Innstilling fra justiskomiteen om Årsmelding for Datatilsynet 1998
Dette dokument
- Innst. S. nr. 73 (1999-2000)
- Kildedok: St.meld. nr. 44 (1998-1999)
- Dato: 09.12.1999
- Utgiver: Justiskomiteen
- Sidetall: 5
Tilhører sak
Alt om
Innhold
- 1. Sammendrag
- 2. Komiteens merknader
- 3. Komiteens tilråding
Til Stortinget
Datatilsynet har vært i virksomhet siden 1. januar 1980. Tilsynet skal bl.a. behandle søknader om konsesjon for personregistre og for annen bruk av personopplysninger i visse typer virksomheter, kontrollere at lover og regler som gjelder for personregistre og bruk av personopplysninger blir fulgt, og gi råd og informasjon om personvern og de reglene som gjelder for personregistre.
Meldingsperioden har til dels vært turbulent som følge av uenighet om kompetansefordelingen mellom styre og administrasjon i Datatilsynet. Konflikten kulminerte med at Datatilsynets styremedlemmer ba seg fritatt for sine verv i 1998. Justisdepartementet fremhever at samarbeidet med det nye styret har vært godt.
Datatilsynet bl.a. tar opp forholdet til sikring av informasjon i helsesektoren. I forslagene til lov om helsepersonell i Ot.prp. nr. 13 (1998-1999) og helseregisterlov er det foreslått å innta egne hjemler for Kongen til å sette krav til bruk av edb i helsesektoren. Datatilsynet viser til at tilsynet for tiden utvikler generelle sikkerhetsforskrifter, og at det vil være naturlig at de samme sikkerhetskravene stilles overfor helsevesenet. Sosial- og helsedepartementet viser til at en egen forskriftshjemmel foreslås.
Datatilsynet har i flere år vært opptatt av hvilke konsekvenser Schengen-samarbeidet vil få for personvernet. Justisdepartementet deler dette engasjementet, og vil igangsette en gjennomgang av regelverket for politiets behandling av personopplysninger med sikte på å utarbeide en ny lov om politiets arbeidsregistre.
Datatilsynet gir uttrykk for at det fra mange hold fremsettes krav om fjernsynsovervåking av offentlige gater og torg. Overvåking som foretas av politiet hjemles i personregisterloven § 37 a, på samme måte som annen fjernsynsovervåking. Justisdepartementet kan vanskelig se at politiet havner i noen dobbeltrolle slik Datatilsynet fremhever, selv om forskrift om fjernsynsovervåking i visse tilfeller gir hjemmel for å utlevere opptak til politiet.
Samferdselsdepartementet deler Datatilsynets syn når det gjelder viktigheten av personvernspørsmål knyttet til Internett i forhold til utformingen av regelverket, men påpeker at det i mange tilfeller vil være lite hensiktsmessig å kreve en tidsbegrensning for offentliggjøring av personopplysninger på Internett.
I Datatilsynets årsmelding omtales videre saken der en kommune undersøkte innholdet i ulovlig plasserte avfallssekker for om mulig å identifisere lovovertrederen. Miljøverndepartementet mener kommunen i dette tilfellet har opptrådt ansvarlig i forhold til det regelverk den er satt til å forvalte.
Det anføres i årsmeldingen at verken Datatilsynet eller Sivilombudsmannen kan se at det er hjemmel i strafferegistreringsloven for å registrere forenklede forelegg i bøteregisteret. Etter Justisdepartementets syn hjemler strafferegistreringsloven registrering av forenklede forelegg. Departementet vil imidlertid vurdere nærmere hvorvidt det skal tas initiativ til en klargjøring av grunnlaget for slik registrering.
Det er etter Justisdepartementets syn ikke slik at man ved å legge ansvaret for EUs telekommunikasjonsdirektiv til Samferdselsdepartementet utpeker Post- og teletilsynet som eneste tilsynsmyndighet, eller begrenser Datatilsynets tilsynskompetanse.
