alvorlighetsgraden av konsekvensene av vedtaket Personvernnemnda har vurdert saken og er kommet til at helseregisterloven må legges til grunn Nemnda har ingen hjemmel til å dispensere fra loven Datatilsynets vedtak opprettholdes PVN 2011 09 Tollvesenets kontroll av vareførsel Klage på Datatilsynets vedtak om at Toll og avgiftsdirektoratets praksis med å gjennomføre søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre Toll Klage på Datatilsynets vedtak om at Toll og avgiftsdirektoratets søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre Personvernnemnda konkluderte med at tollmyndighetene kan be om opplysninger fra privatperson Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak er ikke omfattet av legalitetsprinsippet Videre konkluderte Personvernnemnda med at merverdiavgiftsloven 15 11 gir tolletaten hjemmel for å pålegge privatpersoner å gi opplysninger og å legge frem dokumentasjon i kontrolløyemed Personvernnemnda konkluderte endelig med at tolletaten har hjemmel til å søke i valutaregisteret i kontrolløyemed Slik nemnda tolket uttalelsene i forarbeidene har tolletaten i valutaregisterloven 6 jf valutaregisterloven 1 og tolloven 1 5 fått hjemmel til å foreta søk i valutaregisteret ut fra behov for opplysninger i forbindelse med kontroll og tilsyn Nemnda fant ikke rettslig grunnlag for å begrense anvendelsen av 6 til grensepasseringstidspunktet eller til utførelsen av en fysisk kontroll som omhandlet i tolloven 13 1 PVN 2011 10 Simonsen antipiratarbeid Klage på Datatilsynets avslag på forlengelse av konsesjon Simonsen Klage på Datatilsynets avslag på forlengelse av konsesjon til antipiratarbeid Personvernnemnda delte seg i et flertall og et mindretall Flertallet kom til at man må legge avgjørende vekt på ordlyden og at Simonsen således ikke kan være behandlingsansvarlig Etter flertallets syn er behandlingsansvaret en formell posisjon og det må være den som er beslutningstaker det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler og som dessuten initierer og finansierer den aktuelle behandlingen som må være behandlingsansvarlig for personopplysningene Mindretallet tolket personopplysningslovens definisjon i 2 nr 4 i lys av forarbeidene og formålet med bestemmelsen og kom til at Simonsen kunne være behandlingsansvarlig En samlet nemnd var i tvil om Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven 11 men kom til at det uansett ikke var grunn til å regne med at en eventuell saksbehandlingsfeil kunne ha virket bestemmende inn på resultatet PVN 2011 11 Visma Retail Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri Visma Retail Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri Personvernnemnda kunne ikke se at registrering av fingeravtrykk mønster i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebærer identifisering eller at fingeravtrykk brukes som entydig identifikasjonsmiddel i denne saken Personopplysningsloven 12 kommer da ikke til anvendelse Videre kom nemnda til at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger jf personopplysningsloven 2 nr 1 Templatet skal ikke brukes til identifikasjon men til ren autentisering PVN 2011 12 Adgangskontroll ubetjent treningssenter Klage på Datatilsynets pålegg om at Fitness24Seven må avslutte enhver bruk av fingeravtrykk eller andre biometriske kjennetegn i forbindelse med adgangskontroll Fitness24Seven Klage på Datatilsynets vedtak om pålegg om at Fitness24Seven må avslutte enhver bruk av biometriske kjennetegn i forbindelse med adgangskontroll Personvernnemnda tok klagen til følge Nemnda kunne ikke se at registrering av et fingeravtrykkstemplat i kundens treningskort eller kundens avgivelse av fingeravtrykk i samband med adgangskontroll innebar identifisering eller at fingeravtrykkstemplatet ble brukt som entydig identifikasjonsmiddel Slik nemnda så det er det kundenummeret på kortet som identifiserer kunden ikke biometrien Kundenummeret kan imidlertid ikke kobles med andre identifikatorer