archive-no.com » NO » P » PERSONVERNNEMNDA.NO

Total: 189

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".
  • Personvernnemnda
    20 år Klager fikk klarsignal for dette fra Kunnskapsdepartementet 4 Klagers anførsler Klager har oppgitt at Rekruttering AS er et personlig eid aksjeselskap uten ansatte Virksomhetens adresse er samme som klagers privatadresse Opplysningene som Rekruttering AS innhentet fra universitetet er innhentet på lovlig måte i henhold til offentleglova og skal brukes i lovlig virksomhet i forbindelse med karrierebistand Opplysningene skal ikke utleveres til andre sletterutiner er i henhold til 27 og 28 og det foreligger ingen umiddelbar informasjonsplikt til de registrerte jf 20 annet ledd Klager mener at han har svart på alle tilsynets spørsmål og kan derfor ikke se at kontrollen er nødvendig Klager er ikke enig i at han har uttalt til media at han har manglende kontroll over personopplysningene Klager har sagt at det totale elevtall fra landets høyskoler og universiteter kan bli så stort at kontroll av oppfølgningen kan bli mangelfull i forhold til intensjon uten flere kvalifiserte medarbeidere Klager påpeker også at ingen av personopplysningene er sensitive 5 Datatilsynets vurdering Datatilsynet vurderte klagen og besluttet i henhold til forvaltningsloven 14 likevel å gjennomføre kontrollen fordi Datatilsynet fant det påtrengende nødvendig Datatilsynet viser til sakens omfang og karakter Rekruttering AS er i besittelse av personopplysninger som navn adresse telefonnummer og studieretning om mange tusennåværende og tidligere studenter Opplysningene er ikke sensitive Datatilsynet har ikke mottatt klager Datatilsynet mener at vilkåret i forvaltningsloven 14 er oppfylt også fordi klager har uttalt til media at han ikke kjenner det eksakte antallet studenter som er registrert Videre har klager i samme artikkel uttalt at det ikke finnes ansatte til å håndtere personopplysningene Videre legger Datatilsynet vekt på at det vil kunne hemme tilsynets arbeid dersom klagere rutinemessig ville innrømmes retten til oppsettende virkning i henhold til forvaltningsloven 14 i forbindelse med planlagte kontroller Det er lovgivers forutsetning at Datatilsynet skal ha vidtgående muligheter til å gjennomføre kontroller i henhold til personopplysningsloven 44 Forholdsmessighetsprinsippet i EMK art 10 tilsier at et kontrolltiltak må være proporsjonalt med målet for kontrolltiltaket Det skal vurderes om målet kan oppnås ved mindre inngripende midler Datatilsynet har vurdert om kontrollen kan gjennomføres i tilsynets lokaler i stedet for på klagerens forretningsadresse privatadresse Tilsynet har også vurdert andre virkemidler som brevlig kontroll og råd og veiledningsmøter Tilsynet konkluderte med at dette ikke ville være hensiktsmessig i denne saken og besluttet å gjennomføre en stedlig kontroll Tilsynet ga ikke klagen oppsettende virkning men gjennomførte kontrollen før Personvernnemnda fikk anledning til å behandle klagen Datatilsynet la avgjørende vekt på momentet om at opplysningene gjelder svært mange personer og at klager i uttalelser til media har innrømmet manglende kontroll over opplysningene 6 Personvernnemndas merknader Leder i Personvernnemnda Eva Jarbekk har vært rådgiver for Universitetet i Oslo i denne saken og er således inhabil Hun fratrådte da nemnda behandlet saken Personvernnemnda skal vurdere hvorvidt Rekruttering AS pliktet å finne seg i en kontroll og hvorvidt denne kunne gjennomføres før klagen over at den ble vedtatt utført ble avgjort Når det gjelder det første spørsmålet følger det av lovteksten hva det

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_02.htm (2014-09-28)
    Open archived version from archive


  • Personvernnemnda
    politidistriktene er mer sensitive enn det gis inntrykk av i utfyllende skjema fra RMI til REK Det er tale om sensitive personopplysninger Datatilsynet legger til grunn at det vil bli kjent hvor i landet opplysningene er hentet fra Det er selvmotsigende å anføre at den registrerte verken skal samtykke eller få informasjon fordi dette er så belastende samtidig som det vises til at målet er å få trykt artikler og at enkelte vil gjenkjenne saken sin i media fordi det dreier seg om så få saker Det er grunn til å tro at prosjektet vil få stor medieinteresse fordi den offentlige interessen knyttet til barnedrap er stor At studien først blir kjent gjennom media uten at den registrerte verken har samtykket eller er blitt informert er ekstra graverende Tilsynet legger vekt på at det i obduksjonsrapporten kan finnes sensitive opplysninger om den døde og tredjepersoner som ikke er meddelt direkte i åpen rett Samfunnsnytte er ikke i seg selv et argument for å unnlate samtykke Datatilsynet finner at oppgaven har et godt formål Dette må veies opp mot personvernulempene for de registrerte Tilsynet kan ikke finne at søker har dokumentert samfunnsnytten i tilstrekkelig grad Tilsynet betviler at et så omfattende forskningsprosjekt med til dels svært sensitive opplysninger har den tyngden som er nødvendig for å veie opp for de klart negative personvernkonsekvensene denne anses å ha for den enkelte registrerte Datatilsynet kan ikke se at det foreligger hjemmel for innhenting av opplysninger fra politidistriktene som går ut over det som følger av obduksjonsrapporten Datatilsynet forstår tillatelsen slik at det gis tillatelse til å innhente ytterligere opplysninger der obduksjonsrapporten ikke er fullstendig ikke tillatelse til å innhente opplysninger som går ut over det som er naturlig å finne i en obduksjonsrapport Datatilsynet påpeker at det er uakseptabelt at en så sentral og viktig virksomhet ikke har utarbeidet klare rutiner for innhenting av nødvendige tillatelser Dette kan også gå ut over medisinstudenten som kan risikere ikke å få levere hovedoppgaven sin Prosjektet mangler rettslig grunnlag og det kan ikke gis konsesjon Datatilsynet viser til hoftebruddprosjektet hvor NEM fant at prosjektene ikke kunne fullføres til tross for at stipendiatene ikke var å klandre for at alle tillatelser ikke var gitt Personopplysningsloven 20 første ledd oppstiller hovedregelen om at det skal varsles og hva det skal informeres om jf 19 bokstavene a til e Varsel er ikke påkrevd dersom varsling er umulig eller uforholdsmessig vanskelig I denne saken har de registrerte nytte av å bli varslet Det er tale om et lite antall personer Det kan ikke være problematisk å finne ut hvor folk har flyttet Datatilsynet viser også til PVN 2009 07 I denne saken er også personopplysningsloven 23 bokstav f anført Bestemmelsen har strenge vilkår og disse er ikke oppfylt her Åpenhet og informasjon om forskning er sentrale personverninteresser Overtredelse av informasjonsplikten er straffesanksjonert jf personopplysningsloven 48 Datatilsynet har ikke foretatt noen vurdering av dette i denne saken Den manglende overholdelse av informasjonsplikten trekker også i retning av at man ikke kan gi konsesjon med tilbakevirkende kraft Informasjonsplikten er relevant i vurderingen av samtykke som behandlingsgrunnlag De praktiske problemene med å innhente samtykke reduseres når det uansett foreligger en informasjonsplikt Samtykke og informasjonsskriv kunne vært sendt ut til utvalget i samme forsendelse Datatilsynet tar til etterretning