Kommunene skal selv vurdere hvilke behandlinger av personopplysninger som er meldepliktige og hvilke behandlinger som er konsesjonspliktige.
Datatilsynet har gjennomgått en del vanlige behandlinger for å hjelpe kommunene et stykke på vei. Men det er viktig å merke seg at kommunen selv må vurdere egne lovhjemler og om vilkårene for unntak er oppfylt for sine egne behandlinger.
Kommunen har behov for å behandle opplysninger om enkeltpersoner i en rekke sammenhenger for å utføre sine oppgaver. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysninger. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger, samt manuell behandling av sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stedet.
Kravet til melding og konsesjon gis i personopplysningsloven og helseregisterloven. Personopplysningsloven er en generell lov som gjelder alle virksomheters bruk av opplysninger om enkeltmennesker. Helseregisterloven er en spesiell lov som gjelder bruk av helseopplysninger i helsetjenesten og i helseforvaltningen.
Hvem er behandlingsansvarlig?
Ansvaret for behandlingen ligger etter personopplysningsloven til kommunens øverste ledelse (i meldeskjemaet er den ansvarlige benevnt behandlingsansvarlig). I den gamle konsesjonen etter personregisterloven var dette ansvaret tillagt etatssjefen (benevnt registeransvarlig). Det er imidlertid naturlig nå at etatssjefen/ enhetsleder står for den daglige ledelse for oppfyllelse av den behandlingsansvarliges plikter (kalt daglig ansvar i meldeskjemaet).
Konsesjonspliktig behandling
Noen få behandlinger vil fortsatt ha konsesjonsplikt. Dette gjelder elektronisk behandling av sensitive personopplysninger der behandlingen ikke er hjemlet i lov; blant annet:
- Forskningsprosjekter som ikke er omfattet av unntaket fra konsesjonsplikt i personopplysningsforskriften § 7-27
- De fleste tverrsektorielle tiltak der bruken av personopplysninger ikke er dekket av egen lov eller forskrift
- Kommunale helseregistre på individnivå for planlegging, informasjon og samordning vil være konsesjonspliktige etter helseregisterloven så sant de ikke må ha egen forskrift som lokalt helseregister (Helseregisterloven § 7).
For planlegging, informasjon og samordning av helsetjenester antar Datatilsynet at kommunen kan oppfylle sine forpliktelser etter kommunehelsetjenestelovens § 1-4 ved bruk av statistisk materiale (anonymt). Da trengs hverken melding eller konsesjon.
Unntak fra konsesjonsplikt
Personopplysningsloven § 33 4. ledd gir unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Disse behandlingene vil følge hovedregelen om meldeplikt.
Kommunehelsetjenesten og helseforvaltning på kommunalt nivå skal forholde seg til både helseregisterloven og personopplysningsloven. Helseregisterloven gir også unntak fra konsesjonsplikt for behandling av helseopplysninger innen rammen av lovhjemmelen. (Helseregisterloven § 5 jf. personopplysningsloven § 33) Behandlingen vil da være meldepliktig etter helseregisterlovens § 29.
Her følger en oversikt over etater/virksomheter der Datatilsynet har vurdert det slik at virksomheten får meldeplikt i stedet for konsesjonsplikt for behandling av personopplysninger som ligger innen rammen av lovhjemmelen. (Listen er ikke uttømmende)
| Etat/virksomhet |
Hjemlende lov |
| Barnevern |
Barnevernloven § 3-1 (jf. kap. 4) |
| Sosialtjenesten |
Sosialtjenesteloven § 2-1 (jf. kap. 4, 5 og 6 |
| Rusmiddeletaten |
Sosialtjenesteloven kap. 6 |
| PP-tjenesten |
Opplæringsloven § 13-5, 1. ledd, jf. § 5-6 |
| Familievernkontorer |
Familievernkontorloven § 11, jf. § 1 |
Kommunehelsetjenestens behandlingsrettede registre (journal) / pasientadministrasjon innen rammen av helsepersonellovens § 26
(Kommunen sender bare en melding om pasientjournal for sin behandlingsrettede virksomhet. NB - meldingen omfatter ikke pasientjournalene til leger med kommunal avtale. Disse må melde selv) |
Helsepersonelloven §§ 26 og 39
|
| Fylkestannlegens pasientjournal/ pasientadministrasjon innen rammen av helsepersonellovens § 26 |
Helsepersonelloven §§ 26 og 39 |
Unntaket fra konsesjonsplikten gjelder bare så langt behandlingene skjer innenfor rammen av de enkelte lovene. Kommunen må selv vurdere om dette er tilfelle. For eksempel gjelder konsesjonsfritaket for behandling av elevopplysninger i skolene bare når behandlingen skjer innenfor rammen av opplæringsloven. Uavhengig av om behandlingen er fritatt konsesjonsplikt, skal den behandlingsansvarlige sørge for å oppfylle kravene personopplysningsloven pålegger. Eksempler på dette er samtykke, lovhjemler, informasjonssikkerhet og internkontroll.
