1. Sammendrag
- 1.1 Innledning
- 1.2 Arbeids- og administrasjonsdepartementets merknader til Datatilsynets årsmelding for 2001
- 1.3 Arbeids- og administrasjonsdepartementets merknader til Personvernnemndas årsmelding for 2001
- 1.4 Administrasjon og ressurser
- 1.5 Datatilsynets årsmelding for 2001
- 1.6 Personvernnemndas årsmelding for 2001
Personopplysningsloven trådte i kraft 1. januar 2001. Erfaringene fra det første virkeåret har i overveiende grad vært positive. Det nye regelverket innebærer blant annet at enkeltpersoner overtar større ansvar for egne personopplysninger, og at brukere av slike opplysninger har fått et større ansvar i forbindelse med anvendelsen og vurderingen av om opplysningene er nødvendige.
Det nye regelverket innebærer en omlegging av personvernarbeidet i Norge. Datatilsynet er nå et faglig uavhengig organ, administrativt underlagt Arbeids- og administrasjonsdepartementet. En egen klagenemnd - Personvernnemnda - skal behandle klager over Datatilsynets avgjørelser.
Arbeids- og administrasjonsdepartementet vil foreta en generell vurdering av departementstilknytningen og oppgaveavgrensing for alle statlige tilsyn. Formålet med gjennomgangen er å styrke tilsyns- og kontrollfunksjonen, gi tilsynsmyndighetene økt uavhengighet, sørge for høy faglig kompetanse i tilsynsarbeidet og finne en hensiktsmessig geografisk plassering for det enkelte tilsyn. Resultatet vil bli presentert for Stortinget som egen sak i løpet av inneværende år.
Samfunnsutviklingen har ført til at det genereres stadig flere opplysninger om enkeltpersoner. Det er viktig at personvernregelverket ikke blir en hindring for å få til gode og balanserte løsninger på alle de ulike samfunnsområdene Datatilsynet opererer innenfor. Datatilsynet vil gjennom sin anvendelse av regelverket være en viktig premissleverandør i forhold til utviklingen.
Datatilsynet har en stor og viktig opplysningsoppgave. Departementet mener det er et mål å øke bevisstheten om personvern i samfunnet. Departementet mener videre at Datatilsynet har gjort en bra jobb med å være en synlig og troverdig part i offentlige debatter.
Et område som stadig flere er bevisst på, er behandling av personopplysninger i arbeidslivet. Arbeidslivslovutvalget som ble nedsatt 31. august 2001 skal vurdere endringer i arbeidsmiljøloven. Utvalget skal levere sin innstilling 1. desember 2003.
Når det gjelder helsesektoren, støtter Helsedepartementet Datatilsynets prinsipielle syn om at opprettelse av helseregistre med genetisk informasjon om store deler av den norske befolkningen, bør underlegges offentlig styring og kontroll. Helsedepartementet viser for øvrig til Ot.prp. nr. 56 (2001-2002) Om lov om biobanker.
Personopplysningsloven med forskrifter implementerer EU-direktiv 95/46 EF "Om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger", og oppfølging av EØS-forpliktelsene står derfor sentralt. EU-landene vedtok 7. desember 2000 et charter om grunnleggende rettigheter - også kalt EUs menneskerettighetserklæring. I charteret slås det blant annet fast at enhver har rett til beskyttelse av personopplysninger som angår en selv.
Departementet har også merket seg Datatilsynets omtale av personvernombud, og mener at dette er et spennende satsingsområde med stort potensial for å fremme personvernet.
Nærings- og handelsdepartementet er enig i at bransjer bør gå sammen om felles vurderinger av risikovurderinger i tilknytning til informasjonssikkerhet. Departementet mener imidlertid at Datatilsynet ikke synes å legge vekt på nødvendige avveininger mellom de ulike aspekter ved informasjonssikkerhet - tilgjengelighet, integritet og konfidensialitet. Disse kan ofte stå i motstrid til hverandre.