at andre instanser har vurdert at det kan gis dispensasjon fra taushetsplikten Tilsynet vurderer imidlertid søknaden ut fra personopplysningsloven og tilsynets forståelse av den loven Konklusjonen er at vilkårene ikke er til stede for å gjøre unntak fra hovedregelen om samtykke Prosjektet har et godt formål men det finnes ikke andre rettslige grunnlag for behandlingen enn samtykke Dersom konsesjonssøknaden hadde blitt sendt til Datatilsynet i riktig tid ville konklusjonen vært den samme Det er derfor ikke mulig å reparere den ulovlige innsamlingen og behandlingen i ettertid 8 Personvernnemndas merknader Personvernnemnda skal ta stilling til om det foreligger behandlingsgrunnlag for en rettsmedisinsk studentoppgave Prosjektet gjelder barn med påførte dødelige skader og en undersøkelse av hva helsevesenet og rettsvesenet gjør i den forbindelse Studenten vil sammenligne behandlingen barnesakene får i rettsapparatet med den behandlingen tilsvarende saker med voksne ofre får Omfanget er på ca 60 barn som har omkommet som følge av påført ytre skade i perioden 1979 2008 Mange av sakene vil antakeligvis være alminnelig kjent i offentligheten Studenten har fått samtykke til å bruke obduksjonsrapporter i arbeidet Det er ikke omtvistet Obduksjonsrapporter inneholder opplysninger om døde personer og da kommer ikke personopplysningsloven til anvendelse Problemstillingen gjelder bruk av politirapporter Helseforskningsloven og helseregisterloven får ikke anvendelse på bruk av personopplysninger fra politirapporter Slik behandling reguleres av personopplysningsloven Samtlige data er avidentifisert også for studenten som skriver oppgaven Opplysningene skal bli brukt i statistikk Ingen navn eller fødselsnummer vil bli publisert Man kan ikke utelukke at allmennheten i enkelte tilfeller kan gjenkjenne den enkeltes identitet ved å koble opplysninger fra studentoppgaven med allerede kjent informasjon Alle personopplysninger som studenten blir kjent med under arbeidet vil imidlertid være omfattet av studentens taushetsplikt og nemnda legger til grunn at taushetsplikten vil bli respektert Det er planlagt at studien i første omgang skal være en prosjektoppgave for en medisinstudent I neste omgang vil resultatene bli søkt publisert i internasjonalt tidsskrift eller i Tidsskrift for Den Norske Legeforening Ved prosjektslutt vil innhentede opplysninger fra påtalemyndigheten bli oppbevart i arkiv på rettsmedisinsk institutt Bearbeidet materiale på studentens pc vil bli slettet Datatilsynet synes å legge til grunn at behandlingsgrunnlag som hovedregel skal være samtykke Nemnda skal bemerke at etter en naturlig språklig forståelse av lovteksten i personopplysningsloven 8 fremstår de ulike behandlingsgrunnlagene samtykke lov eller nødvendig som likeverdige I forarbeidene fremheves det riktignok at man bør forsøke å innhente samtykke men nemnda kan ikke se at det dermed foreligger en hovedregel om samtykke selv om nemnda ser at samtykke i det store antall saker likevel vil være det mest aktuelle behandlingsgrunnlag fordi de øvrige behandlingsgrunnlag fremstår med et snevrere anvendelsesområde Uttalelsen i forarbeidene anses ikke som en rettslig normering men som en hensiktsmessighetsbetraktning Rettslig sett må de ulike behandlingsgrunnlagene derfor behandles som likestilte

    Original URL path: http://www.personvernnemnda.no/vedtak/2012_01.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    Datatilsynet la redegjørelsen til grunn og avsluttet saken 16 11 2011 I brev av 21 11 2011 påklaget klager Datatilsynets saksbehandling Saken ble oversendt Personvernnemnda 16 12 2011 som mottok saken 21 12 2011 Klager ble orientert om dette i brev fra nemnda datert 28 12 2011 med frist til uttalelse innen 16 1 2012 Klager sendte sine kommentarer til saken til Personvernnemnda i brev av 12 1 2012 3 Faktum Klager har mottatt en rekke forsendelser med direkte markedsføring fra Brilleland til tross for at han gjentatte ganger har bedt om å bli slettet fra kunderegisteret Brilleland svarte på henvendelsene og bekreftet at han var slettet men klager mottok likevel ytterligere direkte reklame fra Brilleland som kunde Klager henvendte seg til Datatilsynet for å få hjelp til å bli slettet fra kunderegisteret Etter en del korrespondanse og etter at Brilleland har blitt purret på og misligholdt svarfrist fra Datatilsynet hvoretter klager mottok enda en forsendelse med direkte reklame fra selskapet bekreftet Brilleland til slutt at klager var endelig slettet som kunde Klager har påklaget Datatilsynets saksbehandling til Personvernnemnda 4 Klagers anførsler Klager har klaget saken inn for Personvernnemnda Klagen gjelder Datatilsynets saksbehandling i forbindelse med klagers sak vedrørende uønsket direkte markedsføring fra Brilleland Klager hadde gjentatte ganger forsøkt å bli slettet fra Brillelands kunderegister men opplevde likevel å motta flere forsendelser med direkte reklame fra Brilleland som Brillelands kunde Klager klager på at Datatilsynet ikke benyttet seg av sanksjoner mot Brilleland og at saksbehandlerne i Datatilsynet satte romslige frister ved korrespondanse med Brilleland og brukte lang tid på å purre på svar fra Brilleland til tross for at Brilleland misligholdte svarfrister og fortsatte å sende direkte reklame til klager Klager mener at dette er uakseptabel saksbehandling og at det åpner for at de som bryter loven fortsetter med lovbruddene uten å risikere noen sanksjoner 5 Datatilsynets vurdering Datatilsynet påpeker at etter forvaltningsloven 11 har forvaltningsorganet alminnelig veiledningsplikt innenfor sitt saksområde Det følger av forvaltningsloven 17 at et forvaltningsorgan skal påse at saken er så godt opplyst som mulig før vedtak treffes Hvor langt utredningsplikten går må vurderes konkret i det enkelte tilfellet blant annet av hensyn til ressursbruken og sakens alvorlighetsgrad Regelverket om direkte markedsføring lå tidligere under Datatilsynets kompetanseområde i tidligere personopplysningsloven 26 Med virkning fra 1 7 2009 ble ansvaret flyttet over til Forbrukerombudet Ettersom klager til tross for krav om sletting mottok direkte markedsføring tok Datatilsynet fatt i den delen av saken som omhandler sletting av kundeopplysninger jf personopplysningsloven 11 jf 28 Datatilsynet kopierte Forbrukerombudet inn i korrespondansen og tok også telefonisk kontakt med ombudet Ombudet reagerte ikke på saken fordi det ikke forelå flere klager på samme virksomhet Det er opplagt at Brilleland har opptrådt i strid med regelverket om direkte markedsføring samt kravet til sletting i personopplysningsloven 11 jf 28 Bruddet betegnes dog som mindre alvorlig i en større sammenheng Datatilsynet har strukket seg langt for å imøtekomme klagers anførsler men ser ikke grunn til å ta ytterligere grep i sakens anledning 6 Personvernnemndas

