1. Innleiing
Personvernfeltet var i 1992 prega av dei mange små stega meir enn dei dramatiske hendingane. Utviklinga syner at ulike sektorbehov for effektvisering av lover og normer fører til at samfunnet blir meir gjennomsiktleg.
Den viktigaste trusselen som den auka kontrollen fører med seg, er feil eller manglar ved informasjonen eller registreringssystema. I dag veit vi lite eller ikkje noko om kvaliteten av dei store og viktige persondataregistra.
Datatilsynet strekar under at kopling av register skal vera heimla i lov eller konsesjon. Tilsynet meiner det vil verka preventivt om dei som gjev personopplysningar frå seg blir orienterte om korleis dei skal brukast.
Datatilsynet ynskjer å knyta eigne ressursar til arbeidet med å fylgje med i telekommunikasjonsutviklinga, slik at ein kan ta initiativ på eit tidleg stadium for å påverka utviklinga.
Bruken av optisk overvakingsutstyr synest å auka. I 1993 vart det gjeve lovreglar i personregisterlova som gjev Datatilsynet handlefridom til å påverka og regulera slik overvaking.
Datatilsynet ser eit stort personvernproblem ved den forvitringa som skjer med tradisjonen som gjeld konfidensiell handsaming av opplysningar innanfor den norske forvaltningskulturen.
2. Personvernåret 1992
2.1 Aktuelle utviklingstrekk
Det har vore ein auka etterspurnad etter råd frå Datatilsynet i meldingsåret når det gjeld tryggleikstiltak innan databransjen. Det er ein tendens til at personregister vert flytta frå stormaskinar til løysingar som er knytta nærare til brukarane, og det er eit stort problem med låg kompetanse blant mange brukarar. Mangelen på kompetanse gjer at verksemdene har bruk for tenester utanfrå. Dette kan føra til at ansvarskjensla for tryggleiken blir mindre hjå registereigaren, og til at stendig fleire kan få tak i sensitive personopplysningar. Datatilsynet har stilt som eit vilkår for konsesjon ved sensitive register at tryggleiken i edb-systemet skal vera vurdert av eit ubunde organ. Internasjonalt vert det arbeidd for å utvikla og standardisera tryggleikskrava til edb-utstyr. Talet på datamaskiner har auka kraftig og dette har m.a. ført til at diskar med data intakt vert reparerte og selde på bruktmarknaden. Det er difor grunn til å tru at ei rekkje personregister kan kompromitterast i stor skala. Datatilsynet meiner at sjølv om det er positive utviklingstrekk, vart den totale informasjonstryggleiken for personregistra svekka i 1992.
I EU-kommisjonen sitt siste framlegg til EU-direktiv om vern av personar ved handsaming og utveksling av personopplysningar, er handsaminga av personopplysningar som hovudregel gjort avhengig av den einskilde sitt samtykke, og dei som er registrerte skal få kunnskap om at opplysningane om dei vert handsama. Det er vidare eit prinsipp at dei registrerte skal ha innsyn både i edb-baserte og i manuelle register. Det siste ville i så fall krevja ei lovendring i personregisterlova dersom det skulle gjerast gjeldande her.
Datatilsynet mottok i 1992 søknader frå Televerket og Telemobil A/S om å oppretta kunderegister der det m.a. var ynskjeleg å kunna registrera automatisk kva for telefonnummer abonnenten hadde ringt til. Telekommunikasjon er i sterk endring, og det er særs viktig at nye tenester vert presenterte for Datatilsynet på eit så tidleg stadium i utviklinga at omsynet til personvernet kan ivaretakast.
I 1992 vart stortingsmeldinga om personvern drøfta i Stortinget. Debatten stadfesta inntrykket av at det er stor tilslutnad om personregisterlova sine hovudprinsipp og allmenn tilslutnad til det arbeidet som Datatilsynet utfører.