I kjølvannet av 11. september 2001 mener departementet at det er viktig at debatten rundt forebyggelse og oppklaring av terror holdes på et balansert nivå. Regjeringen utreder ulike tiltak for å forhindre terrorangrep. Personvern vil stå sentralt i disse utredningene.
Personvernnemndas hovedoppgave er å avgjøre klager over Datatilsynets avgjørelser. Arbeids- og administrasjonsdepartementet har tro på at Personvernnemnda gjennom sin klagesaksbehandling og aktiv publisering av vedtak vil kunne bidra til en økt bevisstgjøring av personvernspørsmål i Norge.
Overgangsperioden til ny lov er ikke over før 31. desember 2002. Det er derfor fortsatt ikke fullt ut mulig å trekke konsekvenser om virkningene av den nye loven, herunder økonomiske konsekvenser for Datatilsynet og Personvernnemnda. Tiden som har gått har imidlertid vist at forutsetningene som ble lagt til grunn om behovet for en permanent ressursøkning har slått til i stor grad.
Det er fortsatt tidlig å si noe om hvor omfattende arbeidsoppgaver Personvernnemnda vil få. For 2002 er budsjettet til Personvernnemnda trukket ut av Datatilsynets budsjett for å understreke uavhengigheten mellom disse organene.
Virksomhetsåret 2001 ble for Datatilsynet preget av gjennomføringen av ny lov med tilhørende forskrifter. Personvernarbeidet i Norge er etter ikrafttreden av personopplysningsloven ikke dramatisk forskjellig fra det som ble drevet under den "gamle" personregisterloven fra 1978. Mer og tydeligere enn tidligere lovgivning, erkjenner den nye loven den plass og rolle frivillig tilslutning til ordninger, avtaler og løsninger bør spille som supplement til lovreglene. Tidligere lov hadde et større preg av ufravikelighet.
Personvern i statlig regi i det 21. århundre er i sin kjernesubstans: Informasjon. Meldingsregistrering, konsesjonsbehandling og kontrollaktiviteter er i hovedsak agenter for informasjon.
Det omfattende samkvemmet på de fleste områder mellom EU og EØS-landene og USA, har aktualisert behovet for å kunne utveksle persondata til USA. I dag er situasjonen imidlertid den at landet verken har lovgivning eller tilsynsmyndigheter på føderalt nivå som tilfredsstiller de krav EU’s medlemsland har vedtatt å stille til seg selv.
Siste del av virksomhetsåret ble, fra et personvernsynspunkt, rimeligvis preget av de dramatiske begivenhetene på den amerikanske østkysten den 11. september. Krav om tiltak som etter sin art eller omfang vil komme til å berøre personverninteressene er blitt fremmet med vekslende styrke, realisme og evne og vilje til å veie ulike, legitime interesser, mot hverandre. Blir overvåkning akseptert som den normale hovedregel som ikke skal kvalifiseres av overvåkeren, vil vi snart ha et annet samfunnsfelleskap enn det de fleste antagelig ønsker å ha.
Det er ventet at spørsmålet om et autorisert identitetskort igjen vil bli reist også i Norge i overskuelig fremtid. Datatilsynet betrakter dette som en komplisert utfordring av tradisjonelle verdier. Men liksom innføringen av fødselsnummeret i sin tid, må fordeler og ulemper veies mot hverandre før konklusjon trekkes.
I 2001 har Datatilsynet saksbehandlet etter både personregisterloven og personopplysningsloven. Datatilsynet har valgt å automatisere mottak av meldinger for å rasjonalisere meldeplikten etter den nye loven. Datatilsynet har derfor brukt store ressurser på å etablere et elektronisk meldesystem og en veileder som tilfredsstiller kravene i personopplysningsloven.
