3. Årsmelding for Datatilsynet 1997
- 3.1 Datatilsynets styre
- 3.2 Datatilsynets direktør om virksomheten i 1997
- 3.3 Aktuelle saker og problemstillinger i 1997
- Forslag til ny lov om behandling av personopplysninger
- Juridiske og teknologiske saker og problemstillinger
- Elektroniske spor i varehandel og samferdselssektoren
- Banktransaksjoner i markedsføring
- Store helseregistre
- Nye retningslinjer for informasjonssikkerhet
- Nye etterforskningsmetoder for politiet
- Forsikring: Nye vilkår for personopplysninger
- Kredittopplysninger: Nye konsesjoner for byråene
- Elektronisk overvåking
- Informasjonsvirksomheten i 1997
- 3.4 Administrasjon av virksomheten
- 3.5 Komiteens merknader
Datatilsynets styre har primært behandlet klagesaker, saker som aktualiserer nye eller endrede problemstillinger for personvernet og saker som berører sentrale samfunnsmessige spørsmål.
Av større prinsipielle saker nevnes bl.a. rammekonsesjon for føring av personregistre i Statistisk sentralbyrå, standardkonsesjon for føring av kunderegister i forsikringsvirksomhet, personregistre i kredittopplysningsvirksomhet, og bruk av kommunale registre. Tilsynet har i 1997 startet arbeidet med retningslinjer for informasjonssikkerhet ved behandling av personopplysninger.
Datatilsynet har forsøkt å bremse selgers ønske om å kartlegge enkeltpersoners innkjøp og forbruksvaner. Likedan ser tilsynet med bekymring på eventuell varig registrering av de som deltar i de mange spill. Den stadig mer omfattende overvåking ved hjelp av TV-kamera har gjort det nødvendig å ha stramme regler for oppbevaring av slike billedopptak. Det er også lagt mye arbeid i å utforme vilkårene for tilknytning til internett.
Loven bestemmer at Datatilsynet skal ha et styre. Justisdepartementet har konkludert med at styrets kompetanse etter gjeldende rett omfatter så vel faglige som administrative spørsmål. Styret har imidlertid konstatert at det er ulike oppfatninger av styrets oppgaver innenfor rammen av gjeldende lov. I høringsuttalelsen til Personregisterlovutvalgets innstilling sier Datatilsynet at Tilsynet bør ledes av et styre som forutsettes å behandle både faglige og administrative spørsmål. I innstillingen fra utvalget sammenlikner en del av medlemmene Datatilsynet med en ombudsmannsordning. Dersom denne rollen rendyrkes, bør det vurderes om ikke Datatilsynets andre forvaltningsoppgaver bør ivaretas av andre. En oppfølging av innstillingen vil for øvrig øke ressursbehovet for Datatilsynet, særlig i en innføringsperiode.
Internasjonaliseringen av informasjonssamfunnet innebærer utfordringer til nasjonalt regelverk og nasjonale tilsynsorganer som Datatilsynet.
Behovet for å styrke ombuds- og tilsynsvirksomheten har økt markert. Henvendelser og oppgaver som innebærer deltagelse i utrednings- og planleggingsgrupper har vist klar økning. Denne egentlig gledelige utviklingen har innebåret forsterkede krav til personalplanlegging.
Meldingsåret førte med seg en utfordring til etablert praksis mht. arbeidsfordelingen mellom styret og administrasjonen i Datatilsynet. Etter meldingsårets utløp har uenigheten funnet sin løsning.
Tilsynets ombudsfunksjon er blitt enda viktigere enn hva man tidligere forutså. Ved utøvelsen av en ombudsfunksjon er det ikke mulig å anse departement, regjering eller et styre som instruerende overordnet. Uavhengigheten er imidlertid ikke på samme måte en grunnforutsetning når det gjelder utøvelse av tradisjonelle forvaltningsoppgaver som for eksempel å gi tillatelser eller behandle klager.
Personregisterlovutvalgets forslag til ny lov om behandling av personopplysninger bygger i stor utstrekning på EUs personverndirektiv. I hovedtrekk innebærer forslaget en styrking av personvernet. Loven inneholder materielle regler i større utstrekning enn dagens lovgivning. Forslaget styrker også de registrertes rettigheter. I meldingen kommenteres kort noen hovedpunkter i lovforslaget.
