Det vises i meldingen til at personvern er en grunnleggende
rettighet for den enkelte. Det gis en oversikt over de internasjonale
og nasjonale regler som regulerer personvernområdet, generelt og
i spesialregelverk.
Det vises i meldingen til at dersom det skal
gjøres inngrep i borgernes personvern, må dette være nødvendig,
og inngrepet må være forholdsmessig.
Det vises i meldingen til at personvern ikke
bare er en rettighet for enkeltindividet. Som samfunn har vi også
interesse i et godt personvern.
De kommersielle aktørene er avhengige av at kundene
har tillit til teknologien for at de skal ønske å benytte den. De
næringsdrivende må derfor se verdien, og opparbeide denne tilliten.
Det vises i meldingen til at personvern i dag
er et utpreget internasjonalt tema. I en tid med raskt økende teknologisk
samhandling, også over landegrensene, er strømmen av personopplysninger
enorm. Ofte lagres og brukes opplysningene på måter de registrerte
ikke forstår. Av meldingen fremgår det at internasjonalt personvernsamarbeid
er viktigere enn noen gang.
Både i EU, OECD og Europarådet pågår revisjon av
de internasjonale personvernregelverkene. Mens Europarådets og OECDs
retningslinjer angir prinsipper for flyt og behandling av personopplysninger,
er EUs personverndirektiv fra 1995 i større grad ment å detaljregulere
behandling av personopplysninger i EU- og EØS-landene. EU-kommisjonen
har lagt frem forslag til en generell forordning om personvern som
skal erstatte det gjeldende direktivet. EU-kommisjonen har også
foreslått en styrking av de nasjonale tilsynsmyndighetene, deres
samarbeidsorgan og virkemiddelapparat.
I meldingen vises det til at teknologien preger svært
mange av våre daglige gjøremål. Det er viktig at tilbyderne av de
ulike tjenestene tenker personvern når nye løsninger utvikles.
Personvernfremmende teknologi har lenge vært et
kjent begrep. Eksempler er kryptering og søkemotorimmunisering.
Denne teknologien er tatt i bruk i forbindelse med Offentlig elektronisk
postjournal i staten på en slik måte at informasjon ikke er søkbar på
personnavn lenger enn i ett år.
Personvernfremmende teknologi er et sentralt element
i innebygget personvern («privacy by design»), som er i ferd med
å få fotfeste også i Norge. Men innebygget personvern er mer enn
bare teknologi – det er et uttrykk for at den behandlingsansvarlige har
kultur for og fokus på personvern i hele sitt arbeid og at personvern
er en integrert del av alle prosesser, og hensyntas på linje med
andre hensyn virksomheten må ivareta. Klarer virksomheten å tenke
personvern tidlig i prosesser, kan personvernhensyn tas uten at
det kreves store omarbeidinger og tilpasninger. Det er et stort
potensial for innebygget personvern i forbindelse med digitalisering
av både offentlige og private tjenester.
Datatilsynet redegjør i årsmeldingen for omfattende
strategiarbeid i 2011. Virksomheten har gjennomgått interne rutiner
og prosesser, virkemiddelbruk i ulike sammenhenger, prioritering
av ulike fagområder og utarbeidet strategier for flere av disse fagområdene.
I tillegg har Direktoratet for forvaltning og IKT (Difi) gjennomført
en evaluering av Datatilsynet som organisasjon og tilsynets virksomhet på
vegne av Fornyings-, administrasjons- og kirkedepartementet.
Resultatet av strategiarbeidet er en langsiktig strategi
med visjoner og overordnede mål for en femårsperiode. Viktige elementer
i strategien er å arbeide for at andre aktører skal ivareta personvernhensyn
i sitt arbeid, å velge riktige virkemidler i arbeidet sitt, fokusere
på personvernvennlig teknologi, ha effektiv saksbehandling og et
aktivt internasjonalt engasjement. I tillegg har Datatilsynet arbeidet
med sektorspesifikke strategier. I meldingsåret la tilsynet frem
en strategi for personvern i helsesektoren.
