1. Sammendrag
- 1.1 Innledning
- 1.2 Arbeids- og administrasjonsdepartementets merknader til Datatilsynets årsmelding for 2002
- 1.3 Arbeids- og administrasjonsdepartementets merknader til Personvernnemndas årsmelding for 2002
- 1.4 Administrasjon og ressurser
- 1.5 Datatilsynets årsmelding for 2002
- 1.6 Utvalgte temaer
- 1.7 Personvernnemndas årsmelding for 2002
Situasjoner der personvern sto sentralt i 2002, var blant annet ved forslag til nye måter å etterforske straffbare forhold, bruk av helseopplysninger til forskning, ved økt overvåking i arbeidslivet og generelt ved forslag til en mer effektiv offentlig forvaltning. Fra enkelte hold er det hevdet at personvern fungerer som en bremsekloss i forhold til nye, gode og rasjonelle ideer. Det er imidlertid viktig at personvernspørsmål tidlig kommer med i vurderingen av nye tiltak slik at det blir en reell vurdering av dette hensynet. Personvernaspektet må være en naturlig og integrert del i utviklingen av forvaltningen - det vil da bli enklere å gjennomføre forslag på en måte som harmonerer med god personverntankegang. Målet er at det skal være like naturlig å tenke personvern som kostnader når saker utredes.
Det fremgår videre av meldingen at uansett hvor godt utredet personvernspørsmål er i forbindelse med nye tiltak, vil det være behov for en sentral instans som overvåker og informerer om personvern - på bakgrunn av bl.a. samfunnsutviklingen generelt, den teknologiske utviklingen spesielt, internasjonale trender og vedtatte lover. Datatilsynet er dermed ikke bare en forvalter av eksisterende regelverk, men en premissgiver i forhold til utviklingen av det.
Datatilsynets hovedoppgave er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Fra 1. januar 2002 har Datatilsynet i tillegg til å være tilsynsmyndighet i forhold til personopplysningsloven også vært tilsynsmyndighet i forhold til helseregisterloven - sammen med Statens helsetilsyn og Fylkeslegen.
Datatilsynet bruker mange virkemidler for å ivareta et bedre personvern. Etter Arbeids- og administrasjonsdepartementets syn har Datatilsynet funnet fram til en rasjonell og effektiv arbeidsmetode. Når det gjelde den operative virksomheten var det i 2002 særlig fokusert på helsesektoren, ideelle/frivillige organisasjoner, bank/finans/forsikring og kameraovervåking.
Resultatene tyder på at mange virksomheter ikke er bevisst sitt lovpålagte ansvar i forhold til blant annet utarbeiding av sikkerhetsmål og -strategi for sikring av personopplysninger. Arbeids- og administrasjonsdepartementet understreker betydningen av at alle virksomheter - både i offentlig og privat sektor - setter seg inn i egne plikter etter personopplysningsloven og helseregisterloven.
Departementet understreker at personhensyn blir vektlagt allerede tidlig i prosessen vedrørende nytt regelverk. En understreker også betydningen av at alle som arbeider med utredninger som har en personvernside gjør Datatilsynet til direkte høringsinstans.
Bekjempelse av trygdemisbruk, spesielt organisert misbruk, er vesentlig for å bevare disse velferdsordningenes legitimitet. Opplysninger fra Økokrim eller andre deler av politiet vil kunne være innledningen til en avsløring av misbruk av et betydelig omfang, samtidig som personvernhensyn taler for at slike opplysninger ikke gis videre til trygdeetaten. Det er nødvendig å veie disse viktige samfunnshensynene mot hverandre.
Personvernnemnda skal avgjøre klager over Datatilsynets avgjørelser, og enkeltsaker blir på den måten unntatt fra departementets instruksjonsmyndighet. I 2002 behandlet nemnda åtte klager.
Selv om personopplysningsloven trådte i kraft 1. januar 2001 og helseregisterloven trådte i kraft 1. januar 2002, har ikke arbeidsmengden stabilisert seg - verken for Datatilsynet eller for Personvernnemnda. Dette skyldes i hovedsak overgangsordningene i lovene. Både Datatilsynet og Personvernnemnda melder om stor aktivitet.
Datatilsynet har siden opprettelsen i 1980 hatt til oppgave å beskytte den enkelte mot at personverninteressene krenkes gjennom behandling av personopplysninger. Det juridiske grunnlaget for Datatilsynets virksomhet er regulert i lov om behandling av personopplysninger av 14. april 2000 (personopplysningsloven) og lov om helseregistre og behandling av helseopplysninger (helseregisterloven) av 18. mai 2001.
