Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Innstilling fra kommunal- og forvaltningskomiteen om Datatilsynets og Personvernnemndas årsmeldinger for 2011

Dette dokument

Innhold

Til Stortinget

Det vises i meldingen til at personvern er en grunnleggende rettighet for den enkelte. Det gis en oversikt over de internasjonale og nasjonale regler som regulerer personvernområdet, generelt og i spesialregelverk.

Det vises i meldingen til at dersom det skal gjøres inngrep i borgernes personvern, må dette være nødvendig, og inngrepet må være forholdsmessig.

Det vises i meldingen til at personvern ikke bare er en rettighet for enkeltindividet. Som samfunn har vi også interesse i et godt personvern.

De kommersielle aktørene er avhengige av at kundene har tillit til teknologien for at de skal ønske å benytte den. De næringsdrivende må derfor se verdien, og opparbeide denne tilliten.

Det vises i meldingen til at personvern i dag er et utpreget internasjonalt tema. I en tid med raskt økende teknologisk samhandling, også over landegrensene, er strømmen av personopplysninger enorm. Ofte lagres og brukes opplysningene på måter de registrerte ikke forstår. Av meldingen fremgår det at internasjonalt personvernsamarbeid er viktigere enn noen gang.

Både i EU, OECD og Europarådet pågår revisjon av de internasjonale personvernregelverkene. Mens Europarådets og OECDs retningslinjer angir prinsipper for flyt og behandling av personopplysninger, er EUs personverndirektiv fra 1995 i større grad ment å detaljregulere behandling av personopplysninger i EU- og EØS-landene. EU-kommisjonen har lagt frem forslag til en generell forordning om personvern som skal erstatte det gjeldende direktivet. EU-kommisjonen har også foreslått en styrking av de nasjonale tilsynsmyndighetene, deres samarbeidsorgan og virkemiddelapparat.

I meldingen vises det til at teknologien preger svært mange av våre daglige gjøremål. Det er viktig at tilbyderne av de ulike tjenestene tenker personvern når nye løsninger utvikles.

Personvernfremmende teknologi har lenge vært et kjent begrep. Eksempler er kryptering og søkemotorimmunisering. Denne teknologien er tatt i bruk i forbindelse med Offentlig elektronisk postjournal i staten på en slik måte at informasjon ikke er søkbar på personnavn lenger enn i ett år.

Personvernfremmende teknologi er et sentralt element i innebygget personvern («privacy by design»), som er i ferd med å få fotfeste også i Norge. Men innebygget personvern er mer enn bare teknologi – det er et uttrykk for at den behandlingsansvarlige har kultur for og fokus på personvern i hele sitt arbeid og at personvern er en integrert del av alle prosesser, og hensyntas på linje med andre hensyn virksomheten må ivareta. Klarer virksomheten å tenke personvern tidlig i prosesser, kan personvernhensyn tas uten at det kreves store omarbeidinger og tilpasninger. Det er et stort potensial for innebygget personvern i forbindelse med digitalisering av både offentlige og private tjenester.

Datatilsynet redegjør i årsmeldingen for omfattende strategiarbeid i 2011. Virksomheten har gjennomgått interne rutiner og prosesser, virkemiddelbruk i ulike sammenhenger, prioritering av ulike fagområder og utarbeidet strategier for flere av disse fagområdene. I tillegg har Direktoratet for forvaltning og IKT (Difi) gjennomført en evaluering av Datatilsynet som organisasjon og tilsynets virksomhet på vegne av Fornyings-, administrasjons- og kirkedepartementet.

Resultatet av strategiarbeidet er en langsiktig strategi med visjoner og overordnede mål for en femårsperiode. Viktige elementer i strategien er å arbeide for at andre aktører skal ivareta personvernhensyn i sitt arbeid, å velge riktige virkemidler i arbeidet sitt, fokusere på personvernvennlig teknologi, ha effektiv saksbehandling og et aktivt internasjonalt engasjement. I tillegg har Datatilsynet arbeidet med sektorspesifikke strategier. I meldingsåret la tilsynet frem en strategi for personvern i helsesektoren.

