1. Innledning

1.1 Innledning

       Datatilsynet har vært i virksomhet siden personregisterloven tok til å gjelde 1. januar 1980.

       Tilsynet har fått viktige oppgaver etter personvernregisterloven og skal bl.a. behandle og avgjøre søknader om konsesjon for personregistre og for annen bruk av personopplysninger i visse typer virksomheter, kontrollere at lover og regler som gjelder for personregistre og bruk av personopplysninger blir fulgt, og gi råd, rettledning og informasjon om personvern og de reglene som gjelder for personregistre.

       I NOU 1997:19 Et bedre personvern foreslår Personregisterlovutvalget at personregisterloven erstattes med en ny lov om behandling av personopplysninger. I meldingen gis en oversikt over noen av de viktigste endringene utvalget går inn for. Departementet tar sikte på å fremme en odelstingsproposisjon om saken i løpet av 1998.

1.2 Departementets merknader til årsmeldingen

       Det fremgår av meldingen at Datatilsynet gjennomfører en stadig vurdering av konsesjoner, både for virksomheter og registre. Arbeidet har medført skjerpede vilkår og en særlig vekt på mer informasjon til registrerte personer og publikum. Justisdepartementet ser positivt på en slik gjennomgang av konsesjonene for å styrke personvernet.

       Fra 1. januar 1997 er flere personregistre enn tidligere fritatt fra konsesjonsplikt. Dette medfører at Datatilsynet har fått frigitt tid fra ordinær konsesjonsbehandling til andre oppgaver.

       I Datatilsynets årsmelding omtales problemstillinger i tilknytning til at Tollvesenet ga opplysninger til en arbeidsgiver om at en ansatt var tatt for smugling på en feriereise. Departementet bemerker bl.a. at man ved tollovertredelser som foretas i en sammenheng der den ansatte opptrer som privatperson, i utgangspunktet ikke vil anse arbeidsgiveren som part, og dermed informasjonsberettiget. Så lenge forholdene ikke er konkretisert, må det imidlertid på generelt grunnlag kunne gis en redegjørelse fra Tollvesenet til en virksomhet om at ansatte i virksomheten er tatt i smugling.

       Bruk av personopplysninger i journalistisk virksomhet reiser flere prinsipielle spørsmål. Justisdepartementet anser ikke at personregisterloven normalt vil gi tilstrekkelige holdepunkter for å hindre at kredittopplysninger selges til media. Kredittopplysningsbyråene må anvende det skjønn som loven tillegger dem i vurderingen av om journalister har « saklig behov » for opplysninger. Det er også viktig å presisere pressens egen varsomhetsplikt.

       Nettutvikling basert på åpne, standardiserte kommunikasjonsløsninger er en trend som reiser nye utfordringer. Når man benytter seg av datakommunikasjon vil aktivitetene på nettet logges, primært for å overvåke drift. Annen bruk av loggen er ikke tillatt dersom det ikke foreligger særskilt tillatelse til det i form av avtale mellom partene i arbeidslivet. Departementet fremhever at selv om det er riktig å gjøre rede for de trusler vi står overfor ved nettverksutviklingen, er det viktig å ikke spre ubegrunnet frykt.

       Det tverrdepartementale Rådet for IT-sikkerhet skal tjene som forum for erfaringsutveksling, samordning og initiativ bl.a. til nye tverrsektorielle sikkerhetstiltak. Rådet arbeidet da meldingen ble fremmet med utredning av en ordning for sertifisering av IT-sikkerhet i Norge. Rapport om dette ble forventet ferdigstilt i løpet av 1997.

       Når det gjelder bruk av satellittsporing innenfor transportsektoren, er departementet enig med Datatilsynet i at dette er systemer som vil kunne ha uheldige sider i forhold til personvernet. Ved bruk av slike systemer er det derfor viktig at partene i arbeidslivet er med og utformer reglene for sin arbeidsplass.

