1.1 Innleiing
Datatilsynet har vore i drift sidan 1. januar 1980. Tilsynet skal m.a. handsama og avgjere søknader om konsesjon, kontrollere at lover og reglar som gjeld personregister blir følgde, og gje rettleiing og informasjon om personvern.
Ved handsaminga av Datatilsynet si årsmelding for 1992 bad Stortinget Regjeringa leggje fram ei melding om dei problema ny telekommunikasjon reiser av etisk og personvernmessig art. Ei slik melding er under arbeid.
Departementet vurderer å gjere ein meir omfattande revisjon av personregisterlova. Det må òg avklarast nærare om EU sitt komande direktiv på området gjer det naudsynt med lovendringar.
Datatilsynet har utarbeidd eit utkast til ny føresegn til personregisterlova. Utkastet er til vurdering i departementet, og departementet tek sikte på å avslutta arbeidet med dette inneverande år.
Eit direktiv om personvern vil kunne verte vedteke av EU hausten 1995. Ei rekkje av prinsippa i direktivet inngår allereie i norsk lovgjeving. Det er likevel klårt at direktivframlegget på ein del punkt er annleis enn dei norske reglane. Eventuelle endringar i norsk lovgjeving som følgje av direktivet vil verte utgreidde i samband med Stortinget si handsaming av spørsmålet om direktivet skal gjerast til ein del av EØS-avtalen.
1.2 Justisdepartementet sine merknader til dei einskilde punkta i Datatilsynet si årsmelding for 1993
Datatilsynet har peika på ulike problem i samband med forsikringsselskapa si innsamling og bruk av personopplysningar, spesielt helseopplysningar innan livs- og pensjonsforsikringar. Justisdepartementet vil følgje utviklinga på dette området nærare, og vurderer Datatilsynet sitt framlegg om å oppheve livsforsikringsselskapa sitt fritak frå konsesjonsplikt når det gjeld forsikrings- og utlånsregister.
Televerket fekk i 1993 konsesjon til automatisk registrering og lagring av samtaledata i samband med opprettinga av eit nytt faktureringssystem for teletenester, kalla Sen-Taks. Datatilsynet fastsette konsesjonsvilkår der det framgår at vanleg lagringstid skal vere maksimalt seks månader, men det skal vere mogleg å reservere seg mot lagring og å få sletta opplysningane etter maksimalt 14 dagar. Ein skal òg kunne reservere seg mot å stå på andre sine rekningar. Televerket vurderer å tilby anonyme telefonnummer til alle yrkesgrupper som kan dokumentere eit behov for det. Eit problem i samband med anonyme nummer er korleis det kan skjulast at det er ringt til slike nummer når det vert klaga på rekninga. Ved å utvida gruppa av anonyme nummer til òg å gjelde ikkje-sensitive nummer, vil dette vere med på å ufarleggjere informasjonen. Konsesjonen pålegg Televerket ei omfattande informasjonsplikt andsynes sine abonnentar når det gjeld deira rettar til m.a. å reservere seg mot lagring av samtaledata i seks månader.
Departementet er positiv til at Datatilsynet i 1994 vil prioritere informasjons- og tilsynsverksemd særleg retta mot kommunane.
Departementet viser til at det har vore utgreidd og gjort framlegg til ei samordning av regelverket for informasjonssikring. Mange av høyringsinstansane har understreka behovet for reglar om datasikring. Det er likevel kritisert at ein har gått for langt i å samordna mange omsyn innafor ei føresegn. Dei departementa det gjeld vurderer no om det er føremålstenleg å føre vidare arbeidet med ei sterk samordning av sikringsreglar på tvers av sektorar eller om andre løysingar er meir føremålstenlege.
Spørsmålet om Brønnøysundregistra si verksemd er kredittopplysningsverksemd, er særleg aktuelt i samband med endringane i tvangsfullbyrdelseslova om utvida registrering av utleggsforretningar som vart vedtekne i 1993. Datatilsynet var skeptisk til lovendringa og Regjeringa uttala under lagtingsdebatten at desse endringane ikkje skulle setjast i kraft før Stortinget hadde fått høve til å vurdere framlegget på nytt. Departementet planlegg å sende eit justert framlegg til lovreglar om utvida registrering av utleggsforretningar på høyring med det første.
Ei arbeidsgruppe har vurdert reglar om utlevering av masseopplysningar frå skattelistene i maskinlesbar form, og deira innstilling er til vurdering i departementet.
Departementet har merka seg dei synspunkta som kjem fram om administrasjonen i årsmeldinga.