Det fremgår av meldingen at departementet deler Datatilsynets vurdering av behovet for langsiktig og strategisk planlegging. Difis evaluering av Datatilsynet viser at tilsynet har et høyt aktivitetsnivå med begrensede ressurser. Det er likevel viktig at en virksomhet med så vidt beskjedne ressurser foretar grundige og strategiske prioriteringer med sikte på best mulig ressursutnyttelse. Evalueringsrapporten fra Difi understreker betydningen av at Datatilsynet er tydelig i sine ulike roller. Samtidig er det lite som tyder på at brukerne opplever det som problematisk at etaten har to ulike roller i sin virksomhet.

Datatilsynet legger stor vekt på informasjon og dialog som virkemiddel, og tilsynet ønsker at informasjon skal bidra til å sette borgerne bedre i stand til å ivareta eget personvern. Samtidig ser Datatilsynet at mange innkomne saker blir stadig mer komplekse, og krever avveininger mellom flere ulike samfunnshensyn. Datatilsynet har gjennomgått saksbehandlingsrutinene med tanke på å effektivisere ressursutnyttelsen.

Det fremgår av meldingen at departementet deler Datatilsynets vurderinger av behovet for å arbeide aktivt med virkemiddelbruk og ulik prioritering av saker av ulik viktighet. Bruk av veiledning og informasjon kan være riktig og tilstrekkelig i mange saker, mens det i andre saker er behov for tilsyn og vedtak. Med begrensede ressurser kan Datatilsynet ikke behandle alle innkomne henvendelser like grundig, og god og tilpasset hjelp til selvhjelp fremstår som hensiktsmessig ressursbruk. Samtidig påpeker departementet betydningen av tilsynsaktiviteten. Stedlig tilsyn gir nyttig informasjon som grunnlag for Datatilsynets videre arbeid, samtidig som det kan virke disiplinerende for de behandlingsansvarlige å vite at de kan bli gjenstand for kontroll. Departementet har derfor merket seg at det lave antall tilsyn i meldingsåret skyldes en begrunnet prioritering og legger til grunn at Datatilsynet opprettholder noe høyere aktivitetsnivå for tilsynsvirksomheten i tiden som kommer.

Det vises i meldingen til at gjennomgående for flere av de temaene Datatilsynet omhandler i sin årsmelding, er utfordringer relatert til elektroniske spor.

I transportsektoren har omfanget av behandling av personopplysninger økt betydelig de senere årene. Helautomatiske bomstasjoner, elektronisk billettering i kollektivtrafikken, GPS-sporing og eCall representerer noen aktuelle teknologier. Datatilsynet har i meldingsåret deltatt i et omfattende arbeid med etablering av en bransjenorm for elektronisk billettering og deltatt i en arbeidsgruppe som arbeider for å legge til rette for sporfrie passeringer i helautomatiske bomstasjoner.

Også i arbeidslivet registreres en mengde elektroniske spor. Særlig i transportbransjen er bruk av GPS- og flåtestyring blitt vanlig. Datatilsynet har i meldingsåret hatt et samarbeid med Arbeidstilsynet for å kartlegge omfanget av kontroll og overvåking i arbeidslivet. Informasjon om regelverk fremstår som et viktig tiltak i sektoren. Bruk av de lagrede opplysningene til nye formål reiser særlige problemstillinger, noe også partene i arbeidslivet er opptatt av. Datatilsynet viser til at det i meldingsåret er behandlet saker der opplysninger innhentet for administrasjon senere er brukt som grunnlag i oppsigelsessaker.

Departementet mener det er viktig at aktører i alle bransjer er oppmerksomme på den store mengden elektroniske spor vi etterlater oss. Sammenstilt på nye måter kan informasjonen fortelle mye om oss, og brukt til nye formål kan informasjonen få uante konsekvenser. Departementet deler oppfatningen av at det er viktig å følge utviklingen nøye.