       Dagens ulike ordninger for betalingskontroll på veiene medfører en registrering av trafikantene som kan være en trussel mot personvernet. Hjemmel for utlevering av registrerte opplysninger til politiet finnes i straffeprosessloven § 210. Departementet presiserer at denne bestemmelsen ikke stiller krav om at saken skal gjelde etterforskning av en kjent gjerningsmann. Det er imidlertid et prinsipp at det straffbare forhold må være tilstrekkelig konkretisert.

       For øvrig viser departementet til at Personregisterlovutvalget i sin innstilling foreslår strengere regler om overvåking.

1.3 Årsmelding for Datatilsynet 1996

1.3.1 Datatilsynets styre

       Av beretningen fra Datatilsynets styre fremgår det bl.a. at Datatilsynet føler et ansvar for å peke på nye problemstillinger, og et særlig ansvar for at det tas hensyn til de ressurssvake og ikke-organisertes interesser.

       Det vises også til at personvernet i overvåkingssammenheng er blitt sterkere fokusert i løpet av 1996, og at det kan være nødvendig å arbeide mer med disse spørsmålene.

       Ved skifte av styre har det vært naturlig å drøfte styrets oppgaver, blant annet styrets rolle utenom klagesaksbehandlingen. Det bemerkes at det ikke bør bli slik at funksjonen som klageorgan går på bekostning av andre forvaltningsmessige styringsoppgaver. Samtidig ønsker styret å delta aktivt i arbeidet med Datatilsynets planer og strategiutforming, og i evalueringer av Datatilsynets virksomhet.

1.3.2 Nye utfordringer for Datatilsynet

       Også i 1996 har det preget Datatilsynets arbeid med personvernspørsmål at den informasjonsteknologiske utviklingen holder et tempo og har et omfang i Norge som innebærer at det ofte er vanskelig å basere virksomheten på erfaringer.

       Schengen-debatten belyser en problemstilling som blir stadig mer aktuell: Hvordan og hvor finner man et rimelig balansepunkt mellom tiltakene for å forebygge eller avsløre lovbrudd, mot ønsket om et samfunnsfellesskap bygget på tillit og frihet?

       Savnet av et kompetent forskningsmiljø som kan beskjeftige seg mer systematisk med framtidens personverntrusler og utvikling av personvernfremmende løsninger blir stadig tydeligere.

       I meldingsåret ble Internetts kommersielle muligheter utviklet også i vårt land. Utviklingen viser at det er klare begrensninger knyttet til effektiviteten av nasjonale reguleringer innenfor personvernområdet. Desto viktigere blir det med et aktivt, norsk engasjement i arbeidet for å utvikle forpliktende, internasjonale avtaler.

       Med den raske utvikling innenfor det samfunnsområdet Datatilsynet har ansvar for, framstiller det seg som ønskelig å kunne tilpasse det formelle regelverket til virkeligheten hurtigst mulig. På denne bakgrunn pekes det på den praktiske mulighet departementet har til å delegere forskriftsmyndighet til Datatilsynet.

       Datatilsynet mener at behovet for et sertifiseringsorgan for IT ble ytterligere bekreftet i 1996.

1.3.3 Datatilsynets virksomhet i 1996

       I meldingen gjengis de generelle mål for Datatilsynets virksomhet, og det nærmere innhold i begrepene personvern og personregister. Informasjon står sentralt blant målsettingene.

       I hovedsak bruker Datatilsynet flest ressurser på behandling av søknader om konsesjon. Det er gitt i overkant av 65.000 konsesjoner til oppretting av personregistre siden 1980. Personregisterloven omfatter også kreditt- og personopplysningsvirksomhet, databehandlingsvirksomhet, adresserings- og distribusjonsvirksomhet, og opinions- og markedsundersøkelsesvirksomhet. Det er gitt totalt 363 virksomhetskonsesjoner.

       Datatilsynet ferdigstilte i 1996 arbeidet med nye og strengere konsesjonsvilkår for kredittopplysningsbyråenes virksomhet, for markeds- og opinionsvirksomheten og for adresseringsvirksomheten.

       Datatilsynet har gjennom flere år fremhevet viktigheten av å opprette et sentralt reservasjonsregister mot adressert reklame. Et forslag om dette ble i 1994 oversendt Justisdepartementet for behandling.

