Innstilling fra kommunal- og forvaltningskomiteen om Datatilsynets og Personvernnemndas årsmeldinger for 2009
Dette dokument
- Innst. 132 S (2010–2011)
- Kildedok: Meld. St. 5 (2010–2011)
- Dato: 03.12.2010
- Utgiver: kommunal- og forvaltningskomiteen
- Sidetall: 6
Tilhører sak
Alt om
Innhold
- 1. Sammendrag
- 1.1 Fornyings-, administrasjons- og kirke-departementets innledning
- 1.2 Fornyings-, administrasjons- og kirke-departementets merknader til Datatilsynets årsmelding for 2009
- 1.3 Fornyings-, administrasjons- og kirke-departementets merknader til Personvernnemndas årsmelding for 2009
- 1.4 Administrasjon og ressurser
- 2. Komiteens merknader
- 3. Komiteens tilråding
Til Stortinget
Departementet peker på at personvern er en grunnleggende rettighet som beskytter den enkeltes personlige integritet og privatliv. Inngrep i enkeltindividets personlige integritet forutsetter lovhjemmel eller samtykke fra den det gjelder.
Sikker identitetsforvaltning, gode autorisasjons- og loggløsninger, og et generelt høyt sikkerhetsnivå er viktige tiltak for å redusere negative konsekvenser ved bruk av personopplysninger. Ytterligere personvernutfordringer er knyttet til bruk av Internett med globale systemer som nødvendiggjør avklaringer vedrørende landenes jurisdiksjon. Internasjonalt personvernarbeid på flere plan er derfor viktig.
Personvern har vært et hyppig tema i den offentlige debatt i løpet av meldingsåret. Debatten dreier seg om avveiningen mellom personvern og andre viktige samfunnshensyn. Det skal alltid foretas gode, helhetlige konsekvensvurderinger slik at den samlede effekten av ulike personverninngrep vurderes i forbindelse med hvert nytt inngrep, og veies opp mot fordelene man vil oppnå med tiltaket. Datatilsynet påpeker i sin årsmelding at personverngarantiene i praksis vil smuldre bort med tiden dersom personvernet blir sett som en hindring som helst bør ryddes av veien. Det er viktig at personvernet har status som et gode med selvstendig egenverdi.
I arbeidet med oppfølgingen av Personvernkommisjonens rapport ønsker departementet å legge bedre til rette for en helhetlig tilnærming til personvernet. Målet er å ta tak i sektorovergripende problemstillinger og arbeide fram en omforent, tverrsektoriell strategi for å oppnå en mer helhetlig tenkning rundt personvernutfordringene. Eksempler på gjennomgripende problemstillinger er utfordringer knyttet til økende innsamling av elektroniske spor, tendenser til å lagre data i svært lang tid, rekkevidden av de registrertes samtykke og mangelfull tilgangskontroll. Departementet mener det bør utvikles gode teknologiske løsninger som kan medvirke til å redusere negative personvernkonsekvenser.
Som ledd i oppfølgingen av Personvernkommisjonens rapport bevilget departementet i meldingsåret midler til gjennomføring av særskilte prosjekter i regi av Datatilsynet. Det mest synlige av disse prosjektene har hittil vært opprettelsen av veiledningstjenesten og nettstedet slettmeg.no. Målet med prosjektet er å etablere et lavterskeltilbud som kan veilede publikum i hvordan de for eksempel kan få fjernet eller gjort informasjonen utilgjengelig for andre.
I meldingsåret fikk Datatilsynet midler for å igangsette et arbeid for å bedre kjennskapen til og etterlevelsen av personopplysningslovens regler om informasjonssikkerhet og internkontroll, blant annet gjennom bruk av personvernombudsordningen.
Det er i dag mer enn to millioner norske brukere på Facebook. Spørsmål om eierskap og tilgang til informasjon er viktig for de mange brukerne. Samtidig er jurisdiksjonsspørsmålet en kompliserende faktor. Nye globale lagringsmetoder i form av blant annet cloud computing åpner enorme muligheter, men utfordrer også grensene for eierskap, bruk av og kontroll med informasjon.