    Original URL path: http://www.personvernnemnda.no/vedtak/2011_13.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    uttrykket Fødselsnummer og andre entydige identifikasjonsmidler Det kan synes om Datatilsynet i sine vurderinger og konklusjoner legger til grunn at vilkårene i loven er strengere for å bruke biometri som identifikasjon i forhold til å bruke fødselsnummer Det er slik klager ser det ikke holdepunkter hverken i lovteksten eller forarbeidene for en slik slutning Datatilsynets strenge fortolknings praksis av nødvendighetskriteriet er koblet sammen med at det ikke er oppfylt dersom andre og mindre sikre identifikasjonsmidler er tilstrekkelige Klager mener at det i forhold til de behov som klager har redegjort for når det gjelder sikker autentisering ikke er grunnlag for en konklusjon om at andre og mindre sikre identifikasjonsmidler er tilstrekkelige Datatilsynet har som anført ikke redegjort for noe system som gir en tilstrekkelig autentisering ved adgang til de ubetjente treningslokalene Det er et grunnleggende krav for behandling av personopplysninger at det foreligger et samtykke jfr 8 i personopplysningsloven I nærværende sak har samtlige som er medlemmer avgitt sitt samtykke Det er på det rene at slikt samtykke ikke har avgjørende vekt i forhold til de særskilte krav i lovens 12 Det er Personvernnemnda som forvalter personopplysningsloven og skal ha skjønnsutøvelsen Klager mener at dette skjønnet må utøves i forhold til den virkelighet som til enhver tid er til stede for å sikre den enkelte og uten å dramatisere forholdene må det være tillatt å mene at trusselbildet har forandret seg etter 22 juli 2011 Dette bør innebære at det skjer en endret vurdering av hele skjønnstemaet knyttet til 12 i saker som nærværende Datatilsynet anfører at Datatilsynets vurderinger om bruk av biometri i denne saken baseres i stor grad på praksis fra Personvernnemnda Datatilsynet legger med dette som referanse til grunn at vilkårene ikke var oppfylt for treningsstudioer som del av adgangskontroll Det er referert til avgjørelser PVN 2006 08 og PVN 2006 09 Klager kan ikke se at de sakene som er trukket frem er identiske og sakene er derfor ikke anvendbare på nærværende sak Det fremkommer ikke i premissene i noen av avgjørelsene at disse treningssentrene var ubetjente og for klager er nettopp det forhold at deres treningssentre tidvis er ubemannet et forhold som gir skjerpet krav til sikker autentisering Andre former for adgangskontroll kan selvsagt være tilstrekkelige der hvor lokalene er konstant bemannet men det gjelder altså ikke denne saken Klager anser at det sentrale grunnlag i Datatilsynets vedtak er at treningslokalene det dreier seg om kan spare penger på å ikke ha ansatte tilstede i lokalene For en seriøs tilbyder av treningsfasiliteter fremstår dette som et svært lettvint og urimelig utsagn Klager har i fokus at personer med manglende muligheter for trening innen vanlige åpningstider som f eks som følge av arbeidsturnuser familiesituasjoner mv også bør få et treningstilbud Dette er det bærende grunnlag for tilbudet og det kan ikke gjennomføres uten at man har ubemannede lokaler på angitte tider Personopplysningsloven er som kjent resultat av implementeringen av EU direktiv 95 46 Norge har i forbindelse med implementeringen og i motsetning til Sverige innført bestemmelsen i lovens 12 I Sverige er det inntatt en regel som legger til grunn at registrering av personnummer bare kan skje når det er klart motivert med hensyn til a ändamålet med behandlingen b vikten av en säker identifiering c något annat beaktansvärt skäl Det foreligger en avgjørelse i det svenske datatilsyn for Fitness24Seven hvor det samme kontrollsystem som er beskrevet i denne saken ble tillatt brukt og vekt ble lagt på at det forelå samtykke fra medlemmet Det er på det rene at norsk og svensk lovgivning er forskjellig men det gjelder kun samtykkets betydning Ellers er skjønnstemaet det samme og det er ikke noe i situasjonen i Norge i forhold til i Sverige som skulle tilsi at de rent faktiske forhold og behov for sikker autentisering og den skjønnsmessige vurdering av dette skulle falle forskjellig ut 5 Datatilsynets vurdering Datatilsynet påpeker at bruk av fingeravtrykk og andre biometriske kjennetegn er regulert i personopplysningsloven 12 Det er svært strenge vilkår som må være oppfylt i henhold til bestemmelsen for at det skal være anledning til å bruke biometri som identifikasjon Entydige identifikasjonsmidler kan kun brukes dersom det foreligger saklig behov for sikker identifisering og metoden må være nødvendig for å oppnå slik identifisering Nødvendighetskravet skal tolkes strengt Kravet er ikke oppfylt dersom andre og mindre sikre identifikasjonsmidler er tilstrekkelige Datatilsynet legger til grunn at tiltaket omfattes av personopplysningsloven da fingeravtrykket i seg selv er en personopplysning Datatilsynet har lagt til grunn at biometriske løsninger ikke skal benyttes som identifisering der hvor det finnes andre muligheter for eksempel gjennom bruk av ID kort med tilhørende kode Datatilsynet viser til Personvernnemndas praksis i sakene PVN 2006 07 PVN 2006 08 PVN 2006 09 PVN 2006 10 og PVN 2006 11 I disse sakene la Personvernnemnda til grunn at vilkårene ikke var oppfylt for Rema 1000s timeregistrering av ansatte eller treningsstudioer som adgangskontroll Datatilsynet har senere konkludert med at et flyselskap oppfyller kravene i personopplysningslovens 12 til bruk av biometri for å kontrollere at det er samme person som sjekker inn bagasje som går om bord i flyet Formålet med bruk av biometri i denne saken er å føre adgangskontroll på et senter som er ubemannet i store deler av uken Datatilsynet kan ikke se at det er noen andre hensyn som taler til fordel for denne ordningen enn at treningslokalene det dreier seg om kan spare penger på å ikke ha ansatte til stede i lokalene Slike hensyn er ikke blitt tillagt noe særlig vekt Hensyn som er blitt tillagt vekt er av vesentlig mer alvorlig karakter slik som fare for liv og helse eller at sensitive personopplysninger skulle komme på avveie Ut fra praksisen skissert ovenfor er det for Datatilsynet vanskelig å se at de strenge kravene i personopplysningsloven 12 er oppfylt med hensyn til bruk av biometri ved adgangskontroll til treningslokaler Datatilsynet kan ikke se at den spesifikke løsningen som beskrives gjør at forholdet stiller seg noe annerledes da personopplysningsloven 12 fremdeles vil regulere også denne løsningen 6 Personvernnemndas

    Original URL path: http://www.personvernnemnda.no/vedtak/2011_12.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    er tilstrekkelige Datatilsynet legger til grunn at tiltaket omfattes av personopplysningsloven da fingeravtrykket i seg selv er en personopplysning selv om klager opplyser at man ikke skal knytte fingeravtrykk til identitet Datatilsynet har lagt til grunn at biometriske løsninger ikke skal benyttes som identifisering der hvor det finnes andre muligheter for eksempel gjennom bruk av ID kort I denne saken er det ingen tvil om at ID kort kan benyttes til det samme formålet nemlig alderskontroll da dette er den vanlige løsningen i andre butikker Datatilsynet viser til Personvernnemndas praksis i sakene PVN 2006 07 PVN 2006 08 PVN 2006 09 PVN 2006 10 og PVN 2006 11 I disse sakene la Personvernnemnda til grunn at vilkårene ikke var oppfylt for Rema 1000s timeregistrering av ansatte eller treningsstudioer som adgangskontroll Datatilsynet har senere konkludert med at et flyselskap oppfyller kravene i personopplysningslovens 12 til bruk av biometri for å kontrollere at det er samme person som sjekker inn bagasje som går om bord i flyet Formålet med bruk av biometri i denne saken