Defenisjonar og omgrep

  • Personopplysning: Ei opplysning eller vurdering som eintydig kan knytast til ein einskildperson.
  • Handsamingsansvarleg: Den som har samla inn og forvaltar personopplysningane. Det er den einskilde kommunen ved kommunedirektøren som er handsamingsansvarleg for alle personopplysningar som vert nytta i samband med tenesteyting og forvaltning, også når desse opplysningane vert forvalta av andre på kommunen sine vegner.
    Ut over kommunedirektøren sitt overordna ansvar har den einskilde einingsleiar ansvar for at personopplysningar som vert nytta innan vedkomande sitt forvaltnings- eller tenesteområde, vert handsama i tråd med gjeldande lover og forskrifter. 
  • Datahandsamar: Den eller dei som handsamar personopplysningane på vegne av handsamingsansvarleg. Dette kan vere tilsette i kommunen, eller det kan vere eksterne tenesteleverandørar.
    Dersom kommunen nyttar eksterne tenestelevarandørar, pliktar kommunen å sikre at desse utfører sine tenester i tråd med gjeldande lov- og regelverk for handsaming av personinformasjon.
  • Sensitiv informasjon / særskilt informasjon: Dette er informasjon som er av ein slik art at den skal handsamast med ekstra varsemd. Døme på sensitive/særskilte  personopplysningar er opplysningar om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, om at ein person har vore mistenkt, sikta, tiltalt eller dømt for ei straffbar handling, om helsestatus, om seksuell legning, om medlemskap i fagforeningar.

Overordna prinsipp for forvaltning av personopplysningar

  • Med mindre det er lovheimel for innhenting av opplysningar eller bruk av opplysningane er naudsynt for at ynskte tenester skal kunne gjevast, er det frivillig for den einskilde personen om ein vil oppgi personopplysningar.
  • Det er den einskilde personen som «eig» personopplysningane om seg. All bruk av personopplysningar skal vere godkjent av «eigar» – med mindre det er eksplisitt lovheimel for noko anna.
  • All innsamling og bruk av personopplysningar skal ha eit føremål, og det skal verte oppgitt kven som er ansvarleg for handsaminga av opplysningane.
  • Handsamingsansvarleg pliktar å oppgi konkrete føremål for all innsamling og bruk. Det er ikkje høve til å bruke personopplysningane til andre føremål enn det som er oppgitt med mindre «eigar»er gjort merksam på dette, og samtykke er gitt.
  • Personopplysningar skal lagrast slik at kun dei som har sakleg grunn til det, har tilgjenge til dei. I dette ligg også at opplysningane skal skjermast for innsyn.
  • Personopplysningar skal kun lagrast så lenge det er eit sakleg behov for tilgjenge til dei.
  • Den som «eig» personopplysningane, skal til eikvar tid kunne få innsyn i kva personopplysningar kommunen har, kvar opplysningane kjem frå, kva opplysningane vert nytta til, kva lovheimel som er for denne bruken av opplysningane, og kva som skjer med opplysningane når kommunen ikkje lenger har bruk for dei.
  • Den som «eig» personopplysningar, har til ei kvar tid rett til å få endra feil i informasjonen.
  • Vidare kan «eigar» til ei kvar tid trekkje attende tidlegare gitt samtykke til bruk av personopplysningane. Dersom attendetrekking av eit samtykke kan medføre at kommunen eller andre ikkje vil vere i stand til å yte vedkomande tenester, skal kommunen informere om dette.

Ansvarleg forvaltar av personinformasjon i den einskilde kommune

Kommunedirektøren har eit overordna ansvar for all forvaltning av personinformasjon i ein kommune. Men det er einingsleiar som har ansvar for forvaltninga av personinformasjonen innan sitt fagfelt og sine tenesteområde. Den einskilde kommunen skal kunne opplyse om kven det er som er forvaltningsansvarleg for dei ulike personopplysningane som kommunen forvaltar.

Om innsamling av personinformasjon

  • Det skal ikkje samlast inn annan informasjon enn det som kommunen treng for å kunne utføre dei aktuelle forvaltnings- eller tenesteoppgåvene.
  • Informasjon skal så langt mogleg verifiserast og kvalitetssikrast når han vert samla inn.
  • Det skal gå fram av informasjonen at det er gitt samtykke til bruk av informasjonen i tråd med gjeldande føremål.
  • Irrelevant personinformasjon som kjem inn, skal fjernast eller sladdast før den øvrige informasjonen vert teken i bruk.
  • Personinformasjonen vert umiddelbart vidareformidla til det/dei fag- eller arkivsystem dei skal handsamast i. Vidare forvaltning av informasjonen skjer i desse systema.

