Datatilsynet ble opprettet med hjemmel i lov
om personregistre og har vært i virksomhet siden 1. januar 1980.
Stortinget behandlet våren 1999 forslag
til ny personopplysningslov som vil erstatte personregisterloven.
Forventet ikrafttreden er 1. januar 2001.
Departementet viser til at Datatilsynet bl.a.
tar opp kommersiell bruk av registre der borgerne er pliktige å stå registrert.
Departementet arbeider med opprettelse av et sentralt reservasjonsregister
mot adressert reklame. Registeret tenkes lokalisert til Brønnøysundregistrene,
og det planlegges å være operativt når personopplysningsloven
trer i kraft. Barne- og familiedepartementet mener det bør
innføres automatisk reservasjon mot kommersiell bruk av
registre som det er lovpålagt å være
registrert i for barn under 18 år. Justisdepartementet
mener imidlertid at personopplysningsloven ikke gir hjemmel for
en slik reservasjonsordning.
Datatilsynet omtaler videre i sin årsmelding
en sak som gjelder muligheten til retting av uriktige opplysninger
i Folkeregisteret. Finansdepartementet mente det burde være
en viss adgang til å få rettet feilregistreringer,
selv om feilen skyldes melderen selv, og Skattedirektoratet er bedt
om å endre reglene i tråd med dette.
Datatilsynet redegjør også i
sin årsmelding for kontroll av det såkalte Taterregisteret
ved Kripos. Datatilsynet har bedt Justisdepartementet vurdere behovet
for slike gamle manuelle registre, og alternative oppbevaringsmuligheter.
Justisdepartementet har bedt Kripos om å vurdere overføring
av Kripos’ gamle papirbaserte personregistre til Riksarkivet.
Riksarkivet har gitt uttrykk for at det aksepteres at det manuelle
strafferegisteret avleveres Riksarkivet om ca. ti år.
Justisdepartementet har merket seg Datatilsynets generelle
behov for økte bevilgninger for å kunne imøtekomme
nye utfordringer. Datatilsynet har fått styrket sin bevilgning
i 2000 i forbindelse med innføring av ny personopplysningslov
og Schengen-samarbeidet.
Regjeringen har våren 2000 besluttet
at ansvaret for administrasjonen av Datatilsynet flyttes til Arbeids-
og administrasjonsdepartementet 1. januar 2001. Lovansvaret for
personvern forblir i Justisdepartementet.
De fleste klagesakene styret behandlet i 1999
gjelder avslag på søknad om konsesjon for opprettelse
av personregister. Noen av klagesakene har reist spørsmål
av større rekkevidde eller av prinsipiell betydning. Blant disse
nevnes klager over konsesjonsvilkår for kunderegister i
forsikring og klage fra Telenor over avslag på søknad
om publisering av telefonkatalogens hvite sider på Internett.
Også virksomhetsåret 1999
ble i betydelig grad preget av arbeidet med ny personopplysningslov.
Det er Datatilsynets oppfatning at Regjeringen har funnet frem til
en rimelig avveining av de hensyn som skal vektlegges i loven.
I en sak ført for Asker og Bærum
herredsrett ble viktige prinsipper knyttet til innhenting, oppbevaring
og bruk av materiale egnet for genetisk forskning belyst. Saken
gjaldt spørsmålet om en genforsker som skiftet arbeidsplass
kan ta med seg sitt prosjektmateriale. Samtykket som var gitt fra
donor/informant ble tolket som en tillatelse for en bestemt
forsker og ett oppgitt formål, og ikke som en personuavhengig
generalfullmakt gitt til en institusjon.
Datatilsynet har gitt uttrykk for at Sentralkartoteket for åndssvake
bør makuleres. Innvendingene mot dette baserer seg ikke
på at registeret har betydning for helsemyndighetene, men
at det representerer interessant, historisk materiale. Noen avklaring
hadde ikke funnet sted ved meldingsårets utgang.
I 1999 hadde Datatilsynet 22 faste stillingshjemler. Tilsynet
påpeker et generelt behov for økte bevilgninger
for å kunne imøtekomme nye utfordringer.
Datatilsynet har i meldingsåret arbeidet
med omfattende tiltak for å få ned saksbehandlingstiden
på kurante saker. Omfattende saker har en saksbehandlingstid
på mellom seks til åtte uker, mens helt enkle saker
nå har en gjennomsnittlig behandlingstid på fire uker.
