archive-no.com » NO » P » PERSONVERNNEMNDA.NO

Total: 189

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".
  • Personvernnemnda
    leder slik SUSS hele tiden har hevdet til at SUSS er underlagt helsepersonelloven og dennes journalføringsforskrift Helsepersonelloven er det rettslige utgangspunkt for bedømmelsen av SUSS behandling av personopplysninger Det beror videre på en feil forståelse av Helsedirektoratets og Helse og omsorgsdepartementets brev samt feil forståelse av helsepersonelloven når Datatilsynet hevder at Helsedirektoratets uttaler at SUSS bare i enkelte tilfeller yter helsehjelp SUSS yter i all hovedsak helsehjelp ved kontakt med SUSS brukere Det avgjørende er at hvilke personopplysninger som lagres etter en slik samtale beror og skal bero på helsepersonalets skjønn etter helsepersonellovens 40 hvor det heter at Journalen skal føres i samsvar med god yrkesskikk og skal inneholde relevante og nødvendige opplysninger om pasienten og helsehjelpen jf også journalforskriften 8 Dersom en bruker dels stiller spørsmål av generell art og dels gir opplysninger om seg selv og får et tilpasset svar basert på opplysninger gitt av denne brukeren ytes det helsehjelp i helsepersonellovens forstand I slike tilfeller har SUSS rett og plikt til å føre journal Det vises i denne sammenheng til SUSS klage til Personvernnemnda punkt 3 1 Som der beskrevet er det praktisk umulig å sondre mellom opplysninger avgitt av brukeren og som ikke er behandlet som en del av helsehjelp og opplysninger avgitt av samme bruker under samme samtale og som er opplysninger som behandles som en del av helsehjelp En slik sondring vil videre være i strid med helsepersonellovens formål Det beror på en gal lovforståelse når Datatilsynet legger til grunn at SUSS ikke har hjemmel til å behandle personopplysninger når SUSS i en samtale som for øvrig er helsehjelp også måtte gi råd og veiledning av generell og uforpliktende karakter Rent faktisk foregår lagringen slik at det ved henvendelser til SUSS på sikker e post og SMS lagres spørsmål og svar Ved telefonhenvendelser lages det et referat av henvendelsen der det angis hovedinnholdet i spørsmål svar og den informasjon som er gitt De opplysninger helsepersonellet hos SUSS etter helsepersonelloven 40 og journalforskriftens 8 etter god yrkesskikk vurderer at skal journalføres skal og må journalføres Hvilke opplysninger det er nødvendig å journalføre beror på en helsefaglig vurdering Datatilsynet er ikke kompetente til å overprøve helsefaglige vurderinger hvilket tilsynet i oversendelsesbrevet til Personvernnemnda synes å være enige i jf Datatilsynets oversendelsesbrev s 6 Det vises til Datatilsynets oversendelsesbrev s 6 vedrørende allmennpraktiserende leger Tilsynet legger her til grunn at allmennpraktiserende leger ikke journalfører generelle råd og veiledning gitt til pasienter Dette stemmer etter SUSS erfaring ikke SUSS viser for det første til at allmennpraktiserende leger journalfører nøyaktig de samme opplysninger som SUSS gjør etter en helsefaglig vurdering med hjemmel i helsepersonelloven og journalforskriften Det er videre SUSS påstand at også allmennpraktiserende leger etter en helsefaglig vurdering i visse tilfeller vil journalføre generelle råd og veiledninger når disse er gitt som en del av en helsekonsultasjon Som det for øvrig fremgår av klagen mener SUSS dette ikke bare er tillatt men også en plikt etter helsepersonelloven Det vises i denne sammenheng til journalforskriften 8 pkt i hvor det fremgår at det skal journalføres Om det er gitt råd og informasjon til pasient og pårørende og hovedinnholdet i dette jf pasientrettighetsloven 3 2 Pasientens eventuelle reservasjon mot å motta informasjon SUSS påstand er at allmennpraktiserende leger ofte gir råd og informasjon i pasientkonsultasjoner og at dette journalføres av legen med grunnlag i reglene om journalføring herunder nevnte regel i journalforskriften 8 pkt i Det vises i denne sammenheng igjen til definisjonen av helsehjelp i helsepersonelloven 3 tredje avsnitt hvor det heter at Med helsehjelp menes enhver handling som har forebyggende diagnostisk behandlende helsebevarende rehabiliterende eller pleie og omsorgsformål og som utføres av helsepersonell Det Datatilsynet kaller generell råd og veiledning vil etter dette for allmennpraktiserende leger være helsehjelp når det eksempelvis ytes råd om kosthold røyking søvnhygiene bivirkninger av aktuelle medisiner osv For SUSS vedkommende vil rådgivning og veiledning være helsehjelp når det gjelder prevensjon eller beskyttelse mot kjønnssykdommer Det bemerkes at det for øvrig er svært sjeldent at SUSS råd til sine brukere ikke er individuelt tilpasset Hva gjelder SUSS lagring av opplysninger vises det også til behovet for og plikten til internkontroll for enheter som driver helsehjelp Det er nødvendig også av internkontrollhensyn å lagre opplysninger slik at SUSS i etterkant kan kontrollere kvaliteten på de svar som gis herunder om de ansattes opptreden og kvalitet er god SUSS viser til at det slik som beskrevet i kommentarutgaven til helsepersonelloven er avgjørende at SUSS helsepersonell gir uttrykk for å være helsepersonell og opptrer som dette overfor SUSS brukere Datatilsynets referanse til helsedirektoratets uttalelser vedrørende apotekansatte endrer ikke på dette Denne er ikke helt treffende ved at apotekansatte hovedsakelig er selgere av legemidler og andre varer og som mer leilighetsvis yter helsehjelp SUSS ansatte er i motsetning helsepersonell hvis oppgave hovedsakelig er å yte helsehjelp Det kan legges til grunn at publikum i mindre grad forventer å motta helsehjelp ved a oppsøke et apotek og at publikum i stor grad forventer å motta helsehjelp ved å kontakte SUSS Publikums oppfattelse er som tidligere beskrevet relevant ved vurderingen av hva som er helsehjelp Avslutningsvis viser SUSS til at både personopplysningsloven helsepersonelloven og helseregisterloven alle skal sikre den enkeltes personvern Det er SUSS påstand at når SUSS fører journal etter helsepersonelloven er personvernet godt ivaretatt ved at regelsettet SUSS følger er strengt 7 2 Vedtakets punkt 2 informasjonsplikt overfor brukerne Så vidt SUSS kan se har Datatilsynet justert sitt krav i vedtakets punkt 2 SUSS forstår Datatilsynet nå slik at tilsynet mener at SUSS tydeligere skal opplyse for eksempel gjennom SUSS nettsider at det samles inn opplysninger om SUSS brukere og at det føres journal SUSS er ikke uenig med Datatilsynet i at slike opplysninger tydelig skal gis Det vises samtidig til www suss no Etter SUSS oppfatning opplyses det tydelig at personopplysninger om den enkelte blir lagret SUSS internettsider har blitt endret etter at Datatilsynet gjennomførte sin kontroll blant annet på bakgrunn av Datatilsynets vurdering SUSS kan samtidig ikke se at det relevante faktum for Personvernnemndas bedømmelse av saken er faktum da kontrollen ble gjennomført Tilsynets vedtak skal lede til at regler om behandling av personopplysninger etterleves SUSS nettsider slik disse ser ut i dag gir tilstrekkelig informasjon til brukerne til at helseregisterloven 23 er oppfylt Følgelig er SUSS virksomhet på dette punkt i tråd med loven 7 3 Vedtakets punkt 3 informere den registrerte om utleveringsplikten til de sentrale helseregistre Når det gjelder vedtakets punkt 3 vises det til SUSS klage punkt 3 3 samt til Datatilsynets vedtak punkt 5 1 3 Datatilsynets vedtak er vanskelig å forstå annerledes enn at Datatilsynet la til grunn for vedtaket at SUSS var å regne som en spesialisthelsetjeneste hvilket SUSS har påklaget fordi dette er et galt premiss som ikke kunne bli stående Datatilsynet synes samtidig nå å ha endret oppfatning ved at det i oversendelsesbrevet til Personvernnemnda presiseres at Datatilsynet ikke har konkludert med at SUSS er en spesialisthelsetjeneste Etter denne avklaring er det ikke lengre nødvendig for SUSS å opprettholde klagen om feil i rettsanvendelse og feil i faktum under vedtakets punkt 3 SUSS har samtidig etterkommet vedtakets punkt 3 ved at SUSS har avklart hvilken plikt SUSS har til å informere den registrerte om utleveringsplikten til de sentrale helseregistre SUSS forstår Datatilsynet slik at Datatilsynet for Personvernnemnda er enige i at vedtakets punkt 3 er etterkommet 7 4 Vedtakets punkt 4 internkontroll Vedrørende vedtakets punkt 4 vises det til det som tidligere er anført i klagen samt i tidligere korrespondansen med Datatilsynet i saken SUSS har her godtgjort at de nødvendige vurderinger er gjort og at de nødvendige tiltak er iverksatt slik at regler om internkontroll er overholdt Hva gjelder internkontroll vises det også til at det er viktig for SUSS internkontroll herunder for oppfølgning av ansatte og kontroll av kvalitet på de svar som er gitt av SUSS at spørsmål og svar er tilgjengelige i etterkant av at disse er gitt 8 Datatilsynets vurdering Datatilsynet