Kommunen nyttar personinformasjon frå ulike kjelder :

  • Den som informasjonen gjeld, kan vere kjelda for informasjonen. Som oftast vil kommunen motta informasjonen frå vedkomande munnleg, via brev, spesielle skjema eller e-post. Ein skal merke seg at det er vanskeleg å trygge informasjon som vert send med e-post, og at ein difor oppmodar publikum om å nytte andre kanalar. 
  • Med mindre noko anna er lovfesta, er det frivillig om ein vil oppgi personleg informasjon og gi samtykke til at han vert nytta. Men ein skal vere merksam på at manglande relevant informasjon eller mangel på samtykke til at han skal nyttast, kan medføre at kommunen ikkje har tilstrekkeleg grunnlag for å yte dei tenester ein ynskjer.
  • Kommunen kan motta informasjon frå andre instansar. Døme på dette kan vere statlege organ som Folkeregisteret. Andre døme kan vere helseinstitusjonar.
  • Kommunen kan nytte informasjon som alt er innsamla. Det vert meir og meir lagt til rette for at informasjon kan flyte mellom ulike fagsystem. Forutan at dette er rasjonelt, minskar det risikoen for at menneskelege feil gjer at informasjonen ikkje er korrekt.
  • Kommunen kan nytte eigenprodusert informasjon. Døme på dette er vurderingar som vert gjort i samband med ei sakshandsaming, og som vert lagt ved saka som ei opplysning.
  • Uansett korleis kommunen mottek informasjonen, pliktar kommunen å sikre denne gjennom å verifisere informasjonen og å plassere han korrekt i fag- og arkivsystem.

Om bruk av personinformasjon

  • Det skal til ei kvar tid framgå kva som er kjeldene for personinformasjonen som vert nytta.
  • Vurderingar som vert gjort i samband med sakshandsaminga er å sjå på som personopplysningar, og skal handsamast deretter.
  • Kommunen har ansvar for at kun dei som har sakleg grunnlag for det, får tilgjenge til dei aktuelle personopplysningane.
  • Dei som har innsyn i personopplysningar, har eit sjølvstendig ansvar for aktivt å forhindre at uvedkomande får tilgjenge til og eventuelt høve til endring eller sletting av desse opplysningane.
  • Dersom det er naudsynt å vidareformidle personinformasjon i samband med sakshandsaming, har kommunen eit særskilt ansvar for å sjå til at
    • vidareformidla informasjon er korrekt
    • informasjonen vert send «rette vedkomande»,
    • informasjonen er tilfredsstillande sikra mot ulovleg innsyn og endringar.

Utfyllande informasjon :

  • For at kommunen skal kunne bruke personinformasjon, må fylgjande føresetnader vere til stades :
    • Eigar av informasjonen, den registrerte, skal som ein hovudregel ha gitt samtykke til at informasjonen vert nytta. Det finnest nokre lovheimla unntak for dette.
    • Informasjonen skal berre nyttast til dei føremål som er oppgitt, med heimel i aktuelt lovverk. Sakshandsamar og datahandsamar har eit felles ansvar for at informasjonen vert nytta på ein måte som hindrar uvedkomande innsyn i han, og som gjer at informasjonen ikkje kan endrast eller slettast.
    • Ein skal merke seg at personinformasjon som er anonymisert og soleis ikkje kan førast attende til den einskilde, i nokre tilfelle kan nyttast sjølv om det ikkje ligg føre eit samtykke. Døme på dette er bruk i statistikk, og til forskning.

Om lagring og sletting av personinformasjon

  • Det er utarbeidd rutinar for kvar ulike kategoriar av personinformasjon skal lagrast. Den som mottek personinformasjonen, har eit sjølvstendig ansvar for at denne vert lagra i tråd med dei utarbeidde rutinane.
  • Det er etablert fleire system for lagring av personinformasjon. Desse tek sikte på å fylle ulike lovkrav for fysisk, teknisk og organisatorisk sikring av denne informasjonen. Dokumentasjon over kva løysingar som er valde og korleis desse  vert implementerte, vert gjort tilgjengelege for dei som har sakleg krav på å få det.

