Datatilsynet har vært i virksomhet
siden personregisterlovens ikrafttredelse 1. januar 1980.
1. januar 2001 trådte det i kraft et
nytt lovverk på området. Lov om behandling av
personopplysninger (personopplysningsloven) implementerer EU-direktiv 95/46
EF, i tillegg til at den viderefører flere av prinsippene
fra personregisterloven. Lovens formål er "å beskytte
den enkelte mot at personvernet blir krenket gjennom behandling
av personopplysninger", jf. § 2.
Samtidig med lovens ikrafttredelse ble etatsansvaret for
Datatilsynet overført fra Justisdepartementet til Arbeids-
og administrasjonsdepartementet.
Departementet viser til at Datatilsynet i en
overgangsperiode på to år må forholde
seg til både personregisterloven og personopplysningsloven.
I henhold til den nye personopplysningsloven skal Datatilsynet ikke lenger
ledes av et styre. Klager på Datatilsynets avgjørelser
skal avgjøres av den nyopprettede Personvernnemnda.
Datatilsynet har i konsesjonene for teleoperatørene pålagt
dem å tilby brukere en anonym tilgang til telenettet. Samferdselsdepartementet
påpeker i sin høringsuttalelse til årsmeldingen
at bruk av uregistrerte kontantkort vil kunne medføre problemer
i forhold til lovbestemt krav om kommunikasjonskontroll.
Datatilsynets vedtak i saken om Sentralkartoteket
for åndssvake ble omgjort av Justisdepartementet som besluttet
at registret skulle oppbevares hos Riksarkivet i personidentifiserbar
stand. Registret ble ansett for å være av historisk
verdi. Justisdepartementet presiserte imidlertid at konsesjonsvilkårene
må utformes slik at de så langt mulig oppveier
mulige brudd på taushetsplikten.
I Datatilsynets årsmelding påpekes
det at bruk av digitale signaturer i elektronisk samhandling medfører generering
av elektroniske spor. Nærings- og handelsdepartementet
bemerker på sin side at digitale signaturer kan være
et viktig virkemiddel for å beskytte personvernet.
Arbeids- og administrasjonsdepartementet uttaler bl.a.
at Datatilsynets forberedelser med tilretteleggelse knyttet til
ny lov ble gjennomført på en god måte
i 2000. Loven medfører store endringer i Datatilsynets oppgaver.
De fleste klagesakene styret behandlet i 2000
gjaldt helt eller delvis avslag på søknad om konsesjon
for opprettelse av personregister. Ut over klagesakene har styret
behandlet saker av stor betydning eller prinsipiell interesse for
personvernet, herunder høringssaker. Den viktigste høringssaken
var utkastet til forskrifter til personopplysningsloven.
I meldingsåret har Datatilsynet kunnet
arbeide med å tilrettelegge overgangen til ny lov. Under
Justisdepartementets utarbeidelse av forskrifter til loven har Datatilsynets
administrasjon aktivt vært tatt med på råd.
Også den nye loven samlet bred, politisk oppslutning i
Stortinget.
Av lovens forarbeider fremgår at det
i fremtiden skal legges større vekt på tilsyns-
og kontrollvirksomhet. Datatilsynet har tatt konsekvensen av dette,
idet den tidligere sikkerhetsseksjonen er besluttet videreutviklet
til en sikkerhets- og tilsynsavdeling.
Datatilsynet hadde i meldingsåret 23
faste stillingshjemler.
Tilsynet bruker flest ressurser på behandling
av søknader om konsesjon for å opprette personregister
eller for drift av konsesjonspliktig virksomhet. De siste årene
har vært preget av at sakene er færre, men mer komplekse.
I meldingsåret ga Datatilsynet konsesjon
til å opprette 2 150 registre, og det ble utstedt totalt
421 virksomhetskonsesjoner.
Tilsynet avga 105 høringsuttalelser.
Datatilsynet har gitt avslag i 54 saker i 2000,
og det kom inn 23 klager. Syv saker ble omgjort av tilsynets administrasjon,
en sak ble avvist og åtte ble behandlet av styret. Justisdepartementet
avgjorde i løpet av meldingsåret 10 saker. Fire
vedtak ble omgjort.
Stortinget vedtok våren 1997 å be
Regjeringen om en vurdering av forsikringsselskapenes bruk av helseopplysninger.
Det ble høsten 1998 satt ned et utvalg for å vurdere
forsikringsselskapenes praksis med innsamling og bruk av helseopplysninger
ved tegning av forsikringsavtaler, og praksis ved bruk av leger
ved søksmål om erstatning for personskade. Utvalget
fikk navnet "legeforsikringsutvalget".