Justisdepartementet viser til at Datatilsynets styre signaliserer at ny lovgivning vil kunne innebære et noe høyere nivå for Datatilsynets ressursbehov. Departementet bemerker at det vil være nødvendig med ressurser for å gjennomføre dette arbeidet. Departementet har merket seg Datatilsynets signaler om at kompleksiteten i sakene er økende, noe som gjør at behandlingstiden øker. Justisdepartementet registrerer også nedgangen i saksmengden på 15,2 pst. i 1998 i forhold til 1997. Det er viktig at den gjennomsnittlige saksbehandlingstiden i tilsynet ikke forlenges utover målet på 6 uker.
I forbindelse med oppnevningen henstilte Justisdepartementet til det nye styret å videreføre etablert praksis i forholdet mellom styre og direktør. Styret har i tråd med dette lagt til grunn at styret fungerer som et fagstyre, og at direktøren treffer endelig avgjørelse i administrative saker.
De fleste av de 10 klagesakene styret behandlet i 1998 gjelder helt eller delvis avslag på søknad om konsesjon for opprettelse av personregister. Ut over klagesakene har styret behandlet saker av prinsipiell rekkevidde for personvernet. Blant disse nevnes vedtakelse av Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger.
Virksomhetsåret 1998 ble for Datatilsynets vedkommende særlig preget av uenigheten om fordeling av ansvar mellom styre og administrasjon som kulminerte med styrets fratredelse, samt arbeidet med å forberede gjennomføringen av ny lov om behandling av personopplysning.
Staben har tidvis vært noe mindre enn hjemlet, og det har ikke vært mulig å hindre at saksbehandlingstiden har gått noe opp. Datatilsynet har i meldingsåret bl.a. gjennomført to omfattende kontroller av ulike private og offentlige databrukere i henholdsvis Trøndelag og Rogaland. Resultatet har til dels vært meget oppmuntrende.
Det påpekes at det kan være vanskelig å fungere helt ut tilfredsstillende i rollene som ombud og forvaltningsorgan samtidig. Det fremheves videre at Datatilsynets innlegg i samfunnsdebatten i praksis ikke blir avgrenset til områder som reguleres direkte i personregisterloven, men gjelder også andre personvernrelaterte saker.
Når det teknisk er forholdsvis enkelt å bruke informasjoner for kontroll, vil et formulert behov for å gjøre det ofte følge rett etter. Som eksempel vises det til at elektroniske passasjerlister vil ha interesse for tolletaten. Datatilsynet har pekt på de problemer som vil knytte seg til de enorme mengdene overskuddsinformasjon som dermed gjøres tilgjengelig for et statlig kontrollorgan.
Det er vanskelig konkret å påvise hvorvidt Norge i meldingsåret er blitt et mer gjennomsiktig og gjennomregistrert samfunn. Det ligger i dag utenfor den ressursramme tilsynet har til rådighet å kunne bidra med vurderinger av det omfang og den kompleksitet det her er tale om.
Nye retningslinjer for informasjonssikkerhet
Datatilsynet vedtok i 1998 Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger. Utviklingsarbeidet er koordinert med arbeid som er utført i regi av Nærings- og handelsdepartementet med sikte på å etablere norske sertifiseringsordninger for informasjonssikkerhet.
Retningslinjene omfatter i mindre grad detaljerte tekniske sikkerhetskrav enn tidligere sikkerhetsreguleringer. Datatilsynet utarbeider derfor veiledninger i informasjonssikkerhet spesielt rettet mot enkelte sektorer.
Datatilsynet har de siste årene sett en økende tendens til opprettelse av sentrale, til dels store helseregistre. En økende tendens i søknadene er at registreringene blir basert på samtykke fra de registrerte.
Mange forskere tar sikte på svært lang oppbevaringstid for opplysningene, og har ofte ambisjoner om å utnytte opplysningene også i fremtidige prosjekter. Det kan reises tvil om hvorvidt samtykket er reelt i mange sammenhenger, evt. om nytt samtykke bør innhentes etter en tid. Til tross for ulike betenkeligheter knyttet til sentrale forskningsregistre, har Datatilsynet ikke avslått søknader hverken for prosjektrelaterte eller permanente helseregistre. En søknad om konsesjon til videre oppbevaring av det såkalte Åndssvakeregisteret er under behandling. Datatilsynet har bedt om en nærmere begrunnelse for behovet for videre registrering.