       Restansene i Datatilsynets saksmengde har sunket siden 1995 selv om saksmengden økte. Datatilsynet definerer restanse som en sak som er eldre enn seks uker.

       Datatilsynet ekspederer ca 32.000 telefonsamtaler i året. Rettighetsinformasjon er en prioritert oppgave. Antall henvendelser er imidlertid så høyt at det representerer et kapasitetsproblem.

       Datatilsynet bidrar aktivt i forskjellig høringsarbeid. Tilsynet deltar også i flere utvalg og arbeidsgrupper, og er med i Rådet for IT-sikkerhet som ble opprettet i 1996.

       I 1996 har Datatilsynet foretatt bl.a. teknologiske kontroller fordelt på kommuner, laboratorier og adgangskontrollsystem. Kontrollene har avdekket et svært varierende sikkerhetsnivå. Sikkerheten er betydelig bedre på de stedene hvor det er penger å tape ved brudd på informasjonssikkerheten, enn der personinformasjon alene skal beskyttes.

       Datatilsynet arbeider aktivt for å distribuere rett informasjon til aktuelle målgrupper og for å opprettholde en strukturert og god mediekontakt.

       Datatilsynet deltar dessuten i flere internasjonale fora.

1.3.4 Tolkning av personregisterloven: saker i 1996

Elektronisk registrering av helseopplysninger

       Datatilsynet har tidligere pekt på et behov for at store, landsomfattende medisinske forskningsregistre hjemles i lov.

       Datatilsynet har også 1996 gitt konsesjon til to store forskningsregistre hvor helseopplysninger inngår. Konsesjonene baseres på at det skal gis samtykke til registrering fra den det gjelder. Det settes vilkår som sikrer at ikke utenforstående får innsyn og det settes strenge begrensninger på tilgangen til personidentifiserbare opplysninger, også for forskerne.

       Lipidklinikken ved Rikshospitalet søkte om konsesjon for å opprette personregister over slektninger til personer med en arvelig sykdom som kan avsløres ved en gentest. Datatilsynet ga konsesjon for å føre et begrenset slektsregister. Konsesjonen er påklaget av Lipidklinikken som ønsker tillatelse til å registrere flere opplysninger. Justisdepartementet har ikke avgjort klagen i meldingsåret.

« Smuglersaken » - utlevering av opplysninger fra Tollvesenet til arbeidsgiver

       En person ansatt i et rederi ble på sin feriereise « tatt i tollen ». Disse opplysningene ble rapportert fra Tollvesenet til vedkommendes arbeidsgiver. Resultatet for personen var avskjedigelse. Det forelå en muntlig avtale mellom Tollvesenet og rederiene om å rapportere ansatte som blir tatt for å smugle tollfrie varer. Etter Datatilsynets oppfatning reiser saken alvorlige betenkeligheter i forhold til avtaler mellom offentlig myndighet (Tollvesenet) og privat virksomhet (rederiet) om rapportering av ansatte.

Nytt sentralt edb-støttet system i Tollvesenet

       Tidligere har informasjon i forbindelse med personkontroller blitt registrert ved de forskjellige tollstedene. En omlegging av edb-løsningene i Tollvesenet vil føre til at etaten samler alle disse registrene i ett register. Personinformasjonen som registreres skal føres i et adskilt system. Datatilsynet mener dette er svært fornuftig, og er også opptatt av at det må fastsettes sletteregler for personopplysningene.

       Sentralt i Tollvesenets omlegging av edb-løsninger er også spørsmålet om hvem i etaten som skal ha tilgang til hvilken informasjon. Opplysningene må i stor utstrekning skjermes innen etaten. I tillegg er det naturlig å innføre begrensninger i forhold til antall oppslag i de registrene som inneholder sensitiv informasjon.

