Innstilling fra kommunal- og forvaltningskomiteen om Datatilsynets og Personvernnemndas årsmeldingar for 2008
Dette dokument
- Innst. 93 S (2009–2010)
- Kildedok: Meld. St. 5 (2009–2010)
- Dato: 07.12.2009
- Utgiver: kommunal- og forvaltningskomiteen
- Sidetall: 8
Tilhører sak
Alt om
Innhold
- 1. Sammendrag
- 2. Komiteens merknader
- 3. Forslag fra mindretall
- 4. Komiteens tilråding
Til Stortinget
Regjeringa har framleis ei målsetjing om å auke medvitet blant befolkninga om dei truslar personvernet vert utsett for. I tillegg står det som eit mål å redusere personvernutfordringane til det som er strengt nødvendig. Regjeringa er oppteken av å utnytte den teknologiske utviklinga til både å finne personvernvennlege og personvernfremjande løysingar og vil derfor ha fokus på dette framover.
Datatilsynets og Personvernnemndas årsmeldingar for 2008 er tatt inn som vedlegg til stortingsmeldinga.
Personvernkommisjonen sin rapport blei fullført i løpet av 2008 og er teken inn i NOU 2009:1, Individ og integritet, som er sendt på høyring med høyringsfrist 20. august 2009. Kommisjonen gir ei overordna vurdering av personvernsituasjonen i Noreg, men går i djupna berre på utvalde område som det har vore spesielt fokus på dei seinare åra.
I etterkant av høyringsrunden vil Regjeringa følgje opp rapporten, og vurdere tiltak for betre å vareta borgarane sitt personvern. Datatilsynet vil stå sentralt i dette arbeidet.
Regjeringa har allereie i 2009 sett av midlar til tiltak som inneber oppfølging av nokre av dei utfordringar som det vert peika på i rapporten. Midlane skal nyttast til å setje i verk tre prosjekt med utgangspunkt i Datatilsynet. For det første vil det bli sett i verk eit prosjekt med sikte på å heve kunnskap om personvern og å sikre ein betre internkontroll og informasjonstryggleik i norske verksemder. Dette inneber bl.a. ei satsing på personvernombodsordninga. Vidare er det sett av midlar til å setje i gang eit prosjekt vedrørande personvern i grunnskolen. Målet er i første omgang å kartleggje dei utfordringar som ligg i skolesektoren, og vurdere korleis personvernet for elevar i grunnskolen kan styrkjast. Til slutt er det sett av midlar til å etablere ei teneste som skal bidra med hjelp til sletting av krenkjande personopplysningar på Internett.
Næringslivets Sikkerhetsråd (NSR) gjorde i 2008 ei mørketalsundersøking. Denne viste at ein høg prosentdel av verksemdene kjende til personvernregelverket. Mot 80 pst. av verksemdene som kjende til regelverket, var det berre 50 pst. som opplyste at regelverket blei etterlevd.
Ettersom dei fleste verksemder kjenner til regelverket, må hovudårsaka til brot på personvernlovgivinga vere manglande vilje og/eller evne til å gjennomføre dei tiltaka det er krav om. Det er avgjerande at verksemder blir gjorde bevisste om dei langsiktige, positive effektane av å etterleve personvernreglementet og får eit sjølvstendig insentiv til å oppfylle forpliktingane.
Kombinasjonen mellom teknologiske løysingar, vedvarande informasjonsarbeid og kontroll, og ein utvida bruk av personvernombod, kan vere tiltak som medverkar til å forbetre oppfyllingsstatistikken. Regjeringa har derfor løyvd midlar til å setje i verk eit prosjekt som dreier seg om å få verksemder til å ta betre vare på personvernet.
Den teknologiske utviklinga gjer det mogleg med fri flyt av informasjon på tvers av landegrensene. Det er krevjande for brukarane å setje seg inn i og forstå konsekvensane av å gi frå seg personopplysningar på utanlandske nettstader. I tillegg oppstår det spørsmål om kva lands rett som regulerer forholdet. Den norske personopplysningsloven byggjer på EUs personverndirektiv, og byggjer derfor på dei same prinsippa som dei andre landa som har implementert direktivet. Konflikt vil likevel oppstå i møte med land som har eit svakare vern, slik som forholdet er i for eksempel Nord- Amerika.