Kundenummeret er entydig i dette systemet men ikke ut over det Identifiseringen ved hjelp av kundenummeret som skjer er med andre ord kun systemspesifikk og ikke systemovergripende Det vil si at den ikke er entydig i den betydning nemnda har tolket personopplysningsloven 12 i tidligere biometrisaker PVN 2011 13 Sletting fra Brillelands kunderegister Klage på Datatilsynets saksbehandling i forbindelse med klage på manglende sletting i kunderegister Brilleland Klage på Datatilsynets saksbehandling Klager hadde mottatt en rekke forsendelser med direkte markedsføring fra Brilleland til tross for at han gjentatte ganger hadde bedt om å bli slettet fra kunderegisteret Datatilsynet bisto klager med å bli slettet fra kunderegisteret men klager påklaget Datatilsynets saksbehandling og det forhold at Datatilsynet ikke benyttet seg av sanksjoner mot Brilleland Personvernnemnda fant at Datatilsynets saksbehandling var tilfredsstillende og fant ingen vesentlige argumenter for å fravike Datatilsynets vurdering for så vidt gjaldt bruk av sanksjoner i saken PVN 2012 01 Barn med påførte dødelige skader Klage på Datatilsynets avslag på søknad om konsesjon til å behandle personopplysninger i forskning i forbindelse med hovedoppgave om Barn med påførte dødelige skader hva gjør helsevesenet og rettsvesenet Klage på Datatilsynets saksbehandling Personvernnemnda tok stilling til om det forelå behandlingsgrunnlag for en rettsmedisinsk studentoppgave Behandlingsgrunnlag for bruk av personopplysninger i politirapporter må finnes i personopplysningsloven Nemnda kom til at behandlingsgrunnlag var personopplysningsloven 8 bokstav f og 9 bokstav h Nemnda konkluderte med at behandlingen oppfylte vilkåret om at det må klart overstige ulempen det kan medføre for den enkelte forutsatt at når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven 13e opprettholdes PVN 2012 02 Rekruttering AS Klage på Datatilsynets planlagte kontroll mot Rekruttering AS Rekruttering AS Klage på Datatilsynets beslutning om å gjennomføre stedlig tilsyn på tross av klage fra Rekruttering AS Personvernnemnda kom til at klagen over at tilsyn var unødvendig å gjennomføre ikke var en klagegrunn etter lovteksten Hensiktsmessigheten og nødvendigheten av pålegget kunne ikke prøves Når det gjaldt tilsynets avgjørelse om å gjennomføre kontroll uten å vente på avgjørelse av klagen fant nemnda at det er kontrollorganet selv som må avgjøre om det er påtrengende nødvendig og avgjørelsen ligger under organets frie skjønn Personvernnemnda kan ikke overprøve hvorvidt kontrollen faktisk var påtrengende nødvendig kun hvorvidt utøvelsen av skjønnet var forsvarlig Nemnda vurderte saken og kunne ikke se at det forelå myndighetsmisbruk PVN 2012 03 Nettby Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby Nettby Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby Nemnda kom til at det foreligger avleveringsplikt for de dokumenter VG ønsker å lagre i denne saken det vil si innholdet i de åpne fora områdene som var åpen for indeksering i søkemotorer og de deler som ikke var åpen for indeksering men som var tilgjengelig for samtlige borgere av Nettby jf pliktavleveringsloven 1 og 3 og 4 Avleveringsplikten må oppfylles før materialet slettes av VG PVN 2012 04 Arbeidsgivers innsyn i e post Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e post Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e post Datatilsynet hadde etter nemndas syn gjort en grundig vurdering og Personvernnemnda sluttet