Utfyllande informasjon :

  • For at kommunen skal kunne lagre personinformasjon, må fylgjande føresetnader vere til stades:
    • Den som lagrar informasjonen, skal vite kva rutinar som skal fylgjast, og vere forplikta på å fylgje dei.
    • Informasjonen skal lagrast med tanke på ivaretaking av integritet, konfidesialitet og tilgjenge. Måten dette skjer på, skal dokumenterast med omsyn til
      • kva fysiske tiltak som er gjennomført,
      • kva tekniske tiltak som er gjennomført,
      • kva organisatoriske tiltak som er gjennomført.
  • For at kommunen skal kunne slette lagra personinformasjon, må minst ein av fylgjande føresetnader vere til stades :
    • Kommunen har ikkje lenger eit sakleg behov for å lagre informasjonen.
    • Samtykke til bruk av informasjonen er trekt attende.
    • Lagringsmedia vert skifta ut. Då skal rutinemessig all informasjon overførast til nye media, og deretter vert informasjonen sletta på dei utskifta lagringsmedia.

Ein skal merke seg at det er lovene som regulerer dataforvaltninga innan eitt saksområde, som skildrar rutinar for sletting innan gjeldande område. Det betyr at ein og same informasjonen kan verta handsama ulikt i ulike tenesteområde i kommunen. Men han vert likevel handsama i tråd med gjeldande reglar for dei aktuelle saksområda.

Om eksport av personinformasjon

Kommunen må til tider oversende personinformasjon til andre instansar i eller utanfor kommunen sine grenser. Når dette skjer, pliktar kommunen å sjå til at

  • informasjonen som vert send, er korrekt,
  • informasjonen vert send til rett adressat,
  • informasjonen vert send på ein måte som hindrar at han kan lesast og/eller kopierast av utanforståande.

Utfyllande informasjon :

Kommunen eksporterer rutinemessig ein del personinformasjon til andre instansar i eller utanfor kommunen. Døme på slike er

  • opptakskontor for vidaregåande utdanning,
  • spesialisthelsetenesta,
  • pleie- og omsorgsinstituasjonar som ikkje er drivne av kommunen.

Det er utarbeidd retningsliner for dataeksport, avhengig av kvar mottakar er og kva lovverk som regulerer dataeksport til vedkomande mottakar.

Om innsyn i personinformasjon

Innsynsretten til personinformasjon har tre nivå :

  • Den som eig informasjonen har i utgangspunktet rett til innsyn i all personinformasjon kommunen har om vedkomande.
  • Den som er part i ei sak, eller som representerer ein part, kan ha rett til innsyn i personinformasjon som gjer eit grunnlag for å kontrollere at vedkomande sak vart handsama i tråd med gjeldande lovar og forskrifter.
  • Publikum sin rett til innsyn i saker gjev ein sterkt avgrensa rett til tilgjenge til personinformasjon.

Utfyllande informasjon :

Retten til innsyn i personinformasjon er knytt til kva rolle den som bed om innsyn måtte ha.

  • Eigar av personinformasjonen – «den registrerte» – har rett til innsyn i all personleg informasjon som kommunen forvaltar. I tillegg til å vite kva informasjon kommunen har, har vedkomande krav på å få vite
    • kva føremålet med bruken av informasjonen er,
    • lovheimelen for bruk av informasjonen,
    • kven som er ansvarleg datahandsamar,
    • eventuelle eksterne mottakarar av informasjonen,
    • kva rutinar som er etablert for lagring og sletting.
  • Dersom ein er part i ei sak eller representerer ein part i ei sak, kan ein be om innsyn i informasjonen knytt til den konkrete saka. Dette omfattar også relevant personinformasjon, men ikkje i den grad at innsynet medfører ei krenking av personvernet til den eller dei informasjonen omhandlar.
  • Publikum har ein generell innsynsrett i offentleg verksemd. Offentleglova regulerer dette. §3 i denne lova er formulert slik : «Saksdokument, journalar og liknande register for organet er opne for innsyn dersom ikkje anna følgjer av lov eller forskrift med heimel i lov. Alle kan krevje innsyn i saksdokument, journalar og liknande register til organet hos vedkommande organ.» Men også her vil omsynet til personvernet medføre at kun relevante personopplysningar vert offentleggjorte, og då berre i den grad dei ikkje medfører ei krenking av personvernet.