er å føre alderskontroll i butikk på en billigere måte Datatilsynet kan ikke se at det er noen andre hensyn som taler til fordel for denne ordningen enn at butikkene kan spare penger på å ha færre ansatte til stede i lokalet Slike hensyn er ikke blitt tillagt noe særlig vekt Hensyn som er blitt tillagt vekt er av vesentlig mer alvorlig karakter slik som fare for liv og helse eller at sensitive personopplysninger skulle komme på avveie Ut fra praksisen skissert ovenfor er det for Datatilsynet vanskelig å se at de strenge kravene i personopplysningsloven 12 er oppfylt med hensyn til bruk av biometri ved selvbetjente butikker 6 Personvernnemndas merknader Personvernnemnda skal ta stilling til bruk av fingeravtrykk som del av en løsning for alderskontroll ved selvbetjente butikker Nemnda har vurdert bruk av fingeravtrykk og personopplysningsloven 12 i en rekke tidligere saker Det vises til PVN 2006 07 PVN 2006 08 PVN 2006 09 PVN 2006 10 og PVN 2006 11 Det første nemnda skal ta stilling til er om personopplysningsloven 12 kommer til anvendelse Personvernnemnda foretok en grundig analyse av hvorvidt fingeravtrykk er en entydig identifikator i PVN 2006 07 jf 12 Nemnda poengterte da at den i utgangspunktet var av den oppfatning at fødselsnummer og fingeravtrykk ikke nødvendigvis kan sammenlignes Loven forutsetter at fødselsnummer kan brukes som entydig identifikasjonsmiddel Med entydig sikter loven åpenbart til noe mer enn at identifikasjonen er entydig i forhold til det enkelte system En identifikasjon må selvsagt være entydig innen systemets rammer ellers vil den ikke kunne benyttes til oppslag I denne forstand vil for eksempel en kundeidentifikasjon KID også være entydig i forhold til systemet for de aktuelle kunder Når loven krever at identifikasjonsmiddelet må være entydig tolket nemnda det slik at det kreves noe mer Nemnda la derfor til grunn at loven må tolkes slik at identifikasjonsmiddelet må være egnet til bruk som identifikasjon i flere systemer Fødselsnummeret vil i denne forstand være et entydig identifikasjonsmiddel fordi

    Original URL path: http://www.personvernnemnda.no/vedtak/2011_11.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    nødvendig for riktig og forsvarlig etterlevelse av lovens mv bestemmelser jf popplyl 14 om internkontroll Hvem som har daglig ansvar hos den behandlingsansvarlige er blant de opplysninger som alle har innsynsrett i og som skal meldes til Datatilsynet se popplyl 18 og 32 Det er antatt at behandlingsansvaret kan deles mellom to selvstendige organisasjoner for eksempel i et samarbeid om felles identitetsforvaltning og påloggingsrutiner på Internett felles innrapporteringsrutiner innen offentlig forvaltning mv jf Altinn samarbeidet i staten I så fall vil det kunne være nødvendig å tydeliggjøre hvorledes ansvaret skal deles f eks i form av en avtale jf popplyl 14 om internkontroll Hvor behandlingsansvaret konkret skal plasseres kan være regulert i særlovgivning med forskrifter se for eksempel forskrifter til helseregisterloven der ansvaret for visse helseregistre er fastsatt Databehandler er definert i personopplysningsloven 2 nr 5 slik databehandler den som behandler personopplysninger på vegne av den behandlingsansvarlige Rettsdata kommenterer bestemmelsen slik Begrepet misforstås ofte Databehandler er en person eller virksomhet utenfor den behandlingsansvarliges organisasjon og vil typisk være et databehandlingsforetak Dersom behandlingsansvarlig har instruksjonsrett overfor den som behandler opplysninger vil det ikke være tale om databehandler Begrepet brukes m a o ikke om personer som faktisk behandler data men betegner en bestemt type avtalepart som behandlingsansvarlige ofte anvender Bruk av databehandler er særlig aktuelt dersom driften av datamaskinsystemet som behandler personopplysninger er satt bort til en ekstern tjenesteleverandør jf outsourcing Loven krever at denne relasjonen skal avtalereguleres se 15 Definisjonen av behandlingsansvarlig er nærmere drøftet i Personvernnemndas avgjørelse PVN 2007 1 I den saken uttalte nemnda at spørsmålet om hvem som er behandlingsansvarlig normalt avgjøres ut fra momenter som hvem et prosjekt eller arbeid er initiert av hva de registrerte blir informert om i forhold til ansvar hvor man skal henvende seg ved innsyn retting sletting etc og hvordan hvem som finansierer arbeidet Slik nemnda ser det er problemstillingen i denne saken hvorvidt Simonsen er behandlingsansvarlig eller databehandler for rettighetshaverne Det er rettighetshaverne og rettighetsorganisasjonene som har initiert prosjektet og som finansierer prosjektet Antipiratarbeidet har en informasjonsside på internett på www ansvarliginternett no Der fremgår det at Simonsen bistår Motion Picture Association MPA Norsk Videogramforening NVF IFPI Norge Den norske Forleggerforening DnF og deres medlemmer i deres arbeid med å stanse ulovlig eksemplarfremstilling og tilgjengeliggjøring for allmennheten av deres rettslig beskyttede filmer TV serier musikk og bøker Simonsens virksomhet er dels utredningsvirksomhet og dels advokatvirksomhet Det er bare utredningsvirksomheten som er omfattet av konsesjonen fra Datatilsynet Utredningsvirksomheten tar utgangspunkt dels i mottatte tips dels i selvstendige søk og dels i å oppsøke steder der ulovlig aktivitet erfaringsmessig finner sted Når saker er ferdig utredet overføres funnene med relevant dokumentasjon til advokatvirksomheten Den videre behandlingen av personopplysningene faller utenfor virkeområdet til konsesjonen fra Datatilsynet Simonsens advokatvirksomhet vil i samråd med berørte rettighetshavere ta stilling til om det skal rettes en henvendelse til lovovertrederen direkte i de tilfellene hvor vedkommendes identitet er kjent i andre tilfeller via vedkommendes Internettleverandør for å kreve at krenkelser straks opphører Simonsen har argumentert for at behandlingsansvaret ligger hos advokatfirmaet med følgende argumenter Simonsen bestemmer eller detaljerer formålet med behandlingen av personopplysninger jf personopplysningsloven 2 nr 4 første alternativ og Ot prp nr 92 1998 99 s 103 Simonsen bestemmer hvilke praktiske hjelpemidler som skal brukes jf pol 2 nr 4 annet alternativ og Ot prp nr 92 1998 99 s 103 Simonsen har den daglige og mest omfattende befatningen med personopplysningene jf Ot prp nr 92 1998 99 s 103 og Simonsen fastsetter hvorledes opplysningene skal behandles for at oppgavene bistanden til rettighetshaverne i deres arbeid med å stanse rettighetskrenkelser skal oppfylles jf NOU 1997 19 s 132 og henvisningene til denne i og Ot prp nr 92 1998 99 s 103 tredje avsnitt Personvernnemnda er av den oppfatning at det er Simonsen som har ansvar for utredningsvirksomheten på vegne av rettighetshaverne og som sørger for sikring av bevis Videre er det klart at det er rettighetshavernes organisasjoner som er oppdragsgivere og som således har initiert prosjektet og betaler for dette arbeidet Det er således oppdragsgiverne som har engasjert Simonsen slik at de kan oppnå en effektiv overvåkning og bekjempelse av piratvirksomhet For Simonsen er dette et utredningsoppdrag I følge ordlyden i loven skal behandlingsansvaret legges hos den som bestemmer formålet og virkemidlene for behandlingen I følge forarbeidene kan behandlingsansvaret legges