vil innledningsvis redegjøre for tilsynets forståelse for deler av helselovgivningen da enkelte av klagers innsigelser viser et avvikende syn I følge klager kommer ikke helseregisterloven til anvendelse siden helsepersonelloven regulerer forholdet Datatilsynet mener at helseregisterloven samt helsepersonelloven ikke utelukker hverandre men vil etter tilsynets vurdering utfylle hverandre Helsepersonell vil etter tilsynets vurdering ikke bare være regulert av en lov ved behandling av personopplysninger men av flere lover og forskrifter avhengig av blant annet hvilken rolle helsepersonellet har hva formålet med behandlingen er og hva slags tjenester som ytes Lovens formål og virkeområde vil således stå sentralt i vurderingen av om den aktuelle loven kommer til anvendelse eller ikke Helsepersonelloven har til formål å bidra til sikkerhet for pasienter og kvalitet i helse og omsorgstjenesten samt tillit til helsepersonell og helse og omsorgstjenesten jf lovens 1 Loven gjelder for helsepersonell og virksomheter som yter helsehjelp i riket jf lovens 2 Helseregisterloven har til formål å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet slik at helsehjelp kan gis på en forsvarlig og effektiv mate Loven skal videre sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn herunder behovet for personlig integritet privatlivets fred og tilstrekkelig kvalitet på helseopplysninger jf lovens 1 Loven gjelder for behandling av helseopplysninger i helseforvaltningen og helsetjenesten som skjer helt eller delvis med elektroniske hjelpemidler for å fremme formålet som beskrevet i 1 og annen behandling av helseopplysninger i helseforvaltningen og helsetjenesten til slike formål når helseopplysningene inngår eller skal inngå i et helseregister jf lovens 3 Datatilsynet oppfatter at SUSS plikter å etterleve de regler som følger av både helsepersonelloven og helseregisterloven ettersom lovene ikke ekskluderer hverandre men utfyller hverandre 8 1 Vedtakets punkt 1 personopplysninger registrert ved SUSS råd og veiledning Etter Helsedirektoratets avklaring fortolkning legger Datatilsynet til grunn at SUSS sin virksomhet er å anse som en helsetjeneste etter helseregisterloven 3 Det er videre ikke tvilsomt at SUSS behandler helseopplysninger for å fremme formål som er beskrevet i helseregisterloven 1 Datatilsynet legger derfor til grunn at SUSS sin virksomhet reguleres etter helseregisterloven jf helseregisterloven 3 nr 1 Etter helseregisterloven 5 kan helseopplysninger bare behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33 helseforskningsloven eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag Det samme gjelder annen behandling av helseopplysninger dersom opplysningene inngår eller skal inngå i et helseregister Helsedirektoratet har i brev av 21 oktober 2011 avklart at SUSS vil være å anse som en helsetjeneste jf pasientrettighetsloven 1 3 og at SUSS i enkelte tilfeller yter helsehjelp Datatilsynet har etter dette lagt til grunn at i de tilfeller SUSS driver helsehjelp vil tjenesten jf avklaringen være utført av helsepersonell jf helsepersonellovens 3 nr 3 jf 3 tredje ledd samt vil være journalpliktig jf helsepersonelloven 39 og 40 SUSS vil i slike tilfeller oppfylle helseregisterloven 5 ved at en slik elektronisk behandling følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag Det er dermed godtgjort at SUSS har et gyldig rettslig grunnlag for å oppbevare de helseopplysningene som er innhentet når de yter helsehjelp Klagers påstand om at tilsynets vedtak vil stride med helsepersonelloven 39 og 40 beror på den forståelsen at generelle råd og veiledning må anses som opplysninger som SUSS er pålagt å føre journal over jf helsepersonelloven 39 og 40 Datatilsynet mener at Helsedirektoratet og HOD sine avklaringer i henholdsvis brev av 21 oktober 2011 og 29 september 2011 legger til grunn at deler av SUSS sin helsetjeneste må anses som helsehjelp Dette gjelder særlig ved foreskrivelse av resepter og henvisninger til spesialisthelsetjenesten Videre vil konkret og handlingsrettet råd og veiledning individuelt tilpasset innringeren og basert på informasjon fra innringer falle innunder begrepet helsehjelp Helsedirektoratet samt HOD tar etter tilsynets vurdering høyde for at SUSS ikke bare yter helsehjelp men også behandler personopplysninger som vil falle utenfor hva som kan karakteriseres som helsehjelp Det vises i den sammenheng til Helsedirektoratets vurdering om at Dette er ofte tilfellet for SUSS telefonen Og når HOD skriver at Deler av tilbudet som gis innringerne er av en slik karakter at dette klart må regnes som utøvelse av helsehjelp Datatilsynets understrekning I tilfeller der SUSS gir råd og veiledning av en mer generell og uforpliktende karakter som ikke er tilpasset den enkelte bruker vil det etter tilsynets vurdering av Helsedirektoratet samt HOD sin avklaring ikke være å anse som helsehjelp etter helsepersonellovens forstand Datatilsynet finner støtte for denne forståelsen i brev datert 31 mars 2011 ref 10 793 fra Helsedirektoratet Det vises til direktoratets brev til HOD vedrørende utkast til endring av journalføringsplikten for apotektilsatte etter helsepersonelloven 39 og 40 5 I brevet skriver direktoratet følgende på side 2 Definisjonen av helsehjelp er relativt vid Helsedirektoratet har tidligere konkludert med følgende rapport av 2008 helsehjelp i apotek Der apotek innfører tjenester som innebærer individrettet oppfølging eller behandlingstilbud vil dette kunne være helsehjelp Slike tjenester må være basert på kunnskap om den aktuelle pasienten Videre må den inneholde en individuell faglig vurdering som er av kvalifisert handlingsrettet karakter Direktoratet er av den oppfatning at veiledning råd og informasjon om bruk av legemidler som gis i forbindelse med ekspedering er helsehjelp i den grad veiledningen og informasjonen er individuelt tilpasset av handlingsrettet karakter og basert på informasjon personen gir ifra seg Dersom rådene som gis er av en mer generell og uforpliktende karakter ikke tilpasset den enkelte person men som for eksempel vil gjelde for en større gruppe mennesker vil ikke dette være helsehjelp etter definisjonen Datatilsynets understrekning Helsedirektoratet samt HOD har fortolkningsansvaret for helsepersonelloven og har på bakgrunn av Datatilsynets henvendelse svart på spørsmålet om SUSS yter helsehjelp Denne nye avklaringen fra kompetent fagorgan må følgelig ha større rettskildemessig betydning enn en setning hentet fra kommentarutgaven til helsepersonelloven fra 2001 Direktoratet og HOD sine avklaringer må således være retningsgivende for SUSS sitt virke Klager anfører at tilsynet har lagt til grunn en gal lovforståelse i strid med relevant fagmyndighets vurderinger Som det fremkommer ovenfor deler ikke tilsynet klagers syn Datatilsynets vurderinger er helt i tråd med relevant fagmyndigheters fortolkning Tilsynet stiller seg uforstående til at en sondring mellom helsehjelp og generelle råd og veiledning ikke er praktisk gjennomførbart siden øvrige helsepersonell i førstelinjen foretar denne distinksjonen daglig Det at skillet kan oppfattes som skjønnsmessig er etter tilsynets vurdering ikke et argument for å anse generelle råd og veiledning som helsehjelp Klager viser til et eksempel om at allmennpraktiserende leger ikke har to journalsystemer på legekontoret for hhv helsehjelp og det andre for generelle råd og veiledning Datatilsynet legger til grunn at allmennpraktiserende leger ikke journalfører de generelle råd og veiledningene de gir sine pasienter og av den grunn ikke har behov for et slikt journalsystem Klager anfører at tilsynet ikke er kompetente til å overprøve den faglige vurderingen som helsepersonell foretar under utøvelsen av helsepersonellfaglige handlinger Datatilsynet deler dette syn men kan ikke se at tilsynets vedtak overprøver helsepersonellfaglige handlinger Datatilsynet har pålagt SUSS å slette eller anonymisere personopplysninger med mindre det kan påvises et gyldig behandlingsgrunnlag Pålegget overprøver ikke helsepersonellfaglige handlinger men håndhever helseregisterloven 5 jf helsepersonellovens 39 og 40 i tråd med Helsedirektoratets samt HODs avklaring Etter avklaringen fra Helsedirektoratet og HOD må det etter tilsynets vurdering fremstå som klart at helsepersonelloven 39 og 40 ikke hjemler en plikt til å føre journal over råd og veiledning som er av generell og uforpliktende karakter 8 2 Vedtakets punkt 2 informasjonsplikt overfor brukerne Klager har anført at Datatilsynet har lagt til grunn galt faktum og en gal regelforståelse for vedtakets pkt 2 SUSS har siden kontrolltidspunktet endret informasjonen på sin hjemmeside Datatilsynet fastholder at kontrollrapporten skal gjenspeile forholdet på kontrolltidspunktet Eventuelle endringer etter dette tidspunkt er ikke relevante for den endelige kontrollrapporten men vil