Forslagsstillerne ønsker at det skal føres en
restriktiv praksis ved elektronisk registrering, kobling, bruk og
omsetning av personopplysninger, og fremmer derfor følgende forslag:
«I
Stortinget ber regjeringen sørge for at informasjon
om inntekt og skatt gjøres offentlig tilgjengelig ved forespørsel,
der forespørrerens navn blir registrert og personen det innhentes
opplysninger om, får varsel (etter dagens modell for innhenting
av kredittopplysninger).
II
Stortinget ber regjeringen sikre at offentlige
registre og opplysningsbanker, slik som helsevesenet og Nav, etablerer
logg for hvem som innhenter informasjon, og at den enkelte får rett til
innsyn i loggen knyttet til sin person.
III
Stortinget ber regjeringen begrense Navs mulighet
til å innhente personopplysninger samt komplette pasientjournaler,
og legger til grunn at den berørte pasient gis kjennskap til at
journalen er utlevert.
IV
Stortinget ber regjeringen sikre at det etableres en
personvernansvarlig ved alle større institusjoner og etater som
har tilgang til sensitive personopplysninger, eksempelvis Nav, helsesektoren
og justissektoren.
V
Stortinget ber regjeringen fremme forslag om fjerning
av Skattedirektoratets hjemmel i ligningsloven til å kreve innsyn
i opplysninger knyttet til konkrete kjøretøy benyttet i næringsvirksomhet
ved elektronisk bompassering.
VI
Stortinget ber regjeringen utarbeide retningslinjer
for å sikre personvernet i forbindelse med innhenting og bruk av
personopplysninger i skolen. Retningslinjene må sikre at personopplysninger
blir behandlet, oppbevart og slettet på forsvarlig vis.
VII
Stortinget ber regjeringen iverksette tiltak
for å skolere barnehageeier og barnehageansatte i personvernloven,
samt innføre en bestemmelse om at innhenting og lagring, samt overførsel
av personopplysninger mellom barnehage og skole, kun skal skje etter
informert samtykke fra foreldre/foresatte.
VIII
Stortinget ber regjeringen endre offentlighetsloven
slik at klasselister kan forbli skolens eiendom, og således begrenses
til den krets som har normal nytte av dem.
IX
Stortinget ber regjeringen sikre at forskrift
om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter
også tar hensyn til personvernet.
X
Stortinget ber regjeringen pålegge også store
private registre, som i bank og forsikring, å etablere logger for
hvem som innhenter personsensitiv informasjon, og at den enkelte
får rett til innsyn i loggen knyttet til sin person.»
I representantforslaget pekes det på at personvern
handler om å kunne kontrollere informasjon om en selv og hva den
brukes til. Det pekes videre på at personvernet i dag er under press
på nær sagt alle områder i samfunnet. Det enkelte menneske har krav
på beskyttelse av sitt privatliv. Utbredelse av ny teknologi innebærer at
den private sfæren stadig blir mer gjennomsiktig og kontrollerbar.
Forslagsstillerne peker på at det er viktig å beskytte privatlivet,
både når det gjelder private interesser og offentlige etater. Forslagsstillerne
mener at en kombinasjon av den teknologiske utviklingen, ønske om
nye tiltak i bekjempelsen av kriminalitet, informasjon om samfunnsutviklingen
og stadig mer omfattende offentlige etater/organisasjoner gjør at
personvernet gradvis taper.
Forslagsstillerne peker videre på at retten
til privatliv er en grunnleggende verdi i et liberalt demokrati.
Dagens teknologi gjør det mulig å samle inn, lagre, sammenstille
og formidle persondata i nesten ubegrenset omfang. Derfor mener
forslagsstillerne det er nødvendig at politikken trekker grensene
som teknologiske fremskritt har opphevet.
Videre pekes det i forslaget på at rettsstatens
oppgave er å beskytte enkeltmennesker mot overgrep fra hverandre,
men at den også har til oppgave å beskytte oss mot overgrep fra
staten selv. Forslagsstillerne mener derfor at det er avgjørende
at staten er varsom med å samle inn, lagre og sammenstille informasjon
om borgere. I de tilfeller der det likevel er nødvendig å samle inn
informasjon, er det avgjørende at personvernet ivaretas på en god
måte og at sikre rutiner for oppbevaring og sletting følges. Det
gjelder for eksempel ved innsamling av informasjon om trafikkdata,
personlig økonomi og pasienters helsetilstand.
I forslaget pekes det på at personvern er en
helt sentral verdi for at vi skal føle at vi lever i et fritt og
trygt samfunn tuftet på tillit mellom mennesker og mellom individ
og stat. Det pekes i forslaget videre på at en naturlig konsekvens
av et svakt personvern er at borgernes tillit til stat og trygghet
for egen rettssikkerhet blir en trussel mot nødvendig og velbegrunnet
informasjonstilgang i samfunnet.
Forslagsstillerne viser til at personvernopplysningsretten
kan beskrives gjennom noen grunnleggende prinsipper som gjelder
for all behandling av personopplysninger. Prinsippene, som er listet
opp nedenfor, er nærmere beskrevet i representantforslaget:
For øvrig vises det til dokumentet for nærmere redegjørelse
for forslaget.
Kommunal- og forvaltningskomiteen ba i brev av
27. januar 2011 om fornyings-, administrasjons- og kirkeministerens
vurdering av forslaget. Statsrådens svarbrev av 27. mars 2011 følger
vedlagt.
Komiteen, medlemmene fra Arbeiderpartiet,
Lise Christoffersen, Håkon Haugli, Hilde Magnusson, Inga-lill Olsen
og Eirik Sivertsen, fra Fremskrittspartiet, Per-Willy Amundsen, Gjermund
Hagesæter og Åge Starheim, fra Høyre, Trond Helleland og Michael Tetzschner,
fra Sosialistisk Venstreparti, lederen Heikki Holmås, fra Senterpartiet,
Heidi Greni, fra Kristelig Folkeparti, Geir Jørgen Bekkevold,
viser til at forslagene i dette dokumentet i all hovedsak ble behandlet
i forbindelse med datalagringsdirektivet, jf. Innst. 275 L (2010–2011)
og Innst. 292 S (2010–2011). Medlemmene i komiteen viser til sine
respektive partiers merknader i disse innstillinger.
Komiteen merker seg at statsråden,
i sin vurdering av forslaget, skriver at regjeringen ser det som
viktig å invitere Stortinget ti1 en helhetlig og samlet drøfting
av personvernspørsmål, og varsler at det vil komme en egen melding
til Stortinget om personvern. Komiteen ønsker en slik
melding velkommen, og mener statsråden bør se på de tiltakene som
er lagt frem i dette forslaget som innspill om områder som ønskes belyst
i meldingen.
Komiteens medlemmer fra Arbeiderpartiet
og Høyre viser til avtalen mellom Høyre og Arbeiderpartiet
inngått i forbindelse med behandlingen av datalagringsdirektivet
og forventer at disse punktene vil bli fulgt opp i kommende saker
til Stortinget. Representantforslagene omhandler hovedsaklig andre
problemstillinger enn regjeringen har sagt den overveier å ta med
i meldingen.
