Innstilling fra familie-, kultur- og administrasjonskomiteen om Datatilsynets og Personvernnemndas årsmeldinger for 2002
Dette dokument
- Innst. S. nr. 17 (2003-2004)
- Kildedok: St.meld. nr. 34 (2002-2003)
- Dato: 23.10.2003
- Utgiver: Familie-, kultur- og administrasjonskomiteen
- Sidetall: 6
Tilhører sak
Alt om
Innhold
- 1. Sammendrag
- 1.1 Innledning
- 1.2 Arbeids- og administrasjonsdepartementets merknader til Datatilsynets årsmelding for 2002
- 1.3 Arbeids- og administrasjonsdepartementets merknader til Personvernnemndas årsmelding for 2002
- 1.4 Administrasjon og ressurser
- 1.5 Datatilsynets årsmelding for 2002
- 1.6 Utvalgte temaer
- 1.7 Personvernnemndas årsmelding for 2002
- 2. Komiteens merknader
- 3. Forslag fra mindretall
- 4. Komiteens tilråding
Til Stortinget
Situasjoner der personvern sto sentralt i 2002, var blant annet ved forslag til nye måter å etterforske straffbare forhold, bruk av helseopplysninger til forskning, ved økt overvåking i arbeidslivet og generelt ved forslag til en mer effektiv offentlig forvaltning. Fra enkelte hold er det hevdet at personvern fungerer som en bremsekloss i forhold til nye, gode og rasjonelle ideer. Det er imidlertid viktig at personvernspørsmål tidlig kommer med i vurderingen av nye tiltak slik at det blir en reell vurdering av dette hensynet. Personvernaspektet må være en naturlig og integrert del i utviklingen av forvaltningen - det vil da bli enklere å gjennomføre forslag på en måte som harmonerer med god personverntankegang. Målet er at det skal være like naturlig å tenke personvern som kostnader når saker utredes.
Det fremgår videre av meldingen at uansett hvor godt utredet personvernspørsmål er i forbindelse med nye tiltak, vil det være behov for en sentral instans som overvåker og informerer om personvern - på bakgrunn av bl.a. samfunnsutviklingen generelt, den teknologiske utviklingen spesielt, internasjonale trender og vedtatte lover. Datatilsynet er dermed ikke bare en forvalter av eksisterende regelverk, men en premissgiver i forhold til utviklingen av det.
Datatilsynets hovedoppgave er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Fra 1. januar 2002 har Datatilsynet i tillegg til å være tilsynsmyndighet i forhold til personopplysningsloven også vært tilsynsmyndighet i forhold til helseregisterloven - sammen med Statens helsetilsyn og Fylkeslegen.
Datatilsynet bruker mange virkemidler for å ivareta et bedre personvern. Etter Arbeids- og administrasjonsdepartementets syn har Datatilsynet funnet fram til en rasjonell og effektiv arbeidsmetode. Når det gjelde den operative virksomheten var det i 2002 særlig fokusert på helsesektoren, ideelle/frivillige organisasjoner, bank/finans/forsikring og kameraovervåking.
Resultatene tyder på at mange virksomheter ikke er bevisst sitt lovpålagte ansvar i forhold til blant annet utarbeiding av sikkerhetsmål og -strategi for sikring av personopplysninger. Arbeids- og administrasjonsdepartementet understreker betydningen av at alle virksomheter - både i offentlig og privat sektor - setter seg inn i egne plikter etter personopplysningsloven og helseregisterloven.
Departementet understreker at personhensyn blir vektlagt allerede tidlig i prosessen vedrørende nytt regelverk. En understreker også betydningen av at alle som arbeider med utredninger som har en personvernside gjør Datatilsynet til direkte høringsinstans.
