Meldingen ble fremmet av regjeringen Stoltenberg
II 23. august 2013.
Det vises i meldingen til at omfanget av personvernrelaterte
problemstillinger øker i takt med teknologiutviklingen. Virksomheten
til Datatilsynet og Personvernnemnda får betydning på stadig flere
samfunnsområder.
I personopplysningsloven finner man regler som skal
ivareta personvernet gjennom beskyttelse av den enkeltes personopplysninger.
Loven er generell og gjelder i alle sektorer, med mindre noe annet
følger av særregler, som for eksempel i helseregisterloven og i
den nye politiregisterloven.
Da personopplysningsloven ble vedtatt i 2000, ble
reglene i stor grad basert på EUs personverndirektiv fra 1995. Personvernregelverket
i EU er under revisjon, og EU-kommisjonen la i januar 2012 frem
et forslag til en generell forordning om personvern. Forordningen
antas å være EØS-relevant, og de detaljerte reglene vil derfor være gjeldende
for Norge dersom de blir vedtatt. Det vises i meldingen til at som
følge av regelverksendringene som drøftes i EU, kan det bli nødvendig
med en revisjon av det norske personopplysningsregelverket. Det
vises i meldingen til at arbeidet i EU har stor betydning for hvilken
retning norsk personvernrett tar, og at både Justis- og beredskapsdepartementet, Fornyings-,
administrasjons- og kirkedepartementet og Datatilsynet er engasjert
i arbeidet.
Fornyings-, administrasjons- og kirkedepartementet
fremmet i 2012 Meld. St. 11 (2012–2013) Personvern – utsikter og
utfordringar for Stortinget, der mange av de viktigste utviklingstrekkene
i samfunnet med betydning for personvernet er skissert.
Det vises i meldingen til at man bruker data
i større grad og høyere tempo enn noensinne.
Det vises i meldingen til at den kommersielle
informasjonsindustrien behandler enorme mengder personopplysninger
og til at det ligger store økonomiske interesser i behandlingen
av personopplysninger. Særlig innbringende er informasjon om brukeratferd
som kan benyttes til personlig rettet markedsføring.
Også offentlige myndigheter og forskningsmiljøer
har stor interesse av å lagre og behandle store datamengder. Det
kan ligge mye viktig informasjon i detaljer, særlig når disse settes
i system, for eksempel i samfunnsforskning eller medisinsk forskning.
Big Data er betegnelsen på store datasett som samles
inn fra forskjellige kilder, og som aggregeres og analyseres til
bruk i nye sammenhenger. Det finnes flere datavarehus som arbeider
med å levere slike analyser til aktører i ulike sektorer (se eksempler
i meldingen). Det er vanskelig å forutse hvilke data som kan vise
seg nyttige. Tendensen har derfor vært at det samles inn så mye
data som teknisk mulig. I flere land og internasjonale organer pågår
det diskusjoner om hvordan man best kan regulere innsamlingsmetoder
og bruken av disse datasettene, slik at nye muligheter kan utnyttes
uten å krenke den enkeltes personvern. Datatilsynet viser i sin
årsmelding for 2012 at de er opptatt av de personvernrettslige problemstillingene
som oppstår ved bruk av Big Data. Det vises i meldingen til at dette
også er et område av stor interesse for departementet, som nøye
vil følge den internasjonale utviklingen.
Tanken om innebygd personvern («privacy by design»)
innebærer å ta hensyn til personvern i utvikling og bruk av informasjonsteknologi
på alle nivåer. Personvern skal være en naturlig del av de systemer
innbyggerne møter i hverdagen.
Den teknologiske utviklingen går svært raskt,
og i tillegg til lovgivning og regulering må kommersielle aktører
og offentlige myndigheter samarbeide for å finne løsninger som integrerer personvern
i folks hverdag.
Det vises i meldingen til at regjeringen i stortingsmeldingen
om personvern har gitt uttrykk for at prinsippet om innebygd personvern
bør gjelde for alle sektorer. Det er viktig at det gjøres et bevisst
arbeid for å sikre at personvern tidlig innarbeides ved utvikling
av regelverk og nye systemer.