Datatilsynet bruker flest ressurser på behandling
av søknader om konsesjon. De siste årene har vært
preget av at sakene er færre, men mer komplekse. I 1999
ga Datatilsynet konsesjon til å opprette 1 899 registre,
og det ble utstedt 417 virksomhetskonsesjoner.
I 1999 ga Datatilsynet 107 høringsuttalelser.
Datatilsynet har gitt avslag i 37 saker i 1999.
I meldingsåret kom det inn 14 klager. Tre vedtak ble helt eller
delvis omgjort av styret. Justisdepartementet avgjorde i løpet
av meldingsåret fire klagesaker. I tre av sakene stadfestet
departementet Datatilsynets vedtak.
Den nye situasjonen på telemarkedet
har gjort det nødvendig å lage et nytt rammeverk
for konsesjonene. I arbeidet med nye konsesjonsvilkår legges
det vekt på å få en harmonisering i forhold
til EUs telekommunikasjonsdirektiv. Det nye regelverket skal være
uavhengig av teknologi og sikre at vilkårene blir like
for alle operatørene.
EU-direktivet legger til grunn at landene skal
gi mulighet til anonym og strengt privat adgang til offentlige teletjenester.
Datatilsynet er av den oppfatning at det i praksis finnes få muligheter
for slik anonymitet.
Abonnentene må selv kunne avgjøre
i hvor stor grad deres personopplysninger skal offentliggjøres
i en telefonkatalog. Abonnenten skal ha rett til kostnadsfritt å kreve å bli
utelatt fra en katalog, at opplysninger om vedkommende ikke skal
kunne brukes til direkte markedsføring, og at vedkommendes
adresse delvis utelates.
Nåværende regler setter en
slettefrist på 14 dager som hovedregel for teleselskapenes
opplysninger om privatpersoners fastlinje-telefoni. For bedriftskunder og
alle mobiltelefonkunder er lagringstiden seks måneder.
Datatilsynet vil harmonisere reglene for sletting slik at det blir
lik slettefrist for alle teletjenester.
En teleoperatør har lenge operert med
en tjeneste hvor man forhåndsbetaler ringetid og dermed
slipper å registrere seg som kunde. Operatøren
har følt seg presset av myndighetene til å gi
opp denne anonyme tjenesten, og Datatilsynet er bekymret for om
den siste muligheten for å kunne benytte seg av et anonymt alternativ,
utenom bruk av offentlige telefoner, skal forsvinne. I forbindelse
med teleoperatørenes kontantkort-tilbud vil Datatilsynet
se på hvilket behov teleoperatørene har for å lagre
kundeopplysninger.
Telenor søkte Datatilsynet om å gjøre
alle opplysningene i telefonkatalogens hvite sider tilgjengelige
på Internett. Datatilsynet åpnet for en slik utlevering
på vilkår av det ble innhentet samtykke fra den
enkelte abonnent. Vedtaket ble påklaget, men Justisdepartementet
opprettholdt Datatilsynets vedtak.
Datatilsynet har registrert en stor økning
i antallet henvendelser i forbindelse med direkte markedsføring ved
bruk av tekstmeldinger til mobiltelefon (SMS). Tre selskaper er
i 1999 gitt konsesjoner til å forestå slik forsendelse
for andre. Krav fra Datatilsynet om at opplysninger til slik bruk
bare kan registreres etter samtykke fra den enkelte, har medført
enkelte reaksjoner. Datatilsynet anser SMS-meldinger i markedsføringsøyemed å være
en så fjerntliggende følge for den enkelte at
en ikke kan sies å ha samtykket bare ved å avgi mobiltelefonnummeret.
I meldingen vises det videre til en tvist mellom
påtalemyndigheten og Telenor om hvorvidt påtalemyndigheten
kan få tilgang til opplysninger om Telenor Nextels internett-kunder
som var koblet til Internett på et bestemt tidspunkt, uten
først å få tillatelse fra Post- og teletilsynet
eller rettens kjennelse. Datatilsynets oppfatning er at påtalemyndigheten
bør innhente rettens kjennelse før tilgang gis.
Høyesterett, som behandlet saken i desember 1999, kom imidlertid
til at politiet kan få tilgang til brukeridentitet uten å innhente
tillatelse fra Post- og teletilsynet eller rettens kjennelse på forhånd.