Datatilsynet er et uavhengig forvaltningsorgan, administrativt underordnet Kongen og Arbeids- og administrasjonsdepartementet. Som klageinstans i forhold til Datatilsynets vedtak er det opprettet en Personvernnemnd.
Det ble i 2002 særlig fokusert på fire områder: helsesektoren, ideelle og frivillige organisasjoner, herunder markedsføring, bank, finans og forsikring og kameraovervåking.
Disse fokusområdene er valgt ut etter en vurdering av personverntruslene, blant annet mengde og type personopplysninger som behandles i sektoren. Også henvendelser fra publikum og aktører innen bransjen, og saker som har vært tatt opp via mediene, har påvirket prioriteringene.
Også 2002 har vært preget av en stor saksmengde. I løpet av året er det gitt 309 konsesjoner etter personopplysningsloven og 128 etter helseregisterloven. Til sammenlikning ble det i 2001 gitt 163 konsesjoner etter personopplysningsloven.
Siden 2001 har Datatilsynet arbeidet med å legge til rette for en frivillig ordning med opprettelse av personvernombud. 2002 var imidlertid året da ordningen fikk sin første konkrete oppstart. Seks virksomheter har opprettet personvernombud.
Datatilsynet har i 2002 avgitt 67 høringsuttalelser, mot 89 året før. I urovekkende mange av høringssakene opplever Datatilsynet at personvernet i liten eller ingen grad er drøftet og vurdert opp mot de andre gode formål som forslaget er ment å fremme. Dette fører til at vurderinger mht. personvern kommer for sent inn i prosessen. Dette innebærer igjen en uforholdsmessig stor ressursbruk, både for utredningsansvarlig og Datatilsynet.
I flere offentlige utredninger og lovforslag er Datatilsynet ikke ført opp som selvstendig høringsinstans. Dette kan være i direkte strid med artikkel 28 i personverndirektivet.
Høringssakene har vært særlig omfattende og komplekse innen helsesektoren. Noen av de mest sentrale høringssakene kommenteres nærmere i temadelen.
Datatilsynet har i 2002 deltatt i flere offentlige råd og utvalg og deltar også i stor utstrekning i internasjonalt arbeid.
Datatilsynets informasjonsvirksomhet fokuserer særlig mot to målgrupper: Behandlere av personopplysninger og publikum. For å nå fram til disse to målgruppene på en mest mulig kostnadseffektiv måte, er Datatilsynets egen hjemmeside og mediene to helt sentrale informasjonskanaler.
Datatilsynet er opptatt av å være synlige i samfunnsdebatten og praktiserer derfor utstrakt grad av meroffentlighet.
Personvernnemnda er klageinstans for klager over Datatilsynets avgjørelser i forhold til både personopplysningsloven og helseregisterloven. Arbeids- og administrasjonsdepartementet er på sin side klageinstans for klager som var kommet inn før ikrafttredelse av personopplysningsloven, og klager over Datatilsynets mer administrative saksbehandling.
Meldingen redegjør nærmere for klagesakene. Personalnemnda kom til samme standpunkt som Datatilsynet i nesten samtlige saker. I én sak ble klagen tatt til følge.
Den operative tilsynsvirksomheten har tatt utgangspunkt i Datatilsynets overordnede strategier og prioriteringer for meldingsåret. Det ble derfor gjennomført tilsyn innen avgrensede fokusområder, fremfor å gå i bredden.
Det ble i tilsynsvirksomheten satt særlig fokus på helsesektoren, ideelle/frivillige organisasjoners markedsføring og kameraovervåking.
Erfaringene fra årets tilsyn indikerer at virksomhetene i stor grad bryter de samme bestemmelsene i regelverket. Sannsynligheten for brudd henger ifølge Datatilsynet naturlig nok sammen med hvor arbeids- og kostnadskrevende det er å oppfylle en konkret plikt. Ett unntak er imidlertid meldeplikten, som i skuffende liten grad etterleves, selv om det i seg selv er lite ressurskrevende å sende inn slike meldinger.
Datatilsynet mener det er grunn til å uttrykke bekymring når det gjelder helsesektoren. Det var her det ble funnet flest og mest alvorlige brudd på regelverket. Dette er særlig betenkelig tatt i betraktning at det i helsesektoren behandles opplysninger som de fleste av oss regner som svært sensitive.
