2. Komiteens merknader
Komiteen, medlemmene fra Arbeiderpartiet, Lise Christoffersen, Håkon Haugli, Hilde Magnusson, Ingalill Olsen og Knut Petter Torgersen, fra Fremskrittspartiet, Gjermund Hagesæter, Morten Ørsal Johansen og Åge Starheim, fra Høyre, Trond Helleland og Michael Tetzschner, fra Sosialistisk Venstreparti, lederen Heikki Holmås, fra Senterpartiet, Heidi Greni, og fra Kristelig Folkeparti, Geir Jørgen Bekkevold, mener Datatilsynet er det viktigste redskap for daglig ivaretakelse av personvernhensyn i forvaltningen, i privat sektor og i norsk offentlighet generelt. Tilsynet arbeider med spørsmål av stor rekkevidde for borgerne. Datatilsynet skal bidra til å identifisere risikoområder og gi råd om hvordan skadepotensialet ved at personopplysninger kommer på avveie, kan unngås eller minimaliseres. Datatilsynet fører en offentlig fortegnelse over alle behandlinger av personopplysninger som er meldt inn. Videre behandler Datatilsynet søknader om konsesjon, der det kreves etter loven.
Komiteen vil peke på at samfunnslivet etter hvert får flere bestemmelser som skal sikre forsvarlig behandling av personopplysninger. Likevel er det en stor oppgave for et tilsyn å kontrollere at lover og forskrifter blir fulgt og at avvik mellom lov og praksis blir rettet. I motsetning til hva som er tilfellet ved overtredelse av andre lover eller krenkelse av individuelle rettigheter, der det er lett å identifisere en skadelidende part, vil svært mange brudd på personopplysningsloven være en «forbrytelse uten offer». Urettmessig eller uproporsjonal registrering er rettsstrid allerede på registreringstidspunktet, det vil i praksis si lenge før eventuelle skadevirkninger har vist seg. Dette tilsier nødvendigheten av et aktivt, skadeforebyggende tilsyn.
Komiteen vil likeledes fremheve viktigheten av tilsynets rådgivningsarbeid overfor bransjeorganisasjonene i deres arbeid med å utvikle gode, bransjevise normer. Utviklingen av bransjevise kutymer som går lenger enn lovens minstekrav til behandling av personfølsomme opplysninger kan supplere formelle lover og forskrifter, samtidig som det minner aktørene på at de ikke nødvendigvis bør utnytte de tekniske registreringsmuligheter til lovens yttergrense.
Komiteen vil peke på at det praktiske erfaringsgrunnlaget Datatilsynet får gjennom sin virksomhet, også representerer et kompetansesenter for personvernspørsmål som lovgiver kan bruke ved utviklingen av nye regler som den teknologiske utviklingen gjør nødvendig. Derfor er tilsynets rolle som deltaker i samfunnsdebatten svært velkommen.
Komiteen har merket seg at departementet har lagt vekt på teknologiens muligheter til også å virke personvernfremmende. Departementet fremhever betydningen av at når nye løsninger utvikles, kan de designes slik at personvernvennlige alternativer blir førstevalget. Det betyr at det kun lagres opplysninger som er nødvendige for registreringens formål, og hvor det ev. kan åpnes for frivillig registrering av tilleggsopplysninger. Komiteen er enig i at en slik metodikk vil kunne styrke personvernet i konkrete valgsituasjoner.
Komiteen vil henvise til at personvernfremmende teknologi er gitt en bred omtale i Personvernkommisjonens innstilling NOU 2009:1, som man imøteser den videre oppfølging av fra departementet.
Komiteen har merket seg at det i årsmeldingen er fremhevet enkelte arbeidsområder som særlig aktuelle: helsesektoren, arbeidslivet og sosiale medier.
Komiteen vil understreke betydningen av at helseopplysninger behandles forsvarlig. Hovedregelen er at bruk av helseopplysninger til andre enn behandlingsrettede formål skal være basert på informert samtykke. Dette er et sentralt personvernprinsipp og skal sikre den enkelte en reell mulighet til å bestemme over bruken av egne personopplysninger. Selv om samtykke er hovedregelen, er det en urovekkende praksis at de fleste helseregistre opprettes uten de registrertes medvirkning.