Datatilsynet viser til at helsemyndighetene ønsker å gi egne regler om sikring av informasjon. Det utarbeides nå generelle sikkerhetsforskrifter i tilknytning til forslag til lov om behandling av personopplysninger, og Datatilsynet mener det vil være naturlig at de samme sikkerhetskravene stilles overfor helsevesenet.
I forhold til Schengen informasjonssystem (SIS) har Datatilsynet i meldingsåret engasjert seg i to viktige områder: forslag til lov om SIS og etablering av en prosjektgruppe i det nasjonale Schengen-prosjektet.
Datatilsynet mener overvåking av offentlige rom er et sterkt inngrep i den private sfære, og at kontinuerlig overvåking ved hjelp av kamera bør være unntaket og ikke regelen. I 1998 kom det krav fra mange hold om at politiet skulle ta i bruk fjernsynsovervåking av offentlige gater og torg, og det skal gjennomføres et prøveprosjekt i Oslo. Denne praksisen reiser bl.a. spørsmål om lovgrunnlaget.
Nylig har Datatilsynet fått forespørsler fra publikum om lovligheten av å benytte seg av fast installerte internettkameraer i barnehager. Det er et spørsmål om dette oppfyller personregisterlovens krav til saklig behov for overvåking.
Datatilsynet har det siste året fått flere henvendelser fra skoler som vil overvåke både skolegårder og innendørs lokaler. En eventuell overvåking av skoleanlegg bør bare finne sted på tidspunkt ingen har sitt faste tilhold der.
Datatilsynet ga i meldingsåret om lag 430 konsesjoner til nye forskningsprosjekter og 300 konsesjonsforlengelser.
Publiserte rapporter og lignende fra forskningsprosjekter skal være anonymiserte. Datatilsynets styre har vedtatt at prinsippet om anonymisering bare kan fravikes dersom belysning av sentrale, historiske hendelser svekkes vesentlig uten at identiteten offentliggjøres, og viktigheten av opplysningene i den aktuelle debatt veier vesentlig tyngre enn den ulempen en offentliggjøring vil medføre for den registrerte, hans ettermæle og hans etterlatte.
1998 har vært sterkt preget av saker hvor aktører med store personregistre vil legge disse ut på Internett. Hovedregelen for en slik offentliggjøring er kravet om samtykke fra den enkelte før opplysningene legges ut på nettet.
Det har blitt reist mange spørsmål om grensen mellom offentlighetsprinsippet og personvern når offentlige dokumenter og journaler blir tilgjengelig på Internett. Datatilsynet er generelt skeptisk til registre som blir liggende over ubegrenset tid på Internett og mener krav om sletting eller anonymisering etter en viss tid er vesentlig.
Fjernsynsovervåking av ansatte er ikke lenger uvanlig. Datatilsynet ser også stadig flere eksempler på skjult overvåking, til tross for at dette er straffbart.
Arbeidsgivere har ikke anledning til å registrere telefonsamtaler for å overvåke ansatte eller for å disiplinere de ansattes telefonbruk. Arbeidsgivere som har et saklig behov for å registrere oppringt nummer for samtaler de ansatte har, kan registrere dette dersom de får en avtale mellom partene i arbeidslivet. Datatilsynet ser problemer for personvernet når arbeidsgivere får spesifiserte telefonregninger med både jobb- og privatsamtaler for sine ansatte.
Mange arbeidsgivere ønsker å bruke elektroniske logger for kontroll av ansattes bruk av Internett. Dette er ikke i strid med personregisterloven hvis opplysningene som hentes ut av loggen ikke kan tilbakeføres til den enkelte. Kontroll av ansatte gjennom loggene krever konsesjon.
Elektronisk registrering av hvor lang tid hver enkelt ansatt bruker på hver aktivitet er et annet eksempel på overvåking. Datatilsynet har gitt konsesjon til slik registrering på vilkår at man får skriftlig samtykke fra den enkelte.
