1. Innledning
1.1 Innledning
Datatilsynet har vært i virksomhet siden personregisterloven tok til å gjelde 1. januar 1980.
Tilsynet har fått viktige oppgaver etter personvernregisterloven og skal bl.a. behandle og avgjøre søknader om konsesjon for personregistre og for annen bruk av personopplysninger i visse typer virksomheter, kontrollere at lover og regler som gjelder for personregistre og bruk av personopplysninger blir fulgt, og gi råd, rettledning og informasjon om personvern og de reglene som gjelder for personregistre.
I NOU 1997:19 Et bedre personvern foreslår Personregisterlovutvalget at personregisterloven erstattes med en ny lov om behandling av personopplysninger. I meldingen gis en oversikt over noen av de viktigste endringene utvalget går inn for. Departementet tar sikte på å fremme en odelstingsproposisjon om saken i løpet av 1998.
1.2 Departementets merknader til årsmeldingen
Det fremgår av meldingen at Datatilsynet gjennomfører en stadig vurdering av konsesjoner, både for virksomheter og registre. Arbeidet har medført skjerpede vilkår og en særlig vekt på mer informasjon til registrerte personer og publikum. Justisdepartementet ser positivt på en slik gjennomgang av konsesjonene for å styrke personvernet.
Fra 1. januar 1997 er flere personregistre enn tidligere fritatt fra konsesjonsplikt. Dette medfører at Datatilsynet har fått frigitt tid fra ordinær konsesjonsbehandling til andre oppgaver.
I Datatilsynets årsmelding omtales problemstillinger i tilknytning til at Tollvesenet ga opplysninger til en arbeidsgiver om at en ansatt var tatt for smugling på en feriereise. Departementet bemerker bl.a. at man ved tollovertredelser som foretas i en sammenheng der den ansatte opptrer som privatperson, i utgangspunktet ikke vil anse arbeidsgiveren som part, og dermed informasjonsberettiget. Så lenge forholdene ikke er konkretisert, må det imidlertid på generelt grunnlag kunne gis en redegjørelse fra Tollvesenet til en virksomhet om at ansatte i virksomheten er tatt i smugling.
Bruk av personopplysninger i journalistisk virksomhet reiser flere prinsipielle spørsmål. Justisdepartementet anser ikke at personregisterloven normalt vil gi tilstrekkelige holdepunkter for å hindre at kredittopplysninger selges til media. Kredittopplysningsbyråene må anvende det skjønn som loven tillegger dem i vurderingen av om journalister har « saklig behov » for opplysninger. Det er også viktig å presisere pressens egen varsomhetsplikt.
Nettutvikling basert på åpne, standardiserte kommunikasjonsløsninger er en trend som reiser nye utfordringer. Når man benytter seg av datakommunikasjon vil aktivitetene på nettet logges, primært for å overvåke drift. Annen bruk av loggen er ikke tillatt dersom det ikke foreligger særskilt tillatelse til det i form av avtale mellom partene i arbeidslivet. Departementet fremhever at selv om det er riktig å gjøre rede for de trusler vi står overfor ved nettverksutviklingen, er det viktig å ikke spre ubegrunnet frykt.
Det tverrdepartementale Rådet for IT-sikkerhet skal tjene som forum for erfaringsutveksling, samordning og initiativ bl.a. til nye tverrsektorielle sikkerhetstiltak. Rådet arbeidet da meldingen ble fremmet med utredning av en ordning for sertifisering av IT-sikkerhet i Norge. Rapport om dette ble forventet ferdigstilt i løpet av 1997.
Når det gjelder bruk av satellittsporing innenfor transportsektoren, er departementet enig med Datatilsynet i at dette er systemer som vil kunne ha uheldige sider i forhold til personvernet. Ved bruk av slike systemer er det derfor viktig at partene i arbeidslivet er med og utformer reglene for sin arbeidsplass.
Dagens ulike ordninger for betalingskontroll på veiene medfører en registrering av trafikantene som kan være en trussel mot personvernet. Hjemmel for utlevering av registrerte opplysninger til politiet finnes i straffeprosessloven § 210. Departementet presiserer at denne bestemmelsen ikke stiller krav om at saken skal gjelde etterforskning av en kjent gjerningsmann. Det er imidlertid et prinsipp at det straffbare forhold må være tilstrekkelig konkretisert.
