1. Samandrag
1.1 Innleiing
Datatilsynet har vore i drift sidan 1. januar 1980. Tilsynet skal m.a. handsama og avgjere søknader om konsesjon, kontrollere at lover og reglar som gjeld personregister blir følgde, og gje rettleiing og informasjon om personvern.
Ved handsaminga av Datatilsynet si årsmelding for 1992 bad Stortinget Regjeringa leggje fram ei melding om dei problema ny telekommunikasjon reiser av etisk og personvernmessig art. Ei slik melding er under arbeid.
Departementet vurderer å gjere ein meir omfattande revisjon av personregisterlova. Det må òg avklarast nærare om EU sitt komande direktiv på området gjer det naudsynt med lovendringar.
Datatilsynet har utarbeidd eit utkast til ny føresegn til personregisterlova. Utkastet er til vurdering i departementet, og departementet tek sikte på å avslutta arbeidet med dette inneverande år.
Eit direktiv om personvern vil kunne verte vedteke av EU hausten 1995. Ei rekkje av prinsippa i direktivet inngår allereie i norsk lovgjeving. Det er likevel klårt at direktivframlegget på ein del punkt er annleis enn dei norske reglane. Eventuelle endringar i norsk lovgjeving som følgje av direktivet vil verte utgreidde i samband med Stortinget si handsaming av spørsmålet om direktivet skal gjerast til ein del av EØS-avtalen.
1.2 Justisdepartementet sine merknader til dei einskilde punkta i Datatilsynet si årsmelding for 1993
Datatilsynet har peika på ulike problem i samband med forsikringsselskapa si innsamling og bruk av personopplysningar, spesielt helseopplysningar innan livs- og pensjonsforsikringar. Justisdepartementet vil følgje utviklinga på dette området nærare, og vurderer Datatilsynet sitt framlegg om å oppheve livsforsikringsselskapa sitt fritak frå konsesjonsplikt når det gjeld forsikrings- og utlånsregister.
Televerket fekk i 1993 konsesjon til automatisk registrering og lagring av samtaledata i samband med opprettinga av eit nytt faktureringssystem for teletenester, kalla Sen-Taks. Datatilsynet fastsette konsesjonsvilkår der det framgår at vanleg lagringstid skal vere maksimalt seks månader, men det skal vere mogleg å reservere seg mot lagring og å få sletta opplysningane etter maksimalt 14 dagar. Ein skal òg kunne reservere seg mot å stå på andre sine rekningar. Televerket vurderer å tilby anonyme telefonnummer til alle yrkesgrupper som kan dokumentere eit behov for det. Eit problem i samband med anonyme nummer er korleis det kan skjulast at det er ringt til slike nummer når det vert klaga på rekninga. Ved å utvida gruppa av anonyme nummer til òg å gjelde ikkje-sensitive nummer, vil dette vere med på å ufarleggjere informasjonen. Konsesjonen pålegg Televerket ei omfattande informasjonsplikt andsynes sine abonnentar når det gjeld deira rettar til m.a. å reservere seg mot lagring av samtaledata i seks månader.
Departementet er positiv til at Datatilsynet i 1994 vil prioritere informasjons- og tilsynsverksemd særleg retta mot kommunane.
Departementet viser til at det har vore utgreidd og gjort framlegg til ei samordning av regelverket for informasjonssikring. Mange av høyringsinstansane har understreka behovet for reglar om datasikring. Det er likevel kritisert at ein har gått for langt i å samordna mange omsyn innafor ei føresegn. Dei departementa det gjeld vurderer no om det er føremålstenleg å føre vidare arbeidet med ei sterk samordning av sikringsreglar på tvers av sektorar eller om andre løysingar er meir føremålstenlege.
Spørsmålet om Brønnøysundregistra si verksemd er kredittopplysningsverksemd, er særleg aktuelt i samband med endringane i tvangsfullbyrdelseslova om utvida registrering av utleggsforretningar som vart vedtekne i 1993. Datatilsynet var skeptisk til lovendringa og Regjeringa uttala under lagtingsdebatten at desse endringane ikkje skulle setjast i kraft før Stortinget hadde fått høve til å vurdere framlegget på nytt. Departementet planlegg å sende eit justert framlegg til lovreglar om utvida registrering av utleggsforretningar på høyring med det første.
Ei arbeidsgruppe har vurdert reglar om utlevering av masseopplysningar frå skattelistene i maskinlesbar form, og deira innstilling er til vurdering i departementet.