Utviklingen av gode systemer for tilgangsstyring er
en viktig del av prosessen med å bygge personvern inn i registre
og andre informasjonssystemer med søke- og oppslagsmuligheter. Dette er
imidlertid svært vanskelig i mange sektorer.
Det vises i meldingen til at den kanskje mest
sentrale siden av innebygd personvern likevel dreier seg om holdninger
og bevissthet rundt personvern hos den enkelte.
Det pekes i meldingen på at Datatilsynet er
en viktig aktør.
Det fremgår av meldingen at Datatilsynet i 2012 har
arbeidet med å bedre personvernet i en rekke sektorer og særlig
fokusert på følgende: Internett og telekommunikasjon; helse og velferd;
justissektoren; offentlig sektor; internasjonalt samarbeid.
Det vises i meldingen til at Internett og telekommunikasjon
har revolusjonert måten vi kommuniserer på og forutsetter behandling
av store mengder personopplysninger om brukerne. Det er helt nødvendig
å følge utviklingen tett for å få med seg eventuelle endringer som
kan ha positive eller negative følger for personvernet. I meldingsåret
har Datatilsynet vært svært offensive overfor ekombransjen, og de
har søkt å holde en god dialog med de viktige aktørene i bransjen.
Det pekes i meldingen på at det er positivt at Datatilsynet aktivt
går inn for å påvirke utviklingen i en personvernvennlig retning,
og at de søker å påvirke de store aktørene så tidlig som mulig i
utviklingsprosesser.
Arbeidet med digitalisering og modernisering
i helse- og omsorgssektoren reiser personvernrelaterte problemstillinger.
Det pekes i meldingen på at det derfor er naturlig at Datatilsynet
har fokusert på helse- og omsorgssektoren i meldingsåret. Blant
annet har Datatilsynet deltatt i diskusjonen rundt mulig bruk av
velferdsteknologi.
Det fremgår av meldingen at det har vært flere saker
i rapporteringsperioden hvor personopplysninger er gjenbrukt til
nye formål, særlig i arbeidslivet.
Økende bruk av teknologiske hjelpemidler bidrar
til stadig flere muligheter for sporing og bruk av elektroniske
spor i arbeidslivet. Det er forskjellige grunner til slik sporing.
For å kunne bruke teknologi for sporing og registrering i arbeidslivet,
må man ha nødvendig hjemmel. Dersom man ønsker å gjenbruke innhentede opplysninger
til et annet formål enn det opprinnelige, må det foreligge et nytt
hjemmelsgrunnlag.
En sak som ble behandlet av både Datatilsynet og
Personvernnemnda i 2011, ble behandlet i domstolene i 2012. Saken
gjaldt en avskjedigelse med grunnlag i opplysninger innhentet i strid
med personopplysningsloven. Den ble endelig avgjort ved Høyesteretts
dom 31. januar 2013 (HR 2013-234). Se nærmere omtale i meldingen.
I saken uttalte Høyesterett seg om tolkningen
av de krav som stilles til gjenbruk av personopplysninger. Datatilsynet
og Personvernnemnda har tidligere antatt at personopplysningsloven ikke
kan tolkes slik at det stilles strengere krav til gjenbruk enn til
førstegangs bruk av personopplysninger. Høyesterett uttalte i denne
saken at vilkåret i lovens § 11 første ledd bokstav c oppstiller
et tilleggskrav for gjenbruk. Hvis formålet med gjenbruken ikke
sammenfaller med det opprinnelige formålet, må det i tillegg innhentes samtykke
fra den registrerte. Rettens uttalelse om dette spørsmålet gir en
avklaring av hvordan lovens krav til gjenbruk skal tolkes.