Mykje av arbeidet retta mot personvern skjer på internasjonalt nivå. Det er viktig at Noreg deltek i forum der personvernutfordringar blir diskuterte og regelverk utarbeidd. Internasjonalt har det skjedd ei rekkje tiltak som vil kunne få konsekvensar for det nasjonale personvernet. Datalagringsdirektivet er eit døme på eit slikt internasjonalt grep som har blitt kritisert for å gripe for mykje inn i kvar enkelt sin rett til privatliv. Det er viktig at Noreg òg engasjerer seg i internasjonale fora for å få størst mogleg innverknad. På EU-nivå har Noreg rett til å ta del i arbeidsgrupper, slik som den såkalla artikkel 29-gruppa der Datatilsynet deltek som observatør. Arbeidet her er viktig for å vere førebudd på framtidige utfordringar mot personvernet.
Fornyings- og administrasjonsdepartementet har merka seg at Datatilsynet peiker på problem med manglande oppfylling av meldings- og varslingsplikta, plikta til internkontroll og informasjonstryggleik og dårleg oppfølging av sletteplikta. Fokus må rettast mot løysingar som bidreg til betre oppfylling av dei lovpålagde pliktene.
Datatilsynet rapporterer om ein tendens til pulverisering av ansvar som går på kostnad av den enkelte sitt personvern. Ei vedvarande auka medvit om personvern kan medverke til at verksemder får betre ansvarsrutinar.
Datatilsynet har sett fokus på tendensen til å lagre opplysningar lenger enn nødvendig, då det kostar mindre å lagre opplysningar enn å bruke tid på å sortere ut materiale som det ikkje lenger er nødvendig å oppbevare. Ei slik massiv lagring i kombinasjon med eit utilstrekkeleg vern mot snoking, utgjer ein monaleg trussel mot personvernet til den enkelte. Regjeringa støttar Datatilsynet i at det bør setjast inn tiltak for å forbetre sletterutinar og avgrense talet på personar med tilgang til personopplysningar som blir registrerte.
At det i tillegg er lagt opp til færre anonyme løysingar, sjølv når identifisering ikkje er nødvendig, medfører at betydelege mengder informasjon kan knytast til enkeltindividet. Regjeringa vil peike på at opplysningar berre skal lagrast i identifiserbar form dersom dette er nødvendig for det tilsikta formålet. I denne samanheng bør det arbeidast med tekniske løysingar som gjer enkle anonyme alternativ mogleg.
Regjeringa la nyleg fram utkast til ny politiregisterlov. Forslaget inneber ei rekkje endringar samanlikna med rettstilstanden i dag. Den nye loven og tilhørande forskrift gjer klårare regler om behandlingsansvar, teieplikt, tilgang, innsyn, retting og sletting.
Regjeringa har etter grundige vurderingar bestemt seg for ikkje å foreslå lagring av fingeravtrykk i det sentrale passregisteret, jf. Ot.prp. nr. 64 (2008–2009) om endringar i passloven.
Det har vidare skjedd ei internasjonal utvikling når det gjeld utveksling av biometrisk informasjon. Regjeringa har allereie i samband med DNA-reforma innført ei rekkje endringar i regelverket, blant anna etablering av etterforskingsregisteret for DNA-analysar og fleire andre endringar i påtaleinstruksen. Desse endringane bidrar til å sikre betre kontroll med opplysningar om DNA. Biometrisk informasjon vil i framtida vere omfatta av den nye politiregisterloven, noko som inneber at Datatilsynet vil føre tilsyn med registra.
Innføring av datalagringsdirektivet vil medføre at elektronisk kommunikasjon blir lagra i større omfang og over lengre tid enn i dag. Direktivet reiser viktige prinsipielle problemstillingar i forholdet mellom personvern og arbeidet mot kriminalitet. Frå Regjeringa si side er det viktig at ei eventuell lovgiving om datalagring inneheld gode og sterke personvernreglar.