Datatilsynet har i løpet av meldingsåret gjennomført en kartlegging knyttet til elektroniske spor i varehandelen. Både enkeltstående forretninger og bonussamarbeidende ønsker å registrere hvilke varer kundene kjøper. Først og fremst oppgir registereierne at de vil bruke opplysningene til å beregne oppsamlet bonus, men opplysningene er også av interesse i markedsføringssammenheng. Etter Datatilsynets oppfatning skal det mye til før det kan tillates registrert hvilke varer kundene kjøper. Datatilsynet har fokusert på at varehandelen må informere kundene godt slik at de kjenner betingelsene ved bruk av bonuskortet.
Datatilsynet har i løpet av 1997 kartlagt omfanget av elektroniske spor i samferdselssektoren, og har utarbeidet et utkast til konsesjon for elektroniske billetteringssystemer. I utkastet er det lagt opp til at kundenes reiseopplysninger i stor grad skal holdes atskilt fra opplysninger som identifiserer den enkelte passasjer.
Opplysninger om når og hvor man har vært kan også finnes i de elektroniske innkrevingssystemene som benyttes av bompengeselskapene. Av personvernhensyn har Datatilsynet begrenset selskapenes adgang til å registrere tidspunkt og sted for passering. Ved passering av bomstasjonen uten gyldig abonnement blir kjøretøyet fotografert. Bilderegisteret skal bare brukes i forbindelse med innkreving av tilleggsavgift.
Datatilsynet behandlet i 1997 en henvendelse om bankenes adgang til å bruke opplysninger om innskudd og uttak av penger på en bankkonto (transaksjonsdata) som grunnlag for direktemarkedsføring til kunden. Personregisterloven tillater bare bruk av slike data i ordinær bankvirksomhet. Registrering og bruk av transaksjonsdata til markedsføringsformål faller etter Datatilsynets mening utenfor reglene, og er derfor konsesjonspliktig. Ved behandling av en eventuell konsesjonssøknad vil Datatilsynet legge stor vekt på om den aktuelle bruk av opplysningene er basert på kundens samtykke eller ikke.
Europarådsrekommandasjonen om beskyttelse av persondata legger opp til at om transaksjonsopplysninger skal brukes i markedsføringssammenheng, skal det være basert på at kunden er gitt mulighet til å reservere seg mot dette. Etter Datatilsynets oppfatning er kundene i dag ikke gitt en slik mulighet.
Sentrale helseregistre vil utgjøre et enormt kontroll- og styringspotensiale i forhold til store deler av befolkningen. Sett fra et personvernsynspunkt er det svært uheldig. Det kan synes som om behovet for opprettelse av sentrale helseregistre i den form det i dag legges opp til i lovforslagene om slike registre, ikke er drøftet. Dersom det i det hele tatt skal bygges opp helseregistre, vil Datatilsynet anbefale små regionale registre med nært samarbeid, men uten utveksling av person-identifiserende data.
Sosial- og helsedepartementet la i 1997 frem forslag om at helsevesenet skal kunne drive oppsøkende genetisk virksomhet. Helsevesenet kan da oppsøke en pasients slektninger med sikte på å avklare om også de kan være i samme situasjon som pasienten. Dersom forslaget gjennomføres vil det bety at sensitiv personkunnskap avdekket for et formål brukes til et annet. Dette bryter med viktige personvernhensyn.
Datatilsynet stiller krav om at sensitive personopplysninger skal føres i et dedikert edb-system (edb-sy-stem fysisk atskilt fra uvedkommende brukere). Fra dette kravet kan det søkes dispensasjon. En rekke dispensasjonssøknader er innvilget, blant annet fra om lag 100 kommuner. Samtlige godkjente løsninger omfatter virksomhetenes interne datanett. Ingen tillatelser er gitt for tilkopling til eksterne nett.
Datatilsynets retningslinjer for informasjonssikkerhet ved behandling av personopplysninger trådte i kraft i 1998. Datatilsynet vil utdype retningslinjene i forhold til enkelte tekniske problemstillinger og for enkelte samfunnssektorer ved hjelp av egne veiledninger.
Justisdepartementet oppnevnte i 1994 Metodeutvalget, jf. delinnstilling II NOU 1997:15 Etterforskningsmetoder for bekjempelse av kriminalitet.
Datatilsynet mener at innstillingen i for stor grad er preget av partsinteresser og ikke gir et rimelig avveid bilde av de hensyn som må tas når slike omfattende endringer foreslås. Tilsynet har derfor bedt om at innstillingen blir supplert med en tilleggsinnstilling. Forslagene som er fremsatt innebærer uansett for store konsekvenser for den uskyldige tredjemann og hans integritet, til at de bør gjennomføres.
