Glemt Passord?

Behandlingsansvarlig for personopplysninger

Personopplysningsloven krever i utgangspunktet konsesjon for å behandle sensitive personopplysninger. Flere unntaksregler medfører imidlertid for en kommune at svært få edb-systemer eller papirregistre trenger konsesjon. Eventuelle edb-baserte planregistre med sensitive personopplysninger må kommunen ha konsesjon for. Ellers vil langt de fleste elektroniske systemene med personopplysninger og papirbaserte sensitive personregistrene i en kommune kun være meldepliktige. Meldeplikt innebærer å gi Datatilsynet melding om rutiner og ansvar knyttet til bruken av personopplysningene. For øvrig vil meldeplikten også omfatte sensitive personregistre som tidligere var unntatt konsesjonsplikt, som f.eks. pasientjournaler.

Den "behandlingsansvarlige" er den som har bestemmelsesrett over personopplysningene, som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes for å oppnå formålet. Det daglige behandlingsansvaret kan i en kommune delegeres til en underliggende etat, skole eller helseinstitusjon, dvs. til en "dataansvarlig", som er den som behandler personopplysninger på vegne av den behandlingsansvarlige.

Lederen i dette underliggende organet får dermed et selvstendig ansvar for at personopplysningslovens regler blir fulgt. Kommunens ledelse kan imidlertid ikke fraskrive seg sitt "rettslige" behandlingsansvar ved delegeringen. Ved eventuelle lovbrudd er det kommunen, representert ved ordføreren, som er rettslig ansvarlig og som kan saksøkes og pådra seg straffeansvar.

Ansvar for informasjonssikkerhet og dokumentasjon

Jfr. personopplysningslovens § 13 skal:

  • Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
  • For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.
  • En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.

Ansvar for internkontroll og dokumentasjon

Jfr. personopplysningslovens § 14 skal:

  • Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet.
  • Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.