Innstillingen, NOU 2000:23, ble levert den 4.
juli 2000. Datatilsynets representant i utvalget dissenterte på viktige
punkter i rapporten, men har sluttet seg til de forslagene som i
det minste prøver å bedre de registrertes rettsstilling
et stykke på vei. Fra tilsynets side ville man ønsket
en klarere og strengere regulering av hvilke opplysninger selskapene
bør kunne spørre om og hente inn, og hvilke rutiner
som bør gjelde ved innsamlingen.
Datatilsynet arbeidet gjennom hele meldingsåret med
nye konsesjoner for teleoperatørene. Et viktig punkt i
konsesjonen er at det er satt en maksimumsfrist for sletting av
opplysninger på tre måneder fra registreringstidspunktet.
Økokrim ønsker at operatørene
skal være pliktige til å oppbevare opplysninger
om kunder som logger seg på Internett i ett år.
Datatilsynet har tatt til motmæle, og har anført
at en slik oppbevaring sprenger grenser i personvernretten.
Arbeidet med en godkjennelse av informasjonssikkerhet
samt en revisjon av Rikstrygdeverkets konsesjoner ble sluttført
høsten 2000. Konsesjonene ble gitt under forutsetning av
at Rikstrygdeverket utvikler informasjonssikkerheten videre, i samsvar
med en avtalt tidsplan.
Rikstrygdeverket fikk sommeren 2000 konsesjon
til å opprette personregister for utbetaling av trygd og andre
ytelser. Ifølge Rikstrygdeverket løste konsesjonen
ikke etatens behov for tilgang til kontonummer for nye brukere.
Rikstrygdeverket ønsket derfor å innhente opplysninger
om kontonummer for alle skatteytere i Norge, dvs. også personer
som ikke mottar trygd, fra Skattedirektoratet.
Datatilsynet var negativt innstilt til at kopi
av skatteetatens register skulle overføres til Rikstrygdeverket for
dette formålet. Justisdepartementet var av samme oppfatning
som Datatilsynet, og opprettholdt vedtaket.
Datatilsynet anmeldte i oktober 2000 lederen
av Kreftregisteret, som registeransvarlig for Norsk polyposeregister,
for brudd på konsesjonsvilkår. Bakgrunnen var
en henvendelse fra en pasient som påpekte en rekke forhold
vedrørende behandlingen av personopplysninger i registeret
som ikke syntes å være i overensstemmelse med
grunnleggende vilkår satt i konsesjonen.
Datatilsynet ba Norsk polyposeregister om en
redegjørelse i sakens anledning. Sakens dokumenter ga inntrykk
av at det over lengre tid hadde foregått brudd på konsesjonsvilkårene,
og Datatilsynets styre besluttet å oversende saken til
påtalemyndighetene for behandling av de strafferettslige
aspekter.
Datatilsynets styre ble i februar 2000 forelagt
spørsmålet om avlevering av Sentralkartoteket
for åndssvake (sentralkartoteket) fra Statens helsetilsyn
til Riksarkivet for videre oppbevaring.
Datatilsynet mente det representerte en belastning for
de registrerte og deres familier å vite at det forelå slike
opplysninger i et sentralt register. Tilsynet fattet derfor et vedtak
som tillot avlevering til Riksarkivet, under forutsetning av at
materialet ble anonymisert etter tre år. I denne perioden
kunne materialet stilles til rådighet for de registrerte
for innsyn, og for enkelte konkrete forskningsprosjekter.
Justisdepartementet opphevet i oktober 2000
Datatilsynets vedtak, og besluttet at sentralkartoteket skulle oppbevares
hos Riksarkivet i personidentifiserbar stand.
Datatilsynet har deltatt i en arbeidsgruppe
som har utredet en felles plattform for offentlige servicekontorer.
Datatilsynet har hatt innvendinger bl.a. knyttet til generalisters
håndtering av sensitive opplysninger, til rekkevidden av
taushetsplikten og til habilitetsregler. Tilsynets representanter
mente personopplysningsloven legger begrensninger på hvilke
oppgaver som kan legges ut til offentlige servicekontorer. Synspunktene fremgår
i form av en særmerknad til arbeidsgruppens rapport "Ett
sted, ett telefonnummer".