Det pekes i meldingen på at helse- og omsorgssektoren er en personopplysningsintensiv sektor. Opplysningene brukes ikke bare i behandlingsøyemed, men også til forskning, kvalitetssikring, administrasjon og planlegging. Den enkelte pasient har begrenset informasjon om flyten av opplysningene. Datatilsynet tar opp betydningen av personvern ved bruk av omsorgsteknologi.

Fra meldingsåret fremhever Datatilsynet samhandlingsreformen, Norsk helsearkiv og opprettelse av hjerte- og karregisteret som store saker med betydelige personvernkonsekvenser.

Behandling av personopplysninger bør etter Datatilsynets vurdering så langt råd er baseres på de registrertes samtykke. Datatilsynet fremhevet dette i forbindelse med opprettelse av nasjonal kjernejournal der registrering er frivillig, men basert på reservasjonsadgang, og ikke aktivt samtykke for den enkelte.

Det fremgår av meldingen at departementet er positiv til at Datatilsynet har utarbeidet en strategi for sitt arbeid med personvern i helsesektoren og at det mener at en slik strategi er til nytte både for Datatilsynet selv og for sektoren som skal forholde seg til Datatilsynets arbeid. Departementet deler Datatilsynets syn på pasientenes behov for informasjon og selvbestemmelse som grunnlag for at pasientene skal ha den nødvendige tillit til behandlingsapparatet og ivaretakelsen av personvernet.

I meldingen fremgår det at Datatilsynet i sin årsmelding peker på konsekvensene av systematisering og tilgjengeliggjøring av offentlig informasjon på nett.

I meldingsåret har flere saker om offentliggjøring av elev- og studentlister vært aktuelle. Datatilsynet påpeker behovet for en gjennomgang av offentleglovas muligheter for elektronisk masseutlevering av personopplysninger.

En annen sak som gjelder offentlig innsyn i personopplysninger, er den årlig tilbakevendende saken om innsyn i offentlige skattelister. I meldingsåret vedtok Stortinget endringer i ligningsloven § 8-8 som begrenser spredningen av skattelistene i elektronisk form. Datatilsynet har i mange år vært svært kritiske til den omfattende spredningen av skattelistene i elektronisk format, og er svært tilfreds med innstrammingen.

Det fremgår av meldingen at departementet deler Datatilsynets bekymring for den spredningen av personopplysninger som følger med praktisering av offentlighetsprinsippet i en digital verden. Særlig opplysninger om barn bør gis et bedre vern enn det som i dag er tilfellet. Med riktig bruk av teknologi, herunder innebygget personvern, er det departementets vurdering at det bør være mulig å sikre hensynet både til offentlighet og til personvern.

Det fremgår av meldingen at Personvernnemnda i 2011 har mottatt 13 klagesaker fra Datatilsynet. 14 saker er ferdigbehandlet i meldingsåret - seks saker fra 2010 og åtte saker fra 2011. Datatilsynets vedtak ble omgjort i seks av de 14 behandlede sakene. Til tross for at nesten halvparten av klagesakene som oversendes nemnda ender med omgjøring, er omgjøringsandelen meget lav i forhold til de ca. 400 vedtak Datatilsynet fattet i meldingsåret. Det er etter departementets vurdering neppe mulig å trekke noen klare konklusjoner om Datatilsynets praksis og regelverkstolkning basert på Personvernnemndas vedtak. Datatilsynet er opptatt av at en del saker av prinsipiell karakter bør oversendes klageorganet for avklaring. Personvernnemnda tar kun stilling til konkrete enkeltsaker, men etterlyser en overordnet rettspolitisk debatt på flere av de områdene de har behandlet saker.

Personvernnemnda påpeker at flere av sakene som ble behandlet i 2011 har dreid seg om bruk av ny teknologi i arbeidslivet. Personvernnemnda har også behandlet flere saker om behandling av personopplysninger i samferdselssektoren.

