Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

1. Sammendrag

Datatilsynet har vært i virksomhet siden 1. januar 1980. Tilsynet skal bl.a. behandle søknader om konsesjon for personregistre og for annen bruk av personopplysninger i visse typer virksomheter, kontrollere at lover og regler som gjelder for personregistre og bruk av personopplysninger blir fulgt, og gi råd og informasjon om personvern og de reglene som gjelder for personregistre.

Meldingsperioden har til dels vært turbulent som følge av uenighet om kompetansefordelingen mellom styre og administrasjon i Datatilsynet. Konflikten kulminerte med at Datatilsynets styremedlemmer ba seg fritatt for sine verv i 1998. Justisdepartementet fremhever at samarbeidet med det nye styret har vært godt.

Datatilsynet bl.a. tar opp forholdet til sikring av informasjon i helsesektoren. I forslagene til lov om helsepersonell i Ot.prp. nr. 13 (1998-1999) og helseregisterlov er det foreslått å innta egne hjemler for Kongen til å sette krav til bruk av edb i helsesektoren. Datatilsynet viser til at tilsynet for tiden utvikler generelle sikkerhetsforskrifter, og at det vil være naturlig at de samme sikkerhetskravene stilles overfor helsevesenet. Sosial- og helsedepartementet viser til at en egen forskriftshjemmel foreslås.

Datatilsynet har i flere år vært opptatt av hvilke konsekvenser Schengen-samarbeidet vil få for personvernet. Justisdepartementet deler dette engasjementet, og vil igangsette en gjennomgang av regelverket for politiets behandling av personopplysninger med sikte på å utarbeide en ny lov om politiets arbeidsregistre.

Datatilsynet gir uttrykk for at det fra mange hold fremsettes krav om fjernsynsovervåking av offentlige gater og torg. Overvåking som foretas av politiet hjemles i personregisterloven § 37 a, på samme måte som annen fjernsynsovervåking. Justisdepartementet kan vanskelig se at politiet havner i noen dobbeltrolle slik Datatilsynet fremhever, selv om forskrift om fjernsynsovervåking i visse tilfeller gir hjemmel for å utlevere opptak til politiet.

Samferdselsdepartementet deler Datatilsynets syn når det gjelder viktigheten av personvernspørsmål knyttet til Internett i forhold til utformingen av regelverket, men påpeker at det i mange tilfeller vil være lite hensiktsmessig å kreve en tidsbegrensning for offentliggjøring av personopplysninger på Internett.

I Datatilsynets årsmelding omtales videre saken der en kommune undersøkte innholdet i ulovlig plasserte avfallssekker for om mulig å identifisere lovovertrederen. Miljøverndepartementet mener kommunen i dette tilfellet har opptrådt ansvarlig i forhold til det regelverk den er satt til å forvalte.

Det anføres i årsmeldingen at verken Datatilsynet eller Sivilombudsmannen kan se at det er hjemmel i strafferegistreringsloven for å registrere forenklede forelegg i bøteregisteret. Etter Justisdepartementets syn hjemler strafferegistreringsloven registrering av forenklede forelegg. Departementet vil imidlertid vurdere nærmere hvorvidt det skal tas initiativ til en klargjøring av grunnlaget for slik registrering.

Det er etter Justisdepartementets syn ikke slik at man ved å legge ansvaret for EUs telekommunikasjonsdirektiv til Samferdselsdepartementet utpeker Post- og teletilsynet som eneste tilsynsmyndighet, eller begrenser Datatilsynets tilsynskompetanse.

Justisdepartementet viser til at Datatilsynets styre signaliserer at ny lovgivning vil kunne innebære et noe høyere nivå for Datatilsynets ressursbehov. Departementet bemerker at det vil være nødvendig med ressurser for å gjennomføre dette arbeidet. Departementet har merket seg Datatilsynets signaler om at kompleksiteten i sakene er økende, noe som gjør at behandlingstiden øker. Justisdepartementet registrerer også nedgangen i saksmengden på 15,2 pst. i 1998 i forhold til 1997. Det er viktig at den gjennomsnittlige saksbehandlingstiden i tilsynet ikke forlenges utover målet på 6 uker.