Departementet har merka seg dei synspunkta som kjem fram om administrasjonen i årsmeldinga.
1.3 Datatilsynet si årsmelding for 1993
Stortinget si handsaming av Datatilsynet sine årsmeldingar gjev eit klårt inntrykk av at ein i det politiske miljø ynskjer at tilsynet skal engasjera seg i det generelle ordskifte om personvern. Frå delar av statsadministrasjonen er det kome signal som kan tyde på at ein slik opinionsdannande funksjon ikkje er ønska. Det er likevel i meldingsåret ikkje registrert konkrete initiativ med tanke på å avgrense tilsynet sitt mandat.
Så vel konsesjonshandsaming som kontrollverksemd har sin største verdi som informasjonskanalar. Datatilsynet legg avgjerande vekt på det korrektiv som knytter seg til Stortinget si handsaming av årsmeldingane frå Datatilsynet.
90-åra er prega av ynskje om aukande høve til å knytte ulike databaser saman i nett. Staten er her ein stor pådrivar.
Telenettet vil òg verte radikalt endra framover. Utfordringane framover ligg i å gje berre autoriserte personar tilgang til sensitiv informasjon og til å styre utvekslinga av denne typen informasjon. Ser ein enda lengre fram vil ein trådlaus datakommunikasjon vere det neste. Slik kommunikasjon krev svært avanserte sikringsfunksjonar og desse bør vera på plass før ein tillet bruk av slikt utstyr. Ynskje om å nytte innsamla opplysningar kommersielt blir stadig tydelegare. Brønnøysundregistra selde eksempelvis i meldingsåret informasjoner for om lag 20,5 mill. kroner.
Datatilsynet får stadig meldingar frå publikum om forsikringsselskapa si innsamling av personopplysningar, særleg helseopplysningar. Forsikringstakar har i dag lite høve til sjølv å kontrollera kven som har opplysningar om dei. Kunderegistra i livsforsikringsverksemd er i dag unnateke frå konsesjonsplikt. Datatilsynet har overfor departementet gjort framlegg om at registra vert konsesjonspliktige på line med skadeforsikringsselskapa sine kunderegister. Innføring av EØS-avtala reiser problem ved at utanlandske forsikringsselskap kan etablere seg fritt i landet. Dette gir behov for å utlevere opplysningar til utlandet, og fører til at Datatilsynet misser oversikta over informasjonsflyten over landegrensene.
Spørsmålet om det på førehand som hovudregel skal krevjast uttrykkeleg samtykke eller uttrykkeleg reservasjon ved automatisk registrering, blir stadig reist. I meldingsåret var det særleg Televerket sitt ynskje å registrere faktureringsgrunnlag og oppbevare trafikkdata ved telefonbruk som reiste slik debatt. Datatilsynet meinte at slik registrering frå Televerket si side burde vore aktivt ønskt frå abonnenten, og at lagringa elles skulle vere så kortvarig som teknisk mogleg. Tilsynet sitt standpunkt vart påklaga til departementet med det resultat at lagringstida vart maksimum eit halvår med mindre abonnenten har bede om sletting tidlegare.
I 1993 handsama Datatilsynet fleire koplingssaker. Nokre av desse er nemnde i meldinga. Datatilsynet er i ferd med å følgje opp desse og andre registerkoplingar i kontrollsamanheng.
Behovet for sikring og kvalitet i edb-system aukar stadig. Datavirus og forsøk på datakriminalitet gjer at trusselen mot norske edb-system er høg.
For å sikre sensitiv informasjon som er lagra i kommunane best mogleg, har Datatilsynet i sine konsesjonar sett som vilkår at dei mest sensitive registra skal førast i fysisk isolerte edb-system. Datatilsynet gjev likevel dispensasjon til kommunar for å føre sine sensitive personregister i delte edb-system dersom ein kan dokumentere at sikringa vert ivareteken. Dette arbeidet er svært tidkrevande.
I arbeidet med informasjonssikring ville det vere av stor verdi å få etablert eit effektivt sertifiseringsorgan for å sikre edb-system.
Det vil by på store utfordringar å få tilstrekkeleg datasikring på plass i helsesektoren for å minske faren for uautorisert tilgang til informasjon ved kobling til nett. Dette ville òg naturleg falle inn under arbeidsområdet til eit eventuelt sertifiseringsorgan.