Det fremgår av meldingen at Datatilsynet i 2011 hadde et budsjett på noe i overkant av 32 mill. kroner, en økning på ca. 1 mill. kroner fra 2010 (justering for pris- og lønnsstigning). Mesteparten av det ordinære budsjettet dekker lønnskostnader (37 faste årsverk). De resterende midlene, ca. en fjerdedel av budsjettet, går til reisevirksomhet og generell drift av virksomheten. Den særlige bevilgningen på 3,2 mill. kroner til drift av slettehjelpstjenesten slettmeg.no, og et prosjekt om internkontroll og informasjonssikkerhet, opphørte ved utgangen av meldingsåret. I forbindelse med revidert nasjonalbudsjett for 2011 ble bevilgningen til Datatilsynet økt. Ekstrabevilgningen gjaldt arbeid med implementering av nye regler om datalagring i ekomsektoren og ikrafttredelse av ny politiregisterlov.

Personopplysningsloven er drøyt ti år gammel, og en del tidsaktuelle utfordringer er krevende å håndtere innenfor rammene av et regelverk utformet i en annen teknologisk virkelighet.

Datatilsynet har i meldingsåret deltatt i en rekke nasjonale, offentlige råd og utvalg. I 2011 har Datatilsynet også deltatt i ulike internasjonale fora.

I løpet av året har Datatilsynet registrert omkring 1 300 nye saker til behandling, noe færre enn året før. Tilsynet mottok 143 konsesjonssøknader og 4 010 meldinger om behandling av personopplysninger. Det ble fattet ca. 400 vedtak, hvorav 25 ble påklaget.

Difis evaluering viser at Datatilsynet utnytter sine ressurser på en god måte i forhold til de omfattende oppgavene og bekrefter at det i det alt vesentlige er anerkjent som et kompetent forvaltningsorgan som ivaretar sine oppgaver på en god måte.

Det fremgår av meldingen at departementet er tilfreds med Datatilsynets arbeid i meldingsåret. Det er gjennomført et omfattende og ressurskrevende strategiarbeid. Dette er nyttig både for tilsynet selv og for brukere av tilsynets tjenester i tiden fremover. Prioritering av diverse nasjonale og internasjonale råd og utvalg fremstår som hensiktsmessig. Særlig vil departementet påpeke betydningen av internasjonalt arbeid. Også arbeidet med å tilrettelegge for ikraftsetting av regler om lagring av trafikkdata fra elektronisk kommunikasjon er viktig og ressurskrevende arbeid.

Det fremgår av meldingen at Personvernnemnda i 2011 hadde en budsjettramme på kr 1 742 000. Totalt forbruk var på knapt 1,1 mill. kroner.

Det ble avholdt ti møter i nemnda i meldingsåret, samt et kontaktmøte med departementet. I tillegg arrangerte nemnda et internseminar for medlemmene samt inviterte deltakere fra Datatilsynet og departementet. Nemnda ga også økonomisk støtte til Personvernkonferansen 2011.

Etter departementets vurdering har Personvernnemnda på en god måte ivaretatt sin rolle som klageorgan innenfor de rammer som ble vedtatt for 2011.

Komiteen, medlemmene fra Arbeiderpartiet, Lise Christoffersen, Håkon Haugli, Hilde Magnusson, Ingalill Olsen og Eirik Sivertsen, fra Fremskrittspartiet, Gjermund Hagesæter, Morten Ørsal Johansen og Åge Starheim, fra Høyre, Trond Helleland og Michael Tetzschner, fra Sosialistisk Venstreparti, lederen Aksel Hagen, fra Senterpartiet, Heidi Greni, og fra Kristelig Folkeparti, Geir Jørgen Bekkevold, mener Datatilsynet og Personvernnemndas årsmeldinger gir en god oversikt over virksomheten i 2011 og de sentrale problemstillinger som preger arbeidet, også ut over meldingsperioden.

Komiteen har merket seg at det er bevegelse i det internasjonale personvernarbeidet. Både i EU, OECD og Europarådet pågår revisjon av de internasjonale standarder for personvern. EUs personverndirektiv er i særlig grad ment å detaljregulere behandlingen av personopplysninger i EU- og EØS-landene. Problemstillingene krever internasjonalt samarbeid både om regelverk og håndhevelse.

