Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

1. Sammendrag

Betydningen av personvern vil for den enkeltes vurdering bl.a. avhenge av egne erfaringer og opplevelser, påvirkninger utenfra, hvor komplisert det er å ivareta personvernet i det enkelte tilfellet og ikke minst av den enkeltes kunnskaper og bevissthet om personvern - eller mangelen på slike.

Både verdisyn og teknologi er i stadig endring. Samfunnsutviklingen har ført til at vi er blitt avhengige av elektroniske tjenester. Hensyn til kostnadseffektivisering og ønsket om nye og mer individuelt tilpassede tjenester fører til stadig større press mot mer omfattende bruk av slike tjenester. Vektleggingen av personvern i forhold til ulike andre samfunnshensyn må vurderes fra sak til sak, og hva som er viktig for den eldre garde, er ikke nødvendigvis like viktig for yngre mennesker. Personvernhensyn kan, avhengig av situasjonen, trekke i samme eller motsatt retning ved vurdering av for eksempel kriminalitetsbekjempelse, effektivisering, en åpnere forvaltning eller den enkeltes ytringsfrihet. Ulike personer vil ha ulik oppfatning av hva som i hvert enkelt tilfelle anses som det viktigste hensynet. Det er derfor svært viktig at vi har en levende personverndebatt i Norge - med Datatilsynet som en sentral premissleverandør og deltaker.

Personopplysningsloven pålegger behandlingsansvarlige plikter i forbindelse med bruk av personopplysninger. Tradisjonelt har det vært slik at behandlingsansvarlige i hovedsak har vært offentlige og private virksomheter, mens enkeltpersoners bruk av opplysninger i hovedsak har vært unntatt på bakgrunn av unntaksbestemmelsen for private formål. Enkeltpersoners forhold til loven har derfor først og fremst vært knyttet til retten til å være i fred, og kravet om at opplysningene som behandles er korrekte. Grensene er imidlertid i ferd med å flyttes. Interessant i denne sammenheng er en relativt ny forhåndsuttalelse fra EF-domstolen om at en hjemmeside ikke kan sies å være privat dersom den ligger tilgjengelig for alle på Internett. Når den ikke kan anses som privat, vil den være underlagt den ordinære personvernlovgivningen. Det er en utfordring både for offentlige og private virksomheter å informere bedre om den enkeltes plikter ved bruk av personopplysninger, konsekvensene av ulik bruk av personopplysninger og den enkeltes muligheter for å beskytte seg mot uønsket bruk av slike opplysninger.

Datatilsynet hadde i 2003 bl.a. fokus på kommunesektoren. Som Datatilsynet viser til har den teknologiske utviklingen og satsing på service og tilgjengelighet, kombinert med krav til effektivisering, gjort at det i mange kommuner foregår et betydelig utviklingsarbeid som stiller store krav til avklaring av ansvarsforhold og dokumentasjon av informasjonssikkerhet. Arbeids- og administrasjonsdepartementet ser positivt på at flere kommuner har gått sammen og etablert Fo­reningen kommunal informasjonssikkerhet (www.kins.no).

I fjorårets stortingsmelding skrev Arbeids- og administrasjonsdepartementet at det - som både effektiviserings- og personverndepartement - ville sørge for at personvern stod sentralt i gjennomføringen av Strategi for IKT i offentlig sektor 2003-2005. Et viktig krav er at personopplysninger skal være korrekte. Departementet har derfor igangsatt et arbeid som bl.a. omfatter kvalitet på og tilgjengelighet til nøkkelinformasjon som brukes mye både i offentlig sektor og i næringslivet.

Videre omtalte departementet arbeidet med samordningen av Aetat, trygdeetaten og sosialtjenesten (SATS). En framtidig reorganisering av velferdsforvaltningen krever i henhold til arbeidsgrupperapport en revisjon av lovgivningen, slik at oppgaver og virkemidler som faglig sett hører sammen samles i felles formål.