Selv om Høyesterett i saken mente at sammenstilling
av GPS-loggen med timelister var ulovlig, åpnet de for bruk av opplysningene
som bevis i saken om arbeidstakerens oppsigelse. I avgjørelsen bemerket
Høyesterett at selv om de ikke fant det riktig å tilkjenne arbeidstakeren
erstatning for den ulovlige sammenstillingen, er det mulig for Datatilsynet
å ilegge arbeidsgiver overtredelsesgebyr etter personopplysningsloven
§ 46. Datatilsynet har signalisert at de vil vurdere å benytte seg
av denne muligheten i fremtidige saker, og overtredelsesgebyr er allerede
ilagt i en liknende sak i et vedtak fra 16. april 2013.
Datatilsynet har i 2012 arbeidet mye med å bedre bevisstheten
rundt personvern i arbeidslivet. Blant annet har de utarbeidet en
rapport som viser hvilke elektroniske spor en vanlig arbeidstaker
etterlater seg i løpet av en arbeidsdag. Rapporten viser at det
er vanskelig for ansatte å ha oversikt over hvilke personopplysninger
som behandles, og at arbeidsgiver ikke gir god nok informasjon om
sin behandling av personopplysninger. Departementet er enig i at
det er behov for å se nærmere på hvordan personvernutfordringer
i arbeidslivet håndteres, og ser positivt på at Datatilsynet fokuserer
på dette. Også fra regjeringens side er dette et område som vies
oppmerksomhet. Det vises til en partssammensatt arbeidsgruppe.
En rekke endringer er foreslått i justissektoren etter
22. juli-hendelsene. PST har generelt ønsket å åpne for en større
informasjonsstrøm inn til dem for etterretnings- og forebyggingsformål, og
det er fremmet flere forslag som berører personvernet. Blant annet
er det fremmet forslag om endringer i straffeloven og straffeprosessloven
i Prop. 131 L (2012–2013) og Prop.147 L (2012–2013).
Datatilsynet har det siste året arbeidet mye
med personvern i justissektoren. Regelverket i justissektoren har
stor betydning for enkeltpersoner, og personvern er ett av flere
viktige hensyn som må ivaretas. Tilsynet fremholder at graden av overvåkning
i et samfunn har direkte konsekvenser for graden av åpenhet og demokrati. Før
man innfører personverninngripende lovgivning, er det derfor viktig
å vurdere hvilke konsekvenser den kan ha for personvern, demokrati
og åpenhet generelt i samfunnet. Det er også viktig at de tiltak
man setter inn for å bekjempe kriminalitet, har en faktisk effekt. Derfor
bør tiltakene evalueres med jevne mellomrom, slik at inngripende
tiltak som viser seg lite effektive, justeres eller oppheves.
Politiet må ha gode virkemidler for å avdekke
alvorlig kriminalitet. Samtidig må politiets behov for informasjon
veies mot andre hensyn, som borgernes personvern. Det er viktig
at personvernkonsekvenser utredes grundig før innføring av kriminalitetsbekjempende
tiltak. Datatilsynets bidrag er derfor nyttig i forberedelsen av
slike tiltak. Departementet viser i meldingen til at det er positivt
at Datatilsynet engasjerer seg i lovgivningsprosesser på justisområdet,
og at tilsynets synspunkter blir hørt og vektlagt i flere saker.
Det vises i meldingen til at offentlig sektor
behandler store mengder personopplysninger i forskjellige sammenhenger.
I stadig flere offentlige utredninger, forskrifter, proposisjoner
og meldinger til Stortinget foreslås tiltak som innebærer behandling
av personopplysninger. I meldingen omtales nasjonal kjernejournal
og innføring av smarte strømmålere. Særskilt for offentlig sektor
er at de registrerte som regel ikke kan velge om de ønsker å ta
del i en behandling av personopplysninger.
Datatilsynet har vært en aktiv høringsinstans
og bidratt med mange innspill til forslag fra det offentlige. Noen
ganger må andre hensyn gå foran personvernhensyn av gode grunner.
Selv om deres argumenter ikke alltid får gjennomslag, kan Datatilsynets
engasjement likevel bidra til at offentlig sektor får et mer bevisst
forhold til personvern og derfor søker å bygge gode personvernløsninger
inn i de tiltak som foreslås.