I forbindelse med oppnevningen henstilte Justisdepartementet til det nye styret å videreføre etablert praksis i forholdet mellom styre og direktør. Styret har i tråd med dette lagt til grunn at styret fungerer som et fagstyre, og at direktøren treffer endelig avgjørelse i administrative saker.

De fleste av de 10 klagesakene styret behandlet i 1998 gjelder helt eller delvis avslag på søknad om konsesjon for opprettelse av personregister. Ut over klagesakene har styret behandlet saker av prinsipiell rekkevidde for personvernet. Blant disse nevnes vedtakelse av Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger.

Virksomhetsåret 1998 ble for Datatilsynets vedkommende særlig preget av uenigheten om fordeling av ansvar mellom styre og administrasjon som kulminerte med styrets fratredelse, samt arbeidet med å forberede gjennomføringen av ny lov om behandling av personopplysning.

Staben har tidvis vært noe mindre enn hjemlet, og det har ikke vært mulig å hindre at saksbehandlingstiden har gått noe opp. Datatilsynet har i meldingsåret bl.a. gjennomført to omfattende kontroller av ulike private og offentlige databrukere i henholdsvis Trøndelag og Rogaland. Resultatet har til dels vært meget oppmuntrende.

Det påpekes at det kan være vanskelig å fungere helt ut tilfredsstillende i rollene som ombud og forvaltningsorgan samtidig. Det fremheves videre at Datatilsynets innlegg i samfunnsdebatten i praksis ikke blir avgrenset til områder som reguleres direkte i personregisterloven, men gjelder også andre personvernrelaterte saker.

Når det teknisk er forholdsvis enkelt å bruke informasjoner for kontroll, vil et formulert behov for å gjøre det ofte følge rett etter. Som eksempel vises det til at elektroniske passasjerlister vil ha interesse for tolletaten. Datatilsynet har pekt på de problemer som vil knytte seg til de enorme mengdene overskuddsinformasjon som dermed gjøres tilgjengelig for et statlig kontrollorgan.

Det er vanskelig konkret å påvise hvorvidt Norge i meldingsåret er blitt et mer gjennomsiktig og gjennomregistrert samfunn. Det ligger i dag utenfor den ressursramme tilsynet har til rådighet å kunne bidra med vurderinger av det omfang og den kompleksitet det her er tale om.

Nye retningslinjer for informasjonssikkerhet

Datatilsynet vedtok i 1998 Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger. Utviklingsarbeidet er koordinert med arbeid som er utført i regi av Nærings- og handelsdepartementet med sikte på å etablere norske sertifiseringsordninger for informasjonssikkerhet.

Retningslinjene omfatter i mindre grad detaljerte tekniske sikkerhetskrav enn tidligere sikkerhetsreguleringer. Datatilsynet utarbeider derfor veiledninger i informasjonssikkerhet spesielt rettet mot enkelte sektorer.

Datatilsynet har de siste årene sett en økende tendens til opprettelse av sentrale, til dels store helseregistre. En økende tendens i søknadene er at registreringene blir basert på samtykke fra de registrerte.

Mange forskere tar sikte på svært lang oppbevaringstid for opplysningene, og har ofte ambisjoner om å utnytte opplysningene også i fremtidige prosjekter. Det kan reises tvil om hvorvidt samtykket er reelt i mange sammenhenger, evt. om nytt samtykke bør innhentes etter en tid. Til tross for ulike betenkeligheter knyttet til sentrale forskningsregistre, har Datatilsynet ikke avslått søknader hverken for prosjektrelaterte eller permanente helseregistre. En søknad om konsesjon til videre oppbevaring av det såkalte Åndssvakeregisteret er under behandling. Datatilsynet har bedt om en nærmere begrunnelse for behovet for videre registrering.