Hovedproblemstillingen i Datatilsynets arbeid med forsikringsselskapenes personregistre har vært innsamling og bruk av sensitive opplysninger. Det har vært lagt spesiell vekt på at forsikringsselskapene bare skal innhente og registrere opplysninger som er relevante i forhold til den forsikringen kunden kjøper.
Innsamling av helseopplysninger krever som oftest kundens medvirkning. Dette har til nå blitt gjort ved hjelp av en erklæring som nærmest har fungert som en blankofullmakt for forsikringsselskapet til å hente de opplysninger selskapet har ønsket.
Etter de nye konsesjonsvilkårene må selskapene nå oppgi hvilke helseopplysninger som ønskes og hvilken kilde de skal hentes fra. Lagring av kopier av fullstendige pasientjournaler bør unngås. Derfor bestemmer konsesjonen at når opplysninger innhentes fra tredjemann, for eksempel fra behandlende lege, skal det oppgis hva opplysningene skal brukes til. Konsesjonsvilkårene innebærer også en utvidet informasjonsplikt for forsikringsselskapene.
Konsesjonsarbeidet for kredittopplysningsbyråene og deres virksomhet ble ferdigstilt i 1997. Kredittopplysningsbyråene skal etter de nye vilkårene sende forhåndsvarsel til registrerte privatpersoner i forbindelse med nyregistrering av opplysninger som har betydning for kredittvurderingen. Den registrerte oppfordres til å rette eventuelle uriktige opplysninger innen en gitt tidsramme.
Datatilsynet har i løpet av 1997 sett ulike eksempler på hvordan elektronisk overvåking kan gjennomføres på både arbeidsplassen, skoler og i sammenhenger hvor kundeforhold har betydning for virksomheten.
Aktivitetsloggen i et edb-system eller datanett forteller hva brukeren har foretatt seg i nettverket. Loggen kan ikke brukes til å kontrollere de ansattes bruk av systemet.
Enkelte virksomheter sjekker de ansattes e-postmeldinger. Denne typen overvåking er hverken lovlig eller akseptert i Norge.
Mange virksomheter skreddersyr utseendet på hjemmesiden etter registrerte preferanser og ønsker fra den enkelte bruker. En måte å gjøre dette på er å bruke en "cookie" som identifiserer brukeren ved neste besøk. En "cookie" er en slags oppsamler av informasjon om brukerens bevegelser på nettet. Det kan oppstå spørsmål om slike registreringer går utover det som er tillatt i ordinære, konsesjonsfritatte kunderegistre. Dette må vurderes i hvert tilfelle. Det er derfor viktig at både virksomheter, leverandører og brukere er kjent med denne overvåkingsmuligheten. Slike spørsmål vil Datatilsynet arbeide mer med i 1998.
Datatilsynet mottok flere henvendelser høsten 1997 om opptak av telefonsamtaler man selv deltar i. Mange reagerte negativt på at samtaler med tilbud om et produkt ble tatt opp uten at samtykke ble innhentet på forhånd. Opptaket ble senere benyttet som bevis for at en konkret avtale var inngått. Datatilsynet kunne konstatere at opptakene måtte være å anse som en del av selskapets kunderegister som er konsesjonspliktig. I forbindelse med konsesjonsbehandlingen satte Data-tilsynet som konsesjonsvilkår at det aktuelle firmaet på forhånd skulle varsle at telefonsamtalen ble tatt opp på lydbånd. Datatilsynet har ofte sett at regelsettet når det gjelder lydbåndopptak ikke er tilfredsstillende dersom opptakene ikke rammes av konsesjonsplikt.
Datatilsynet har fått mange henvendelser om overvåking i drosjer. Personregisterloven setter som vilkår for fjernsynsovervåking at det skal foreligge et saklig behov for at overvåking kan iverksettes. Etter Datatilsynets vurdering er det tvilsomt om iverksettelse av overvåking i drosjene er i overensstemmelse med personregisterlovens regler om overvåking.
Det ble gjennomført to undersøkelser om holdninger til personvernspørsmål i Norge i 1997 - én rettet mot journalister og én mot publikum.