1.3 Datatilsynet si årsmelding for 1993
Stortinget si handsaming av Datatilsynet sine årsmeldingar gjev eit klårt inntrykk av at ein i det politiske miljø ynskjer at tilsynet skal engasjera seg i det generelle ordskifte om personvern. Frå delar av statsadministrasjonen er det kome signal som kan tyde på at ein slik opinionsdannande funksjon ikkje er ønska. Det er likevel i meldingsåret ikkje registrert konkrete initiativ med tanke på å avgrense tilsynet sitt mandat.
Så vel konsesjonshandsaming som kontrollverksemd har sin største verdi som informasjonskanalar. Datatilsynet legg avgjerande vekt på det korrektiv som knytter seg til Stortinget si handsaming av årsmeldingane frå Datatilsynet.
90-åra er prega av ynskje om aukande høve til å knytte ulike databaser saman i nett. Staten er her ein stor pådrivar.
Telenettet vil òg verte radikalt endra framover. Utfordringane framover ligg i å gje berre autoriserte personar tilgang til sensitiv informasjon og til å styre utvekslinga av denne typen informasjon. Ser ein enda lengre fram vil ein trådlaus datakommunikasjon vere det neste. Slik kommunikasjon krev svært avanserte sikringsfunksjonar og desse bør vera på plass før ein tillet bruk av slikt utstyr. Ynskje om å nytte innsamla opplysningar kommersielt blir stadig tydelegare. Brønnøysundregistra selde eksempelvis i meldingsåret informasjoner for om lag 20,5 mill. kroner.
Datatilsynet får stadig meldingar frå publikum om forsikringsselskapa si innsamling av personopplysningar, særleg helseopplysningar. Forsikringstakar har i dag lite høve til sjølv å kontrollera kven som har opplysningar om dei. Kunderegistra i livsforsikringsverksemd er i dag unnateke frå konsesjonsplikt. Datatilsynet har overfor departementet gjort framlegg om at registra vert konsesjonspliktige på line med skadeforsikringsselskapa sine kunderegister. Innføring av EØS-avtala reiser problem ved at utanlandske forsikringsselskap kan etablere seg fritt i landet. Dette gir behov for å utlevere opplysningar til utlandet, og fører til at Datatilsynet misser oversikta over informasjonsflyten over landegrensene.
Spørsmålet om det på førehand som hovudregel skal krevjast uttrykkeleg samtykke eller uttrykkeleg reservasjon ved automatisk registrering, blir stadig reist. I meldingsåret var det særleg Televerket sitt ynskje å registrere faktureringsgrunnlag og oppbevare trafikkdata ved telefonbruk som reiste slik debatt. Datatilsynet meinte at slik registrering frå Televerket si side burde vore aktivt ønskt frå abonnenten, og at lagringa elles skulle vere så kortvarig som teknisk mogleg. Tilsynet sitt standpunkt vart påklaga til departementet med det resultat at lagringstida vart maksimum eit halvår med mindre abonnenten har bede om sletting tidlegare.
I 1993 handsama Datatilsynet fleire koplingssaker. Nokre av desse er nemnde i meldinga. Datatilsynet er i ferd med å følgje opp desse og andre registerkoplingar i kontrollsamanheng.
Behovet for sikring og kvalitet i edb-system aukar stadig. Datavirus og forsøk på datakriminalitet gjer at trusselen mot norske edb-system er høg.
For å sikre sensitiv informasjon som er lagra i kommunane best mogleg, har Datatilsynet i sine konsesjonar sett som vilkår at dei mest sensitive registra skal førast i fysisk isolerte edb-system. Datatilsynet gjev likevel dispensasjon til kommunar for å føre sine sensitive personregister i delte edb-system dersom ein kan dokumentere at sikringa vert ivareteken. Dette arbeidet er svært tidkrevande.
I arbeidet med informasjonssikring ville det vere av stor verdi å få etablert eit effektivt sertifiseringsorgan for å sikre edb-system.
Det vil by på store utfordringar å få tilstrekkeleg datasikring på plass i helsesektoren for å minske faren for uautorisert tilgang til informasjon ved kobling til nett. Dette ville òg naturleg falle inn under arbeidsområdet til eit eventuelt sertifiseringsorgan.
Arbeidet med å utarbeide og autorisere gode sikringsreglar for edb-bruken i og utanfor offentleg forvaltning går seint. Eit ynskje frå alle aktørar Datatilsynet er i kontakt med, er ei autorisert sikringsføresegn.