Ved ikrafttredelsen av personopplysningsloven i 2001 rettet Datatilsynet oppmerksomheten fra forhåndskontroll (konsesjoner) til etterkontroll (tilsyn) og informasjon. Tanken var bl.a. at omleggingen skulle ansvarliggjøre brukerne av personopplysninger i større grad. Loven pålegger derfor de behandlingsansvarlige relativt omfattende plikter.

Personopplysningsloven åpner imidlertid for å lette noe på pliktene etter loven for virksomheter som setter særlig fokus på personvern. Virksomheter som oppnevner personvernombud, får unntak fra meldeplikt etter personopplysningsloven. Bruken av personvernombud er med på å flytte noe av ansvaret for oppfølgingen av personvernarbeidet fra Datatilsynet og ut til de involverte virksomhetene. Oppnevnelsen bidrar til større bevisstgjøring av brukerne av personopplysninger, og er med på å gi virksomheten en positiv personvernprofil. Erfaringen med de oppnevnte ombudene er stort sett positive, og Arbeids- og administrasjonsdepartementet mener derfor det er grunn til å vurdere ytterligere insentiver for å få oppnevnt flere slike ombud.

Arbeids- og administrasjonsdepartementet ønsker tiltak som bidrar til å styrke private og offentlige virksomheters fokus, og dermed etterlevelse av personvernregelverket. For å styrke både personvernet og lokaldemokratiet har det kommet initiativ til å overføre tilsyn og kontroll med kameraovervåking fra Datatilsynet til kommunene. Spørsmålet om en eventuell overføring av myndighet og ansvar vil bli vurdert nærmere av de involverte partene.

Datatilsynet ble opprettet med virkning fra 1. januar 1980 og feirer sitt 25-årsjubileum i 2005. Stortinget ba ved behandling av personopplysningsloven som trådte i kraft i 2001, om en etterkontroll av loven etter fire års virketid. Arbeids- og administrasjonsdepartementet håper at jubileumsåret kan benyttes som anledning til å skape ekstra bevissthet rundt personvernspørsmål gjennom bl.a. økt medieoppmerksomhet og økt debatt. Arbeids- og administrasjonsdepartementet oppfordrer alle til å ha personvern sentralt på dagsordenen.

Datatilsynets hovedoppgave er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Datatilsynet er tilsynsmyndighet etter personopplysningsloven og helseregisterloven. I NOU 2003:21 Kriminalitetsbekjempelse og personvern foreslås det at Datatilsynet i en viss utstrekning også skal være tilsynsmyndighet etter denne loven. I NOU 2004:5 Arbeidslivslovutvalget: "Et arbeidsliv for trygghet, inkludering og vekst", foreslås det imidlertid at Arbeidstilsynet skal være tilsynsmyndighet etter loven, også for de foreslåtte bestemmelsene om personvern i arbeidslivet. Arbeids- og administrasjonsdepartementet mener generelt at det er mest hensiktsmessig at hovedansvaret for tilsyn med personvernarbeid er samlet hos Datatilsynet.

Datatilsynet avdekket i 2003 at mange virksomheter har liten kunnskap om personvernregelverket og de prinsippene dette bygger på. Datatilsynet avdekket særlig uryddighet i forhold til ansvar og myndighet, samt brudd på bestemmelsene om internkontroll og informasjonssikkerhet. Arbeids- og administrasjonsdepartementet anser de avdekkede avvikene som svært uheldige i og med at de nevnte kravene til ryddighet i ansvarsforhold, samt en tilfredsstillende internkontroll og informasjonssikkerhet, skal være med på å sikre en forsvarlig behandling av personopplysninger. Arbeids- og administrasjonsdepartementet har merket seg at enkelte av tilsynsobjektene anser at regelverket kan være vanskelig å etterleve. Departementet mener det er viktig at både regelverk og annen oppfølging vurderes kontinuerlig for å lette etterlevelsen.

I fjorårets stortingsmelding påpekte Arbeids- og administrasjonsdepartementet viktigheten av at personvernhensyn blir vektlagt tidlig i prosesser vedrørende nytt regelverk og nye samfunnstiltak. Arbeids- og administrasjonsdepartementet anser det som viktig at Datatilsynet får mulighet til å påvirke utredningsarbeid på et tidlig tidspunkt.