Bruk av personopplysninger i journalistisk virksomhet

       I medhold av offentlighetsloven kan skattelistene massedistribueres. Mange aviser trykker såkalte « ti på topp »-lister over skattytere. Det er Datatilsynets oppfatning at dette ikke er i samsvar med hensynene bak reglene om offentlig ligning. Datatilsynet har også mottatt henvendelser fra presseorganer som ønsker å trykke egne ligningsbøker. Det er ikke gitt noen slik tillatelse i 1996.

       Datatilsynet har sett flere eksempler på at pressen har kjøpt opplysninger om private personers inntektsforhold fra kredittopplysningsforetak. I personregisterloven § 17 heter det at kredittopplysninger ikke skal gis når bestilleren ikke har « saklig behov » for opplysningene. Det er Datatilsynets oppfatning at pressen sjelden kan sies å ha saklig behov for denne type kredittopplysninger til bruk i journalistisk virksomhet. Kredittopplysningsforetakene er bedt om å gjøre en noe grundigere undersøkelse ved forespørsler om kredittopplysninger fra pressen enn fra andre næringsdrivende.

       I den såkalte « konkursryttersaken » kjøpte pressen opplysninger om personer som en eller flere ganger har gått konkurs, og bruke opplysningene i journalistisk virksomhet. Også i denne saken påpekte Datatilsynet at pressen neppe har et saklig behov for de utleverte kredittopplysningene.

       Datatilsynet har i 1996 sett eksempel på utlevering av passbilder fra politiets passregister til pressen. Datatilsynet påpekte at slik utlevering kan være i strid med registerets formål.

Forskning og personregisterloven

       I forbindelse med heroinprosjektet i Oslo reiste Datatilsynet spørsmål om hvor sterk forskernes taushetsplikt var i forhold til en eventuell vitneplikt for domstolene. Justisdepartementet uttalte at forskernes taushetsplikt normalt må stå tilbake for en eventuell vitneplikt i domstolene. Datatilsynet har i konsesjonen for prosjektet påpekt at respondenten skal informeres om dette.

       På oppdrag fra Kommunaldepartementet ble SINTEF bedt om å gjennomføre en kartlegging av kommunenes helseutgifter for flyktninger og personer med oppholdstillatelse på humanitært grunnlag, bosatt i et utvalg kommuner i løpet av de siste fem årene. Saken ble forelagt Den nasjonale forskningsetiske komité for samfunnsvitenskap og humaniora som uttalte at faren for stigmatiserende virkninger ville reduseres ved at det er helseutgifter for en klart avgrenset gruppe som skal kartlegges og at prosjektets resultater bare brukes til et klart avgrenset formål. På denne bakgrunn ble det gitt konsesjon.

       Det er flere spørsmål som reises når forskningsprosjekter skal reguleres i forhold til personregisterloven. Et gjennomgående problem innen forskningen er at informasjonen til respondentene er mangelfull.

       Etter at flere ordinære forskningsregistre er blitt unntatt fra konsesjonsplikt, kan Datatilsynet konsentrere seg om de store og « tunge » registrene.

Nytt sosialsystem i Oslo

       Oslo kommune har konsesjon fra Datatilsynet til å føre sosialregister (klientregister) ved hvert sosialkontor. I 1996 søkte kommunen om tillatelse til å koble sosialkontorene sammen med kommunens øvrige registre for å lage kommunens virksomhetsnett. Oslo kommune har utarbeidet retningslinjer for informasjonssikkerhet for nettet. Kommunen har fått tillatelse til å føre sosialregistre i et delt edb-system, idet Datatilsynet mener kommunens sikringstiltak er tilstrekkelige.

1.3.5 Temaer

Nettverk: Global elektronisk kommunikasjon

       Koblingen av tidligere lukkede edb-systemer til store globale nettverk, er en økende trend. Dersom det skal foretas en kobling til åpent nett, må koblingen sikres slik at uvedkommende ikke får tilgang til intern informasjon. Informasjon som kommuniseres i klartekst over nettet kan avlyttes, og det er enkelt å samle informasjon om all kommunikasjon en person eller en organisasjon deltar i.

       Nettbruk gir muligheter for overvåking av andre mennesker, også på arbeidsplassen. Dette er ikke tillatt, og må eventuelt avtales helt spesielt mellom partene i arbeidslivet.

