Datatilsynet har vært i virksomhet
siden personregisterlovens ikrafttredelse 1. januar 1980.
1. januar 2001 trådte det i kraft et
nytt lovverk på området. Lov om behandling av
personopplysninger (personopplysningsloven) implementerer EU-direktiv 95/46
EF, i tillegg til at den viderefører flere av prinsippene
fra personregisterloven. Lovens formål er "å beskytte
den enkelte mot at personvernet blir krenket gjennom behandling
av personopplysninger", jf. § 2.
Samtidig med lovens ikrafttredelse ble etatsansvaret for
Datatilsynet overført fra Justisdepartementet til Arbeids-
og administrasjonsdepartementet.
Departementet viser til at Datatilsynet i en
overgangsperiode på to år må forholde
seg til både personregisterloven og personopplysningsloven.
I henhold til den nye personopplysningsloven skal Datatilsynet ikke lenger
ledes av et styre. Klager på Datatilsynets avgjørelser
skal avgjøres av den nyopprettede Personvernnemnda.
Datatilsynet har i konsesjonene for teleoperatørene pålagt
dem å tilby brukere en anonym tilgang til telenettet. Samferdselsdepartementet
påpeker i sin høringsuttalelse til årsmeldingen
at bruk av uregistrerte kontantkort vil kunne medføre problemer
i forhold til lovbestemt krav om kommunikasjonskontroll.
Datatilsynets vedtak i saken om Sentralkartoteket
for åndssvake ble omgjort av Justisdepartementet som besluttet
at registret skulle oppbevares hos Riksarkivet i personidentifiserbar
stand. Registret ble ansett for å være av historisk
verdi. Justisdepartementet presiserte imidlertid at konsesjonsvilkårene
må utformes slik at de så langt mulig oppveier
mulige brudd på taushetsplikten.
I Datatilsynets årsmelding påpekes
det at bruk av digitale signaturer i elektronisk samhandling medfører generering
av elektroniske spor. Nærings- og handelsdepartementet
bemerker på sin side at digitale signaturer kan være
et viktig virkemiddel for å beskytte personvernet.
Arbeids- og administrasjonsdepartementet uttaler bl.a.
at Datatilsynets forberedelser med tilretteleggelse knyttet til
ny lov ble gjennomført på en god måte
i 2000. Loven medfører store endringer i Datatilsynets oppgaver.
De fleste klagesakene styret behandlet i 2000
gjaldt helt eller delvis avslag på søknad om konsesjon
for opprettelse av personregister. Ut over klagesakene har styret
behandlet saker av stor betydning eller prinsipiell interesse for
personvernet, herunder høringssaker. Den viktigste høringssaken
var utkastet til forskrifter til personopplysningsloven.
I meldingsåret har Datatilsynet kunnet
arbeide med å tilrettelegge overgangen til ny lov. Under
Justisdepartementets utarbeidelse av forskrifter til loven har Datatilsynets
administrasjon aktivt vært tatt med på råd.
Også den nye loven samlet bred, politisk oppslutning i
Stortinget.
Av lovens forarbeider fremgår at det
i fremtiden skal legges større vekt på tilsyns-
og kontrollvirksomhet. Datatilsynet har tatt konsekvensen av dette,
idet den tidligere sikkerhetsseksjonen er besluttet videreutviklet
til en sikkerhets- og tilsynsavdeling.
Datatilsynet hadde i meldingsåret 23
faste stillingshjemler.
Tilsynet bruker flest ressurser på behandling
av søknader om konsesjon for å opprette personregister
eller for drift av konsesjonspliktig virksomhet. De siste årene
har vært preget av at sakene er færre, men mer komplekse.
I meldingsåret ga Datatilsynet konsesjon
til å opprette 2 150 registre, og det ble utstedt totalt
421 virksomhetskonsesjoner.
Tilsynet avga 105 høringsuttalelser.
Datatilsynet har gitt avslag i 54 saker i 2000,
og det kom inn 23 klager. Syv saker ble omgjort av tilsynets administrasjon,
en sak ble avvist og åtte ble behandlet av styret. Justisdepartementet
avgjorde i løpet av meldingsåret 10 saker. Fire
vedtak ble omgjort.
Stortinget vedtok våren 1997 å be
Regjeringen om en vurdering av forsikringsselskapenes bruk av helseopplysninger.