Bekjempelse av trygdemisbruk, spesielt organisert misbruk, er vesentlig for å bevare disse velferdsordningenes legitimitet. Opplysninger fra Økokrim eller andre deler av politiet vil kunne være innledningen til en avsløring av misbruk av et betydelig omfang, samtidig som personvernhensyn taler for at slike opplysninger ikke gis videre til trygdeetaten. Det er nødvendig å veie disse viktige samfunnshensynene mot hverandre.
Personvernnemnda skal avgjøre klager over Datatilsynets avgjørelser, og enkeltsaker blir på den måten unntatt fra departementets instruksjonsmyndighet. I 2002 behandlet nemnda åtte klager.
Selv om personopplysningsloven trådte i kraft 1. januar 2001 og helseregisterloven trådte i kraft 1. januar 2002, har ikke arbeidsmengden stabilisert seg - verken for Datatilsynet eller for Personvernnemnda. Dette skyldes i hovedsak overgangsordningene i lovene. Både Datatilsynet og Personvernnemnda melder om stor aktivitet.
Datatilsynet har siden opprettelsen i 1980 hatt til oppgave å beskytte den enkelte mot at personverninteressene krenkes gjennom behandling av personopplysninger. Det juridiske grunnlaget for Datatilsynets virksomhet er regulert i lov om behandling av personopplysninger av 14. april 2000 (personopplysningsloven) og lov om helseregistre og behandling av helseopplysninger (helseregisterloven) av 18. mai 2001.
Datatilsynet er et uavhengig forvaltningsorgan, administrativt underordnet Kongen og Arbeids- og administrasjonsdepartementet. Som klageinstans i forhold til Datatilsynets vedtak er det opprettet en Personvernnemnd.
Det ble i 2002 særlig fokusert på fire områder: helsesektoren, ideelle og frivillige organisasjoner, herunder markedsføring, bank, finans og forsikring og kameraovervåking.
Disse fokusområdene er valgt ut etter en vurdering av personverntruslene, blant annet mengde og type personopplysninger som behandles i sektoren. Også henvendelser fra publikum og aktører innen bransjen, og saker som har vært tatt opp via mediene, har påvirket prioriteringene.
Også 2002 har vært preget av en stor saksmengde. I løpet av året er det gitt 309 konsesjoner etter personopplysningsloven og 128 etter helseregisterloven. Til sammenlikning ble det i 2001 gitt 163 konsesjoner etter personopplysningsloven.
Siden 2001 har Datatilsynet arbeidet med å legge til rette for en frivillig ordning med opprettelse av personvernombud. 2002 var imidlertid året da ordningen fikk sin første konkrete oppstart. Seks virksomheter har opprettet personvernombud.
Datatilsynet har i 2002 avgitt 67 høringsuttalelser, mot 89 året før. I urovekkende mange av høringssakene opplever Datatilsynet at personvernet i liten eller ingen grad er drøftet og vurdert opp mot de andre gode formål som forslaget er ment å fremme. Dette fører til at vurderinger mht. personvern kommer for sent inn i prosessen. Dette innebærer igjen en uforholdsmessig stor ressursbruk, både for utredningsansvarlig og Datatilsynet.
I flere offentlige utredninger og lovforslag er Datatilsynet ikke ført opp som selvstendig høringsinstans. Dette kan være i direkte strid med artikkel 28 i personverndirektivet.
Høringssakene har vært særlig omfattende og komplekse innen helsesektoren. Noen av de mest sentrale høringssakene kommenteres nærmere i temadelen.
Datatilsynet har i 2002 deltatt i flere offentlige råd og utvalg og deltar også i stor utstrekning i internasjonalt arbeid.
Datatilsynets informasjonsvirksomhet fokuserer særlig mot to målgrupper: Behandlere av personopplysninger og publikum. For å nå fram til disse to målgruppene på en mest mulig kostnadseffektiv måte, er Datatilsynets egen hjemmeside og mediene to helt sentrale informasjonskanaler.
Datatilsynet er opptatt av å være synlige i samfunnsdebatten og praktiserer derfor utstrakt grad av meroffentlighet.