I meldingsåret har spørsmålet om mulig implementering av EUs datalagringsdirektiv vært et tilbakevendende tema.
Reduksjon av anonyme alternativer, i kombinasjon med at elektroniske spor i større grad registreres, medfører at personvernet utfordres.
For tiden er både EUs personvernregelverk og vår nasjonale personopplysnings-lov, som bygger på EU-direktiv 95/46/EF, til revisjon. Ett av målene er å få et mer tidsmessig oppdatert regelverk som tar høyde for den teknologiske utviklingen. Samtidig er det nå 30 år siden OECDs personvernretningslinjer ble vedtatt, og også disse er satt under lupen med tanke på oppdatering.
I meldingsåret vedtok Stortinget blant annet ny politiregisterlov. Loven innebærer langt bedre regulering av politiets bruk av personopplysninger enn gammelt regelverk. Ikrafttredelse av regelverket forutsetter forskrifter som for tiden er under utarbeidelse. Når reglene trer i kraft, vil de innebære et bedret personvern for dem som registreres i politiets registre. I meldingsåret avga Metodekontrollutvalget sin rapport Skjult informasjon – åpen kontroll, inntatt i NOU 2009:15. Rapporten er nyttig i personvern-sammenheng ved at den gir en god oversikt over politiets bruk av skjulte, og personvern-inngripende, tvangsmidler. I meldingsåret ble også Medieansvarsutvalget nedsatt. Utvalgets mandat er å foreta en samlet vurdering av reglene om plassering av ansvar for ytringer, med sikte på å vurdere om det er grunnlag for et mer enhetlig system for plassering av ansvar. Utvalget skal herunder vurdere tiltak som kan sikre enkeltmenneskers personvern i møte med media. Sektorreguleringen må spille sammen med det generelle personvernregelverket for å gi borgerne best mulig personvern.
Datatilsynet er bekymret for at personvernet svekkes som følge av mange enkeltstående tiltak, som går på bekostning av personvernet, og at personvernet tilsidesettes som følge av marginale, ikke-dokumenterte gevinster, eller av rene effektivitetshensyn. Tilsynet fokuserer på den samlede effekten av et stort antall nye personopplysningsbehandlinger, mangelfull ansvarsplassering, elektroniske spor, manglende sletting, større samhandling og færre anonyme alternativer. Departementet støtter tilsynet i at enkeltstående tiltak må ses i sammenheng med andre tiltak som får konsekvenser for personvernet. For å kunne foreta en reell forholdsmessighetsvurdering, vil en være nødt til å se på den samlede effekten av opptak/registrering og lagring av personopplysninger.
Datatilsynet peker videre på en tendens til at konsekvensen av innsamling og lagring av personopplysninger undervurderes, og at innskrenkninger i bruken av opplysningene og gode sikkerhetsløsninger vurderes som tilstrekkelig kompensasjon for lagringen. I likhet med tilsynet understreker departementet at innsamling og lagring av personopplysninger er et personverninngrep i seg selv. Departementet understreker betydningen av at vurderinger av personvernkonsekvenser foretas tidlig i en beslutningsprosess, noe også Personvernkommisjonen påpekte i NOU 2009:1 og som departementet selv peker på i sin veileder i vurdering av personvernkonsekvenser utgitt i 2008.
Teknologien setter i dag marginale grenser for lagringskapasitet, og det er ofte mer kostbart å slette opplysninger enn fortsatt å oppbevare dem. Til tross for stadig nye teknologiske løsninger, vil slettereg-lene i personopplysningsloven være avgjørende for hvor lenge opplysningene kan lagres; sletting skal skje når behandlingens formål er oppfylt. Dette ble i meldingsåret, som året før, påpekt i Datatilsynets årsmelding, og brudd på sletteplikten beskrives som den største og alvorligste enkeltutfordringen for personvernet.
En ny lagringsmåte som har fått gjennomslag internasjonalt, er cloud computing der opplysningene ikke lagres ett definert sted, men derimot i den del av nettskyen der det til enhver tid er ledig kapasitet. Både økonomisk og kapasitetsmessig har cloud computing et stort potensial. Samtidig byr denne teknologien på mange utfordringer både teknisk og juridisk. Departementet vil følge utviklingen på området tett.