       Datatilsynet mener at sikkerhetsløsninger for Internett og andre globale nettverk bør gjennomgås av et nasjonalt sertifiseringsorgan som kan kontrollere og sikre kvaliteten på produktet som tilbys.

       Datatilsynet har utarbeidet generelle retningslinjer for « Sikkerhetsregulering av delte edb-systemer ». Retningslinjene danner grunnlag for den sikkerheten en organisasjon som behandler sensitive personopplysninger må ha før den kobler seg på et åpent, eksternt nettverk. Det arbeides også med retningslinjer for sikkerheten ved tilkobling til Internett og et regelverk for sikker kommunikasjon av sensitive personopplysninger. Datatilsynet har imidlertid ikke kapasitet til alene å kontrollere sikringen av personinformasjon ved tilkobling til åpne eksterne nettverk.

Overvåking

       Spesielt innenfor transportsektoren brukes det i større og større utstrekning teknologi som åpner for en detaljert sporing av for eksempel kjøretøy. Teknologien innebærer et stort kontroll- og overvåkingspotensial overfor sjåførene. Det er derfor viktig at partene i arbeidslivet er med og utformer regler for bruk av slike systemer på sin arbeidsplass.

       Datatilsynet har også satt i gang et arbeid for å utforme standardiserte regler for lagring av personopplysninger i elektroniske billettsystemer.

       Opplysninger om passeringer i bompengeringer er ofte interessant informasjon, for eksempel for politiet. Datatilsynet er av den oppfatning at politiet bare kan få tilgang til opplysninger når saken politiet er interessert i, er individualisert. Politiet vil ha en hjemmel til å kreve opplysninger utlevert i forbindelse med etterforskning av kjent gjerningsmann. Dersom politiet derimot ber om en masseutskrift i saker som ikke er individualisert, for eksempel på alle passeringer i et bestemt tidsrom, kan dette ikke skje uten klar lovhjemmel.

       På bakgrunn av en reportasje i media om videoopptak av AUF-medlemmer ved postkontorer i Oslo, ba Datatilsynet om en redegjørelse fra Posten om utleveringen av opptaket til politiet. Forskrifter til personregisterloven gir tre måneders slettefrist for postverkets videoopptak. Datatilsynet kom til at Posten ikke hadde tillatelse til å være i besittelse av de videoopptak som ble utlevert til Oslo politikammer, og det ble besluttet å anmelde Posten for forholdet. Saken ble ikke ferdigbehandlet i meldingsåret.

       Det er en tendens til at fjernsynsovervåking i større grad vurderes som et virkemiddel for å rydde opp i vanskelige situasjoner på arbeidsplassen eller i nære omgivelser, f.eks. ved skoler.

       Datatilsynet har i 1996 også hatt oppmerksomheten rettet mot fjernsynsovervåkning med direkte overføring til Internett. Selv om opptakene normalt faller utenfor personregisterlovens regler, er Datatilsynet betenkt over utviklingen blant annet fordi den representerer en spredning av informasjon som internettbrukere kan laste ned på egen maskin og bruke til det formålet han eller hun måtte ønske.

       Det påpekes at det mangler sanksjonsbestemmelser ved brudd på reglene om overvåking.

Tiltak mot hvitvasking: Rapporteringsplikt og legitimasjonskontroll

       Både i finansieringsvirksomhetsloven og forskrifter er det gitt regler om rapporteringsplikt og legitimasjonskontroll i forbindelse med hvitvasking av penger. Finansinstitusjonen skal føre et eget personregister til bruk ved undersøkelsene. Registeret er fritatt fra konsesjonsplikt og er regulert i egen forskrift. De registrerte får ikke informasjon om rapportering til og registrering hos Økokrim på bakgrunn av mistanke om hvitvasking av penger. De har heller ikke innsynsrett i opplysningene før ett år etter at etterforskning av saken er avsluttet.