Det ble høsten 1998 satt ned et utvalg for å vurdere
forsikringsselskapenes praksis med innsamling og bruk av helseopplysninger
ved tegning av forsikringsavtaler, og praksis ved bruk av leger
ved søksmål om erstatning for personskade. Utvalget
fikk navnet "legeforsikringsutvalget".
Innstillingen, NOU 2000:23, ble levert den 4.
juli 2000. Datatilsynets representant i utvalget dissenterte på viktige
punkter i rapporten, men har sluttet seg til de forslagene som i
det minste prøver å bedre de registrertes rettsstilling
et stykke på vei. Fra tilsynets side ville man ønsket
en klarere og strengere regulering av hvilke opplysninger selskapene
bør kunne spørre om og hente inn, og hvilke rutiner
som bør gjelde ved innsamlingen.
Datatilsynet arbeidet gjennom hele meldingsåret med
nye konsesjoner for teleoperatørene. Et viktig punkt i
konsesjonen er at det er satt en maksimumsfrist for sletting av
opplysninger på tre måneder fra registreringstidspunktet.
Økokrim ønsker at operatørene
skal være pliktige til å oppbevare opplysninger
om kunder som logger seg på Internett i ett år.
Datatilsynet har tatt til motmæle, og har anført
at en slik oppbevaring sprenger grenser i personvernretten.
Arbeidet med en godkjennelse av informasjonssikkerhet
samt en revisjon av Rikstrygdeverkets konsesjoner ble sluttført
høsten 2000. Konsesjonene ble gitt under forutsetning av
at Rikstrygdeverket utvikler informasjonssikkerheten videre, i samsvar
med en avtalt tidsplan.
Rikstrygdeverket fikk sommeren 2000 konsesjon
til å opprette personregister for utbetaling av trygd og andre
ytelser. Ifølge Rikstrygdeverket løste konsesjonen
ikke etatens behov for tilgang til kontonummer for nye brukere.
Rikstrygdeverket ønsket derfor å innhente opplysninger
om kontonummer for alle skatteytere i Norge, dvs. også personer
som ikke mottar trygd, fra Skattedirektoratet.
Datatilsynet var negativt innstilt til at kopi
av skatteetatens register skulle overføres til Rikstrygdeverket for
dette formålet. Justisdepartementet var av samme oppfatning
som Datatilsynet, og opprettholdt vedtaket.
Datatilsynet anmeldte i oktober 2000 lederen
av Kreftregisteret, som registeransvarlig for Norsk polyposeregister,
for brudd på konsesjonsvilkår. Bakgrunnen var
en henvendelse fra en pasient som påpekte en rekke forhold
vedrørende behandlingen av personopplysninger i registeret
som ikke syntes å være i overensstemmelse med
grunnleggende vilkår satt i konsesjonen.
Datatilsynet ba Norsk polyposeregister om en
redegjørelse i sakens anledning. Sakens dokumenter ga inntrykk
av at det over lengre tid hadde foregått brudd på konsesjonsvilkårene,
og Datatilsynets styre besluttet å oversende saken til
påtalemyndighetene for behandling av de strafferettslige
aspekter.
Datatilsynets styre ble i februar 2000 forelagt
spørsmålet om avlevering av Sentralkartoteket
for åndssvake (sentralkartoteket) fra Statens helsetilsyn
til Riksarkivet for videre oppbevaring.
Datatilsynet mente det representerte en belastning for
de registrerte og deres familier å vite at det forelå slike
opplysninger i et sentralt register. Tilsynet fattet derfor et vedtak
som tillot avlevering til Riksarkivet, under forutsetning av at
materialet ble anonymisert etter tre år. I denne perioden
kunne materialet stilles til rådighet for de registrerte
for innsyn, og for enkelte konkrete forskningsprosjekter.
Justisdepartementet opphevet i oktober 2000
Datatilsynets vedtak, og besluttet at sentralkartoteket skulle oppbevares
hos Riksarkivet i personidentifiserbar stand.
Datatilsynet har deltatt i en arbeidsgruppe
som har utredet en felles plattform for offentlige servicekontorer.
