BARNE- OG FAMILIEDEPARTEMENTET
Datatilsynets høringsinnspill Barne- og familiedepartementet - Rammevilkår for private tjenesteytere i barnevernet
Datatilsynet vil med dette avgi høringsinnspill til Barne- og familiedepartementets forslag til endringer i barnevernloven for rammevilkårene for private tjenesteytere i barnevernet.
Vi savner en nærmere utredning av hvilke ansvar og forpliktelser staten, kommunen og de private institusjonen (tjenesteytere) har etter personvernregelverket for å beskytte personvernet til barn og unge når det iverksettes tiltak etter barnevernloven. Barnevernet behandler betydelige mengder personopplysninger og sensitive personopplysninger om et barn samt om de personene som står barnet nært så som søsken, foreldre, besteforeldre, venner, naboer og lærere for å nevne noen. Når statlig eller kommunalt barnevern overfører et barn til en privat institusjon (tjenesteyter) som skal iverksette og følge opp tiltak overfor barnet behandles det personopplysninger. Denne behandlingen er underlagt personopplysningsloven og personvernforordningen. Når departementet har en gjennomgang av det rettslige rammeverket for kommunens og statens bruk av private tjenesteytere i barnevernet mener vi det er svært viktig å synliggjøre ansvaret etter personvernregelverket. Det er samtidig flere ulike personvernrelaterte problemstillinger som melder seg når det benyttes private tjenesteytere i barnevernet som bør drøftes og avklares nærmere. Vi legger derfor til grunn at departementet vil følge opp dette før de nye høringsforslagene vedtas.
Den behandlingsansvarlige
I personvernforordningen artikkel 4 nr. 7 vises det til at den behandlingsansvarlige er den som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Den behandlingsansvarlige skal videre sørge for at behandlingen er i tråd med prinsippene for behandling etter personvernforordningen artikkel 5, og vurdere risiko samt føre protokoll over behandlingsaktivitet under deres ansvar, jf. artikkel 24, 30 og 32. En databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige, jf. personvernforordningen artikkel 4 nr. 8.
Det er derfor viktig å vurdere og avklare hvem som er behandlingsansvarlig i saksbehandlingsløpet fra det kommunale eller statlige barnevernet iverksetter hjemme-undersøkelser på grunnlag av bekymringsmelding til det besluttes at barnet skal overføres til en privat institusjon hvor det skal følges opp med tiltak. Gjennom disse ulike forløpene samles det inn betydelig mengder personopplysninger om barnet samt om flere andre registrerte, som er av svært sensitiv karakter. Det samles også inn personopplysninger fra andre offentlige instanser så som skole, barnehage, helseinstitusjoner, NAV og politiet. Disse opplysningene ligger til grunn for barnevernet sine vurderinger som deler de videre med blant annet inntakskontoret i Barne-, ungdoms- og familieetaten (Bufetat) ved henvendelse vedrørende privat institusjonsplassering. Opplysningene overføres også fra det kommunale eller statlige barnevernet direkte til den private institusjonen/tjenesteyteren ved plassering av barnet. Den private institusjonen /tjenesteyteren samler også inn egne personopplysninger om barnet i den perioden det oppholder seg der.
Det er med andre ord mange ulike aktører som behandler personopplysninger om et barn når barnevernet undersøker og følger opp en bekymringsmelding og frem til barnet blir plassert hos en privat tjenesteyter. Det er viktig og helt nødvendig å identifisere hvem av disse aktørene som er behandlingsansvarlige og med det har forpliktelser etter personvernforordningen.
Er en privat tjenesteyteren behandlingsansvarlig for behandlingen av personopplysninger om barn under barnevernets omsorg eller er de databehandlere? Det er mulig å argumentere for at den private tjenesteyteren er en underleverandør til staten og opptrer derfor kun som databehandler. På den annen side utleder den private tjenesteyteren sitt ansvar og myndighet direkte fra barnevernloven og kommuneloven og er med det behandlingsansvarlig. Datatilsynet overlater disse og andre vurderinger vedrørende ansvaret for personvernet til barn og unge under barnevernets omsorg til departementet.
Lovlig behandlingsgrunnlag
Det følger av personvernforordningen artikkel 6 flg. at behandlingen må ha et lovlig behandlingsgrunnlag. Ved behandling av særlige kategorier personopplysninger er hovedregelen at det er forbudt med mindre det faller inn under ett av unntakene i artikkel 9 nr. 2. Datatilsynet anbefaler departementet å vurderer hva som er lovlig behandlingsgrunnlag for behandlingen av personopplysninger om barn og unge hos den private tjenesteyteren i barnevernet. Det bør videre vurderes om det er behov for presisering av det lovlige behandlingsgrunnlaget i barnevernloven av hensyn til rettssikkerheten.
Det er viktig å presisere at det i personvernforordningens artikkel 5 nr. 1 bokstav b stilles krav om, at enhver viderebehandling av personopplysninger må være forenelig med det opprinnelige formålet de ble samlet inn for.