Datatilsynet mottar et økende antall
henvendelser fra arbeidstakere som føler seg overvåket
på arbeidsplassen, for eksempel ved at arbeidsgiver har
tilgang til databaserte dokumenter. Tilsynet har også fått
henvendelser fra arbeidsgivere som ønsker utstrakt registrering
av opplysninger om ansattes helse. Datatilsynet er skeptisk til
dette, og mener slike opplysninger bør forbeholdes helsearbeidere,
for eksempel bedriftshelsetjenesten, og ellers begrenses til opplysninger
som er nødvendige for å tilrettelegge arbeidssituasjonen.
Datatilsynet har merket et økt antall
henvendelser fra publikum om videoovervåking på offentlig
sted, og på arbeidsplasser. Også skoler vurderer å ta
i bruk videoovervåking for å hindre kriminalitet.
Datatilsynet mener dette er uheldig, og at barnas kriminelle handlinger
bør møtes på andre måter.
Lov om helseregistre og behandling av helseopplysninger,
jf. Ot.prp. nr. 5 (1999-2000) bruker i stor grad personopplysningsloven
som mal når det gjelder krav til den behandlingsansvarlige
og rettigheter for den registrerte. Dette ser Datatilsynet som positivt.
I 2000 foretok Datatilsynet 19 kontrollbesøk
rundt i landet. Det ble foretatt kontroller ved fire bokklubber
i Oslodistriktet, fem advokatkontorer i Oslo, Hamar og Kristiansand,
samt fem politikamre og lensmannskontor og to domstoler i samme
områder. I tillegg ble det gjennomført tre kontroller
som hadde informasjonssikkerhet i edb-systemene som hovedtema.
Kontrollene på politikamrene avdekket
at telefaks i relativt stor utstrekning ble brukt ved oversendelse
av dokumenter som inneholdt sensitive opplysninger, uten bruk av
spesielle sikringstiltak. Dette er en praksis Datatilsynet finner
uheldig.
Generelt kunne Datatilsynet konkludere med at
kontrollene i hovedsak ikke avdekket noen store avvik fra de reglene
som fremgår av personregisterloven.
Det ble i 2000 utarbeidet en egen veiledning
for mindre virksomheter som skal tilfredsstille Datatilsynets sikkerhetskrav.
I løpet av 2000 er det avholdt en lang
rekke møter med behandlingsansvarlige og leverandører
som ønsker veiledning og drøftinger omkring elektronisk behandling
av personopplysninger. Mange ønsker å benytte
eksterne leverandører for så vel rene driftsoppgaver
på eget utstyr, som mer komplette løsninger, såkalte
Application Service Providers (ASP). Dette har vært særlig
aktuelt for mindre virksomheter innen helsesektoren.
Aktiviteten har gradvis økt i omfang
siden retningslinjene om informasjonssikkerhet ble innført
i 1998. I 2000 har flere hundre virksomheter vært i dialog
med Datatilsynet i arbeidet med beskrivelse av informasjonssikkerheten.
Det har vært gjennomført sikkerhetskontroller
ved et større sykehus, to kommuner og et advokatkontor. Kontrollene
medførte merknader om forhold det var behov for å korrigere.
Sikkerhetsseksjonen i Datatilsynet har bidratt
aktivt i arbeidet med å etablere sertifiseringsordninger
for sikkerhetsutstyr og -organisasjoner.
Datatilsynets prioriterte informasjonskanaler
er mediekontakt, webtjenesten, tidsskriftet SPOR, pressemøter,
seminarer og foredrag.
Datatilsynets web-tjeneste har en sentral funksjon
i informasjonsarbeidet knyttet til innføring av ny lov.
Personopplysningsloven trådte i kraft
1. januar 2001, og medfører store endringer i Datatilsynets
oppgaver. Behandlere av personopplysninger får plikt til å melde fra
til Datatilsynet om de registre og personopplysninger vedkommende
behandler.
Loven krever en betydelig innsats når
det gjelder å informere befolkningen om hvilke rettigheter
og plikter loven medfører. Datatilsynet har hatt bistand
fra Statens informasjonstjeneste og Justisdepartementet for å legge
strategier for dette arbeidet. Når det gjelder å informere
dem som har plikter i den nye loven, er det satset mye på utlegging
av informasjon på web.
Datatilsynet er representert i en rekke råd
og utvalg, for eksempel "Utvalg for utredning av bruk av biologiske
prøver i arbeidslivet", "Det nasjonale SIS-prosjektet"
(Schengen informasjonssystem), "Utvalg for utredning av bruk av
digital signatur i offentlig forvaltning" og "KRIPOS - bistand i
prosjektarbeid". Datatilsynet deltar også i stor utstrekning
i internasjonalt arbeid på personvernområdet.