I et avisoppslag på vårparten kom det frem at en kommune gikk gjennom ulovlig plassert søppel ved kommunens miljøstasjoner. Søppelet skulle identifisere synderen. Datatilsynets direktør uttalte seg kritisk til tiltaket.
Forenklede forelegg blir registrert i bøteregisteret på linje med andre ilagte bøter, til tross for at hverken Sivilombudsmannen eller Datatilsynet kan se at det er hjemmel for dette i strafferegistreringsloven. Justisdepartementet har fastslått at forenklede forelegg ikke skal komme med i vandelsattestene. Datatilsynet er opptatt av at hvis det finnes hjemmel til å registrere opplysninger om forenklede forelegg, bør registreringene bare skje i forbindelse med hjemmelen, og registeret skal ikke kobles opp mot andre.
I 1998 har informasjonsarbeidet vært knyttet til satsingsområdene helsesektoren, justissektoren og elektroniske spor innen samferdsel.
De viktigste kanalene for informasjon er mediekontakt, webtjenesten, årsmeldingen, magasinet SPOR, pressemøter, seminarer, foredrag og en høy publisitet rundt kontrollvirksomheten.
I 1998 hadde Datatilsynet 22 faste stillingshjemler. Behandlingstiden øker fordi saksmengden har blitt mer kompleks og mangfoldig enn tidligere.
Mange av henvendelsene til Datatilsynet tar opp saker som ikke er direkte knyttet til søknader om oppretting av registre eller å drive konsesjonspliktig virksomhet, men i hovedsak brukes flest ressurser på behandling av søknader om konsesjon for å opprette personregistre. Fra 1997 til 1998 er det en nedgang i antall dokumenter som utgjør 15,2 pst.
I løpet av meldingsåret kom det inn 20 klager over Datatilsynets vedtak. Justisdepartementet avgjorde i løpet av dette meldingsåret 13 saker. Av dem ble tre omgjort. Av søknader som ble avslått nevnes bl.a. en søknad fra kredittopplysningsbyråene om å hente inn opplysninger fra motorvognregisteret til bruk i kredittopplysningsvirksomhet, og en søknad fra Kreditorforeningen i Oslo om å opprette et permanent register over samtlige skatteytere i Norge.
I 1998 gjennomførte Datatilsynet kontroller i Trøndelag og i Rogalandsdistriktet. Tilsynet konsentrerte seg om fylkesvise kontroller innen et bredt spekter av virksomheter, fra videobutikker til internasjonale konsern. Det er mangel på konkret kjennskap til regelverket og konsesjonene, men de fleste følger likevel personvernets generelle grunntanker. Få av de registrerte benyttet seg av innsynsretten. Positivt mange hadde likevel utarbeidet rutiner for dette.
Datatilsynet hadde 116 høringssaker i meldingsåret. Tilsynet legger stor vekt på høringsarbeid, noe som er i overensstemmelse med Stortingets uttrykte ønske.
Justisdepartementet har i meldingsåret også foreslått opprettelsen av et sentralt reservasjonsregister, et register Datatilsynet har etterlyst i lang tid. Registeret er ennå ikke opprettet.
Kontor- og datateknisk landsforening har tatt initiativ til opprettelsen av et klageorgan for utenomrettslig behandling av klager over bruk av Internett; Internett etisk råd. Rådet har utarbeidet et utkast til etiske regler for Internettbruk. Datatilsynet mener reglene i stor grad bar preg av de større kommersielle aktørenes interesser.
Generelt savner Datatilsynet en harmonisering av regelverket innenfor politisektoren og spesielt i forhold til viktige personvernregler som innsyn, retting og sletting av opplysninger.
Datatilsynet tok opp ansvaret for gjennomføring og oppfølging av direktivet for telekommunikasjon med Justisdepartementet i meldingsåret. Det vises til at Datatilsynet skal behandle spørsmål om bruk av personopplysninger, også innenfor telesektoren. Justisdepartementet ønsker direktivet lagt inn under Samferdselsdepartementets ansvarsområde.