Informasjonsarbeid står sentralt i Dastilsynet si verksemd. Etter Stortinget si budsjetthandsaming vart det gitt heimel til ei ny stilling som informasjonsansvarleg med tilsetting tidleg i 1994.
Datatilsynet fekk i 1993 ikkje vesentlege klager som er relatert til markedesundersøkingsbransjen, men det er grunn til å tru at konsesjonsplikta er relativt ukjent innan denne bransjen. Datatilsynet meiner at ei registrering som gjer det mogleg for den einskilde å lagre nøyaktig kunnskap om kva einskilde individ gjer, til dømes gjennom innkjøp, ikkje er i samsvar med viktige personvernomsyn.
Datatilsynet gjennomførte i meldingsåret ein omfattande kontroll av dei største datahandsamingsforetaka i Noreg. Ein fann ikkje vesentlege manglar ved selskapa si verksemd. I ei utgreiing om datahandsamingsverksemd vert det m.a. gjort framlegg om at verksemder som driv informasjonsformidling eller service og vedlikehald av edb-maskinar m.v. og skal omfattast av kravet om verksemdskonsesjon. Forslaget er oversendt departementet.
Talet på skriftlege og munnlege klager frå publikum innan kredittopplysnsingsbransjen har vore på same nivå som året før. Kredittopplysingsbransjen nyttar opplysningar frå Brønnøysund-registeret, og er objektivt ansvarlege for feil i registra. Det same gjeld ikkje Brønnøysund-registra, noko Datatilsynet finn urimeleg.
Kvart år vert likninga frå året før lagt ut til offentleg gjennomsyn nokre veker. Dette er nokre av dei sakene publikum har klaga mest på. Datatilsynet har teke initiativ til ei vurdering av reglane om likninga, og vil kome nærare attende til dette i neste årsmelding.
Datatilsynet har i meldingsåret sett nærare på adresserings- og distribusjonsverksemd. Arbeidet har hatt som føremål å revidere verksemdskonsesjonen og utgreie oppretting av eit sentralt reservasjonsregister mot adressert reklame og telefonmarknadsføring m.v. Kartlegging av ulike alternativ til reservasjonsregister vil halde fram.
Ei av Datatilsynet sine hovudoppgåver er å driva kontrollverksemd. Av kontrollar i 1993 nemner ein spesielt kontroll av Statens Datasentral. Kontrollen avdekka ingen manglar.
Datatilsynet har signalisert at personregisterlova bør endrast, slik at Datatilsynet får høve til å frita søkjarar frå konsesjonsplikta gjennom einskildvedtak. Konsesjonsplikta bør reserverast for dei tilfella der det er behov for den i personvernmessig samanhang. Datatilsynet har og bede departementet vurdere å gje Datatilsynet føresegnskompetanse, m.a. for register som er mange og identiske.
Datatilsynet har i 1993 utarbeidd utkast til nye føresegner til personregisterlova. Dette er sendt departementet og inneber mellom anna enklare reglar der det er behov for standardisering. I revisjonsframlegget er det særleg framheva at eit kvart personregister som er fritatt frå konsesjon i større grad må ha eit avgrensa og presist føremål. Datatilsynet har vidare føreslått at kobling av konsesjonsfrie register berre skal vere tillatt utan samtykke når resultata av koblinga ikkje skal nyttast som grunnlag for vedtak retta mot den einskilde. Datatilsynet har og uttala at løns- og personalregister burde innehalde reglar om sletting når ein person sluttar i firmaet.
Når det gjeld høyringsfråsegner, ser ein alt for ofte at utrederane ikkje nevner eller berre så vidt tek med personvernspørsmål i førebuingsfasen. Det har òg vore eksempel på at Datatilsynet ikkje er teke med som høyringsinstans.
Datatilsynet fekk heller ikkje i 1993 vesentleg auke i sine driftsmidlar. Det samla talet på saker aukar ikkje dramatisk, men det er ei auke i talet på kompliserte og arbeidskrevjande saker. Det er registrert ein auka etterspurnad frå publikum etter råd og rettleiing. Det er framleis eit sterkt behov for fleire medarbeidarar så vel på den juridiske som den tekniske sida.
Datatilsynet vil i 1994 spesielt leggje vekt på informasjon og tilsyn. Arbeidet med kommunane vil bli prioritert.
Etter komiteen si meining gir årsmeldinga som er lagt fram, ein god gjennomgang av ei rekke prinsipielt viktige spørsmål om personvern og personregister. Komiteen meiner og at årsmeldinga gir ei god oversikt over aktuelle utviklingstrekk i 1993, og ei god oversikt over arbeidet som er utført av Datatilsynet i 1993.