Datatilsynet peker på at datasystemer må bygges opp på en personvernvennlig måte. Tilsynet peker på at innebygde personverngarantier (privacy by design) er spesielt viktig når man har ambisiøse samordningsprosjekter som krever informasjonsflyt mellom flere parter. Departementet er enig i at det er viktig at sikre datasystemer er på plass før det iverksettes tiltak som får personvernkonsekvenser.
Datatilsynet har i stor grad vært engasjert i spørsmål vedrørende personvern og helse i meldingsåret. Tilsynet har blant annet vært kritisk til enkelte sider av samhandlingsreformen, for eksempel forslag om tilgang til helseopplysninger på tvers av virksomhetsgrenser og etablering av fellesregistre i denne forbindelse. Tilsynet frykter det skjer en uthuling av taushetsplikten, og advarer sterkt mot at det åpnes for tilgang på tvers før tilstrekkelige interne sikkerhetsløsninger foreligger. Datatilsynet ønsker å bli inkludert i arbeidet med forskrift om informasjonssikkerhet ved samhandling i helsesektoren.
Videre er tilsynet bekymret for en økning i antall personer som fremover vil kunne få direkte tilgang til pasientjournaler, samt en sentralisering av registrene hos Folkehelseinstituttet. Departementet påpeker at det fremover er viktig å legge til rette for å ivareta pasientenes tillit til helsetjenesten, slik at de ikke unnlater å oppsøke tjenestene i frykt for at helseopplysninger skal spres. Dette må ses i sammenheng med behovet for økt samhandling i helsetjenesten.
Lov om medisinsk og helsefaglig forskning som trådte i kraft 1. juli 2009, innebar store endringer for Datatilsynets arbeidsfelt. Loven innebærer at Datatilsynet ikke forhåndsgodkjenner medisinsk og helsefaglig forskning. De regionale komiteer for medisinsk og helsefaglig forskningsetikk innehar nå godkjenningskompetansen, og Datatilsynet uttrykker bekymring for at komiteenes tilknytning til forsk-ningsmiljøene skal få innvirke på saksbehandlingen.
I løpet av meldingsåret ble det fremmet forslag om å etablere et sentralt register for hjerte- og karlidelser. Datatilsynet etterlyste en prinsipiell tilnærming til hjemmelsgrunnlaget for etableringen av slike register. Etter tilsynets mening bør slike registre etableres med samtykke fra pasienten, alternativt må opplysningene være pseudonymiserte, eller på annen måte være underlagt et særlig vern.
Datatilsynet påpeker videre brudd på register- og personvernlovgivningen i to tilfeller hos Kreftregisteret, ett hos Folkehelseinstituttet, ett i Colon Cancer bank samt ett hos NTNU i forbindelse med at pasient-journaler var på avveie. Departementet mener sakene sender signal om at Datatilsynet også i fremtiden bør arbeide for at personvern blir ivaretatt i helsesektoren og føre en tett dialog med helsemyndighetene. Departementet fremholder at det er mulig å ivareta personvernhensyn samtidig som man opprettholder et godt forskningsklima med mulighet for gode og viktige resultater.
I løpet av meldingsåret var forslag til revisjon av personopplysningsloven på høring. Datatilsynet er, som tilsynsmyndighet og forvaltningsmyndighet, en svært sentral høringsinstans når det gjelder personvernlovgivningen.
Datatilsynets erfaringer er av stor verdi for lovrevisjonen, og deres vurderinger vil være et nyttig verktøy i det videre lovrevisjonsarbeidet. Departementet har merket seg at de temaene Datatilsynet legger størst vekt på, langt på vei er sammenfallende med de temaene som får størst oppmerksomhet i internasjonale fora. Departementet fremhever i denne sammenheng betydningen av tilsynets deltakelse i internasjonale diskusjonsfora for vår nasjonale personverndebatt.