kunne være relevant ved utforming av vedtak Faktum basert på SUSS sin hjemmeside og som er lagt til grunn anses derfor å være korrekt Datatilsynet har lagt til grunn at helseregisterloven kommer til anvendelse og en følge av dette er at informasjonsplikten jf lovens 23 kommer til anvendelse Datatilsynet kan ikke se at klagen pkt 3 2 inneholder noen klare innvendinger mot dette Klager argumenterer med at siden SUSS ikke er en spesialisthelsetjeneste og ikke har en plikt til å utlevere personopplysninger så har man heller ikke plikt til å informere sine brukere etter helseregisterloven 23 Datatilsynet vil her presisere at informasjonsplikten etter helseregisterloven 23 jf vedtakets pkt 2 viser til SUSS sin plikt til å informere brukeren om at det samles inn opplysninger om han eller henne På bakgrunn av hvordan hjemmesiden til SUSS var og til dels er utformet er det tilsynets vurdering at 23 ikke er og ikke har blitt oppfylt Etter tilsynets vurdering skal SUSS av eget tiltak informere om de forhold som er nevnt i helseregisterloven 23 nr 1 til 5 Bruk av begrep som anonym synes ikke å kunne benyttes ettersom dette vil være misvisende overfor brukerne Informasjonen må etter tilsynets vurdering være klar entydig og lettfattelig særlig med tanke på at SUSS målgruppe er ungdom Ut fra den informasjon som ble gitt på hjemmesiden som grunnlag for de henvendelser SUSS mottar er det vanskelig å se at ungdom oppfatter det tilbudet som presenteres som at de går til legen med påfølgende journalføring med mindre dette opplyses eksplisitt 8 3 Vedtakets punkt 3 informere den registrerte om utleveringsplikten til de sentrale helseregistre SUSS anfører under dette punkt at tilsynet har lagt galt faktum og en gal regelforståelse til grunn Anførselen forstås dit hen at SUSS mener at man ikke er en spesialisthelsetjeneste Det er imidlertid noe uklart hvordan anførselen om gal regelforståelse gjør seg gjeldende Etter vedtak pkt 3 ble SUSS bedt om å avklare hvilken plikt de har til å informere den registrerte om utleveringsplikten til de sentrale helseregistre Virksomheten har etter helseregisterloven 17 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i helseregisterloven og regelverk gitt i medhold av denne Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3 Helseregisterloven 17 innebærer en plikt til å gå igjennom hele loven med forskrift og på det grunnlaget vurdere om det er behov

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_10.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    helseopplysninger bare kan behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33 helseforskningsloven eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag Bestemmelsen fastslår altså at helseopplysninger bare kan behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33 eller følger av bestemmelser fastsatt i forskrift etter denne lov 6 til 8 og behandlingen ikke er forbudt ved lov eller annet særskilt rettsgrunnlag Kravet om at behandlingen ikke skal være forbudt ved lov eller annet særskilt rettsgrunnlag synliggjør at annen lov eller annet særskilt rettsgrunnlag kan sette særlige skranker for behandling av helseopplysninger Reseptregisterforskriften setter slike særlige skranker For det første angir forskriften 1 3 de ytre rammene for hvilke formål Reseptregisteret kan benyttes til Forskriften 1 4 forbyr anvendelse av registrerte opplysninger til andre formål enn de som nevnes i 1 3 Dette er et enkeltstående prosjekt med formål om å tilpasse xml formatet for de dataene som mottas fra sykehus og teste den tekniske løsningen Det er ikke vurdert i søknaden eller sannsynliggjort på andre måter for tilsynet at dette er innenfor de formål Reseptregisteret kan benyttes til jf reseptregisterforskriften 1 4 jf 1 3 Videre følger det av reseptregisterforskriften 1 8 hvilke opplysninger som kan inngå i Reseptregisteret Reseptregisteret kan bare inneholde opplysninger som direkte eller indirekte fremkommer av reseptene og rekvisisjonene Det følger også av reseptregisterforskriften 2 1 at apoteker plikter å sende inn opplysninger til Reseptregisteret Etter Datatilsynets vurdering er disse bestemmelsene til hinder for at individopplysninger om legemiddelbehandling av pasienter på sykehus som har innført elektroniske pasientkurver inngår i reseptregisterdatabasen Det vises for øvrig til spørsmålet Datatilsynet har stilt departementet i brev av 16 8 2007 om hvorvidt data fra Reseptregisteret skal kunne sammenstilles med andre data enn de som er nevnt i 5 3 første ledd Det kan synes som om departementet forutsetningsvis gjennom sitt vedtak vurderer at Reseptregisteret kan sammenstilles med andre registre enn de som er nevnt i bestemmelsens første ledd Reseptregisterforskriften 5 3 første ledd inneholder også krav om at sammenstillingen av opplysninger må utføres slik at enkeltpersoner ikke kan gjenkjennes ved hjelp av de sammenstilte opplysningene Datatilsynet har ikke vurdert hvorvidt dette kravet også er til hinder for omsøkt behandling av opplysninger i prosjektet etter reseptregisterforskriften 5 3 annet ledd Når det gjelder departementets vurdering anser ikke departementet reseptregisterforskriften for å være til hinder for gjennomføringen av det omsøkte prosjektet Tilsynet deler ikke departementets vurdering Helseregisterloven 2 nr 6 definerer helseregistre som registre fortegnelser mv der helseopplysninger er lagret systematisk slik at opplysningene om den enkelte kan finnes igjen Reseptregisteret er et sentralt pseudonymt helseregister opprettet med hjemmel i helseregisterloven 8 På samme måte som personopplysningsloven 2 nr 3 oppstiller helseregisterloven 2 nr 6 to krav for at et sted eller en lagrings eller bruksmåte skal utgjøre et register Opplysningene må lagres systematisk og enkeltindividet må kunne finnes igjen i registeret Det er også viktig å fremheve at dersom den enkelte kan identifiseres spiller det ingen rolle om opplysningene er lagret i en personidentifiserbar form i avidentifisert form eller pseudonym form Det vises også til merknadene til bestemmelsen i Ot prp m 5 1998 2000 om lov om helseregistre og behandling av helseopplysninger Det er vist til følgende uttalelser der Registerbegrepet i loven er et logisk begrep Registerbegrepet er ikke en datateknisk definisjon Et helseregister kan gjerne bestå av flere datafiler og kan fysisk føres flere steder På den annen side er det slik at en samling opplysninger som er lagret på en datafil ikke nødvendigvis utgjør et helseregister Avgjørende for om en samling opplysninger kan sies å være et helseregister er om det er en logisk sammenheng mellom opplysningene grunnlaget for å registrere opplysningene og formålet med behandlingen av dem Datatilsynet viser også til Rt 1991 side 616 Der uttalte Høyesterett følgende om begrepet personregister Det avgjørende for at en samling personopplysninger utgjør et personregister er at opplysningene er lagret systematisk på en slik måte at man kan gå inn i registeret og finne igjen opplysninger om den enkelte person Slik Datatilsynet leser lovforarbeidene til begrepet helseregister er det i hovedsak vurderingstemaet for når en samling opplysninger kan sies å være et helseregister som beskrives Det kan synes som om departementet mener at helseopplysninger fra det omsøkte prosjektet samlet sett ikke vil utgjøre et midlertidig helseregister Datatilsynet finner det lite tvilsomt at det omsøkte prosjektet i seg selv utgjør et helseregister Det pekes spesielt på at opplysningene blir lagret systematisk slik at man kan finne igjen opplysninger om de registrerte Datatilsynet mener også at det omsøkte prosjektet vil innebære en midlertidig utvidelse av Reseptregisteret Datatilsynet mener det avgjørende moment i denne vurderingen er at opplysningene skal inngå i Reseptregisterets database Datatilsynet peker videre på at innsamling pseudonymisering og mottak av helseopplysninger skal skje på samme måte som for de helseopplysningene som lagres permanent i Reseptregisteret Datatilsynet legger også vekt på at helseregisterloven tar sikte på å styrke hjemmelsgrunnlaget for behandling av helseopplysninger i store landsomfattende helseregistre Datatilsynet mener en slik styrking av hjemmelsgrunnlag taler imot at reseptregisterdatabasen kan suppleres med helseopplysninger basert på andre hjemmelsgrunnlag Datatilsynet mener det er lojalt å tolke loven slik at også i tilfeller hvor det er tvil om tilsynet har kompetanse til å gi en konsesjon bør tillegges betydelig vekt at helseregisterlovens formål er angitt å være sikring av blant annet kvalitet styring og planlegging gjennom styrking av hjemmelsgrunnlaget Det vil etter Datatilsynets mening også ha en negativ konsekvens ved at man unndrar midlertidige utvidelser av sentrale helseregistre fra den kontroll og politiske vurderinger som helseregisterloven har til hensikt å sikre I tillegg vil det kunne skape en praksis hvor man tøyer Datatilsynets konsesjonskompetanse Det pekes på at en utvidelse av Reseptregisteret vil være underlagt en ordinær høring Denne høringen vil danne utgangspunkt for om Reseptregisteret skal utvides Datatilsynet peker også på at riktig rekkefølge bør være å avklare om Reseptregisteret skal utvides før man tester en teknisk løsning for å legge til rette for en slik utvidelse Dersom Personvernnemnda kommer til at reseptregisterforskriften ikke er