Komiteen har merka seg at Datatilsynet fleire stader i årsmeldinga har peika på at personregisterlova ikkje verkar tilfredsstillande. Komiteen vil og minne om at Stortinget har bedt Regjeringa legge fram endringar i personregisterlova. Komiteen konstaterer at Regjeringa no vurderer å leggje fram ein meir omfattande revisjon av personregisterlova.
Komiteen ventar at det ved denne revisjonen blir teke omsyn til dei signala som er gitt i Datatilsynet si årsmelding for 1993. Komiteen vil òg vise til Stortinget sitt vedtak av 21. april 1994 der det vart lagt fram konkrete framlegg om endringar i personregisterlova.
Komiteen konstaterer at personvern er eit omgrep som stadig oftare og i stadig nye samanhangar pregar den offentlege debatten. Komiteen er tilfreds med at det både i offentleg og privat sektor blir lagt vekt på å finne løysingar som ivaretek eit stadig alminneleg og utbreidd ønskje om og trong for å skjerme den einskilde borgar sitt privatliv på ein rimeleg måte.
Datatilsynet har fått tillagt kontrollen med registrering og bruk av personopplysningar. Komiteen har merka seg og er tilfreds med at Datatilsynet meiner utøvinga av kontrollen overfor privat sektor ikkje skapar problem. Komiteen har vidare merka seg at når det gjeld offentleg sektor er det Datatilsynet si erfaring at samspelet mellom Datatilsynet som kontrollorgan og den overordna politiske leiinga har verka svært godt.
Komiteen deler Datatilsynet si vurdering at når det gjeld personregister må det leggjast vekt på at lova blir tolka og handheva på ein måte som gjer at ein oppnår alminneleg respekt og forståing. Komiteen er samd med Datatilsynet i at det personvernarbeidet Datatilsynet er pålagd føreset god informasjon. Dette vil vere med å påverke holdningar og sosiale verdiar.
Komiteen har merka seg den raske utviklinga innanfor informasjonsteknologien - ei utvikling som berre viser teikn til å fortsette. Kostnadene går ned slik at elektronisk datautstyr blir tilgjengeleg for stadig fleire. Utviklinga er elles prega av ønska og moglegheitene for å knyte databasar saman i nett. Komiteen deler Datatilsynet si oppfatning om at denne utviklinga vil føre til eit ytterlegare press på personvernet. Komiteen meiner det er viktig å følgje utviklinga framover nøye.
Komiteen har merka seg at Datatilsynet har funne det nødvendig å sjå spesielt på personvern i høve til forsikringsbransjen. Komiteen er samd med Datatilsynet i at dette området bør vurderast grundig. Komiteen ser det som viktig at Justisdepartementet fylgjer utviklinga på dette området nøye , og i arbeidet med den pågåande forskriftsrevisjonen, vurderer Datatilsynet sitt framlegg om at livsforsikringsverksemdene sine kunderegister blir konsesjonspliktige.
Komiteen er kjend med at det ofte er ønskje om å kople ulike register. Komiteen er tilfreds med at Datatilsynet følgjer opp resultata av ulike registerkoplingar med tanke på kontroll.
Den omfattande bruken av data og det faktum at stadig fleire oppgåver blir styrd av datasystem gjer at behovet for tryggleik og kvalitet i edb-systema stadig aukar. Komiteen ser det som viktig at arbeidet med konsesjonssøknader, tryggleiksføresegner og kontroll til ei kvar tid er gode nok. Komiteen ser og Datatilsynet si informasjonsverksemd som viktig i denne samanhangen.
Komiteen har merka seg at Datatilsynet meiner at konsesjonsplikta bør vere knytt til dei tilfelle der dette er nødvendig ut frå personvernomsyn. Komiteen er samd i dette. Det bør unngåast å leggje konsesjonsplikt på register som betyr lite for personvernet. Komiteen finn det og naturleg at Datatilsynet får føresegnskompetanse for register som er mange og identiske.
Komiteen har merka seg at det har vore eksempel på at Datatilsynet er utelatt som høyringsinstans i saker som Datatilsynet burde ha fått uttalt seg om. Komiteen har tidlegare, i Innst.S.nr.80 (1991-1992) streka under at det er viktig at personvernomsyn alltid blir gjort synlege når det oppstår interessekonfliktar. Komiteen streka samtidig under at det var viktig at Datatilsynet blir brukt aktivt som høyringsinstans. Komiteen har framleis den oppfatninga at det er svært viktig å få til eit samspel mellom personverninteressene og andre interesser som må bli ivaretekne ved utforminga av ny lovgjeving og nye forvaltningssystem. Datatilsynet må brukast aktivt som høyringsinstans.