Erfaringene fra virksomhetsåret bekrefter tendenser fra foregående år mot mer omfattende, internasjonalt arbeid på personvernområdet, bl.a. innenfor Norden og i EU.
Komiteen er tilfreds med at årsmeldingen fra Datatilsynet nå oversendes justiskomiteen for behandling det påfølgende år. Dette gjør at Stortingets behandling av årsmeldingen blir mer aktuell.
Komiteen konstaterer at det nåværende styre "har lagt til grunn at styret fungerer som et fagstyre, og at direktøren treffer endelig avgjørelse i administrative saker, eventuelt etter at sakene har vært forelagt styret for nærmere drøftelse".
Komiteen merker seg at styret behandler alle klagesaker til Justisdepartementet, og at dette for 1998 utgjorde 10 saker. Videre merker komiteen seg at det på de fire avholdte styremøter i 1998 ut over klagesakene ble behandlet 10 saker av prinsipiell rekkevidde for personvernet, og at det i tillegg ble lagt fram 29 saker til orientering.
Også direktøren omtaler konflikten som kulminerte med at nytt styre for Datatilsynet ble oppnevnt i statsråd 30. april i meldingsåret. Komiteen merker seg at direktøren omtaler samarbeidet med det nye styret som godt.
Videre merker komiteen seg at det i 1998 har vært arbeidet med å forberede gjennomføringen av ny lov om behandling av personopplysning, basert på NOU 1997:19 "Et bedre personvern, forslag til lov om behandling av personopplysninger". Av den ordinære virksomheten i meldingsåret merker komiteen seg også at arbeidet med sikkerhet i forbindelse med personvern har økt i intensitet, og at Datatilsynet har deltatt eksternt med utarbeidelse av vilkår for sikkerhetsarbeid innenfor sektorene helse og justis. For justissektoren dreier det seg om å utarbeide en sikkerhetshåndbok på overordnet nivå for hele sektoren: Politiet, domstoler, kriminalomsorgen m.v.
Komiteen merker seg også at direktøren av hensyn til kunnskapen og bevisstheten om personvernutfordringer, finner det stadig oftere nødvendig og ønskelig at Datatilsynet kommenterer dagsaktuelle problemstillinger. Eksempler på slike saker er "Søppelanalysesaken" og "Drosjevideosaken". Komiteen støtter vurderingen av at det vil være riktig å delta i slike debatter.
Komiteen vil understreke at Datatilsynet har ansvar på tvers av samfunnssektorene, og merker seg derfor med interesse den arbeidsform tilsynet har valgt når det gjelder utarbeidelse av nye regler om informasjonssikkerhet: å ta utgangspunkt i en felles grunnleggende sikkerhetsnorm, for så i nært samarbeid med sektorer og bransjer å utarbeide detaljerte anbefalinger. Komiteen støtter vurderingen av at dette er en mye mer tilfredsstillende og riktig metode enn å foreta en sak til sak vurdering av sikkerheten i hver enkelt virksomhet uten harmoniserte grunnleggende krav.
Årsmeldingen peker på de etiske problemstillinger som knytter seg til personvernet i helsesektoren, særlig knyttet opp mot aktivt og passivt samtykke til bruk og lagring av opplysninger. Komiteen merker seg dette, og mener det er viktig med nøyaktig informasjon, slik at den enkelte vet hva han/hun samtykker til og hva som kan være både konsekvens og omfang av samtykket. Der det i ettertid kan være usikkerhet knyttet opp mot hva samtykket egentlig gikk på, bør nytt samtykke innhentes.
Komiteen merker seg at det er enighet mellom Statens Helsetilsyn og Datatilsynet om at Dødsårsaksregisteret er konsesjonspliktig, og at det samme gjelder for Medisinsk Fødselsregister. Videre registrerer komiteen arbeidet omkring "Åndssvakeregisteret" og "Vanføreregisteret".
Komiteen har også merket seg Datatilsynets problemstilling omkring sikkerhetskravene til helsevesenet. Det synes ønskelig å komme fram til et regime hvor brukerne ikke må forholde seg til to regelsett og to myndigheter på ett og samme område.