Når en privat tjenesteyter mottar personopplysninger og særlige kategorier personopplysninger fra den kommunale eller statlige barnevernstjenesten om et barn eller en ungdom som skal plasseres på institusjonen, så har institusjonen kun lov til å viderebehandle disse opplysningene, såfremt det er i tråd med det opprinnelige formålet de ble samlet inn for.
Vi vil samtidig minne om personopplysningsloven § 5 hvor aldersgrensen for samtykke etter personvernforordningen artikkel 6 nr. 1 bokstav a er satt til 13 år. Når det innhentes personopplysninger direkte fra et barn som oppholder seg på en privat institusjon i forbindelse med kartlegging og kvalitetssikring av tjenestene må det gjøres en vurdering av hva som er lovlig behandlingsgrunnlag. Datatilsynet vil understreket at et samtykke er kun lovlig dersom det oppfyller formkravene i personvernforordningen artikkel 7, hvor det blant annet stilles krav om frivillighet.
Den registrertes rettigheter
Den registrerte har rett til blant annet informasjon og innsyn i henhold til personvernforordningen artikkel 13 flg. Informasjonen den registrerte har rett på et blant annet identitet og kontaktopplysningene til den behandlingsansvarlige, kontaktopplysninger til personvernombud, formålene med behandling mm.
Datatilsynet mener det er viktig at departementet presiserer behandlingsansvarliges forpliktelse til blant annet å gi barn og unge under barnevernets omsorg, informasjon i henhold til personvernforordningens krav. Når barnet oppholder seg på en privat institusjon hvem har da ansvaret for å gi barnet informasjon etter personvernforordningen?
Videre må det gjøres en vurdering av hvorledes rett til innsyn og korrigering etter personvernforordningen skal tolkes og praktiseres i forhold til partsrettighetene etter forvaltningsloven. Dersom den private tjenesteyteren for eksempel skal håndtere en innsynsbegjæring etter personvernforordningen artikkel 15, må de kjenne til det materielle innholdet av denne bestemmelsen som blant annet kun gir rett til innsyn på behandlingen av opplysninger om en selv.
Avslutningsvis vil vi bemerke at departementet bør se nærmere på ansvarsforholdet mellom den private tjenesteyteren, og statlig og kommunal barnevernstjeneste hva gjelder sletting av personopplysninger og sensitive personopplysninger om barnet og ungdommen når de er ferdige med oppholdet på den private institusjonen. Det er viktig at en av aktørene har hovedansvaret for å påse at personopplysninger om den registrerte blir slettet når formålet med innsamlingen av opplysningene er oppfylt.
Datatilsynets høringsinnspill Barne- og familiedepartementet - Rammevilkår for private tjenesteytere i barnevernet
Datatilsynet vil med dette avgi høringsinnspill til Barne- og familiedepartementets forslag til endringer i barnevernloven for rammevilkårene for private tjenesteytere i barnevernet.
Vi savner en nærmere utredning av hvilke ansvar og forpliktelser staten, kommunen og de private institusjonen (tjenesteytere) har etter personvernregelverket for å beskytte personvernet til barn og unge når det iverksettes tiltak etter barnevernloven. Barnevernet behandler betydelige mengder personopplysninger og sensitive personopplysninger om et barn samt om de personene som står barnet nært så som søsken, foreldre, besteforeldre, venner, naboer og lærere for å nevne noen. Når statlig eller kommunalt barnevern overfører et barn til en privat institusjon (tjenesteyter) som skal iverksette og følge opp tiltak overfor barnet behandles det personopplysninger. Denne behandlingen er underlagt personopplysningsloven og personvernforordningen. Når departementet har en gjennomgang av det rettslige rammeverket for kommunens og statens bruk av private tjenesteytere i barnevernet mener vi det er svært viktig å synliggjøre ansvaret etter personvernregelverket. Det er samtidig flere ulike personvernrelaterte problemstillinger som melder seg når det benyttes private tjenesteytere i barnevernet som bør drøftes og avklares nærmere. Vi legger derfor til grunn at departementet vil følge opp dette før de nye høringsforslagene vedtas.
Den behandlingsansvarlige
I personvernforordningen artikkel 4 nr. 7 vises det til at den behandlingsansvarlige er den som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Den behandlingsansvarlige skal videre sørge for at behandlingen er i tråd med prinsippene for behandling etter personvernforordningen artikkel 5, og vurdere risiko samt føre protokoll over behandlingsaktivitet under deres ansvar, jf. artikkel 24, 30 og 32. En databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige, jf. personvernforordningen artikkel 4 nr. 8.