Det fremgår av meldingen at departementet deler Datatilsynets
vurdering av behovet for langsiktig og strategisk planlegging. Difis
evaluering av Datatilsynet viser at tilsynet har et høyt aktivitetsnivå
med begrensede ressurser. Det er likevel viktig at en virksomhet
med så vidt beskjedne ressurser foretar grundige og strategiske
prioriteringer med sikte på best mulig ressursutnyttelse. Evalueringsrapporten
fra Difi understreker betydningen av at Datatilsynet er tydelig
i sine ulike roller. Samtidig er det lite som tyder på at brukerne
opplever det som problematisk at etaten har to ulike roller i sin
virksomhet.
Datatilsynet legger stor vekt på informasjon
og dialog som virkemiddel, og tilsynet ønsker at informasjon skal
bidra til å sette borgerne bedre i stand til å ivareta eget personvern.
Samtidig ser Datatilsynet at mange innkomne saker blir stadig mer
komplekse, og krever avveininger mellom flere ulike samfunnshensyn.
Datatilsynet har gjennomgått saksbehandlingsrutinene med tanke på
å effektivisere ressursutnyttelsen.
Det fremgår av meldingen at departementet deler Datatilsynets
vurderinger av behovet for å arbeide aktivt med virkemiddelbruk
og ulik prioritering av saker av ulik viktighet. Bruk av veiledning
og informasjon kan være riktig og tilstrekkelig i mange saker, mens
det i andre saker er behov for tilsyn og vedtak. Med begrensede
ressurser kan Datatilsynet ikke behandle alle innkomne henvendelser
like grundig, og god og tilpasset hjelp til selvhjelp fremstår som
hensiktsmessig ressursbruk. Samtidig påpeker departementet betydningen
av tilsynsaktiviteten. Stedlig tilsyn gir nyttig informasjon som
grunnlag for Datatilsynets videre arbeid, samtidig som det kan virke
disiplinerende for de behandlingsansvarlige å vite at de kan bli
gjenstand for kontroll. Departementet har derfor merket seg at det
lave antall tilsyn i meldingsåret skyldes en begrunnet prioritering
og legger til grunn at Datatilsynet opprettholder noe høyere aktivitetsnivå
for tilsynsvirksomheten i tiden som kommer.
Det vises i meldingen til at gjennomgående for flere
av de temaene Datatilsynet omhandler i sin årsmelding, er utfordringer
relatert til elektroniske spor.
I transportsektoren har omfanget av behandling av
personopplysninger økt betydelig de senere årene. Helautomatiske
bomstasjoner, elektronisk billettering i kollektivtrafikken, GPS-sporing
og eCall representerer noen aktuelle teknologier. Datatilsynet har i
meldingsåret deltatt i et omfattende arbeid med etablering av en
bransjenorm for elektronisk billettering og deltatt i en arbeidsgruppe
som arbeider for å legge til rette for sporfrie passeringer i helautomatiske
bomstasjoner.
Også i arbeidslivet registreres en mengde elektroniske
spor. Særlig i transportbransjen er bruk av GPS- og flåtestyring
blitt vanlig. Datatilsynet har i meldingsåret hatt et samarbeid
med Arbeidstilsynet for å kartlegge omfanget av kontroll og overvåking
i arbeidslivet. Informasjon om regelverk fremstår som et viktig
tiltak i sektoren. Bruk av de lagrede opplysningene til nye formål
reiser særlige problemstillinger, noe også partene i arbeidslivet
er opptatt av. Datatilsynet viser til at det i meldingsåret er behandlet saker
der opplysninger innhentet for administrasjon senere er brukt som
grunnlag i oppsigelsessaker.
Departementet mener det er viktig at aktører
i alle bransjer er oppmerksomme på den store mengden elektroniske
spor vi etterlater oss. Sammenstilt på nye måter kan informasjonen
fortelle mye om oss, og brukt til nye formål kan informasjonen få
uante konsekvenser. Departementet deler oppfatningen av at det er
viktig å følge utviklingen nøye.
