|
Personopplysningsloven, jf. § 1, har som formål «å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.» Enhver behandling av personopplysninger som en fylkeskommune foretar, er enten meldepliktig eller konsesjonspliktig. Hovedregelen er at behandling av personopplysninger er meldepliktig, og at behandling av sensitive personopplysninger er konsesjonspliktig. Virksomhetens øverste administrative leder er behandlingsansvarlig. I fylkeskommunen er dette fylkesrådmannen. Den behandlingsansvarlige er den som har bestemmelsesrett over personopplysningene, som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes for å oppnå formålet. Gjennomføringen er delegert til underliggende etat, skole eller helseinstitusjon. Lederen i dette underliggende organet får dermed et selvstendig ansvar for at personopplysningslovens regler blir fulgt. Fylkeskommunens ledelse kan imidlertid ikke fraskrive seg sitt rettslige behandlingsansvar ved delegeringen. Ved eventuelle lovbrudd er det fylkeskommunen, representert ved fylkesrådmannen, som er rettslig ansvarlig og som kan saksøkes og pådra seg straffeansvar. Personopplysninger og sensitive personopplysninger Ifølge Datatilsynet er en personopplysning en «opplysning eller vurdering som kan knyttes til en enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer)», jf. personopplysningsloven § 2-1. «Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger,» jf. personopplysningsloven § 2-8. Meldeplikt eller konsesjonsplikt? Meldeplikt innebærer at fylkeskommunen skal orientere Datatilsynet om en behandling av personopplysninger. Dette skjer ved innsending av meldingsskjema. Ved konsesjonsplikt skal fylkeskommunen tilsvarende sende inn konsesjonsskjema for behandling av sensitive personopplysninger. Unntak fra meldeplikt Noen behandlinger av personopplysninger er unntatt meldeplikt. Disse unntakene er nedfelt i personopplysningsforskriften § 7, kapittel 7-II. Behandlinger som er unntatt fra meldeplikt. Unntak fra konsesjonsplikt Det er flere unntak fra konsesjonsplikten. De fleste unntak er nedfelt i personopplysningsforskriften kapittel 7, og særlovgiving. Behandling av personopplysninger i fylkeskommunen er unntatt konsesjonsplikt når behandlingen har hjemmel i egen lov. Denne typen behandlinger vil likevel være meldepliktige. Noen behandlinger er dessuten unntatt fra både konsesjons- og meldeplikt. For en fylkeskommune medfører flere unntaksregler imidlertid at svært få IKT-systemer eller papirregistre trenger konsesjon. Eventuelle IKT-baserte planregistre med sensitive personopplysninger må fylkeskommunen ha konsesjon for. Ellers vil langt de fleste elektroniske systemene med personopplysninger og papirbaserte sensitive personregistrene i en fylkeskommune kun være meldepliktige. Kilde: Datatilsynet |