Personvernnemnda er klageinstans for klager over Datatilsynets avgjørelser i forhold til både personopplysningsloven og helseregisterloven. Arbeids- og administrasjonsdepartementet er på sin side klageinstans for klager som var kommet inn før ikrafttredelse av personopplysningsloven, og klager over Datatilsynets mer administrative saksbehandling.
Meldingen redegjør nærmere for klagesakene. Personalnemnda kom til samme standpunkt som Datatilsynet i nesten samtlige saker. I én sak ble klagen tatt til følge.
Den operative tilsynsvirksomheten har tatt utgangspunkt i Datatilsynets overordnede strategier og prioriteringer for meldingsåret. Det ble derfor gjennomført tilsyn innen avgrensede fokusområder, fremfor å gå i bredden.
Det ble i tilsynsvirksomheten satt særlig fokus på helsesektoren, ideelle/frivillige organisasjoners markedsføring og kameraovervåking.
Erfaringene fra årets tilsyn indikerer at virksomhetene i stor grad bryter de samme bestemmelsene i regelverket. Sannsynligheten for brudd henger ifølge Datatilsynet naturlig nok sammen med hvor arbeids- og kostnadskrevende det er å oppfylle en konkret plikt. Ett unntak er imidlertid meldeplikten, som i skuffende liten grad etterleves, selv om det i seg selv er lite ressurskrevende å sende inn slike meldinger.
Datatilsynet mener det er grunn til å uttrykke bekymring når det gjelder helsesektoren. Det var her det ble funnet flest og mest alvorlige brudd på regelverket. Dette er særlig betenkelig tatt i betraktning at det i helsesektoren behandles opplysninger som de fleste av oss regner som svært sensitive.
Datatilsynet sitter igjen med det inntrykk at pasientrettigheter, herunder retten til vern om sin sykdomshistorie og tilhørende behandling, er gjenstand for stor respekt blant utøvende helsepersonell. Problemene oppstår imidlertid når informasjonssystemene innrettes på en slik måte at den som er ansvarlig for behandling av personopplysninger ikke har reell kontroll. Det ble avdekket en for liberal praksis når det gjelder tilgangen til pasientjournaler.
Som en følge av de funnene som er gjort vil Datatilsynet også i 2003 ha et fortsatt sterkt fokus på helsesektoren.
Det er Datatilsynets inntrykk at inkassobransjen er opptatt av ryddighet i forhold til personopplysningsloven. Tilsynet har lenge hatt et godt samarbeid med bransjen, både bransjeforening og enkeltselskaper.
Datatilsynet vil følge utviklingen nøye i tiden framover, for å sikre at debitors personvern blir ivaretatt på en forsvarlig måte.
Datatilsynet ønsket gjennom fire tilsyn å kartlegge hvordan man i politidistriktene behandler personopplysninger ved bruk av dette systemet.
Datatilsynet konstaterer at politiets bruk av SIS synes å være i samsvar med regelverket. Datatilsynet er så langt også tilfreds med administrasjon og overordnede rutiner for håndtering av systemet. Datatilsynet vil imidlertid foreta en noe mer grundig gjennomgang av informasjonssikkerheten i systemet.
Individets krav på personvern er ikke absolutt. Det vil kunne stå i et motsetningsforhold til for eksempel etterforskning av straffbare forhold.
Personverninteressene utfordres når samfunnet introduserer nye virkemidler for å bekjempe terror og annen kriminalitet.
I meldingsåret er det initiert en rekke lovforslag hvor hovedhensikten er kriminalitetsbekjempelse. Forslagene reiser grunnleggende personvernspørsmål. I høringsuttalelsene til samtlige av disse forslagene har Datatilsynet etterlyst en beskrivelse av trusselbildet som i større grad legitimerer de virkemidlene som foreslås tatt i bruk. En forutsetning må iflg. Datatilsynet hele tiden være at det er et balansert forhold mellom tiltakene som iverksettes og det trusselbildet samfunnet til enhver tid er utsatt for. Også i forbindelse med Justisdepartementets forslag til endringer i straffeloven og straffeprosessloven (lovtiltak mot terrorisme), etterlyste Datatilsynet en mer konkret beskrivelse av de trusler som skulle begrunne og legitimere de foreslåtte lovendringene.
