| (25.11.2006) Redaksjonen Datatilsynet |
Kommunene skal selv vurdere hvilke behandlinger av personopplysninger som er meldepliktige og hvilke behandlinger som er konsesjonspliktige.
Datatilsynet har gjennomgått en del vanlige behandlinger for å hjelpe kommunene et stykke på vei. Men det er viktig å merke seg at kommunen selv må vurdere egne lovhjemler og om vilkårene for unntak er oppfylt for sine egne behandlinger.
Kommunen har behov for å behandle opplysninger om enkeltpersoner i en rekke sammenhenger for å utføre sine oppgaver. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysninger. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger, samt manuell behandling av sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stedet.
Kravet til melding og konsesjon gis i personopplysningsloven og helseregisterloven. Personopplysningsloven er en generell lov som gjelder alle virksomheters bruk av opplysninger om enkeltmennesker. Helseregisterloven er en spesiell lov som gjelder bruk av helseopplysninger i helsetjenesten og i helseforvaltningen.
Hvem er behandlingsansvarlig?
Ansvaret
for behandlingen ligger etter personopplysningsloven til kommunens
øverste ledelse (i meldeskjemaet er den ansvarlige benevnt
behandlingsansvarlig). I den gamle konsesjonen etter
personregisterloven var dette ansvaret tillagt etatssjefen (benevnt
registeransvarlig). Det er imidlertid naturlig nå at etatssjefen/
enhetsleder står for den daglige ledelse for oppfyllelse av den
behandlingsansvarliges plikter (kalt daglig ansvar i meldeskjemaet).
Fortsatt konsesjonsplikt
Noen
få behandlinger vil fortsatt ha konsesjonsplikt. Dette gjelder
elektronisk behandling av sensitive personopplysninger der behandlingen
ikke er hjemlet i lov; blant annet:
For planlegging, informasjon og samordning av helsetjenester antar Datatilsynet at kommunen kan oppfylle sine forpliktelser etter kommunehelsetjenestelovens § 1-4 ved bruk av statistisk materiale (anonymt). Da trengs hverken melding eller konsesjon.
Unntak fra konsesjonsplikt grunnet hjemmel i egen lov
Personopplysningsloven
§ 33 4. ledd gir unntak fra konsesjonsplikt for behandlinger av
personopplysninger som har hjemmel i egen lov. Disse behandlingene vil
følge hovedregelen om meldeplikt.
Kommunehelsetjenesten og helseforvaltning på kommunalt nivå skal forholde seg til både helseregisterloven og personopplysningsloven. Helseregisterloven gir også unntak fra konsesjonsplikt for behandling av helseopplysninger innen rammen av lovhjemmelen. (Helseregisterloven § 5 jf. personopplysningsloven § 33) Behandlingen vil da være meldepliktig etter helseregisterlovens § 29.
Her følger en oversikt over etater/virksomheter der Datatilsynet har vurdert det slik at virksomheten får meldeplikt i stedet for konsesjonsplikt for behandling av personopplysninger som ligger innen rammen av lovhjemmelen.
(NB - listen er ikke uttømmende - dette er bare eksempler)
| Etat/virksomhet | Hjemlende lov |
| Barnevern | Barnevernloven § 3-1 (jf. kap. 4) |
| Sosialtjenesten | Sosialtjenesteloven § 2-1 (jf. kap. 4, 5 og 6 |
| Rusmiddeletaten | Sosialtjenesteloven kap. 6 |
| PP-tjenesten | Opplæringsloven § 13-5, 1. ledd, jf. § 5-6 |
| Familievernkontorer | Familievernkontorloven § 11, jf. § 1 |
| Kontantstøtte-register: Kommunens registre over barn som tilfredsstiller vilkår for kontantstøtte | Barnehageloven § 8a |
| Kommunehelsetjenestens behandlingsrettede registre (journal)
/ pasientadministrasjon innen rammen av helsepersonellovens § 26 (Kommunen sender bare en melding om pasientjournal for sin behandlingsrettede virksomhet. NB - meldingen omfatter ikke pasientjournalene til leger med kommunal avtale. Disse må melde selv) |
Helsepersonelloven §§ 26 og 39 |
| Fylkestannlegens pasientjournal/ pasientadministrasjon innen rammen av helsepersonellovens § 26 | Helsepersonelloven §§ 26 og 39 |
Unntaket fra konsesjonsplikten gjelder bare så langt behandlingene skjer innenfor rammen av de enkelte lovene. Kommunen må selv vurdere om dette er tilfelle. For eksempel gjelder konsesjonsfritaket for behandling av elevopplysninger i skolene bare når behandlingen skjer innenfor rammen av opplæringsloven. Uavhengig av om behandlingen er fritatt konsesjonsplikt, skal den behandlingsansvarlige sørge for å oppfylle kravene personopplysningsloven pålegger. Eksempler på dette er samtykke, lovhjemler, informasjonssikkerhet og internkontroll.