Arbeids- og administrasjonsdepartementet har igangsatt et prosjekt for generelt å bedre kvaliteten på utredningsarbeid, herunder hvordan en kan forbedre planleggingen av utredningsarbeid for å unngå for korte høringsfrister.

Arbeids- og administrasjonsdepartementet delegerte myndighet etter personopplysningsforskriften til Datatilsynet med virkning fra 1. januar 2004. Hensikten med delegeringen er bl.a. å gjøre det lettere for Datatilsynet å vurdere bruk av forskrift kontra bruk av konsesjoner for ulike bransjeområder. Selv om antall konsesjoner har gått betydelig ned ved innføring av personopplysningsloven, mener både Arbeids- og administrasjonsdepartementet og Datatilsynet at antall konsesjoner fortsatt er for høyt.

Personopplysninger skal ikke oppbevares lenger enn det som er nødvendig. Barne- og familiedepartementet er i ferd med å utarbeide et rundskriv om taushetsplikt. Rutiner for oppbevaring og sletting av personopplysninger vil også bli behandlet i rundskrivet. Rundskrivet skal etter planen være ferdig i løpet av 2004.

Personvernarbeidet blir stadig mer internasjonalt. Dette skyldes ikke bare at problemstillingene stort sett vil være like fra land til land - men også stadig voksende muligheter for flyt av personopplysninger over landegrensene. Arbeids- og administrasjonsdepartementet anser det som banebrytende at det i 2003 ble opprettet et eget ombud for personvern i EU-kommisjonen.

Arbeidsmengden til både Datatilsynet og Personvernnemnda stabiliserte seg i 2003 i forhold til 2002 da overgangsordningene til personopplysningsloven og helseregisterloven gikk ut.

Som følge av bl.a. den teknologiske utviklingen blir imidlertid personvernspørsmålene i seg selv stadig mer komplekse. For Datatilsynet har særlig konsesjonssøknader knyttet til helse og forskning vist seg arbeidskrevende. Dette betyr at Datatilsynet må allokere stadig mer ressurser til disse områdene.

Videre blir personvernlovverket stadig mer fragmentert. Fragmentering av personvernlovgivningen får betydning for Datatilsynet fordi de i større grad må spesialisere kompetansen. På lengre sikt kan dette også få konsekvenser for Personvernnemnda, som i større grad kan få behov for å innhente eksterne vurderinger. Arbeids- og administrasjonsdepartementet vil følge nøye med i utviklingen og vurdere om både Datatilsynet og Personvernnemnda har tilstrekkelige ressurser.

Datatilsynet har siden opprettelsen i 1980 hatt til oppgave å beskytte den enkelte mot at personverninteressene krenkes gjennom behandling av personopplysninger.

Datatilsynet er et uavhengig forvaltningsorgan, administrativt underordnet Kongen v/Arbeids- og administrasjonsdepartementet. Datatilsynets uavhengighet innebærer at departementet ikke kan gi instruks om, eller omgjøre, Datatilsynets utøving av myndighet etter personopplysnings- eller helseregisterloven.

Datatilsynet skal holde seg orientert og informere om den nasjonale og internasjonale utviklingen i behandlingen av personopplysninger, og om de problemene som knytter seg til slik behandling. Datatilsynet skal identifisere farer for personvernet og gi råd om hvordan de kan unngås eller begrenses.

Gjennom aktivt tilsyn og saksbehandling kontrollerer Datatilsynet at lover og forskrifter for behandling av personopplysninger blir fulgt, og at feil og mangler blir rettet. Datatilsynet bistår bransjeorganisasjoner med å utarbeide bransjevise adferdsnormer, og gir bransjer og enkeltvirksomheter råd om sikring av personopplysninger.

Datatilsynet har også en viktig ombudsmannsrolle. I den forbindelse drives rådgivning og informasjon overfor enkeltpersoner som tar kontakt med tilsynet.