Komiteen vil peke på at personvernutfordringene i arbeidslivet har økt som følge av teknologiutviklingen, og at bruk av datamaskiner på arbeidsplassen kan utviske skillene mellom privat og arbeidsrelatert kommunikasjon. Slike forhold har en del ganger kommet for retten, og komiteen legger til grunn at departementet følger rettsutviklingen, og ev. overveier bestemmelser som kan forbygge eller løse eventuelle motsetninger mellom arbeidsgivers kontrollbehov og arbeidstakers personvern.
Komiteen har med tilfredshet notert at tilsynet og departementet har fremhevet den stigende bruken av de sosiale mediene, som Facebook, Twitter og YouTube og de personvernmessige problemene som har oppstått. En konsekvens av den økte nettbruken er at brukerne oftere opplever å få krenket sitt personvern på nettet. For særlig de yngre brukerne gjelder at krenkelsen finner sted etter aktiv medvirkning av den som rammes. For å motvirke dette bevilget Stortinget penger til slettehjelpstjenesten slettmeg.no i et toårig prosjekt. Komiteen vil fremheve verdien av at tjenesten kan fortsette, og legger til grunn at regjeringen i fremtidige budsjettforslag innarbeider en forutsigbar økonomisk ramme for denne virksomheten.
Komiteen viser til at det har vært en uavklart diskusjon om hvorvidt institusjoner, i dette tilfelle høyskoler og universiteter, har anledning til å nekte å utlevere personregistre over sine studenter når utenforstående kommersielle interesser ber om innsyn med hjemmel i offentlighetsprinsippet.
Komiteen viser til at avklaring av konkurrerende rettsprinsipper vil være forvaltningens og domstolenes ansvar i første omgang, men at lovgiverne må ta det endelige ansvar for hvilken rettstilstand en ønsker for personverninteressen. Komiteen vil imøtese en nærmere omtale av de eventuelle funn Datatilsynet gjør ved tilsyn av institusjoners personvernpraksis, og i denne sammenheng hvilke avveininger Personvernnemnda foretar.
Komiteen fremhever diskusjonen om datalagringsdirektivet (DLD) som et eksempel på at utviklingen av rettsregler utenfor våre grenser blir stadig viktigere for Norge. Sentrale deler av personvernlovgivningen er bygget på EU-direktiver, og EU-organer er sentrale i fortolkning av regelverket. Multinasjonale selskaper som Google, Apple og Facebook behandler enorme mengder personopplysninger. Det er utfordrende både å få kunnskap om hva de faktisk gjør og ikke minst komme i inngrep med dem. At disse selskapene ofte er lokalisert utenfor Norge og Europa stiller oss også overfor problemer mht. jurisdiksjon.
Komiteen vil videre peke på at Europakommisjonen i etterkant av evalueringsrapporten om DLD har gjennomført en høring. Resultatet av høringen skal inngå i en konsekvensanalyse, som igjen skal danne grunnlaget for et forslag om endring av direktivet. Kommisjonen har bestilt en ekstern rapport som vil bli lagt fram i mai 2012, samtidig med konsekvensanalysen. Forslaget til endring av datalagringsdirektivet er ventet i juli.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti, har merket seg at det både nasjonalt og internasjonalt arbeides med å styrke regelverket på personvernområdet. Justisdepartementet arbeider med en gjennomgang av personopplysningsloven med sikte på en revisjon. Internasjonalt har personvern også bred oppmerksomhet. I tillegg til at både OECD og Europarådet nå oppdaterer sine retningslinjer om personvern, arbeider EU med en oppdatering av direktiv 95/46/EF (personverndirektivet). EU har stor oppmerksomhet rettet mot å styrke de registrertes rettigheter.