I løpet av meldingsåret har Datatilsynet ført tilsyn hos tre tilbydere av offentlig transport der det sentrale temaet var elektronisk billettering. Det ble videre ført tilsyn hos Statens vegvesen for å kontrollere personvern ved strekningsvis automatisk kontroll (SATK). I tillegg gjennomførte etaten tilsyn hos to bompengeselskaper. Datatilsynet setter muligheten for anonym ferdsel høyt og mener det samles inn langt flere opplysninger enn nødvendig i samferdselssektoren. Departementet viser i denne forbindelse til at det er satt i gang et interdepartementalt arbeid der også Datatilsynet deltar, som har som mål å legge til rette for anonyme bompasseringer. Det er viktig å opprettholde prinsippet om at kun de opplysningene som er nødvendige for å oppnå formålet, skal lagres.
Ny personvernnemnd ble oppnevnt i 2008, med funksjonstid fra 1. januar 2009. Advokat Eva I.E. Jarbekk, oppnevnt av Stortinget, etterfulgte professor Jon Bing som nemndas leder. Det første funksjonsåret ble et arbeidskrevende år for nemnda, som fikk en betydelig økning i antall saker sammenlignet med tidligere år – 25 innkomne saker i 2009 mot seks i 2008. Nemnda mener den store økningen i antall saker kan ha sammenheng med Datatilsynets tilsynsobjekter, da enkelte bransjer/objekter i større grad enn andre ser seg tjent med å påklage Datatilsynets avgjørelser.
Til tross for den store saksmengden har Personvernnemnda kun omgjort to av klagesakene og i de resterende ferdigbehandlede sakene opprettholdt Datatilsynets vedtak. Samsvar mellom Datatilsynets og Personvernnemndas vurderinger gir Datatilsynet større faglig tyngde i deres fremtidige virksomhet. Mange av sakene har vært prinsipielle og av betydelig omfang. Etter departementets syn reflekterer både antall saker og deres kompleksitet at presset på personvernområdet øker i takt med samfunnets ønsker om å iverksette nye og inngripende tiltak.
Da Personvernnemnda ikke selv kan reise rettspolitiske debatter, etterlyser de dette fra annet hold på flere områder. Et forhold nemnda særskilt etterlyser, er forskriftsreguleringer framfor bruk av standardkonsesjoner og nevner i den forbindelse konsesjon for å drive kredittopplysningsvirksomhet. Departementet vil her vise til at personopplysningsforskriften vil bli gjennomgått når personopplysningsloven er revidert. I den forbindelse vil det kunne være ak-tuelt å vurdere det forholdet nemnda tar opp.
Blant sakene avgjort i 2009 trekker nemnda fram vedtakene om helseforskning, der de finner det bekymringsverdig at det later til å være en tendens til å forsøke å unngå varsling av forskningsobjekter og innhenting av samtykke. De viser til at det ligger en personverntrussel i den praksis som benyttes når regelverket neglisjeres med tro på at skaden enkelt kan repareres i ettertid. Tildeling av konsesjon i etterkant vil skape en uheldig presedens, og det er også tvilsomt om lovverket gir rom for en slik etterfølgende, reparerende konsesjon.
Datatilsynet hadde i 2009 et disponibelt beløp på i overkant av 29 mill. kroner. I tillegg fikk Datatilsynet ekstrabevilgning for særskilte prosjekter på personvernområdet på til sammen 5,1 mill. kroner. Sammenlignet med 2008 har budsjettet økt med ca. 1,5 mill. kroner i tillegg til de særskilte prosjektbevilgningene. De særskilte bevilgningene kom som en følge av problemstillinger påpekt av Personvernkommisjonen i NOU 2009:1, områder der departementet så behov for raskt å iverksette målrettede tiltak. Den generelle budsjettøkningen vil bidra til å styrke Datatilsynets rolle som personvernbeskytter, tilsyn og informasjonsyter.
Nemnda hadde i meldingsåret et budsjett på 1,65 mill. kroner. Totalt forbruk var på i underkant av 1,5 mill. kroner. 12 nemndsmøter ble avholdt i løpet av meldingsåret. Naturlig nok har forbruket gått noe opp sammenlignet med 2008 i forbindelse med økningen i antall saker og møter.