hos den som har den daglige og mest omfattende befatningen med personopplysningene Sammenfattet blir de tre viktigste momenter ved avgjørelsen av hvem som har behandlingsansvar dermed hvem bestemmer formålet hvem bestemmer virkemidlene hvem har nærhet daglig befatning med personopplysningene Personvernnemnda har delt seg i et flertall og et mindretall i denne saken Personvernnemndas flertall Eva Jarbekk Gisle Hannemyr Leikny Øgrim Ørnulf Rasmussen og Tom Bolstad er kommet til at man må legge avgjørende vekt på ordlyden og at Simonsen ikke kan være behandlingsansvarlig Flertallet har merket seg at Simonsen hevder at det er de som bestemmer eller detaljerer formålet Flertallet kan ikke basert på faktum i saken se det helt på samme måten Etter nemndas syn er det mulig at Simonsen detaljerer men det må være rettighetshaverne som innledningsvis har bestemt og definert formålet Videre er flertallet av den oppfatning at det er mulig at Simonsen både foreslår og bestemmer hvilke praktiske hjelpemidler som brukes men det er rettighetshaverorganisasjonene som overordnet bestemmer virkemidlene og fremgangsmåten herunder valget å bruke Simonsen som utreder Det er Simonsen som operativt utfører oppdraget bearbeider funn og opplysninger legger data inn sikrer bevis etc Simonsen har deretter ingen selvstendig evne til å forfølge rettighetskrenkere det må gjøres i samråd med og på vegne av rettighetsorganisasjonene De nevnte forhold er helt typiske situasjoner for mange databehandlere Kulturdepartementet sendte 19 mai 2011 på høring et høringsnotat med forslag til tiltak mot ulovlig fildeling og andre krenkelser av opphavsrett m m på Internett En av endringene som Kulturdepartementet foreslår i åndsverkloven er ny 56a Behandling av personopplysninger som gjelder opphavsrettskrenkelser m m 56a Rettighetshaveres behandling av personopplysninger som gjelder krenkelse av opphavsrett eller andre rettigheter etter denne lov er unntatt fra konsesjonsplikt etter

    Original URL path: http://www.personvernnemnda.no/vedtak/2011_10.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    13 3 andre ledd jf tolloven 12 10 samt forvaltningsloven 17 Klager mener også at personopplysningsloven 8 bokstav e gir tilstrekkelig hjemmelsgrunnlag for den aktuelle behandlingen I kommentarutgaven til personopplysningsloven nevnes både trygdeetaten og plan og bygningsetaten som eksempel på etater som kan forvalte personopplysninger etter denne bestemmelsen Disse etater utøver en ikke ubetydelig kontrollvirksomhet Det vises også til forarbeidene Klager mener at Datatilsynet tolker bestemmelsen for strengt og utenfor intensjonen når tilsynet hevder at nødvendighetsalternativene ikke kan brukes på grunn av at behandlingen er så inngripende at det må legges til grunn et strengt lovhjemmelskrav Tolletaten kan etter merverdiavgiftsloven 13 3 annet ledd jf tolloven 12 10 etterberegne toll og innførselsmerverdiavgift basert på sannsynlighetsovervekt Da må tolletaten også kunne gjøre det mindre nemlig anmode om opplysninger etter forvaltningsloven 17 for å oppklare saksforholdene slik at man eventuelt unngår etterberegning Klager kan ikke se at det bes om opplysninger av spesielt inngripende karakter Det gjelder spørsmål om hvorvidt det er innført deklarasjonspliktige varer Klager mener også at personopplysningsloven 8 bokstav f kan gi behandlingsgrunnlag Tolletatens avgiftsinnkreving er av meget stor samfunnsmessig betydning og står for nesten 20 prosent av statsbudsjettets inntektsside 5 Finansdepartementets kommentarer Finansdepartementet har gitt sin tilslutning til direktoratets vurdering av at merverdiavgiftsloven 15 11 utgjør et klart og tilstrekkelig lovhjemlet behandlingsgrunnlag for å kreve opplysninger fra privatpersoner Departementet har uttalt at bestemmelsen gir en generell kontrollhjemmel uten avgrensning til enkelte grupper eller til enkelte kontrollstadier Bestemmelsen omfatter også kontroll av privatpersoner i tiden etter en mulig avgiftspliktig innførsel Merverdiavgiftsloven 15 11 hjemler imidlertid ikke i seg selv søk i valutaregisteret Derimot vil et generelt kontrollbehov av mulig avgiftspliktig innførsel kunne begrunne søk i valutaregisteret i henhold til selve registerreglene Adgang til å foreta søk er hjemlet i valutaregisterloven 6 Etter denne bestemmelsens første ledd kan tolletaten foreta søk i valutaregisteret når etaten har behov for opplysninger i forbindelse med sin kontrollvirksomhet Departementet deler ikke tilsynets oppfatning av hva som er kontrollvirksomhet Det kan ikke være slik at tolletatens adgang til søk i registeret er avhengig av om det er hjemmel til å gjennomføre påfølgende videre kontroller overfor en konkret privatperson Adgangen til å gjennomføre kontroll overfor privatperson som ikke har deklarert innførsel av varer herunder krav om opplysninger og fremleggelse av dokumentasjon må holdes atskilt fra spørsmålet om adgang til søk i valutaregisteret Departementet mener at vurderingen av om det er hjemmel til å søke i valutaregisteret må holdes atskilt fra vurderingen av om det er adgang til å foreta kontrolltiltak etter merverdiavgiftsloven eller andre lover Departementet har lagt til grunn at tolloven 13 4 ikke kan benyttes overfor privatpersoner Tolloven har dermed ingen tilsvarende generell hjemmel som merverdiavgiftsloven 15 11 til å kreve opplysninger fra privatpersoner om forhold av betydning for tollkontrollen Har en privatperson deklarert innførsel av en vare gir imidlertid tollovforskriften 4 10 3 hjemmel til å pålegge privatpersonen å gi opplysninger om forhold omhandlet i deklarasjonen og andre opplysninger Manglende hjemmel for å kreve opplysninger fra privatpersoner etter grensepassering gjelder således de tilfeller hvor privatpersonen unnlater å foreta deklarering av tollpliktig vare I slike tilfeller vil det som regel være spørsmål om mulig merverdiavgiftspliktig innførsel og toll og avgiftsmyndighetene kan dermed kreve opplysninger med hjemmel i merverdiavgiftsloven 15 11 Den aktuelle kontrollvirksomheten vil derfor normalt være hjemlet i merverdiavgiftsloven selv om den ikke er hjemlet i tolloven Toll og avgiftsdirektoratet har opplyst til departementet at etaten ikke lenger vil benytte tolloven 13 4 som hjemmel for opplysningspålegg overfor privatpersoner Departementet er ikke enig med Datatilsynet i at tolletaten bare har adgang til søk i valutaregisteret dersom det er hjemmel i tollovens bestemmelser om personkontroll og at det er bare disse bestemmelsene som gir grunnlag for å kreve eller be om opplysninger fra privatpersoner I NOU 2009 Tiltak mot skatteunndragelser kap 8 har et samlet utvalg foreslått å endre ordlyden i tolloven 13 4 slik at den blir mer i samsvar med tilsvarende hjemler ellers i skatte og avgiftsregelverket herunder ligningsloven 4 10 og merverdiavgiftsloven 15 11 6 Datatilsynets vurdering Datatilsynet har i sitt vedtak lagt til grunn at den aktuelle innhentingen av personopplysninger krever hjemmel i lov jf personopplysningsloven 8 annet alternativ Dette gjelder både for oppslag i valutaregisteret og for innhenting av opplysninger fra den registrerte selv Ved vurderingen er det lagt stor vekt på at behandlingen pålegges den registrerte den har et kontrollformål som retter seg mot privatpersoner