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_09.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    opplyst om klageadgang til Personvernnemnda I brev av 2 4 2012 ble Datatilsynets avgjørelse påklaget Saken ble oversendt Personvernnemnda 12 4 2012 som mottok saken 19 4 2012 Klager ble orientert om dette i brev fra nemnda datert 20 4 2012 med frist til uttalelse innen 9 5 2012 Klager uttalte seg innen fristen i brev av 30 4 2012 3 Faktum Klager fikk diagnosen sterk dysleksi i 1993 Klager har ikke mottatt tilfredsstillende grunnskoleopplæring fra kommunen som han har krav på Han har mottatt billighetserstatning fra staten på grunn av dette Han ønsker nå at dokumenter i kommunens arkiv skal slettes Dokumentene er i hovedsak saksbehandling i forbindelse med voksenopplæringstilbud Det er søknader om opplæring og utgiftsdekning kommunens svar og klagebehandling 4 Klagers anførsler Klager har anført at dokumentene oppleves som svært belastende for ham Det dreier seg om søknader fra klager og avslag fra kommunen som oppleves svært krenkende for klager Klager anfører at dokumentene er krenkende og til stor belastning for de som skal hjelpe ham for eksempel PPT Dessuten argumenterer klager med at kommunen ikke har et behov for å oppbevare dokumentene videre Dokumentene er søknader fra klager om å få norskundervisning og avslag fra kommunen og fylket i perioden 1994 til 2000 5 Datatilsynets vurdering Datatilsynet påpeker at utgangspunktet etter personopplysningsloven er at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen jf 28 Hvis ikke personopplysninger deretter skal oppbevares i henhold til arkivloven eller annen lovgivning skal de slettes Etter personopplysningsloven 27 første ledd skal den behandlingsansvarlige rette mangelfulle opplysninger dersom det er behandlet personopplysninger som er uriktige ufullstendige eller som det ikke er adgang til å behandle Det følger av personopplysningsloven 28 tredje ledd at den registrerte kan kreve at opplysninger som er sterkt belastende for ham eller henne skal sperres eller slettes dersom dette ikke strider mot annen lov og er forsvarlig ut fra en samlet vurdering av blant annet andres behov for dokumentasjon hensynet til den registrerte og de ressurser gjennomføringen av kravet forutsetter Datatilsynet kan etter at Riksarkivaren er hørt treffe vedtak om at retten til sletting går foran reglene i arkivloven 9 og 18 Datatilsynet har forståelse for at saken er vanskelig og at dokumentene som oppbevares føles belastende for klager Vilkårene for å kreve sletting av opplysninger i personopplysningsloven 28 tredje ledd er imidlertid strenge og terskelen for pålegg om sletting er høy I brev av 9 3 2012 skrev kommunen at dokumentene er viktig forvaltningsmessig dokumentasjon som beskriver hvilken saksbehandling som har vært gjort Kommunen skrev videre at det er viktig for kommunen å oppbevare dokumentasjonen i tilfelle saken tas opp på et senere tidspunkt samt for å vurdere krav på undervisning Avslutningsvis vises det til at man ikke kan se at dokumentene har et innhold som skulle være belastende objektivt sett Dokumentene er unntatt offentlighet og tilgangen er begrenset Det følger av forarbeidene til loven at begrepet sterkt belastende som utgangspunkt skal vurderes objektivt Det må spørres

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_08.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    formål Ettersom all behandling av personopplysninger hos kredittopplysningsbyråene gjelder kredittvurdering de har etter konsesjonen ikke anledning til å behandle personopplysninger for noe annet formål kan klager ikke se at det her kan dreie seg om anvendelse til nytt formål langt mindre et formål som er uforenlig med det opprinnelige formålet Datatilsynet henviser videre kort til Justisdepartementets tidligere avgjørelse men har ikke drøftet noen av kredittopplysningsbyråenes synspunkter på hvorfor denne avgjørelsen ikke lenger bør opprettholdes eller de øvrige forhold som er anført av byråene i søknaden Datatilsynet synes ikke å ha gjort noen selvstendig vurdering av spørsmålet Hvis Personvernnemnda mot formodning skulle komme til at det dreier seg om et nytt formål og at dette er uforenlig med det opprinnelige formålet og således i praksis til hinder for den omsøkte utvidelse søkes det om adgang til for fremtiden å registrere opplysninger om nye forespørsler også for bruk i kredittvurderingen for den periode som er relevant 4 5 Bruk av adressehistorikk i kredittvurderingen Bruk av adressehistorikk ble behandlet av Personvernnemnda i sak PVN 2008 04 Spørsmålet den gangen var hvilke behandlinger som var dekket av ordlyden i den dagjeldende konsesjonen I forlengelsen av denne avgjørelsen søkte kredittopplysningsbyråene om utvidelse av konsesjon til også å omfatte bruk av adressehistorikk i kredittvurderingen Datatilsynet har innvilget søknaden om registrering og behandling av opplysninger om tidligere adresse for to av de tre bruksområder som er beskrevet i søknaden Datatilsynet har imidlertid avslått søknaden om bruk av tidligere adresse som parameter i kredittvurderingen Datatilsynet har avvist dette under henvisning til Personvernnemndas avgjørelse Dette utgjør imidlertid verken noe grunnlag for eller noen begrunnelse for å avslå søknaden ettersom Personvernnemnda kun konstaterte at behandlingen ikke var forenlig med ordlyden i den daværende konsesjonen Datatilsynet synes ikke å ha gjort noen selvstendig vurdering av spørsmålet i alle fall finnes det ikke spor av dette i begrunnelsen for vedtaket Dette tilsier at vedtaket i prinsippet bør hjemvises til ny behandling I lys av den lange tid som har gått siden søknaden ble sendt vil klager likevel be om at Personvernnemnda realitetsbehandler klagen Personvernnemnda pekte den gang på at en søknad om utvidelse ville være gjenstand for selvstendig klagebehandling Datatilsynet har åpenbart oversett dette når de avgjør søknaden under henvisning til Personvernnemndas forrige avgjørelse Spørsmålet om bruk av opplysninger om tidligere adresser i kredittvurderingen som var til behandling i PVN 2008 04 var basert på en tolkning av begrepet kontaktopplysning i den daværende konsesjonen og nemnda kom til at formuleringen ikke ga adgang til å registrere tidligere adresse En eventuell søknad om utvidelse av konsesjonen ville være gjenstand for ny selvstendig klagebehandling Kredittopplysningsbyråene mener at tilsynet ikke har adgang til å avslå søknaden Det vises til personopplysningsloven 34 og 35 Videre er vedtaket beheftet med saksbehandlingsfeil Datatilsynet har ikke redegjort for hvorledes de ovennevnte bestemmelsene skal forstås eller drøftet om betingelsene er oppfylt Datatilsynet har heller ikke drøftet de faktiske forhold og de hensyn som er anført av kredittopplysningsbyråene Det er ikke mulig ut fra den knappe begrunnelsen på angjeldende punkt i vedtaket å se hvilket rettslig og faktisk grunnlag Datatilsynet bygger sin avgjørelse på eller om det er foretatt en forsvarlig vurdering 4 6 Oppsummering Datatilsynet har på denne bakgrunn ikke grunnlag i personopplysningsloven for å nekte behandling av de opplysningstyper det er søkt om utvidelse for Det fremgår ikke av begrunnelsen om de har vurdert hvorvidt vilkårene for å nekte konsesjon er oppfylt eller noe forsøk på å begrunne dette Skulle man komme til at vilkåret for å nekte behandling er oppfylt skulle det ha vært vurdert om ulempene kunne avbøtes ved å stille vilkår i konsesjonen og det skulle vært vurdert om ulempene blir oppveid av fordelene med behandlingen Dette er ikke gjort Klager ber om at klagen realitetsbehandles slik at Personvernnemnda tar stilling til om vilkårene for å gi konsesjon for behandling av de fire aktuelle opplysningstypene er oppfylt og i den utstrekning det er mulig om det eventuelt skal stilles vilkår for behandlingen 5 Datatilsynets vurdering NKF har gjennom skriftlige innspill samt konkrete søknader kommet med flere endringsforslag til konsesjonen Datatilsynet har etterkommet en rekke av NKFs innspill Etter gjennomgangen gjenstår fire punkter som Datatilsynet ikke har funnet grunnlag for å imøtekomme Samtlige punkter vil innebære en utvidelse av dagens konsesjon Datatilsynet vil innledningsvis bemerke at vilkårene i personopplysningsloven 34 og 35 legger opp til en interesseavveining mellom behovet for behandlingen av