I 2003 ble innsatsen særlig fokusert mot tre områder:

Fokuset på helsesektoren er en videreføring fra 2002 fordi det her behandles mange og svært sensitive personopplysninger. Samtidig skjer det et rivende teknologisk utviklingsarbeid, bl.a. ved etablering av nasjonale helsenett og innføring av fullelektroniske pasientjournaler.

Også i kommunesektoren behandles det betydelige mengder personopplysninger, hvorav en stor del også er sensitive. Den teknologiske utviklingen og satsingen på døgnåpen forvaltning, service og tilgjengelighet har gjort at flere kommuner har lagt sine elektroniske journaler og dokumenter ut på Internett. Mangelfulle rutiner i forhold til dette innebærer store personverntrusler.

Arbeidsliv er et område med et betydelig potensial for overvåking og misbruk av personopplysninger. Gjennom operative tilsyn er det avdekket en utstrakt bruk av overvåkingsteknologi.

Datatilsynet hadde 18,3 mill. kroner til rådighet i 2003. De rene lønnskostnadene utgjør 67 pst. av driftsbudsjettet. Utover dette har bevilgningen dekket faste driftsutgifter og utgifter til operativ tilsynsvirksomhet, informasjonsarbeid og representasjon i internasjonale organer.

Datatilsynet ledes av direktør Georg Apenes. Det var i virksomhetsåret 26 fast tilsatte, hvorav 16 kvinner og 10 menn.

7 251 brev og andre dokumenter ble journalført i 2003, hvorav 3 893 innkomne dokumenter og 3 358 utgående brev ut fra Datatilsynet. Det er også fortløpende blitt besvart 2 118 henvendelser kommet inn via e-post.

I 2003 ble det gitt 470 konsesjoner. Av dette var 196 konsesjoner gitt innen kategorien helse og forskning.

Datatilsynet har i meldingsåret fokusert på arbeidet med konsesjoner for bank, forsikring, finansieringsinstitusjoner og kredittopplysningsforetak. Disse vil være ferdigstilt første halvår 2004. Det er imidlertid særlig innen helse at de ressurskrevende konsesjonsbehandlingene ligger, som for eksempel Kreftregisteret og de store helseundersøkelsene.

I meldingsåret kom det inn 135 høringssaker. I mange av høringssakene har Datatilsynet merket seg at personvernet er noe stemoderlig behandlet. Ofte står det ikke annet i høringsnotatet enn at personvernet er vurdert. I tre av høringsforslagene var høringsfristen satt så kort at det i praksis var umulig å avgi uttalelse. Dette finner Datatilsynet bekymringsfullt, da forslagene ved en slik fremgangsmåte ikke blir tilstrekkelig belyst.

Datatilsynet deltar i en rekke offentlige råd og utvalg og internasjonale organisasjoner, grupper, møter mv.

Aktiv kommunikasjonsvirksomhet er et virkemiddel som vektlegges sterkt i Datatilsynet.

På Datatilsynets egen hjemmeside, www.datatilsynet.no, ble det i 2003 publisert 72 egenproduserte nyhetsartikler og notiser. Datatilsynet gjennomfører ellers seminarer og foredragsvirksomhet, samt veiledningsmøter.

I tråd med de overordnede prioriteringene ble tilsynsarbeidet i 2003 konsentrert om behandling av personopplysninger i helsesektoren, kommunene og arbeidslivet.

Tilsynsvirksomheten avdekket at et flertall av de besøkte virksomhetene hadde liten kunnskap om regelverket og de prinsippene dette er tuftet på.

Ser man alle tilsyn under ett, er følgende avvik typiske:

  • – uryddighet knyttet til ansvar og myndighet

  • – brudd på bestemmelser om internkontroll

  • – brudd på bestemmelser om informasjonssikkerhet

Datatilsynet ser klart behov for en fortsatt tett oppfølging av de tre sektorene som har vært i fokus i 2003. Tilsynet vil i tiden fremover satse på målrettede tiltak mot de aktuelle sektorene, for på den måten å bidra til en positiv utvikling.