For øvrig viser departementet til at Personregisterlovutvalget i sin innstilling foreslår strengere regler om overvåking.
1.3 Årsmelding for Datatilsynet 1996
1.3.1 Datatilsynets styre
Av beretningen fra Datatilsynets styre fremgår det bl.a. at Datatilsynet føler et ansvar for å peke på nye problemstillinger, og et særlig ansvar for at det tas hensyn til de ressurssvake og ikke-organisertes interesser.
Det vises også til at personvernet i overvåkingssammenheng er blitt sterkere fokusert i løpet av 1996, og at det kan være nødvendig å arbeide mer med disse spørsmålene.
Ved skifte av styre har det vært naturlig å drøfte styrets oppgaver, blant annet styrets rolle utenom klagesaksbehandlingen. Det bemerkes at det ikke bør bli slik at funksjonen som klageorgan går på bekostning av andre forvaltningsmessige styringsoppgaver. Samtidig ønsker styret å delta aktivt i arbeidet med Datatilsynets planer og strategiutforming, og i evalueringer av Datatilsynets virksomhet.
1.3.2 Nye utfordringer for Datatilsynet
Også i 1996 har det preget Datatilsynets arbeid med personvernspørsmål at den informasjonsteknologiske utviklingen holder et tempo og har et omfang i Norge som innebærer at det ofte er vanskelig å basere virksomheten på erfaringer.
Schengen-debatten belyser en problemstilling som blir stadig mer aktuell: Hvordan og hvor finner man et rimelig balansepunkt mellom tiltakene for å forebygge eller avsløre lovbrudd, mot ønsket om et samfunnsfellesskap bygget på tillit og frihet?
Savnet av et kompetent forskningsmiljø som kan beskjeftige seg mer systematisk med framtidens personverntrusler og utvikling av personvernfremmende løsninger blir stadig tydeligere.
I meldingsåret ble Internetts kommersielle muligheter utviklet også i vårt land. Utviklingen viser at det er klare begrensninger knyttet til effektiviteten av nasjonale reguleringer innenfor personvernområdet. Desto viktigere blir det med et aktivt, norsk engasjement i arbeidet for å utvikle forpliktende, internasjonale avtaler.
Med den raske utvikling innenfor det samfunnsområdet Datatilsynet har ansvar for, framstiller det seg som ønskelig å kunne tilpasse det formelle regelverket til virkeligheten hurtigst mulig. På denne bakgrunn pekes det på den praktiske mulighet departementet har til å delegere forskriftsmyndighet til Datatilsynet.
Datatilsynet mener at behovet for et sertifiseringsorgan for IT ble ytterligere bekreftet i 1996.
1.3.3 Datatilsynets virksomhet i 1996
I meldingen gjengis de generelle mål for Datatilsynets virksomhet, og det nærmere innhold i begrepene personvern og personregister. Informasjon står sentralt blant målsettingene.
I hovedsak bruker Datatilsynet flest ressurser på behandling av søknader om konsesjon. Det er gitt i overkant av 65.000 konsesjoner til oppretting av personregistre siden 1980. Personregisterloven omfatter også kreditt- og personopplysningsvirksomhet, databehandlingsvirksomhet, adresserings- og distribusjonsvirksomhet, og opinions- og markedsundersøkelsesvirksomhet. Det er gitt totalt 363 virksomhetskonsesjoner.
Datatilsynet ferdigstilte i 1996 arbeidet med nye og strengere konsesjonsvilkår for kredittopplysningsbyråenes virksomhet, for markeds- og opinionsvirksomheten og for adresseringsvirksomheten.
Datatilsynet har gjennom flere år fremhevet viktigheten av å opprette et sentralt reservasjonsregister mot adressert reklame. Et forslag om dette ble i 1994 oversendt Justisdepartementet for behandling.
Restansene i Datatilsynets saksmengde har sunket siden 1995 selv om saksmengden økte. Datatilsynet definerer restanse som en sak som er eldre enn seks uker.
Datatilsynet ekspederer ca 32.000 telefonsamtaler i året. Rettighetsinformasjon er en prioritert oppgave. Antall henvendelser er imidlertid så høyt at det representerer et kapasitetsproblem.