og det er initiert av offentlig myndighet Datatilsynet har lagt vekt på hva det objektive formålet med innhentingen er og ikke hvordan formålet blir forstått av den registrerte som en anmodning eller en kontroll Formålet med innhentingen er kontroll og det må være avgjørende Henvendelsen er uansett utformet slik at det også rent subjektivt kan oppleves som en kontroll Datatilsynet fastholder derfor at den aktuelle behandlingen krever hjemmel i lov Tilsynet har vurdert valutaregisterloven 6 tolloven 13 1 og 13 4 og merverdiavgiftsloven 15 11 og er kommet til at behandlingen ikke har tilstrekkelig klar hjemmel i de nevnte lover Datatilsynet viser til legalitetsprinsippet og forholdsmessighetsvurderingen som skal gjøres jo mer inngripende behandlingen er desto sterkere og klarere må lovhjemmelen være Når det gjelder valutaregisterloven 6 mener Datatilsynet at ordet kontrollvirksomhet er brukt for å begrense bruken av opplysningene i registeret mot annen virksomhet som etatene har ikke for å etablere kontrollkompetanse hos den enkelte etat Av lovens forarbeider fremgår det at intensjonen med valutaregisteret var å gi enkelte etater et nytt elektronisk verktøy for å forenkle deres kontrollvirksomhet Det fremkommer ikke opplysninger som at man samtidig søker å utvide kontrolladgangen i forhold til det som gjaldt før loven ble vedtatt Tvert imot skal det brukes i etatenes alminnelige kontrollvirksomhet Valutaregisterloven må leses i lys av annet regelverk Loven inneholder fellesbestemmelser for en rekke etater som hver på sitt område har ulik kompetanse Kompetansen reguleres i særlovgivningen for eksempel tolloven Datatilsynet fastholder at valutaregisterloven 6 ikke i seg selv etablerer en kontrolladgang for tollvesenet Det må foreligge en kontrolladgang etter andre bestemmelser Når det gjelder merverdiavgiftsloven 15 11 mener Datatilsynet at bestemmelsen ikke gir hjemmel for tollvesenets innhenting av personopplysninger fra valutaregisteret og den registrerte selv Det er normalt ikke tilstrekkelig for å etablere kontrollkompetanse for en offentlig etat at det foreligger en lovhjemmel som pålegger en plikt eller oppstiller et forbud for den enkelte borger Det må kreves at det i tillegg foreligger en lovhjemmel som gir etaten kompetanse til å gjennomføre tiltak rettet mot den enkelte for å avdekke om loven etterleves og eventuelt på hvilke vilkår slik kompetanse oppstår Merverdiavgiftsloven 15 11 regulerer avgiftssubjekters og avgiftspliktiges plikt til å gi opplysninger og yte bistand i forbindelse med en avgiftskontroll Den etablerer imidlertid ikke kompetanse for tollvesenet til å rette kontrolltiltak mot enkeltpersoner selv om den klart forutsetter at tollvesenet har kontrollkompetanse Det må derfor foreligge en kontrolladgang etter andre bestemmelser Når det gjelder tolloven 13 4 så gjelder den kontroll hos virksomheter og gir ikke hjemmel for tollvesenets kontroll av privatpersoner Datatilsynet har lagt til grunn at heller ikke tollovens 13 1 bokstav e hjemler etterkontroll av privatpersoners vareførsel idet kontrollen ble gjennomført mange år etter grensepassering eller antatt vareførsel Datatilsynet er derfor kommet til at tolloven kun gir hjemmel for å gjennomføre kontroller av enkeltpersoner i rimelig tilknytning til en grensepassering 7 Personvernnemndas merknader Datatilsynet har fattet vedtak om at toll og avgiftsdirektoratet må gjennomgå etatens rutiner for kontroll av privatpersoner for å sikre at fremtidig kontrollvirksomhet ikke går utover de fullmakter som lovgiver uttrykkelig har gitt i lovs form jf tolloven 13 1 litra e om personkontroll Det vises til Datatilsynets vedtak gjengitt i punkt 3 ovenfor 7 1 Foreligger hjemmel for å be privatpersoner om opplysninger i kontrolløyemed Personvernnemnda skal først vurdere det første punktet i tilsynets vedtak nemlig hvorvidt etatens praksis med å be privatpersoner om å gi opplysninger har hjemmel Etter nemndas syn kan punkt 1 deles i to underspørsmål Det ene er spørsmål om det foreligger hjemmel for å be om opplysninger og det andre er om det foreligger hjemmel for å innhente opplysninger Første spørsmål blir behandlet i dette punkt og andre spørsmål blir behandlet under punkt 7 2 Når det gjelder å be om opplysninger har Datatilsynet har tatt som standpunkt at tollmyndighetene ikke kan spørre privatperson om identifiserte uttak forbruk i utlandet i ettertid og om hva disse penger ble brukt til Tilsynet mener at slikt spørsmål krever hjemmel i lov jf legalitetsprinsippet Nemnda kan ikke dele denne rettslige forståelse Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak er ikke omfattet av legalitetsprinsippet Spørsmålet i seg selv gir ingen faktiske eller rettslige virkninger At informasjon til det aktuelle forvaltningsorgan kan føre til at det treffes vedtak også inngripende vedtak er en annen sak Da vil dette eventuelle vedtak møte legalitetsprinsippet og spørsmålet om det foreligger hjemmel i lov vil oppstå Videre kan man se spørsmålet om opplysninger slik at tolletaten har opprettet en sak ved henvendelsen til pengebrukeren vareeieren Tolletaten gir så varsel om dette i henhold til forvaltningsloven 16 første ledd Her forutsettes at parten orienteres om sin mulighet og rett til å uttale seg om saken Hvis det så er noen spesifikke problemstillinger i saken som for eksempel hva pengene ble brukt til vil tolletaten ha ansvar for å utrede dette i henhold til forvaltningsloven 17 første ledd Den saklig korrekte måte å utrede et faktumspørsmål på omfatter også ofte å spørre parten hva parten mener om faktum Det kan etter omstendighetene derfor være en lovbestemt plikt for tolletaten til å spørre og ikke et spørsmål om det foreligger lovhjemmel som gir tolletaten en rett til å spørre eller be om opplysninger 7 2 Foreligger hjemmel for å pålegge privatpersoner å gi opplysninger i kontrolløyemed Det neste spørsmål er hvorvidt tolletaten kan pålegge en privatperson å gi opplysninger eller utlevere dokumenter som kan medvirke til å kaste lys over saken Etter nemndas syn er det ved dette spørsmålet man møter legalitetsprinsippet fordi unnlatelse av å etterkomme et slikt pålegg kan føre til rettslige sanksjoner Klager har påberopt merverdiavgiftsloven 15 11 som rettslig grunnlag for pålegg om utlevering Bestemmelsen lyder Et avgiftssubjekt skal uten opphold legge fram utlevere eller sende inn registrerte og dokumenterte regnskapsopplysninger regnskapsmateriale og andre dokumenter av betydning for avgiftskontrollen når avgiftsmyndighetene krever det Med dokumenter menes også elektronisk lagrede dokumenter Pliktene gjelder også elektroniske programmer og programsystemer Avgiftssubjektet plikter å gi fullstendige opplysninger om forhold som myndighetene finner kan ha betydning for kontrollen Det samme gjelder den som er ansvarlig for merverdiavgift ved innførsel av varer samt den som er pålagt bokføringsplikt etter bokføringsloven 2 tredje ledd Plikten gjelder avgiftssubjektet Avgiftssubjekt er definert i merverdiavgiftsloven 1 3 bokstav d som avgiftssubjekt den som er eller skal være registrert i Merverdiavgiftsregisteret På grunn av denne formuleringen gjelder som utgangspunkt ikke utleveringsplikten for privatpersoner Imidlertid fortsetter loven ved å slå fast at det samme gjelder for