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_arsmeld.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    min kursivering Formuleringene her er tatt fra DP artikkel 2 a og fra forarbeidene til DP 26 Formuleringene er nokså tvetydige i forhold til hovedproblemstillingen Begrepet kjennetegn er særlig vanskelig å tillegge et entydig innhold Begrepet er vidtrekkende nok til å omfatte biologisk materiale og brukes slik i dagligtale Men det kan godt argumenteres at en her skal tolke begrepet noe innskrenkende i lys av de rammene som er fastlagt av de øvrige referansene til navn identifikasjonsnummer og fingeravtrykk d v s at stemme skal tolkes som stemmeopptak jf referansen til fingeravtrykk i motsetning til finger og at genetiske kjennetegn bl a skal tolkes som DNA mønstre som er blitt overført til radiografisk film 27 Det er videre verdt å merke seg formuleringen av en formålsparagraf til personopplysningsloven som ble foreslått av Georg Apenes som medlem av Skaugeutvalget Formuleringen stipulerte bl a at o pplysninger eller et materiale som gir grunnlag for opplysninger skal bare benyttes til det eller de oppgitte formål de innhentes eller samles for Apenes sitt forslag til formålsparagraf ble ikke støttet av andre medlemmer i utvalget disse uttrykte likevel enighet om mange av de synspunktene som kommer frem i forslaget men bemerket at disse synspunktene er ivaretatt i utvalgets forslag til lovens øvrige bestemmelser Det er vanskelig å lese noe entydig ut av de siste kommentarene i forhold til hovedproblemstillingen Når det f eks står at utvalget var enig i mange av synspunktene betyr det at utvalget ikke var enig i alle Hvis ja hvilke n 2 6 Anvendelighet av personopplysningslovens bestemmelser på biologisk materiale 28 Antydninger på hvordan lovgiveren har betraktet person opplysningsbegrepet vil kanskje kunne finnes ved analyse av personopplysningsloven i sin helhet 29 Mesteparten av lovens bestemmelser kan anvendes på biologisk materiale uten logiske begrepsmessige brister Resultatet ville sannsynligvis ha vært annerledes dersom loven kun omfattet personopplysninger samlet i automatiserte dataregistre da ville personopplysningsbegrepet måtte blitt begrenset til opplysninger i maskinlesbar form Men lovens bestemmelser er langt på vei medium og teknologinøytrale 30 Et iøynefallende unntak fra denne nøytralitet er 28 femte ledd som lyder Hvis dokumentet som inneholdt de slettede opplysningene gir et åpenbart misvisende bilde etter sletting skal hele dokumentet slettes Begrepet dokument kan åpenbart ikke brukes på biologisk materiale 31 Dessuten kan ikke alle øvrige bestemmelser i loven lett anvendes på biologisk materiale Det er f eks vanskelig dog kanskje ikke umulig å anvende kravet om at personopplysninger skal være korrekte og oppdatert jf 11 første ledd litra e på slikt materiale Likeledes er det vanskelig men igjen kanskje ikke umulig å se hvordan en kan kreve retting av biologisk materiale i henhold til 27 En kan i tilleg spørre om sletting jf 28 første ledd er et begrep velegnet for anvendelse på slikt materiale 32 Det er videre vanskelig å anse en samling av biologisk materiale som en type personregister Loven definerer et personregister som registre fortegnelser m v der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen jf 2 nr 3 Referansen til registre og fortegnelser tyder på at begrepet forutsetter en grad av abstrahering jf videre avsnitt 33 nedenfor Selv om m v tilsynelatende åpner for andre typer samlinger blir rammene for disse i betydelig grad fastlagt av referansene til registre og fortegnelser Drøftelsen av personregisterbegrepet i lovens forarbeider fokuserer på kartotek journalkortsystemer o l Samlinger av biologisk materiale nevnes ikke i denne sammenheng dog de er heller ikke utelukket Det samme gjelder for drøftelsen av personregisterbegrepet i henhold til den gamle personregisterloven et begrep som personopplysningsloven viderefører uten definisjonsmessige endringer 2 7 Nærmere om abstraheringskriteriet 33 Hovedproblemet som jeg hittil har påpekt ved å tolke personopplysning dithen at den omfatter biologisk materiale er at opplysningsbegrepet blir sprengt i alle fall dersom den informatiske forståelsen av begrepet som beskrevet i avsnitt 8 legges til grunn Etter en slik forståelse er opplysninger data og informasjon representasjoner av noe m a o oppstår opplysninger i grunn gjennom