Det vises i meldingen til at personvern er en grunnleggende
rettighet for den enkelte. Det gis en oversikt over de internasjonale
og nasjonale regler som regulerer personvernområdet, generelt og
i spesialregelverk.
Det vises i meldingen til at dersom det skal
gjøres inngrep i borgernes personvern, må dette være nødvendig,
og inngrepet må være forholdsmessig.
Det vises i meldingen til at personvern ikke
bare er en rettighet for enkeltindividet. Som samfunn har vi også
interesse i et godt personvern.
De kommersielle aktørene er avhengige av at kundene
har tillit til teknologien for at de skal ønske å benytte den. De
næringsdrivende må derfor se verdien, og opparbeide denne tilliten.
Det vises i meldingen til at personvern i dag
er et utpreget internasjonalt tema. I en tid med raskt økende teknologisk
samhandling, også over landegrensene, er strømmen av personopplysninger
enorm. Ofte lagres og brukes opplysningene på måter de registrerte
ikke forstår. Av meldingen fremgår det at internasjonalt personvernsamarbeid
er viktigere enn noen gang.
Både i EU, OECD og Europarådet pågår revisjon av
de internasjonale personvernregelverkene. Mens Europarådets og OECDs
retningslinjer angir prinsipper for flyt og behandling av personopplysninger,
er EUs personverndirektiv fra 1995 i større grad ment å detaljregulere
behandling av personopplysninger i EU- og EØS-landene. EU-kommisjonen
har lagt frem forslag til en generell forordning om personvern som
skal erstatte det gjeldende direktivet. EU-kommisjonen har også
foreslått en styrking av de nasjonale tilsynsmyndighetene, deres
samarbeidsorgan og virkemiddelapparat.
I meldingen vises det til at teknologien preger svært
mange av våre daglige gjøremål. Det er viktig at tilbyderne av de
ulike tjenestene tenker personvern når nye løsninger utvikles.
Personvernfremmende teknologi har lenge vært et
kjent begrep. Eksempler er kryptering og søkemotorimmunisering.
Denne teknologien er tatt i bruk i forbindelse med Offentlig elektronisk
postjournal i staten på en slik måte at informasjon ikke er søkbar på
personnavn lenger enn i ett år.
Personvernfremmende teknologi er et sentralt element
i innebygget personvern («privacy by design»), som er i ferd med
å få fotfeste også i Norge. Men innebygget personvern er mer enn
bare teknologi – det er et uttrykk for at den behandlingsansvarlige har
kultur for og fokus på personvern i hele sitt arbeid og at personvern
er en integrert del av alle prosesser, og hensyntas på linje med
andre hensyn virksomheten må ivareta. Klarer virksomheten å tenke
personvern tidlig i prosesser, kan personvernhensyn tas uten at
det kreves store omarbeidinger og tilpasninger. Det er et stort
potensial for innebygget personvern i forbindelse med digitalisering
av både offentlige og private tjenester.
Datatilsynet redegjør i årsmeldingen for omfattende
strategiarbeid i 2011. Virksomheten har gjennomgått interne rutiner
og prosesser, virkemiddelbruk i ulike sammenhenger, prioritering
av ulike fagområder og utarbeidet strategier for flere av disse fagområdene.
I tillegg har Direktoratet for forvaltning og IKT (Difi) gjennomført
en evaluering av Datatilsynet som organisasjon og tilsynets virksomhet på
vegne av Fornyings-, administrasjons- og kirkedepartementet.
Resultatet av strategiarbeidet er en langsiktig strategi
med visjoner og overordnede mål for en femårsperiode. Viktige elementer
i strategien er å arbeide for at andre aktører skal ivareta personvernhensyn
i sitt arbeid, å velge riktige virkemidler i arbeidet sitt, fokusere
på personvernvennlig teknologi, ha effektiv saksbehandling og et
aktivt internasjonalt engasjement. I tillegg har Datatilsynet arbeidet
med sektorspesifikke strategier. I meldingsåret la tilsynet frem
en strategi for personvern i helsesektoren.
Det fremgår av meldingen at departementet deler Datatilsynets
vurdering av behovet for langsiktig og strategisk planlegging. Difis
evaluering av Datatilsynet viser at tilsynet har et høyt aktivitetsnivå
med begrensede ressurser. Det er likevel viktig at en virksomhet
med så vidt beskjedne ressurser foretar grundige og strategiske
prioriteringer med sikte på best mulig ressursutnyttelse. Evalueringsrapporten
fra Difi understreker betydningen av at Datatilsynet er tydelig
i sine ulike roller. Samtidig er det lite som tyder på at brukerne
opplever det som problematisk at etaten har to ulike roller i sin
virksomhet.
Datatilsynet legger stor vekt på informasjon
og dialog som virkemiddel, og tilsynet ønsker at informasjon skal
bidra til å sette borgerne bedre i stand til å ivareta eget personvern.
Samtidig ser Datatilsynet at mange innkomne saker blir stadig mer
komplekse, og krever avveininger mellom flere ulike samfunnshensyn.