Datatilsynet sitter igjen med det inntrykk at pasientrettigheter, herunder retten til vern om sin sykdomshistorie og tilhørende behandling, er gjenstand for stor respekt blant utøvende helsepersonell. Problemene oppstår imidlertid når informasjonssystemene innrettes på en slik måte at den som er ansvarlig for behandling av personopplysninger ikke har reell kontroll. Det ble avdekket en for liberal praksis når det gjelder tilgangen til pasientjournaler.
Som en følge av de funnene som er gjort vil Datatilsynet også i 2003 ha et fortsatt sterkt fokus på helsesektoren.
Det er Datatilsynets inntrykk at inkassobransjen er opptatt av ryddighet i forhold til personopplysningsloven. Tilsynet har lenge hatt et godt samarbeid med bransjen, både bransjeforening og enkeltselskaper.
Datatilsynet vil følge utviklingen nøye i tiden framover, for å sikre at debitors personvern blir ivaretatt på en forsvarlig måte.
Datatilsynet ønsket gjennom fire tilsyn å kartlegge hvordan man i politidistriktene behandler personopplysninger ved bruk av dette systemet.
Datatilsynet konstaterer at politiets bruk av SIS synes å være i samsvar med regelverket. Datatilsynet er så langt også tilfreds med administrasjon og overordnede rutiner for håndtering av systemet. Datatilsynet vil imidlertid foreta en noe mer grundig gjennomgang av informasjonssikkerheten i systemet.
Individets krav på personvern er ikke absolutt. Det vil kunne stå i et motsetningsforhold til for eksempel etterforskning av straffbare forhold.
Personverninteressene utfordres når samfunnet introduserer nye virkemidler for å bekjempe terror og annen kriminalitet.
I meldingsåret er det initiert en rekke lovforslag hvor hovedhensikten er kriminalitetsbekjempelse. Forslagene reiser grunnleggende personvernspørsmål. I høringsuttalelsene til samtlige av disse forslagene har Datatilsynet etterlyst en beskrivelse av trusselbildet som i større grad legitimerer de virkemidlene som foreslås tatt i bruk. En forutsetning må iflg. Datatilsynet hele tiden være at det er et balansert forhold mellom tiltakene som iverksettes og det trusselbildet samfunnet til enhver tid er utsatt for. Også i forbindelse med Justisdepartementets forslag til endringer i straffeloven og straffeprosessloven (lovtiltak mot terrorisme), etterlyste Datatilsynet en mer konkret beskrivelse av de trusler som skulle begrunne og legitimere de foreslåtte lovendringene.
Kommunaldepartementet har i meldingsåret tatt opp tre forslag til endringer i utlendingsloven som har påkalt Datatilsynets oppmerksomhet. Blant annet gjaldt det forslag om å gjøre bruk av utlendingers registrerte fingeravtrykk til etterforskning. Tilsynet stiller seg kritisk til at et register som er opprettet for et spesifikt formål (identifisering) skal brukes til et helt annet formål (etterforskning).
Samlet sett reiser forslagene ifølge Datatilsynet helt grunnleggende spørsmål om hvorvidt man i Norge skal akseptere at det innføres et todelt rettssystem - ett for nordmenn og ett for utlendinger. Disse problemstillingene bør vurderes nærmere av utvalget som er i gang med å utrede en ny lovgivning på utlendingsområdet.
Finansdepartementet har på bakgrunn av rapport fra en arbeidsgruppe foreslått en ny lov om forebyggende tiltak mot hvitvasking av utbytte og finansiering av terrorisme.
Etter Datatilsynets vurdering er arbeidsgruppens rapport mangelfull, idet verken kontrollbehovet eller sentrale personvernhensyn er drøftet og veid mot hverandre. Det savnes også en nærmere redegjørelse for hvilke trusler som gjør nye tiltak nødvendig. Datatilsynet mener derfor at det ikke foreligger et tilstrekkelig grunnlag for iverksettelse av de foreslåtte tiltakene.
Forslaget innebærer at Økokrim skal kunne gi opplysninger fra bankenes hvitvaskingsmeldinger videre til Trygdeetaten. Dette vil ofte være opplysninger som, fra Økokrims side, er å regne som overskuddsinformasjon. Datatilsynet er sterkt kritisk til slik annenhånds bruk av opplysningene.
Opplysninger om egen helsetilstand og sosiale forhold er regnet blant de aller mest private og sensitive opplysningene i vårt samfunn, og står på mange måter i en særstilling i forhold til andre personopplysninger. Datatilsynet vil derfor alltid ha et særlig fokus på hvordan ulike virksomheter og institusjoner innen helse- og sosialsektoren behandler de personopplysningene de forvalter. Dette har også vært tilfellet i 2002. Fra meldingen vises til følgende saker:
– Store mangler hos blodbankene
Alle landets blodbanker fikk våren 2002 tilsendt et spørreskjema fra Datatilsynet. Hensikten var å kartlegge blodbankenes rutiner for behandling av person- og helseopplysninger knyttet til biologisk materiale.