Det er derfor viktig å vurdere og avklare hvem som er behandlingsansvarlig i saksbehandlingsløpet fra det kommunale eller statlige barnevernet iverksetter hjemme-undersøkelser på grunnlag av bekymringsmelding til det besluttes at barnet skal overføres til en privat institusjon hvor det skal følges opp med tiltak. Gjennom disse ulike forløpene samles det inn betydelig mengder personopplysninger om barnet samt om flere andre registrerte, som er av svært sensitiv karakter. Det samles også inn personopplysninger fra andre offentlige instanser så som skole, barnehage, helseinstitusjoner, NAV og politiet. Disse opplysningene ligger til grunn for barnevernet sine vurderinger som deler de videre med blant annet inntakskontoret i Barne-, ungdoms- og familieetaten (Bufetat) ved henvendelse vedrørende privat institusjonsplassering. Opplysningene overføres også fra det kommunale eller statlige barnevernet direkte til den private institusjonen/tjenesteyteren ved plassering av barnet. Den private institusjonen /tjenesteyteren samler også inn egne personopplysninger om barnet i den perioden det oppholder seg der.
Det er med andre ord mange ulike aktører som behandler personopplysninger om et barn når barnevernet undersøker og følger opp en bekymringsmelding og frem til barnet blir plassert hos en privat tjenesteyter. Det er viktig og helt nødvendig å identifisere hvem av disse aktørene som er behandlingsansvarlige og med det har forpliktelser etter personvernforordningen.
Er en privat tjenesteyteren behandlingsansvarlig for behandlingen av personopplysninger om barn under barnevernets omsorg eller er de databehandlere? Det er mulig å argumentere for at den private tjenesteyteren er en underleverandør til staten og opptrer derfor kun som databehandler. På den annen side utleder den private tjenesteyteren sitt ansvar og myndighet direkte fra barnevernloven og kommuneloven og er med det behandlingsansvarlig. Datatilsynet overlater disse og andre vurderinger vedrørende ansvaret for personvernet til barn og unge under barnevernets omsorg til departementet.
Lovlig behandlingsgrunnlag
Det følger av personvernforordningen artikkel 6 flg. at behandlingen må ha et lovlig behandlingsgrunnlag. Ved behandling av særlige kategorier personopplysninger er hovedregelen at det er forbudt med mindre det faller inn under ett av unntakene i artikkel 9 nr. 2. Datatilsynet anbefaler departementet å vurderer hva som er lovlig behandlingsgrunnlag for behandlingen av personopplysninger om barn og unge hos den private tjenesteyteren i barnevernet. Det bør videre vurderes om det er behov for presisering av det lovlige behandlingsgrunnlaget i barnevernloven av hensyn til rettssikkerheten.
Det er viktig å presisere at det i personvernforordningens artikkel 5 nr. 1 bokstav b stilles krav om, at enhver viderebehandling av personopplysninger må være forenelig med det opprinnelige formålet de ble samlet inn for.
Når en privat tjenesteyter mottar personopplysninger og særlige kategorier personopplysninger fra den kommunale eller statlige barnevernstjenesten om et barn eller en ungdom som skal plasseres på institusjonen, så har institusjonen kun lov til å viderebehandle disse opplysningene, såfremt det er i tråd med det opprinnelige formålet de ble samlet inn for.
Vi vil samtidig minne om personopplysningsloven § 5 hvor aldersgrensen for samtykke etter personvernforordningen artikkel 6 nr. 1 bokstav a er satt til 13 år. Når det innhentes personopplysninger direkte fra et barn som oppholder seg på en privat institusjon i forbindelse med kartlegging og kvalitetssikring av tjenestene må det gjøres en vurdering av hva som er lovlig behandlingsgrunnlag. Datatilsynet vil understreket at et samtykke er kun lovlig dersom det oppfyller formkravene i personvernforordningen artikkel 7, hvor det blant annet stilles krav om frivillighet.
Den registrertes rettigheter
Den registrerte har rett til blant annet informasjon og innsyn i henhold til personvernforordningen artikkel 13 flg. Informasjonen den registrerte har rett på et blant annet identitet og kontaktopplysningene til den behandlingsansvarlige, kontaktopplysninger til personvernombud, formålene med behandling mm.
Datatilsynet mener det er viktig at departementet presiserer behandlingsansvarliges forpliktelse til blant annet å gi barn og unge under barnevernets omsorg, informasjon i henhold til personvernforordningens krav. Når barnet oppholder seg på en privat institusjon hvem har da ansvaret for å gi barnet informasjon etter personvernforordningen?
Videre må det gjøres en vurdering av hvorledes rett til innsyn og korrigering etter personvernforordningen skal tolkes og praktiseres i forhold til partsrettighetene etter forvaltningsloven. Dersom den private tjenesteyteren for eksempel skal håndtere en innsynsbegjæring etter personvernforordningen artikkel 15, må de kjenne til det materielle innholdet av denne bestemmelsen som blant annet kun gir rett til innsyn på behandlingen av opplysninger om en selv.
Avslutningsvis vil vi bemerke at departementet bør se nærmere på ansvarsforholdet mellom den private tjenesteyteren, og statlig og kommunal barnevernstjeneste hva gjelder sletting av personopplysninger og sensitive personopplysninger om barnet og ungdommen når de er ferdige med oppholdet på den private institusjonen. Det er viktig at en av aktørene har hovedansvaret for å påse at personopplysninger om den registrerte blir slettet når formålet med innsamlingen av opplysningene er oppfylt.
Med vennlig hilsen
Bjørn Erik Thon
Bjørn Erik Thon