1. Sammendrag
- 1.1 Fornyings- og administrasjonsdepartementet si innleiing
- 1.2 Fornyings- og administrasjonsdepartementets merknader til Datatilsynets årsmelding for 2007
- 1.3 Fornyings- og administrasjonsdepartementets merknader til Personvernnemndas årsmelding for 2007
- 1.4 Administrasjon og ressursar
Departementet peikar på at det til dagleg er få som ser ut til å bry seg om den massive registreringa av kvardagslege aktivitetar. 2007 var likevel eit år med stor merksemd om personvernspørsmål. Fleire saker om til dels vesentlege inngrep i innbyggjarane sin privatsfære vart omtalte i media.
Datatilsynet gjennomførte ei undersøking om haldningane i befolkninga til ein del aktuelle personvernspørsmål i februar 2008 (Personvernundersøkinga 2008).
Sjølv om mange gir uttrykk for at dei er skeptiske til overvaking og kontroll, ser det likevel ut til at dei aksepterer ei rekkje inngrep i privatsfæren når dei opplever at dei personvernkrenkjande tiltaka gir dei tryggleik mot ulike former for kriminalitet. Dei er altså villige til å ofre litt personvern for å føle seg trygge. Samtidig viser Personvernundersøkinga 2008 at det ikkje er kriminalitet og terror folk er mest redde for. Det innbyggjarane fryktar mest, er hendingar som sjeldan kan avverjast ved overvaking og registrering av personopplysningar.
Då personopplysningslova vart vedteken i 2000, la Stortinget til grunn at det ville vere føremålstenleg med ein etterkontroll av lova når den har verka ei tid. Justisdepartementet er godt i gang med denne etterkontrollen, og tek sikte på å ferdigstille eit høyringsbrev om kort tid. Ot.prp. nr. 71 (2007–2008) som inneheldt nokre forslag til endringar i personopplysningslova var òg eit ledd i etterkontrollen.
Fornyings- og administrasjonsdepartementet har ansvaret for personopplysningsforskrifta, og Kongens forskriftskompetanse etter personopplysningslova er delegert til departementet. Sidan hausten 2006 har departementet arbeidd med nye forskriftsføresegner om innsyn i e-post.
Personvernregelverket verkar i eit miljø prega av rask teknologisk utvikling. Dette stiller krav til eit tidsmessig oppdatert regelverk. Når arbeidet med etterkontrollen av personopplysningslova er fullført, vil Fornyings- og administrasjonsdepartementet derfor òg vurdere trongen for revisjon av resten av føresegnene i personopplysningsforskrifta.
Personvernkommisjonen, som vart oppnemnt 25. mai 2007, er eit ledd i Regjeringas satsing på personvern.
Mange aktuelle personvernsaker har stadfesta trongen for kommisjonen etter at den vart oppnemnd og byrja arbeidet sitt. Teknologisk utvikling, nye moglegheiter og ønskje om effektivitet utfordrar personvernet. Samstundes som teknologisk utvikling utfordrar personvernet, kan teknologisk utvikling og bruk av personvernfremjande teknologi i somme tilfelle vere løysinga på dei same utfordringane. Regjeringa har derfor store forventningar til kommisjonen sin rapport, som skal leverast i desember 2008.
Departementet peiker på at vi må erkjenne at auka bruk av elektronisk kommunikasjon og elektroniske tenester medverkar til stadig fleire personvernkrenkingar med internasjonalt tilsnitt.
Den norske personopplysningslova byggjer på EUs personverndirektiv (dir. 95/46/EF). Lovgivinga i dei andre landa som har implementert direktivet vil derfor bygge på dei same prinsippa som den norske reguleringa.
Som følgje av det internasjonale tilsnittet personvernarbeidet har, meiner Fornyings- og administrasjonsdepartementet det kan bli stadig viktigare å oppretthalde eit visst internasjonalt engasjement på personvernområdet, ikkje minst med tanke på alle jurisdiksjonstvistane som kan komme.
Datatilsynet har i meldingsåret hatt særleg merksemd retta mot tema som innhausting av personopplysningar og identitetstjuveri, mot dei anonyme alternativa som forsvinn og mot snoking i personopplysningar, og har delteke aktivt i samfunnsdebatten om desse spørsmåla.