Komiteens medlemmer fra Fremskrittspartiet
og Høyre har gjennomgått regjeringens foreløpige kommentar
til representantforslaget, jf. vedlagte brev av 27. mars 2011. En
rekke av spørsmålene henvises forståelig nok til en kommende melding
om oppfølging av personvernkommisjonen. Det er utmerket at det kommer
en slik melding, men ikke alt arbeid med personvern behøver derfor
å gå i stå i påvente av meldingen.
Disse medlemmer mener for eksempel
at folks skatteforhold kun bør offentliggjøres ved forespørsel,
og der skatteyter blir gjort kjent med hvem som har krevd innsyn.
Likeledes bør andre, offentlige masseregistre (typisk Nav) logge innsynsrekvirent
og underrette den det innsamles opplysninger om ved utleveringen
av persondata.
Disse medlemmer mener det er
positivt at regjeringen vil vurdere hvilke muligheter som foreligger
for at innsyn i lovlig lagrede data i elektroniske betalingsanlegg
på vei kan begrenses. I påvente av nærmere avklaringer, utleverer ikke
bomselskapene passeringsopplysninger til ligningsmyndighetene. Det
er likevel forslagstillernes oppfatning at likningslovens § 6-3, nr. 1
bør gis en presisering som hindrer en slik bruk av opplysninger
om bilistene, opplysninger som er samlet av helt andre grunner enn
andre etaters kontrollbehov. Disse medlemmer vil peke
på at man ellers vil bryte med personvernrettens grunnregel, at
opplysninger innhentet for ett formål ikke skal brukes utenfor formålet,
med mindre det foreligger underbygget mistanke om grov kriminalitet.
Disse medlemmer mener retningslinjer
for innhenting, oppbevaring og sletting av personopplysninger i
skolen bør etableres, og at utveksling av personopplysninger mellom
barnehage og skole, i hovedsak gjøres betinget av foreldrenes informerte
samtykke. For å hindre at utenforstående får tilgang på informasjon
om elever de ikke har noe begrunnet forhold til, bør klasselister
unntas fra offentleglova, slik at de ikke lenger kan forlanges utlevert
av utenforstående.
Disse medlemmer mener det bør
være et førende prinsipp at innsynskrav loggføres og at den det
samles opplysninger om, blir kjent med hvem som krever opplysningene.
Disse medlemmer vil på denne
bakgrunn fremme følgende forslag:
«1. Ved uthenting av
personopplysninger fra offentlige registre til eksterne skal den
det innhentes opplysninger om, bli underrettet om hvilke opplysninger
som gis ut, til hvem og med hvilken hensikt. Dette prinsippet skal
også gjelde skattelistene.
2. Regjeringen bes fremme en presisering
av likningslovens § 6-3, nr. 1 der det klargjøres at bestemmelsen
ikke hjemler at skattedirektoratet benytter opplysninger om bilistenes
bomstasjonspassering til utenforliggende formål.
3. Utveksling av personopplysninger mellom
institusjoner som har ansvar for barn, for eksempel mellom barnehage
og skole, bør baseres på grunnkravet om informert samtykke fra de
foresatte.
4. Skolenes klasselister unntas fra offentleglova.»
Komiteens medlemmer fra Fremskrittspartiet,
Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti mener tiltakene
som er behandlet i forslaget bærer preg av å være avbøtende tiltak
for konsekvensene av svekkelsen av personvernet da datalagringsdirektivet
ble innført, jf. Innst. 275 L (2010–2011) og Innst. 292 S (2010–2011).
Komiteens medlem fra Kristelig
Folkeparti mener flere av tiltakene i forslaget er gode,
og støtter intensjonen om både å styrke vernet av personsensitive
opplysninger, og å bedre loggingen av hvem som innhenter personsensitive
opplysninger og den enkeltes rett til innsyn i loggen knyttet til
sin person. Dette medlem oppfordrer regjeringen til å behandle forslagene
i den varslede meldingen.
Forslag fra Fremskrittspartiet og Høyre:
Forslag 1
Ved uthenting av personopplysninger fra offentlige
registre til eksterne skal den det innhentes opplysninger om, bli
underrettet om hvilke opplysninger som gis ut, til hvem og med hvilken hensikt.
Dette prinsippet skal også gjelde skattelistene.
Forslag 2
Regjeringen bes fremme en presisering av likningslovens
§ 6-3, nr. 1 der det klargjøres at bestemmelsen ikke hjemler at
skattedirektoratet benytter opplysninger om bilistenes bomstasjonspassering
til utenforliggende formål.
Forslag 3
Utveksling av personopplysninger mellom institusjoner
som har ansvar for barn, for eksempel mellom barnehage og skole,
bør baseres på grunnkravet om informert samtykke fra de foresatte.
Forslag 4
Skolenes klasselister unntas fra offentleglova.
Dokument
8:56 S (2010–2011) – representantforslag fra stortingsrepresentantene
Trond Helleland, Ingjerd Schou, Arve Kambe, Torbjørn Røe Isaksen,
Michael Tetzschner og Erna Solberg om styrking av personvernet –
vedlegges protokollen.
Jeg viser til oversendelse av representantforslag 8:56
S (2010 - 2011) om styrking av personvernet fra representantene
Helleland - Schou - Kambe - Røe Isaksen - Tetzschner og Solberg. Oversendelsen
er datert 27. januar 2011. Forslagsstillerne tar opp viktige prinsipielle
personvernspørsmål. Jeg vil innledningsvis benytte anledningen til
å informere om at jeg i arbeidet med å følge opp Personvernkommisjonens
rapport har kommet til at det vil være riktig å invitere Stortinget
til en helhetlig og samlet drøfting av personvernspørsmål. Jeg ønsker
derfor å komme tilbake til Stortinget med en egen melding om dette.
Representantforslaget inneholder ti forslag,
som jeg vil kommentere i nedenstående rekkefølge. Forslagene berører
i stor grad andre statsråders konstitusjonelle ansvarsområder. Svarene
avgis derfor i samråd med disse statsrådene.
I. Stortinget
ber regjeringen sørge for at informasjon om inntekt og skatt gjøres
offentlig tilgjengelig ved forespørsel, der forespørrerens navn
blir registrert og personen det innhentes opplysninger om, får varsel
(etter dagens modell for innhenting av kreditt-opplysninger).
II. Stortinget ber regjeringen sikre
at offentlige registre og opplysningsbanker, slik som helsevesenet
og NAV, etablerer logg for hvem som innhenter informasjon, og at
den enkelte får rett til innsyn i loggen knyttet til sin person.
III. Stortinget ber regjeringen begrense
NAVs mulighet til å innhente personopplysninger samt komplette pasientjournaler,
og legger til grunn at den berørte pasient gis kjennskap til at
journalen er utlevert.
IV. Stortinget ber regjeringen sikre
at det etableres en personvemansvarlig ved alle større institusjoner
og etater som har tilgang til sensitive personopplysninger, eksempelvis
NAV, helsesektoren og justissektoren.