Forskriften til personopplysningsloven unntar videre enkelte behandlinger fra konsesjonsplikten. Pleie- og omsorgsinstitusjoner er fritatt fra konsesjonsplikt dersom en del vilkår er oppfylt. (Se nederst for referanse.) Disse behandlingene vil følge hovedregelen om meldeplikt.
Fritak for både melde- og konsesjonsplikt
Barnehager
og skolefritidsordninger er unntatt både konsesjonsplikt og meldeplikt
etter personopplysningsforskriften. Det samme gjelder
personellregistre. Forutsetningen er at vilkårene i forskriften er
oppfylt. Se tabellen nederst for å finne riktig bestemmelse.
(NB - listen er ikke uttømmende - dette er bare eksempler)
| Personellregistre, så sant disse er innen rammen av personopplysningsforskriftens § 7-16. | Personopplysningsforskriften § 7-16. |
| Opplysninger om elever og studenter innen rammen av opplæringsloven eller universitetsloven | Personopplysningsforskriften § 7-20 |
| Opplysninger om barn i skolefritidsordning eller barnehage innen rammen av opplæringsloven eller barnehageloven | Personopplysningsforskriften § 7-21 |
| Personopplysninger om offentlige representanter | § 7 -17 |
Kommunene skal uansett ha disse opplysningene når de utvikler sitt internkontrollsystem. Dette er en plikt etter personopplysningsloven og helseregisterloven. Internkontrollsystemet skal bl.a. beskrive hvilke behandlinger som foretas, sikre at plikten til eventuell konsesjons- eller meldeplikt overholdes, samt beskrive hvordan rettighetene til de registrerte skal ivaretas.
Kommunens plikter etter personopplysningsloven
Den
behandlingsansvarlige har fått flere plikter etter
personopplysningsloven. Et fritak for konsesjons- eller meldeplikt
endrer ikke dette. Kommunen må blant annet ha lovhjemmel for
behandlingene, tilstrekkelig sikkerhet og internkontroll osv. For
videre utdyping av disse temaene se disse sidene:
Noen bestemmelser fra personopplysningsloven:
| Unntak fra konsesjonsplikt for behandlinger med hjemmel i lov (stat og kommune) | Personopplysningsloven § 33, 4. ledd |
| Hjemmel for behandling av personopplysninger | Personopplysningsloven §§ 8, 9 |
| Plikt til å ha et internkontrollsystem | Personopplysningsloven § 14 |
| Krav til sikkerhet | Personopplysningsloven § 13 |
Unntak fra konsesjons- og meldeplikt i personopplysningsforskriften:
| - Barnehager, skolefritidsordning (det stilles vilkår i bestemmelsen) |
Personopplysningsforskriften § 7 - 21 |
| - Personellregistre (det stilles vilkår i bestemmelsene) | Personopplysningsforskriften § 7-16 |
En
konsesjon gitt av Datatilsynet betyr at tilsynet har forhåndsgodkjent
den behandling av personopplysninger som er regulert i konsesjonen. Hva
som regnes som en behandling er definert i personopplysningsloven § 2
nr. 2. En eventuell konsesjon gis før behandlingen iverksettes.
Forhåndsgodkjenningen betyr at Datatilsynet mener at behandlingen den
behandlingsansvarlige ønsker å iverksette, oppfyller
personopplysningsloven på en tilfredsstillende måte. For å kunne foreta
en slik vurdering, er det nødvendig for Datatilsynet å få en forståelse
både for hva slags virksomhet den behandlingsansvarlige driver, og for
selve den behandlingen det søkes konsesjon for. Dette vil
konsesjonssøknadsskjemaet hjelpe til med.