Det pekes i meldingen på at helse- og omsorgssektoren
er en personopplysningsintensiv sektor. Opplysningene brukes ikke
bare i behandlingsøyemed, men også til forskning, kvalitetssikring,
administrasjon og planlegging. Den enkelte pasient har begrenset
informasjon om flyten av opplysningene. Datatilsynet tar opp betydningen
av personvern ved bruk av omsorgsteknologi.
Fra meldingsåret fremhever Datatilsynet samhandlingsreformen,
Norsk helsearkiv og opprettelse av hjerte- og karregisteret som
store saker med betydelige personvernkonsekvenser.
Behandling av personopplysninger bør etter Datatilsynets
vurdering så langt råd er baseres på de registrertes samtykke. Datatilsynet
fremhevet dette i forbindelse med opprettelse av nasjonal kjernejournal
der registrering er frivillig, men basert på reservasjonsadgang,
og ikke aktivt samtykke for den enkelte.
Det fremgår av meldingen at departementet er positiv
til at Datatilsynet har utarbeidet en strategi for sitt arbeid med
personvern i helsesektoren og at det mener at en slik strategi er
til nytte både for Datatilsynet selv og for sektoren som skal forholde
seg til Datatilsynets arbeid. Departementet deler Datatilsynets
syn på pasientenes behov for informasjon og selvbestemmelse som
grunnlag for at pasientene skal ha den nødvendige tillit til behandlingsapparatet
og ivaretakelsen av personvernet.
I meldingen fremgår det at Datatilsynet i sin
årsmelding peker på konsekvensene av systematisering og tilgjengeliggjøring
av offentlig informasjon på nett.
I meldingsåret har flere saker om offentliggjøring av
elev- og studentlister vært aktuelle. Datatilsynet påpeker behovet
for en gjennomgang av offentleglovas muligheter for elektronisk
masseutlevering av personopplysninger.
En annen sak som gjelder offentlig innsyn i
personopplysninger, er den årlig tilbakevendende saken om innsyn
i offentlige skattelister. I meldingsåret vedtok Stortinget endringer
i ligningsloven § 8-8 som begrenser spredningen av skattelistene
i elektronisk form. Datatilsynet har i mange år vært svært kritiske
til den omfattende spredningen av skattelistene i elektronisk format,
og er svært tilfreds med innstrammingen.
Det fremgår av meldingen at departementet deler Datatilsynets
bekymring for den spredningen av personopplysninger som følger med
praktisering av offentlighetsprinsippet i en digital verden. Særlig
opplysninger om barn bør gis et bedre vern enn det som i dag er
tilfellet. Med riktig bruk av teknologi, herunder innebygget personvern,
er det departementets vurdering at det bør være mulig å sikre hensynet
både til offentlighet og til personvern.
Det fremgår av meldingen at Personvernnemnda i
2011 har mottatt 13 klagesaker fra Datatilsynet. 14 saker er ferdigbehandlet
i meldingsåret - seks saker fra 2010 og åtte saker fra 2011. Datatilsynets
vedtak ble omgjort i seks av de 14 behandlede sakene. Til tross
for at nesten halvparten av klagesakene som oversendes nemnda ender
med omgjøring, er omgjøringsandelen meget lav i forhold til de ca.
400 vedtak Datatilsynet fattet i meldingsåret. Det er etter departementets
vurdering neppe mulig å trekke noen klare konklusjoner om Datatilsynets
praksis og regelverkstolkning basert på Personvernnemndas vedtak.
Datatilsynet er opptatt av at en del saker av prinsipiell karakter
bør oversendes klageorganet for avklaring. Personvernnemnda tar
kun stilling til konkrete enkeltsaker, men etterlyser en overordnet
rettspolitisk debatt på flere av de områdene de har behandlet saker.
Personvernnemnda påpeker at flere av sakene som
ble behandlet i 2011 har dreid seg om bruk av ny teknologi i arbeidslivet.
Personvernnemnda har også behandlet flere saker om behandling av
personopplysninger i samferdselssektoren.
Det fremgår av meldingen at Datatilsynet i 2011 hadde
et budsjett på noe i overkant av 32 mill. kroner, en økning på ca.
1 mill. kroner fra 2010 (justering for pris- og lønnsstigning).