Datatilsynet så i kontrollbesøk at helseforetak og primærleger fortsatt sliter med å tilpasse seg det systematiske personvernarbeidet lovverket krever. I tillegg re­iste konsesjonssøknader og høringsforslag en rekke problemstillinger innen helseforskning.

Datatilsynets årsmelding tar opp en rekke emner, herunder flere spørsmål knyttet til sletting i registre.

Kommunene kjennetegnes ved å være tilbyder av et vidt spekter av tjenester og oppgaver overfor sine innbyggere. Omfanget og bredden i kommunens tjenestespekter gjør at det i en rekke av fagetatene er behov for å behandle også sensitive personopplysninger.

Den teknologiske utviklingen og satsingen på service og tilgjengelighet, kombinert med krav til effektivisering, har gjort at det i mange kommuner foregår et betydelig utviklingsarbeid. Det legges opp til selvbe­tjeningsløsninger via Internett, samlokalisering av etater og etablering av offentlige servicekontorer. Flere kommuner satser også på regionale samarbeidsløsninger. Dette stiller store krav til avklaring av ansvarsforhold og en dokumentert informasjonssikkerhet.

I årsmeldingen fra Datatilsynet konkluderes det bl.a. med at det er lite systematisk tilnærming i kommunene når det gjelder behandling av personopplysninger. Det vises også til at det er manglende oversikt i kommunene på området. Det er også påvist mangler i forhold til etablering av internkontroll. Meldingen tar også opp problemstillingen tilknyttet samlokalisering av fagetater og offentlige servicekontorer og interkommunalt samarbeid.

Problemstillinger knyttet til personvern i arbeidslivet er et av de områdene Datatilsynet mottar flest henvendelser om, både fra arbeidsgiver- og arbeidstakersiden. Det skyldes i stor grad de mulighetene ny teknologi gir, til detaljoppfølging, kontroll og overvåking av arbeidstakere.

Henvendelsene dreier seg for det meste om innsyn i e-post, og kontroll av telefonbruk og Internett. Arbeidsgivers registrering av detaljerte opplysninger om de ansatte, fra tradisjonelle opplysninger i personalmapper til kompetansekartlegging og personlighetstester, oppfattes også som unødig og krenkende.

Datatilsynet gjennomførte i meldingsåret 11 operative tilsyn knyttet til arbeidslivet. I likhet med tilsyn på øvrige sektorer var det et gjennomgående trekk at virksomhetene ikke kunne fremlegge et dokumentert internkontrollsystem. Virksomhetene kunne dermed ikke sannsynliggjøre at de har tilfredsstillende rutiner når det gjelder ivaretakelse av den enkeltes rett til innsyn i hva som er registrert av opplysninger. Om de registrerte ikke vet hva som er registrert, kan de heller ikke ivareta sine rettigheter når det gjelder retting og sletting av opplysningene. Kjennskapen til personopplysningsloven var også gjennomgående lav i de virksomhetene som ble besøkt.

Personvern blir i stadig mindre grad et rent nasjonalt anliggende fordi vi i økende grad påvirkes av andre land og kulturer. Dette gjelder fremfor alt fra USAs side. Svært mye av hva amerikanerne pålegger seg selv og sine gjester i krigen mot terror, får også en bestemmende innflytelse på våre egne, nasjonale disposisjoner når det gjelder bruk av personopplysninger, og vern av privatlivets fred.

De amerikanske tiltakene synes også å ha vært til inspirasjon for norske myndigheter som dels bruker kampen mot terror som begrunnelse for å samle inn og gjøre bruk av stadig flere personopplysninger om oss alle.

Stadig flere iverksetter kameraovervåking, og oftere enn før velges det digitale opptaks- og lagringsløsninger. Overvåkingstiltakene begrunnes som regel med at kameraovervåking skal virke preventivt i forhold til hærverk og voldsepisoder.

Tilsynene har avdekket at mange av de virksomhetene som tar i bruk kameraovervåking har et lite reflektert forhold til formålet med overvåkingen, i tillegg til hvilket ansvar og hvilke plikter man påtar seg i forhold til personopplysningsloven.