       Datatilsynet har gitt uttrykk for bekymring over at de ansatte i finansieringsinstitusjonene ikke har den nødvendige kompetanse for å vurdere om et forhold utløser rapporteringsplikt eller ikke. Også de sparsomme slettereglene som gjelder for politiets registre gjør det betenkelig å registrere på bakgrunn av mistanke.

Informasjon til personer som blir registrert

       Det er et sentralt personvernprinsipp at den enkelte skal ha informasjon om, og en viss kontroll med hvordan opplysninger om en selv blir brukt. EUs direktiv om beskyttelse av personopplysninger (personverndirektivet) legger opp til at de som registreres i et personregister skal få informasjon om det.

       I norsk personvernlovgivning finner vi få bestemmelser om informasjon til den registrerte. Ett unntak er kredittopplysningsforetak. I 1996 har Datatilsynet arbeidet med revisjon av konsesjoner for kredittopplysningsforetakenes personregistre. Kredittopplysningsbyråene vil bl.a. bli pålagt en plikt til å varsle de registrerte, ikke bare når opplysninger leveres ut, men også ved innregistrering av en del opplysninger.

       Datatilsynet har også arbeidet for bedre informasjon om hvilke registreringer som gjøres i forsikringsbransjens personregistre.

       Den norske personregisterlovgivningen vil antagelig få flere regler om informasjon til den registrerte i løpet av nærmeste framtid.

2. Komiteens merknader

       Komiteen, medlemmene fra Arbeiderpartiet, Vidar Bjørnstad, Astrid Marie Nistad, Jan Petter Rasmussen og Ane Sofie Tømmerås, fra Fremskrittspartiet, Jørn L Stang og Jan Simonsen, fra Kristelig Folkeparti, Finn Kristian Marthinsen og Åse Wisløff Nilssen, fra Høyre, lederen Kristin Krohn Devold og Bjørn Hernæs, og fra Senterpartiet, Kåre Ludvigsen, har i forbindelse med behandlingen av saken oversendt et antall spørsmål til justisdepartementet i brev av 22. januar 1998 som er besvart ved brev fra Justisministeren av 9. februar 1998.

       Komiteen har notert seg at Stortinget i 1985 vedtok at årsmeldingen fra Datatilsynet skal legges fram årlig. Behandlingen av årsmeldingen for 1996 er forsinket i forhold til dette.

       Komiteen er av den oppfatning at det er behov for politiske retningslinjer som grunnlag for avveining av personvernspørsmål og effektivisering i den enkelte sak. Når Stortinget ønsker at årsmelding for Datatilsynet skal legges frem for Stortinget hvert år, gir dette nasjonalforsamlingen mulighet til å gi politiske signaler om personvernavveininger i konkrete problemstillinger.

       I henhold til personregisterloven er Datatilsynet et frittstående forvaltningsorgan som har fått viktige oppgaver etter loven. Komiteen viser til at Justis- og politidepartementet ved kgl. res. 6. oktober 1995 nedsatte et utvalg for å oppdatere personregisterlovgivningen. Utvalget har avsluttet sitt arbeid med utredningen NOU 1997:19 Et bedre personvern.

       Komiteen forutsetter, etter at utredningen er sendt ut på høring, at proposisjonen som fremmes på bakgrunn av utredningen kan behandles i løpet av 1998. Mangel på regler i loven om hvordan personopplysninger kan eller skal behandles er blitt avhjulpet ved at Datatilsynet har satt generelle vilkår i sine konsesjoner.

       Komiteen vil vektlegge at personregisterloven er basert på at den enkelte borgers personvernbehov bl.a. ivaretas gjennom kollektive personverntiltak som f.eks. Datatilsynets personverntiltak. Forholdene må legges til rette slik at det blir praktisk mulig for den registrerte å benytte seg av rettighetene.

       Komiteen har merket seg at Datatilsynets arbeid med å gjennomgå konsesjonene til kredittopplysningsvirksomhet og andre virksomhetskonsesjoner har medført skjerpede vilkår for registrering av personopplysninger og en særlig vekt på mer informasjon til registrerte personer og publikum.