Mesteparten av det ordinære budsjettet dekker lønnskostnader (37
faste årsverk). De resterende midlene, ca. en fjerdedel av budsjettet, går
til reisevirksomhet og generell drift av virksomheten. Den særlige
bevilgningen på 3,2 mill. kroner til drift av slettehjelpstjenesten
slettmeg.no, og et prosjekt om internkontroll og informasjonssikkerhet, opphørte
ved utgangen av meldingsåret. I forbindelse med revidert nasjonalbudsjett
for 2011 ble bevilgningen til Datatilsynet økt. Ekstrabevilgningen
gjaldt arbeid med implementering av nye regler om datalagring i
ekomsektoren og ikrafttredelse av ny politiregisterlov.
Personopplysningsloven er drøyt ti år gammel, og
en del tidsaktuelle utfordringer er krevende å håndtere innenfor
rammene av et regelverk utformet i en annen teknologisk virkelighet.
Datatilsynet har i meldingsåret deltatt i en
rekke nasjonale, offentlige råd og utvalg. I 2011 har Datatilsynet
også deltatt i ulike internasjonale fora.
I løpet av året har Datatilsynet registrert
omkring 1 300 nye saker til behandling, noe færre enn året før. Tilsynet
mottok 143 konsesjonssøknader og 4 010 meldinger om behandling av
personopplysninger. Det ble fattet ca. 400 vedtak, hvorav 25 ble
påklaget.
Difis evaluering viser at Datatilsynet utnytter sine
ressurser på en god måte i forhold til de omfattende oppgavene og
bekrefter at det i det alt vesentlige er anerkjent som et kompetent
forvaltningsorgan som ivaretar sine oppgaver på en god måte.
Det fremgår av meldingen at departementet er
tilfreds med Datatilsynets arbeid i meldingsåret. Det er gjennomført
et omfattende og ressurskrevende strategiarbeid. Dette er nyttig
både for tilsynet selv og for brukere av tilsynets tjenester i tiden
fremover. Prioritering av diverse nasjonale og internasjonale råd
og utvalg fremstår som hensiktsmessig. Særlig vil departementet
påpeke betydningen av internasjonalt arbeid. Også arbeidet med å
tilrettelegge for ikraftsetting av regler om lagring av trafikkdata
fra elektronisk kommunikasjon er viktig og ressurskrevende arbeid.
Det fremgår av meldingen at Personvernnemnda i
2011 hadde en budsjettramme på kr 1 742 000. Totalt forbruk var
på knapt 1,1 mill. kroner.
Det ble avholdt ti møter i nemnda i meldingsåret, samt
et kontaktmøte med departementet. I tillegg arrangerte nemnda et
internseminar for medlemmene samt inviterte deltakere fra Datatilsynet
og departementet. Nemnda ga også økonomisk støtte til Personvernkonferansen
2011.
Etter departementets vurdering har Personvernnemnda
på en god måte ivaretatt sin rolle som klageorgan innenfor de rammer
som ble vedtatt for 2011.
Komiteen, medlemmene fra Arbeiderpartiet,
Lise Christoffersen, Håkon Haugli, Hilde Magnusson, Ingalill Olsen
og Eirik Sivertsen, fra Fremskrittspartiet, Gjermund Hagesæter, Morten
Ørsal Johansen og Åge Starheim, fra Høyre, Trond Helleland og Michael
Tetzschner, fra Sosialistisk Venstreparti, lederen Aksel Hagen,
fra Senterpartiet, Heidi Greni, og fra Kristelig Folkeparti, Geir
Jørgen Bekkevold, mener Datatilsynet og Personvernnemndas
årsmeldinger gir en god oversikt over virksomheten i 2011 og de
sentrale problemstillinger som preger arbeidet, også ut over meldingsperioden.
Komiteen har merket seg at det
er bevegelse i det internasjonale personvernarbeidet. Både i EU, OECD
og Europarådet pågår revisjon av de internasjonale standarder for
personvern. EUs personverndirektiv er i særlig grad ment å detaljregulere
behandlingen av personopplysninger i EU- og EØS-landene. Problemstillingene
krever internasjonalt samarbeid både om regelverk og håndhevelse.