I 2000 ble det gitt konsesjon til å opprette 2150 registre, tilsvarende tall for 1999 var 1899 konsesjoner. Reduksjonen i antall konsesjoner er i overensstemmelse med intensjonene bak personopplysningsloven. Ressursene brukes nå i større grad til tilsyn, informasjon og veiledning. Datatilsynet ga i 2001 avslag i 10 saker, og delvis avslag i 15 saker. En klagesak er oversendt til Personvernnemnda for klagebehandling og avgjørelse der. Det er opprettet et eget presedensregister.
I 2001 avga Datatilsynet 89 høringsuttalelser.
Datatilsynet har tatt initiativet til enkelte endringer i forskriften til personopplysningsloven. Det foreslås for eksempel at man får en egen forskrift om kredittopplysningsvirksomhet, og at det generelle unntaket for Datatilsynets og Personvernnemndas kontrollmyndighet i saker om rikets sikkerhet og lignende bør revurderes.
Personopplysningsloven åpner for at bransjene selv i større grad enn før kan ta hånd om personvernproblematikken og føre selvjustis med dette arbeidet.
Tilsynet har i 2001 arbeidet spesielt med spørsmålet om innføring av personvernombud i to institusjoner som håndterer store mengder med personinformasjon: Norsk Samfunnsvitenskapelig Datatjeneste og Statistisk sentralbyrå. Det skal lages klare retningslinjer for ombudsfunksjonen og tilsynet ønsker at også flere henger seg på denne ordningen.
Datatilsynet har også i 2001 deltatt i flere offentlig oppnevnte utvalg, og deltar også i stor utstrekning i internasjonalt arbeid.
Det er lagt vekt på å nå fram til behandlere, spesielt i dette året hvor personopplysningsloven har vært ny.
Datatilsynets veiledninger i informasjonssikkerhet har vært blant den informasjonen som har vært hyppigst brukt i meldingsåret.
Nytt av året er at Arbeids- og administrasjonsdepartementet har pålagt Datatilsynet å tjene inn én million kroner på egen seminarvirksomhet. Årets inntjeningskrav er innfridd.
I 2001 gjennomførte Norsk Statistikk to undersøkelser om personvern på vegne av Datatilsynet. Undersøkelsene slo fast at personopplysningsloven i 2001 ikke er godt kjent blant folk flest. Samtidig er de fleste opptatte av personvern og retten til å ha et vern. Mange frykter at personopplysninger skal misbrukes. Datatilsynet vil fortsette med slike målinger av befolkningens forhold til personvern.
Den nye personopplysningsloven legger vekt på at Datatilsynet skal flytte fokus fra forhåndsgodkjennelse i form av konsesjonsbehandling, til operativt tilsyn - etterkontroll. Datatilsynet har derfor opprettet en egen tilsyns- og sikkerhetsavdeling.
Datatilsynet har løpet av hele 2001 gjennomført 53 kontrollbesøk. Blant annet viser det seg at til tross for at mange av behandlerne som er kontrollert ikke har god nok kunnskap om personopplysningsloven, følger virksomhetene likevel lovens regler. Rundt 25 pst. av virksomhetene hadde lite eller ingen kjennskap til den nye loven.
I strategiarbeidet for operativt tilsyn har Datatilsynet foretatt en vurdering av risiko knyttet til personvern innen ulike bransjer.
Helseregisterloven trådte i kraft 1. januar 2002. Loven har allerede skapt betydelige tolkningsproblemer for Datatilsynet. Det har vist seg at Sosial- og helsedepartementet og Datatilsynet har svært ulik oppfatning av hvordan sentrale bestemmelser i helseregisterloven skal forstås, herunder hvilke helseregistre som kan opprettes etter konsesjon fra Datatilsynet og hvilke som må ha hjemmel i lov eller forskrift. Lovavdelingen i Justisdepartementet har blitt bedt om å komme med sin forståelse av bestemmelsene. På bakgrunn av den uenigheten som har oppstått, vil den videre saksbehandling av en søknad fra selskapet GeNova AS om konsesjon til forskningsprosjektet "Påvisning av sykdomsdisponerende gener i en homogen norsk befolkning", måtte vente til ovennevnte er avklart.