V. Stortinget ber regjeringen fremme
forslag om fjerning av Skattedirektoratets hjemmel i ligningsloven
til å kreve innsyn i opplysninger knyttet til konkrete kjøretøy
benyttet i næringsvirksomhet ved elektronisk bompassering.
VI. Stortinget ber regjeringen utarbeide
retningslinjer for å sikre personvernet i forbindelse med innhenting
og bruk av personopplysninger i skolen. Retningslinjene må sikre
at personopplysninger blir behandlet, oppbevart og slettet på forsvarlig vis.
VII. Stortinget ber regjeringen iverksette
tiltak for å skolere barnehageeier og barnehageansatte i personvernloven,
samt innføre en bestemmelse om at innhenting og lagring, samt overførsel
av personopplysninger mellom barnehage og skole, kun skal skje etter
informert samtykke fra foreldre/foresatte.
VIII. Stortinget ber regjeringen endre
offentlighetsloven slik at klasselister kan forbli skolens eiendom,
og således begrenses til den krets som har normal nytte av dem.
IX. Stortinget ber regjeringen sikre
at forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter
også hensyntar personvernet.
X. Stortinget ber regjeringen pålegge
også store private registre, som i bank og forsikring, å etablere
logger for hvem som innhenter personsensitiv informasjon, og at
den enkelte får rett til innsyn i loggen knyttet til sin person.
I representantforslaget bes regjeringen sørge
for at informasjon om inntekt og skatt gjøres offentlig tilgjengelig
ved forespørsel, og at forespørrerens navn blir registrert og personen
det innhentes opplysninger om, får varsel.
Offentliggjøring av skattelister er viktig for
å styrke den kritiske debatten om skattemessige forhold. Offentliggjøringen
kan bidra til den samfunnsmessige kontrollen med ligningsmyndighetene.
Hemmelighold av resultatet av ligningen kan skape grunnlag for spekulasjoner omkring
ligningsarbeidet i sin alminnelighet og om fastsettingene for enkeltpersoner
eller grupper av skattytere.
Regjeringen mener at man bør være tilbakeholden
med å sette i verk tiltak som svekker den samfunnsmessige kontrollen
med forvaltningen, og som kan hemme debatten om uheldige forskjeller
og utviklingstrekk i samfunnet.
Hensynene som taler for full offentlighet rundt skattelistene
må likevel balanseres mot andre samfunnsmessige interesser, slik
som hensynet til personvernet. Dette er noe av bakgrunnen for at
Finansdepartementet 31. januar 2011 sendte på høring et forslag
om innstramminger i måten skattelistene offentliggjøres på.
I høringsnotatet foreslår departementet at skattelisten
bare skal være tilgjengelig på skatteetatens hjemmeside i ett år.
Ordningen med utlegg av papirlister foreslås avviklet. Etter forslaget
vil pressen fortsatt få tilgang til elektronisk kopi av skattelistene,
men tilgangen vil være betinget av at redaksjonene inngår en avtale
med skatteetaten om ikke å publisere hele eller deler av skattelisten
i søkbar form på Internett. Forslaget sikrer at pressen kan bruke
opplysningene i skattelisten til kritisk journalistikk. Samtidig
reduseres risikoen for misbruk av listene ved at pressens mulighet
til å legge hele eller deler av skattelisten ut på Internett i søkbar
form fjernes.
Regjeringen anser det ikke som aktuelt å innføre en
ordning hvor de som ønsker å hente ut opplysninger fra skattelistene
registreres, og hvor de det blir hentet informasjon om blir varslet.
I forslaget som Finansdepartementet har sendt på høring, varsles
det imidlertid at det vil bli vurdert om det er hensiktsmessig å
innføre en teknisk løsning hvor de som skal søke i skattelistene,
for eksempel må logge seg på gjennom MinID.
Fra personvernhold har kommersiell bruk av skattelistene
vært kritisert i en årrekke. Høringsforslaget fra regjeringen vil
begrense den kommersielle utnyttelsen av skattelistene, sammenlignet
med gjeldende rett.
Jeg mener det vil være riktig at høringsinstansene
får mulighet til å uttale seg om dette høringsforslaget.
Oppsummering: Man bør
avvente høringsinstansenes syn på forslaget til inn-stramming i tilgangen
til skattelistene før det gjøres endringer.
I representantforslaget bes regjeringen sørge
for at det etableres logg for hvem som innhenter informasjon fra
offentlige registre og opplysningsbanker, og at den enkelte får
rett til innsyn i loggen knyttet til sin person. Forslaget kan,
slik jeg ser det, forstås på to måter. For det første kan det forstås
slik at alle interne oppslag i registrene logges, slik at bruk kan
etterspores. På den andre siden kan forslaget forstås dit hen at
all utlevering av opplysninger til utenforstående skal logges, slik
at de registrerte kan få vite hvem som har mottatt opplysninger
fra et offentlig tilgjengelig register.
Når det gjelder loggføring av interne oppslag
i personregistre med sensitive personopplysninger i for eksempel
helsevesenet og NAV, finnes det allerede regler på dette området. Helseregisterloven
§ 13 if. ble endret ved lov 19. juni 2009 nr. 68. Lov-endringen
presiserer at den registrerte har rett til innsyn i logg fra behandlingsrettet
helseregister om hvem som har hatt tilgang til helseopplysninger
om ham eller henne. Med behandlingsrettet helseregister menes blant
annet journal- og informasjons-systemer.
Videre følger det av forskrift om innsamling
og behandling av helseopplysninger i Norsk pasientregister (NPR)
§ 4-2, annet ledd, annet punkt, at det skal etableres systemer for
logging av elektroniske spor ved all tilgang til registeret. I samme
forskrift § 3-10 stilles videre krav om oversikt over hvem som har
fått utlevert opplysninger fra NPR, samt hjemmelsgrunnlaget for
utleveringen. Krav om oversikt over utleveringer følger for øvrig
også av de øvrige registerforskriftene. Jeg mener derfor at forslagets romertallspunkt
II i all hovedsak allerede er gjeldende rett i helsevesenet.
Arbeids- og velferdsetaten (NAV) fører allerede i
dag logger over informasjonssøk i alle relevante personregistre.
Loggføring av informasjonsinnhenting i registrene er nødvendig for
å oppfylle personopplysningslovens og personopplysningsforskriftens
krav om å kunne avdekke uautorisert bruk av informasjonssystemene
og andre brudd på sikkerhetsbestemmelser knyttet til personregistrene.
Blant annet kvalitet og tilgjengelighet til
loggene medfører at krav om innsyn må behandles manuelt. I mange
tilfeller vil ikke brukerne kunne nyttiggjøre seg informasjonen
i loggutskriftene uten omfattende veiledning om interne arbeids-prosesser
og ansvarsfordeling i etaten. Antall brukere av Arbeids- og velferdsetaten,
og omfanget av personopplysningene etaten forvalter, tilsier at
det vil måtte benyttes betydelige ressurser til behandling av innsynskrav
hvis en rett til innsyn i loggen skulle bli innført. Det vil også måtte
påregnes utviklings- og implementeringskostnader.