Datatilsynet bidrar aktivt i forskjellig høringsarbeid. Tilsynet deltar også i flere utvalg og arbeidsgrupper, og er med i Rådet for IT-sikkerhet som ble opprettet i 1996.
I 1996 har Datatilsynet foretatt bl.a. teknologiske kontroller fordelt på kommuner, laboratorier og adgangskontrollsystem. Kontrollene har avdekket et svært varierende sikkerhetsnivå. Sikkerheten er betydelig bedre på de stedene hvor det er penger å tape ved brudd på informasjonssikkerheten, enn der personinformasjon alene skal beskyttes.
Datatilsynet arbeider aktivt for å distribuere rett informasjon til aktuelle målgrupper og for å opprettholde en strukturert og god mediekontakt.
Datatilsynet deltar dessuten i flere internasjonale fora.
1.3.4 Tolkning av personregisterloven: saker i 1996
Elektronisk registrering av helseopplysninger
Datatilsynet har tidligere pekt på et behov for at store, landsomfattende medisinske forskningsregistre hjemles i lov.
Datatilsynet har også 1996 gitt konsesjon til to store forskningsregistre hvor helseopplysninger inngår. Konsesjonene baseres på at det skal gis samtykke til registrering fra den det gjelder. Det settes vilkår som sikrer at ikke utenforstående får innsyn og det settes strenge begrensninger på tilgangen til personidentifiserbare opplysninger, også for forskerne.
Lipidklinikken ved Rikshospitalet søkte om konsesjon for å opprette personregister over slektninger til personer med en arvelig sykdom som kan avsløres ved en gentest. Datatilsynet ga konsesjon for å føre et begrenset slektsregister. Konsesjonen er påklaget av Lipidklinikken som ønsker tillatelse til å registrere flere opplysninger. Justisdepartementet har ikke avgjort klagen i meldingsåret.
« Smuglersaken » - utlevering av opplysninger fra Tollvesenet til arbeidsgiver
En person ansatt i et rederi ble på sin feriereise « tatt i tollen ». Disse opplysningene ble rapportert fra Tollvesenet til vedkommendes arbeidsgiver. Resultatet for personen var avskjedigelse. Det forelå en muntlig avtale mellom Tollvesenet og rederiene om å rapportere ansatte som blir tatt for å smugle tollfrie varer. Etter Datatilsynets oppfatning reiser saken alvorlige betenkeligheter i forhold til avtaler mellom offentlig myndighet (Tollvesenet) og privat virksomhet (rederiet) om rapportering av ansatte.
Nytt sentralt edb-støttet system i Tollvesenet
Tidligere har informasjon i forbindelse med personkontroller blitt registrert ved de forskjellige tollstedene. En omlegging av edb-løsningene i Tollvesenet vil føre til at etaten samler alle disse registrene i ett register. Personinformasjonen som registreres skal føres i et adskilt system. Datatilsynet mener dette er svært fornuftig, og er også opptatt av at det må fastsettes sletteregler for personopplysningene.
Sentralt i Tollvesenets omlegging av edb-løsninger er også spørsmålet om hvem i etaten som skal ha tilgang til hvilken informasjon. Opplysningene må i stor utstrekning skjermes innen etaten. I tillegg er det naturlig å innføre begrensninger i forhold til antall oppslag i de registrene som inneholder sensitiv informasjon.
Bruk av personopplysninger i journalistisk virksomhet
I medhold av offentlighetsloven kan skattelistene massedistribueres. Mange aviser trykker såkalte « ti på topp »-lister over skattytere. Det er Datatilsynets oppfatning at dette ikke er i samsvar med hensynene bak reglene om offentlig ligning. Datatilsynet har også mottatt henvendelser fra presseorganer som ønsker å trykke egne ligningsbøker. Det er ikke gitt noen slik tillatelse i 1996.
Datatilsynet har sett flere eksempler på at pressen har kjøpt opplysninger om private personers inntektsforhold fra kredittopplysningsforetak. I personregisterloven § 17 heter det at kredittopplysninger ikke skal gis når bestilleren ikke har « saklig behov » for opplysningene. Det er Datatilsynets oppfatning at pressen sjelden kan sies å ha saklig behov for denne type kredittopplysninger til bruk i journalistisk virksomhet. Kredittopplysningsforetakene er bedt om å gjøre en noe grundigere undersøkelse ved forespørsler om kredittopplysninger fra pressen enn fra andre næringsdrivende.