Forskriften til personopplysningsloven unntar videre enkelte behandlinger fra konsesjonsplikten. Pleie- og omsorgsinstitusjoner er fritatt fra konsesjonsplikt dersom en del vilkår er oppfylt. (Se nederst for referanse.) Disse behandlingene vil følge hovedregelen om meldeplikt.
Fritak for både melde- og konsesjonsplikt
Barnehager og skolefritidsordninger er unntatt både konsesjonsplikt og meldeplikt etter personopplysningsforskriften. Det samme gjelder personellregistre. Forutsetningen er at vilkårene i forskriften er oppfylt. Se tabellen nederst for å finne riktig bestemmelse.
(NB - listen er ikke uttømmende - dette er bare eksempler)
| Personellregistre, så sant disse er innen rammen av personopplysningsforskriftens § 7-16. |
Personopplysningsforskriften § 7-16. |
| Opplysninger om elever og studenter innen rammen av opplæringsloven eller universitetsloven |
Personopplysningsforskriften § 7-20 |
| Opplysninger om barn i skolefritidsordning eller barnehage innen rammen av opplæringsloven eller barnehageloven |
Personopplysningsforskriften § 7-21 |
| Personopplysninger om offentlige representanter |
§ 7 -17 |
Hvor mange meldinger skal kommunen sende?
Kommunen må først vite hvilke behandlinger den foretar. Den må selv avgrense behandlingene. En behandling skal ha et presist angitt formål. Spørsmål som må stilles når man skal skille den ene behandlingen fra den andre er bl.a.:
- Hva er målet med å behandle personopplysningene?
- Hvilket hjemmelsgrunnlag gjelder for behandlingen? (samtykke, hjemmel i lov e.l.)
- Hvem er objektet for behandlingen? (f.eks. elever, ansatte, pasienter)
- Hvilken etat er faglig ansvarlig for å utføre oppgaven?
- Hvem kan få tilgang til opplysningene?
Kommunene skal uansett ha disse opplysningene når de utvikler sitt internkontrollsystem. Dette er en plikt etter personopplysningsloven og helseregisterloven. Internkontrollsystemet skal bl.a. beskrive hvilke behandlinger som foretas, sikre at plikten til eventuell konsesjons- eller meldeplikt overholdes, samt beskrive hvordan rettighetene til de registrerte skal ivaretas.
Kommunens plikter etter personopplysningsloven
Den behandlingsansvarlige har fått flere plikter etter personopplysningsloven. Et fritak for konsesjons- eller meldeplikt endrer ikke dette. Kommunen må blant annet ha lovhjemmel for behandlingene, tilstrekkelig sikkerhet og internkontroll osv.
Noen bestemmelser fra personopplysningsloven:
| Unntak fra konsesjonsplikt for behandlinger med hjemmel i lov (stat og kommune) |
Personopplysningsloven § 33, 4. ledd |
| Hjemmel for behandling av personopplysninger |
Personopplysningsloven §§ 8, 9 |
| Plikt til å ha et internkontrollsystem |
Personopplysningsloven § 14 |
| Krav til sikkerhet |
Personopplysningsloven § 13 |
Unntak fra konsesjons- og meldeplikt i personopplysningsforskriften:
- Barnehager, skolefritidsordning (det stilles vilkår i bestemmelsen)
|
Personopplysningsforskriften § 7 - 21 |
| - Personellregistre (det stilles vilkår i bestemmelsene) |
Personopplysningsforskriften § 7-16 |
En konsesjon gitt av Datatilsynet betyr at tilsynet har forhåndsgodkjent den behandling av personopplysninger som er regulert i konsesjonen. Hva som regnes som en behandling er definert i personopplysningsloven § 2 nr. 2. En eventuell konsesjon gis før behandlingen iverksettes. Forhåndsgodkjenningen betyr at Datatilsynet mener at behandlingen den behandlingsansvarlige ønsker å iverksette, oppfyller personopplysningsloven på en tilfredsstillende måte. For å kunne foreta en slik vurdering, er det nødvendig for Datatilsynet å få en forståelse både for hva slags virksomhet den behandlingsansvarlige driver, og for selve den behandlingen det søkes konsesjon for. Dette vil konsesjonssøknadsskjemaet hjelpe til med.