Hvorvidt det bør etableres regler om logging
av innsyn i andre personregistre enn de omtalte, og regler om innsyn
i loggen i andre sektorer enn i helsevesenet, vil det være naturlig
å vurdere i forbindelse med regjeringens oppfølging av Personvern-kommisjonens
rapport og arbeidet med en melding til Stortinget.
For så vidt gjelder det andre tolkningsalternativet,
nemlig at all utlevering av opplysninger til utenforstående skal
logges, legger jeg til grunn at dette vil omfatte utlevering av
opplysninger som er ment å være offentlig tilgjengelige. Offentleglova
§ 3 annet punktum slår fast at ”alle” kan kreve innsyn i saksdokumenter,
journaler og liknende registre hos offentlige organer. Denne retten
til innsyn gjelder alle, uavhengig av hvem de er og hvor de kommer
fra. Det er ikke oppstilt noe krav om at man må oppgi navn. Som
eksempel mottar Brønnøysundregistrene om lag 140 millioner henvendelser
hvert år, hvorav en stor andel innebærer personopplysninger. Regjeringen
har ingen konkrete planer om å foreslå endringer i offentleglova
på dette punktet.
Oppsummering: Som ledd
i oppfølgingen av Personvernkommisjonens rapport, vil regjeringen
vurdere om det bør etableres regler om logging av innsyn i andre
personregistre enn behandlingsrettede helseregistre og i NAV, samt regler
om innsyn i loggen i andre sektorer enn i helsevesenet.
I representantforslaget bes regjeringen begrense NAVs
mulighet til å innhente personopplysninger samt komplette pasientjournaler,
og legger til grunn at den berørte pasient gis kjennskap til at
journalen er utlevert.
Som forvalter av folketrygdens midler er Arbeids-
og velferdsetaten pålagt å føre kontroll og avdekke urettmessige
utbetalinger. Denne oppgaven kan ikke utføres uten tilgang til relevante opplysninger.
Reguleringen av etatens adgang til informasjonsinnhenting følger
av folketrygdloven § 21-4 til § 21-4 c.
Ved endringslov fra januar 2009 ble det som ledd
i tiltakene mot trygdemisbruk, vedtatt en rekke nye lovregler som
bl.a. omfattet følgende:
En rekke presiseringer
i reglene i folketrygdloven §§ 21-3 og 21-4 om den enkelte trygdesøkers
plikter og om innhenting av opplysninger i vanlige trygdesaker.
En ny § 21-4 a i folketrygdloven om at
de særskilte kontrollenhetene i Arbeids- og velferdsetaten skal
kunne kreve opplysninger fra enhver som kan bidra til sakens opplysning
når det foreligger mistanke om trygdemisbruk, og at kontrollenhetene
skal kunne foreta besøk på arbeidsplasser ved mistanke om trygdemisbruk og
gjennomføre stikkprøvekontroll i særlig utsatte bransjer.
En ny § 21-4 b i folketrygdloven om en
ordning for utveksling av informasjon mellom Arbeids- og velferdsetaten
og finansinstitusjoner ved konkret mistanke om trygdemisbruk eller
forsikringssvindel.
En ny § 21-4 c i folketrygdloven som gir nærmere
regler om framgangsmåte mv. ved innhenting av opplysninger og om
særskilte begrensninger ved innhenting av pasientjournaler og ved
innhenting av opplysninger fra familie og andre nærstående.
Hjemlene for innhenting av opplysninger omfatter
både bestemmelser til bruk for den ordinære saksbehandlingen og
bestemmelser som bare kan brukes i forbindelse med trygdemisbruk.
De sistnevnte hjemlene kan bare brukes av de særskilte kontroll-enhetene
i etaten. Hovedbegrensningen ved innhentingen av opplysninger er
i alle tilfeller at det må dreie seg om opplysninger som
er nødvendige for å behandle og avgjøre saken eller foreta kontroll
på en hensiktsmessig måte.
Etter regjeringens vurdering bør adgangen til
å innhente opplysninger fortsatt omfatte de opplysninger som er
nødvendige for å treffe riktige avgjørelser. I motsatt fall vil
sakene enten bli avgjort uten å være
tilstrekkelig belyst eller det blir gitt
avslag med mindre søker selv framskaffer opplysningene. I kontrollsammenheng
ville det tilsvarende oppstå spørsmål om å stanse ytelsene som kontrolleres
inntil vedkommende selv bidrar med tilfredsstillende dokumentasjon.
Under punktet om ”loggføring” i representantforslaget
uttales det at … ”Nav i fjor høst krenket personvernet hos enkeltindivider,
noe Nav hjemlet i folketrygdloven nye § 21-4 a.” Jeg antar at uttalelsen
har sammenheng med mediesaken om innhenting av opplysninger fra
tilbydere av elektronisk kommunikasjon.
§ 21-4 a i folketrygdloven gir adgang til å
innhente nødvendige opplysninger fra enhver ved mistanke om trygdemisbruk.
I forbindelse med den ovennevnte saken ble det blant annet reist spørsmål
om bestemmelsen hjemlet overvåking av telefon- og Internett-trafikk.
En slik omfattende og inngripende tilgang til opplysninger har imidlertid
ingen støtte i forarbeider eller praksis. Derimot er hjemmelen i
ca. 15 tilfeller i fjor brukt som grunnlag for å kreve utlevert
bruker-/abonnentdata og i noen tilfelle også opplysninger om fakturabetaler.
Dette synes klart å ligge innenfor bestemmelsen.
I påvente av en avklaring av spørsmålene knyttet til
lagringsplikt for trafikk og lokaliseringsdata fra elektronisk kommunikasjon,
er Arbeids- og velferdsetaten pålagt inntil videre ikke å bruke hjemmelen
i forbindelse med tilbydere av elektronisk kommunikasjon, selv om
opplysninger om bruker/abonnent eller fakturabetaler vanskelig kan
betraktes som særlig sensitive. Lovforslaget i Prop. 49 L. (2010-2011),
som ligger til behandling i Stortinget, vil klart avskjære Arbeids-
og velferdsetaten fra å innhente trafikk- og lokaliseringsdata fra
elektronisk kommunikasjon, mens opp-lysninger om bruker/abonnent/fakturabetaler
fortsatt vil kunne innhentes.
Det har vært enkelttilfeller der hensynet til
personvern og taushetsplikt ikke har vært ivaretatt godt nok i Arbeids-
og velferdsetaten. Det vurderes derfor kontinuerlig tiltak for å
etablere bedre rutiner og kontroll for behandling av taushetsbelagt
informasjon. Det har også vært gjennomført en omfattende holdningskampanje knyttet
til personvern og taushetsplikt.
Oppsummering: Arbeidsministeren
vil kontinuerlig vurderer tiltak for å etablere bedre rutiner og
kontroll for behandling av taushetsbelagt informasjon i Arbeids-
og velferdsetaten.
Representantene gir i forslaget uttrykk for
at det må være klare begrensninger på når Arbeids- og velferdsetaten
skal kunne innhente pasientjournaler og legger til grunn at den
berørte pasient gis kjennskap til at journalen er utlevert.