Undersøkingar viser gong på gong at kjennskap til og kunnskap om personvernregelverket dessverre ikkje er tilfredsstillande. Informasjon om personvern er derfor viktig, og departementet støttar tilsynets satsing på dette området. Departementet har dei siste tre åra styrkt tilsynet sine midlar til informasjonsarbeid med 2 mill. kroner årleg. I 2007 har Datatilsynets informasjonsarbeid vore særleg synleg gjennom undervisningsopplegget Dubestemmer og ein kunstkonkurranse som skal leie fram til ei utstilling på Oslo S. frå 1. oktober 2008.
2007 var året då datainnhausting vart eit kjent omgrep i norske medium. Omgrepet vert brukt om situasjonar der einkvan urettmessig tileignar seg personopplysningar via ulike nettløysingar.
Fleire nettstader med bestillingsløysingar for mobiltelefonitenester vart i meldingsåret utsette for "angrep" frå uvedkommande som lasta ned store mengder personopplysningar via desse nettstadene.
Ein teletilbydar hadde ei nettløysing som mogleggjorde innhausting av personopplysningar, og vart i april 2008 gitt eit førelegg på 150 000 kroner for brot på personopplysningslova sine tryggleiksføresegner og manglande varsling om tryggleiksbrotet. Førelegget er vedteke. Reaksjonen frå påtalemakta er eit viktig signal til andre næringsdrivande om å ta tryggleiksutfordringane på alvor.
Den enkelte kan føle ubehag og uro over at opplysningane har hamna på avvegar. For samfunnet kan datainnhausting svekkje tilliten til all elektronisk handsaming av personopplysningar. Identitetstjuveri kan medføre store praktiske problem og mykje ubehag for dei som blir utsette for slikt.
I denne samanheng er det viktig at næringsdrivande, offentlege verksemder og andre systemeigarar har gode rutinar for sikring av personopplysningar, slik at personopplysningar ikkje vert feilaktig utlevert. Det er òg avgjerande at dei har gode rutinar for identitetskontroll av kundar og andre registrerte. Som ledd i arbeidet med etterkontrollen av personopplysningslova vil Regjeringa vurdere om det er naudsynt å endre reglane om bruk av eintydige identifikasjonsmidlar, som fødselsnummer (personopplysningslova § 12). I samband med arbeidet med ny straffelov vurderer Regjeringa òg om identitetstjuveri i seg sjølv skal vere straffbart.
Regjeringa vil òg sjå nærare på moglege tiltak for å lette situasjonen for den som blir utsett for identitetstjuveri. Dette kan til dømes vere eit "single point of contact", betre rutinar hos kredittgivarar, inkassobyrå etc. for å handtere førespurnader frå offera for id-tjuvar og/eller høg prioritering av meldingar av id-tjuveri hos politiet.
Offentleg sektor forvaltar store mengder personopplysningar, og det er viktig at tryggleiken er god i offentlege it-løysingar. Regjeringa har utarbeidd eit rammeverk for autentisering og signering i elektronisk kommunikasjon internt i og mellom offentlege etatar. Dette rammeverket gir grunnlag for harmoniserte risikovurderingar i ulike offentlege verksemder, og legg til rette for gjenbruk av tryggleiksløysingar på mellomhøgt og høgt nivå.
Tilsynet har i årsmeldinga si vigd merksemd til handsaming av personopplysningar i arbeids- og velferdsforvaltninga. Fornyings- og administrasjonsdepartementet legg til grunn at personvern blir teken på alvor i arbeids- og velferdsforvaltninga, og at ein heile tida har fokus på å handsame personopplysningar på best mogleg vis.
Datatilsynet gjev uttrykk for ei kritisk haldning til forslaget til reglar om arbeids- og velferdsforvaltninga sin tilgang til fullstendige pasientjournalar som ledd i arbeidet med å hindre trygdemisbruk. Slik reglane om arbeids- og velferdsforvaltninga sin tilgang til pasientjournalar for kontrollføremål kjem fram i Ot.prp. nr. 76 (2007–2008), meiner Regjeringa at dei balanserer omsynet til brukarane sitt personvern med kva forvaltninga treng av informasjon.
