1. Sammendrag
- 1.1 Fornyings-, administrasjons- og kirkedepartementets innledning
- 1.2 Fornyings-, administrasjons- og kirkedepartementets merknader til Datatilsynets årsmelding for 2011
- 1.3 Fornyings-, administrasjons- og kirkedepartementets merknader til Personvernnemndas årsmelding for 2011
- 1.4 Administrasjon og ressurser
Det vises i meldingen til at personvern er en grunnleggende rettighet for den enkelte. Det gis en oversikt over de internasjonale og nasjonale regler som regulerer personvernområdet, generelt og i spesialregelverk.
Det vises i meldingen til at dersom det skal gjøres inngrep i borgernes personvern, må dette være nødvendig, og inngrepet må være forholdsmessig.
Det vises i meldingen til at personvern ikke bare er en rettighet for enkeltindividet. Som samfunn har vi også interesse i et godt personvern.
De kommersielle aktørene er avhengige av at kundene har tillit til teknologien for at de skal ønske å benytte den. De næringsdrivende må derfor se verdien, og opparbeide denne tilliten.
Det vises i meldingen til at personvern i dag er et utpreget internasjonalt tema. I en tid med raskt økende teknologisk samhandling, også over landegrensene, er strømmen av personopplysninger enorm. Ofte lagres og brukes opplysningene på måter de registrerte ikke forstår. Av meldingen fremgår det at internasjonalt personvernsamarbeid er viktigere enn noen gang.
Både i EU, OECD og Europarådet pågår revisjon av de internasjonale personvernregelverkene. Mens Europarådets og OECDs retningslinjer angir prinsipper for flyt og behandling av personopplysninger, er EUs personverndirektiv fra 1995 i større grad ment å detaljregulere behandling av personopplysninger i EU- og EØS-landene. EU-kommisjonen har lagt frem forslag til en generell forordning om personvern som skal erstatte det gjeldende direktivet. EU-kommisjonen har også foreslått en styrking av de nasjonale tilsynsmyndighetene, deres samarbeidsorgan og virkemiddelapparat.
I meldingen vises det til at teknologien preger svært mange av våre daglige gjøremål. Det er viktig at tilbyderne av de ulike tjenestene tenker personvern når nye løsninger utvikles.
Personvernfremmende teknologi har lenge vært et kjent begrep. Eksempler er kryptering og søkemotorimmunisering. Denne teknologien er tatt i bruk i forbindelse med Offentlig elektronisk postjournal i staten på en slik måte at informasjon ikke er søkbar på personnavn lenger enn i ett år.
Personvernfremmende teknologi er et sentralt element i innebygget personvern («privacy by design»), som er i ferd med å få fotfeste også i Norge. Men innebygget personvern er mer enn bare teknologi – det er et uttrykk for at den behandlingsansvarlige har kultur for og fokus på personvern i hele sitt arbeid og at personvern er en integrert del av alle prosesser, og hensyntas på linje med andre hensyn virksomheten må ivareta. Klarer virksomheten å tenke personvern tidlig i prosesser, kan personvernhensyn tas uten at det kreves store omarbeidinger og tilpasninger. Det er et stort potensial for innebygget personvern i forbindelse med digitalisering av både offentlige og private tjenester.
Datatilsynet redegjør i årsmeldingen for omfattende strategiarbeid i 2011. Virksomheten har gjennomgått interne rutiner og prosesser, virkemiddelbruk i ulike sammenhenger, prioritering av ulike fagområder og utarbeidet strategier for flere av disse fagområdene. I tillegg har Direktoratet for forvaltning og IKT (Difi) gjennomført en evaluering av Datatilsynet som organisasjon og tilsynets virksomhet på vegne av Fornyings-, administrasjons- og kirkedepartementet.
Resultatet av strategiarbeidet er en langsiktig strategi med visjoner og overordnede mål for en femårsperiode. Viktige elementer i strategien er å arbeide for at andre aktører skal ivareta personvernhensyn i sitt arbeid, å velge riktige virkemidler i arbeidet sitt, fokusere på personvernvennlig teknologi, ha effektiv saksbehandling og et aktivt internasjonalt engasjement. I tillegg har Datatilsynet arbeidet med sektorspesifikke strategier. I meldingsåret la tilsynet frem en strategi for personvern i helsesektoren.
Det fremgår av meldingen at departementet deler Datatilsynets vurdering av behovet for langsiktig og strategisk planlegging. Difis evaluering av Datatilsynet viser at tilsynet har et høyt aktivitetsnivå med begrensede ressurser. Det er likevel viktig at en virksomhet med så vidt beskjedne ressurser foretar grundige og strategiske prioriteringer med sikte på best mulig ressursutnyttelse. Evalueringsrapporten fra Difi understreker betydningen av at Datatilsynet er tydelig i sine ulike roller. Samtidig er det lite som tyder på at brukerne opplever det som problematisk at etaten har to ulike roller i sin virksomhet.