       Komiteen registrerer den raske utvikling innenfor det samfunnsområdet som Datatilsynet har ansvar for. Det er viktig å tilpasse det formelle regelverket til en virkelighet i stor bevegelse hurtigst mulig. På denne bakgrunn kan det pekes på den praktiske mulighet for å delegere forskriftsmyndighet til Datatilsynet som departementet har.

       Komiteen støtter Datatilsynets prioritering av å peke på nye problemstillinger innenfor personvernfeltet, og at de viser et særlig ansvar for ressurssvake og ikke-organiserte interesser.

       Årsmeldinga omhandler flere viktige prinsipielle spørsmål, herunder har komiteen spesielt merket seg:

       Det finnes en rekke medisinske forskningssentre i Norge, som har elektroniske spesialregistre. Ved konsesjonsbehandlingen av disse foretar Datatilsynet en vurdering av fordelene sett i forhold til personverntruslene. Komiteen er av den oppfatning at Norge i internasjonal sammenheng bør være en pådriver for at personvernhensyn ivaretas, spesielt er dette viktig når det gjelder sensitive opplysninger som helseopplysninger. Det må være strenge sikkerhetstiltak ved tilknytning til ytre nettverk, og registrering må i hovedsak baseres på samtykke. I tillegg må det være klare vilkår som hindrer innsyn for utenforstående og sterke begrensninger på tilgangen til personidentifiserbare opplysninger.

       Komiteen viser til at Datatilsynet i 1996 behandlet en sak om utlevering av opplysninger om tollovertredelse fra Tollvesenet til arbeidsgiver. Komiteen vil ikke ta stilling til realiteten i denne konkrete saken, men på generelt grunnlag mener komiteen at Tollvesenet skal være forsiktig med å oppgi tollovertredelser til arbeidsgivere. Komiteen finner det uheldig at det eksisterer muntlige avtaler mellom offentlige myndigheter (Tollvesenet) og private virksomheter. Dette kan åpne for rapporteringer av personopplysninger som ikke synes tilstrekkelig begrunnet. Komiteen viser til at Justisdepartementet i en generell uttalelse har sagt at det er partsbegrepet i saken som må være avgjørende, og at det må være anledning til å gi generelle opplysninger om smugling. Komiteen er enig i at arbeidsgivere kan ha krav på opplysninger hvor det er grove overtredelser, men etter komiteens oppfatning skal regelverket tolkes snevert.

       Etter Datatilsynets oppfatning kan pressens bruk av ligningsopplysninger og -registre være underlagt konsesjonsplikt. Det vises også til at pressen jevnlig publiserer artikler om enkeltpersoners privatøkonomi. Etter Datatilsynets mening er det tvilsomt om pressen oppfyller vilkårene om « saklig behov » i personregisterloven § 17 for å kunne kjøpe opplysninger fra kredittopplysningsforetak om private personers inntektsforhold.

       Komiteen mener at dette er et vanskelig avgrensningsproblem. Det kan ikke på generelt grunnlag sies at pressen ikke har saklig grunnlag. Det vil avhenge av en mer konkret vurdering av den enkelte sak. Komiteen vil understreke at kredittforhold og inntektsforhold kan ha betydning i forhold til kritikkverdige forhold i samfunnet som det tilkommer pressen å omtale, men komiteen ser at det kan være et behov for en klarere behovsdokumentasjon i det enkelte tilfelle.

       Komiteen merker seg de problemstillinger som Datatilsynet peker på innenfor de globale nettverk. Koblinger av tidligere lukkede edb-systemer har blitt stadig mer utbredt. Etter komiteens oppfatning reiser dette nye, tunge problemstillinger om beskyttelse av personvernet, og det skaper behov for helt nye virkemidler. Spesielt alvorlig er det at regelverket ikke klarer å holde følge med den tekniske utviklingen. Det er derfor et klart behov for et fleksibelt regelverk som gir personvernmyndighetene muligheter til å følge utviklingen.

