Tilgang til SIS (rett til direkte søk) skal kun gis til personer som har fått særskilt bemyndigelse. Slik bemyndigelse skal bare gis til kvalifiserte personer som har gjennomgått opplæring. Den registeransvarlige utarbeider retningslinjer om de nærmere kvalifikasjonskravene. Bemyndigelse gis av riksadvokaten, den stedlige politimester, sjefen for vedkommende særorgan eller lederen for vedkommende utlendings- eller vegmyndighet. De som har gitt bemyndigelse plikter å gi registeransvarlig melding om at en bemyndigelse er trukket tilbake og hva som er begrunnelsen for dette.
|
a) | det er registrert uriktige faktiske opplysninger, |
b) | den registrerte opplysning er ufullstendig, slik at registreringen fremstår som misvisende, |
c) | registreringen ikke er i samsvar med vilkårene i SIS-loven §§ 5 - 9 eller |
d) | vedtak eller beslutning som ligger til grunn for registrering er endret eller omgjort. |
Begjæring om retting og sletting kan ikke begrunnes med at det hefter feil ved den beslutning som ligger til grunn for registreringen, som f.eks. vedtak om utvisning, beslutning om pågripelse mv. I slike tilfelle skal den som begjærer retting eller sletting henvises til å benytte seg av de klagemuligheter som gjelder på vedkommende område.
Begjæringer om retting og sletting av uriktige opplysninger avgjøres i første instans av den registeransvarlige.
Er begjæringen fremsatt for den registeransvarlige, skal begjæringen oversendes til den myndighet som har besluttet registrering med anmodning om uttalelse. Er begjæringen fremsatt for den myndighet som har besluttet registrering, skal denne videresende begjæringen til den registeransvarlige med medfølgende uttalelse.
Dersom der er registrert opplysninger som er uriktige, ufullstendige eller som ikke er i samsvar med SIS-loven, skal den registeransvarlige på begjæring av den registrerte sørge for at opplysningene rettes, suppleres eller slettes. Det samme gjelder dersom den registeransvarlige selv eller annen myndighet oppdager feil eller blir gjort oppmerksom på feilaktige registreringer.
I de tilfellene som nevnt i første ledd skal den registeransvarlige i tillegg så vidt mulig sørge for at feilen ikke får betydning for den registrerte, f.eks. ved å varsle mottakere av utleverte opplysninger med anmodning om tilsvarende retting eller sletting.
Dersom begjæring om retting eller sletting gjelder en registrering som nevnt i § 3-4 første ledd som er foretatt av en annen konvensjonspart, skal den registeransvarlige uten opphold underrette denne konvensjonsparten med anmodning om å rette, supplere eller slette opplysningene. Det samme gjelder dersom den registeransvarlige selv eller annen myndighet oppdager feil ved registreringen.
Dersom den annen konvensjonspart ikke etterkommer anmodningen, kan den registeransvarlige bringe saken inn for Politidirektoratet som klagesak. Bestemmer Politidirektoratet at opplysningen skal rettes eller slettes, sørger den registeransvarlige for fullbyrdelse av Politidirektoratets beslutning i samsvar med § 7-1, jf. SIS-loven § 24 første ledd. Politidirektoratets avgjørelse er ikke gjenstand for videre klagebehandling.
0 | Endret ved forskrift 22 sep 2006 nr. 1087. |
Dersom begjæring om retting eller sletting ikke etterkommes, skal den registrerte gis underretning om dette med angivelse av begrunnelsen for avslaget.
Dersom begjæringen tas helt eller delvis til følge, skal det gis underretning om at opplysningene er slettet eller hvilke rettelser som ble foretatt. I disse tilfellene skal den registrerte samtidig gjøres oppmerksom på erstatningsreglene i SIS-loven § 18.
Utover dette gjelder saksbehandlingsreglene i henhold til SIS-loven § 17.
Krav om erstatning kan kun fremsettes av den registrerte eller eieren av registrert gjenstand som ble påført skade som følge av at opplysninger er registrert eller brukt i strid med reglene for behandling av opplysninger i SIS.