Bestemmelser om dette ble vedtatt i januar 2009 og
er tatt inn i folketrygdloven § 21-4 c. Loven tar sikte på å minimalisere
innhenting av fullstendige og uredigerte journaler. Det klargjøres når
journaler kan innhentes, formkravene som gjelder for dette og hva
som gjelder for behandlingen av opplysningene i etaten. Bestemmelsene
lyder som følger:
”Adgangen til innhenting av opplysninger etter § 21-4
første ledd i saker om stønad etter loven her og ved rutinemessig
kontroll av behandlere omfatter ikke innhenting av fullstendig pasientjournal.
Det kan imidlertid kreves spesifiserte eller redigerte utdrag av
journalen når dette anses nødvendig.
Dersom forhold
ved en behandlers praksis gir grunnlag for å anta at det har skjedd
urettmessige utbetalinger fra trygden, eventuelt ved et samarbeid
mellom behandler og stønadstaker, kan det kreves fullstendig og
uredigert pasientjournal. Krav om dette skal framsettes av Arbeids-
og velferdsdirektoratet eller Helsedirektoratet eller av særskilt
utpekte enheter.
Det innhentende organ skal oppgi
formålet med opplysninger og erklæringer mv. som innhentes etter
§ 21-4 eller § 21-4 a første ledd. Det skal videre opplyses om hjemmelen
for innhentingen og om klageadgangen, se forvaltningsloven § 14.
Dersom det i saker som nevnt i andre ledd i paragrafen her er fare
for at kontrollhensyn motvirkes, kan formålet oppgis etter at opplysningene
er utlevert.
Personopplysningslovens regler om informasjonsplikt
og om behandling av opplysninger, herunder tilgang, oppbevaring,
viderebefordring og sletting, gjelder for opplysninger innhentet
etter reglene i loven her, med de unntak som følger av § 21-4 b.”
Etter reglene kan det bare innhentes fullstendig journal
ved mistanke om trygdemisbruk hos behandler. Journalene er i praksis
den eneste fullgode måte å kontrollere legens innsendelse av regninger,
men kan i en viss utstrekning erstattes eller suppleres ved forespørsler
til pasientene. Ofte vil det være tilstrekkelig å be om journalopplysninger
for et begrenset tidsrom. I slike tilfeller er det ikke nødvendig
å be om fullstendig journal, og etaten har heller ikke hjemmel til
det.
For mange av trygdens ytelser er mottakerens helsetilstand
helt avgjørende når rettighetene skal vurderes. Disse opplysningene
kan innhentes ved å rekvirere relevante deler av journalen. Alternativet
er en særskilt legeerklæring, som vil bli basert på opplysningene
i journalen, men kan gi uttrykk for en mer nyansert/fullstendig
vurdering enn notatene i journalene. En egen erklæring vil selvsagt
være mer belastende for legen. Det kan være hensiktsmessig at etaten
i en viss utstrekning kan velge hvilken dokumentasjonsform som skal
kreves i det enkelte tilfelle.
Innhentede journaler behandles på samme måte som
annen sensitiv informasjon etaten har tilgang til, etter reglene
i personopplysningsloven. Når det gjelder innhentede fullstendige
journaler, behandles disse utelukkende i Arbeids- og velferdsetatens
særskilte kontrollenheter. Kontrollarbeidet på trygdemisbruksområdet
er organisert i fem regionale kontrollenheter med til sammen ca.
100 ansatte, lokalisert i tilknytning til større byer. Det er høyst
tre ansatte involvert i hver sak. Med denne regionaliseringen og
begrensningen i antall ansatte med kjennskap til saken, vil det
være liten sannsynlighet for at informasjonen skal spres i lokalsamfunnet.
Lovendringene som ble vedtatt i 2009, sett i sammenheng
med etatens organisering av kontrollarbeidet og rutinene knyttet
til håndtering av pasientjournaler, sikrer personvernet for den
enkelte på en god måte. En ytterligere begrensning av tilgangen
til pasientjournaler vil vanskeliggjøre arbeidet med å bekjempe
trygdemisbruk. Det må i den forbindelse vektlegges at det synes å
skje en profesjonalisering av denne typen økonomisk kriminalitet,
og at effektive kontrollmuligheter derfor er svært viktig.
Som nevnt gjøres det bruk av deler av pasientjournaler
også i den ordinære saksbehandlingen i etaten. Helseopplysninger
er av avgjørende betydning for en rekke av folketrygdens ytelser,
og redusert tilgang til slike opplysninger vil svekke saks-behandlingen
på flere måter. Det vil være svært uheldig for trygdens økonomi
dersom saker må avgjøres på mangelfullt grunnlag. Alternativt vil
resultatet kunne bli økte krav til den enkelte om selv å framskaffe
og presentere nødvendig dokumentasjon, og avslag i stønadssaker dersom
så ikke skjer. Begrensninger i tilgangen til opplysninger vil i
siste instans kunne gå ut over stønadstakeren.
I folketrygdloven § 21-4 c er det ikke tatt
inn egne regler om varsling. Arbeids- og velferdsetaten har imidlertid
– i tråd med avgjørelser i Datatilsynet og Personvern-nemnda – innarbeidet rutiner
som sikrer at pasienten varsles når det innhentes fullstendige og
uredigerte pasientjournaler, og også ved innhenting av spesifiserte eller
redigerte utdrag av pasientjournaler.
Oppsummering: Arbeids-
og velferdsetatens adgang til å begjære utlevert fullstendige journaler
er svært begrenset etter endring av folketrygdloven i januar 2009.
I de få tilfellene det utleveres fullstendig journal, skal pasienten/den registrerte
varsles om utleveringen.
I representantforslaget bes regjeringen sikre
at det etableres en personvernansvarlig ved alle større institusjoner
og etater som har tilgang til sensitive personopplysninger.
Innledningsvis gjør jeg oppmerksom på at det både
på nasjonalt plan (etterkontrollen av personopplysningsloven) og
på europeisk plan (EUs arbeid med revisjon av personverndirektivet)
foregår prosesser som etter alt å dømme vil munne ut i lovregulering
av dagens frivillige ordning med personvernombud.
Den norske personopplysningsloven trådte i kraft
1. januar 2001 sammen med forskrifter til loven. Ordningen med at
en virksomhet kan utpeke et personvernombud er ikke omtalt i selve loven,
men fremgår forutsetningsvis gjennom regelen i person-opplysningsforskriften
§ 7-12 om muligheten for å gjøre unntak fra reglene om melde-plikt
til Datatilsynet. Også EU-direktiv 95/46/EF, som personopplysningsloven
er en gjennomføring av, nevner flere steder muligheten for oppnevning
av en Data protection official, jf. fortalen
punkt 49 og artikkel 18 og 20.
Gjennom seminarer, opplæring og utvikling av retningslinjer
har Datatilsynet gjort ordningen kjent, og i tilsynets praksis har
det etter hvert avtegnet seg visse rammer for ombudets oppgaver
og funksjon. På Datatilsynets nettsider er det gitt en oversikt
over hvordan en virksomhet kan gå frem dersom den ønsker å etablere
et personvernombud, og det er i tillegg publisert en fyldig veileder
om selve ordningen.