Publikumsundersøkelsen bekrefter at retten til et personvern oppfattes som viktig for enkeltmennesket, men at kriminalitetsbekjempelse likevel generelt oppfattes som viktigere. 48pst. av utvalget mener at dagens lover og regler er stort sett slik de bør være. Svært få, bare 9pst., har benyttet seg av innsynsretten og bedt om å få se opplysninger om seg selv i et personregister. Det oppleves som lite problematisk å bli overvåket med videokamera på offentlige steder. Men når kameraet beveger seg nærmere den personlige sfære blir overvåking sett på som mer problematisk av et flertall.
Datatilsynet arbeider aktivt for å distribuere rett informasjon til aktuelle målgrupper og for å opprettholde en god mediekontakt. I 1997 har dette spesielt vært knyttet til elektroniske spor i varehandelen, og bruk av personopplysninger i forsikring og kredittopplysningsvirksomhet.
Datatilsynet har etablert en egen web-server og egenproduserte hjemmesider med informasjon, nyheter og bestillingsmuligheter. Det er planlagt å utvide den eksterne web-tjenesten ytterligere.
I 1997 hadde Datatilsynet 19 faste stillingshjemler. Datatilsynet har i flere år bedt om økte bevilgninger for å kunne imøtekomme de utfordringer som virksomheten stadig stilles overfor. Datatilsynet har også påpekt behovet for ressurser også for å kunne vedlikeholde og oppdatere kompetanse, både juridisk og teknologisk.
I 1997 var det en nedgang i antall konsesjonssaker i forhold til 1996, men det var en kraftig økning i antall konsesjoner gitt til private registre.
Personregisterloven omfatter også kreditt- og personopplysningsvirksomhet, databehandlingsvirksomhet, adresserings- og distribusjonsvirksomhet og opinions- og markedsundersøkelsesvirksomhet. Datatilsynet har i løpet av 1997 utarbeidet flere typer standardkonsesjoner.
En arbeidsgruppe har utarbeidet en metode for å kartlegge behov for hjelp til mennesker med alvorlige psykiske lidelser. Datatilsynet ga i 1997 konsesjoner til de 118 kommuner som deltar i helhetlig psykiatriplanlegging.
Adressert reklame i posten eller telefonmarkedsføring er noe publikum er svært opptatte av. Datatilsynet har tidligere utarbeidet et konkret forslag til et sentralt reservasjonsregister mot adressert reklame og telefonmarkedsføring. Forslaget ble overlevert Justisdepartementet i 1994.
Datatilsynet legger stor vekt på forskjellig høringsarbeid, og antall høringssaker økte i 1997.
I 1997 har Datatilsynet foretatt juridiske og teknologiske kontroller fordelt på ulike kunderegistre, bydeler i Oslo, adgangskontrollsystemer, videoovervåking på offentlige steder og ett legesenter. Kontrollene har vist varierende sikkerhetsnivå og kunnskaper om gjeldende lover og regler. Kontrollene i bydelene ga signal om at bydelene ikke har tilstrekkelig med kunnskap om sine plikter i forhold til reglene i loven. Dette vil Datatilsynet arbeide videre med.
Kontrollene av videoovervåking av offentlige områder viste bl.a. at overvåking brukes som problemløser, og at bevisstheten om lovverket er lav, men at viljen til å gjøre ting riktig er til stede. Til tross for lite kunnskap om lovverket, holder likevel de fleste seg innenfor reglene.
Komiteen har merket seg Datatilsynets omtale av bonuskort og elektroniske spor i varehandelen. Komiteen støtter Datatilsynet i at det må foreligge et saklig behov for innsamling av opplysninger. Etter komiteens mening kan det ikke defineres som et saklig behov å samle inn opplysninger med tanke på markedsføring. Komiteen har merket seg at en av Datatilsynets problemstillinger i denne forbindelse er om man kan se personopplysninger som et slags betalingsmiddel; i bytte mot bonuspoeng gir kunden fra seg opplysninger om seg selv.
Komiteen antar at mange av kundene ikke er klar over hvordan de innsamlede opplysningene benyttes. Det er viktig at varehandelen informerer kundene godt om hvilke opplysninger som blir registrert, og hva opplysningene brukes til. Komiteen støtter Datatilsynets synspunkt om at kunden bare kan foreta bevisste valg om hvordan man vil bruke bonuskort, dersom man er godt nok informert.
Komiteen har merket seg Datatilsynets arbeid med elektroniske spor i samferdselssektoren. Komiteen ser positivt på at Datatilsynet har utarbeidet et utkast til konsesjon for elektroniske billetteringssystemer.