Kommunaldepartementet har i meldingsåret tatt opp tre forslag til endringer i utlendingsloven som har påkalt Datatilsynets oppmerksomhet. Blant annet gjaldt det forslag om å gjøre bruk av utlendingers registrerte fingeravtrykk til etterforskning. Tilsynet stiller seg kritisk til at et register som er opprettet for et spesifikt formål (identifisering) skal brukes til et helt annet formål (etterforskning).
Samlet sett reiser forslagene ifølge Datatilsynet helt grunnleggende spørsmål om hvorvidt man i Norge skal akseptere at det innføres et todelt rettssystem - ett for nordmenn og ett for utlendinger. Disse problemstillingene bør vurderes nærmere av utvalget som er i gang med å utrede en ny lovgivning på utlendingsområdet.
Finansdepartementet har på bakgrunn av rapport fra en arbeidsgruppe foreslått en ny lov om forebyggende tiltak mot hvitvasking av utbytte og finansiering av terrorisme.
Etter Datatilsynets vurdering er arbeidsgruppens rapport mangelfull, idet verken kontrollbehovet eller sentrale personvernhensyn er drøftet og veid mot hverandre. Det savnes også en nærmere redegjørelse for hvilke trusler som gjør nye tiltak nødvendig. Datatilsynet mener derfor at det ikke foreligger et tilstrekkelig grunnlag for iverksettelse av de foreslåtte tiltakene.
Forslaget innebærer at Økokrim skal kunne gi opplysninger fra bankenes hvitvaskingsmeldinger videre til Trygdeetaten. Dette vil ofte være opplysninger som, fra Økokrims side, er å regne som overskuddsinformasjon. Datatilsynet er sterkt kritisk til slik annenhånds bruk av opplysningene.
Opplysninger om egen helsetilstand og sosiale forhold er regnet blant de aller mest private og sensitive opplysningene i vårt samfunn, og står på mange måter i en særstilling i forhold til andre personopplysninger. Datatilsynet vil derfor alltid ha et særlig fokus på hvordan ulike virksomheter og institusjoner innen helse- og sosialsektoren behandler de personopplysningene de forvalter. Dette har også vært tilfellet i 2002. Fra meldingen vises til følgende saker:
– Store mangler hos blodbankene
Alle landets blodbanker fikk våren 2002 tilsendt et spørreskjema fra Datatilsynet. Hensikten var å kartlegge blodbankenes rutiner for behandling av person- og helseopplysninger knyttet til biologisk materiale.
Det innkomne materialet gir inntrykk av at de ansvarlige for de aller fleste blodbankene ikke hadde satt seg tilstrekkelig inn i reglene for behandling av helseopplysninger. Blodgiverregistrene inneholder opplysninger om sykdom og seksuelle forhold. De er dermed konsesjonspliktige etter helseregisterloven. Kun et fåtall av blodbankene hadde slik konsesjon.
Datatilsynet er ellers betenkt over at det er konstatert så omfattende svakheter og mangler hos landets blodbanker.
– Helsenett
Det er et uttalt mål fra myndighetenes side at helsepersonell i hele Norge skal kunne kommunisere elektronisk seg imellom og med pasientene. Helsenettet skal etter planen realiseres innen utgangen av 2003. Datatilsynet understreker viktigheten av at helsepersonell ikke gis tilgang til helseopplysninger de ikke har behov for til sin behandling av pasienten. Fra Datatilsynets side er det viktig at enhver utlevering av helseopplysninger er basert på en konkret vurdering, foretatt av det helseforetaket som har ansvar for helseopplysningene. Dette er i tråd med de krav helseregisterloven fastsetter.