Departementet vurderer Personvernnemnda, med dens tekniske, medisinske, kommersielle og juridiske kompetanse, som godt egnet til å veie personvernhensyn og andre viktige samfunnshensyn mot hverandre.
Komiteen, medlemmene fra Arbeiderpartiet, Lise Christoffersen, Roald Aga Haug, Håkon Haugli, Ingalill Olsen og Eirik Sivertsen, fra Fremskrittspartiet, Per-Willy Amundsen, Gjermund Hagesæter og Åge Starheim, fra Høyre, Trond Helleland og Michael Tetzschner, fra Sosialistisk Venstreparti, lederen Heikki Holmås, fra Senterpartiet, Ola Borten Moe, og fra Kristelig Folkeparti, Geir Jørgen Bekkevold, registrerer med tilfredshet at personvern har vært et hyppig tema i den offentlige debatt i meldingsåret. Ny teknologi gjør det mulig å lagre mer, lagre lenger, og enkelt søke i store mengder data. Denne utviklingen krever økt bevissthet om personvern som en grunnleggende rettighet som beskytter den enkelte. Ut fra en rekke gode samfunnsformål er det behov for å lagre personopplysninger. Det må imidlertid legges til grunn at ethvert nytt inngrep i personvernet må være forholdsmessig og baseres på en god, helhetlig konsekvensvurdering. Komiteen deler departementets og Datatilsynets bekymring for at rene effektiviseringshensyn eller mindre presserende problemer forsøkes løst ved å sette personvernet til side.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti, vil understreke at det ved slike konsekvensvurderinger må legges til grunn at det er summen av inngrep som har betydning for den enkelte, og at personvernet har en kjerne som under ingen omstendighet kan avveies bort.
Komiteens medlemmer fra Fremskrittspartiet og Høyre har merket seg at departementet vektlegger forsvarlig avveining før det gjøres inngrep i personvernet, der Datatilsynet ser ut til å vektlegge at personvernet må inneholde en kjerne som ikke kan avveies bort, selv der sterke praktiske og styringsmessige interesser tilsier det. Disse medlemmer vil understreke betydningen av at personvernet ikke svekkes gjennom en relativisering ut fra nyttehensyn.
Komiteen er tilfreds med at departementet som ledd i oppfølgingen av Personvernkommisjonens rapport i meldingsåret bevilget midler til etablering av veiledningstjenesten og nettstedet Slettmeg.no. Formålet med tjenesten er å gi råd og veiledning til personer som føler seg krenket på nett, eller som av andre grunner ønsker å få slettet eller rettet personopplysninger publisert på Internett.
Komiteen viser til at formålet med Datatilsynets virksomhet er å bidra til at personopplysningslovgivningen etterleves. Tilsynets kontrollvirksomhet er et viktig bidrag i denne sammenheng. Komiteen har merket seg at Datatilsynet i 2009 gjennomførte 168 kontroller, en økning på 27 fra 2008. Det er viktig og gledelig at tilsynet i økende grad gjennomfører kontroller. Komiteen er opptatt av at Datatilsynet prioriterer kontrollvirksomheten, slik at omfanget gjenspeiler de mange beslutningene som tas hver eneste dag om lagring av personopplysninger. Komiteen bemerker likevel at kontrollvirksomhet er ett av flere virkemidler som står til Datatilsynets disposisjon i tilsynets arbeid. Andre virkemidler for å fremme personvernet kan for eksempel være ulike typer kommunikasjonstiltak eller deltakelse i utarbeidelse av bransjeregelverk. Tilsynet må til enhver tid velge det virkemiddelet som antas best egnet til å nå målene overfor de ulike målgruppene.
Komiteen har merket seg at kontrollene som er gjennomført har avdekket omfattende brudd på regelverket på områder som krav til ryddig behandling av personopplysninger, informasjonssikkerhet og sletting. Komiteen deler Datatilsynets uro over manglende kunnskap om og etterlevelse av regelverket i mindre kommuner og småbedrifter.