den som er ansvarlig for merverdiavgift ved innførsel av varer En naturlig språklig forståelse vil være at dette viser tilbake til den som fører varen inn Merverdiavgiftshåndboken 2011 i sin kommentar til merverdiavgiftsloven 15 11 gir uttrykk for den samme oppfatning Vi kan ikke se at det foreligger relevante kilder som skulle medføre et annet resultat Merverdiavgiftsloven 15 11 gir derfor hjemmel for å pålegge privatpersoner å gi opplysninger og å legge frem dokumentasjon i kontrolløyemed Tolletaten har således hjemmel til å innhente informasjon fra privatpersoner med hjemmel i merverdiavgiftsloven 15 11 7 3 Foreligger hjemmel for søk i valutaregisteret i kontrolløyemed Personvernnemnda skal så gå over til å vurdere det siste punktet i tilsynets vedtak nemlig hvorvidt toll og avgiftsetaten har hjemmel til å søke i valutaregisteret i kontrolløyemed Tolletaten har tilgang til valutaregisteret og foretar søk i registeret etter privatpersoners forbruk av penger i utlandet Tollvesenet undersøker dernest med sine registre om eventuelle varekjøp er deklarert for merverdiavgift og eller toll Dette er behandling av personopplysninger jf personopplysningsloven 2 nr 2 som krever behandlingsgrunnlag jf personopplysningsloven 8 I denne saken skal Personvernnemnda vurdere hvorvidt tollvesenet har behandlingsgrunnlag for å behandle personopplysninger for det formål å kontrollere enkeltpersoners vareinnførsel fra utlandet jf personopplysningsloven 8 jf 11 Personopplysningsloven krever behandlingsgrunnlag og nemnda vil vurdere om behandlingsgrunnlag foreligger Datatilsynet har lagt til grunn at tolletaten må ha hjemmel i lov for den behandling av personopplysninger som utføres og at nåværende praksis for kontroll av privatpersoner går utover de fullmakter som lovgiver uttrykkelig har gitt i lovs form jf tolloven 13 1 litra e om personkontroll Tilsynet er av den oppfatning at etatens praksis med å gjennomføre søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre med mindre tollovens hjemler for personkontroll kommer til anvendelse I det følgende vil nemnda gå nærmere igjennom kravet til hjemmel i lov 7 3 1 Kreves hjemmel i egen lov Spørsmålet er om legalitetsprinsippet krever lovhjemmel i denne saken I denne sammenheng er det et spørsmål om kontroll og etterforskning for å undersøke om vareførsel er blitt deklarert Dersom vareførsel er gjennomført uten deklarasjon inn i Norge kan det foreligge smugling og unndragelse av toll og avgiftsbetaling Nemnda vil først vurdere hvorvidt det er krav om hjemmel for å skaffe informasjon og etterforske Forarbeidene til personopplysningsloven Ot prp nr 92 1998 99 kap II uttaler at Om behandlingen er så forankret i lov at dette alternativet får anvendelse må avgjøres ved å tolke loven som eventuelt hjemler behandlingen Hjemmelskravet er relativt slik at det kreves klarere hjemmel jo større personvernmessige konsekvenser behandlingen kan få I fjordlaksdommen Rt 1995 s 530 uttalte Høyesterett følgende Etter min mening kan en ikke ut fra rettspraksis vedrørende råfiskloven trekke den konklusjon at det på dette området generelt gjelder et krav om klar og uomtvistelig lovhjemmel Det er vesentlige ulikheter mellom vår sak og de saker der en kan finne hjemmelskravet formulert slik Jeg antar med bakgrunn i teori og rettspraksis at kravet til lovhjemmelen må nyanseres blant annet ut fra hvilket område en befinner seg på arten av inngrepet hvordan det rammer og hvor tyngende det er overfor den som rammes Også andre rettskildefaktorer enn loven selv må etter omstendighetene trekkes inn En slik mer sammensatt vurdering må etter min mening legges til grunn ved avgjørelsen av de hjemmelsspørsmål som oppstår i denne saken Hvorvidt det kreves eksplisitt hjemmel eller det er tilstrekkelig at det er forutsatt i loven ble behandlet i PVN 2010 10 SATK hvor nemnda uttalte følgende Personvernnemnda er enig i at vegtrafikkloven 5 tredje ledd må anses for å gi hjemmel for registreringen Selv om selve registreringen ikke er eksplisitt nevnt i lovbestemmelsen må det etter nemndas mening tolkes inn under passusen for kontroll av trafikk Dette følger også av formålet med og intensjon bak lovbestemmelsen samt praktiseringen av denne for ATK Klager har således lovhjemmel som behandlingsgrunnlag Legalitetsprinsippet er gradert og hjemmelskravet relativt Etter nemndas syn er ikke inngrepet i denne saken altså etterforskning i form av søk i valutaregisteret for å undersøke om privatperson har innført varer til landet uten å deklarere så stort at det krever eksplisitt lovhjemmel I forhold til legalitetsprinsippet er det derfor ikke et krav om klar og uomtvistelig lovhjemmel i denne saken 7 3 2 Gir valutaregisterloven hjemmel for søk i registeret i kontrolløyemed Det er et forbud i personopplysningsloven mot å behandle personopplysninger uten behandlingsgrunnlag Nemnda vil derfor vurdere hvorvidt valutaregisterloven 6 gir behandlingsgrunnlag for søk i valutaregisteret i tolletatens kontrolløyemed Valutaregisterloven kom i 2004 og lovens 6 gir enkelte etater tilgang til opplysningene i registeret Politiet skatteetaten toll og avgiftsetaten Arbeids og velferdsdirektoratet og Finanstilsynet skal ha elektronisk tilgang til opplysningene i registeret Søk i registeret skal kun skje ut fra disse etatenes behov for opplysninger i forbindelse med forebygging og bekjempelse av kriminalitet kontrollvirksomhet og tilsyn Det følger av lovbestemmelsen at de offentlige myndigheter nevnt i bestemmelsens første ledd skal ha elektronisk tilgang til opplysningene i registeret Disse etatene vil kunne foreta søk i registeret og hente ut relevant informasjon Søk i registeret kan gjøres både i forbindelse med stikkprøvekontroller og andre kontroller som er en del av etatens alminnelige kontrollvirksomhet I forarbeidene Ot prp nr 35 2003 2004 pkt 4 2 3 gis det følgende begrunnelse for at tolletaten skal få slik tilgang til registeret Toll og avgiftsetatens behov for kontrollopplysninger om utenlandstransaksjoner vil ikke bli mindre Økt internasjonalisering økt reisevirksomhet og økt handel over landegrenser gjør at toll og avgiftsetaten trenger tilgang til opplysninger som kan bekrefte avkrefte de opplysninger som oppgis til tollmyndighetene alternativt bidra til avdekking av transaksjoner som ikke er oppgitt til toll og avgiftsmyndighetene Kontrollene på dette feltet kan være både omfattende og kompliserte og effektive elektroniske verktøy er helt vesentlig Når det gjelder hensynet til enkeltpersoners personvern uttales det i forarbeidene punkt 6 2 4 Departementet er opptatt av at hensynet til den enkeltes personvern skal ivaretas på best mulig måte Inngrepet i personvernet blir større jo mer detaljert rapportering det legges opp til Samtidig vil et detaljert register kunne være til bedre hjelp for kontrolletatene i deres arbeid Departementet foreslår at ordningen med rapportering av aggregerte summer videreføres og at kun transaksjoner over en viss beløpsgrense rapporteres enkeltvis Beløpsgrensen foreslås satt til NOK 25 000 Grensen heves da i forhold til dagens beløpsgrense Videre blir det samsvar med grensen for rapportering av inn og utførsel av kontanter som også er på NOK 25 000 En slik beløpsgrense innebærer at det ikke vil bli rapportert enkelttransaksjoner på lavere beløp Enkelttransaksjoner på NOK 25 000 eller mer vil bli rapportert og registrert For korttransaksjoner med beløp under beløpsgrensen vil det bli foretatt aggregeringer det vil si at det rapporteres samlesummer pr kort pr måned pr land for nordmenns bruk i utlandet og pr kort pr måned for utlendingers bruk i Norge Beløpsgrensen på NOK 25 000 vil bli fastsatt i forskrift Om etatenes tilgang til registeret uttaler forarbeidene kap 7 4 Etatene som gis søkeadgang i registeret vil kunne benytte de fremsøkte data i sitt arbeid i samsvar med valutaregisterlovens formål og etter de saksbehandlingsregler som gjelder for etaten Departementet kan ikke se at personvernhensyn taler avgjørende mot dette Det følger imidlertid av lovens

