Konsesjons- og meldeplikt for det offentlige

Kommuner og fylkeskommuner har en rekke plikter etter personopplysningsloven og helseregisterloven. Blant disse er konsesjons- og meldeplikt for behandling av personopplysninger.

Kommunene skal selv vurdere hvilke behandlinger av personopplysninger som er meldepliktige og hvilke behandlinger som er konsesjonspliktige. De må selv vurdere egne lovhjemler og om vilkårene for unntak er oppfylt for sine egne behandlinger.

Kommunen har behov for å behandle opplysninger om enkeltpersoner i en rekke sammenhenger, for å utføre sine oppgaver. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysninger. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger, samt manuell behandling av sensitive personopplysninger, dersom disse ikke har hjemmel i lov.

Dersom behandlinger av personopplysninger har hjemmel i egen lov, er kommunen unntatt både konsesjons- og meldeplikt.

Kravet til melding og konsesjon gis i personopplysningsloven og helseregisterloven. Personopplysningsloven er en generell lov som gjelder alle virksomheter. Helseregisterloven er en spesiell lov som gjelder bruk av helseopplysninger i helsetjenesten og i helseforvaltningen.

Fylkeskommuner har de samme pliktene etter loven som det kommunene har.

Hvem er behandlingsansvarlig?

Ansvaret for behandlingen etter personopplysningsloven ligger til kommunens øverste ledelse (behandlingsansvarlig). Det er imidlertid naturlig at etatssjefen eller enhetsleder som står for den daglige driften, også står for oppfyllelse av den behandlingsansvarliges plikter (kalt daglig ansvar i meldeskjemaet).

Konsesjonspliktig behandling

En konsesjon gitt av Datatilsynet betyr at tilsynet har forhåndsgodkjent den behandling av personopplysninger som er regulert i konsesjonen. Hva som regnes som en behandling er definert i personopplysningsloven § 2 nr. 2. En eventuell konsesjon gis før behandlingen iverksettes.

Forhåndsgodkjenningen betyr at Datatilsynet mener at behandlingen den behandlingsansvarlige ønsker å iverksette, oppfyller personopplysningsloven på en tilfredsstillende måte. For å kunne foreta en slik vurdering, er det nødvendig for Datatilsynet å få en forståelse både for hva slags virksomhet den behandlingsansvarlige driver, og for selve den behandlingen det søkes konsesjon for. Dette vil konsesjonssøknadsskjemaet hjelpe til med.

Noen få behandlinger vil fortsatt være konsesjonspliktig. Dette gjelder elektronisk behandling av sensitive personopplysninger der behandlingen ikke er hjemlet i lov; blant annet:

  • Forskningsprosjekter som ikke er omfattet av unntaket fra konsesjonsplikt i personopplysningsforskriften § 7-27
  • De fleste tverrsektorielle tiltak der bruken av personopplysninger ikke er dekket av egen lov eller forskrift
  • Kommunale helseregistre på individnivå for planlegging, informasjon og samordning vil være konsesjonspliktige etter helseregisterloven så sant de ikke må ha egen forskrift som lokalt helseregister (Helseregisterloven § 7).

For planlegging, informasjon og samordning av helsetjenester antar Datatilsynet at kommunen kan oppfylle sine forpliktelser etter kommunehelsetjenestelovens § 1-4 ved bruk av statistisk materiale (anonymt). Da trengs hverken melding eller konsesjon.

Unntak fra konsesjonsplikt

Personopplysningsloven § 33 5. ledd gir unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Disse behandlingene vil følge hovedregelen om meldeplikt.

Kommunehelsetjenesten og helseforvaltning på kommunalt nivå skal forholde seg til både helseregisterloven og personopplysningsloven. Helseregisterloven gir også unntak fra konsesjonsplikt for behandling av helseopplysninger innen rammen av lovhjemmelen. (Helseregisterloven § 5 jf. personopplysningsloven § 33) Behandlingen vil da være meldepliktig etter helseregisterlovens § 29.