Komiteen viser til at Datatilsynet stiller spørsmål ved det saklige behov for kontinuerlig fjernsynsovervåking av det offentlige rom. Komiteen er i sitt arbeid bl.a. opptatt av å forebygge kriminalitet og legge til rette for rask avsløring og oppklaring av begåtte kriminelle handlinger. I den sammenhengen kan bruk av overvåkingskameraer være effektivt, men komiteen finner det betryggende om Datatilsynet deltar i evalueringen av prøveprosjekter der overvåkingskameraer er benyttet. Det er viktig at overskuddsinformasjon blir behandlet korrekt, og at personvernhensyn ivaretas.
Et viktig moment som komiteen merker seg i forholdet mellom personvern og forskning, er retten til å ha kontroll over opplysninger om seg selv. Det kreves et aktivt informert samtykke fra den enkelte for at forskere skal kunne registrere og bruke persondata i alle deler av sitt arbeid.
Den stadig mer omseggripende bruk av Internett innebærer også at mer kunnskap om enkeltpersoner blir tilgjengelig ved få tastetrykk. Komiteen ser det derfor som riktig og nødvendig at Datatilsynet også i denne sammenheng setter krav om samtykke fra den enkelte, før eventuelle personregistre kan legges ut på nettet. At Datatilsynet i en del tilfeller aksepterer anonymisering av personopplysninger som fullgodt personvern, finner komiteen forståelig. Komiteen merker seg at Datatilsynet er generelt skeptisk til registre som blir liggende på Internett i ubegrenset tid.
Komiteen merker seg også at den enkeltes rett til selv å bestemme over registrering og overvåking er svakere i arbeidslivet enn ellers. Det skyldes at man på arbeidsplassen er underlagt arbeidsgiverens styringsrett. Men fjernsynsovervåking skal være saklig begrunnet og det må foreligge særlig behov.
Ved politiets bruk av forenklet forelegg får man tilbud om å vedta forelegget på stedet. Komiteen merker seg at Datatilsynet i den sammenheng hevder at viktige rettssikkerhetsgarantier blir satt til side for å få en mer effektiv og forenklet behandling av relativt kurante saker. Opplysninger om forhold folk flest oppfatter som "opp og avgjort" blir likevel registrert i det alminnelige bøteregisteret. Dette er et viktig arbeidsredskap for politiet, og mange har tilgang til det. Komiteen vil med interesse følge departementets vurdering av klargjøring av grunnlaget for eventuell hjemmel for registreringen.
Komiteen ber Regjeringen om å komme tilbake med en gjennomgang av reglene for registrering av bøter som gjøres opp på stedet. Det er viktig å skille mellom bøter for alvorlige kriminelle handlinger og forseelser.
Komiteen ber Regjeringen vurdere en eventuell overføring av kontrollfunksjonen med politiets registre fra Justisdepartementet til Datatilsynet.
Komiteen merker seg den omfattende og viktige informasjon som Datatilsynet går ut med gjennom ulike kanaler for å nå et bredest mulig nedslagfelt. Det er etter komiteens mening nødvendig med økt kunnskap om personvern og sikring av data, og om de reglene som gjelder for personregistre. Dette er vesentlig for at registereiere kan etterleve personregisterloven, og at allmennheten er godt informert slik at man er i stand til å ivareta egne personvernrettigheter.
Komiteen merker seg også at de sakene Datatilsynet har hatt til behandling viser en utvikling hvor sakene blir mer komplekse og problemstillingene flere og mer sammensatte enn tidligere. Den kompetanse og kapasitet tilsynet rår over er derfor av stor verdi.
Komiteen viser til meldingen og det som står foran, og rår Stortinget til å gjøre følgende
vedtak:
St.meld. nr. 44 (1998-99) – Årsmelding for Datatilsynet 1998 - vedlegges protokollen.
Oslo, i justiskomiteen, den 9. desember 1999
Kristin Krohn Devold leder |
Finn Kristian Marthinsen ordfører |
Jan Simonsen sekretær |