    Original URL path: http://www.personvernnemnda.no/vedtak/2011_09.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    i brev fra nemnda datert 30 3 2010 med frist til uttalelse innen 19 4 2010 Brev fra klager kom inn 2 4 2010 og 7 4 2010 med vedlegg Personvernnemnda tilskrev Datatilsynet med kopi til klager 5 10 2010 og ba om ytterligere opplysninger Klager tilskrev Datatilsynet 6 10 2010 og ba om å være kopimottaker på Datatilsynets svar Datatilsynet besvarte brevet 8 10 2010 Personvernnemnda avgjorde saken 9 11 2010 Datatilsynet tolket avgjørelsen dit hen at tilsyn måtte foretas Tilsyn hos Arendal kommune ble gjennomført 1 3 2011 Datatilsynets konklusjoner fremkom av kontrollrapport datert 29 7 2011 Klager kontaktet Datatilsynet med kommentarer til rapporten og feil og mangler som klager ønsket å gjøre tilsynet oppmerksom på i brev av 8 12 og 26 8 2011 Datatilsynet besvarte henvendelsene i brev av 29 8 2011 og meddelte at saken var avsluttet fra tilsynets side Klager innklaget saken for Personvernnemnda 4 9 2011 Saken ble oversendt Personvernnemnda 15 9 2011 som mottok saken 19 9 2011 Klager ble orientert om dette i brev fra nemnda datert 6 10 2011 med frist til uttalelse innen 20 10 2011 Brev fra klager kom inn 27 9 2011 deretter mottok nemnda en e post fra klager 4 10 2011 og et tilleggsnotat per e post 20 11 2011 3 Faktum Saken dreide seg opprinnelig om en påstand om at det var registrert feilaktige opplysninger om klageren i Arendal kommunes registre at klager ikke hadde fått tilstrekkelig innsyn i dokumentene at tilgangsstyringen til registeret ikke var tilstrekkelig og at kommunen ikke hadde beklaget forholdet på tilstrekkelig måte overfor klager Nemnda kom til at saken ikke var tilstrekkelig opplyst jf forvaltningsloven 17 Det ligger dokumenter i kommunens sakssystem hvor klager er betegnet som psykisk syk og med unormale personlighetstrekk Kommunen er dømt til å betale erstatning til klager i lagmannsretten og lagmannsretten la til grunn at klagers sykdom og uføretrygding var et resultat av kommunens håndtering av denne saken Nemnda kom til at når det er blitt avsagt dom med et slikt innhold så burde Datatilsynet for å sikre forsvarlig saksbehandling og resultat undersøke hva som hadde skjedd og hva kommunen hadde gjort Unnlatt tilsyn var således en saksbehandlingsfeil i denne saken Saken ble sendt tilbake til Datatilsynet slik at det kunne gjennomføres tilsyn hos kommunen Personvernnemnda mente at ved et tilsyn kunne Datatilsynet sjekke tilgangskontrollen samt avdekke om det var registrert feilaktige opplysninger om eller ukorrekte karakteristikker av klageren i Arendal kommunes registre og dersom opplysningene var ukorrekte sørge for at disse ble rettet supplert på adekvat måte eller sladdet Tilsyn stedlig kontroll ble gjennomført Klager har påklaget kontrollen 4 Klagers anførsler Klager anfører at når Datatilsynet skriver at Saken har nå pågått i 3 år og Datatilsynet kan ikke se hvordan tilsynet kan oppfylle utredningsplikten i henhold til forvaltningslovens 17 i større grad enn det allerede er gjort vil klager påpeke at kommunen i løpet av tiden og fram til varsel om tilsyn har unnlatt å få fram opplysninger og dokumentasjon i saken både etter forvaltningslovens alminnelige regler om saksbehandling og saksforberedelse og i henhold til opplysningsplikten Datatilsynet har fortsatt lagt Arendal kommune v saksbehandler Trond Bergs svar til grunn uten å kontrollere at dette er korrekt Kontrollrapporten bærer preg av enetale fra kommunens saksbehandler Datatilsynet synes å ha vært lite grundig i forhold til å kontrollere kommunens datasystem KONTOR 2000 fra og med 2005 hvor sakens dokumenter befinner seg I stedet har tilsynet konsentrert seg om systemet Ephorte som kommunen startet opp med i februar 2010 og som i så måte er irrelevant for saken Klager er av den oppfatning at alvorlighetsgraden er svært stor når et offentlig organ i sine registre legger inn alvorlige usanne støtende krenkende stigmatiserende og ødeleggende opplysninger om en privatperson Klager vil bemerke at det hun har opplyst Datatilsynet om er at dokumentene unntatt offentlighet beviselig har ligget tilgjengelig for uvedkommende fra januar 2005 til utpå høsten 2007 men at de mest sannsynlig har vært tilgjengelig for uvedkommende helt fram til februar 2010 da kommunen gikk over til nytt saksarkivsystem Ephorte Klager har ikke klaget over at saksbehandlere som håndterte klagerens sak i 2002 ikke var tilstede under tilsynet Det var ingen saksbehandlere på saken i 2002 slik Datatilsynet anfører Med unntak av rådmannen forholdt kommunen seg passiv Arbeidstilsynet skrev sitt første brev til Arendal kommune 20 9 2005 og siden 2006 er det kun Trond S Berg som har vært saksbehandler på saken Det vises til lagmannsrettens anførsler side 11 Sakens omfang har først og fremst blitt til etter stevningen Det er klagers tidligere enhetsledere som vet at klager var kommunens arkivleder Det er kun 3 personer i kommunen som kan saken Av mellomledere var det kun en enhetsleder som var til stede under tilsynet Han er forholdsvis nytilsatt i kommunen og kjenner overhodet ikke klager eller hvilke funksjoner og arbeidsoppgaver klager har hatt i kommunen Han har heller ikke kjennskap til noe av saken da denne er fra før hans tid i kommunen Rådmannen som er nokså godt kjent med saken var ikke til stede Når det gjelder tilgangsstyring så henviser Datatilsynet til Datatilsynets funn ved nåværende arkivsystem Nåværende arkivsystem som først ble tatt i bruk av kommunen i februar 2010 er irrelevant i saken Klager har hele tiden omtalt systemet KONTOR 2000 hvor sakens dokumenter befinner seg Det klager har informert Datatilsynet om er systemsvikten i KONTOR 2000 ESA fra og med januar 2005 da databasen ble reorganisert og nye grunndata ble lagt inn ikke Ephorte fra februar 2010 Klager har også opplyst Datatilsynet om at hun selv hadde vanlig lesetilgang og var knyttet opp mot Rådhusenheten i kommunens datasystem KONTOR 2000 ESA fram til utpå høsten 2007 og varslet kommunen om systemsvikten allerede tidlig i 2005 Andre ansatte har meddelt at uvedkommende også hadde tilgang til sensitive personopplysninger etter høsten 2007 da klager ikke lenger hadde lesetilgang At Datatilsynet hevder at nåværende arkivsystem gjenspeiler gamle arkivsystemer kan nok overfladisk synes slik da organiseringen er den samme i KONTOR 2000 fra januar 2005 og

    Original URL path: http://www.personvernnemnda.no/vedtak/2011_08.htm (2014-09-28)
    Open archived version from archive