abstrahering f eks ved opptak registrering avtrykk merking o l Det er svært vanskelig å se hvordan biologisk materiale innebærer en slik abstrahering 34 Det kunne hevdes at en type abstrahering finner sted når biologisk materiale blir avsondret fra et menneske og fremstilt som prøve sampel Mennesket blir da representert i form av hår blod vevsprøve r Men et slikt påstand utfordrer om ikke motstrider den tradisjonelle informatiske oppfatningen av hva en opplysning er og hvordan den blir til 2 8 Tilknytning og identifisering 35 Det tredje elementet i definisjonen av personopplysningsbegrepet er tilknytning jf avsnitt 4 Tilknytning handler i grunn om identifisering d v s hvorvidt en enkeltperson kan identifiseres fra vedkommende opplysning er 36 Det er lite omstridt at identifiseringskravet etter personopplysningsloven samt KP og DP går ut på muligheten til å skille en person fra andre personer ved å knytte vedkommende til opplysninger av et eller annet slag Identifikasjon krever dermed ikke kjennskap til en persons navn men det er nødvendig å kjenne til ett eller flere spesifikke kjennetegn som skiller vedkommende fra andre Biologisk materiale vil kunne utgjøre slike kjennetegn 37 Samtidig er det viktig å merke seg at ikke alle opplysninger som kan knyttes til en enkeltperson vil kunne anses å være personopplysninger etter personopplysningsloven eller DP og KP At det foreligger en teoretisk mulighet for personidentifisering fra en opplysning eller et sett opplysninger vil ikke nødvendigvis medføre at opplysning ene er personopplysning er Hvis identifisering krever uforholdsmessig stor arbeidsinnsats eller uforholdsmessige store kostnader vil vedkommende opplysning er sannsynligvis falle utenfor rekkevidden til personopplysningsloven samt KP og DP Akkurat hvor grensen skal trekkes i forhold til arbeidsinnsats m v er imidlertid vanskelig å fastslå Forarbeidene til personopplysningsloven samt KP og DP formulerer terskelen vagt Hvor vanskelig identifisering er skal i hovedsak vurderes i lys av alle hjelpemidler som det er rimelig å ta i bruk for å identifisere vedkommende enten av den behandlingsansvarlige eller av en annen person jf avsnitt 26 i fortalen til DP min kursivering 38 Viktigst i denne sammenheng er at en del forekomster av biologisk materiale sannsynligvis ikke vil kunne anses som personopplysninger uavhengig av hvorledes en tolker begrepet opplysning p g a kriteriet om identifiseringsvanskelighet Dette vil sannsynligvis være tilfellet f eks med tilfeldige forekomster av hårstrå eller spytt Det kan imidlertid reises spørsmål om ikke forekomster av slikt materiale likevel vil kunne tilfredsstille kriteriet i visse tilfeller f eks når forekomstene er samlet inn av politiet i etterforskningsøyemed og politiet eier eller ha tilgang til analytiske verktøy samt registre som forholdsvis lett kan generere personentydighet fra materialet 2 9 Enkeltperson 39 Det fjerde elementet i definisjonen av personopplysningsbegrepet er enkeltperson I utgangspunkt kan en opplysning anses å være en personopplysning kun dersom opplysningen kan knyttes til et enkeltindivid En opplysning som kun kan knyttes til en persongruppe er dermed ikke en personopplysning Dette er et felles utgangspunkt for de aller fleste instrumenter på området og har åpenbart betydning for vurderingstemaet her Samtidig er det verdt å merke seg at datatilsynsmyndigheter i enkelte land har lempet noe på dette kravet om individualiserbarhet Hvorvidt denne praksisen er lovlig er vanskelig å fastslå med sikkerhet Jeg er dessuten usikker på om Datatilsynet i Norge fører en slik praksis 2 10 Mulige avgrensningsproblemer 40 Det kan hevdes at dersom biologisk materiale faller innenfor rekkevidden av personopplysningsbegrepet vil det være vanskelig å avgrense anvendelsen av begrepet mot hele menneskekropper dermed vil det være vanskelig å avgrense mot at enkeltpersoner i seg selv blir personopplysninger 41 Det kan videre hevdes at dersom