Datatilsynet har hatt innvendinger bl.a. knyttet til generalisters
håndtering av sensitive opplysninger, til rekkevidden av
taushetsplikten og til habilitetsregler. Tilsynets representanter
mente personopplysningsloven legger begrensninger på hvilke
oppgaver som kan legges ut til offentlige servicekontorer. Synspunktene fremgår
i form av en særmerknad til arbeidsgruppens rapport "Ett
sted, ett telefonnummer".
Datatilsynet mottar et økende antall
henvendelser fra arbeidstakere som føler seg overvåket
på arbeidsplassen, for eksempel ved at arbeidsgiver har
tilgang til databaserte dokumenter. Tilsynet har også fått
henvendelser fra arbeidsgivere som ønsker utstrakt registrering
av opplysninger om ansattes helse. Datatilsynet er skeptisk til
dette, og mener slike opplysninger bør forbeholdes helsearbeidere,
for eksempel bedriftshelsetjenesten, og ellers begrenses til opplysninger
som er nødvendige for å tilrettelegge arbeidssituasjonen.
Datatilsynet har merket et økt antall
henvendelser fra publikum om videoovervåking på offentlig
sted, og på arbeidsplasser. Også skoler vurderer å ta
i bruk videoovervåking for å hindre kriminalitet.
Datatilsynet mener dette er uheldig, og at barnas kriminelle handlinger
bør møtes på andre måter.
Lov om helseregistre og behandling av helseopplysninger,
jf. Ot.prp. nr. 5 (1999-2000) bruker i stor grad personopplysningsloven
som mal når det gjelder krav til den behandlingsansvarlige
og rettigheter for den registrerte. Dette ser Datatilsynet som positivt.
I 2000 foretok Datatilsynet 19 kontrollbesøk
rundt i landet. Det ble foretatt kontroller ved fire bokklubber
i Oslodistriktet, fem advokatkontorer i Oslo, Hamar og Kristiansand,
samt fem politikamre og lensmannskontor og to domstoler i samme
områder. I tillegg ble det gjennomført tre kontroller
som hadde informasjonssikkerhet i edb-systemene som hovedtema.
Kontrollene på politikamrene avdekket
at telefaks i relativt stor utstrekning ble brukt ved oversendelse
av dokumenter som inneholdt sensitive opplysninger, uten bruk av
spesielle sikringstiltak. Dette er en praksis Datatilsynet finner
uheldig.
Generelt kunne Datatilsynet konkludere med at
kontrollene i hovedsak ikke avdekket noen store avvik fra de reglene
som fremgår av personregisterloven.
Det ble i 2000 utarbeidet en egen veiledning
for mindre virksomheter som skal tilfredsstille Datatilsynets sikkerhetskrav.
I løpet av 2000 er det avholdt en lang
rekke møter med behandlingsansvarlige og leverandører
som ønsker veiledning og drøftinger omkring elektronisk behandling
av personopplysninger. Mange ønsker å benytte
eksterne leverandører for så vel rene driftsoppgaver
på eget utstyr, som mer komplette løsninger, såkalte
Application Service Providers (ASP). Dette har vært særlig
aktuelt for mindre virksomheter innen helsesektoren.
Aktiviteten har gradvis økt i omfang
siden retningslinjene om informasjonssikkerhet ble innført
i 1998. I 2000 har flere hundre virksomheter vært i dialog
med Datatilsynet i arbeidet med beskrivelse av informasjonssikkerheten.
Det har vært gjennomført sikkerhetskontroller
ved et større sykehus, to kommuner og et advokatkontor. Kontrollene
medførte merknader om forhold det var behov for å korrigere.
Sikkerhetsseksjonen i Datatilsynet har bidratt
aktivt i arbeidet med å etablere sertifiseringsordninger
for sikkerhetsutstyr og -organisasjoner.
Datatilsynets prioriterte informasjonskanaler
er mediekontakt, webtjenesten, tidsskriftet SPOR, pressemøter,
seminarer og foredrag.
Datatilsynets web-tjeneste har en sentral funksjon
i informasjonsarbeidet knyttet til innføring av ny lov.
Personopplysningsloven trådte i kraft
1. januar 2001, og medfører store endringer i Datatilsynets
oppgaver. Behandlere av personopplysninger får plikt til å melde fra
til Datatilsynet om de registre og personopplysninger vedkommende
behandler.