I den såkalte « konkursryttersaken » kjøpte pressen opplysninger om personer som en eller flere ganger har gått konkurs, og bruke opplysningene i journalistisk virksomhet. Også i denne saken påpekte Datatilsynet at pressen neppe har et saklig behov for de utleverte kredittopplysningene.
Datatilsynet har i 1996 sett eksempel på utlevering av passbilder fra politiets passregister til pressen. Datatilsynet påpekte at slik utlevering kan være i strid med registerets formål.
Forskning og personregisterloven
I forbindelse med heroinprosjektet i Oslo reiste Datatilsynet spørsmål om hvor sterk forskernes taushetsplikt var i forhold til en eventuell vitneplikt for domstolene. Justisdepartementet uttalte at forskernes taushetsplikt normalt må stå tilbake for en eventuell vitneplikt i domstolene. Datatilsynet har i konsesjonen for prosjektet påpekt at respondenten skal informeres om dette.
På oppdrag fra Kommunaldepartementet ble SINTEF bedt om å gjennomføre en kartlegging av kommunenes helseutgifter for flyktninger og personer med oppholdstillatelse på humanitært grunnlag, bosatt i et utvalg kommuner i løpet av de siste fem årene. Saken ble forelagt Den nasjonale forskningsetiske komité for samfunnsvitenskap og humaniora som uttalte at faren for stigmatiserende virkninger ville reduseres ved at det er helseutgifter for en klart avgrenset gruppe som skal kartlegges og at prosjektets resultater bare brukes til et klart avgrenset formål. På denne bakgrunn ble det gitt konsesjon.
Det er flere spørsmål som reises når forskningsprosjekter skal reguleres i forhold til personregisterloven. Et gjennomgående problem innen forskningen er at informasjonen til respondentene er mangelfull.
Etter at flere ordinære forskningsregistre er blitt unntatt fra konsesjonsplikt, kan Datatilsynet konsentrere seg om de store og « tunge » registrene.
Nytt sosialsystem i Oslo
Oslo kommune har konsesjon fra Datatilsynet til å føre sosialregister (klientregister) ved hvert sosialkontor. I 1996 søkte kommunen om tillatelse til å koble sosialkontorene sammen med kommunens øvrige registre for å lage kommunens virksomhetsnett. Oslo kommune har utarbeidet retningslinjer for informasjonssikkerhet for nettet. Kommunen har fått tillatelse til å føre sosialregistre i et delt edb-system, idet Datatilsynet mener kommunens sikringstiltak er tilstrekkelige.
1.3.5 Temaer
Nettverk: Global elektronisk kommunikasjon
Koblingen av tidligere lukkede edb-systemer til store globale nettverk, er en økende trend. Dersom det skal foretas en kobling til åpent nett, må koblingen sikres slik at uvedkommende ikke får tilgang til intern informasjon. Informasjon som kommuniseres i klartekst over nettet kan avlyttes, og det er enkelt å samle informasjon om all kommunikasjon en person eller en organisasjon deltar i.
Nettbruk gir muligheter for overvåking av andre mennesker, også på arbeidsplassen. Dette er ikke tillatt, og må eventuelt avtales helt spesielt mellom partene i arbeidslivet.
Datatilsynet mener at sikkerhetsløsninger for Internett og andre globale nettverk bør gjennomgås av et nasjonalt sertifiseringsorgan som kan kontrollere og sikre kvaliteten på produktet som tilbys.
Datatilsynet har utarbeidet generelle retningslinjer for « Sikkerhetsregulering av delte edb-systemer ». Retningslinjene danner grunnlag for den sikkerheten en organisasjon som behandler sensitive personopplysninger må ha før den kobler seg på et åpent, eksternt nettverk. Det arbeides også med retningslinjer for sikkerheten ved tilkobling til Internett og et regelverk for sikker kommunikasjon av sensitive personopplysninger. Datatilsynet har imidlertid ikke kapasitet til alene å kontrollere sikringen av personinformasjon ved tilkobling til åpne eksterne nettverk.