Regjeringen lanserte i 2012 sitt digitaliseringsprogram,
«På nett med innbyggerne». Her planlegges det blant annet økt sammenstilling
og viderebruk av offentlig informasjon, bedre forvaltning av digitale
identiteter, elektronisk kommunikasjon med borgeren og etablering
av felles digitale tjenester. I programmet ligger ønsker om å effektivisere
forvaltningen, forenkle innbyggernes kommunikasjon med offentlige
virksomheter og å heve den digitale kompetansen i befolkningen.
En av begrunnelsene for ønsket om å viderebruke offentlig informasjon
i større grad, er at dette er informasjon som er finansiert og ofte
produsert av det offentlige, og som allmennheten derfor bør få tilgang
til.
Det er ikke utenkelig at enkelte av de informasjonssettene
som ønskes tilgjengeliggjort, inneholder personopplysninger. Departementet
ser positivt på at Datatilsynet ønsker å være involvert i digitaliseringsarbeidet.
Det er viktig at personvernvennlige løsninger bygges inn fra starten av
i de systemer og tjenester som etableres som resultat av digitaliseringsprogrammet.
Datatilsynet vil kunne få ansvar for å føre tilsyn med enkelte slike
systemer og tjenester, og det kan være nyttig om tilsynet bidrar
med innspill og erfaringer allerede i etableringsfasen.
Mange tiltak som foreslås fra det offentlige,
innebærer potensielle konsekvenser for personvernet. I mange saker
vil andre hensyn veie tyngre enn personvernhensynet. For å kunne
foreta en god avveining av ulike hensyn, fastslår utredningsinstruksen
at alle vesentlige konsekvenser ved et foreslått tiltak skal utredes.
Dette gjelder også personvernkonsekvenser. Derfor utarbeidet departementet
i 2008 en veileder til utredningsinstruksen om vurdering av personvernkonsekvenser.
Personvernnemnda oppnevnes av Stortinget (leder
og nestleder) og Kongen (øvrige fem medlemmer) for fire år av gangen.
2012 var siste funksjonsår for Personvernnemnda med den daværende
sammensetningen.
Personvernnemnda er klageorgan for vedtak fattet
av Datatilsynet, og skal, som Datatilsynet, sørge for en god avveining
av relevante personvernhensyn med øvrige samfunnshensyn. I 2012 mottok
nemnda 15 klagesaker fra Datatilsynet, og alle ble behandlet innen
utgangen av året. Til sammen avgjorde nemnda 22 saker i 2012, og Datatilsynets
vedtak ble omgjort i 10 av disse sakene. Dette utgjør ingen stor
endring i omgjøringsprosent sammenlignet med tidligere år, og antallet
omgjorte saker er lavt tatt i betraktning det totale antall vedtak
Datatilsynet fatter årlig. Personvernnemnda har i 2012 forsøkt å
redusere saksbehandlingstiden og har utvidet møtetiden for hvert
møte (i alt 11).
Personvernnemnda peker på en tendens til at
ny teknologi kan gi en rettsutvikling. I meldingen omtales rettsutvikling
knyttet til bruk av biometri.
Det går frem av meldingen at det også pekes
på behovet for en klargjøring av anonymitetsbegrepet. Nemnda mener
at det bør arbeides mer med slik personvernrelevant begrepsforståelse hos
behandlingsansvarlige for å unngå at personopplysninger registreres
ulovlig.
En sak som Personvernnemnda særlig fremhever fra
meldingsåret, er saken om behandling av negative testresultater
fra livmorhalsscreening under masseundersøkelsen mot livmorhalskreft. Personvernnemnda
uttrykker en bekymring over at Helse- og omsorgsdepartementets forslag
om å endre kreftregisterforskriften med tilbakevirkende kraft utfordrer
nemndas uavhengighet. Det vises i meldingen til at det også i høringen
ble reist tvil om regjeringens kompetanse til å vedta de foreslåtte
endringene. Spørsmålet ble lagt fram for Stortinget, og endringene
er gjennomført i lov i stedet for forskrift. Det vises i meldingen
til at det er ingen tvil om at opplysninger om negative screeningresultater
kan være nyttig i forskningssammenheng. Det er samtidig viktig at
det er bevissthet om personvernregelverket i virksomheter som samler
inn og lagrer personopplysninger. Uansett hvilket formål den behandlingsansvarlige
har med behandlingen, er det dennes plikt å gjøre seg kjent med
de regler som gjelder for behandling av personopplysninger, og å
etterleve disse reglene.
