Høringsbrev

Høring – utkast til forskrift om behandling av personopplysninger i kriminalomsorgen

Justis- og beredskapsdepartementet sender med dette utkast til forskrift om behandling av personopplysninger i kriminalomsorgen på høring.

Bakgrunn
Utkastet til forskrift inneholder utfyllende bestemmelser til straffegjennomføringsloven kapittel 1a om behandling av personopplysninger i kriminalomsorgen. Kapittel 1a vil tre i kraft når forskrifter er vedtatt.

Forholdet til personopplysningsloven
Det følger av straffegjennomføringsloven § 4a at «Personopplysningsloven gjelder med utfyllende regler fastsatt i» straffegjennomføringsloven kapittel 1a. Etter vedtakelsen av forskriften vil kapittel 1a tre i kraft, slik at behandling av personopplysninger i kriminalomsorgen vil bli regulert av både personopplysningsloven og straffegjennomføringsloven kapittel 1a med tilhørende forskrifter. Kriminalomsorgen vil dermed få et klarere hjemmelsgrunnlag for behandlingen av personopplysninger, i tillegg til at forskriften sammenholdt med personopplysningsloven vil gi nærmere regler om de krav som stilles til behandling og rutiner på ulike nivå.

Nærmere om enkelte sentrale bestemmelser
Det framgår av straffegjennomføringsloven § 4e at «Kongen gir forskrift om blant annet» nærmere angitte emner. Hvilke områder som skal reguleres i forskrift er altså fastsatt i lovbestemmelsen. Departementet har i tillegg til dette funnet grunn til å foreslå forskriftsregulering av enkelte andre problemstillinger.

Behandlingsansvar, utkastet § 2
Behandlingsansvaret blir foreslått lagt til Kriminalomsorgens sentrale forvaltning. Behandlingsansvarlig har det overordnede ansvaret for at behandling av personopplysninger i kriminalomsorgen skjer i samsvar med gjeldende regelverk, og at det etableres rutiner for å påse at behandlingen av personopplysninger skjer i henhold til regelverket.

Det følger av forskriftsutkastet § 2 siste ledd at «det daglige behandlingsansvaret» kan delegeres, noe som innebærer at gjennomføringen av de daglige gjøremålene i forbindelse med behandling av personopplysninger kan delegeres til lokalt og regionalt nivå i kriminalomsorgen. Dette vil kunne dreie seg om for eksempel ivaretakelse av plikten til å sikre opplysningenes kvalitet, behandle anmodninger om innsyn, retting, sperring og sletting og visse tiltak i forbindelse med internkontroll.

Opplysningskategorier, utkastet §§ 4 og 5
Forslaget til forskrift angir i § 3 hvilke opplysningskategorier det vil være anledning til å behandle. Utkastet § 5 åpner for at kriminalomsorgen «i særlige tilfeller» kan behandle personopplysninger som ikke er verifiserte. Dette er ment som en snever unntaksregel, og behandlingen av denne typen opplysninger skal kun skje etter en streng vurdering hvor opplysningenes kvalitet veies opp mot formålet med behandlingen. Det legges dermed opp til en proporsjonalitetsvurdering, og det er naturlig at det i praksis er forhold knyttet til ro, orden og sikkerhet som kan begrunne behandling av opplysninger som mangler verifisering. Det framgår videre av forslagets § 5 jf. § 9 siste ledd, at denne typen opplysninger skal slettes etter fire måneder dersom de ikke kan verifiseres.

Informasjonsplikt og innsyn, utkastet §§ 6 og 7
Kriminalomsorgens plikt til å informere den registrerte om innsamling og utlevering av personopplysninger framgår av forskriftsutkastet § 6. § 7 regulerer retten til innsyn i behandlingen av personopplysninger. Begge disse bestemmelsene tar sikte på å samordne de ulike reglene i henholdsvis personopplysningsloven, forvaltningsloven og straffegjennomføringsloven.

Retting, sletting og sperring, utkastet § 9
Plikten til retting, sletting og sperring av personopplysninger henger sammen med prinsippene om at personopplysninger skal inneha en forsvarlig kvalitet og at behandlingen skal anses nødvendig. Kvalitetskravet er nedfelt i forskriftsutkastet § 4, og nødvendighetskravet gjenspeiles i § 9 første ledd. Kriminalomsorgen skal av eget tiltak sørge for retting, sletting og sperring av personopplysninger dersom disse er mangelfulle. I tillegg foreligger det en slik plikt på anmodning fra den registrerte, hvis det viser seg at opplysningene er mangelfulle. 

Informasjonssikkerhet og internkontroll, utkastet §§ 10 og 11
Forslaget til forskrift inneholder i § 10 regler om at tilgang til personopplysninger kun skal gis til tilsatte i kriminalomsorgen og andre som utfører arbeid for kriminalomsorgen når disse har et tjenestemessig behov for slik tilgang. I tillegg stilles det krav om opplæring og autorisasjon. Kriminalomsorgen plikter etter § 11 også å sørge for andre tiltak for ivaretakelse av informasjonssikkerheten.  Bestemmelsen stiller også krav til internkontrolltiltak.

Underliggende regelverk
Departementet mener at det vil være behov for å gi nærmere regler om behandling av personopplysninger. Dette vil for eksempel kunne dreie seg om særregler for visse opplysningskategorier, retting, sperring og sletting og internkontroll. Nærmere retningslinjer vil derfor bli gitt av Kriminalomsorgens sentrale forvaltning.

Økonomiske og administrative konsekvenser
Utkastet til forskrift antas ikke å ha økonomiske og administrative konsekvenser. Forskriften vil ikke pålegge kriminalomsorgen nye arbeidsoppgaver, men heller tydeliggjøre ansvarsforhold og oppgavefordeling. Eventuelle økonomiske og administrative konsekvenser forutsettes dekket innenfor gjeldende budsjettrammer.

Høringsfristen er 20. mai 2013.

Høringsuttalelser sendes til Justisdepartementet, Kriminalomsorgsavdelingen, postboks 8005 Dep, 0030 Oslo.

Liste over adressatene for dette brevet følger vedlagt. Høringsinstansene må selv vurdere om det er behov for å forelegge høringsbrevet for andre underliggende etater og organer enn de som er særskilt nevnt i listen over høringsinstanser.

Høringsbrevet og listen over høringsinstanser er også tilgjengelig på regjeringens hjemmeside www.regjeringen.no (Velg «Dokumenter» og «Høringer»).

Med hilsen

Marianne Vollan e.f.
ekspedisjonssjef

Sissel Kofoed
avdelingsdirektør

Vedlegg