Loven krever en betydelig innsats når
det gjelder å informere befolkningen om hvilke rettigheter
og plikter loven medfører. Datatilsynet har hatt bistand
fra Statens informasjonstjeneste og Justisdepartementet for å legge
strategier for dette arbeidet. Når det gjelder å informere
dem som har plikter i den nye loven, er det satset mye på utlegging
av informasjon på web.
Datatilsynet er representert i en rekke råd
og utvalg, for eksempel "Utvalg for utredning av bruk av biologiske
prøver i arbeidslivet", "Det nasjonale SIS-prosjektet"
(Schengen informasjonssystem), "Utvalg for utredning av bruk av
digital signatur i offentlig forvaltning" og "KRIPOS - bistand i
prosjektarbeid". Datatilsynet deltar også i stor utstrekning
i internasjonalt arbeid på personvernområdet.
Komiteen, medlemmene fra Arbeiderpartiet,
Gunn Karin Gjul, Anne Helen Rui og Knut Storberget, fra Høyre,
lederen Trond Helleland, Carsten Dybevig og Linda Cathrine Hofstad,
fra Fremskrittspartiet, Jan Arild Ellingsen og André Kvakkestad,
fra Kristelig Folkeparti, Einar Holstad og Finn Kristian Marthinsen
og fra Sosialistisk Venstreparti, Inga Marte Thorkildsen,
viser til at Datatilsynets årsmelding for 2000 også presenteres
i en oversiktlig form i kvartalsskriftet SPOR.
Stortingsmeldingen innledes av merknadene som Arbeids-
og administrasjonsdepartementet har til årsmeldingen. I
selve årsmeldingen presenteres styrets og direktørens
beretning om virksomheten i 2000 og deretter fokuseres det på viktige
enkeltsaker. Komiteen tar departementets merknader
til årsmeldingen til orientering.
Komiteen peker på at år
2000 var det siste året personregisterloven gjaldt som
den generelle personvernlovgivningen i Norge, og at det i en overgangsperiode
på to år vil være nødvendig
for Datatilsynet å forholde seg både til personregisterloven
og personopplysningsloven.
Komiteen er tilfreds med at Arbeids-
og administrasjonsdepartementet mener Datatilsynets forberedelser
med tilrettelegging knyttet til ny lov ble gjennomført
på en god måte i 2000, og har merket seg at Datatilsynet
har vist stor omstillingsvilje og -evne.
Datatilsynets direktør oppsummerer
erfaringen med lov om personregistre i de tjue årene den
har virket, gjennom å konstatere at den har vist seg som
et godt og tjenlig redskap i det institusjonaliserte personvernarbeidet
i Norge. Komiteen merker seg at Datatilsynet ut fra
den nye loven skal legge større vekt på tilsyns- og
kontrollvirksomhet, og mener det er en riktig utvikling i tilsynets
arbeid.
Komiteen konstaterer at år
2000 var det siste året Datatilsynet hadde et styre, og
Justisdepartementet som administrativt foresatt.
Komiteen tar til orientering
at økningen i bevilgningen i 2000 med 4,336 mill. kroner
var knyttet til Schengen-arbeidet og til forberedelser til iverksetting av
personopplysningsloven.
Når det gjelder det utvalg av saker
som presenteres i årsmeldingen, merker komiteen seg
at Datatilsynet tilhørte det mindretall i "legeforsikringsutvalget"
som mener at enkelte elementer i det framlagte forslaget til regler
om forsikringsselskapenes bruk av helseopplysninger, svekker personvernet
istedenfor å styrke det. Tilsynet er i denne forbindelse
kritisk til at forsikringsselskapene skal kunne kreve opplysninger
om genetiske tester som forsikringssøkeren har tatt.
Komiteen merker seg også den
uenighet som gjør seg gjeldende på telesektoren
mellom Datatilsynet og Økokrim.
Komiteen har merket seg Justisdepartementets begrunnelse
for å omgjøre Datatilsynets vedtak i saken om
Sentralkartoteket for åndssvake. Resultatet er at materialet
i sentralkartoteket ikke blir anonymisert, og at oppbevaringen av
kartoteket i Riksarkivet ansees fullt ut tilfredsstillende ut fra
et sikkerhetsmessig synspunkt.