Datatilsynet viser til at helsemyndighetene ønsker å gi egne regler om sikring av informasjon. Det utarbeides nå generelle sikkerhetsforskrifter i tilknytning til forslag til lov om behandling av personopplysninger, og Datatilsynet mener det vil være naturlig at de samme sikkerhetskravene stilles overfor helsevesenet.

I forhold til Schengen informasjonssystem (SIS) har Datatilsynet i meldingsåret engasjert seg i to viktige områder: forslag til lov om SIS og etablering av en prosjektgruppe i det nasjonale Schengen-prosjektet.

Datatilsynet mener overvåking av offentlige rom er et sterkt inngrep i den private sfære, og at kontinuerlig overvåking ved hjelp av kamera bør være unntaket og ikke regelen. I 1998 kom det krav fra mange hold om at politiet skulle ta i bruk fjernsynsovervåking av offentlige gater og torg, og det skal gjennomføres et prøveprosjekt i Oslo. Denne praksisen reiser bl.a. spørsmål om lovgrunnlaget.

Nylig har Datatilsynet fått forespørsler fra publikum om lovligheten av å benytte seg av fast installerte internettkameraer i barnehager. Det er et spørsmål om dette oppfyller personregisterlovens krav til saklig behov for overvåking.

Datatilsynet har det siste året fått flere henvendelser fra skoler som vil overvåke både skolegårder og innendørs lokaler. En eventuell overvåking av skoleanlegg bør bare finne sted på tidspunkt ingen har sitt faste tilhold der.

Datatilsynet ga i meldingsåret om lag 430 konsesjoner til nye forskningsprosjekter og 300 konsesjonsforlengelser.

Publiserte rapporter og lignende fra forskningsprosjekter skal være anonymiserte. Datatilsynets styre har vedtatt at prinsippet om anonymisering bare kan fravikes dersom belysning av sentrale, historiske hendelser svekkes vesentlig uten at identiteten offentliggjøres, og viktigheten av opplysningene i den aktuelle debatt veier vesentlig tyngre enn den ulempen en offentliggjøring vil medføre for den registrerte, hans ettermæle og hans etterlatte.

1998 har vært sterkt preget av saker hvor aktører med store personregistre vil legge disse ut på Internett. Hovedregelen for en slik offentliggjøring er kravet om samtykke fra den enkelte før opplysningene legges ut på nettet.

Det har blitt reist mange spørsmål om grensen mellom offentlighetsprinsippet og personvern når offentlige dokumenter og journaler blir tilgjengelig på Internett. Datatilsynet er generelt skeptisk til registre som blir liggende over ubegrenset tid på Internett og mener krav om sletting eller anonymisering etter en viss tid er vesentlig.

Fjernsynsovervåking av ansatte er ikke lenger uvanlig. Datatilsynet ser også stadig flere eksempler på skjult overvåking, til tross for at dette er straffbart.

Arbeidsgivere har ikke anledning til å registrere telefonsamtaler for å overvåke ansatte eller for å disiplinere de ansattes telefonbruk. Arbeidsgivere som har et saklig behov for å registrere oppringt nummer for samtaler de ansatte har, kan registrere dette dersom de får en avtale mellom partene i arbeidslivet. Datatilsynet ser problemer for personvernet når arbeidsgivere får spesifiserte telefonregninger med både jobb- og privatsamtaler for sine ansatte.

Mange arbeidsgivere ønsker å bruke elektroniske logger for kontroll av ansattes bruk av Internett. Dette er ikke i strid med personregisterloven hvis opplysningene som hentes ut av loggen ikke kan tilbakeføres til den enkelte. Kontroll av ansatte gjennom loggene krever konsesjon.

Elektronisk registrering av hvor lang tid hver enkelt ansatt bruker på hver aktivitet er et annet eksempel på overvåking. Datatilsynet har gitt konsesjon til slik registrering på vilkår at man får skriftlig samtykke fra den enkelte.

I et avisoppslag på vårparten kom det frem at en kommune gikk gjennom ulovlig plassert søppel ved kommunens miljøstasjoner. Søppelet skulle identifisere synderen. Datatilsynets direktør uttalte seg kritisk til tiltaket.