Her følger en oversikt over etater/virksomheter der Datatilsynet har vurdert det slik at virksomheten får meldeplikt i stedet for konsesjonsplikt for behandling av personopplysninger som ligger innen rammen av lovhjemmelen. (Listen er ikke uttømmende)

Etat/virksomhet

Hjemlende lov

Barnevern Barnevernloven § 3-1 (jf. kap. 4)
Sosialtjenesten Sosialtjenesteloven § 3 (jf. kap. 4, 5 og 6
Rusmiddeletaten Sosialtjenesteloven kap. 6
PP-tjenesten Opplæringsloven § 13-5, 1. ledd, jf. § 5-6
Familievernkontorer Familievernkontorloven § 11, jf. § 1
Kommunehelsetjenestens behandlingsrettede registre (journal) / pasientadministrasjon innen rammen av helsepersonellovens § 26
(Kommunen sender bare en melding om pasientjournal for sin behandlingsrettede virksomhet. NB - meldingen omfatter ikke pasientjournalene til leger med kommunal avtale. Disse må melde selv)

Helsepersonelloven §§ 26 og 39

Fylkestannlegens pasientjournal/ pasientadministrasjon innen rammen av helsepersonellovens § 26 Helsepersonelloven §§ 26 og 39


Unntaket fra konsesjonsplikten gjelder bare så langt behandlingene skjer innenfor rammen av de enkelte lovene. Kommunen må selv vurdere om dette er tilfelle. For eksempel gjelder konsesjonsfritaket for behandling av elevopplysninger i skolene bare når behandlingen skjer innenfor rammen av opplæringsloven. Uavhengig av om behandlingen er fritatt konsesjonsplikt, skal den behandlingsansvarlige sørge for å oppfylle kravene i personopplysningsloven. Eksempler på dette er samtykke, lovhjemler, informasjonssikkerhet og internkontroll.

Forskriften til personopplysningsloven unntar videre enkelte behandlinger fra konsesjonsplikten. Pleie- og omsorgsinstitusjoner er fritatt fra konsesjonsplikt dersom en del vilkår er oppfylt. Disse behandlingene vil følge hovedregelen om meldeplikt.

Fritak for både melde- og konsesjonsplikt

Barnehager og skolefritidsordninger er unntatt både konsesjonsplikt og meldeplikt etter personopplysningsforskriften. Det samme gjelder personellregistre. Forutsetningen er at vilkårene i forskriften er oppfylt.

Eksempler

  1. Behandling av personopplysninger med hjemmel i lov (personopplysningsforskriften § 7-11)
  2. Personellregistre (§ 7-16)
  3. Opplysninger om elever og studenter innen rammen av opplæringsloven eller universitetsloven (§ 7-20)
  4. Opplysninger om barn i skolefritidsordning eller barnehage innen rammen av opplæringsloven eller barnehageloven (§ 7-21)
  5. Personopplysninger om offentlige representanter (§ 7-17)

Hvor mange meldinger skal kommunen sende?

Kommunen må først vite hvilke behandlinger den foretar. Den må selv avgrense behandlingene. En behandling skal ha et presist angitt formål. Spørsmål som må stilles når man skal skille den ene behandlingen fra den andre er blant annet:
  • Hva er målet med å behandle personopplysningene?
  • Hvilket hjemmelsgrunnlag gjelder for behandlingen? (samtykke, hjemmel i lov)
  • Hvem er objektet for behandlingen (elever, ansatte, pasienter)?
  • Hvilken etat er faglig ansvarlig for å utføre oppgaven?
  • Hvem kan få tilgang til opplysningene?

Kommunene skal uansett ha disse opplysningene når de utvikler sitt internkontrollsystem. Dette er en plikt etter personopplysningsloven og helseregisterloven. Internkontrollsystemet skal blant annet beskrive hvilke behandlinger som foretas, sikre at plikten til eventuell konsesjons- eller meldeplikt overholdes, samt beskrive hvordan rettighetene til de registrerte skal ivaretas.