– Oppsøkende genetisk virksomhet
I forbindelse med evaluering av bioteknologiloven og forslag til en ny forskrift, uttalte Datatilsynet seg om adgangen til oppsøkende genetisk virksomhet.
Når det er dokumentert at en pasient er disponert for eller har en arvelig sykdom, kan pasienten selv bestemme om han eller hun vil informere berørte slektninger om dette. Imidlertid kan legen, mot pasientens vilje og under bestemte vilkår, på egen hånd informere slektningene om mulige sykdomsdisposisjoner. I sin høringsuttalelse uttrykte Datatilsynet at leger ikke under noen omstendighet bør kunne informere pasientens slektninger om arvelige disposisjoner mot dennes vilje. Etter Datatilsynets vurdering strider slik oppsøkende genetisk virksomhet mot viktige prinsipper om frivillighet og selvbestemmelse. Retten til ikke å vite står sentralt, blant annet med henvisning til FNs menneskerettighetskonvensjons bestemmelse om privatlivets fred.
Datatilsynet tar også opp spørsmålet om eventuell erstatning hvis opplysninger om arvelig sykdom ikke gis. Dersom de ikke blir kontaktet og blir syke, vil spørsmålet om erstatning fort bli reist. Dersom bioteknologiloven skulle gi adgang til oppsøkende genetisk virksomhet bør det i så fall utredes, og komme klart til uttrykk, i hvilken grad unnlatelse av å foreta oppsøkende genetisk virksomhet kan føre til erstatningsplikt.
I dag finnes knapt en bedrift som ikke har tatt mer eller mindre avansert datateknologi i bruk. Kommunikasjon pr. e-post er en selvfølgelig del av hverdagen for mange arbeidstakere, både til jobb og privat. Bruk av elektroniske adgangskontrollsystemer, logging av trafikken på telefon og Internett, samt kameraovervåking er utbredt. Teknologien har gjort mange arbeidsprosesser lettere og mer effektive. En konsekvens av dette er imidlertid at arbeidsgivers potensiale for overvåking øker. Ved å undersøke datalogger, videoopptak og spesifiserte telefonregninger, kan arbeidsgiver raskt skaffe seg et bilde av hvordan den enkelte ansatte disponerer tiden sin, vedkommendes preferanser og adferdsmønstre. Datatilsynet merker denne tendensen i form av et økt antall henvendelser fra ansatte som føler at deres personvern blir krenket. Henvendelsene har grunnlag i alt fra mistanke om at arbeidsgiver beveger seg på kanten av personopplysningsloven, til konkrete eksempler på grove brudd. En god del av henvendelsene kommer fra ansatte i selskaper med hovedsete i andre land enn Norge.
Det er både i arbeidsgivers og arbeidstakers interesse at overvåkingen holdes på et lovlig og akseptabelt nivå. I alle tilfeller har de ansatte krav på informasjon om hvilke kontrolltiltak de utsettes for.
Den 1. januar 2001 ble det opprettet et sentralt reservasjonsregister mot direkte markedsføring. I dette registeret kan privatpersoner reservere seg mot direkte markedsføring pr. brev og telefon.
Også i 2002 har Datatilsynet møtt stor pågang fra personer som mener deres reservasjon mot direkte markedsføring ikke blir respektert. De ideelle organisasjonene går igjen i klagene, med teleoperatørene hakk i hæl.
Datatilsynet tar opp flere saksforhold her, bl.a. om database over betalingsmislighold. EU har foreslått et direktiv for forbrukerkreditt. Direktivet legger opp til at det enkelte medlemsland skal ha en sentral database med oversikt over samtlige forbrukeres betalingsmislighold. Det skal ikke ytes kreditt før man har sjekket kredittsøkeren opp mot denne databasen. I sin høringsuttalelse uttrykte Datatilsynet sterk skepsis i forhold til opprettelsen av en slik sentral database. Denne vil kunne utgjøre en stor personverntrussel, særlig med tanke på det store misbrukspotensialet. Det kan også lett oppstå feil som forringer opplysningskvaliteten.