Det innkomne materialet gir inntrykk av at de ansvarlige for de aller fleste blodbankene ikke hadde satt seg tilstrekkelig inn i reglene for behandling av helseopplysninger. Blodgiverregistrene inneholder opplysninger om sykdom og seksuelle forhold. De er dermed konsesjonspliktige etter helseregisterloven. Kun et fåtall av blodbankene hadde slik konsesjon.
Datatilsynet er ellers betenkt over at det er konstatert så omfattende svakheter og mangler hos landets blodbanker.
– Helsenett
Det er et uttalt mål fra myndighetenes side at helsepersonell i hele Norge skal kunne kommunisere elektronisk seg imellom og med pasientene. Helsenettet skal etter planen realiseres innen utgangen av 2003. Datatilsynet understreker viktigheten av at helsepersonell ikke gis tilgang til helseopplysninger de ikke har behov for til sin behandling av pasienten. Fra Datatilsynets side er det viktig at enhver utlevering av helseopplysninger er basert på en konkret vurdering, foretatt av det helseforetaket som har ansvar for helseopplysningene. Dette er i tråd med de krav helseregisterloven fastsetter.
– Oppsøkende genetisk virksomhet
I forbindelse med evaluering av bioteknologiloven og forslag til en ny forskrift, uttalte Datatilsynet seg om adgangen til oppsøkende genetisk virksomhet.
Når det er dokumentert at en pasient er disponert for eller har en arvelig sykdom, kan pasienten selv bestemme om han eller hun vil informere berørte slektninger om dette. Imidlertid kan legen, mot pasientens vilje og under bestemte vilkår, på egen hånd informere slektningene om mulige sykdomsdisposisjoner. I sin høringsuttalelse uttrykte Datatilsynet at leger ikke under noen omstendighet bør kunne informere pasientens slektninger om arvelige disposisjoner mot dennes vilje. Etter Datatilsynets vurdering strider slik oppsøkende genetisk virksomhet mot viktige prinsipper om frivillighet og selvbestemmelse. Retten til ikke å vite står sentralt, blant annet med henvisning til FNs menneskerettighetskonvensjons bestemmelse om privatlivets fred.
Datatilsynet tar også opp spørsmålet om eventuell erstatning hvis opplysninger om arvelig sykdom ikke gis. Dersom de ikke blir kontaktet og blir syke, vil spørsmålet om erstatning fort bli reist. Dersom bioteknologiloven skulle gi adgang til oppsøkende genetisk virksomhet bør det i så fall utredes, og komme klart til uttrykk, i hvilken grad unnlatelse av å foreta oppsøkende genetisk virksomhet kan føre til erstatningsplikt.
I dag finnes knapt en bedrift som ikke har tatt mer eller mindre avansert datateknologi i bruk. Kommunikasjon pr. e-post er en selvfølgelig del av hverdagen for mange arbeidstakere, både til jobb og privat. Bruk av elektroniske adgangskontrollsystemer, logging av trafikken på telefon og Internett, samt kameraovervåking er utbredt. Teknologien har gjort mange arbeidsprosesser lettere og mer effektive. En konsekvens av dette er imidlertid at arbeidsgivers potensiale for overvåking øker. Ved å undersøke datalogger, videoopptak og spesifiserte telefonregninger, kan arbeidsgiver raskt skaffe seg et bilde av hvordan den enkelte ansatte disponerer tiden sin, vedkommendes preferanser og adferdsmønstre. Datatilsynet merker denne tendensen i form av et økt antall henvendelser fra ansatte som føler at deres personvern blir krenket. Henvendelsene har grunnlag i alt fra mistanke om at arbeidsgiver beveger seg på kanten av personopplysningsloven, til konkrete eksempler på grove brudd. En god del av henvendelsene kommer fra ansatte i selskaper med hovedsete i andre land enn Norge.
Det er både i arbeidsgivers og arbeidstakers interesse at overvåkingen holdes på et lovlig og akseptabelt nivå. I alle tilfeller har de ansatte krav på informasjon om hvilke kontrolltiltak de utsettes for.
Den 1. januar 2001 ble det opprettet et sentralt reservasjonsregister mot direkte markedsføring. I dette registeret kan privatpersoner reservere seg mot direkte markedsføring pr. brev og telefon.
