Sammendrag
- Innledning
- Arbeids- og administrasjonsdepartementets merknader til Datatilsynets årsmelding for 2000
- Datatilsynets årsmelding for 2000
Datatilsynet har vært i virksomhet siden personregisterlovens ikrafttredelse 1. januar 1980.
1. januar 2001 trådte det i kraft et nytt lovverk på området. Lov om behandling av personopplysninger (personopplysningsloven) implementerer EU-direktiv 95/46 EF, i tillegg til at den viderefører flere av prinsippene fra personregisterloven. Lovens formål er "å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger", jf. § 2.
Samtidig med lovens ikrafttredelse ble etatsansvaret for Datatilsynet overført fra Justisdepartementet til Arbeids- og administrasjonsdepartementet.
Departementet viser til at Datatilsynet i en overgangsperiode på to år må forholde seg til både personregisterloven og personopplysningsloven. I henhold til den nye personopplysningsloven skal Datatilsynet ikke lenger ledes av et styre. Klager på Datatilsynets avgjørelser skal avgjøres av den nyopprettede Personvernnemnda.
Datatilsynet har i konsesjonene for teleoperatørene pålagt dem å tilby brukere en anonym tilgang til telenettet. Samferdselsdepartementet påpeker i sin høringsuttalelse til årsmeldingen at bruk av uregistrerte kontantkort vil kunne medføre problemer i forhold til lovbestemt krav om kommunikasjonskontroll.
Datatilsynets vedtak i saken om Sentralkartoteket for åndssvake ble omgjort av Justisdepartementet som besluttet at registret skulle oppbevares hos Riksarkivet i personidentifiserbar stand. Registret ble ansett for å være av historisk verdi. Justisdepartementet presiserte imidlertid at konsesjonsvilkårene må utformes slik at de så langt mulig oppveier mulige brudd på taushetsplikten.
I Datatilsynets årsmelding påpekes det at bruk av digitale signaturer i elektronisk samhandling medfører generering av elektroniske spor. Nærings- og handelsdepartementet bemerker på sin side at digitale signaturer kan være et viktig virkemiddel for å beskytte personvernet.
Arbeids- og administrasjonsdepartementet uttaler bl.a. at Datatilsynets forberedelser med tilretteleggelse knyttet til ny lov ble gjennomført på en god måte i 2000. Loven medfører store endringer i Datatilsynets oppgaver.
De fleste klagesakene styret behandlet i 2000 gjaldt helt eller delvis avslag på søknad om konsesjon for opprettelse av personregister. Ut over klagesakene har styret behandlet saker av stor betydning eller prinsipiell interesse for personvernet, herunder høringssaker. Den viktigste høringssaken var utkastet til forskrifter til personopplysningsloven.
I meldingsåret har Datatilsynet kunnet arbeide med å tilrettelegge overgangen til ny lov. Under Justisdepartementets utarbeidelse av forskrifter til loven har Datatilsynets administrasjon aktivt vært tatt med på råd. Også den nye loven samlet bred, politisk oppslutning i Stortinget.
Av lovens forarbeider fremgår at det i fremtiden skal legges større vekt på tilsyns- og kontrollvirksomhet. Datatilsynet har tatt konsekvensen av dette, idet den tidligere sikkerhetsseksjonen er besluttet videreutviklet til en sikkerhets- og tilsynsavdeling.
Datatilsynet hadde i meldingsåret 23 faste stillingshjemler.
Tilsynet bruker flest ressurser på behandling av søknader om konsesjon for å opprette personregister eller for drift av konsesjonspliktig virksomhet. De siste årene har vært preget av at sakene er færre, men mer komplekse.
I meldingsåret ga Datatilsynet konsesjon til å opprette 2 150 registre, og det ble utstedt totalt 421 virksomhetskonsesjoner.
Tilsynet avga 105 høringsuttalelser.
Datatilsynet har gitt avslag i 54 saker i 2000, og det kom inn 23 klager. Syv saker ble omgjort av tilsynets administrasjon, en sak ble avvist og åtte ble behandlet av styret. Justisdepartementet avgjorde i løpet av meldingsåret 10 saker. Fire vedtak ble omgjort.
Stortinget vedtok våren 1997 å be Regjeringen om en vurdering av forsikringsselskapenes bruk av helseopplysninger. Det ble høsten 1998 satt ned et utvalg for å vurdere forsikringsselskapenes praksis med innsamling og bruk av helseopplysninger ved tegning av forsikringsavtaler, og praksis ved bruk av leger ved søksmål om erstatning for personskade. Utvalget fikk navnet "legeforsikringsutvalget".