opplysninger holdt opp mot personvernkrenkelsen hvor det skal vurderes konkret om de generelle reglene for behandling av personopplysninger samt om eventuelle vilkår i konsesjon kan avhjelpe personvernulempen Det spesielle med kredittopplysningsvirksomhet er at det nesten ikke er grenser for hvilke opplysninger som kan anses relevant for behandlingen Det faktum at det kan konstateres en sammenheng mellom en gitt betingelse og betalingsevne eller vilje gjør at opplysningen objektivt sett er relevant Etter tilsynets vurdering må det like fullt trekkes grenser for hvilke opplysningstyper kredittopplysningsvirksomheter skal ha adgang til å registrere samt bruke som parameter i en kredittvurdering Tilsynet vil det følgende komme med en begrunnelse for avslag på omsøkte utvidelser 5 1 Registrering av hjemmelshaver til fast eiendom NKF har søkt om anledning til å registrere opplysning om at en person er registrert som hjemmelshaver til fast eiendom Det vises til at det er ønskelig å registrere at den registrerte er eier av fast eiendom Det er ikke påkrevet med informasjon om eiendommen formuesverdi eller lignende men selve opplysningen om at man faktisk er registrert som hjemmelshaver til fast eiendom som en ja nei opplysning vil i seg selv ha positiv betydning for den registrerte Datatilsynet legger til grunn at en eventuell registrering av hvem som er hjemmelshaver for fast eiendom vil medføre positive konsekvenser for disse personene og nødvendigvis en tilsvarende negativ konsekvens for øvrige Tilsynet kan ikke se behovet for å registrere denne opplysningstypen og vil ikke endre konsesjonen på dette punkt 5 2 Utvidet lagring av betalte fakturaer Kredittopplysningsbyråene kan i henhold til konsesjonen registrere informasjon om betalte fakturaer Rammene for dette er nærmere beskrevet i merknadene til punkt 1 1 3 2 hvor det står at Den enkelte faktura skal ikke presenteres Opplysninger om betalte fakturaer skal presenteres som statistikk og kan gi informasjon om punktlig betaling og informasjon om betaling hvor betalingsfristen er oversittet Betaling før forfall kan ikke registreres For at slike opplysninger skal kunne bearbeides og fremlegges som kredittopplysninger må minst to kreditorer ha meldt inn slike opplysninger om den registrerte og det må til sammen være rapportert inn opplysninger om minst ti betalte fakturaer i løpet av de siste tolv månedene Informasjon om fakturaer kan ikke omfatte fakturaer som ikke er betalt i rett tid dersom dette skyldes motregning omtvistede poster krediterte eller på annen måte annullerte poster tapsførte poster eller annet som gjør at fakturaen ikke er godtatt Slike opplysninger kan ikke registreres om enkeltpersonforetak som ikke er registrert i foretaksregisteret Det fremgår blant annet at det ikke kan registreres opplysninger om betaling før forfall NKF har fremmet forslag til endring av disse rammene NKF anfører at det i alle fall bør være anledning til å registrere fakturaer betalt per forfallsdato Denne type opplysninger kan ikke ha annet enn positiv betydning for den registrerte og bidrar til å vise forholdet mellom rettidig betalte og for sent betalte fakturaer hvilket gir et mer balansert bilde enn bare opplysninger om for sent betalte fakturaer uten opplysninger om helhetsbildet Videre ville det etter de samme retningslinjer som er angitt for fakturahistorikk ellers være relevant å kunne registrere opplysninger om fakturaer som er forfalt men ikke betalt for senere å oppdatere med dato for faktisk betaling som man har anledning til å registrere etter denne bestemmelsen i dag Etter Datatilsynets vurdering skal det være snevre rammer for å registrere denne type opplysninger Det er strenge regler for på hvilke vilkår og på hvilket tidspunkt betalingsmislighold kan registreres og en utvidelse på dette punktet kan medføre en uthuling av dette vernet Tilsynet har videre vanskeligheter med å se at registrering av fakturaer betalt per forfallsdato utelukkende vil medføre positive konsekvenser for den registrerte da mangelfull betaling per forfallsdato etter alt å dømme vil slå negativt ut for den enkelte Tilsynet bemerker for øvrig at det følger direkte av personopplysningsforskriften 4 1 at personopplysningsloven gjelder for behandling av personopplysninger i kredittopplysningsvirksomhet også for behandling av kredittopplysninger om andre enn enkeltpersoner 5 3 Registrering av opplysninger om tidligere forespørsler NKF har søkt om å utvide konsesjonen med adgang til å benytte opplysninger om tidligere forespørsler Det vises til at kredittopplysningsbyråene mener at tidligere forespørsler om kredittopplysninger vil bidra til ytterligere å styrke treffsikkerheten i kredittvurderingene Videre argumenteres det med at erfaringer fra andre land herunder Storbritannia og Sverige viser at dette er en av de sterkeste variablene noe som underbygges med tall og praksis fra de respektive land i brev av 3 3 2011 Datatilsynet erkjenner at en slik opplysning vil kunne være egnet til å belyse kredittverdighet og at opplysningen av denne grunn kan klassifiseres som en relevant opplysning jf personopplysningsloven 11 bokstav d Formålet med å foreta en kredittvurdering er å gi et øyeblikksbilde av kredittverdigheten til en person som kun kan foretas når det foreligger saklig behov typisk ved avtaleinngåelse Når formålet er oppfylt skal opplysningene slettes jf personopplysningsloven 28 Det følger av personopplysningsforskriften 4 4 at i tillegg til gjenpartsplikten kan den registrerte også kreve å få opplyst hvilke kredittopplysninger som er gitt om vedkommende de siste seks måneder hvem disse er gitt til og hvor de er innhentet fra En eventuell lagring av opplysningen til et nytt formål som anses uforenlig med det opprinnelige formålet krever et samtykke fra den registrerte jf personopplysningsloven 11 bokstav c Datatilsynet er av den oppfatning at en eventuell bruk av tidligere kredittvurderinger som en parameter i kredittvurderingen vil være et nytt formål som krever behandlingsgrunnlag i personopplysningsloven 8 jf 11 Det vises for øvrig til brev fra Justisdepartementet av 28 8 1991 hvor det er lagt til grunn at det ikke er anledning til å utgi opplysninger om antall forespørsler i kredittopplysningsvirksomhet Det legges til grunn at Selv om den anførte statistiske undersøkelse viser at hyppige søknader om lån eller kreditt kan være et tegn på svak betalingsevne finner departementet det lite betryggende å benytte en slik statistisk tendens som kriterium i en konkret vurdering av enkelttilfeller Datatilsynet tolker dette vedtaket dit hen at denne type opplysninger heller ikke kan benyttes som underlagsopplysning ved beregning av scoring eller risikoprofiler 5 4 Bruk av opplysninger om tidligere adresser i kredittvurderingen NKF har søkt om adgang til å benytte opplysninger om tidligere adresser i kredittvurderingen Etter tidligere konsesjon har det vært adgang til å registrere opplysninger om navn firmanavn og kontaktopplysninger Datatilsynet mottok en klage på at et kredittopplysningsforetak benyttet historiske adresser som variabel i kredittvurderingen jf DT 06 01787 Tilsynet konkluderte med at kredittopplysningskonsesjonen ikke tillater registrering av tidligere adresser eller navn NKF opplyste at tidligere adresser benyttes til tre formål For å etablere unike treff ved enkeltoppslag i kredittopplysningsdatabasen Ved ajourføring av inkassobyråenes porteføljer Som en eller flere variabler i forbindelse med en kredittvurdering Datatilsynet aksepterte formål nummer 1 og 2 men ikke formål nummer 3 og saken ble påklaget til Personvernnemnda Merknadene til kredittopplysningskonsesjonen punkt 11 1 nr 1 og 2 er endret i tråd med Personvernnemndas avgjørelse jf PVN 2008 04 og tilsynets saksbehandling i sak DT 06 01787 Tidligere og nåværende adresser kan ikke benyttes som ledd i kredittvurderingen herunder i risikoklassifiseringen Dette gjelder også antall ganger en person eller næringsdrivende har flyttet Den samme begrensningen gjelder for navn Det vises til PVN 2008 04 hvor Personvernnemnda uttaler at når adresse er klassifisert under kontaktopplysninger så må dette bety at det bare er nåværende adresse som er en korrekt og relevant opplysning Etter nemndas syn er det en rimelig tolkning av konsesjonen at adresse bare skal brukes til kontakt ikke som variabel i kredittvurdering Konsekvensen av dette er at adresseopplysninger skal oppdateres med en gang de endres jf personopplysningsloven 11 bokstav e og 28 Som kilde kan kredittopplysningsforetaket bruke Folkeregisteret jf konsesjonens pkt 1 2 nr 6 Personopplysninger skal være korrekte og oppdaterte og når formålet for lagring av adresse er kontakt finnes det etter nemndas syn ingen hjemmel verken i nåværende konsesjon eller loven for å lagre gamle adresser Tidligere adresser og navn kan imidlertid lagres i fire år i