I meldingsåret har det vore eit sterkt press mot personvern på Internett og innan telekommunikasjon. I media har det spesielt vore fokus på fildelingsspørsmålet. Det er nødvendig med ein offentleg debatt om korleis ein unngår at den enkelte sitt personvern blir sett til side samtidig som ein kan arbeide for å stanse slik ulovleg fildeling.
Datatilsynet har òg retta ein del av arbeidet sitt mot personvern i ulike nettsamfunn. Datatilsynet har foreslått at det blir oppretta ei hjelpelinje for personar som ufrivillig har fått krenkjande personopplysningar lagde ut på Internett. Regjeringa har derfor gitt Datatilsynet midlar til å utgreie og opprette ei hjelpeteneste for personar som blir krenkte på Internett.
Barn og unge er spesielt utsette for krenkingar på Internett, eller dei står i fare for å utsetje andre for krenkingar. Datatilsynets arbeid retta mot bruken av Internett blant unge har vist seg å ha stor bevisstgjerande effekt. Du bestemmer-kampanjen hadde i 2007 stor verknad hos unge nettbrukarar. I meldingsåret blei det utarbeidd ein ny rettleiar om bilete av barn på Internett. Denne var retta mot barnehagar, skolar og føresette for å forhindre at bilete av barn ukritisk blei lagde ut på nett.
Regjeringa ser positivt på dei initiativ Datatilsynet har teke for å betre personvernet hos barn og unge i skolen og på Internett. Departementet ønskjer at det framleis skal arbeidast for bevisstgjering blant denne gruppa, og for å bevisstgjere føresette og barne- og ungdomsarbeidarar med omsyn til dei unges personvern. I NOU 2009:1 er det peikt på ei rekkje behov for forbetringar når det gjeld personvern hos barn og unge. Blant anna med bakgrunn i Personvernkommisjonens rapport skal det setjast i gang eit prosjekt som skal greie ut personvernsituasjonen i grunnskolen, og korleis ein best kan ta vare på barnas behov for vern.
Datatilsynet er bekymra for at helsepersonell har tilgang til overskotsinformasjon, og peiker på at dette er i strid med teieplikta. Regjeringa påpeiker at ei ordning med elektronisk tilgang til pasientjournal på tvers av verksemder ikkje vil innebere fri tilgang til pasientjournalar for alle som jobbar i helsesektoren. På same måte som tidlegare har helsepersonell berre tilgang til den informasjonen dei har behov for i arbeidet sitt. Men dersom tilgangskontroll og tryggleiksrutinar sviktar, vil det kunne få større konsekvensar enn tidlegare. Det er derfor viktig at det skjer kvalitetskontroll med slike rutinar.
Datatilsynet gjennomførte 141 kontrollar i løpet av meldingsåret. Hovudfokus låg på elektronisk kommunikasjon og Internett. Departementet er tilfreds med at Datatilsynet har ei omfattande tilsynsverksemd. Funna under kontrollen er derimot ikkje tilfredsstillande. Det blir diverre avdekt mange regelbrot, og brota er ofte knytte til meldings- og varslingsplikta, plikta til internkontroll og informasjonstryggleik, sletteplikta og oppfølgingsansvaret mot ekstern databehandlar. Det er derfor viktig å framleis ha merksemda retta mot betre etterleving av personopplysningsregelverket blant dei behandlingsansvarlege.
Dei sakene som har vore fremja for Personvernnemnda i meldingsåret, har hatt stor prinsipiell betyding. Sjølv om nemnda berre har myndigheit til å avgjere enkeltsaker, vil deira avgjerd ofte ha innverknad utover kvar enkelt sak. Det har blitt avsagt vedtak av prinsipiell betyding for bl.a. behandlinga av kredittopplysningar og for politiet sine register.