Datatilsynet legger stor vekt på informasjon og dialog som virkemiddel, og tilsynet ønsker at informasjon skal bidra til å sette borgerne bedre i stand til å ivareta eget personvern. Samtidig ser Datatilsynet at mange innkomne saker blir stadig mer komplekse, og krever avveininger mellom flere ulike samfunnshensyn. Datatilsynet har gjennomgått saksbehandlingsrutinene med tanke på å effektivisere ressursutnyttelsen.
Det fremgår av meldingen at departementet deler Datatilsynets vurderinger av behovet for å arbeide aktivt med virkemiddelbruk og ulik prioritering av saker av ulik viktighet. Bruk av veiledning og informasjon kan være riktig og tilstrekkelig i mange saker, mens det i andre saker er behov for tilsyn og vedtak. Med begrensede ressurser kan Datatilsynet ikke behandle alle innkomne henvendelser like grundig, og god og tilpasset hjelp til selvhjelp fremstår som hensiktsmessig ressursbruk. Samtidig påpeker departementet betydningen av tilsynsaktiviteten. Stedlig tilsyn gir nyttig informasjon som grunnlag for Datatilsynets videre arbeid, samtidig som det kan virke disiplinerende for de behandlingsansvarlige å vite at de kan bli gjenstand for kontroll. Departementet har derfor merket seg at det lave antall tilsyn i meldingsåret skyldes en begrunnet prioritering og legger til grunn at Datatilsynet opprettholder noe høyere aktivitetsnivå for tilsynsvirksomheten i tiden som kommer.
Det vises i meldingen til at gjennomgående for flere av de temaene Datatilsynet omhandler i sin årsmelding, er utfordringer relatert til elektroniske spor.
I transportsektoren har omfanget av behandling av personopplysninger økt betydelig de senere årene. Helautomatiske bomstasjoner, elektronisk billettering i kollektivtrafikken, GPS-sporing og eCall representerer noen aktuelle teknologier. Datatilsynet har i meldingsåret deltatt i et omfattende arbeid med etablering av en bransjenorm for elektronisk billettering og deltatt i en arbeidsgruppe som arbeider for å legge til rette for sporfrie passeringer i helautomatiske bomstasjoner.
Også i arbeidslivet registreres en mengde elektroniske spor. Særlig i transportbransjen er bruk av GPS- og flåtestyring blitt vanlig. Datatilsynet har i meldingsåret hatt et samarbeid med Arbeidstilsynet for å kartlegge omfanget av kontroll og overvåking i arbeidslivet. Informasjon om regelverk fremstår som et viktig tiltak i sektoren. Bruk av de lagrede opplysningene til nye formål reiser særlige problemstillinger, noe også partene i arbeidslivet er opptatt av. Datatilsynet viser til at det i meldingsåret er behandlet saker der opplysninger innhentet for administrasjon senere er brukt som grunnlag i oppsigelsessaker.
Departementet mener det er viktig at aktører i alle bransjer er oppmerksomme på den store mengden elektroniske spor vi etterlater oss. Sammenstilt på nye måter kan informasjonen fortelle mye om oss, og brukt til nye formål kan informasjonen få uante konsekvenser. Departementet deler oppfatningen av at det er viktig å følge utviklingen nøye.
Det pekes i meldingen på at helse- og omsorgssektoren er en personopplysningsintensiv sektor. Opplysningene brukes ikke bare i behandlingsøyemed, men også til forskning, kvalitetssikring, administrasjon og planlegging. Den enkelte pasient har begrenset informasjon om flyten av opplysningene. Datatilsynet tar opp betydningen av personvern ved bruk av omsorgsteknologi.
Fra meldingsåret fremhever Datatilsynet samhandlingsreformen, Norsk helsearkiv og opprettelse av hjerte- og karregisteret som store saker med betydelige personvernkonsekvenser.
Behandling av personopplysninger bør etter Datatilsynets vurdering så langt råd er baseres på de registrertes samtykke. Datatilsynet fremhevet dette i forbindelse med opprettelse av nasjonal kjernejournal der registrering er frivillig, men basert på reservasjonsadgang, og ikke aktivt samtykke for den enkelte.
Det fremgår av meldingen at departementet er positiv til at Datatilsynet har utarbeidet en strategi for sitt arbeid med personvern i helsesektoren og at det mener at en slik strategi er til nytte både for Datatilsynet selv og for sektoren som skal forholde seg til Datatilsynets arbeid. Departementet deler Datatilsynets syn på pasientenes behov for informasjon og selvbestemmelse som grunnlag for at pasientene skal ha den nødvendige tillit til behandlingsapparatet og ivaretakelsen av personvernet.
I meldingen fremgår det at Datatilsynet i sin årsmelding peker på konsekvensene av systematisering og tilgjengeliggjøring av offentlig informasjon på nett.
I meldingsåret har flere saker om offentliggjøring av elev- og studentlister vært aktuelle. Datatilsynet påpeker behovet for en gjennomgang av offentleglovas muligheter for elektronisk masseutlevering av personopplysninger.
