Meldeplikt
Meldeplikta inneber at den som ønskjer å bruke personopplysningar, skal orientere Datatilsynet før behandlinga blir starta. Meldinga skal sendast til Datatilsynet seinast 30 dagar før behandlinga tek til. Verksemder som har personvernombod skal sende melding til ombodet. Personvernombodet har ei liste over meldepliktig bruk av personopplysningar innan verksemda si. Dei behandlingsansvarlege si meldeplikt er regulert i personopplysningslova § 31.
Meldinga er berre ei orientering frå den behandlingsansvarlege til Datatilsynet, og vert ikkje godkjend av Datatilsynet. Datatilsynet kan på grunnlag av meldinga setje i verk tiltak. Meldinga skal også tene som grunnlag for å gi regelinformasjon og hjelpe til å betre kunnskapsnivået om personopplysningsloven hos den meldepliktige. Meldingane vil utgjere ein vesentleg del av Datatilsynets kunnskapsbase, og gi grunnlag for prioriteringar av arbeidsoppgåver, da særleg i forhold til kontroll og rettleiing. Meldingane er offentleg tilgjengelege via Datatilsynet heimesider.
Kven har meldeplikt?
Følgjande behandlingar av personopplysningar er meldepliktige:
- Ikkje-sensitive personopplysningar som blir behandla med elektroniske hjelpemiddel.
- Sensitive personopplysningar som skal førast i eit manuelt register.
Unntak frå meldeplikt
Behandlingar berre for kunstnariske, litterære eller journalistiske formål er unntatt frå personopplysningslova. Nokre andre behandlingar er unntatt meldeplikt i kapittel 7 i forskrifta, om vilkåra i forskrifta er oppfylt. Dette gjeld mellom anna:
- Kunde-, abonnent- og leverandøropplysningar
- Opplysningar om boligforhold
- Aksjebok
- Protokollføring av mekling
- Aktivitetsloggar i edb-system eller datanett
- Når verksemda har eit personvernombod Datatilsynet har godkjent, skal meldinga sendast til ombodet, og ikkje til Datatilsynet.
Ny melding kvart tredje år
Etter tre år skal det alltid sendast ny melding. Meldingar skal vere knytte til den enkelte behandlinga. Einkvar behandling knytast til ein behandlingsansvarleg, og skal baserast på eit førehandsdefinert formål. Dette inneber at det alltid må sendast inn ei ny melding når behandlinga får ny behandlingsansvarleg. I tillegg må det alltid sendast ny melding når formålet med behandlinga vert endra. Når må det sendast endringsmelding?
Konsesjonsplikt
Konsesjonsplikta gjeld i all hovudsak ved behandling av sensitive personopplysningar.
Sensitive personopplysningar er blant anna opplysningar om helse, rase, tru, politisk tilhørsel, straffbare handlingar og seksuelle forhold. Dei behandlingsansvarlege si konsesjonsplikt er regulert i personopplysningsloven § 33.
Datatilsynet kan krevje at verksemda søkjer om konsesjon og kan avgjere at også behandlingar av anna enn sensitive personopplysningar skal vere konsesjonspliktige. Det er ein føresetnad at behandlinga elles openbert vil krenkje tungtvegande personverninteresser. Dette skal berre brukast i ekstraordinære tilfelle.
Datatilsynet skal i si vurdering blant anna ta omsyn til personopplysningane sin art, mengd og formålet med behandlingen.
Konsesjoner gitt av Datatilsynet
Vurdering frå Datatilsynet
Den behandlingsansvarlege har rett til, på førehand, å få avklart frå Datatilsynet om behandlinga vil krevje konsesjon. Avklaring av om konsesjon er nødvendig tyder ikkje at konsesjon vil bli gitt.
Datatilsynet skal avgjere om konsesjon skal giast. Det skal ved vurderinga klarleggjast om behandlinga vil valde ulemper som ikkje blir avhjelpte av loven sin andre føresegner. I så fall skal Datatilsynet vurdere om ulempene den enkelte blir påført blir utlikna av omsyn som taler for behandlingen.
I konsesjonsbehandlinga skal Datatilsynet vurdere om det skal settast vilkår for behandlinga. Vilkår i konsesjonen kan settast når det er nødvendig for å avgrense ulempene behandlinga elles medføre for den registrerte.
Unntak frå konsesjonsplikta
Det er fleire unntak frå konsesjonsplikta. Dei fleste av desse unntaka følgjer av forskrifta til personopplysningslova, kapittel 7, og eventuell særlovgiving. Vidare er behandlingar berre for kunstnariske, litterære eller journalistiske formål unntatt konsesjonsplikt.
I forskrifta til personopplysningslova er desse behandlingane unntatt frå både konsesjons- og meldeplikt om dei oppfyller bestemde vilkår:
- Sensitive kundeopplysningar
- Foreningers medlemsopplysningar
- Personellregistre
- Domstolanes behandling av personopplysningar
- Elev- og studentopplysningar ved skole og universitet mv.
- Opplysningar om barn i barnehagar og skolefritidsordningar
Desse behandlingane er i forskrifta unnatatt konsesjonsplikt, men skal melde. Ver merksam på at det finst vilkår for unnataka:
- Klientregistre
- Hvitvaskingsregistre og tilknyttet behandling av personopplysninger
- Behandling av pasientopplysninger hos helse- og sosialpersonell
- Nokre forskningsprosjekter
Stat og kommune
Behandling av personopplysningar i organ for stat eller kommune er unnateke konsesjonsplikta når behandlinga har heimel i eigen lov. Denne typen behandlingar av personopplysningar vil likevel vere meldepliktig. Les meir om melde- og konsesjonsplikt i kommunane.
Ubedde sensitive opplysningar
Behandling av sensitive opplysningar som er gitt ubedd, er unnateke konsesjonsplikt. Når ein vurderer om opplysningane er gitte ubedd, må ein også sjå på situasjonen dei er gitte under. Dersom systemet eller situasjonen legg opp til at opplysningane skal giast, blir dei ikkje gitt ubedd.
Konsesjonsskjema
Skjema for søkand om konsesjon og rettleiing til dette