I 1999 la tilsynet ned mange ressurser i å revidere konsesjonsvilkårene
for livsforsikringsselskapene. Datatilsynet har lagt stor vekt på selskapets
plikt til å informere kunden om ulike sider ved bruk av
personopplysninger, og at opplysninger bare skal samles inn etter
samtykke fra den registrerte. To store selskaper påklaget
deler av konsesjonen. Datatilsynets styre behandlet klagen i første
omgang, og selskapene fikk delvis medhold på flere punkter.
I meldingen omtales videre en sak der en forsikringskunde
i Storebrand skulle betale forsikringspremien via en bankgiro. Banken
returnerte giroen uten å honorere den, og la ved tilbud
om bankens egen forsikringsløsning. Storebrand klaget på denne
fremgangsmåten, og Datatilsynet ga Storebrand medhold.
Bankers kunderegistre kan brukes til markedsføring, men
da bare til slik type reklame som man sender til alle kunder.
Yrkesskadeforsikringsforeningen søkte
i 1999 Datatilsynet om tillatelse til å kople forsikringsselskapenes kunderegistre
med Enhetsregisteret. Foreningen ønsket å kontakte
uforsikrede arbeidsgivere for å få dem til å tegne
slik forsikring. Datatilsynet avslo søknaden, og Justisdepartementet
fastholdt avslaget ut fra hensynet til den registrerte.
Norske borgere står oppført
i en rekke registre de er lovpålagt å være
registrert i. Datatilsynet mener at opplysninger som er avlevert
til slik pliktig registrering ikke bør brukes til andre
formål enn det som er oppgitt.
Barnas Trafikklubb sender ut reklame til alle
treåringer i landet, der barnas navn og adresse hentes
fra Folkeregisteret. Datatilsynet mottok en klage på denne framgangsmåten,
og påpekte at det måtte innføres en reservasjonsadgang.
Man er nå kommet til enighet om hvordan en reservasjonsordning
kan innføres uten at det vil medføre store tekniske
utfordringer.
I henhold til folkeregisterloven plikter man å melde fra
til Folkeregisteret når man flytter. Skattedirektoratet
mente at en feil oppgitt flyttedato bare kunne endres dersom feilen
kunne lastes Folkeregisteret. Der den meldepliktige selv har oppgitt
feil dato, kunne rettelse av datoen ikke skje. Etter Datatilsynets
vurdering synes dette å være i strid med personregisterloven § 8, og
Datatilsynet varslet Skattedirektoratet om å vurdere å pålegge
retting av flyttedato i en konkret sak som var tatt opp med tilsynet.
Datatilsynet mottok i april 1999 et forslag
fra Sosial- og helsedepartementet om endring av lov om bioteknologi
som vil medføre at forskning faller utenfor lovens område.
Et slikt unntak innebærer også unntak fra kravet
om samtykke fra opphavspersonen til det genetiske materialet. Datatilsynet
støttet ikke dette forslaget. Etter Datatilsynets oppfatning
bør samtykke være hovedregelen ved enhver bruk
av individualiserte helseopplysninger.
Datatilsynet har utviklet en veiledning for
informasjonssikkerhet for kommuner og fylker i nært samarbeid
med Kommunenes Sentralforbund og seks kommuner og fylkeskommuner.
I mai 1999 sendte Kirke-, utdannings- og forskningsdepartementet
ut forslag om forskrift til universitets- og høgskoleloven
som ville innebære at de ulike lærestedene kunne
føre et register over skikketheten til den enkelte student.
Datatilsynet framhevet at utkastet brøt med grunnleggende
personvernprinsipper. Departementet tok hensyn til Datatilsynets
bemerkninger og utarbeidet en ny regel om et sentralt register.
På den måten begrenser man spredningen av personopplysninger.
Datatilsynet mottok i 1999 en henvendelse fra
en ansatt hos Vesta i Bergen om at det ble registrert detaljerte
opplysninger om de ansattes effektivitet. Måling av ansattes
effektivitet skal være saklig begrunnet ut fra hensynet
til administrasjon og virksomhet på det aktuelle arbeidssted.
Datatilsynet mente at arbeidsgivers behov for målinger
av ansatte i dette tilfellet ikke var så tungtveiende at
det var saklig begrunnet, og konkluderte med at registreringen var
ulovlig.