Innstillingen, NOU 2000:23, ble levert den 4. juli 2000. Datatilsynets representant i utvalget dissenterte på viktige punkter i rapporten, men har sluttet seg til de forslagene som i det minste prøver å bedre de registrertes rettsstilling et stykke på vei. Fra tilsynets side ville man ønsket en klarere og strengere regulering av hvilke opplysninger selskapene bør kunne spørre om og hente inn, og hvilke rutiner som bør gjelde ved innsamlingen.
Datatilsynet arbeidet gjennom hele meldingsåret med nye konsesjoner for teleoperatørene. Et viktig punkt i konsesjonen er at det er satt en maksimumsfrist for sletting av opplysninger på tre måneder fra registreringstidspunktet.
Økokrim ønsker at operatørene skal være pliktige til å oppbevare opplysninger om kunder som logger seg på Internett i ett år. Datatilsynet har tatt til motmæle, og har anført at en slik oppbevaring sprenger grenser i personvernretten.
Arbeidet med en godkjennelse av informasjonssikkerhet samt en revisjon av Rikstrygdeverkets konsesjoner ble sluttført høsten 2000. Konsesjonene ble gitt under forutsetning av at Rikstrygdeverket utvikler informasjonssikkerheten videre, i samsvar med en avtalt tidsplan.
Rikstrygdeverket fikk sommeren 2000 konsesjon til å opprette personregister for utbetaling av trygd og andre ytelser. Ifølge Rikstrygdeverket løste konsesjonen ikke etatens behov for tilgang til kontonummer for nye brukere. Rikstrygdeverket ønsket derfor å innhente opplysninger om kontonummer for alle skatteytere i Norge, dvs. også personer som ikke mottar trygd, fra Skattedirektoratet.
Datatilsynet var negativt innstilt til at kopi av skatteetatens register skulle overføres til Rikstrygdeverket for dette formålet. Justisdepartementet var av samme oppfatning som Datatilsynet, og opprettholdt vedtaket.
Datatilsynet anmeldte i oktober 2000 lederen av Kreftregisteret, som registeransvarlig for Norsk polyposeregister, for brudd på konsesjonsvilkår. Bakgrunnen var en henvendelse fra en pasient som påpekte en rekke forhold vedrørende behandlingen av personopplysninger i registeret som ikke syntes å være i overensstemmelse med grunnleggende vilkår satt i konsesjonen.
Datatilsynet ba Norsk polyposeregister om en redegjørelse i sakens anledning. Sakens dokumenter ga inntrykk av at det over lengre tid hadde foregått brudd på konsesjonsvilkårene, og Datatilsynets styre besluttet å oversende saken til påtalemyndighetene for behandling av de strafferettslige aspekter.
Datatilsynets styre ble i februar 2000 forelagt spørsmålet om avlevering av Sentralkartoteket for åndssvake (sentralkartoteket) fra Statens helsetilsyn til Riksarkivet for videre oppbevaring.
Datatilsynet mente det representerte en belastning for de registrerte og deres familier å vite at det forelå slike opplysninger i et sentralt register. Tilsynet fattet derfor et vedtak som tillot avlevering til Riksarkivet, under forutsetning av at materialet ble anonymisert etter tre år. I denne perioden kunne materialet stilles til rådighet for de registrerte for innsyn, og for enkelte konkrete forskningsprosjekter.
Justisdepartementet opphevet i oktober 2000 Datatilsynets vedtak, og besluttet at sentralkartoteket skulle oppbevares hos Riksarkivet i personidentifiserbar stand.
Datatilsynet har deltatt i en arbeidsgruppe som har utredet en felles plattform for offentlige servicekontorer. Datatilsynet har hatt innvendinger bl.a. knyttet til generalisters håndtering av sensitive opplysninger, til rekkevidden av taushetsplikten og til habilitetsregler. Tilsynets representanter mente personopplysningsloven legger begrensninger på hvilke oppgaver som kan legges ut til offentlige servicekontorer. Synspunktene fremgår i form av en særmerknad til arbeidsgruppens rapport "Ett sted, ett telefonnummer".