Det fremmes i økende grad ønsker om å kunne publisere opplysninger fra offentlige registre på Internett, som regel ut fra kommersielle interesser. Datatilsynet er prinsipielt imot at opplysninger om personer som i henhold til lov er underlagt registreringsplikt, benyttes til andre og kommersielle formål.
Ved siden av den årlige debatten omkring publisering av skattelister på Internett, er det to saker fra meldingsåret som illustrerer denne problemstillingen.
Det gjelder bl.a. forslag til ny GAB-forskrift (grunneiendommer, adresser og bygninger). Forslaget innebærer at opplysninger fra GAB-registeret skal kunne brukes til direkte markedsføring. Etter Datatilsynets vurdering er opplysningene i registeret av en slik karakter at disse ikke kan benyttes som grunnlag for markedsføring, uten at den registrerte har gitt sitt aktive samtykke til det.
Noen helt sentrale prinsipper i personvernet må ifølge Datatilsynet være styrende når det fremmes ønsker om å gjøre kommersiell bruk av opplysninger fra offentlige registre, eller gjøre disse tilgjengelige på Internett:
Personopplysninger skal bare benyttes til uttrykkelig angitte formål, som er saklig begrunnet i den behandlingsansvarliges virksomhet. Den enkelte skal i størst mulig grad kunne ha oversikt over opplysninger om seg selv. At opplysninger er offentlige er ikke det samme som at disse også skal gjøres elektronisk søkbare på Internett. Det er en kvalitativ forskjell i hva som ligger i begrepet "offentlig" når opplysningene skal være tilgjengelig på Internett, sammenlignet med dokumentinnsyn på offentlige kontorer.
Kommersialisering og internettpublisering av opplysninger fra offentlige registre som er underlagt registreringsplikt, må etter tilsynets vurdering forutsette en klar hjemmel i lov.
Dette er Personvernnemndas (PVNs) andre årsmelding. I løpet av året er det kommet åtte klager, hvorav seks er ferdigbehandlet. Erfaringsgrunnlaget er derfor ennå spinkelt. Klagesakene er svært forskjellige, selv om man kan merke seg at tre av årets saker angår videoovervåking i forbindelse med minibankautomat, fasiliteter i et hotell og ekspedisjon ved kasse. Likevel er det ingen grunn til å anta at denne typen saker vil dominere i fremtiden. PVN har også merket seg at individuelle klagere knytter sterke interesser til sine saker - selv om de ikke fremstår som rettslig prinsipielle, har det derfor stor betydning for den enkelte at klagesakene behandles grundig og gis en begrunnelse som klager kan forholde seg til.
Av de seks sakene som er ferdigbehandlet i 2002, er Datatilsynets vedtak omgjort helt eller delvis i en av sakene. Blant klagesakene vil det naturlig nok være en forholdsvis stor andel som det knytter seg tvil til tolkningen av bestemmelsene i personvernlovgivningen. PVN søker å ha for øyet at de konkrete vedtakene også skal bidra til en avklaring av gjeldende rett.
PVN skal behandle klager på vedtak som Datatilsynet fatter etter personopplysningsloven og helseregisterloven.
Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Arbeids- og administrasjonsdepartementet.
Selv om Arbeids- og administrasjonsdepartementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.
Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene.
Personvernnemnda har syv medlemmer som oppnevnes for fire år med adgang til oppnevning for ytterligere fire år. Første gangs oppnevning skjedde i 2001. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer utnevnes av Kongen.
PVN har i 2002 hatt i alt seks møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold som arbeidsform og saksbehandling, samt vurdering av budsjett for 2002 og budsjettforslag for 2003 har blitt behandlet i møtene.