henhold til slettefristen i konsesjonens punkt 6 1 og benyttes for å etablere unike treff ved enkeltoppslag i kredittopplysningsdatabasen Det samme gjelder i forbindelse med ajourføring av inkassobyråenes porteføljer Slik bruk av historiske adresser er bare aktuelt der den som foretar en kredittvurdering ikke har adgang til å benytte fødselsnummer ved søk i kredittopplysningsdatabasen jf personopplysningsloven 12 Det er gjort enkelte endringer knyttet til dette punktet i ny konsesjon uten at disse er ment å medføre realitetsendringer 6 Personvernnemndas merknader Arve Føyen fratrådte behandlingen av denne saken fordi han er inhabil Varamedlem for Føyen Ingvild Hanssen Bauer er også inhabil i saken Personvernnemnda behandlet saken med seks medlemmer Personvernnemnda skal vurdere klagens fire punkter henholdsvis bruk av adressehistorikk og tidligere forespørsler som parameter i kredittvurderingen samt registrering av eierskap til fast eiendom og fakturaer betalt før og på forfall Det klages over den nye standardkonsesjonen for kredittopplysningsvirksomhet som trådte i kraft 1 4 2012 fordi fire punkter som klager ønsket inn i konsesjonen ikke ble tatt med Klager viser til at dette er data som bør være omfattet av konsesjonen fordi det er relevant og kan ha en statistisk sammenheng og således bidrar til en mer presis kredittvurdering Datatilsynet har på sin side uttalt at det er grenser for hvor komplett bildet skal være og at Datatilsynet må trekke en grense et sted Datatilsynet har gitt ny standardkonsesjon og satt de vilkår etter personopplysningsloven 35 som etter Datatilsynets skjønn er nødvendige Personvernnemnda skal vurdere adgangen til å nekte konsesjon og eller sette vilkår bruk av opplysninger om betalte fakturaer bruk av opplysninger om tidligere forespørsler bruk av adressehistorikk i kredittvurderingen registrering av hjemmelshaver til fast eiendom 6 1 Nekte konsesjon eller sette vilkår Kredittopplysningsvirksomhet krever konsesjon fra Datatilsynet Det gjelder også virksomhetsopplysninger jf personopplysningsforskriften 4 5 Ved avgjørelsen av om konsesjon skal gis gjelder personopplysningsloven 34 og 35 Etter 34 skal det klarlegges om behandlingen av personopplysninger kan volde ulemper for den enkelte som ikke avhjelpes gjennom vilkår etter 35 I så fall må det vurderes om ulempene blir oppveid av hensyn som taler for behandlingen Etter 35 skal det vurderes å sette vilkår for behandlingen når slike vilkår er nødvendige for å begrense ulempene behandlingen ellers ville medføre for den registrerte I NOU 1997 19 ble følgende bestemmelse foreslått tatt inn som 35 annet ledd I vurderingen av om det er nødvendig å sette vilkår etter første ledd bør det bl a tas i betraktning om 1 det er lagt til rette for at de registrerte kan gjøre nytte av rettighetene etter loven herunder om de vil bli gitt tilstrekkelig informasjon om sine rettigheter og mulighetene til å gjøre nytte av dem 2 personopplysningene vil bli tilstrekkelig korrekte dekkende og ajourførte i forhold til formålet med behandlingen jf 7 3 personopplysningene vil bli behandlet med den diskresjon som regler om taushetsplikt og formålet med behandlingen gjør nødvendig 4 det er planlagt informasjons og veiledningstiltak som står i et rimelig forhold til kontrolltiltak 5 det er etablert tilstrekkelig sikkerhet i forhold til formålene med behandlingen av personopplysninger I Ot prp nr 92 1998 99 s 130 er innholdet av dette forslaget til bestemmelse anerkjent som relevant men regnet som overflødig å ta inn i lovteksten Videre uttales det at Som ledd i vurderingen av om det skal gis konsesjon må det først klarlegges om personopplysningsbehandlingen vil volde problemer for den enkelte og om problemene eventuelt avhjelpes ved lovens regler for behandlingen Hvis behandlingen ikke volder problemer for den enkelte vil det som regel ikke være aktuelt å nekte konsesjon Dersom lovens materielle regler ikke gir et fullgodt personvern kan det fastsettes supplerende mer detaljerte eller strengere regler for hvordan behandlingen kan skje enten i form av konsesjonsvilkår i henhold til 35 i lovforslaget eller dersom det dreier seg om en homogen gruppe behandlingsansvarlige typisk en bransje i form av forskrifter med hjemmel i 33 siste ledd Til slutt må det vurderes om behandlingen slik den vil være regulert gjennom lov og konsesjonsvilkår eller forskrifter fremdeles vil volde ulemper for den enkelte og i så fall om fordelene ved behandlingen oppveier disse ulempene På samme måte som i dag vil en rekke ulike typer interesser økonomiske såvel som ideelle måtte veies mot hverandre Bestemmelsen 35 medfører en plikt til å vurdere å sette vilkår som trengs til å begrense ulempene men innebærer ikke noen plikt til å fastsette slike vilkår Om det skal gjøres vil bero på en avveining av den type som nevnt i 34 At plikten til å vurdere vilkår er overholdt selv om det ikke blir satt må normalt vises gjennom begrunnelsen for konsesjonsvedtaket jf fvl 25 Dersom vilkår etter Datatilsynets skjønn ikke avhjelper ulempene kan Datatilsynet nekte konsesjon Personvernnemnda kan overprøve Datatilsynets skjønn Personverninteressen gjør seg ikke gjeldende med like stor tyngde for juridiske personer som for fysiske personer Klager har anført at Datatilsynet ikke har vurdert ulemper og vilkår for hvert punkt Nemnda er enig med klager i at Datatilsynet skal vurdere ulemper og deretter vurdere om vilkår kan oppveie ulempene og at dette skal foretas for hvert punkt Datatilsynet har imidlertid uttalt at en grense må settes et sted og Personvernnemnda tolker utsagnet dithen at det i dette implisitt ligger at Datatilsynet har vurdert det slik at det vil medføre ulemper og at vilkår ikke vil kunne avhjelpe disse ulempene Personvernnemnda vil likevel påpeke at det er uheldig at denne vurderingen ikke er gjort eksplisitt og at det var ønskelig om denne vurderingen hadde vært uttrykt klarere fra Datatilsynets side 6 2 Hjemmelshaver fast eiendom Som parameter i kredittvurderingen ønsker klager å benytte informasjon om hvorvidt personen som kredittvurderes har hjemmel til fast eiendom Klager anfører at informasjonen vil bli innhentet fra offentlige registre og oppdatert derfra Det er således tale om bruk av

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_07.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    nå overfor både nemnda og FAD fremsetter påstander om nåværende direktørs rolle som tilsynet må vite er ukorrekt Klager viser til den foreløpige kontrollrapportens punkt 5 1 1 3 I Datatilsynets kontroll av virksomheten i 2008 ble adm dir pålagt å demontere kameraene i resepsjonsområdet saksnr 08 00450 8 Datatilsynets kontroll avdekket at adm dir ikke har fulgt opp dette pålegget Datatilsynet ser alvorlig på at adm dir ikke har etterkommet pålegg fra Datatilsynet Det må ses i skjerpende retning at adm dir har behandlet personopplysninger i strid med regelverket når han tidligere har fått pålegg om at kameraovervåkingen skal opphøre jf tilsynets kontroll i 2008 Klager anfører at det er bekymringsfullt at tilsynet ikke forstår at dette vanskelig kan oppfattes på annen måte enn som massiv kritikk mot privatperson og at tilsynets påstander i riksdekkende media om at denne personen er lovbryter bidrar til å forsterke dette Klager anfører at en rekke forhold som tilsynet kritiserer i den foreløpige kontrollrapporten er udokumenterte spekulasjoner fra tilsynets side Man har eksempelvis ikke konstatert at virksomheten på noe tidspunkt har behandlet e post eller trafikkdata i strid med reguleringene Dette skaper klart et problem i forhold til de følgende påstander som tilsynet har fremsatt i riksdekkende media Vi ser her en detaljert og omfattende overvåkning av de ansatte Det ser ut til at nærmest alt teknologien tillater å gjøre av registrering overvåkning og kontroll er tatt i bruk Det er på ingen måte hverdagskost at vi finner så omfattende kontroll og overvåkning i ett selskap Vi har funnet mange forhold som for seg selv er ganske alvorlige og grove Dette er et spesielt tilfelle med den omfattende registreringen og lagringen av personopplysninger i mange sammenhenger Vi har sjelden funnet så mange ulike forhold å sette fingeren på og ser på dette som en alvorlig sak Vi fant veldig mye med bredde og dybde så i sum må vi karakterisere dette som alvorlige brudd på personvernlovgivningen Klager opplever det som problematisk at tilsynet allerede har gått svært høyt på banen og nå synes å lete etter andre begrunnelser for å forsvare dette Klagers selskap og klager som privatperson har rettigheter som må ivaretas også mot det som i sammenhengen kan oppfattes som maktovergrep og eller myndighetsmisbruk Pålegget om at Teletopia Gruppen AS skal redegjøre for hva selskapet legger i ordet teleoperatør og at selskapet skal redegjøre i detalj for teletjenester selskapet produserer m