I lov om behandling av opplysninger i politiet
og påtalemyndigheten (politiregisterloven), vedtatt av Stortinget
28. mai 2010, men ennå ikke trådt i kraft, benyttes for øvrig begrepet
“personvernrådgiver” i stedet for “personvernombud”. I forarbeidene
uttales følgende om dette, jf. Ot.prp. nr. 108 (2008-2009) side
268:
“Utvalget har valgt terminologien ombud etter personopplysningslovens
modell. Utvalget beskriver en kompetanseperson som skal bistå registrerte,
behandlingsansvarlige og andre i arbeidet med å oppfylle personopplysningslovens krav.
Departementet mener imidlertid at terminologien kan by på utfordringer
i forholdet mellom rollebetegnelse og rollekompetanse, og foreslår
derfor betegnelsen «personvernrådgiver» i lovforslaget til § 63.”
Det må antas at denne begrepsbruken vil kunne bli
retningsgivende ved revisjon av personopplysningsloven. I brevet
her vil imidlertid ombudsbegrepet fremdeles bli benyttet.
I forarbeidene til personopplysningsloven ble det
gitt uttrykk for at det burde foretas en etterkontroll av personopplysningsloven
ca. fem år etter at den ble satt i kraft – blant annet for å undersøke
om reglene virker etter sin hensikt, jf. Ot.prp. nr. 92 (1998-1999)
side 100. Som ledd i denne etterkontrollen utarbeidet professor
dr. juris Dag Wiese Schartum og førsteamanuensis dr. juris Lee Bygrave
i 2006 rapporten “Utredning av behov for endringer i personopplysningsloven”
på oppdrag fra Justisdepartementet, som har lovansvaret for personopplysningsloven.
I Schartum/Bygraves rapport er ordningen med personvernombud foreslått
lovregulert gjennom et eget kapittel i personopplysningsloven.
Rapporten ble i 2009 sendt på høring sammen med
to andre rapporter og et supplerende høringsnotat utarbeidet av
departementet. I høringsnotatet har departementet gitt utrykk for
at ordningen med personvernombud har hatt en viktig effekt i personvernmessig
henseende, og at man ønsker å legge til rette for en styrking og videreutvikling
av den. Departementet har derfor gitt sin tilslutning til forslaget
om å lovregulere ordningen.
I et strategidokument 4. november 2010 varslet EU-kommisjonen
omfattende endringer i personverndirektivet. Det er eksplisitt uttalt
at ordningen med personvernombud vil bli gjennomgått. Signaler fra
EU kan tilsi at det tas sikte på å fremme utkast til nytt direktiv
allerede i løpet av 2011. På denne bakgrunn har Justisdepartementet
ansett det naturlig å avvente en revisjon av personopplysningsloven
for så vidt gjelder de rettsområder og direktivbestemmelser som
Kommisjonen har omtalt særskilt i strategidokumentet, herunder spørsmålet
om lovregulering av personvernombudet.
For øvrig er det enkelte deler av etterkontrollen og
personopplysningsloven som mest sannsynlig ikke vil bli berørt av
prosessen som nå pågår i EU, eller som kun i liten utstrekning vil
bli berørt. På denne bakgrunn tar Justisdepartementet sikte på å
fremme en delproposisjon i løpet av 2011 med forslag til enkelte
endringer i personopplysningsloven.
Det er i dag frivillig for en virksomhet å utpeke et
personvernombud, jf. også politiregisterloven § 63. Verken Schartum/Bygrave
eller Justisdepartementet, gjennom høringsnotatet, har fremsatt
forslag om å introdusere noe pliktelement.
Mange virksomheter håndterer store mengder sensitiv
personinformasjon, og som utgangspunkt er det ikke unaturlig å tenke
seg at det eksempelvis innenfor visse bransjer eller sektorer ble
påbudt å ha et ombud. Alternativt kunne plikten knyttes opp mot
mengden av personopplysninger som behandles eller størrelsen på virksomheten.
På den annen side ville det for mange virksomheter
kunne innebære høye kostnader å ha et ombud. Det er også mange måter
å sikre personvernet på uten å ha et ombud. Et pålegg om ombudsordning
innebærer at den fleksibilitet som ligger i at virksomheter selv
kan velge hvordan de på best mulige måte kan oppfylle personopplysningslovens
regler, forsvinner.
I EUs strategidokument 4. november 2010 fremgår
det at Kommisjonen vil vurdere en ordning med obligatorisk personvernombud,
dog slik at en må ta hensyn til de administrative byrder for mindre
virksomheter som dette kan medføre (side 12):
“The Commission will examine the following elements
to enhance data controllers' responsibility:
– making
the appointment of an independent Data Protection Officer mandatory
and harmonising the rules related to their tasks and competences,
while reflecting on the appropriate threshold to avoid undue administrative
burdens, particularly on small and micro-enterprises…”
På denne bakgrunn anses det hensiktsmessig å avvente
EUs konklusjon knyttet til pliktelementet før det eventuelt innarbeides
i de nasjonale reglene. I motsatt fall risikerer man at det oppstår motstrid
mellom norske regler og EU-retten.
Oppsummering: I justissektoren
vil det bli innført en ordning med personvern-rådgivere i forbindelse
med ikrafttredelse av politiregisterloven. I arbeidet med en egen
melding til Stortinget om personvern, vil regjeringen videre vurdere
om det er hensiktsmessig å pålegge egne større underliggende etater/statlige
virksomheter som behandler sensitive personopplysninger, å etablere
personvernombud. Ut over dette anses det hensiktsmessig å avvente
revisjon av EUs personverndirektiv før det eventuelt innføres en obligatorisk
ordning med personvernombud i våre nasjonale regler.
Regjeringen bes fremme forslag om fjerning av Skattedirektoratets
hjemmel i ligningsloven til å kreve innsyn i opplysninger knyttet
til konkrete kjøretøy benyttet i næringsvirksomhet ved elektronisk
bompassering.
Ligningsloven inneholder ingen særskilt bestemmelse
om innhenting av opplysninger knyttet til konkrete kjøretøy benyttet
i næringsvirksomhet ved elektronisk bompassering. Det er imidlertid
på det rene at opplysningene kan innhentes med hjemmel i ligningsloven
§ 6-3 nr. 1. Dette er en generell bestemmelse om adgang til innhenting
av opplysninger om økonomisk mellomværende med næringsdrivende,
når mellom-værendet knytter seg til begge parters virksomhet. Videre
kan ligningsmyndighetene med hjemmel i ligningsloven § 6-13 kreve
å få utlevert ligningsrelevante opplysninger fra offentlig myndighet,
som sistnevnte er blitt kjent med under sitt arbeid.
Regjeringen vil bemerke at skatteunndragelser og
svart økonomi er en alvorlig form for kriminalitet. Det er derfor
viktig at skatteetaten har omfattende hjemler for å kunne gjennomføre kontrollundersøkelser.
Bare på denne måten kan etaten avdekke uregelmessigheter på en effektiv måte.
En fjerning av den generelle kontrollhjemmelen i ligningsloven § 6-3
nr. 1 er etter regjeringens syn ikke aktuelt.