2.2 Aktuell personverndebatt
Ulovleg sal av personregister frå bustyret ved konkurs i ulike type verksemder er monaleg. Slikt sal skal berre kunna skje etter løyve frå Datatilsynet. Til no er det berre gjeve løyve når selskap vert selde som « going concern » eller når den einskilde kunden gjev samtykke til det.
Eit problem som kan melda seg ved konkurs i datahandsamingsføretak, er at registeret til føretaket kan verta sletta avdi det ikkje finst pengar i buet til å driva det vidare. Tilstrekkjeleg drift etter konkursopning bør sikrast så lenge at avviklinga kan halda fram på ein måte som er trygg også for kunden.
Påtalemakta har heimel til å sikra seg personregister til tredjemann, t.d. kunderegister, i samband med etterforsking av lovbrot. Datatilsynet meiner at politiet må bruka tredjemann sine personregister med varsemd, og i mange høve bør tilgangen til registra skje etter rettsavgjerd.
Det kan synast som om arbeidsgjevarar i større grad enn tidlegare tek i bruk edb-teknologi som styringsverkty andsynes sine tilsette. Ei detaljert kartlegging kan føra til at arbeidstakarane vil kjenna seg utrygge. To domar som gjeld arbeidslivet og personvernet vert refererte i meldinga.
Mange av klagesakene til Datatilsynet gjeld ynskje frå dei som er registrerte om å bli sletta frå politiregistra etter usanne meldingar. Datatilsynet har registrert at opplysningar om bortlagde saker vert offentleggjorde i samband med utvida politiattest, og er uroa over den utviklinga som fører til at stendig fleire får tilgang til slik attest.
2.3 Prinsipielle einskildsaker
Datatilsynet har utarbeidd « Krav til sikring av medisinsk informasjon »; ei orientering som vart sendt ut i 1992. Då det vart kjent at Rikshospitalet brukte edb i helsetenesta på sin slik måte at krava til tryggleik ikkje var gode nok, gjekk sjukehuset igjennom sitt edb-system og det er no på eit nivå som Datatilsynet seier seg nøgd med.
Datatilsynet krev at bedriftshelsetenesta skal ha registra sine på eit eige edb-system. I ei konkret klagesak vart dette synet stadfesta i Justisdepartementet. Datatilsynet kan gjera unntak dersom det er turvande.
Det er innført ei prøveordning med listepasientsystem i einskilde kommunar som skal evaluerast etter nokre år. Denne evalueringa skal femna om ei rekkje opplysningar som gjeld høvet mellom lækjar og pasient. Datatilsynet gav løyve til pasientsystemet der det m.a. vart kravd gode sikringstiltak og ei evaluering mot slutten av prøveperioden der også pasientane skal få uttala seg.
Amadeus er namnet på eit sentralt europeisk reisedistribusjonssystem som i 1992 vart innført i dei fleste reisebyrå i landet. Systemet gjev høve til å arbeida ut kundeprofilar, dvs. å lagre faste opplysningar om kundane. Desse skal berre kunna hentast ut av det reisebyrået som har laga profilen. I løyvet frå Datatilsynet er det definert kva for opplysningar som skal lagrast, og det er sett som vilkår for å kunna utlevera opplysningar at den som er registrert gjev samtykke eller at utlevering har heimel i lov eller rettsavgjerd. Den reistrerte har rett til å få sletta dei opplysningane som er registrerte på han.
Norge mot innvandring (NMI) søkte Datatilsynet om løyve til å oppretta Norsk motstandsregister. Opplysningane skulle brukast til å røkja etter om det går føre seg ulovleg innvandring til Noreg. Søknad om løyve vart ikkje godkjent avdi dei arbeidsoppgåvene som ein tok sikte på å gjera høyrer inn under politiet og offentleg teneste.
Eit register over omstreifarar som ligg lagra i Riksarkivet, inneheld særs sensitiv informasjon. Berre forskarar kan få ut opplysningane. Datatilsynet har til no konkludert med at opplysningane bør liggja i Riksarkivet, men at ein må nytta eit strengt skjøn i samband med utlevering av opplysningane til forskingsføremål.