Komiteen tar til etterretning at Datatilsynet har som mål for sin informasjonsvirksomhet at standpunkter kommuniseres på en tydelig måte, uten at dette går på bekostning av tilsynets seriøsitet og etterrettelighet.
Komiteen er tilfreds med at Datatilsynet retter mye av sin virksomhet inn mot barn og unge. I tilsynets årsmelding for 2009 har komiteen særlig merket seg én problemstilling på dette området: Foreldres publisering av opplysninger om barna sine på Internett, ofte for å skape sympati for egen barneverns- eller barnefordelingssak. Komiteen mener det er behov for tiltak på dette området.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti, har merket seg at Datatilsynet vil arbeide for at samtykkebetingelser skal settes ved utvidet innhenting og bruk av personopplysninger i markedsføring og andre kommersielle sammenhenger, og vil uttrykke støtte til arbeidet med dette.
Komiteen har merket seg at regjeringen siden 2005 har styrket Datatilsynets driftsbudsjett med ca. 45 pst., i tillegg til at det i samme periode er avsatt betydelige midler til ulike prosjekter.
Komiteen vil understreke betydningen av at Datatilsynet inngår som høringsinstans når det fremmes lovgivning som kan tenkes å utfordre personvernet.
Komiteens medlemmer fra Fremskrittspartiet, Høyre og Kristelig Folkeparti viser til at et ferskt eksempel på det siste er en presisering i trygdeloven som gir Nav større umiddelbar innsynsmulighet enn politiet når det gjelder sosialhjelpmottageres mobilabonnementer. Loven ble vedtatt mot stemmene fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og Venstre.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre, Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti, vil understreke betydningen av Datatilsynets brede internasjonale arbeid. Siden EU er en viktig premissleverandør for fremtidige personvernrettslige normer og regler, er flertallet særlig tilfreds med at Datatilsynet har valgt og fått mulighet til å delta som observatør i arbeidsgruppen som er opprettet etter artikkel 29 i EU-direktivet om personvern (Artikkel 29-gruppen). Flertallet er opptatt av at Datatilsynet også deltar på andre relevante internasjonale arenaer for erfaringsutveksling, både i nordisk og europeisk regi, slik at tilsynet er oppdatert på den teknologiske utviklingen og internasjonal tenkning på personvernområdet.
Komiteens medlemmer fra Fremskrittspartiet og Høyre er svært opptatt av at Datatilsynet skal holde tritt med utviklingen som skjer internasjonalt. Mange av standardene for den informasjonsteknologiske utviklingen og personverntenkningen skjer blant annet i EU, Europarådet, OECD og i de store internasjonale kornsernene. Det er derfor svært viktig at Datatilsynet har ressurser til å følge utviklingen og delta i ulike fora for internasjonalt samarbeid.
Komiteens medlemmer fra Fremskrittspartiet vil vise til at Fremskrittspartiet i sitt alternative budsjett for 2011 har øket bevilgningene til Datatilsynet med 2 mill. kroner.
Komiteen tar til etterretning at Personvernnemnda i meldingsåret mottok et vesentlig høyere antall klagesaker enn tidligere år og at nemnda omgjorde Datatilsynets vedtak i 2 av 15 behandlede saker. Komiteen legger til grunn at økningen i antall klagesaker ikke er et resultat av dårligere saksbehandling hos Datatilsynet, men heller et uttrykk for at flere saker er sammensatte og prinsipielle. Det totale antall klagesaker er likevel lavt tatt i betraktning Datatilsynets betydelige saksmengde, og Personvernnemndas omgjøring av to av tilsynets vedtak må anses for å være en lav omgjøringsprosent.
Komiteen har ellers ingen merknader, viser til meldingen og rår Stortinget til å gjøre slikt
vedtak:
Meld. St. 5 (2010–2011) – om Datatilsynets og Personvernnemndas årsmeldinger for 2009 – vedlegges protokollen.
Oslo, i kommunal- og forvaltningskomiteen, den 3. desember 2010
Heikki Holmås |
Håkon Haugli |
leder |
ordfører |