Komiteen vil understreke viktigheten av Datatilsynets brede internasjonale arbeid. Siden EU vil være en sentral premissleverandør for fremtidige personvernrettslige normer og regler, er komiteen særlig tilfreds med at Datatilsynet har valgt og fått mulighet til å delta i arbeidsgruppen som er opprettet etter artikkel 29 i EU-direktivet om personvern (Artikkel 29-gruppen). Komiteen er opptatt av at Datatilsynet også deltar aktivt på andre relevante internasjonale arenaer for erfaringsutveksling, slik at tilsynet er oppdatert på den teknologiske utviklingen og internasjonal tenkning på personvernområdet.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti, er tilfreds med at Datatilsynet retter en viktig del av sin virksomhet inn mot barn og unge. I denne sammenheng vil flertallet vise til at regjeringen har fremmet forslag til endringer i personopplysningsloven, Prop. 47 L (2011–2012), som bl.a. omfatter ny § 11 tredje ledd:
«Personopplysninger som gjelder barn skal ikke behandles på en måte som er uforsvarlig av hensyn til barnets beste.»
Det fremkommer av proposisjonen at bestemmelsen blant annet vil kunne omfatte publisering av personopplysninger om egne barn. Datatilsynet har ved flere anledninger uttrykt bekymring for foreldres bruk av slike personopplysninger for å fremme egen sak i barneverns- og/eller barnefordelingssaker. Forslaget om bedre beskyttelse av barns personopplysninger innebærer at Datatilsynet vil kunne gripe inn ved grove krenkelser av barns personvern. Flertallet vil understreke at mindreåriges personvern er et problem som må tas svært alvorlig. Bilder og opplysninger om barn spres lett på nettet, og det er dessverre ikke alltid voksne setter barns behov og interesser først.
Flertallet tar til etterretning at Personvernnemnda i meldingsåret omgjorde Datatilsynets vedtak i 6 av 14 behandlede saker. Dette er en høyere andel enn tidligere år. Flertallet legger imidlertid til grunn at dette ikke er et resultat av dårligere saksbehandling hos Datatilsynet, men heller et uttrykk for at flere saker er sammensatte og prinsipielle. Det totale antall klagesaker er lavt tatt i betraktning Datatilsynets betydelige saksmengde.
Komiteens medlemmer fra Fremskrittspartiet, Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti viser til Innst. 275 L (2010–2011) om Datalagringsdirektivet:
«Komiteens medlemmer fra Fremskrittspartiet, Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti påpeker at personvernet er under press, og ny teknologi muliggjør økt overvåkning. Ny teknologi innebærer alltid nye muligheter. Men det er politikkens rolle å sette grensene for teknologien når det finnes interessekonflikter; som her opp mot personvernet og rettsstatsprinsipper.
Datalagringsdirektivet endrer dagens praksis, fra en begrenset lagringsmulighet for faktureringsformål, til en pålagt lagring av trafikkdata over lengre tid. Direktivet pålegger alle teleselskaper å lagre hvem man ringer til, hvor man ringer fra, hvor lenge man snakker, hvem man sender SMS til, hvor mottakeren befinner seg, når man er på Internett, hvor lenge, og hvem man sender e-post til, i 6–24 måneder.
Overgangen fra lagringsmulighet og sletteplikt til en lagringsplikt, betyr et stort skritt inn i et overvåkingssamfunn som disse medlemmer ikke ønsker.»
Komiteens medlemmer fra Fremskrittspartiet og Kristelig Folkeparti mener personvernet i vår tid er under et sterkere press enn noen gang tidligere. Datatilsynet har en avgjørende rolle i å motvirke dette. Samtidig med at informasjonsutveksling gjennom Internett og sosiale medier stadig blir enklere, øker også faren for misbruk av informasjon. Økt digital kompetanse gir også et behov for økt kritisk kompetanse hos den enkelte.
Komiteens medlemmer fra Fremskrittspartiet vil vise til at Fremskrittspartiet i sitt alternative budsjett for 2012 har øket bevilgningene til Datatilsynet med 5 mill. kroner.
Komiteens medlemmer fra Høyre har merket seg at utover omtalen av DLD som i 2010 primært var et innenrikspolitisk tema, inneholder årsmeldingen i motsetning til tidligere sparsomt med vurderinger og informasjon om internasjonale utvik-lingstrekk som har betydning for tilsynets arbeid. Disse medlemmer imøteser gjerne en omtale av disse og beslektede temaer i senere årsmeldinger.