Overvåking
Spesielt innenfor transportsektoren brukes det i større og større utstrekning teknologi som åpner for en detaljert sporing av for eksempel kjøretøy. Teknologien innebærer et stort kontroll- og overvåkingspotensial overfor sjåførene. Det er derfor viktig at partene i arbeidslivet er med og utformer regler for bruk av slike systemer på sin arbeidsplass.
Datatilsynet har også satt i gang et arbeid for å utforme standardiserte regler for lagring av personopplysninger i elektroniske billettsystemer.
Opplysninger om passeringer i bompengeringer er ofte interessant informasjon, for eksempel for politiet. Datatilsynet er av den oppfatning at politiet bare kan få tilgang til opplysninger når saken politiet er interessert i, er individualisert. Politiet vil ha en hjemmel til å kreve opplysninger utlevert i forbindelse med etterforskning av kjent gjerningsmann. Dersom politiet derimot ber om en masseutskrift i saker som ikke er individualisert, for eksempel på alle passeringer i et bestemt tidsrom, kan dette ikke skje uten klar lovhjemmel.
På bakgrunn av en reportasje i media om videoopptak av AUF-medlemmer ved postkontorer i Oslo, ba Datatilsynet om en redegjørelse fra Posten om utleveringen av opptaket til politiet. Forskrifter til personregisterloven gir tre måneders slettefrist for postverkets videoopptak. Datatilsynet kom til at Posten ikke hadde tillatelse til å være i besittelse av de videoopptak som ble utlevert til Oslo politikammer, og det ble besluttet å anmelde Posten for forholdet. Saken ble ikke ferdigbehandlet i meldingsåret.
Det er en tendens til at fjernsynsovervåking i større grad vurderes som et virkemiddel for å rydde opp i vanskelige situasjoner på arbeidsplassen eller i nære omgivelser, f.eks. ved skoler.
Datatilsynet har i 1996 også hatt oppmerksomheten rettet mot fjernsynsovervåkning med direkte overføring til Internett. Selv om opptakene normalt faller utenfor personregisterlovens regler, er Datatilsynet betenkt over utviklingen blant annet fordi den representerer en spredning av informasjon som internettbrukere kan laste ned på egen maskin og bruke til det formålet han eller hun måtte ønske.
Det påpekes at det mangler sanksjonsbestemmelser ved brudd på reglene om overvåking.
Tiltak mot hvitvasking: Rapporteringsplikt og legitimasjonskontroll
Både i finansieringsvirksomhetsloven og forskrifter er det gitt regler om rapporteringsplikt og legitimasjonskontroll i forbindelse med hvitvasking av penger. Finansinstitusjonen skal føre et eget personregister til bruk ved undersøkelsene. Registeret er fritatt fra konsesjonsplikt og er regulert i egen forskrift. De registrerte får ikke informasjon om rapportering til og registrering hos Økokrim på bakgrunn av mistanke om hvitvasking av penger. De har heller ikke innsynsrett i opplysningene før ett år etter at etterforskning av saken er avsluttet.
Datatilsynet har gitt uttrykk for bekymring over at de ansatte i finansieringsinstitusjonene ikke har den nødvendige kompetanse for å vurdere om et forhold utløser rapporteringsplikt eller ikke. Også de sparsomme slettereglene som gjelder for politiets registre gjør det betenkelig å registrere på bakgrunn av mistanke.
Informasjon til personer som blir registrert
Det er et sentralt personvernprinsipp at den enkelte skal ha informasjon om, og en viss kontroll med hvordan opplysninger om en selv blir brukt. EUs direktiv om beskyttelse av personopplysninger (personverndirektivet) legger opp til at de som registreres i et personregister skal få informasjon om det.
I norsk personvernlovgivning finner vi få bestemmelser om informasjon til den registrerte. Ett unntak er kredittopplysningsforetak. I 1996 har Datatilsynet arbeidet med revisjon av konsesjoner for kredittopplysningsforetakenes personregistre. Kredittopplysningsbyråene vil bl.a. bli pålagt en plikt til å varsle de registrerte, ikke bare når opplysninger leveres ut, men også ved innregistrering av en del opplysninger.
Datatilsynet har også arbeidet for bedre informasjon om hvilke registreringer som gjøres i forsikringsbransjens personregistre.
Den norske personregisterlovgivningen vil antagelig få flere regler om informasjon til den registrerte i løpet av nærmeste framtid.