v er grunnløst Tilsynet benytter selv ordet teleoperatør om tilbydere av offentlig telefontjeneste og tilsynet er godt kjent med at Teletopia leverer slike tjenester og har levert slike uavbrutt siden selskapet ble etablert i 1994 Noen ytterligere oppklaring kan ikke være påkrevd Klager ber derfor om at Personvernnemnda vurderer om den gjentatte navngivning av direktøren i kritikken som fremsettes i den foreløpige kontrollrapporten og før han har fått anledning til å ta til motmæle forsvare seg og eller å rette opp eventuelle feil kan ansees å være slike personopplysninger som formålet bak gjeldende norsk og eller internasjonalt regelverk er ment å beskytte Personvernnemnda opphever det påklagede pålegget mot Teletopia Gruppen AS Bakgrunnen er at fire av de fem forhold som tilsynet i pålegg har krevd at Teletopia Gruppen AS skal opplyse ble avklart allerede under kontrollbesøket og at tilsynet er godt kjent med at Teletopia er teleoperatør Et pålegg om å skulle gjenta allerede overlevert informasjon opplyser ikke saken ytterligere Sett i sammenheng med feilaktige påstander i den foreløpige kontrollrapporten og beskyldninger tilsynet allerede har fremsatt i riksdekkende media opplever klager dette å være belastende I sin redegjørelse til nemnda oppgir tilsynet at kravet mot Teletopia Gruppen AS er fremsatt for at tilsynet skal kunne avklare forhold i Servicebyrået AS som er en annen juridisk person enn det selskapet opplysningskravet er rettet imot Tilsynets redegjørelse til nemnda må sees som en utdypning av og derfor del av tilsynets pålegg mot Teletopia Gruppen AS Når tilsynets behov for opplysninger rent faktisk skal oppklare forhold i Servicebyrået AS må pålegget rettes mot dette selskapet Sett i forhold til den nå oppgitte begrunnelsen for pålegget mot Teletopia Gruppen AS må pålegget i sin helhet ansees å være ugyldig For øvrig ber klager Personvernnemnda om slik veiledning som forvaltningsloven 11 beskriver særlig litra b siste setning regler for saksbehandlingen særlig om parters rettigheter og plikter etter forvaltningsloven Om mulig bør forvaltningsorganet også peke på omstendigheter som i det konkrete tilfellet særlig kan få betydning for resultatet slik at klager på best mulig måte kan ivareta sitt tarv 5 Datatilsynets vurdering Under kontrollen hos Teletopia Gruppen fikk Datatilsynet kopi av en standard arbeidsavtale mellom en ansatt og Servicebyrået AS som er Teletopias søsterselskap der de fleste i konsernet formelt sett er ansatt I avtalens punkt 16 reguleres arbeidstakers bruk av elektronisk kommunikasjon og elektroniske hjelpemidler Der heter det at I egenskap av å være teleoperatør lagrer bedriften informasjon om telefonnummer det ringes til og telefonnummer det ringes fra til både fasttelefon og mobiltelefon som eventuelt disponeres av Arbeidstakeren Arbeidstakeren er oppmerksom på at slik informasjon er åpen og tilgjengelig for både ledelse og teknikere i bedriften Administrerende direktør opplyste under kontrollen at Teletopia Gruppen ikke lenger var en mobiloperatør og at man kjøpte sine tjenester fra NetCom I Teletopias merknader til den foreløpige kontrollrapportens pkt 5 3 2 lagring av trafikkdata hitsettes Teletopia er teleoperatør i det offentlige telenettet Til grunn for all avregning av bruk av nettet både overfor kunder og andre teleoperatører som Teletopia utveksler trafikk med produserer telesystemer såkalte CDR er dvs Call Detail Records Slike CDR er inneholder telefonnummer det ringes fra telefonnummer det ringes til tidspunkt for samtalen hvor lenge samtalen varte osv Datatilsynet påpeker at begrepet teleoperatør ikke har noen legaldefinisjon og at det er vanskelig å vurdere hvilket innhold begrepet er tillagt Merknadene fra Teletopia medfører ytterligere uklarheter siden det ikke kommer klart frem hva slags kommunikasjonstjenester virksomheten tilbyr og hva slags personopplysninger som behandles Datatilsynet setter spørsmålstegn ved at en teleoperatør Servicebyrået AS i egenskap av å være arbeidsgiver skal ha tilgang til ansattes personopplysninger trafikkdata slik

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_06.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    dette til grunn for at de ikke kan godkjenne klagerne som et fremtidig fosterhjem på generelt grunnlag 7 Fylkesmannen i Rogaland Fylkesmannen har hatt flyttevedtaket av fosterbarnet til klagebehandling Fylkesmannen presiserer at vedtak om flytting ble fattet etter en totalvurdering der også en vurdering av fosterforeldrene i mange forhold har fulgt opp barnet på en god måte er tatt med Fylkesmannen mener derfor at beskrivelsen av fosterforeldrene ikke er ensidig negativ 8 Datatilsynets vurdering Datatilsynet har vurdert hvorvidt opplysningene i de aktuelle dokumentene kan anses mangelfulle og på dette grunnlag kan kreves rettet etter 27 Datatilsynet har også vurdert hvorvidt det er grunnlag for å fatte vedtak om sletting etter 28 tredje og fjerde ledd Når det gjelder det konkrete notatet som klager mener inneholder faktafeil er det vanskelig for utenforstående å bedømme korrektheten i de observasjoner som veileder har gjort Datatilsynet har i sitt vedtak lagt vekt på at Stavanger kommune vurderer notatet som en beskrivelse av hvilke temaer som har vært tatt opp i veiledningstimer og at det ikke har vært ment som en generell beskrivelse av familiens fungering Notatet bærer preg av å være veileders observasjoner omkring tema som hun som fagperson mente var av betydning for veiledningen Datatilsynet er av den oppfatning at notatet var et resultat av en barnevernfaglig vurdering Tilsynet har ikke kompetanse til å overprøve barnevernet i om innholdet i rapporten kan anses mangelfull Datatilsynet har dessuten lagt vekt på at notatet helhetlig fremstår som balansert i forhold til at det er mye positiv omtale av familiens håndtering av oppgaven som fosterhjem Innholdet i notatet balanseres gjennom øvrige opplysninger i saken Datatilsynet legger også vekt på at rapporten som ble skrevet om familien i forbindelse med rekrutteringen vil danne en del av grunnlaget som fosterhjemstjenesten fatter vedtak om godkjennelse av fosterhjem på Når det gjelder vedtaket om flytting av barnet ble det av fylkesmannen presisert at vedtak om flytting ble fattet etter en totalvurdering ikke kun en vurdering av uenigheten mellom partene vedrørende dotrening men der også mange forhold som ble fulgt opp på en god måte er tatt med Datatilsynets oppfatning er at vedtaket er fattet basert på en barnevernfaglig vurdering og tilsynet har ikke kompetanse til å overprøve fylkesmannens barnevernfaglige vurdering Datatilsynet legger derfor til grunn at innholdet i flyttevedtaket ikke kan anses mangelfullt Tilsynet legger også vekt på brevet fra Stavanger kommune der familien inviteres til å søke om å ta imot nye fosterbarn Datatilsynet har vurdert hvorvidt opplysningene bør sperres eller slettes til tross for at opplysningene i utgangspunktet er oppbevaringspliktige etter arkivlovgivningen fordi de oppleves sterkt belastende Datatilsynet finner det utvilsomt at klagerne opplever opplysningene sterkt belastende Det må da vurderes om sletting er forsvarlig ut fra en samlet vurdering av blant annet andres behov for dokumentasjon hensyn til den registrerte kulturhistoriske hensyn og de ressurser gjennomføringen av kravet forutsetter jf personopplysningsloven 28 tredje ledd bokstav b Datatilsynet har en restriktiv praksis når det gjelder krav om sletting av opplysninger hos barnevernet Behovet for dokumentasjon veier som hovedregel