Datatilsynet fikk bevilget 35 015 000 kroner
for 2012, en økning på 2 964 000 kroner fra 2011 begrunnet med at
Datatilsynet er tillagt nye oppgaver i forbindelse med implementering
av datalagringsdirektivet og den nye politiregisterloven.
Av Datatilsynets utgifter i 2012 utgjorde lønnsutgifter
69 pst., mens øvrige driftsutgifter utgjorde 31 pst. Lønnsutgiftene
er fordelt på 41 fast ansatte i 2012. Det er jevn kjønnsfordeling blant
de ansatte. Datatilsynet er organisert i fire avdelinger. Etaten
har i meldingsåret vært ledet av direktør Bjørn Erik Thon.
Det vises i meldingen til at Datatilsynet er
en kunnskapsvirksomhet og er opptatt av å bidra med kunnskap til
en opplyst debatt om personvern. Tilsynet har i 2012 satset spesielt
på kompetanseutvikling og kompetansehevende tiltak for egne medarbeidere
for å sikre at de er i stand til å møte utfordringene i de ulike
sektorene de skal rådgi og føre tilsyn med. I tillegg har Datatilsynet
måttet bruke en del ressurser på rekruttering og opplæring av nye
medarbeidere etter at ni medarbeidere sluttet i løpet av meldingsåret.
Datatilsynet har i meldingsåret fortsatt sitt
arbeid med strategier for fremtidig virksomhet, blant annet om personvern
i justissektoren.
Etter at 2011 var et år med nedgang i antall
gjennomførte tilsyn som følge av satsing på strategiarbeid, var
omfanget av tilsynsvirksomheten igjen på vei opp i 2012. Tilsynsvirksomhet
er en viktig del av Datatilsynet arbeid, og departementet har god
dialog med Datatilsynet om satsing på og synliggjøring av denne
virksomheten. Det har i flere år vært arbeidet med risikostyring både
av tilsynsvirksomheten og Datatilsynets virksomhet samlet. Dette
arbeidet har gitt resultater i form av bedre ressursutnyttelse.
Det vises i meldingen til at departementet er tilfreds med Datatilsynets
virksomhet i meldingsåret. Ressursene prioriteres nøye ut fra hvilke
aktiviteter man vurderer gir best effekt for personvernet, og det
gjøres godt og planmessig arbeid for å nå oppsatte mål.
Det vises i meldingen til at Personvernnemnda
i 2012 har hatt en budsjettramme på 1 773 000 kroner, hvorav 1 615 143
kroner er brukt. Nemnda avholdt 11 møter i rapporteringsperioden.
I tillegg har det vært avholdt forberedende møter mellom sekretariatet
og leder. Aktivitetsnivået i nemnda har vært høyt i meldingsåret
med sikte på å avslutte alle innkomne saker før nemndas funksjonstid
utløp 31. desember 2012. Den etterlot seg ingen ubehandlede saker
ved endt funksjonstid.
Som tidligere år bidro Personvernnemnda med økonomisk
støtte til Personvernkonferansen også i 2012, med temaet: «Fra lov
til innebygget personvern – hvordan kan personvernet styres?».
Departementet har løpende kontakt med Personvernnemndas
leder og sekretær om administrative spørsmål. Kommunikasjonen mellom
leder og sekretær fungerer godt, og sekretariatsfunksjonen er vel
ivaretatt med kontor i Sandefjord. Det vises i meldingen til at
departementets vurdering er at Personvernnemnda har brukt de bevilgede
midlene på en god måte og ivaretatt sine oppgaver godt i 2012.