Syv av Datatilsynets kontroller i 1999 har hatt
informasjonssikkerhet som hovedtema. Det er arbeidet med å legge
grunnlag for en kontrollhåndbok, og det er lagt vekt på å forsette
arbeidet med å gjennomføre kontroller distriktsvis.
Datatilsynet har bl.a. gjennomført
en kontroll av "Tater-registeret" på Kriminalpolitisentralen
(Kripos). Dette dreier seg om gamle registreringer av straffereaksjoner
og andre beslutninger politiet har gjennomført overfor
enkeltpersoner. Datatilsynet forsto det slik at Kripos har flere
eldre, manuelle registre, og at det ikke finnes retningslinjer på dette
området. Tilsynet har derfor bedt Justisdepartementet om å utarbeide generelle
regler for behandling av de manuelle registrene i politiet, vurdere
behovet for registrene og se på alternative oppbevaringsmuligheter,
som for eksempel deponering i Riksarkivet.
Oppland fylkesarkiv har arkivert diverse notater
og saksdokumenter vedrørende o.l. 1994 på Lillehammer. Materialet
inneholder i noen grad opplysninger om enkelte av IOC-medlemmenes
helseforhold og religiøse oppfatning. Datatilsynet gikk
i 1999 gjennom materialet og kom fram til at registeret er konsesjonspliktig.
Konsesjon ble senere gitt.
Datatilsynet utførte i 1999 flere kontroller
i Bergensområdet. Bevisshetsnivået var relativt
lavt når det gjaldt gjeldende regelverk, men registreringene
holdt seg stort sett innenfor de gitte rammer likevel. Datatilsynet
gjennomførte også kontroller i Vestfold.
Datatilsynet vedtok nye krav til informasjonssikkerhet
i 1998. I 1999 har sikkerhetsseksjonen videreført arbeidet
med å utdype retningslinjene. Veiledningen for bruk av
elektronisk datautveksling, EDI, i helsesektoren er ferdigstilt,
og arbeidet med Veiledning i informasjonssikkerhet i justissektoren
pågikk i hele 1999. To nye prosjekter ble startet opp:
informasjonssikkerhet i små virksomheter, og informasjonssikkerhet
relatert til bruk av virtuelle private nett; VPN.
Datatilsynet vektlegger kravet om en distribuert
sikkerhetsmodell. Dette betyr at større virksomheter må "deles
inn" i mindre driftsenheter som hver pålegges et selvstendig
sikkerhetsansvar.
Ny personopplysningslov stiller konkrete krav
til sikring av personopplysninger. Hovedkravet er at arbeidet med
informasjonssikkerhet skal organiseres gjennom internkontroll og
kvalitetssikring. Mye av dagens regelverk kan benyttes videre og
inngå i den nye sikkerhetsforskriften.
Datatilsynets prioriterte informasjonskanaler
er mediekontakt, webtjenesten, tidsskriftet SPOR, pressemøter,
seminarer og foredrag.
Det legges stor vekt på å ha
en informativ og brukervennlig webtjeneste, og det er planlagt at
webtjenesten skal ha en sentral funksjon i det viktige informasjonsarbeidet
knyttet til innføring av ny lov om behandling av personopplysninger.
Lov om behandling av personopplysninger vil
medføre store endringer i Datatilsynets oppgaver og vil kreve
en stor innsats når det gjelder å informere befolkningen
om hvilke rettigheter og plikter loven medfører. Datatilsynet
har kontakt med Statens informasjonstjeneste og Justisdepartementet
når det gjelder informasjon om den nye loven. Slik informasjon
vil kreve ekstra ressurser, også økonomisk sett.
Lovforslaget legger opp til at konsesjonsinstituttet skal
reduseres betraktelig og erstattes av en meldeordning. Datatilsynet
vil arbeide med å planlegge og bygge opp meldesystemet
i 2000.
Datatilsynet er representert i en rekke råd
og utvalg, f.eks. "Brukergruppen for elektronisk saksbehandling" som
ble nedsatt av Statskonsult høsten 1998, Prosjektarbeid
for N-SIS (Schengen informasjonssystem), Rådet for persondataarkivering
og Lege- og forsikringsutvalget. Datatilsynet deltar dessuten
i større grad i internasjonalt arbeid på personvernområdet,
bl.a. i nordisk regi og i tilknytning til EU.