Også i 2002 har Datatilsynet møtt stor pågang fra personer som mener deres reservasjon mot direkte markedsføring ikke blir respektert. De ideelle organisasjonene går igjen i klagene, med teleoperatørene hakk i hæl.
Datatilsynet tar opp flere saksforhold her, bl.a. om database over betalingsmislighold. EU har foreslått et direktiv for forbrukerkreditt. Direktivet legger opp til at det enkelte medlemsland skal ha en sentral database med oversikt over samtlige forbrukeres betalingsmislighold. Det skal ikke ytes kreditt før man har sjekket kredittsøkeren opp mot denne databasen. I sin høringsuttalelse uttrykte Datatilsynet sterk skepsis i forhold til opprettelsen av en slik sentral database. Denne vil kunne utgjøre en stor personverntrussel, særlig med tanke på det store misbrukspotensialet. Det kan også lett oppstå feil som forringer opplysningskvaliteten.
Det fremmes i økende grad ønsker om å kunne publisere opplysninger fra offentlige registre på Internett, som regel ut fra kommersielle interesser. Datatilsynet er prinsipielt imot at opplysninger om personer som i henhold til lov er underlagt registreringsplikt, benyttes til andre og kommersielle formål.
Ved siden av den årlige debatten omkring publisering av skattelister på Internett, er det to saker fra meldingsåret som illustrerer denne problemstillingen.
Det gjelder bl.a. forslag til ny GAB-forskrift (grunneiendommer, adresser og bygninger). Forslaget innebærer at opplysninger fra GAB-registeret skal kunne brukes til direkte markedsføring. Etter Datatilsynets vurdering er opplysningene i registeret av en slik karakter at disse ikke kan benyttes som grunnlag for markedsføring, uten at den registrerte har gitt sitt aktive samtykke til det.
Noen helt sentrale prinsipper i personvernet må ifølge Datatilsynet være styrende når det fremmes ønsker om å gjøre kommersiell bruk av opplysninger fra offentlige registre, eller gjøre disse tilgjengelige på Internett:
Personopplysninger skal bare benyttes til uttrykkelig angitte formål, som er saklig begrunnet i den behandlingsansvarliges virksomhet. Den enkelte skal i størst mulig grad kunne ha oversikt over opplysninger om seg selv. At opplysninger er offentlige er ikke det samme som at disse også skal gjøres elektronisk søkbare på Internett. Det er en kvalitativ forskjell i hva som ligger i begrepet "offentlig" når opplysningene skal være tilgjengelig på Internett, sammenlignet med dokumentinnsyn på offentlige kontorer.
Kommersialisering og internettpublisering av opplysninger fra offentlige registre som er underlagt registreringsplikt, må etter tilsynets vurdering forutsette en klar hjemmel i lov.
Dette er Personvernnemndas (PVNs) andre årsmelding. I løpet av året er det kommet åtte klager, hvorav seks er ferdigbehandlet. Erfaringsgrunnlaget er derfor ennå spinkelt. Klagesakene er svært forskjellige, selv om man kan merke seg at tre av årets saker angår videoovervåking i forbindelse med minibankautomat, fasiliteter i et hotell og ekspedisjon ved kasse. Likevel er det ingen grunn til å anta at denne typen saker vil dominere i fremtiden. PVN har også merket seg at individuelle klagere knytter sterke interesser til sine saker - selv om de ikke fremstår som rettslig prinsipielle, har det derfor stor betydning for den enkelte at klagesakene behandles grundig og gis en begrunnelse som klager kan forholde seg til.
Av de seks sakene som er ferdigbehandlet i 2002, er Datatilsynets vedtak omgjort helt eller delvis i en av sakene. Blant klagesakene vil det naturlig nok være en forholdsvis stor andel som det knytter seg tvil til tolkningen av bestemmelsene i personvernlovgivningen. PVN søker å ha for øyet at de konkrete vedtakene også skal bidra til en avklaring av gjeldende rett.
PVN skal behandle klager på vedtak som Datatilsynet fatter etter personopplysningsloven og helseregisterloven.
Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Arbeids- og administrasjonsdepartementet.
Selv om Arbeids- og administrasjonsdepartementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.
Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene.
Personvernnemnda har syv medlemmer som oppnevnes for fire år med adgang til oppnevning for ytterligere fire år. Første gangs oppnevning skjedde i 2001. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer utnevnes av Kongen.
PVN har i 2002 hatt i alt seks møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold som arbeidsform og saksbehandling, samt vurdering av budsjett for 2002 og budsjettforslag for 2003 har blitt behandlet i møtene.