|
Forskrift til personopplysningsloven Hele forskriften finner du på Lovdata Arkivfaglige relevante paragrafer: § 2-16. Dokumentasjon Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave. Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten. § 3-1. Systematiske tiltak for behandling av personopplysninger Den behandlingsansvarlige skal etablere internkontroll i samsvar med personopplysningsloven § 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven § 13. Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå. Den behandlingsansvarlige skal også ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for
| a)
|
innhenting og kontroll av de registrertes samtykke, jf. personopplysningloven §§ 8, 9 og 11,
|
| b)
|
vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven § 11 bokstav a,
|
| c)
|
vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven §§ 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik,
|
| d)
|
oppfyllelse av begjæringer om innsyn og informasjon, jf. personopplysningsloven §§ 16 til 24,
|
| e)
|
oppfyllelse av krav fra den registrerte om reservasjon mot visse former for behandling av personopplysninger, jf. personopplysningsloven §§ 25 og 26,
|
| f)
|
oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. personopplysningsloven §§ 31 til 33.
|
Databehandlere som behandler personopplysninger på oppdrag fra behandlingsansvarlige, skal behandle opplysningene i samsvar med rutiner behandingsansvarlige har oppstilt.
Følgende paragrafer gir viktig informasjon om behandlinger som er unntatt fra meldeplikt og konsesjonsplikt:
§ 7-7 Kunde-, abonnent- og leverandøropplysninger
Bestemmelsen regulerer alle elektroniske kunderegistre uten sensitive opplysninger, samt eventuelle manuelle sensitive registre. Elektroniske kunderegistre med sensitivt innhold reguleres av § 7-14. Slike behandlinger reguleres i særskilt bestemmelse i kapittelets del om unntak fra konsesjons- og meldeplikt.
En kontraktsforpliktelse påhviler partene til oppgjør har funnet sted, leid vare er tilbakelevert, fakturering har funnet sted ol. Formålsangivelsen fungerer derfor også som en begrensning med hensyn til hvor lenge opplysninger kan være lagret. Bestemmelsen bør kunne gjelde både for salg, utleie og utlånsvirksomheter (f.eks. bibliotek). Regelen må være at opplysninger om hvilken gjenstand kunden har leid eller lånt, skal slettes når gjenstanden er
tilbakelevert. Dette hindrer at utleier eller utlåner bygger opp en base inneholdende historikk om utleide og lånte gjenstander. Slik informasjon vil lett kunne benyttes til å danne uønskede profiler av kundene. Senere bruk av kundeopplysninger i markedsføring vil være en ny type behandling, som det må foreligge hjemmel for i personopplysningsloven §§ 8 og 11. Bruken av opplysningene vil da være ledd i gjennomføring av ny kontraktsforpliktelse, nemlig avtalt bruk av personopplysninger til markedsføring til den registrerte. Også denne behandlingen vil være dekket av § 7-7, under forutsetning av at personopplysningslovens øvrige krav til behandlingen er oppfylt. Dersom den registrerte ikke samtykker i videre bruk av opplysningene i markedsføring, må opplysningene slettes, eventuelt overføres til et salgsstøtteregister over mulige kunder, dersom det foreligger grunnlag for opprettelse av et slikt.
§ 7-14 Sensitive kundeopplysninger
Bestemmelsen regulerer elektroniske behandlinger med sensitive opplysninger hos frisører, leverandører av medisinsk utstyr til privat bruk og andre som måtte ha saklig behov for sensitive opplysninger om sine kunder. Det ligger her i kontraktsforholdet at leverandøren av varen eller tjenesten i mange forhold må behandle sensitive personopplysninger for å kunne levere det kunden ønsker. At den registrerte har gitt et generelt samtykke til behandling av personopplysninger, er ikke tilstrekkelig for unntak fra melde- og konsesjonsplikten, jf. personopplysningsloven § 8. Samtykket skal være konkret i forhold til de sensitive opplysningene. Dette følger av § 9 første ledd bokstav a, men er gjentatt i forskriften for å understreke viktigheten av dette vilkåret. Dersom et slikt samtykke ikke foreligger, er behandlingen melde- og konsesjonspliktig. |