Hausten 1992 vart ei tolking av revisjonslova § 2 lagt fram for Datatilsynet. Det vart reist spørsmål om lova gav god nok heimel for Riksrevisjonen si kopling av register. Saka er seinare handsama i Stortinget.
Nokre kommunar fekk etter søknad samtykke til å samkøyra eigne klientregister med skatteoppgjeret for å få tilgang til opplysningar før ein stønadsmottakar rakk å bruka moglege skattepengar som han har til gode. Gjennom nytt løyve for registra til sosialetaten er ordninga utvida til å femna om alle sosialkontora i landet.
Stortinget har skipa eit register over politikarane sine økonomiske interesser. Etter kvart har også einskilde komunar skipa liknande register, og nokre kommunar har pålagd registrering som ei tvungen ordning. Datatilsynet meiner at den einskilde representant eller tilsette må stillast fritt i spørsmålet om registrering.
Ein klage på manglande innsynsrett i manuelle medlemsregister for Jehovas Vitner fekk ikkje medhald avdi lova ikkje gjev innsynsrett i slike register. Men Datatilsynet fann at register over utstøtte medlemer var løyvepliktige, og har seinare gjeve Jehovas Vitner løyve til å føra register over tidlegare medlemer. Det vart lagt stor vekt på at ein var viljug til å gjeva innsyn i registeret. Datatilsynet har bede departementet om å utarbeida ei ny føresegn om innsynsrett i private, manuelle register.
Datatilsynet har merka seg framvoksteren av såkalla interesseorganisasjonar som òg tilbyr medlemene sine terapi eller behandling. I denne samanhengen får ein ofte detaljerte opplysningar om sjukdom. Datatilsynet har m.a. kravd at slike opplysningar ikkje skal registrerast på edb og at opplysningane skal makulerast etter bruk.
Bankane fylgjer den praksisen at dei krev at sjølmeldingar vert lagde fram i samband med søknad om lån. Datatilsynet meiner at det ikkje er sakleg grunn for å registrera alle opplysningane som framgår av ei sjølmelding, og at bankane difor ikkje kan gøyma på kopi av sjølmeldinga til lånesøkjaren i sine kunderegister.
Ein søknad frå UNI-Storebrand om å få bruka sitt kunderegister ved utsending av reklame for sitt dotterselskap Norfond, vart godkjend etter ei vurdering der ein la vekt på at opplysningane skulle brukast innbyrdes innan det same konsernet.
Norges Forsikringsforbund har søkt om løyve til å skipa eit register over yrkesskader og yrkessjukdommar. Datatilsynet nekta å gjeva løyve til å skipa registeret med den grunngjevinga at Norges Forsikringsforbund ikkje hadde fullgod grunn for å gøyma på opplysningane, då ein kan få tak i desse i dei einskilde forsikringsselskapa.
3. Konsesjonshandsaming
Konsesjonssøknader tek framleis ein stor del av tida til sakshandsamarane i Datatilsynet, og mykje av tida går med til å handsama kurante register. Det er difor utarbeidd framlegg til endring i personregisterlova sine føresegner slik at fleire register kan verta fritekne for konsesjonsplikt. Arbeidet med føresegnene er ein tidkrevjande prosess, og Tilsynet har bede departementet om å vurdera om Datatilsynet kan få fullmakt til å frita personregistra frå konsesjonsplikt.
4. Informasjonsverksemda til Datatilsynet
Datatilsynet driv eit omfattande informasjonsarbeid. Det er m.a. utarbeidd ei rekkje brosjyrar og rettleiingar som vert sende i store opplag til skular m.v. Dette arbeidet vil halda fram. Datatilsynet har i lang tid ynskt å kunna nå spesielle målgrupper. I denne samanhengen er det m.a. heldt seminar der aktuelle målgrupper er spesielt inviterte.