Stadig flere benytter seg av muligheten til å reservere seg mot direkte markedsføring pr. brev eller telefon gjennom reservasjonsregisteret i Brønnøysund. Datatilsynet mottar ukentlig flere henvendelser om at reservasjonen ikke respekteres. Dette gjelder i alt overveiende grad direkte markedsføring pr. telefon. Årsmeldingen tar også opp problemstillinger vedrørende utleie av adresselister.

Informasjonsteknologi benyttes i stadig større utstrekning på flere områder innen samferdselssektoren. På en rekke områder er det, eller planlegges det, etablert systemer som gjør at den enkeltes bevegelser i trafikken registreres. Som reisende legger man dermed igjen mange spor etter seg, enten man benytter bil eller andre transportmidler.

Utviklingen reiser problemstillinger av betydning for personvernet. Et økende krav om ulike former for registrering reduserer den enkeltes mulighet til å kunne ferdes anonymt i samfunnet. Økt registreringsnivå, med innsamling av store mengder personopplysninger på nye felter, øker også risikoen for at opplysningene kan komme på avveie eller misbrukes.

Det er Datatilsynets inntrykk at personvernhensyn bare i begrenset grad er vurdert når nye tiltak etableres på samferdselssektoren. Datatilsynet har derfor satt i gang et prosjekt for å få en mer systematisk oversikt over registreringsomfanget på sektoren.

Internett har en del særpreg i forhold til andre kilder for informasjon. Det er bl.a. svært begrensede muligheter til å gi tilsvar eller til å få slettet informasjon som er feilaktig. På de nettstedene der tilsvar godtas, kan man heller ikke sikre at tilsvaret i alle sammenhenger følger med det opprinnelige utsagnet.

Ved publisering på Internett har man ingen garanti for at personopplysninger kun vil være å finne på det nettstedet de opprinnelig ble lagt ut. Opplysningene blir også kopiert, spesielt av store søkermotorer, og i praksis er det umulig å vite hvor de blir lagret for senere, ubegrenset bruk.

Dette betyr at opplysninger som publiseres på Internett i praksis finnes der langt utover den tiden de ligger på sitt opprinnelige nettsted. Det er ikke bare mulig, men også sannsynlig, at kommersielle, historiske databaser vil ha et marked i fremtiden.

Ingen kontroll med egne personopplysninger, mang­lende tilsvarsrett og fraværende slettemuligheter er problematisk i forhold til grunnleggende personvernprinsipper.

De aktuelle Internett-kildene for informasjonssøk er mange, og problemstillinger i tilknytning til noen av disse kildene til informasjon har på ulike måter vært aktuelle for Datatilsynet i meldingsåret. I årsrapporten får man en oversikt over de mest sentrale Internett-relaterte sakene fra meldingsåret, delt inn i det offentliges dokumenter og privates hjemmesider. Dette omfatter bl.a. skattelister, departementenes postjournaler, bilder på Internett og kameramobiler.

Personvernnemnda (PVN) er opprettet med hjemmel i lov om behandling av personopplysninger (2000:31), og PVN skal behandle klager på vedtak som Datatilsynet fatter etter personopplysningsloven. PVN skal også behandle klager på vedtak som Datatilsynet fatter etter helseregisterloven.

PVN er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Arbeids- og administrasjonsdepartementet.

Selv om Arbeids- og administrasjonsdepartementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.

Dette er PVNs tredje årsmelding. I løpet av året er det kommet åtte klager, hvorav seks er ferdigbehandlet.

I de i alt åtte sakene som kom inn til PVN i 2003, er Datatilsynets vedtak omgjort helt eller delvis i to av sakene. Blant klagesakene vil det naturlig nok være en forholdsvis stor andel som det knytter seg tvil til tolkningen av bestemmelsene i personvernlovgivningen eller de vurderinger de forutsetter. PVN søker å ha for øyet at de konkrete vedtakene også skal bidra til en avklaring av gjeldende rett.

Personvernnemnda hadde i 2003 en budsjettramme på 1,2 mill. kroner, og fremkommer under kap. 1500 Arbeids- og administrasjonsdepartementet i statsbudsjettet for 2002.