Personvernnemnda meiner ut frå vurderingane i sakene om kredittopplysningsbransjen, konkret selskapa Lindorff og Creditinform, at det bør skje ei forskriftsregulering av spørsmålet om konsesjon til kredittopplysningsfirma. Datatilsynet opererer med standardkonsesjon i slike tilfelle. Om denne praksisen for bruk av standardkonsesjon bør erstattast med ei forskriftsregulering, vil bli vurdert av Regjeringa i samband med den pågåande etterkontrollen av personopplysningsloven.
Av sentral betydning er òg avgjerda om det sentrale straffe- og politiopplysningsregisteret (SSP). Nemnda etterlyser her ein rettspolitisk diskusjon av politiets registrering, oppbevaring, bruk og sletting av sensitive personopplysningar. Det er uttrykt spesiell bekymring for at det er vid tilgang til registeret, og manglande sletterutinar. Dei utfordringar nemnda peiker på i si saksbehandling vil finne si løysing i ny politiregisterlov, som Regjeringa har oversendt Stortinget til behandling, samt dei nye datasystem som vil verte innført.
Datatilsynet hadde i 2008 eit budsjett i overkant av 26 mill. kroner. Vesentlege delar av dette går til å dekkje lønnskostnader. To mill. kroner var øyremerkte kommunikasjonsprosjekt. For å leggje til rette for at Datatilsynet skal kunne halde fram med det gode arbeidet, har Regjeringa auka tilsynets budsjett ytterlegare i inneverande år. Datatilsynet er tildelt midlar til tre nye prosjekt som no skal setjast i gang.
Departementet deler Datatilsynets vurdering av at internasjonalt samarbeid er viktig, og støttar tilsynets prioritering i denne samanhengen.
Personvernnemndas sekretariat består av ei deltidsstilling, og har i meldingsåret vore samlokalisert med Forbrukarrådet og Forbrukarombodet. Nemnda er fornøgd med sekretariatsordninga, og Regjeringa meiner ordninga fungerer godt. Nemndas budsjett er i inneverande år på 1,6 mill. kroner.
Det er gjennomført 9 nemndmøte og eit tilsvarande tal saker er avgjorde. Saksmengda i Personvernnemnda har dei siste åra vore forholdsvis stabil, men sakene ser jamt over ut til å ha blitt meir komplekse og av meir prinsipiell art. Arbeidsmengda har derfor auka noko, trass i at talet på saker har vore stabilt.
Stortinget utnemnde hausten 2008 ny leiar og nestleiar av Personvernnemnda. Dei andre fem medlemmene av nemnda blei utpeikte av Fornyings- og administrasjonsdepartementet.
Komiteen, medlemmene fra Arbeiderpartiet, Lise Christoffersen, Håkon Haugli, Hilde Magnusson Lydvo, Ingalill Olsen og Eirik Sivertsen, fra Fremskrittspartiet, Per-Willy Amundsen, Gjermund Hagesæter og Åge Starheim, fra Høyre, Trond Helleland og Michael Tetzschner, fra Sosialistisk Venstreparti, lederen Heikki Holmås, fra Senterpartiet, Ola Borten Moe og fra Kristelig Folkeparti, Geir Jørgen Bekkevold, påpeker at Datatilsynet og Personvernnemnda i sine årsmeldinger rapporterer om at en stadig utvidet informasjonstilgjengelighet om enkeltmennesker og grupper av brukere byr på stadig nye problemstillinger. Informasjonsmengden, lagringskapasiteten og søkemuligheten setter privatlivet under et stadig større press. Dette gjelder enten personopplysningene er lagt åpent frem frivillig eller er avgitt på forlangende. Summen av opplysninger kan bli overveldende hvis de ikke slettes, og hvis registrerte opplysninger kobles.
Komiteen vil peke på at den enkelte registrering kan være praktisk for administrative og forretningsmessige formål, men at summen av registreringer til slutt kan svekke personvernet og dermed den individuelle frihetsopplevelse.
Komiteen er av den oppfatning at det i lys av den teknologiske utvikling er helt nødvendig å bevisstgjøre publikum, moderere sektorinteressenes ønske om å registrere og til slutt forbedre informasjonssikkerheten rundt de opplysninger som ut fra et samfunnsmessig nyttehensyn må tillates lagret.