Komiteen, medlemmene fra Arbeiderpartiet, Eirin Faldet, Trond Giske og Torny Pedersen, fra Høyre, Afshan Rafiq, lederen Sonja Irene Sjøli og Olemic Thommessen, fra Fremskrittspartiet, Ulf Erik Knudsen og Karin S. Woldseth, fra Sosialistisk Venstreparti, Magnar Lund Bergo og May Hansen, fra Kristelig Folkeparti, Sigmund Kroslid og Ola T. Lånke, og fra Senterpartiet, Eli Sollied Øveraas, viser til Datatilsynets og Personvernnemndas årsmeldinger for 2002 som presentert i St.meld. nr. 34 (2002-2003). Stortingsmeldingen omfatter begge virksomheter, noe som er nødvendig for å se et samlet bilde av personvernarbeidet.
Komiteen tar til orientering Arbeids- og administrasjonsdepartementets merknader til de to årsmeldingene.
Komiteen viser til at 2002 er første år hvor den nye arbeidsdelingen mellom Datatilsynet og Personvernnemnda har virket et helt år. Med Personvernnemnda som et uavhengig faglig organ sikres individets rettigheter.
Komiteen viser til at de erfaringer som er gjort med et uavhengig klageorgan, så langt viser at personvern synes å ha vært godt ivaretatt. Av de klager som er ferdigbehandlet har nemnden i de fleste saker opprettholdt tilsynets vedtak. Nemnden har i ett enkelt tilfelle gitt klager medhold - under henvisning til at dette har øket sikkerheten til brukerne (de overvåkede). Dette tilsier at nemnden med sine vedtak har vist god dømmekraft.
Komiteen viser til at Datatilsynet har gitt en grundig redegjørelse for sin virksomhet. Tilsynet har i denne redegjørelsen også oversikt over en rekke utvalgte temaer. Oversikten fungerer både som en innføring i sentrale problemstillinger og en liste over satsningsområder.
Komiteen mener at arbeidet for å trygge personvernet i høyeste grad har beholdt sin aktualitet. I de senere år er viktigheten igjen kommet sterkt i fokus som en følge av nye teknologiske muligheter, lavere kostnader ved å ta i bruk mulighetene og høy kompetanse om mulighetene. Komiteen mener at det er viktig at Datatilsynet fortsetter å være en aktiv deltaker i den offentlige debatt rundt personvernhensyn og nye teknologiske muligheter. Det er en stor verdi i at tilsynet fortsatt kan fremstå som en aktør med perspektiv på personvern og nytteverdi i nye digitale teknologier.
Komiteen deler Datatilsynets oppfatning av at:
"Personvern dreier seg om den enkeltes grunnleggende behov for å kunne trekke en beskyttende grense rundt sin egen person, slik at ikke andre krenker ens personlige integritet."
Komiteen mener personvern betyr retten til kontroll med opplysninger som gjelder en selv. Personvernaspektet må være en naturlig og integrert del i utviklingen av forvaltningen.
Komiteen viser til Datatilsynets sentrale rolle i forbindelse med personvern, ikke bare som forvalter av eksisterende regelverk, men også som premissgiver i forhold til videre utvikling av dette.
Komiteen har merket seg at Datatilsynet i flere offentlige utredninger ikke er ført opp som høringsinstans, og mener at dette er svært uheldig, og mener videre at departementene i større grad må vise hvilke drøftinger som ligger til grunn når saker ikke anses å bryte med personvernhensyn. Alle utredninger som har en personvernside bør ha Datatilsynet som direkte høringsinnstans.
Komiteens medlemmer fra Sosialistisk Venstreparti deler Datatilsynets bekymring i forhold til helsevesenets behandling av personopplysninger. Slike opplysninger er blant de mest sensitive vi har, og det er svært betenkelig at det nettopp er på dette feltet det er funnet flest og mest alvorlige brudd på regelverket.