biologisk materiale omfattes av personopplysningsbegrepet vil det skape en inflasjon i antall personopplysninger hinsides et fornuftig reguleringsbehov Da vil f eks frisører risikere å få status som databehandlingsansvarlige eller databehandlere etter loven når de klipper andre menneskers hår Faren er at loven som allerede spenner svært vidt vil underkaste seg så mange av dagliglivets gjøremål og andre typer virksomhet at det blir umulig å føre et reellt tilsyn over de store mengdene av personopplysninger som behandles i de forskjellige samfunnsområder Mangel på reellt tilsyn øker risikoen for mangel på respekt for loven 42 Sistnevnte avgrensningsproblem vil i betydelig grad kunne forminskes ved at visse typer virksomhet unntas fra regulering under henvisning til personopplysningslovens formålsparagraf 1 Forarbeidene fastholder at i tvilstilfeller kan formålsbestemmelsen få betydning for hvor langt uttrykket personopplysning rekker det kan tenkes tilfeller der ordlyden i nr 1 isolert sett trekker i retning av at en opplysning er personopplysning men hvor personvernhensyn ikke kan begrunne at opplysningen vernes Hårrester som oppstår i forbindelse med vanlig frisørvirksomhet vil godt kunne eksemplifisere et slikt tilfelle Angivelsen av lovens saklige virkeområde i 3 første og annet ledd kan også bidra til å forminske problemet med overregulering Det er f eks tvilsomt at hårrester som samler seg på gulvet hos en frisør kan utgjøre et personregister i henhold til 2 nr 3 Også kravet til identifiseringsvanskelighet jf avsnitt 37 og 38 vil kunne redusere problemet med overregulering 43 Når det gjelder førstnevnte avgrensningsproblem vil dette kunne omgås ved å fastholde at personopplysningsbegrepet kommer til anvendelse kun når biologisk materiale er blitt avsondret fra et menneske f eks når materialet foreligger som prøve i form av blod hår spytt vev m v 3 Nærmere om Europarådets personvernkonvensjon 44 Konvensjonen definerer personal data som any information relating to an identified or identifiable individual artikkel 2 a Begrepene data og information er ikke definert i konvensjonen eller dens Explanatory Report 45 Det finnes ingen antydning i konvensjonen eller dens Explanatory Report om at biologisk materiale kan utgjøre personal data 46 Det finnes heller ingen antydning om slikt i de ulike rekommendasjonene som Europarådet har vedtatt for å utdype reglene i KP innenfor nærmere avgrensede områder 47 I Explanatory Memorandum for rekommendasjonen om beskyttelse av medisinske data finnes en del merknader som implisitt synes å avgrense mot at biologisk materiale som sådan kan være personal data 4 Nærmere om EUs personverndirektiv 48 Heller ikke DP gir et entydig svar på hovedspørsmålet Det samme gjelder for direktivets forarbeider 49 Forarbeidene gjør det imidlertid klart at definisjonen av personal data skulle være as general as possible so as to include all information concerning an identifiable individual Men dette betyr ikke at direktivet godtar personal data som noe som i utgangspunkt ikke engang er data eller information 50 Noen formuleringer brukt i DP artikkel 2 a og i forarbeidene trekker i retning av at biologisk materiale kan anses som data eller information jf avsnitt 25 Det foreligger imidlertid gode rettslige grunner for å ta motsatt standpunkt jf avsnitt 26 Det er videre verdt å merke seg at den øvrige eksemplifiseringen i forarbeidene av hva som kan være personal data tar utgangspunkt i typiske talldata 5 Synspunkter forfektet av myndigheter offentlige utvalg m v i Norge 51 Problemstillingen synes å ha vært lite drøftet i Norge i alle fall i det offentlige Få statlige organer m v har offisielt tatt stilling til spørsmålet Hovedunntak er som kjent Datatilsynet som mener at personidentifiserbart biologisk materiale må betraktes som personopplysninger i henhold til personopplysningsloven Et annet unntak er biobankutvalget som har inntatt samme standpunkt Hovedgrunnen