Komiteen mener ansvarlige myndigheter må følge opp når Datatilsynet varsler om mangelfull varsling og melding, svak internkontroll og dårlig oppfølging av slettepålegg.
Komiteens medlemmer fra Fremskrittspartiet, Høyre og Kristelig Folkeparti har merket seg at Datatilsynet har foreslått at det blir opprettet en hjelpelinje for personer som har fått krenkende personopplysninger lagt ut på Internett. Disse medlemmer støtter dette initiativet.
Komiteen vil peke på at som ledd i sterkere grad av etterlevelse av bestemmelsene, forutsettes også at ansvaret defineres entydig og ikke pulveriseres. Datatilsynet har pekt på tendensen til å lagre opplysninger lenger enn nødvendig for formålet. Mange hensyn bak registrering kan oppnås uten at opplysningene kan tilbakeføres til enkeltindivider. Komiteen minner om at opplysninger bare skal kunne lagres i identifiserbar form dersom dette er nødvendig for formålet, og det bør søkes løsninger som innebærer anonymisering.
Komiteen er kjent med at EUs direktiv om datalagring av 15. mars 2005 er under gjennomføring i EU og EØS-området, men at innføring i Norge vil bli fremlagt Stortinget for avgjørelse når høringsrunden er avsluttet første halvår 2010. Direktivet har utløst debatt, hvilket er positivt med tanke på at personvernet er tjent med en bevisst, aktiv og kritisk opinion. Komiteen vil ikke på dette tidspunkt forskuttere de konklusjoner som vil komme under høringsrunden.
Komiteens medlemmer fra Fremskrittspartiet, Høyre og Kristelig Folkeparti forventer en fortløpende eller samlet tilbakemelding om hvordan Regjeringen har fulgt opp forslagene i NOU 2009:1, fremlagt 13. januar 2009 under tittelen "Individ og integritet", utover det som fremkommer i meldingens kapitel 1, s. 6, 1.spalte.
Komiteen viser til at Datatilsynet gjennomførte 141 stedlige kontroller i 2008. I forhold til de mange beslutningene som tas hver eneste dag om lagring av personopplysninger, vil kontrollen fortone seg som stikkprøver.
Komiteen har med tilfredshet merket seg at Datatilsynet har orientert mye av sin oppmerksomhet i 2008 mot barn og unge, Internett og skole. Barn og unge er spesielt utsatt for krenkelser på Internett, og de står i fare for å utsette andre for krenkelser. Opplæring og bevisstgjøring er avgjørende for å utvikle gode holdninger i senere generasjoner.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet, understreker Datatilsynets viktige rolle som ombud og tilsynsfører for personvernet i en tid der dette blir utfordret på stadig flere områder og i stadig økende omfang. Flertallet merker seg at Regjeringen i årets statsbudsjett legger opp til en varig styrking av Datatilsynet gjennom en økning på tre millioner kroner. Siden 2005 er Datatilsynets budsjett økt med 40 pst. I tillegg er det i denne perioden avsatt til sammen kr 8,2 mill. til ulike prosjekter.
Flertallet er tilfreds med at Datatilsynet, som et prøveprosjekt til medio 2011, nå etablerer en hjelpelinje for personer som har fått krenkende opplysninger lagt ut på Internett. Flertallet mener det er av stor betydning at Datatilsynet yter denne type service til privatpersoner.
Flertallet legger til grunn at Regjeringen vurderer de forslagene som ligger i NOU 2009:1 "Individ og integritet" og vil holde Stortinget fortløpende orientert om de initiativ som tas for å styrke personvernet.