Viktige oppgåver for Datatilsynet er å vurdere konsesjonssøknader og føre tilsyn med at dei som får konsesjon held konsesjonsvilkåra. Datatilsynet skal òg drive opplysningsarbeid. Komiteen ser det som viktig at Datatilsynet har kapasitet til å utføre desse oppgåvene på ein tilfredsstillande måte, og meiner at Regjeringa og Stortinget må ta dei budsjettmessige konsekvensar av dette.
Komiteen er kjend med at Telenor si grunngjeving for å ta i bruk SenTaks-systemet er forbrukaromsyn og Telenor sine interesser. Etter at Telenor anka Datatilsynet sitt avslag på konsesjonen for SenTaks-systemet, har Justisdepartementet kome til at dei personvernmessige problem ikkje er av slik karakter at det bør seiast nei til systemet.
Komiteen deler oppfatninga at kvar enkelt av dei opplysningane som blir lagra i SenTaks-systemet ikkje nødvendigvis treng innebere slike personvernmessige problem at det er grunn til å seie nei til systemet. Men komiteen er av den klåre meining at summen av data som blir registrerte og lagra kan bli negative ut frå personverninteressene. Komiteen meiner at kortlagringstida, som i dag er inntil 14 dagar, bør reduserast vesentleg. Vidare meiner komiteen at registrering m.a. for å sikre klagehandsaming må vere aktivt ynskt og ikkje slik vilkåret i konsesjonen som er gitt til Telenor og andre teleoperatørar på den norske marknaden, at kunden må reservere seg.
Komiteen vil samtidig streke under at det er ynskjeleg med felles reglar på den norske telemarknaden for alle teleoperatørar. Komiteen deler Datatilsynet sitt ynskje om at alle teleoperatørar på den norske marknaden bør ha likelydande konsesjonar. Dette bør likevel ikkje hindre at personverninteressene blir tekne vare på.
Komiteen vil elles vise til Innst.S.nr.173, Årsmelding for Datatilsynet 1991 , der det står: « Komiteen gir sin tilslutning til at Televerket ikke bør gis en rett til automatisk registrering av oppringte telefonnumre. All registrering av telefonsamtaler bør etter komiteens mening utelukkende skje etter bestilling fra den enkelte abonnent. »
Komiteen er kjend med at Telenor vil setje i gang forsøk basert på at privatkunden samtykkjer til lagring i 6 månader. Etter komiteen si meining bør ikkje dette berre vere eit forsøk, men bli ei permanent ordning. Komiteen har og merka seg at Telenor arbeider for å gjere kortlagringstida kortare enn 14 dagar. Komiteen aksepterer at når Telenor først har fått konsesjon, bør det og bli gitt rimeleg tid slik at Telenor kan tilby eit produkt i tråd med det komiteen har gitt uttrykk for.
Komiteen sitt fleirtal, alle unnateke medlemene frå Arbeidarpartiet, meiner at dersom krava om at kortlagringstida skal reduserast og at kunden skal gi samtykke til lagring ikkje er innfridd innan 2 år, må det vurderast om konsesjonen skal dragast inn.
Komiteens medlemmer fra Arbeiderpartiet viser til at Datatilsynet tidligere har gitt konsesjon til slikt samtaleregister for andre teleoperatører enn Telenor.
Disse medlemmer forutsetter at det er et mål for alle konsesjonsinnehaverne at kortidslagringen blir redusert så mye som det er teknologisk mulig så raskt som mulig, og at prinsippet om positivt samtykke for privatkunder følges opp.
Disse medlemmer viser til at Datatilsynet og Justisdepartementet har myndighet til å gi konsesjoner på dette området. Disse medlemmer mener det vil være galt å trekke tilbake allerede gitte konsesjoner uten at det foreligger brudd på konsesjonsvilkårene.
Komiteen viser til meldinga og rår Stortinget til å gjere følgjande
vedtak:
St.meld. nr. 23 (1994-1995) - om årsmelding for Datatilsynet 1993 - vert lagt ved protokollen.
|
Oslo, i justiskomiteen, den 1. juni 1995.
|
| Lisbeth Holand, |
Jorunn Ringstad, |
Olav Akselsen, |
| leiar. |
ordførar. |
sekretær. |