Komiteen har notert seg at EU-kommisjonen har foreslått en styrking av de nasjonale tilsynsmyndighetene og deres inngrepsmuligheter. For å styrke personvernet har EU-kommisjonen anbefalt at de reviderte reglene vedtas som forordning, noe som innebærer at EU- og EØS-landene må innføre reglene direkte i nasjonal lovgivning. Bruk av forordning vil i større grad harmonisere reglene om personvern i Europa.

Komiteens medlemmer fra Fremskrittspartiet og Høyre imøteser Datatilsynets engasjement for å holde seg à jour med utviklingen internasjonalt, og ser gjerne at tilsynet opptrer i forkant med å gjøre departementet og Stortinget kjent med internasjonale utviklingstrekk og problemstillinger som krever ajourføring av norske bestemmelser, fremfor å vente på direktiver.

Komiteen viser til at Datatilsynet vektlegger informasjon og dialog som virkemiddel overfor instanser som håndterer personopplysninger, i tillegg til mer kontrollrettet tilsyn. Komiteen støtter en slik tilnærming, og også mulighetene for å øke aktørenes bevissthet om personvernfremmende teknologi, der et sentralt element er «Privacy by Design», som innebærer at personvern innebygges i nye teknologiske løsninger fra begynnelsen av.

Komiteen har merket seg at den direkte tilsynsvirksomheten, uttrykt i antall stedlige tilsyn, har gått markant ned til fordel for en prioritering av interne rutiner, prosesser og strategier. Det kan være gode grunner til dette, men komiteen legger til grunn at etterlevelsen av reglene langt på vei vil avhenge av hvor aktivt eksternt tilsyn man foretar, og at indre prosesser ikke må komme i veien for den utadrettete virksomhet over tid.

Komiteen viser til samfunnsområder som transport/kommunikasjon, arbeidslivet, helse- og omsorg som er løftet frem av tilsynet i årsmeldingen: . Felles for mange av problemstillingene er at de som skal være beskyttet av personvernbestemmelsen er i en bruker-, pasient- eller klientrolle. Dette kan i utgangspunktet gi uforholdsmessig innflytelse til den sterke part i slike forhold, noe som gjør det vanskeligere for den enkelte å stille krav. Komiteen vil videre vise til at tilsynsarbeidet vil være særlig viktig for grupper som i slike sammenhenger ikke alltid artikulerer egne rettigheter.

Komiteen mener personvernet i vår tid er under et sterkere press enn noen gang tidligere. Datatilsynet har en avgjørende rolle i å motvirke dette. Samtidig med at informasjonsutveksling gjennom internett og sosiale medier blir stadig enklere, øker også faren for misbruk av informasjon. Økt digital kompetanse gir også et behov for økt kritisk kompetanse hos den enkelte. Komiteen mener den digitale deltakelsen er blitt en langt mer integrert del av enkeltmenneskets hverdag, og at det er et behov for å ha tilgjengelige og gode tjenester å rådføre seg med når det gjelder å forsvare ens egen integritet.

Datatilsynets rolle som kunnskapsformidler er i komiteens øyne særs viktig, og komiteen finner derfor grunn til å berømme Datatilsynets brukervennlige elektroniske verktøy, herunder også tilsynets internettsider.

Komiteen merker seg at mange av innkomne saker til Datatilsynet er mer komplekse og dermed tidkrevende. Komiteen mener en stadig mer omfattende digitalisering av ulike tjenester krever et robust datatilsyn som virker for et godt personvern.

Komiteen vil understreke at Datatilsynet har svært viktige tilsyns- og ombudsoppgaver. Ny teknologi utfordrer personvernet på en rekke samfunnsområder, og Datatilsynet må ha kompetanse og ressurser til å møte disse utfordringene.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet, viser i denne sammenheng til at forslag til budsjett for 2013 er på 37,9 mill. kroner. Siden 2005 har regjeringspartiene økt Datatilsynets rammer med 72 pst., inklusive lønns- og priskompensasjon. I tillegg er tilsynet i samme periode tilført til sammen 13,45 mill. kroner i prosjektmidler.