for begges standpunkt er den antatt nære sammenhengen mellom biologisk materiale inkl bestanddeler av slikt materiale og opplysninger som er fremkommet eller kan fremkomme ved analyse av materialet 52 I sin behandling av biobankutvalgets innstilling tar ikke helsedepartementet direkte stilling til spørsmålet Noen steder synes departementet å betrakte biologisk materiale som separat fra opplysninger Enkelte bestemmelser i den foreslåtte biobankloven synes også å legge et slikt skille til grunn Andre steder synes departementet derimot å ta motsatt standpunkt 6 Hva står i andre norske lover m v om forholdet mellom biologisk materiale og opplysninger 53 I tillegg til personopplysningsloven og de internasjonale instrumentene nevnt ovenfor har jeg undersøkt norsk lovgivning som omhandler helsesektoren medisinsk forskning og bioteknologi områder der biologisk materiale er mye brukt Nærmere bestemt har jeg sett på helsepersonelloven bioteknologiloven smittevernloven transplantasjonsloven og helseregisterloven 54 Jeg har ikke funnet noen eksempler i denne lovgivningen som klart legger til grunn at fysisk biologisk materiale kan være person opplysninger Tvert i mot ser det ut til at lovgivningen stort sett opprettholder implisitt hvis ikke eksplisitt et skille mellom slikt materiale på den ene siden og person opplysninger på den andre Noen eksempler på dette er følgende Bioteknologiloven 6 7 Det er forbudt å be om motta besitte eller bruke opplysninger om en annen person som er fremkommet ved genetiske undersøkelser min kursivering Transplantasjonsloven 10 b Organer deler av organer celler og vev som sådan fra mennesker og aborterte fostre bestanddeler av slikt materiale og opplysninger som er fremkommet ved analyse av slikt materiale kan ikke tas ut av landet uten godkjenning fra departementet min kursivering 55 Forarbeidene til smittevernloven påpeker at det kan være en nær sammenheng mellom person opplysninger og biologisk materiale Med de medisinsk tekniske muligheter som foreligger for analyser med henblikk på et stadig voksende antall faktorer knyttet til sykdom eller disponerende tilstander er det viktig å slå fast at den som opplysningene angår skal ha rådigheten over utnyttelsen av potensielle opplysninger som er lagret i det materialet vedkommende har avgitt Denne merknaden kan kanskje tolkes dithen at den ikke erkjenner et skille mellom opplysninger og biologisk materiale men lest nøye går merknaden ikke så langt Selve loven ser heller ikke ut til å rokke ved et slikt skille 56 Når det gjelder helseregisterloven er grunnbegrepet helseopplysning av særlig betydning Begrepet defineres som taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold som kan knyttes til en enkeltperson 2 nr 1 57 Ifølge biobankutvalget gjelder helseregisterloven opplysninger som kan ha sitt opphav i humant biologisk materiale men vil ikke gjelde det biologiske materialet i seg selv Dette standpunktet fremføres til tross for at utvalget ellers mener at personopplysningsbegrepet i personopplysningsloven kan omfatte biologisk materiale 58 Forarbeidene til helseregisterloven tar ikke opp spørsmålet om hvorvidt biologisk materiale som sådan kan være helseopplysninger etter loven Det er likevel ikke til å underslå at den offentlige diskusjonen omkring helseregistre en diskusjon som forarbeider selv tar del i har tatt utgangspunkt i tradisjonelle samlinger av helseopplysninger i arkiv kartotek pasientjournal og lignende ikke i biobanker 59 I en kommentar til loven skriver Engelschiøn m fl noe som muligens antyder at helseopplysningsbegrepet ikke omfatter biologisk materiale Det sentrale er om identifikasjon er mulig og det er derfor uten betydning om opplysningene er lagret elektronisk eller på papir Men referansen til papir utelukker ikke at biologisk materiale kan være en helseopplysning ettersom blodprøver kan lagres på filterpapir 7 Personvernteori og diskurs 60 Teoretiske framstillinger av person