Biobankutvalgets forslag til biobanklov er blitt lagt ut på høring. Datatilsynet mente lovforslaget var så mangelfullt at det burde utarbeides et nytt. Utvalget ble nedsatt uten medlemmer fra Datatilsynet og den Nasjonale forskningsetiske komité for medisin. Lovforslaget stred etter Datatilsynets mening mot hovedpunkter i både personopplysningsloven og helseregisterloven.
Breisteinutvalget vurderte bruk av helseopplysninger i arbeidslivet. Datatilsynet ønsker klare regler som begrenser hvilke opplysninger arbeidsgiveren lovlig kan be om. Utvalget konkluderte med at arbeidsgivere i dag ikke kan kreve opplysninger om arbeidstakeres/-søkeres helse uten særskilt hjemmelsgrunnlag. Datatilsynet tror dette er lite kjent for mange arbeidsgivere.
Rikstrygdeverket har konsesjon til å føre et register over fastleger og deres faste pasienter. Etter at fastlegeordningen trådte i kraft 1. juni i meldingsåret, har Datatilsynet mottatt flere henvendelser fra leger og sykehus som ønsker tilgang til registeret. Datatilsynet mener at helsepersonelloven og journalforskriften hjemler utlevering av opplysninger fra fastlegeregisteret. Dette vil likevel ikke løse problemet for legevakt eller sykehus som ønsker å få oversendt opplysninger fra fastlegen i forbindelse med sykdom der pasienten av en eller annen grunn ikke kan oppgi navn på legen. Rikstrygdeverket må søke dersom Datatilsynet skal endre konsesjonen på dette punkt.
Da den nye personopplysningsloven kom i januar 2001, ble praktisk talt alle som er ansvarlige for behandling av personopplysninger konfrontert med et krav om å foreta en risikovurdering i forhold til mulige brudd på konfidensialitet, integritet og tilgjengelighet.
Det ville være gunstig om virksomheter med fellestrekk (bransjeforeninger etc.) kunne gjøre et arbeid sammen i denne forbindelse. Datatilsynet kan bidra med råd og veiledning. Personopplysningsloven legger i større grad enn personregisterloven vekt på at virksomhetene selv skal utvise et tilfredsstillende sikkerhetsnivå.
I 2001 har Datatilsynet hatt flere spørsmål og saker knyttet til personvernet på Internett til vurdering. Datatilsynet har sett på markedsføring på Internett, såkalte cookies, offentliggjøring av nyhetsgrupper, skattelister på Internett, publisering av bilder og navn på barn på nett og helsetjenester på Internett.
Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter etter personopplysningsloven. Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Arbeids- og administrasjonsdepartementet. Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.
Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene.
Personvernnemnda har syv medlemmer som oppnevnes for fire år med adgang til oppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer utnevnes av Kongen.
Det vil våren 2002 bli etablert egen hjemmeside for Personvernnemnda. Nemnda har i 2001 hatt i alt fire møter. De første møtene ble nyttet til å diskutere arbeidsform og saksbehandling, samt vurdere budsjett for 2001 og budsjettforslag for 2002.
Nemnda behandlet i 2001 sin første klagesak som gjaldt klage på unnlatelse av å gi pålegg om sletting av personopplysninger i adgangskontrollsystem. Klagen ble ikke tatt til følge. Arbeidsgiver og tidligere arbeidstaker var uenige om tolkningen av en avtale mellom partene. Tolkningen av avtalen ville være avgjørende for hvorvidt pålegg om sletting skulle gis eller ikke. En strid om tolkning av avtalen må normalt finne sin endelige løsning for en domstol, og nemnda kom etter dette til at tolkningen var uegnet for en prejudisiell avgjørelse av Personvernnemnda.