Datatilsynet peiker i årsmeldinga på den raskt aukande registreringa av personopplysningar som finn stad i samferdselssektoren, ein sektor som omfattar både elektronisk kommunikasjon og transport av gods og passasjerar. Det blir stadig færre moglegheiter for anonym ferdsel.
Regjeringa vil gi ei grundig framstilling av personvernutfordringar i samferdselssektoren i Nasjonal Transportplan 2010–2019 som skal leggjast fram for Stortinget våren 2009.
Då personopplysningslova vart iverksett i 2001, vart mykje av Datatilsynet sitt fokus flytt frå konsesjonshandsaming og førehandskontroll til tilsyn og etterfølgjande kontroll med etterleving av regelverket. I samsvar med dette har Datatilsynet i meldingsåret hatt ei omfattande tilsynsverksemd. Tilsyn blir gjennomført hos ansvarlege for handsaming av personopplysningar i både offentleg og privat sektor. Departementet finn det urovekkjande at tilsynsverksemda gjennomgåande viser at det i mange verksemder er svært vid tilgang til personopplysningar over lang tid, dårleg tilgangskontroll og dårleg tryggleik rundt kundane sin eigen tilgang til opplysningar (innloggingsløysingar).
Regjeringa vil vurdere ulike måtar å forbetre kunnskapen om og etterlevinga av dei gjeldande reglane om informasjonstryggleik. Det kan vere grunn til å gjere ein særskild gjennomgang av personopplysningsforskrifta sine føresegner om informasjonstryggleik og internkontroll.
Fleire av dei klagesakene Personvernnemnda handsama i 2007 var av prinsipiell art. Dette gjeld mellom anna saker om rekkjevidda av personopplysningslova § 7 og spørsmål om bruk av fingeravtrykk som ledd i identitetskontroll. Nemndas oppgåve er i utgangspunktet berre å ta stilling i konkrete enkeltsaker. Departementet vil likevel peike på at avgjerder i denne typen prinsipielle saker lett får verknad ut over den konkrete saka, og at det vil kunne oppstå eit rettleiingsbehov.
Personvernnemnda peiker i si årsmelding på utfordringar knytte til personopplysningslova § 7, som regulerer forholdet mellom personopplysningslova og ytringsfridom. Regjeringa vil vurdere ev. tiltak på dette området i samband med den pågåande etterkontrollen av personopplysningslova og oppfølging av personvernkommisjonens rapport.
Bruk av biometriske kjenneteikn i identifikasjonssamanheng blir stadig meir populært. Talet på klagesaker (PVN-2006-08 til PVN-2006-11) om temaet stadfester dette. Nemnda støttar Datatilsynets forslag om særleg regulering av bruk av biometriske metodar, og ei prioritering av dette området i det pågåande arbeidet med etterkontroll av personopplysningslova. Regjeringa deler tilsynsmyndigheita si vurdering av situasjonen, og det er derfor sett i gang eit særskilt utgreiingsarbeid om biometri som ledd i etterkontrollen med personopplysningslova.
Datatilsynet hadde i 2007 eit budsjett på drygt 25 mill. kroner. Vesentlege delar av dette går til å dekkje lønnskostnader. Departementet har derfor dei siste åra valt å tilføre Datatilsynet midlar for å setje tilsynet i stand til å styrkje sitt informasjonsarbeid om rettar og plikter etter personopplysningslova. Tilsynet vart òg i 2008 tilført ei generell styrking på 1 mill. kroner.
Personvernnemndas sekretariat er ei deltidsstilling, og har kontor saman med Forbrukarrådet og Forbrukarombodet. Nemnda er nøgd med sekretariatsordninga, og departementet meiner at ordninga fungerer godt. Nemnda sitt budsjett var i 2008 på 1,6 mill. kroner.
Det er gjennomført 9 nemndmøte og 11 saker er avgjorde. Saksmengda i Personvernnemnda har vore stabil sidan 2005, men det ser ut til at sakene blir stadig meir kompliserte og prinsipielle.