Komiteen har notert seg at EU-kommisjonen har
foreslått en styrking av de nasjonale tilsynsmyndighetene og deres
inngrepsmuligheter. For å styrke personvernet har EU-kommisjonen
anbefalt at de reviderte reglene vedtas som forordning, noe som
innebærer at EU- og EØS-landene må innføre reglene direkte i nasjonal
lovgivning. Bruk av forordning vil i større grad harmonisere reglene
om personvern i Europa.
Komiteens medlemmer fra Fremskrittspartiet
og Høyre imøteser Datatilsynets engasjement for å holde
seg à jour med utviklingen internasjonalt, og ser gjerne at tilsynet
opptrer i forkant med å gjøre departementet og Stortinget kjent
med internasjonale utviklingstrekk og problemstillinger som krever
ajourføring av norske bestemmelser, fremfor å vente på direktiver.
Komiteen viser til at Datatilsynet
vektlegger informasjon og dialog som virkemiddel overfor instanser
som håndterer personopplysninger, i tillegg til mer kontrollrettet
tilsyn. Komiteen støtter en slik tilnærming, og også
mulighetene for å øke aktørenes bevissthet om personvernfremmende
teknologi, der et sentralt element er «Privacy by Design», som innebærer
at personvern innebygges i nye teknologiske løsninger fra begynnelsen
av.
Komiteen har merket seg at den
direkte tilsynsvirksomheten, uttrykt i antall stedlige tilsyn, har gått
markant ned til fordel for en prioritering av interne rutiner, prosesser
og strategier. Det kan være gode grunner til dette, men komiteen legger
til grunn at etterlevelsen av reglene langt på vei vil avhenge av
hvor aktivt eksternt tilsyn man foretar, og at indre prosesser ikke
må komme i veien for den utadrettete virksomhet over tid.
Komiteen viser til samfunnsområder
som transport/kommunikasjon, arbeidslivet, helse- og omsorg som
er løftet frem av tilsynet i årsmeldingen: . Felles for mange av
problemstillingene er at de som skal være beskyttet av personvernbestemmelsen
er i en bruker-, pasient- eller klientrolle. Dette kan i utgangspunktet
gi uforholdsmessig innflytelse til den sterke part i slike forhold,
noe som gjør det vanskeligere for den enkelte å stille krav. Komiteen vil
videre vise til at tilsynsarbeidet vil være særlig viktig for grupper
som i slike sammenhenger ikke alltid artikulerer egne rettigheter.
Komiteen mener personvernet i
vår tid er under et sterkere press enn noen gang tidligere. Datatilsynet
har en avgjørende rolle i å motvirke dette. Samtidig med at informasjonsutveksling
gjennom internett og sosiale medier blir stadig enklere, øker også faren
for misbruk av informasjon. Økt digital kompetanse gir også et behov
for økt kritisk kompetanse hos den enkelte. Komiteen mener
den digitale deltakelsen er blitt en langt mer integrert del av
enkeltmenneskets hverdag, og at det er et behov for å ha tilgjengelige
og gode tjenester å rådføre seg med når det gjelder å forsvare ens
egen integritet.
Datatilsynets rolle som kunnskapsformidler er
i komiteens øyne særs viktig, og komiteen finner
derfor grunn til å berømme Datatilsynets brukervennlige elektroniske
verktøy, herunder også tilsynets internettsider.
Komiteen merker seg at mange
av innkomne saker til Datatilsynet er mer komplekse og dermed tidkrevende. Komiteen mener
en stadig mer omfattende digitalisering av ulike tjenester krever
et robust datatilsyn som virker for et godt personvern.
Komiteen vil understreke at Datatilsynet
har svært viktige tilsyns- og ombudsoppgaver. Ny teknologi utfordrer
personvernet på en rekke samfunnsområder, og Datatilsynet må ha
kompetanse og ressurser til å møte disse utfordringene.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet,
viser i denne sammenheng til at forslag til budsjett for 2013 er
på 37,9 mill. kroner. Siden 2005 har regjeringspartiene økt Datatilsynets
rammer med 72 pst., inklusive lønns- og priskompensasjon. I tillegg
er tilsynet i samme periode tilført til sammen 13,45 mill. kroner
i prosjektmidler.