opplysnings vern tar heller ikke standpunkt til hovedproblemstillingen Dette gjelder personverndiskurs både i Norge og utlandet 61 Det er særlig viktig å merke seg at utviklingen av den norske interessemodellen om person opplysnings vern en modell som ligger til grunn for lovgivers oppfatning av hva person opplysnings vern dreier seg om aldri har fokusert på muligheten for at biologisk materiale som sådan kunne være personopplysninger i henhold til gjeldende regelverk Fokus har stort sett vært rettet mot elektroniske spor ikke biologiske spor 8 Tilnærmingen i enkelte andre land 8 1 Danmark 62 I likhet med Datatilsynet i Norge mener det danske datatilsynet at humant biologisk materiale inneholder personopplysninger i henhold til den danske persondataloven såfremt materialet kan henføres til enkeltpersoner Tilsynet mener videre at en ikke elektronisk systematisk samling av slikt materiale i en biobank kan anses for omfattet av persondatalovens definisjon av et manuelt register jf 1 stk 2 63 Kommentarer på loven tar imidlertid ikke direkte standpunkt til problemstillingen 64 Professor dr juris Peter Blume en av Danmarks fremste eksperter på området er i tvil om biologisk materiale kan anses som personopplysninger i henhold til persondataloven 8 2 Tyskland 65 Oppfatningen blant tyske datatilsynsmyndigheter synes å være at biologisk materiale kan være personopplysninger i henhold til tysk lovgivning 66 I henhold til den føderale loven om personopplysningsvern Bundesdatenschutzgesetz før den sist ble endret er det imidlertid blitt fremholdt at begrepet Personenbezogene Daten ikke omfatter rene spor inklusive blodspor Begrunnelsen ser ut til å være at slike spor ikke utgjør en representasjon av noe som er ment å formidle informasjon dvs at de ikke utgjør Angaben 67 Det er verdt å merke seg at dette standpunktet fremkommer i den grundigste og mest autoratitive kommentarbok om Bundesdatenschutzgesetz Forfatterne arbeider nå på en ny utgave av boken hvor det skal gjøres rede for de siste endringene til loven som skjedde i mai 2001 Disse endringene synes imidlertid ikke å ha berørt definisjonen av Personenbezogene Daten og lite tyder på at tolkningen av begrepet nå skal være annerledes enn tidligere 8 3 Storbritannia 68 Storbritannias Information Commissioner leder for datatilsynsorganet har ennå ikke inntatt et offisielt standpunkt på problemstillingen Akademiske eksperter jeg har vært i kontakt med per e post har heller ikke tatt stilling til spørsmålet En av dem dr Graeme Laurie synes likevel at det å oppheve skillet mellom biologisk materiale og personopplysninger ville complicate matters enormously not least because those who hold biological samples must bring them within any registration requirements with official authorities 8 4 Australia 69 Den føderale Privacy Commissioner i Australia mener at biologisk materiale ikke kan anses som personal information etter den føderale loven om personopplysningsvern Privacy Act 1988 section 6 Hovedbegrunnelsen er at information ikke er det samme som en informasjonskilde I forhold til genprøver genetic samples påpekes videre at i n the interests of consistent and coherent regulation of information privacy the abuses or misuses of information need to be regulated rather than the sources of information 70 Situasjonen er derimot annerledes i delstaten New South Wales Delstatens lov om personopplysningsvern Privacy and Personal Information Protection Act 1998 definerer personal information til å omfatte such things as an individual s fingerprints retina prints body samples or genetic characteristics section 4 Dr juris Lee A Bygrave Oslo den 22 desember 2002 1 Lov om behandling av personopplysninger av 14 april 2000 nr 31 heretter også pol 2 NOU 1997 19 Ot prp nr 92 1998 1999 Innst O nr 51 1999 2000 3 Jf M Wiik Johansen K B

    Original URL path: http://www.personvernnemnda.no/vedtak/2002_8_vedlegg.htm (2014-09-28)
    Open archived version from archive