Når det gjelder offentlige servicekontorer,
merker komiteen seg den uenighet som kom til uttrykk
i det offentlig nedsatte utvalget som har vurdert en felles plattform
for slike kontorer.
Det konstateres i årsmeldingen at stadig
flere arbeidstakere rapporterer at de føler seg overvåket
på arbeidsplassen, og at videoovervåkning på offentlig sted
brer om seg. Komiteen viser til at Politihøgskolens
evaluering av prøveprosjektet med videoovervåking
i Oslo sentrum som årsmeldingen varsler, nå foreligger.
Ifølge St.prp. nr. 1 (2001-2002) kan evaluer-ingen tyde
på at videoovervåkingen ikke har hatt noen betydelig
forebyggende effekt. Det finnes imidlertid eksempler på at
overvåkingen har bidratt til at meget alvorlige saker har
blitt oppklart.
I forhold til kontrollvirksomheten merker komiteen seg
at det er gitt visse anbefalinger fra tilsynets side angående
oversendelse pr. fax av dokumenter som inneholder sensitive opplysninger.
Med hensyn til det internasjonale samarbeidet
merker komiteen seg Datatilsynets understrekning
av at det er viktig at Norge får en plass i Europols tilsynsorgan
JSB, dersom det blir iverksatt avtale med Europol.
Komiteen konstaterer at Justisdepartementet
opprettholdt Datatilsynets vedtak om at Rikstrygdeverket ikke skal
kunne opprette et personregister for utbetaling av trygd som inneholder
kopi av skatteetatens register med kontonumre for samtlige skatteytere
i landet, innhentet fra Skattedirektoratet, jf. pkt. 1.3.4 ovenfor.
Komiteens flertall,
alle unntatt medlemmene fra Fremskrittspartiet og Sosialistisk Venstreparti, viser
i denne forbindelse til flertallets merknader i Innst. O. nr. 14
(2001-2002) fra sosialkomiteen.
Komiteens medlemmer fra Fremskrittspartiet viser
til merknadene fra Fremskrittspartiet i Innst. O. nr. 14 (2001-2002).
Komiteens medlem fra Sosialistisk Venstreparti registrerer
at Datatilsynet i sin årsmelding under kapitlet Utvalg
av saker i 2000 spesielt omtaler Justisdepartementets og Datatilsynets
vedtak om at Rikstrygdeverket ikke skal kunne opprette et personregister
som nevnt ovenfor, basert på opplysninger innhentet fra
Skattedirektoratet.
Til tross for Justisdepartementets opprettholdelse
av Datatilsynets avslag på konsesjon, ble Rikstrygdeverkets
anmodning om opprettelsen av nevnte personregister fremmet av Sosial-
og helsedepartementet i Ot.prp. nr. 4 (2001-2002) om lov om endringer
i folketrygdloven og i enkelte andre lover pkt. 12. Innhenting og
registrering av opplysninger om kontonummer etc. Nevnte odelstingsproposisjon
er nettopp behandlet av Stortingets sosialkomité, jf. Innst.
O. nr. 14 (2001-2002). Dette medlem registrer at
et knapt flertall i komiteen støttet Sosial- og helsedepartementets
forslag om å tillate Rikstrygdeverket å opprette
personregisteret.
Dette medlem er av den oppfatning
at ovennevnte fremgangsmåte kan undergrave det mandat lovgiver
har tillagt Datatilsynet og Justisdepartementet i denne typen saker.
Dette medlem vil særlig
fremheve at en praksis i tråd med Sosial- og helsedepartementets
fremgangsmåte i denne saken, vil kunne føre til
urimelig forskjellsbehandling av søkere om konsesjon for
personregistre. Dette vil igjen kunne føre til manglende
tillit til det offentlige, noe de folkevalgte aktivt bør
motarbeide.
Dette medlem forutsetter at den
omtalte praksisen opphører ved den nye ordningen med Personvernnemnda.
Komiteen viser til meldingen og rår Stortinget til å gjøre slikt
vedtak:
St.meld. nr. 53 (2000-2001) - om Datatilsynets årsmelding for 2000 - vedlegges protokollen.
Oslo, i justiskomiteen, den 12. desember 2001
Trond Helleland
leder |
Finn Kristian Marthinsen
ordfører |
Jan Arild Ellingsen
sekretær |