Krav om erstatning kan fremsettes uavhengig av om registreringen ble foretatt av norsk myndighet eller annen konvensjonspart.
Krav om erstatning kan enten fremsettes for den registeransvarlige eller den myndighet som har besluttet registrering.
Krav om erstatning skal være skriftlig og undertegnet med angivelse av skadens art og omfang.
Krav om erstatning må fremsettes senest ett år etter at den skadelidte er blitt kjent med registreringen.
Krav om erstatning avgjøres i første instans av den registeransvarlige i samsvar med § 18 første og annet ledd i SIS-loven.
Er erstatningskravet fremsatt for den registeransvarlige skal saken oversendes til den myndighet som har besluttet registrering med anmodning om uttalelse. Er erstatningskravet fremsatt for den myndighet som har besluttet registrering, skal denne videresende saken til den registeransvarlige med medfølgende uttalelse.
Gjelder erstatningskravet en melding som er lagt inn av en annen konvensjonspart, skal den registeransvarlige gi denne konvensjonspart anledning til å uttale seg før saken avgjøres. Den registeransvarlige er dog ikke bundet av den annen konvensjonsparts anbefaling.
Den registrerte eller eieren av en registrert gjenstand kan påklage avgjørelser om innsyn, retting eller sletting og erstatning til Politidirektoratet.
Klagen sendes til Politidirektoratet via den registeransvarlige.
Klagen skal være skriftlig og undertegnet. Klagen skal nevne den beslutning som det klages over og den endring som ønskes i den beslutning det klages over. Klagen bør også nevne de grunner klagen støtter seg til.
Fristen for klage er 3 uker fra det tidspunkt underretning om den registeransvarliges beslutning er kommet frem til den registrerte eller eieren av registrert gjenstand.
0 | Endret ved forskrift 22 sep 2006 nr. 1087. |
Den registeransvarlige undergir klagen forberedende behandling og sender den videre til departementet med medfølgende uttalelse. Den registeransvarlige skal alltid vurdere om klagen gir grunnlag for omgjøring av den registeransvarliges beslutning.
Ved klagebehandling i saker som gjelder innsyn og retting eller sletting av uriktige opplysninger, skal Politidirektoratet forelegge saken for Datatilsynet til uttalelse før klagesaken avgjøres.
I klagesaker som gjelder innsyn har klageren ikke rett til å gjøre seg kjent med sakens dokumenter.
0 | Endret ved forskrift 22 sep 2006 nr. 1087. |
Opplysninger om personer og gjenstander skal slettes når formålet med registreringen er oppnådd. Det samme gjelder dersom den registrerte opplysning ikke lenger kan anses nødvendig for å oppnå formålet eller det av andre grunner ikke lenger anses hensiktsmessig å oppbevare opplysningen.
Den registeransvarlige plikter å etablere rutiner for å sikre at behovet for å slette registrerte opplysninger blir jevnlig vurdert.
Opplysninger om personer som er registrert i medhold av SIS-loven § 7 skal som hovedregel slettes etter tre år. Den registeransvarlige kan deretter for tre år av gangen beslutte fortsatt registrering dersom formålet med registreringen ikke er oppnådd og det anses nødvendig å oppbevare opplysningen for å oppnå formålet med registreringen.
Opplysninger som er registrert i medhold av SIS-loven § 7 nr. 1 skal senest slettes når det straffbare forhold som ligger til grunn for registreringen er foreldet.
Opplysninger om personer og kjøretøyer som er registrert i medhold av SIS-loven § 8 skal som hovedregel slettes etter ett år. Den registeransvarlige kan beslutte fortsatt registrering dersom formålet med registreringen ikke er oppnådd og den registeransvarlige finner det nødvendig å oppbevare opplysningen for å oppnå formålet med registreringen.
Den registeransvarlige og databehandleren (øvrige myndighetene som har tilgang til SIS) skal etablere og holde vedlike planlagte systematiske tiltak (internkontroll) som er nødvendig for å oppfylle kravene i SIS-loven og bestemmelser gitt i medhold av SIS-loven.
Tiltakene skal særlig legge vekt på å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger i SIS. Tiltakene skal stå i forhold til sannsynligheten for og konsekvensene av sikkerhetsbrudd.