Flertallet er opptatt av å sikre fortsatt åpenhet omkring skatteopplysninger. Ny teknologi har imidlertid ført til en spredning og bruk av disse opplysningene som i enkelte tilfeller har krysset grensen for hva vi bør akseptere av personvernhensyn og åpnet for misbruk ved kriminell virksomhet. Flertallet mener endringene Stortinget gjorde i ligningsloven § 8-8 var riktige og nødvendige, og at dagens lovverk sikrer en fornuftig balanse mellom de ulike hensynene.

Komiteens medlemmer fra Fremskrittspartiet, Høyre og Kristelig Folkeparti viser til Datatilsynets omtale av innstrammingen som har skjedd i den etter hvert svært omfattende spredning av vanlige menneskers skatteforhold, der tilsynet mener regelendringene har styrket personvernet. Disse medlemmer deler denne oppfatningen, men viser til at det først var etter langvarig opinionsarbeid man fikk regjeringen med på å styrke personvernet på dette området.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet, har merket seg at departementet deler Datatilsynets bekymring for spredningen av personopplysninger som følger med praktiseringen av offentlighetsprinsippet i en digital verden. Det er i meldingen vist til spredning av både elev- og studentlister. Flertallet deler disse bekymringene og mener at det kreves et økt oppmerksomhet på både teknologiutvikling og regelstyring for å verne om elevenes og studentenes personopplysninger og deres forhold til skole og universitet.

Komiteens medlemmer fra Fremskrittspartiet, Høyre og Kristelig Folkeparti har merket seg at departementet deler Datatilsynets bekymring for spredningen av personopplysninger som følger med praktiseringen av offentlighetsprinsippet i en digital verden. Det er i meldingen vist til spredning av både elev- og studentlister. Disse medlemmer deler disse bekymringene, men har begrenset tro på at problemene med offentliggjøring av klasselister og studentregistre kan løses gjennom teknologiske løsninger, slik departementet later til å tro. Disse medlemmer er av den oppfatning at det må gjøres presiseringer i offentleglova og annet relevant regelverk, som verner elevenes og studentenes personopplysninger og deres forhold til skole og universitet.

Komiteens medlemmer fra Fremskrittspartiet viser til at Fremskrittspartiet i sitt alternative budsjett for 2013 har øket bevilgningene til Datatilsynet med 4 mill. kroner.

Komiteens medlemmer fra Fremskrittspartiet, Høyre og Kristelig Folkeparti har merket seg at det i meldingen er pekt på at til tross for at nesten halvparten av klagesakene som oversendes nemnda ender med omgjøring, er omgjøringsandelen meget lav i forhold til de ca. 400 vedtak Datatilsynet fattet i meldingsåret. Disse medlemmer mener at man må vurdere omgjøringsandelen i forhold til antall klagesaker, ikke kun i forhold til antall vedtak fattet av Datatilsynet. Datatilsynets vedtak ble omgjort i seks av de 14 behandlede sakene i Personvernnemnda. Disse medlemmer mener at dette er et avvik og kan indikere en forskjell i forståelsen av regelverket mellom Datatilsynet og Personvernnemnda. Disse medlemmer mener at det er naturlig å følge utviklingen og vurdere om det eventuelt er behov for at Stortinget avklarer rettstilstanden.

Komiteens medlemmer fra Fremskrittspartiet viser til at Fremskrittspartiet i sitt alternative budsjett for 2013 har styrket Personvernnemnda med 0,2 mill. kroner.

Komiteen har for øvrig ingen merknader, viser til meldingen og rår Stortinget til å gjøre slikt

vedtak:

Meld. St. 32 (2011–2012) – Datatilsynets og Personvernnemndas årsmeldinger for 2011 – vedlegges protokollen.

Oslo, i kommunal- og forvaltningskomiteen, den 13. november 2012

Aksel Hagen

Michael Tetzschner

leder

ordfører