Datatilsynet har gjennomgått saksbehandlingsrutinene med tanke på
å effektivisere ressursutnyttelsen.
Det fremgår av meldingen at departementet deler Datatilsynets
vurderinger av behovet for å arbeide aktivt med virkemiddelbruk
og ulik prioritering av saker av ulik viktighet. Bruk av veiledning
og informasjon kan være riktig og tilstrekkelig i mange saker, mens
det i andre saker er behov for tilsyn og vedtak. Med begrensede
ressurser kan Datatilsynet ikke behandle alle innkomne henvendelser
like grundig, og god og tilpasset hjelp til selvhjelp fremstår som
hensiktsmessig ressursbruk. Samtidig påpeker departementet betydningen
av tilsynsaktiviteten. Stedlig tilsyn gir nyttig informasjon som
grunnlag for Datatilsynets videre arbeid, samtidig som det kan virke
disiplinerende for de behandlingsansvarlige å vite at de kan bli
gjenstand for kontroll. Departementet har derfor merket seg at det
lave antall tilsyn i meldingsåret skyldes en begrunnet prioritering
og legger til grunn at Datatilsynet opprettholder noe høyere aktivitetsnivå
for tilsynsvirksomheten i tiden som kommer.
Det vises i meldingen til at gjennomgående for flere
av de temaene Datatilsynet omhandler i sin årsmelding, er utfordringer
relatert til elektroniske spor.
I transportsektoren har omfanget av behandling av
personopplysninger økt betydelig de senere årene. Helautomatiske
bomstasjoner, elektronisk billettering i kollektivtrafikken, GPS-sporing
og eCall representerer noen aktuelle teknologier. Datatilsynet har i
meldingsåret deltatt i et omfattende arbeid med etablering av en
bransjenorm for elektronisk billettering og deltatt i en arbeidsgruppe
som arbeider for å legge til rette for sporfrie passeringer i helautomatiske
bomstasjoner.
Også i arbeidslivet registreres en mengde elektroniske
spor. Særlig i transportbransjen er bruk av GPS- og flåtestyring
blitt vanlig. Datatilsynet har i meldingsåret hatt et samarbeid
med Arbeidstilsynet for å kartlegge omfanget av kontroll og overvåking
i arbeidslivet. Informasjon om regelverk fremstår som et viktig
tiltak i sektoren. Bruk av de lagrede opplysningene til nye formål
reiser særlige problemstillinger, noe også partene i arbeidslivet
er opptatt av. Datatilsynet viser til at det i meldingsåret er behandlet saker
der opplysninger innhentet for administrasjon senere er brukt som
grunnlag i oppsigelsessaker.
Departementet mener det er viktig at aktører
i alle bransjer er oppmerksomme på den store mengden elektroniske
spor vi etterlater oss. Sammenstilt på nye måter kan informasjonen
fortelle mye om oss, og brukt til nye formål kan informasjonen få
uante konsekvenser. Departementet deler oppfatningen av at det er
viktig å følge utviklingen nøye.
Det pekes i meldingen på at helse- og omsorgssektoren
er en personopplysningsintensiv sektor. Opplysningene brukes ikke
bare i behandlingsøyemed, men også til forskning, kvalitetssikring,
administrasjon og planlegging. Den enkelte pasient har begrenset
informasjon om flyten av opplysningene. Datatilsynet tar opp betydningen
av personvern ved bruk av omsorgsteknologi.
Fra meldingsåret fremhever Datatilsynet samhandlingsreformen,
Norsk helsearkiv og opprettelse av hjerte- og karregisteret som
store saker med betydelige personvernkonsekvenser.
Behandling av personopplysninger bør etter Datatilsynets
vurdering så langt råd er baseres på de registrertes samtykke. Datatilsynet
fremhevet dette i forbindelse med opprettelse av nasjonal kjernejournal
der registrering er frivillig, men basert på reservasjonsadgang,
og ikke aktivt samtykke for den enkelte.
Det fremgår av meldingen at departementet er positiv
til at Datatilsynet har utarbeidet en strategi for sitt arbeid med
personvern i helsesektoren og at det mener at en slik strategi er
til nytte både for Datatilsynet selv og for sektoren som skal forholde
seg til Datatilsynets arbeid. Departementet deler Datatilsynets
syn på pasientenes behov for informasjon og selvbestemmelse som
grunnlag for at pasientene skal ha den nødvendige tillit til behandlingsapparatet
og ivaretakelsen av personvernet.
I meldingen fremgår det at Datatilsynet i sin
årsmelding peker på konsekvensene av systematisering og tilgjengeliggjøring
av offentlig informasjon på nett.
I meldingsåret har flere saker om offentliggjøring av
elev- og studentlister vært aktuelle. Datatilsynet påpeker behovet
for en gjennomgang av offentleglovas muligheter for elektronisk
masseutlevering av personopplysninger.
En annen sak som gjelder offentlig innsyn i
personopplysninger, er den årlig tilbakevendende saken om innsyn
i offentlige skattelister. I meldingsåret vedtok Stortinget endringer
i ligningsloven § 8-8 som begrenser spredningen av skattelistene
i elektronisk form. Datatilsynet har i mange år vært svært kritiske
til den omfattende spredningen av skattelistene i elektronisk format,
og er svært tilfreds med innstrammingen.