Disse medlemmer har merket seg Datatilsynets kommentarer til lov om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv. (hvitvaskingsloven). I denne forbindelse viser Datatilsynet til at sentrale personvernhensyn ikke er drøftet. Disse medlemmer forutsetter at dette er rettet opp i den endelige loven, og viser til finanskomiteens innledende merknader i behandlingen av Ot.prp. nr. 72 (2002-2003), jf. Innst. O. nr. 100 (2002-2003).
Disse medlemmer viser til at Regjeringens lovforslag innbefatter en utvidelse av undersøkelses- og rapporteringsplikten til å gjelde flere grupper enn i dag. Videre at Økokrims særegne taushetsplikt i hvitvaskingssaker foreslås opphevet. Det må antas at disse endringene vil føre til en økning i antallet hvitvaskingssaker som blir behandlet av politiet og en økning i antallet transaksjoner som blir regnet som mistenkelige. Det er viktig at Økokrim overholder sin plikt til å slette registrerte opplysninger. Arbeidet til kontrollutvalget for tiltak mot hvitvasking av penger må vektlegges og en forutsetter at departementet følger utviklingen på dette området nøye. I slike saker må behovet for kontroll drøftes og personvernhensyn må ivaretas. Begrunnelsen for økt inngripen i slike saker er forbindelsen til terrorisme. Det bør kreves en redegjørelse for hvilke trusler det er som gjør det enkelte tiltak nødvendig.
Disse medlemmer har merket seg klager i forbindelse med at mange sosialkontor rutinemessig krever detaljerte kontoutskrifter av klienter som en del av dokumentasjonen for utbetaling av sosialstøtte. Slike betalingstransaksjoner kan inneholde sensitive personopplysninger. Det er også slik at tilsynelatende trivielle opplysninger kan virke unødig krenkende å avgi til sosialkontoret.
Disse medlemmer viser til at det er et grunnkrav i personopplysningsloven at all behandling av personopplysninger skal være saklig begrunnet og relevant til formålet. Dette er viktig for å begrense innhenting av overskuddsinformasjon og bruk av slik informasjon.
Disse medlemmer støtter Datatilsynets anmodning til Sosialdepartementet om at det umiddelbart bør utformes klare retningslinjer for i hvilke tilfeller sosialtjenesten kan innhente kontoutskrifter.
Disse medlemmer fremmer følgende forslag:
"Stortinget ber Regjeringen om at det umiddelbart bør utformes klare retningslinjer for hvilke tilfeller sosialtjenesten kan innhente kontoutskrifter."
Disse medlemmer vil bemerke at mange av klagesakene som blir behandlet i Personvernnemnda er av prinsipiell karakter og er vanskelige saker som har betydning for mange. Det betyr at sakene som blir behandlet av Personvernnemnda har behov for en bredere utredningsprosedyre. Disse medlemmer ser at dette kan bety lenger saksbehandlingstid og være mer ressurskrevende enn tidligere antatt. Personvernnemnda har 8 møter i året, men det kan være et behov for å se på om møtefrekvensen skal økes med ett møte i måneden for å korte ned på saksbehandlingstiden. Det avholdes også viktige seminarer for å styrke informasjonen til etater, departement og andre interesserte om tema rundt personvern og annet. Disse medlemmer vil be Regjeringen se på tiltak som er nødvendig for å styrke ressurstilgangen til Personvernnemnda for fortsatt å kunne opprettholde et høyt nivå på saksbehandlingen med en kort behandlingstid.
Forslag fra Sosialistisk Venstreparti:
Stortinget ber Regjeringen om at det umiddelbart bør utformes klare retningslinjer for hvilke tilfeller sosialtjenesten kan innhente kontoutskrifter.
Komiteen har ellers ingen merknader, viser til meldingen og rår Stortinget til å gjøre slikt
vedtak:
St.meld. nr. 34 (2002-2003) - Datatilsynets og Personvernnemndas årsmeldinger for 2002 - vedlegges protokollen.
Oslo, i familie-, kultur- og administrasjonskomiteen, den 23. oktober 2003
Sonja Irene Sjøli leder |
Ulf Erik Knudsen ordfører |