5. Verksemdene
Det er ei auka interesse i adresserings- og utsendingsbransjen for å leggja inn fleire personopplysningar i adresseregistra som vert tilbydde for utsending av adressert reklame. Planane til Tilsynet for denne verksemda går m.a. ut på at det skal opprettast eit sentralt sperreregister slik at personar som ikkje ynskjer m.a. adressert reklame, kan venda seg ein stad for å få sperra namn og adresse.
I fall skattelister skal utleverast i maskinlesbar form, må ein ha løyve frå Datatilsynet. Tilsynet vil avgrensa tilgangen på skattelister i slik form til pressa og kredittopplysningsføretak. Andre føretak skal kunna få løyve til online løysing. Datatilsynet har vendt seg til Skattedirektoratet med sikte på å få ei utgreiing om korleis ein skal bruka likningsinformasjon.
Tilsynet mottek framleis ein del førespurnader frå personar som meiner å vera feilregistrerte hjå kredittopplysningsfirmaer. Namsstyresmaktene fører ikkje sjølve kontroll med at det vert påført rett fødselsnummer i samband med tvangsforretningar. Dette kan føra til at feil person vert registrert.
Tilsynet er uroa over at offentlege register som i utgangspunktet er oppretta for andre føremål enn å gjeva kredittopplysning, vert nytta til dette føremålet.
Personregisterlova § 22 tek for seg bruk av datahandsaming. Utviklinga dei seinare åra har ført til nye tenester som truleg vil falla utanfor føresegnene i lova. Tilsynet prøvde i 1992 å få eit oversyn over dei ulike tenestene og å trekkje opp grenser for kva for tenester som bør regulerast nærare. Dataføretak støttar seg til ei rekkje kundar og oppdragsgjevarar som får tilgang til informasjon, og føretaka er opptekne av å utvida sine tilbod. Denne utviklinga kan føra til at opplysningar om dei registrerte vert spreidde til mange kundar.
6. Forsking og personvern
I 1992 vart det gjeve mange løyve til å oppretta personregister i samband med ulike forskingsprosjekt. Som hovudregel vert løyve gjeve for eit avgrensa tidsrom. Desse registra reiser ulike personvernproblem og det vert stilt spørsmål om kva for relevante opplysningar som skal registrerast. Forskingsmiljøa har eit stort ynskje om å oppretta register over familiar og slekter der ein går ut ifrå at det er ei opphoping av disposisjonar for definerte lidingar. Datatilsynet samarbeider med fleire forskingsetiske komitear om dei personvernproblema som registrering i samband med forskingsprosjekt reiser.
7. Kontrollverksemda
Den elektroniske utviklinga er inne i ein eksplosiv fase. Kontrollverksemda til Datatilsynet vert av den grunn meir og meir viktig. Det er ein tendens til at kontrollen vert meir omfattande og ressurskrevjande. I 1992 starta Datatilsynet kontroll av Statens Datasentral og Politiets Datatjeneste.
8. Høyringsfråsegner
Datatilsynet la i 1992 fram høyringsfråsegner til fleire lovutkast, m.a. om endring av lova om finansieringsverksemd i tilknyting til EUs direktiv om kvitvasking, oppretting av eit sentralt båtregister, endringar i konkurslova, fjernsynsovervaking, reglar om oppretting av eit fingeravtrykkregister for utlendingskontroll og framlegg om endring i føresegnene til utlendingslova. Fleire av desse sakene er seinare handsama i Stortinget.
9. Administrasjon
Datatilsynet fekk ikkje monaleg auke i løyvingane i 1992. Dersom Tilsynet skal makta å vidareutvikla eit fagleg kompetent miljø og å nå dei måla som er fastsette i personregisterlova, er det stor trong for fleire stillingar, både på den juridiske og den teknologiske sida. Datatilsynet skipa i 1992 ei prøveordning med ein funksjon som informasjonsansvarleg.