Med konfidensialitet menes beskyttelse mot utilsiktet innsyn, med tilgjengelighet menes tilsiktet innsyn, og med integritet menes beskyttelse mot utilsiktet endring.
Datatilsynet kan gi pålegg om sikring av opplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av opplysninger.
Den registeransvarlige og lederen av de myndigheter som har direkte tilgang til SIS har ansvar for at bestemmelsene i dette kapittelet følges.
Formålet med behandling av opplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål.
Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi.
Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat.
Resultat fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og -strategi.
Ved endringer som har betydning for informasjonssikkerheten skal risikovurdering gjennomføres for å klarlegge sannsynligheten for, og konsekvenser av sikkerhetsbrudd.
Resultat fra risikovurdering skal sammenlignes med fastlagte kriterier for akseptabel risiko forbundet med behandlingen av opplysninger.
Resultat av risikovurdering skal dokumenteres.
Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig.
Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonsparter og leverandører.
Dersom sikkerhetsrevisjon avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik jf. § 7-6.
Resultat fra sikkerhetsrevisjon skal dokumenteres.
Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik.
Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse.
Dersom avviket har medført uautorisert utlevering av opplysninger hvor konfidensialitet er nødvendig, eller ved mistanke om slik utlevering, skal Datatilsynet varsles.
Resultat fra avviksbehandling skal dokumenteres.
Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet.
Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra daglige leder hos den registeransvarlige eller hos de myndigheter som har tilgang til SIS.
Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås.
Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den registeransvarliges daglige leder.
Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner.
Medarbeidere hos den registeransvarlige og hos de myndigheter som har tilgang til SIS skal kun bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk, jf. § 1-6.
Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt.
All bruk av informasjonssystemet skal registreres.
Medarbeidere hos den registeransvarlige og hos myndigheter som har tilgang til SIS skal pålegges taushetsplikt for opplysninger i SIS. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten.
Det skal treffes tiltak mot uautorisert adgang til utstyr benyttet for behandling av opplysninger etter denne forskriften.
Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr med betydning for informasjonssikkerheten.
Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av opplysninger.
Det skal treffes tiltak mot uautorisert innsyn i opplysninger i SIS
Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten.
Lagringsmedium som inneholder opplysninger fra SIS, skal merkes slik at behovet for konfidensialitet fremgår.
Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet.
Det skal treffes tiltak for å sikre tilgang til opplysninger hvor tilgjengelighet er nødvendig.
Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for informasjonssikkerheten.
Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk.
Det skal opprettes kopier av opplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk.
Det skal treffes tiltak mot uautorisert endring av opplysninger i SIS der integritet er nødvendig.
Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for informasjonssikkerheten.
Det skal treffes tiltak mot ødeleggende programvare.
Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet, og gjøre det mulig å oppdage forsøk på slik bruk.
Forsøk på uautorisert bruk av informasjonssystemet skal registreres.
Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre.
Hver overføring av personopplysninger skal registreres for å kunne kontrollere om søkene er tillatt eller ikke. Registreringen kan bare brukes for dette formål og slettes tidligst etter ett år og senest etter tre år.
Sikkerhetstiltak skal dokumenteres.
0 | Endret ved forskrift 22 sep 2006 nr. 1087. |
Den registeransvarlige eller de myndigheter som har tilgang til SIS skal bare overføre opplysninger elektronisk til kommunikasjonsparter som tilfredsstiller kravene i dette kapittelet.
Leverandører som gjennomfører sikkerhetstiltak eller annen bruk av informasjonssystemet, på vegne av den registeransvarlige, skal tilfredsstille kravene i dette kapittelet.
Den registeransvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonsparter og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale eller instruks.
Den registeransvarlige skal ha kunnskap om sikkerhetsstrategien hos slike virksomheter, og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet som resultat.
Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres.
Dokumentasjon skal lagres i minimum 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave.
Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minimum 3 måneder. Registreringer av alle hendelser med betydning for informasjonssikkerheten skal lagres i minimum 3 måneder.
Forskriften trer i kraft 1. januar 2001.
Databasen sist oppdatert 21. feb 2008