Komiteen er enig med Datatilsynet i dets kritiske syn på at bankene bruker transaksjonsdata som grunnlag for å markedsføre spesielle tilbud til kunden. Komiteen mener at bankkunder flest ikke forventer at banken går inn på den enkelte transaksjon på kundens konto, for så å benytte disse opplysningene i markedsføring rettet direkte mot kunden.
Komiteen har merket seg Datatilsynets innvendinger mot sentrale helseregistre, blant annet ut fra det store kontroll- og styringspotensiale slike registre gir. Komiteen har også merket seg at et grunnleggende personvernprinsipp er retten til å ha og kontrollere kunnskap om seg selv, og at det også innebærer retten til ikke å ha kunnskap. Komiteen tar til etterretning at Datatilsynet mener at dersom forslaget om å gi informasjonsrett til legen gjennomføres, vil det bryte med viktige personvernhensyn nedfelt i personregisterloven og forvaltningspraksis.
Komiteen er tilfreds med at Datatilsynet har utarbeidet nye retningslinjer for informasjonssikkerhet, og at disse ble satt i verk i løpet av første kvartal 1998. Komiteen vil understreke betydningen av at hovedregelen skal være at sensitive personopplysninger føres i et dedikert edb-system. Komiteen har merket seg at det er gitt en rekke dispensasjoner fra hovedregelen, men at ingen tillatelser er gitt for tilkopling til eksterne nett. Komiteen er videre tilfreds med at Datatilsynet vil utarbeide egne veiledninger om informasjonssikkerhet i forhold til enkelte tekniske problemstillinger og for enkelte samfunnssektorer.
Komiteen har merket seg Datatilsynets kritiske synspunkter til Metodeutvalgets delinnstilling II. Komiteen finner det ikke naturlig å kommentere de konkrete synspunktene før saken blir lagt fram for Stortinget til behandling.
Komiteen har merket seg at Datatilsynet er kritisk til den måten forsikringsselskapene har samlet inn opplysninger om kunden på. Komiteen har merket seg at Datatilsynet har funnet det nødvendig å innskjerpe reglene for forsikringsselskapenes innsamling av helseopplysninger. Komiteen vil understreke betydningen av at kundene er klar over hva de gir samtykke til, og rekkevidden av samtykket. Komiteen er tilfreds med at forsikringsselskapene heretter skal oppgi hvilke opplysninger som ønskes og hvilken kilde de skal hentes fra. Komiteen mener også at det er positivt at man ikke skal lagre kopier av fullstendige pasientjournaler, men heller skille ut de opplysningene som er relevant for saken.
Komiteen har merket seg at Datatilsynet har utarbeidet regler som ivaretar personvernet til den registrerte på en bedre måte og samtidig tar hensyn til kreditors mulighet til å drive inn utestående fordringer, og at Datatilsynet etter dette har gitt nye konsesjoner for kredittopplysningsbyråene.
Komiteen vil understreke den viktige oppgaven Datatilsynet har i å gjøre kjent for både overvåker og den overvåkede hvilket overvåkingspotensiale som ligger i teknologien. Komiteen har merket seg at aktivitetsloggen i et edb-system ikke skal brukes for å kontrollere brukerne/de ansatte. Komiteen vil understreke at arbeidsgiver ikke kan kontrollere de ansattes e-post, hvilke web-sider man har vært inne på eller lignende, og at slik overvåking verken er lovlig eller akseptert i Norge. Komiteen vil med interesse følge Datatilsynets arbeid med cookies (en slags oppsamler av informasjon om brukernes bevegelser på nettet) og profilbasert annonsering.
Komiteen har spesielt merket seg Datatilsynets synspunkter på overvåking i drosjene.
Komiteen har med interesse merket seg Datatilsynets undersøkelse om holdninger til personvern. Regler om beskyttelse av privatlivet og retten til et personvern oppfattes som viktig for enkeltmennesket. Komiteen har videre merket seg at kriminialitetsbekjempelse og oppklaring av kriminelle handlinger oppfattes som viktigere enn personvernet generelt sett, og at økt kontroll og overvåking kan gjennomføres på bekostning av andre verdier, som for eksempel personvernet.
Komiteen har spesielt merket seg at Datatilsynet har sett nærmere på Oslo kommunes bruk av personregistre, og at enkelte bydeler ble valgt ut for kontroll. Komiteen viser til at Datatilsynet fant flere mangler, og har merket seg at Datatilsynet vil arbeide videre med saken.