Flertallet er opptatt av å sikre
fortsatt åpenhet omkring skatteopplysninger. Ny teknologi har imidlertid
ført til en spredning og bruk av disse opplysningene som i enkelte
tilfeller har krysset grensen for hva vi bør akseptere av personvernhensyn
og åpnet for misbruk ved kriminell virksomhet. Flertallet mener
endringene Stortinget gjorde i ligningsloven § 8-8 var riktige og
nødvendige, og at dagens lovverk sikrer en fornuftig balanse mellom
de ulike hensynene.
Komiteens medlemmer fra Fremskrittspartiet,
Høyre og Kristelig Folkeparti viser til Datatilsynets omtale
av innstrammingen som har skjedd i den etter hvert svært omfattende
spredning av vanlige menneskers skatteforhold, der tilsynet mener
regelendringene har styrket personvernet. Disse medlemmer deler
denne oppfatningen, men viser til at det først var etter langvarig
opinionsarbeid man fikk regjeringen med på å styrke personvernet
på dette området.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet,
har merket seg at departementet deler Datatilsynets bekymring for
spredningen av personopplysninger som følger med praktiseringen
av offentlighetsprinsippet i en digital verden. Det er i meldingen
vist til spredning av både elev- og studentlister. Flertallet deler
disse bekymringene og mener at det kreves et økt oppmerksomhet på
både teknologiutvikling og regelstyring for å verne om elevenes
og studentenes personopplysninger og deres forhold til skole og
universitet.
Komiteens medlemmer fra Fremskrittspartiet,
Høyre og Kristelig Folkeparti har merket seg at departementet
deler Datatilsynets bekymring for spredningen av personopplysninger
som følger med praktiseringen av offentlighetsprinsippet i en digital
verden. Det er i meldingen vist til spredning av både elev- og studentlister. Disse
medlemmer deler disse bekymringene, men har begrenset tro
på at problemene med offentliggjøring av klasselister og studentregistre
kan løses gjennom teknologiske løsninger, slik departementet later
til å tro. Disse medlemmer er av den oppfatning at
det må gjøres presiseringer i offentleglova og annet relevant regelverk,
som verner elevenes og studentenes personopplysninger og deres forhold
til skole og universitet.
Komiteens medlemmer fra Fremskrittspartiet viser
til at Fremskrittspartiet i sitt alternative budsjett for 2013 har
øket bevilgningene til Datatilsynet med 4 mill. kroner.
Komiteens medlemmer fra Fremskrittspartiet,
Høyre og Kristelig Folkeparti har merket seg at det i meldingen
er pekt på at til tross for at nesten halvparten av klagesakene som
oversendes nemnda ender med omgjøring, er omgjøringsandelen meget
lav i forhold til de ca. 400 vedtak Datatilsynet fattet i meldingsåret. Disse medlemmer mener
at man må vurdere omgjøringsandelen i forhold til antall klagesaker,
ikke kun i forhold til antall vedtak fattet av Datatilsynet. Datatilsynets
vedtak ble omgjort i seks av de 14 behandlede sakene i Personvernnemnda. Disse
medlemmer mener at dette er et avvik og kan indikere en
forskjell i forståelsen av regelverket mellom Datatilsynet og Personvernnemnda. Disse
medlemmer mener at det er naturlig å følge utviklingen og vurdere
om det eventuelt er behov for at Stortinget avklarer rettstilstanden.
Komiteens medlemmer fra Fremskrittspartiet viser
til at Fremskrittspartiet i sitt alternative budsjett for 2013 har
styrket Personvernnemnda med 0,2 mill. kroner.
Komiteen har for øvrig
ingen merknader, viser til meldingen og rår Stortinget til å gjøre
slikt
vedtak:
Meld. St. 32 (2011–2012) – Datatilsynets
og Personvernnemndas årsmeldinger for 2011 – vedlegges protokollen.
Oslo, i kommunal- og forvaltningskomiteen, den 13. november 2012
|
Aksel Hagen |
Michael Tetzschner |
|
leder |
ordfører |