       Datatilsynet tar i sin årsmelding også opp flere problemstillinger knyttet til den stadig voksende overvåkningen av enkeltmennesket. Komiteen merker seg at Datatilsynet bl.a. peker på de personvernproblemene som nye muligheter innenfor satelittovervåkning av transportsektoren reiser. Dette gjør det mulig med detaljert sporing av for eksempel kjøretøy. Komiteen er enig med Justisdepartementet i at bruk av offentlig vei i prinsippet skal være fri for overvåkning av den enkelte.

       Komiteen merker seg også Datatilsynets syn på den økte bruken av fjernsynsovervåkning. Komiteen er enig i at dette er et virkemiddel som bør søkes begrenset. Fjernsynsovervåkning representerer en av de mest detaljerte formene for overvåkning av enkeltmennesket, og skal kun brukes hvor det har en klar sikkerhetsmessig gevinst og hvor det er klart merket. Komiteen vil også understreke betydningen av at det er faste og sikre rutiner for sletting av slike opptak.

       Komiteen vil understreke at fortsatt er det kun få nordmenn som er klar over i hvilket omfang registreringer av personopplysninger finner sted, og innholdet av disse. Komiteen mener derfor at det er av største betydning å styrke informasjonen til den enkelte person.

       Komiteens flertall, alle untatt Fremskrittspartiet og Høyre, er tilfreds med at departementet legger opp til å følge gjeldende lovgivning og etablert praksis i forholdet mellom Datatilsynets styre og direktør fram til Stortinget har behandlet spørsmålet i forbindelse med ny lov.

       Komiteens medlemmer fra Fremskrittspartiet og Høyre vil peke på at Datatilsynets administrasjon bør ha en særlig frihet og selvstendighet i forhold til regjering, departement og andre offentlige organer som tilsynet overvåker. Disse medlemmer er tilfreds med at departementet ikke vil gi noen instruks som innskrenker administrasjonens frihet og selvstendighet.

       Disse medlemmer minner om at Stortingets forutsetning har vært at Datatilsynets administrative ledelse skal ha ansvaret for å ivareta tilsynsfunksjonene.

       Komiteens medlemmer fra Høyre merker seg at man ved skifte av styret drøftet styrets oppgaver. Styret ønsker å delta aktivt i arbeidet med Datatilsynets planer og strategiutforming og i evaluering av Datatilsynets virksomhet. Disse medlemmer merker seg de nye ønskene fra styret. Disse medlemmer viser til at Stortinget i løpet av høsten skal behandle Skauge-utvalgets innstilling om den fremtidige organisering av Datatilsynet. Disse medlemmer synes da det er uheldig å legge om en struktur som etter disse medlemmers oppfatning har fungert etter hensikten et halvt år før denne behandlingen.

       Disse medlemmer viser til at Skauge-utvalget har gått inn for at ordningen med et styre skal avvikles. Da det foreslås å opprette en bredt sammensatt og faglig kompetent uavhengig klageinstans, vil det ikke være behov for å videreføre dagens styreordning. Disse medlemmer tror en slik modell med en uavhengig klageinstans har mange positive sider, og vil vurdere dette nøye når den nye loven blir oversendt Stortinget. Disse medlemmer registrer derfor med glede at justisministeren i svarbrev av 9. februar 1998 heller ikke finner det hensiktsmessig å utarbeide en ny instruks for styret. Disse medlemmer er av den oppfatning at dette er et politisk spørsmål som naturlig bør behandles sammen med ny lov, og at det ville ha vært lite hensiktsmessig å innføre en ny modell nå rett før man skal behandle Skauge-utvalgets innstilling.

       Disse medlemmer viser ellers til det som er sagt ovenfor i komiteens merknader angående betydningen av å styrke informasjonen til den enkelte person når det gjelder registreringsopplysninger. De foreliggende forslag i Skauge-utvalgets innstilling om økt informasjonsplikt er noe disse medlemmer ser som positivt.

3. Komiteens tilråding

      Komiteen viser til det meldingen og det som står ovenfor og rår Stortinget til å gjøre følgende

       St.meld. nr. 8 (1997-1998) - Årsmelding for Datatilsynet 1996 - vedlegges protokollen.