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_05.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    nå foretatt en grundig vurdering av 46 og konkludert med at overtredelsesgebyr ikke skal ilegges Klager har påklaget denne beslutningen 4 Klagers anførsler Klager har anført at det er Datatilsynet som selv bestemmer hvor høy terskelen skal være for ileggelse av overtredelsesgebyr når Datatilsynet anfører at terskelen er høy Klager oppfatter at terskelen er satt for høyt i forhold til det inntrykket klager får etter å ha gjennomgått ordlyd og merknader til personopplysningsforskriften kapittel 9 De vurderinger som gjøres av tilsynet synes ikke å være i samsvar med ordlyden Det vises til forskriften 9 2 og merknadene til bokstav a og b Klager viser videre til at arbeidsgiver visste at klager hadde rapporten da det ble foretatt innsyn og den e posten som det ble foretatt innsyn i var sendt til en fagforeningsrepresentant Det vil si at arbeidsgiver ikke hadde innsynsrett når det gjaldt denne e posten Når det gjelder forskriften 9 3 er klager overrasket over at tilsynet ikke har vurdert speilkopiering som et alternativ dersom arbeidsgiver frykter bevisforspillelse Klager ble ikke varslet og fikk ikke anledning til å uttale seg før innsyn ble gjennomført til tross for at arbeidsgiver hadde mulighet til å speilkopiere Klager oppfatter at 9 3 er svært streng og klager er forundret over at å ignorere denne ikke medfører større konsekvenser for arbeidsgiver Klager ble også fratatt alternativet å aktivt velge å ikke være representert av tillitsvalgt ved innsynet Klager mener at de interesser forskriften verner er grovt krenket i denne saken Klager ble fratatt alle muligheter for å være med i prosessen Etter klagers syn valgte arbeidsgiver bevisst å gjennomføre innsyn i strid med forskriften 9 2 og 9 3 Det foreligger høy grad av skyld Bedriften har god økonomisk evne gode juridiske ressurser og burde vite hvilket ansvar den har Bedriften kunne utvilsomt ha forebygget hendelsen Overtredelsen er klart begått for å fremme overtrederens interesser Bruddene er så alvorlige at det bør utløse en sterkere reaksjon fra Datatilsynet Klager mener at Datatilsynet er lempelige i forhold til arbeidsgivers håndtering av denne saken og at terskelen for overtredelsesgebyr er satt for høyt 5 Datatilsynets vurdering Datatilsynet påpeker at arbeidsgiver har brutt prosedyrebestemmelsen i forskriften 9 3 med hensyn til unnlatt varsling samt etterfølgende varsling først tre uker senere Det følger av loven 46 at Datatilsynet kan ilegge den som har overtrådt personopplysningsloven eller forskriften et overtredelsesgebyr Ved vurderingen av om gebyr skal ilegges og ved utmålingen skal det særlig legges vekt på momentene i 46 annet ledd bokstavene a h Tilsynet har vurdert alle aktuelle momenter i bokstavene a h og konkludert med at det ikke er grunnlag for å kunne ilegge Sparebank1 Skadeforsikring AS et overtredelsesgebyr Det legges vekt på at terskelen for å ilegge gebyr er høy og at Datatilsynet benytter dette virkemiddelet i saker hvor det foreligger grove overtredelser For eksempel nevnes saker hvor arbeidsgiver sjikanøst har gjort innsyn i og tilgjengeliggjort hele innholdet av arbeidstakers e postkasse i lengre perioder Selv om arbeidsgiver har overtrådt krav i forskriften 9

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_04.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    av dette kulturhistorisk unike materialet Norges første store web 2 0 samfunn finnes bevart når forskere om for eksempel 60 år vil studere det Dette alternativet ble senere trukket Klager reagerer på at Datatilsynet trekker inn privat kommunikasjon mellom borgerne og henviser til ekomlovgivningen VG skal ikke lagre de private opplysningene og kommunikasjonen Det som ønskes lagret er det innholdet i de fora områdene som med medlemmenes frie vilje var offentlig tilgjengelig på Nettby og blant annet også tilgjengelig for indeksering i søkemotorer VG anførte først at pliktavleveringsloven ikke kommer til anvendelse i dette tilfellet slik den er utformet i dag men endret standpunkt senere i saksbehandlingen I siste brev fra VG anføres det at de deler av Nettby som VG ønsker å lagre omfattes av pliktavleveringsloven Ansvarlig redaktør for Nettby var redaktøren for VG Nett Torry Pedersen Dagens redaktør for VG Nett Espen Egil Hansen overtok etter Torry Pedersen og derved også redaktøransvaret for Nettby 5 Datatilsynets vurdering Datatilsynet påpeker at Nettby ble nedlagt i desember 2010 Deltakerne mistet da kontroll med personopplysningene som var registrert i Nettby Dette gjelder profilopplysningene samtaler med andre bilder meninger dagbøker kalendere lenker med mer I over et år har disse opplysningene ligget lagret uten at de registrerte har hatt muligheten til å bestemme over sine egne opplysninger I henhold til personopplysningsloven 3 annet ledd gjelder ikke loven for behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private gjøremål Da Nettby var i drift var det mulig å se det slik at en del av behandlingen av personopplysningene på Nettby var foretatt for private formål slik at det falt utenfor loven Når Nettby nå er lagt ned mister deltakerne muligheten til å administrere og bruke sine profiler Det private formålet har derfor falt bort Videre lagring av personopplysninger som stammer fra Nettby må ha et behandlingsgrunnlag VG er behandlingsansvarlig jf 2 nr 4 De deler av VGs opprinnelige behandling av medlemmers personopplysninger som ikke var foretatt til private formål falt innenfor personopplysningsloven 8 bokstav a En slik behandling forutsetter likevel at medlemmene får god informasjon om hvilke opplysninger som registreres hva formålet med registreringen er og hvor lenge opplysningene skal lagres jf 19 Det følger av personopplysningsloven 11 bokstav c at personopplysninger ikke skal brukes til senere formål som er uforenlig med det opprinnelige formålet med innsamlingen uten at den registrerte samtykker I bestemmelsens siste ledd finnes unntak fra formålsbegrensningen såfremt opplysningene skal brukes til historiske statistiske eller vitenskapelige formål og samfunnets interesse i behandlingen til disse formålene klart overstiger ulempene for den registrerte I 11 bokstav b står det likevel at personopplysninger bare skal nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet Datatilsynet kan ikke se at videre lagring av personopplysningene fra Nettby av hensyn til historiske formål kan være saklig begrunnet i VGs virksomhet Det finnes andre aktører som skal ivareta det historiske aspektet for eksempel ved å ta vare på innhold fra internett Disse aktørene har egne begrensede hjemler i lov og forskrift for dette Nasjonalbiblioteket har bekreftet at de ikke har selvstendig rettslig grunnlag for overtakelse av personopplysningene fra Nettby Pliktavleveringsloven kommer ikke til anvendelse på dette tilfellet Den behandlingsansvarlige skal ikke lagre opplysningene lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen jf 28 Når Nettby ikke lenger eksisterer og det ikke foreligger annet behandlingsgrunnlag for videre oppbevaring av opplysningene skal personopplysningene slettes Det er ikke lenger saklig formål for lagring av opplysningene VG anfører i sin klage at brukervilkårene til Nettby sier at VG kan bruke deler av Nettby til markedsføring Datatilsynet kan ikke se at et avtalevilkår om bruk til markedsføring gir rettslig grunnlag til å behandle personopplysningene til et annet formål nemlig lagring for historiske formål jf 11 bokstavene b og c I klagen har VG foreslått å slette private meldinger og profilopplysninger og lagre resten av informasjonen fra nettsamfunnet Datatilsynet mener at man likevel vil sitte igjen med mange personopplysninger blant annet i kommunikasjonen mellom medlemmene bilder oppdateringer mm Det er stor forskjell på å legge ut opplysninger man når som helst kan fjerne redigere eller supplere og det å miste kontrollen over opplysningene Datatilsynet har redegjort nærmere for personopplysningsloven 28 annet ledd Tilsynet påpeker at grunnvilkårene i 11 må være oppfylt før lovens 28 annet ledd kan vurderes Slik Datatilsynet ser det oppfyller ikke VG vilkåret i 11 bokstav c om at personopplysninger bare skal nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet Ettersom dette grunnvilkåret ikke er oppfylt mener Datatilsynet at det ikke er relevant å vurdere unntak fra slettebestemmelsen i personopplysningsloven 28 annet ledd I den grad 28 annet ledd likevel skal vurderes mener Datatilsynet at hensynene bak denne bestemmelsen i den konkrete saken allerede er ivaretatt i pliktavleveringsloven og Datatilsynets konsesjon til Nasjonalbiblioteket VG har ikke et formål som er saklig begrunnet i sin virksomhet til fortsatt å oppbevare personopplysningene som stammer fra Nettby og ønsker at Nasjonalbiblioteket skal overta disse Nasjonalbiblioteket har normalt anledning til dette innenfor rammene av pliktavleveringsloven og konsesjonen fra Datatilsynet I denne saken har Nasjonalbiblioteket selv sagt at de ikke har et rettslig grunnlag for overtagelsen av materialet innenfor disse rammene Datatilsynet mener at problemstilling nummer to nemlig spørsmålet om hvorvidt VG kan levere ut opplysninger til forskningsformål ikke kan løses før det er tatt endelig stilling til hovedproblemet nemlig hvorvidt VG har adgang til å råde over angjeldende opplysninger Det er dette spørsmålet som er oversendt til behandling i Personvernnemnda Tilsynet mener at VG ikke har rettslig grunnlag for behandling som går utover drift og vedlikehold av det sosiale nettsamfunnet Det opprinnelige formålet er opphørt i og med nedleggelsen av Nettby hvilket innebærer at opplysningene i utgangspunktet skulle ha vært slettet i henhold til personopplysningslovens 28 første ledd VG kan derved ikke råde over opplysningene heller ikke gjennom å gi andre tilgang til opplysningene slik det skisseres fra VG Tilsynet mener at interesseavveiningen etter 28 annet ledd vanskelig kan slå ut i VGs favør Det vises til

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_03.htm (2014-09-28)
    Open archived version from archive