Komiteens medlemmer fra Fremskrittspartiet mener personvernet har fått dårligere vilkår under den nåværende regjeringen. Disse medlemmer mener at et sterkt personvern er avgjørende både for den enkeltes frihet og for demokratiet. I et samfunn med stort fokus på trygghet og kontroll blir toleransegrensene for inngrep i den personlige sfæren stadig større. Vernet om den private sfæren er en forutsetning for et fritt samfunn. Friheten forutsetter at hvert menneske vernes mot utilbørlig registrering, overvåking og inngripen i privatlivet. Disse medlemmer vil peke på at det stadig er et økt press mot personvernet, noe som Datatilsynets årsmelding for 2008 oppsummerer på en tydelig måte. Den teknologiske utviklingen og ulike krav til kontroll og sikkerhet stiller samfunnet overfor store utfordringer knyttet til en prinsipiell personvernpolitikk.
Disse medlemmer innser at det i mange sammenhenger er krevende å innta et prinsipielt standpunkt når det gjelder personvern. De aller fleste saker og initiativ hvor andre hensyn enn personvernhensyn blir tillagt størst vekt, springer ut fra gode hensikter. Isolert sett er det mulig å forsvare det meste, og som regel er hver enkelt sak tilsynelatende bra. For disse medlemmer er det på denne bakgrunn viktig at det føres en konsekvent personvernpolitikk.
Disse medlemmer viser videre til at Personvernkommisjonens innstilling foreligger og nå behandles i FAD. Disse medlemmer understreker at arbeidet med å legge frem sak til Stortinget om Personvernkommisjonens arbeid og anbefalinger må ha prioritet og at slik sak bør komme så fort som mulig. Disse medlemmer viser til at personvernet er under press, og at det derfor haster med å avklare og fastlegge nødvendige lov- og forskriftstiltak for å beskytte og forsterke personvernet i Norge.
Disse medlemmer peker spesielt på at EUs datalagringsdirektiv setter personvernet i Norge under ekstra press og at sak basert på Personvernkommisjonens anbefalinger bør behandles av Stortinget før datalagringsdirektivet behandles og vil i denne forbindelse vise til representantforslag, Dokument 8:5 S (2009–2010), jf. Innst. 64 S (2009–2010).
I tillegg er disse medlemmer svært opptatt av at Datatilsynet skal holde tritt med utviklingen som skjer internasjonalt. Mange av standardene for den informasjonsteknologiske utviklingen og personverntenkningen skjer blant annet i EU, Europarådet, OECD og i de store internasjonale konsernene. Det er derfor svært viktig at Datatilsynet har ressurser til å følge utviklingen og delta i ulike fora for internasjonalt samarbeid.
Disse medlemmer vil vise til at Fremskrittspartiet i sitt alternative budsjett for 2010 har øket bevilgningene til Datatilsynet med 2 mill. kroner.
Disse medlemmer merker seg at Personvernkommisjonen har diskutert datalagringsdirektivet (2006/24/EF) og er fornøyd med at kommisjonen ikke anbefaler at direktivet innføres i Norge uten at behovet for utvidet lagring er bedre dokumentert. Disse medlemmer er meget skeptiske til en implementering av datalagringsdirektivet. Direktivet vil kunne få stor betydning for den grunnleggende retten til å kommunisere anonymt. Disse medlemmer mener Stortinget allerede nå bør sikre at direktivet ved en eventuell implementering blir så lite omfattende som mulig.
Disse medlemmer fremmer på denne bakgrunn følgende forslag:
"Stortinget ber Regjeringen, ved eventuell implementering av datalagringsdirektivet (2006/24/EF), sikre at dataopplysninger som direktivet pålegger landene å lagre, maksimalt lagres i seks måneder som er direktivets minimumsramme."
Forslag fra Fremskrittspartiet:
Forslag
Stortinget ber Regjeringen, ved eventuell implementering av datalagringsdirektivet (2006/24/EF), sikre at dataopplysninger som direktivet pålegger landene å lagre, maksimalt lagres i seks måneder som er direktivets minimumsramme.
Komiteen har for øvrig ingen merknader, viser til meldingen og ber Stortinget gjøre slikt
vedtak:
Meld. St. 5 (2009–2010) – om Datatilsynets og Personvernnemndas årsmeldingar for 2008 – vedlegges protokollen.
Oslo, i kommunal- og forvaltningskomiteen, den 7. desember 2009
Heikki Holmås |
Michael Tetzschner |
leder |
ordfører |