En annen sak som gjelder offentlig innsyn i personopplysninger, er den årlig tilbakevendende saken om innsyn i offentlige skattelister. I meldingsåret vedtok Stortinget endringer i ligningsloven § 8-8 som begrenser spredningen av skattelistene i elektronisk form. Datatilsynet har i mange år vært svært kritiske til den omfattende spredningen av skattelistene i elektronisk format, og er svært tilfreds med innstrammingen.
Det fremgår av meldingen at departementet deler Datatilsynets bekymring for den spredningen av personopplysninger som følger med praktisering av offentlighetsprinsippet i en digital verden. Særlig opplysninger om barn bør gis et bedre vern enn det som i dag er tilfellet. Med riktig bruk av teknologi, herunder innebygget personvern, er det departementets vurdering at det bør være mulig å sikre hensynet både til offentlighet og til personvern.
Det fremgår av meldingen at Personvernnemnda i 2011 har mottatt 13 klagesaker fra Datatilsynet. 14 saker er ferdigbehandlet i meldingsåret - seks saker fra 2010 og åtte saker fra 2011. Datatilsynets vedtak ble omgjort i seks av de 14 behandlede sakene. Til tross for at nesten halvparten av klagesakene som oversendes nemnda ender med omgjøring, er omgjøringsandelen meget lav i forhold til de ca. 400 vedtak Datatilsynet fattet i meldingsåret. Det er etter departementets vurdering neppe mulig å trekke noen klare konklusjoner om Datatilsynets praksis og regelverkstolkning basert på Personvernnemndas vedtak. Datatilsynet er opptatt av at en del saker av prinsipiell karakter bør oversendes klageorganet for avklaring. Personvernnemnda tar kun stilling til konkrete enkeltsaker, men etterlyser en overordnet rettspolitisk debatt på flere av de områdene de har behandlet saker.
Personvernnemnda påpeker at flere av sakene som ble behandlet i 2011 har dreid seg om bruk av ny teknologi i arbeidslivet. Personvernnemnda har også behandlet flere saker om behandling av personopplysninger i samferdselssektoren.
Det fremgår av meldingen at Datatilsynet i 2011 hadde et budsjett på noe i overkant av 32 mill. kroner, en økning på ca. 1 mill. kroner fra 2010 (justering for pris- og lønnsstigning). Mesteparten av det ordinære budsjettet dekker lønnskostnader (37 faste årsverk). De resterende midlene, ca. en fjerdedel av budsjettet, går til reisevirksomhet og generell drift av virksomheten. Den særlige bevilgningen på 3,2 mill. kroner til drift av slettehjelpstjenesten slettmeg.no, og et prosjekt om internkontroll og informasjonssikkerhet, opphørte ved utgangen av meldingsåret. I forbindelse med revidert nasjonalbudsjett for 2011 ble bevilgningen til Datatilsynet økt. Ekstrabevilgningen gjaldt arbeid med implementering av nye regler om datalagring i ekomsektoren og ikrafttredelse av ny politiregisterlov.
Personopplysningsloven er drøyt ti år gammel, og en del tidsaktuelle utfordringer er krevende å håndtere innenfor rammene av et regelverk utformet i en annen teknologisk virkelighet.
Datatilsynet har i meldingsåret deltatt i en rekke nasjonale, offentlige råd og utvalg. I 2011 har Datatilsynet også deltatt i ulike internasjonale fora.
I løpet av året har Datatilsynet registrert omkring 1 300 nye saker til behandling, noe færre enn året før. Tilsynet mottok 143 konsesjonssøknader og 4 010 meldinger om behandling av personopplysninger. Det ble fattet ca. 400 vedtak, hvorav 25 ble påklaget.
Difis evaluering viser at Datatilsynet utnytter sine ressurser på en god måte i forhold til de omfattende oppgavene og bekrefter at det i det alt vesentlige er anerkjent som et kompetent forvaltningsorgan som ivaretar sine oppgaver på en god måte.
Det fremgår av meldingen at departementet er tilfreds med Datatilsynets arbeid i meldingsåret. Det er gjennomført et omfattende og ressurskrevende strategiarbeid. Dette er nyttig både for tilsynet selv og for brukere av tilsynets tjenester i tiden fremover. Prioritering av diverse nasjonale og internasjonale råd og utvalg fremstår som hensiktsmessig. Særlig vil departementet påpeke betydningen av internasjonalt arbeid. Også arbeidet med å tilrettelegge for ikraftsetting av regler om lagring av trafikkdata fra elektronisk kommunikasjon er viktig og ressurskrevende arbeid.
Det fremgår av meldingen at Personvernnemnda i 2011 hadde en budsjettramme på kr 1 742 000. Totalt forbruk var på knapt 1,1 mill. kroner.
Det ble avholdt ti møter i nemnda i meldingsåret, samt et kontaktmøte med departementet. I tillegg arrangerte nemnda et internseminar for medlemmene samt inviterte deltakere fra Datatilsynet og departementet. Nemnda ga også økonomisk støtte til Personvernkonferansen 2011.
Etter departementets vurdering har Personvernnemnda på en god måte ivaretatt sin rolle som klageorgan innenfor de rammer som ble vedtatt for 2011.