Det fremgår av meldingen at departementet deler Datatilsynets
bekymring for den spredningen av personopplysninger som følger med
praktisering av offentlighetsprinsippet i en digital verden. Særlig
opplysninger om barn bør gis et bedre vern enn det som i dag er
tilfellet. Med riktig bruk av teknologi, herunder innebygget personvern,
er det departementets vurdering at det bør være mulig å sikre hensynet
både til offentlighet og til personvern.
Det fremgår av meldingen at Personvernnemnda i
2011 har mottatt 13 klagesaker fra Datatilsynet. 14 saker er ferdigbehandlet
i meldingsåret - seks saker fra 2010 og åtte saker fra 2011. Datatilsynets
vedtak ble omgjort i seks av de 14 behandlede sakene. Til tross
for at nesten halvparten av klagesakene som oversendes nemnda ender
med omgjøring, er omgjøringsandelen meget lav i forhold til de ca.
400 vedtak Datatilsynet fattet i meldingsåret. Det er etter departementets
vurdering neppe mulig å trekke noen klare konklusjoner om Datatilsynets
praksis og regelverkstolkning basert på Personvernnemndas vedtak.
Datatilsynet er opptatt av at en del saker av prinsipiell karakter
bør oversendes klageorganet for avklaring. Personvernnemnda tar
kun stilling til konkrete enkeltsaker, men etterlyser en overordnet
rettspolitisk debatt på flere av de områdene de har behandlet saker.
Personvernnemnda påpeker at flere av sakene som
ble behandlet i 2011 har dreid seg om bruk av ny teknologi i arbeidslivet.
Personvernnemnda har også behandlet flere saker om behandling av
personopplysninger i samferdselssektoren.
Det fremgår av meldingen at Datatilsynet i 2011 hadde
et budsjett på noe i overkant av 32 mill. kroner, en økning på ca.
1 mill. kroner fra 2010 (justering for pris- og lønnsstigning).
Mesteparten av det ordinære budsjettet dekker lønnskostnader (37
faste årsverk). De resterende midlene, ca. en fjerdedel av budsjettet, går
til reisevirksomhet og generell drift av virksomheten. Den særlige
bevilgningen på 3,2 mill. kroner til drift av slettehjelpstjenesten
slettmeg.no, og et prosjekt om internkontroll og informasjonssikkerhet, opphørte
ved utgangen av meldingsåret. I forbindelse med revidert nasjonalbudsjett
for 2011 ble bevilgningen til Datatilsynet økt. Ekstrabevilgningen
gjaldt arbeid med implementering av nye regler om datalagring i
ekomsektoren og ikrafttredelse av ny politiregisterlov.
Personopplysningsloven er drøyt ti år gammel, og
en del tidsaktuelle utfordringer er krevende å håndtere innenfor
rammene av et regelverk utformet i en annen teknologisk virkelighet.
Datatilsynet har i meldingsåret deltatt i en
rekke nasjonale, offentlige råd og utvalg. I 2011 har Datatilsynet
også deltatt i ulike internasjonale fora.
I løpet av året har Datatilsynet registrert
omkring 1 300 nye saker til behandling, noe færre enn året før. Tilsynet
mottok 143 konsesjonssøknader og 4 010 meldinger om behandling av
personopplysninger. Det ble fattet ca. 400 vedtak, hvorav 25 ble
påklaget.
Difis evaluering viser at Datatilsynet utnytter sine
ressurser på en god måte i forhold til de omfattende oppgavene og
bekrefter at det i det alt vesentlige er anerkjent som et kompetent
forvaltningsorgan som ivaretar sine oppgaver på en god måte.
Det fremgår av meldingen at departementet er
tilfreds med Datatilsynets arbeid i meldingsåret. Det er gjennomført
et omfattende og ressurskrevende strategiarbeid. Dette er nyttig
både for tilsynet selv og for brukere av tilsynets tjenester i tiden
fremover. Prioritering av diverse nasjonale og internasjonale råd
og utvalg fremstår som hensiktsmessig. Særlig vil departementet
påpeke betydningen av internasjonalt arbeid. Også arbeidet med å
tilrettelegge for ikraftsetting av regler om lagring av trafikkdata
fra elektronisk kommunikasjon er viktig og ressurskrevende arbeid.
Det fremgår av meldingen at Personvernnemnda i
2011 hadde en budsjettramme på kr 1 742 000. Totalt forbruk var
på knapt 1,1 mill. kroner.
Det ble avholdt ti møter i nemnda i meldingsåret, samt
et kontaktmøte med departementet. I tillegg arrangerte nemnda et
internseminar for medlemmene samt inviterte deltakere fra Datatilsynet
og departementet. Nemnda ga også økonomisk støtte til Personvernkonferansen
2011.
Etter departementets vurdering har Personvernnemnda
på en god måte ivaretatt sin rolle som klageorgan innenfor de rammer
som ble vedtatt for 2011.