Datatilsynet mottar et økende antall henvendelser fra arbeidstakere som føler seg overvåket på arbeidsplassen, for eksempel ved at arbeidsgiver har tilgang til databaserte dokumenter. Tilsynet har også fått henvendelser fra arbeidsgivere som ønsker utstrakt registrering av opplysninger om ansattes helse. Datatilsynet er skeptisk til dette, og mener slike opplysninger bør forbeholdes helsearbeidere, for eksempel bedriftshelsetjenesten, og ellers begrenses til opplysninger som er nødvendige for å tilrettelegge arbeidssituasjonen.
Datatilsynet har merket et økt antall henvendelser fra publikum om videoovervåking på offentlig sted, og på arbeidsplasser. Også skoler vurderer å ta i bruk videoovervåking for å hindre kriminalitet. Datatilsynet mener dette er uheldig, og at barnas kriminelle handlinger bør møtes på andre måter.
Lov om helseregistre og behandling av helseopplysninger, jf. Ot.prp. nr. 5 (1999-2000) bruker i stor grad personopplysningsloven som mal når det gjelder krav til den behandlingsansvarlige og rettigheter for den registrerte. Dette ser Datatilsynet som positivt.
I 2000 foretok Datatilsynet 19 kontrollbesøk rundt i landet. Det ble foretatt kontroller ved fire bokklubber i Oslodistriktet, fem advokatkontorer i Oslo, Hamar og Kristiansand, samt fem politikamre og lensmannskontor og to domstoler i samme områder. I tillegg ble det gjennomført tre kontroller som hadde informasjonssikkerhet i edb-systemene som hovedtema.
Kontrollene på politikamrene avdekket at telefaks i relativt stor utstrekning ble brukt ved oversendelse av dokumenter som inneholdt sensitive opplysninger, uten bruk av spesielle sikringstiltak. Dette er en praksis Datatilsynet finner uheldig.
Generelt kunne Datatilsynet konkludere med at kontrollene i hovedsak ikke avdekket noen store avvik fra de reglene som fremgår av personregisterloven.
Det ble i 2000 utarbeidet en egen veiledning for mindre virksomheter som skal tilfredsstille Datatilsynets sikkerhetskrav.
I løpet av 2000 er det avholdt en lang rekke møter med behandlingsansvarlige og leverandører som ønsker veiledning og drøftinger omkring elektronisk behandling av personopplysninger. Mange ønsker å benytte eksterne leverandører for så vel rene driftsoppgaver på eget utstyr, som mer komplette løsninger, såkalte Application Service Providers (ASP). Dette har vært særlig aktuelt for mindre virksomheter innen helsesektoren.
Aktiviteten har gradvis økt i omfang siden retningslinjene om informasjonssikkerhet ble innført i 1998. I 2000 har flere hundre virksomheter vært i dialog med Datatilsynet i arbeidet med beskrivelse av informasjonssikkerheten.
Det har vært gjennomført sikkerhetskontroller ved et større sykehus, to kommuner og et advokatkontor. Kontrollene medførte merknader om forhold det var behov for å korrigere.
Sikkerhetsseksjonen i Datatilsynet har bidratt aktivt i arbeidet med å etablere sertifiseringsordninger for sikkerhetsutstyr og -organisasjoner.
Datatilsynets prioriterte informasjonskanaler er mediekontakt, webtjenesten, tidsskriftet SPOR, pressemøter, seminarer og foredrag.
Datatilsynets web-tjeneste har en sentral funksjon i informasjonsarbeidet knyttet til innføring av ny lov.
Personopplysningsloven trådte i kraft 1. januar 2001, og medfører store endringer i Datatilsynets oppgaver. Behandlere av personopplysninger får plikt til å melde fra til Datatilsynet om de registre og personopplysninger vedkommende behandler.
Loven krever en betydelig innsats når det gjelder å informere befolkningen om hvilke rettigheter og plikter loven medfører. Datatilsynet har hatt bistand fra Statens informasjonstjeneste og Justisdepartementet for å legge strategier for dette arbeidet. Når det gjelder å informere dem som har plikter i den nye loven, er det satset mye på utlegging av informasjon på web.
Datatilsynet er representert i en rekke råd og utvalg, for eksempel "Utvalg for utredning av bruk av biologiske prøver i arbeidslivet", "Det nasjonale SIS-prosjektet" (Schengen informasjonssystem), "Utvalg for utredning av bruk av digital signatur i offentlig forvaltning" og "KRIPOS - bistand i prosjektarbeid". Datatilsynet deltar også i stor utstrekning i internasjonalt arbeid på personvernområdet.