Forenklede forelegg blir registrert i bøteregisteret på linje med andre ilagte bøter, til tross for at hverken Sivilombudsmannen eller Datatilsynet kan se at det er hjemmel for dette i strafferegistreringsloven. Justisdepartementet har fastslått at forenklede forelegg ikke skal komme med i vandelsattestene. Datatilsynet er opptatt av at hvis det finnes hjemmel til å registrere opplysninger om forenklede forelegg, bør registreringene bare skje i forbindelse med hjemmelen, og registeret skal ikke kobles opp mot andre.

I 1998 har informasjonsarbeidet vært knyttet til satsingsområdene helsesektoren, justissektoren og elektroniske spor innen samferdsel.

De viktigste kanalene for informasjon er mediekontakt, webtjenesten, årsmeldingen, magasinet SPOR, pressemøter, seminarer, foredrag og en høy publisitet rundt kontrollvirksomheten.

I 1998 hadde Datatilsynet 22 faste stillingshjemler. Behandlingstiden øker fordi saksmengden har blitt mer kompleks og mangfoldig enn tidligere.

Mange av henvendelsene til Datatilsynet tar opp saker som ikke er direkte knyttet til søknader om oppretting av registre eller å drive konsesjonspliktig virksomhet, men i hovedsak brukes flest ressurser på behandling av søknader om konsesjon for å opprette personregistre. Fra 1997 til 1998 er det en nedgang i antall dokumenter som utgjør 15,2 pst.

I løpet av meldingsåret kom det inn 20 klager over Datatilsynets vedtak. Justisdepartementet avgjorde i løpet av dette meldingsåret 13 saker. Av dem ble tre omgjort. Av søknader som ble avslått nevnes bl.a. en søknad fra kredittopplysningsbyråene om å hente inn opplysninger fra motorvognregisteret til bruk i kredittopplysningsvirksomhet, og en søknad fra Kreditorforeningen i Oslo om å opprette et permanent register over samtlige skatteytere i Norge.

I 1998 gjennomførte Datatilsynet kontroller i Trøndelag og i Rogalandsdistriktet. Tilsynet konsentrerte seg om fylkesvise kontroller innen et bredt spekter av virksomheter, fra videobutikker til internasjonale konsern. Det er mangel på konkret kjennskap til regelverket og konsesjonene, men de fleste følger likevel personvernets generelle grunntanker. Få av de registrerte benyttet seg av innsynsretten. Positivt mange hadde likevel utarbeidet rutiner for dette.

Datatilsynet hadde 116 høringssaker i meldingsåret. Tilsynet legger stor vekt på høringsarbeid, noe som er i overensstemmelse med Stortingets uttrykte ønske.

Justisdepartementet har i meldingsåret også foreslått opprettelsen av et sentralt reservasjonsregister, et register Datatilsynet har etterlyst i lang tid. Registeret er ennå ikke opprettet.

Kontor- og datateknisk landsforening har tatt initiativ til opprettelsen av et klageorgan for utenomrettslig behandling av klager over bruk av Internett; Internett etisk råd. Rådet har utarbeidet et utkast til etiske regler for Internettbruk. Datatilsynet mener reglene i stor grad bar preg av de større kommersielle aktørenes interesser.

Generelt savner Datatilsynet en harmonisering av regelverket innenfor politisektoren og spesielt i forhold til viktige personvernregler som innsyn, retting og sletting av opplysninger.

Datatilsynet tok opp ansvaret for gjennomføring og oppfølging av direktivet for telekommunikasjon med Justisdepartementet i meldingsåret. Det vises til at Datatilsynet skal behandle spørsmål om bruk av personopplysninger, også innenfor telesektoren. Justisdepartementet ønsker direktivet lagt inn under Samferdselsdepartementets ansvarsområde.

Erfaringene fra virksomhetsåret bekrefter tendenser fra foregående år mot mer omfattende, internasjonalt arbeid på personvernområdet, bl.a. innenfor Norden og i EU.