Oppsummering: Regjeringen
vil vurdere hvilke muligheter som foreligger for at innsyn i lovlig
lagrede data i elektroniske betalingsanlegg på vei kan begrenses.
I påvente av nærmere avklaringer, utleverer ikke bomselskapene passerings-opplysninger
til ligningsmyndighetene.
Forslaget går ut på å utarbeide retningslinjer
for å sikre personvernet i forbindelse med innhenting og bruk av
personopplysninger i skolen. Sikring av personvernet i skolen er
svært viktig. Kommunene har, som skoleeiere, et selvstendig ansvar
for å følge og sikre bevissthet rundt regelverket knyttet til behandling
av personopplysninger i skolen.
Utarbeidelse av retningslinjer for bruk av personopplysninger
i skolen innebærer omfattende problemstillinger der ulike hensyn
skal vektes og ivaretas. Hensynet til elevenes personvern står selvfølgelig
sterkt, men det er også andre hensyn av betydning, for eksempel
personopplysninger som er nødvendige for tilpasning av undervisning
og andre tiltak til det beste for den enkelte elev.
Personopplysninger benyttes til flere ulike formål
i skolen. Det enkelte formål trekker opp rammene for om og eventuelt
hvilke personopplysninger som kan behandles. For hvert enkelt formål
må det foretas en konkret vurdering av om det er behov for å behandle
personopplysninger. Det er denne vurderingen personopplysningsloven,
som en generell lov, gir oss rammeverket for. Generelle retningslinjer
for all bruk av personopplysninger i skolen vil på denne bakgrunn
neppe være et hensiktsmessig tiltak.
Barn og unges personvern er viet et eget kapittel i
Personvernkommisjonens rapport, som er inntatt i NOU 2009:1 Individ og integritet. Personvern i skolen
er særskilt omtalt. Det vil være naturlig at temaet også omtales
når regjeringen skal legge frem en melding til Stortinget om personvern,
som en oppfølging av Personvern-kommisjonens arbeid. Blant annet
kan det vurderes hvorvidt det er behov for retningslinjer knyttet
til bruk av personopplysninger til spesielle formål i skolen.
Oppsummering: Personopplysningsloven
gir de generelle rammene for behandling av personopplysninger i
skolen. For å bedre personvernet i skolen vil regjeringen vurdere
om det er behov for retningslinjer knyttet til behandling av person-opplysninger
til spesielle formål i skolen.
Forslagsstillerne etterlyser tiltak for å skolere barnehageeiere
og -ansatte i personopplysningsloven, samt innføring av en bestemmelse
om at innhenting og lagring, samt overførsel av personopplysninger
mellom barnehage og skole, kun skal skje etter informert samtykke
fra foreldre/foresatte.
Kunnskapsdepartementet har utarbeidet et temahefte
om IKT i barnehagen der personvern i barnehagen er omtalt i et eget
kapittel. Der skisseres det ulike situasjoner der personvern blir
aktuelt, og hva barnehagen bør være oppmerksom på i slike tilfeller.
I lov 17. juni 2005 nr. 64 om barnehager (barnehageloven)
reguleres barnehageeiers ansvar i § 7. Av denne bestemmelsen fremgår
det at barnehageeieren skal drive virksomheten i samsvar med gjeldende
lover og regelverk. Bestemmelsen gjelder både kommunale og ikke-kommunale
barnehageeiere. Eier har ansvar for at virksomheten følger de kravene
barnehageloven setter og at barnehagen følger de kravene som annet
regelverk setter. Barnehageeier har selv ansvaret for å holde seg
oppdatert på de lokale og sentrale krav som til enhver tid stilles
til barnehagedrift og til å sikre bevissthet rundt regelverket om
personopplysninger.
Når det gjelder informasjon om personvernregelverket
til barnehager og barnehageeiere, har Datatilsynet utarbeidet et
omfattende veiledningsmateriell. Dette er tilgjengelig på Datatilsynets
nettsider eller kan fås ved å kontakte Datatilsynet på annen måte.
Hvorvidt det bør iverksettes særskilte tiltak for å skolere barnehageeiere
og barnehageansatte i gjeldende regelverk, må vurderes av Datatilsynet
ut fra de ressurser tilsynet har tilrådighet og de trusler tilsynet
identifiserer på dette området.
Forslagsstillerne foreslår videre at det skal
innføres en bestemmelse om at innhenting, lagring og overføring
av personopplysninger mellom barnehage og skole kun skal skje etter
informert samtykke fra foreldrene/foresatte. Formålet med personopplysningsloven
er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling
av personopplysninger, og loven skal bidra til at personopplysninger
blir behandlet i samsvar med grunnleggende personvernhensyn, herunder
behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet
på personopplysninger, jf. § 1 Lovens formål. Etter personopplysningsloven
er det flere rettslige grunnlag som kan danne grunnlag for lovmessig
behandling av personopplysninger. Samtykke er ett alternativ. Regjeringen
ser det ikke som ønskelig å innføre spesialregulering som utelukker
behandling av personopplysninger i barnehagen og i skolen på annet
grunnlag enn etter foresattes samtykke.
Utlevering av opplysninger fra barnehage til skole
må ha rettslig grunnlag, jf. personopplysningsloven § 11. Det foreligger
ikke noen generell lovhjemmel om utveksling av personopplysninger
mellom barnehage og skole. Som regel vil derfor utlevering av opplysninger måtte
forankres i samtykke fra barnets foresatte. Dette har også Kunnskapsdepartementet
lagt til grunn i veilederen ”Fra eldst til
yngst”, som skal bidra til å sikre gode sammenhenger mellom barnehage
og skole.
For ordens skyld legger jeg også til at opplysninger
om barn i barnehagen i stor grad vil være omfattet av taushetsplikt,
jf barnehageloven § 20, og henvisningen til forvaltningsloven §§ 13
og 13f. Enhver som gjør tjeneste eller arbeid i barnehagen plikter
derfor å hindre at andre får kjennskap til det vedkommende i sitt arbeid
får vite om noen sine personlige forhold. Brudd på taushetsplikten
er straffesanksjonert i straffeloven § 121.
Oppsummering: Det foreligger
ikke noen generell lovhjemmel for utveksling av personopplysninger
mellom barnehage og skole. Som regel vil derfor utlevering av opplysninger
måtte forankres i samtykke fra barnets foresatte. I stor grad vil
utlevering av opplysninger uten foresattes samtykke eller annen
opphevelse av taushetsplikt være straffbart brudd på taushetsplikt.
Forslagsstillerne ber regjeringen endre offentlighetsloven
slik at klasselister kan forbli skolens eiendom, og således begrenses
til den krets som har normal nytte av dem.
Regjeringen kan ikke se at offentleglova endrer rettstilstanden
når det gjelder innsyn i klasselister. Taushetspliktsregelen i forvaltningsloven § 13
er den samme som tidligere, og offentleglova § 13 første ledd viser
til diverse taushetspliktbestemmelser i lovverket, herunder bestemmelsen
i forvaltningsloven § 13. Dersom listene begrenser seg til å inneholde
informasjon om navn, adresse, telefonnummer og eventuelt fødselsnummer,
er i utgangspunktet ingen av disse opplysningene taushetsbelagte
etter forvaltningsloven § 13. Slike opplysninger vil imidlertid
være taushetsbelagte hvis de røper underliggende forhold som må
anses som personlige, f.eks. at en elev bor på barnevernsinstitusjon.