Arbeidet med å utarbeide og autorisere gode sikringsreglar for edb-bruken i og utanfor offentleg forvaltning går seint. Eit ynskje frå alle aktørar Datatilsynet er i kontakt med, er ei autorisert sikringsføresegn.
Informasjonsarbeid står sentralt i Dastilsynet si verksemd. Etter Stortinget si budsjetthandsaming vart det gitt heimel til ei ny stilling som informasjonsansvarleg med tilsetting tidleg i 1994.
Datatilsynet fekk i 1993 ikkje vesentlege klager som er relatert til markedesundersøkingsbransjen, men det er grunn til å tru at konsesjonsplikta er relativt ukjent innan denne bransjen. Datatilsynet meiner at ei registrering som gjer det mogleg for den einskilde å lagre nøyaktig kunnskap om kva einskilde individ gjer, til dømes gjennom innkjøp, ikkje er i samsvar med viktige personvernomsyn.
Datatilsynet gjennomførte i meldingsåret ein omfattande kontroll av dei største datahandsamingsforetaka i Noreg. Ein fann ikkje vesentlege manglar ved selskapa si verksemd. I ei utgreiing om datahandsamingsverksemd vert det m.a. gjort framlegg om at verksemder som driv informasjonsformidling eller service og vedlikehald av edb-maskinar m.v. og skal omfattast av kravet om verksemdskonsesjon. Forslaget er oversendt departementet.
Talet på skriftlege og munnlege klager frå publikum innan kredittopplysnsingsbransjen har vore på same nivå som året før. Kredittopplysingsbransjen nyttar opplysningar frå Brønnøysund-registeret, og er objektivt ansvarlege for feil i registra. Det same gjeld ikkje Brønnøysund-registra, noko Datatilsynet finn urimeleg.
Kvart år vert likninga frå året før lagt ut til offentleg gjennomsyn nokre veker. Dette er nokre av dei sakene publikum har klaga mest på. Datatilsynet har teke initiativ til ei vurdering av reglane om likninga, og vil kome nærare attende til dette i neste årsmelding.
Datatilsynet har i meldingsåret sett nærare på adresserings- og distribusjonsverksemd. Arbeidet har hatt som føremål å revidere verksemdskonsesjonen og utgreie oppretting av eit sentralt reservasjonsregister mot adressert reklame og telefonmarknadsføring m.v. Kartlegging av ulike alternativ til reservasjonsregister vil halde fram.
Ei av Datatilsynet sine hovudoppgåver er å driva kontrollverksemd. Av kontrollar i 1993 nemner ein spesielt kontroll av Statens Datasentral. Kontrollen avdekka ingen manglar.
Datatilsynet har signalisert at personregisterlova bør endrast, slik at Datatilsynet får høve til å frita søkjarar frå konsesjonsplikta gjennom einskildvedtak. Konsesjonsplikta bør reserverast for dei tilfella der det er behov for den i personvernmessig samanhang. Datatilsynet har og bede departementet vurdere å gje Datatilsynet føresegnskompetanse, m.a. for register som er mange og identiske.
Datatilsynet har i 1993 utarbeidd utkast til nye føresegner til personregisterlova. Dette er sendt departementet og inneber mellom anna enklare reglar der det er behov for standardisering. I revisjonsframlegget er det særleg framheva at eit kvart personregister som er fritatt frå konsesjon i større grad må ha eit avgrensa og presist føremål. Datatilsynet har vidare føreslått at kobling av konsesjonsfrie register berre skal vere tillatt utan samtykke når resultata av koblinga ikkje skal nyttast som grunnlag for vedtak retta mot den einskilde. Datatilsynet har og uttala at løns- og personalregister burde innehalde reglar om sletting når ein person sluttar i firmaet.
Når det gjeld høyringsfråsegner, ser ein alt for ofte at utrederane ikkje nevner eller berre så vidt tek med personvernspørsmål i førebuingsfasen. Det har òg vore eksempel på at Datatilsynet ikkje er teke med som høyringsinstans.
Datatilsynet fekk heller ikkje i 1993 vesentleg auke i sine driftsmidlar. Det samla talet på saker aukar ikkje dramatisk, men det er ei auke i talet på kompliserte og arbeidskrevjande saker. Det er registrert ein auka etterspurnad frå publikum etter råd og rettleiing. Det er framleis eit sterkt behov for fleire medarbeidarar så vel på den juridiske som den tekniske sida.
Datatilsynet vil i 1994 spesielt leggje vekt på informasjon og tilsyn. Arbeidet med kommunane vil bli prioritert.