Uavhengig at taushetsplikt, vil jeg presisere at skolene alltid
må vurdere hvilke opplysninger som er nødvendige på en offentlig klasseliste.
Fødselsnummer er neppe en nødvendig opplysning på en klasseliste,
selv om det ikke er en taushetsbelagt opplysning.
Lister over elever som utelukkende brukes internt
på skolen, vil kunne unntas etter offentleglova § 14 første ledd
om organinterne dokumenter. Hvis listene derimot gis ut til barna og
deres foresatte, vil bestemmelsen i utgangspunkt ikke gi hjemmel
for unntak. Det er ikke noe i veien for å operere med to sett lister,
hvor skolens interne lister gir mer detaljert informasjon for organisatoriske
formål, mens listene man sender ut, bare inneholder kontaktinformasjon. Skolene
bør derfor utvise varsomhet når de vurderer hvilke opplysninger
som er nødvendige på de offentlige klasselistene.
Ved mange skoler er det innført en ordning som går
ut på at skolen ikke utleverer klasselister, men at det er foreldrene
selv som organiserer og distribuerer lister over barna og de foresattes kontaktinformasjon.
På denne måten kan foresatte dele kontaktinformasjon uten at skolen
offentliggjør klasselister. Når skolen ikke offentliggjør klasselister,
men kun bruker disse internt, vil listene være organinterne dokumenter som
skolen kan unnta fra offentlighet etter offentleglova § 14 første
ledd, jf ovenfor. Dette styrker barnas personvern.
Offentleglova skal evalueres innen utgangen
av inneværende stortingsperiode. I den forbindelse vil Justisdepartementet
også se på en del spørsmål som har vært reist. I den sammenheng vil
det være naturlig å vurdere også spørsmålet om innsyn i klasselister.
Det nevnes imidlertid at det å se på klasselister som skolens eiendom,
slik at skolen skulle kunne regulere elevenes og foreldrenes videre
bruk av listene, neppe vil være en praktisk løsning.
Oppsummering: Ved å
forbeholde klasselister for internt bruk ved skolen, forblir listene
skolens interne dokumenter som det kan nektes innsyn i etter offentleglova
§ 14. Dersom de foresatte ønsker klasselister, kan de selv ta initiativ
til å sette opp slike lister. I forbindelse med evalueringen av
offentleglova vil regjeringen vurdere spørsmålet om innsyn i klasselister.
Forslaget går ut på å sikre at forskrift om
systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter også
hensyntar personvernet.
Det er allerede nedfelt et klart krav om internkontroll
i personopplysningsloven § 14 med tilhørende forskrifter. Reglene
pålegger alle virksomheter som behandler personopplysninger, å gjennomføre
nødvendige tiltak for å ivareta gjeldende personvernregelverk og
å dokumentere disse tiltakene. Bestemmelsene ligger svært nær HMS-forskriftens
krav til internkontroll, men gjelder kun på personvernområdet. Dersom
HMS-forskriften også skal ta hensyn til personvernet, vil dette
etter min mening medføre en uheldig dobbeltregulering. Jeg mener
derfor det er viktigere at Datatilsynet arbeider for å gjøre internkontrollbestemmelsene
i personopplysnings-loven kjent for alle som behandler personopplysninger.
For å bidra til bedre etterlevelse av internkontrollbestemmelsene, fikk
tilsynet særskilte midler fra Fornyings-, administrasjons- og kirkedepartementet
til et 2-årig prosjekt om internkontroll og informasjonssikkerhet
i 2009. Prosjektet avsluttes etter planen i 2011.
Jeg ønsker også å gjøre oppmerksom på at Arbeidsdepartementet
og Fornyings- administrasjons- og kirkedepartementet nylig har bedt Datatilsynet
og Arbeidstilsynet om å bidra i en kartlegging av personvernutfordringer
i arbeidslivet. Dette kartleggingsarbeidet vil gi et verdifullt
grunnlag for videre arbeid med å styrke personvernet i arbeidslivet.
Oppsummering: Intenkontrollplikten
på personvernområdet følger allerede av personopplysningsloven § 14
med forskrifter, og ytterligere regulering fremstår som unødvendig.
Forslaget går ut på å pålegge store private
registre, som i bank og forsikring, å etablere logger for hvem som
innhenter personsensitiv informasjon, og at den enkelte får rett
til innsyn i loggen knyttet til sin person.
Etter regjeringens vurdering synes således de forhold
som tas opp i representantforslaget punkt X allerede å være regulert
når det gjelder finansinstitusjoner. Det gjøres samtidig oppmerksom
på at det gjelder særskilte taushetspliktbestemmelser for banker
og andre finansinstitusjoner, som har til formål å ivareta personvernhensyn
i tilknytning til bankers og andre finansinstitusjoners håndtering
av personopplysninger.Bank- og forsikringsvirksomhet er konsesjonsbelagt
virksomhet. Konsesjon blir gitt av Finansdepartementet (etter delegasjon).
I tillegg kreves det at banker og andre finansinstitusjoner, for
eksempel forsikringsselskaper, har konsesjon fra Datatilsynet for
å behandle personopplysninger, jf. personopplysningsloven § 33 første
ledd og personopplysningsforskriften § 7-3. I Datatilsynets konsesjon
til banker og andre finansinstitusjoner er det allerede fastlagt
at elektroniske oppslag i personopplysninger skal loggføres og oppbevares
på elektronisk medium i minst tre måneder. Det er videre fastlagt
at kunder har krav på innsyn i antall elektroniske oppslag samt
tidspunktet for oppslag som ansatte i banker eller bankers oppdragstakere
har foretatt i kontoer eller øvrige kundeengasjementer. Innsynsretten
gjelder for et tidsrom på minst tre måneder etter oppslaget.
Hvorvidt det bør innføres tilsvarende plikt
til å logge oppslag i andre store personregistre i privat virksomhet,
bør vurderes konkret for den enkelte behandlingstype. I vurderingen
må det særlig sees hen til den type opplysninger som behandles og
det misbruks- og skadepotensialet som foreligger. De personopplysningsbehandlinger
som representerer størst trussel, vil som hovedregel være regulert
gjennom konsesjon fra Datatilsynet etter personopplysningsloven
§ 33, jf det som er skrevet ovenfor om registre i finansinstitusjoner.
Det vil være naturlig at Datatilsynet vurderer behovet for logging
av oppslag og innsyn i loggen som ledd i konsesjonsbehandlingen.
Oppsummering: Det vil
være naturlig for Datatilsynet å vurdere behovet for logging av
oppslag og de registrertes innsyn i loggen i forbindelse med behandling
av søknad om konsesjon for private virksomheters omfattende behandlinger
av person-opplysninger.
Oslo, i kommunal- og forvaltningskomiteen, den 9. juni 2011.
Heikki Holmås |
leder og ordfører |