Datatilsynet har vært i virksomhet
siden 1. januar 1980. Tilsynet skal bl.a. behandle søknader
om konsesjon for personregistre og for annen bruk av personopplysninger
i visse typer virksomheter, kontrollere at lover og regler som gjelder
for personregistre og bruk av personopplysninger blir fulgt, og
gi råd og informasjon om personvern og de reglene som gjelder
for personregistre.
Meldingsperioden har til dels vært
turbulent som følge av uenighet om kompetansefordelingen
mellom styre og administrasjon i Datatilsynet. Konflikten kulminerte
med at Datatilsynets styremedlemmer ba seg fritatt for sine verv
i 1998. Justisdepartementet fremhever at samarbeidet med det nye
styret har vært godt.
Datatilsynet bl.a. tar opp forholdet til sikring
av informasjon i helsesektoren. I forslagene til lov om helsepersonell
i Ot.prp. nr. 13 (1998-1999) og helseregisterlov er det foreslått å innta
egne hjemler for Kongen til å sette krav til bruk av edb
i helsesektoren. Datatilsynet viser til at tilsynet for tiden utvikler
generelle sikkerhetsforskrifter, og at det vil være naturlig
at de samme sikkerhetskravene stilles overfor helsevesenet. Sosial-
og helsedepartementet viser til at en egen forskriftshjemmel foreslås.
Datatilsynet har i flere år vært
opptatt av hvilke konsekvenser Schengen-samarbeidet vil få for
personvernet. Justisdepartementet deler dette engasjementet, og vil
igangsette en gjennomgang av regelverket for politiets behandling
av personopplysninger med sikte på å utarbeide
en ny lov om politiets arbeidsregistre.
Datatilsynet gir uttrykk for at det fra mange
hold fremsettes krav om fjernsynsovervåking av offentlige gater
og torg. Overvåking som foretas av politiet hjemles i personregisterloven § 37
a, på samme måte som annen fjernsynsovervåking.
Justisdepartementet kan vanskelig se at politiet havner i noen dobbeltrolle
slik Datatilsynet fremhever, selv om forskrift om fjernsynsovervåking
i visse tilfeller gir hjemmel for å utlevere opptak til
politiet.
Samferdselsdepartementet deler Datatilsynets
syn når det gjelder viktigheten av personvernspørsmål knyttet
til Internett i forhold til utformingen av regelverket, men påpeker
at det i mange tilfeller vil være lite hensiktsmessig å kreve
en tidsbegrensning for offentliggjøring av personopplysninger
på Internett.
I Datatilsynets årsmelding omtales
videre saken der en kommune undersøkte innholdet i ulovlig
plasserte avfallssekker for om mulig å identifisere lovovertrederen.
Miljøverndepartementet mener kommunen i dette tilfellet
har opptrådt ansvarlig i forhold til det regelverk den
er satt til å forvalte.
Det anføres i årsmeldingen
at verken Datatilsynet eller Sivilombudsmannen kan se at det er
hjemmel i strafferegistreringsloven for å registrere forenklede forelegg
i bøteregisteret. Etter Justisdepartementets syn hjemler
strafferegistreringsloven registrering av forenklede forelegg. Departementet
vil imidlertid vurdere nærmere hvorvidt det skal tas initiativ
til en klargjøring av grunnlaget for slik registrering.
Det er etter Justisdepartementets syn ikke slik
at man ved å legge ansvaret for EUs telekommunikasjonsdirektiv
til Samferdselsdepartementet utpeker Post- og teletilsynet som eneste
tilsynsmyndighet, eller begrenser Datatilsynets tilsynskompetanse.
Justisdepartementet viser til at Datatilsynets
styre signaliserer at ny lovgivning vil kunne innebære
et noe høyere nivå for Datatilsynets ressursbehov.
Departementet bemerker at det vil være nødvendig
med ressurser for å gjennomføre dette arbeidet.
Departementet har merket seg Datatilsynets signaler om at kompleksiteten
i sakene er økende, noe som gjør at behandlingstiden øker.
Justisdepartementet registrerer også nedgangen i saksmengden
på 15,2 pst. i 1998 i forhold til 1997. Det er viktig at
den gjennomsnittlige saksbehandlingstiden i tilsynet ikke forlenges
utover målet på 6 uker.
I forbindelse med oppnevningen henstilte Justisdepartementet
til det nye styret å videreføre etablert praksis
i forholdet mellom styre og direktør. Styret har i tråd
med dette lagt til grunn at styret fungerer som et fagstyre, og
at direktøren treffer endelig avgjørelse i administrative
saker.
De fleste av de 10 klagesakene styret behandlet
i 1998 gjelder helt eller delvis avslag på søknad
om konsesjon for opprettelse av personregister. Ut over klagesakene
har styret behandlet saker av prinsipiell rekkevidde for personvernet.
Blant disse nevnes vedtakelse av Retningslinjer for informasjonssikkerhet
ved behandling av personopplysninger.
Virksomhetsåret 1998 ble for Datatilsynets
vedkommende særlig preget av uenigheten om fordeling av ansvar
mellom styre og administrasjon som kulminerte med styrets fratredelse,
samt arbeidet med å forberede gjennomføringen
av ny lov om behandling av personopplysning.
Staben har tidvis vært noe mindre enn
hjemlet, og det har ikke vært mulig å hindre at
saksbehandlingstiden har gått noe opp. Datatilsynet har
i meldingsåret bl.a. gjennomført to omfattende
kontroller av ulike private og offentlige databrukere i henholdsvis
Trøndelag og Rogaland. Resultatet har til dels vært
meget oppmuntrende.
Det påpekes at det kan være
vanskelig å fungere helt ut tilfredsstillende i rollene
som ombud og forvaltningsorgan samtidig. Det fremheves videre at
Datatilsynets innlegg i samfunnsdebatten i praksis ikke blir avgrenset
til områder som reguleres direkte i personregisterloven,
men gjelder også andre personvernrelaterte saker.
Når det teknisk er forholdsvis enkelt å bruke
informasjoner for kontroll, vil et formulert behov for å gjøre det
ofte følge rett etter. Som eksempel vises det til at elektroniske
passasjerlister vil ha interesse for tolletaten. Datatilsynet har
pekt på de problemer som vil knytte seg til de enorme mengdene
overskuddsinformasjon som dermed gjøres tilgjengelig for
et statlig kontrollorgan.
Det er vanskelig konkret å påvise
hvorvidt Norge i meldingsåret er blitt et mer gjennomsiktig
og gjennomregistrert samfunn. Det ligger i dag utenfor den ressursramme
tilsynet har til rådighet å kunne bidra med vurderinger
av det omfang og den kompleksitet det her er tale om.
Nye retningslinjer for
informasjonssikkerhet
Datatilsynet vedtok i 1998 Retningslinjer for
informasjonssikkerhet ved behandling av personopplysninger. Utviklingsarbeidet
er koordinert med arbeid som er utført i regi av Nærings-
og handelsdepartementet med sikte på å etablere
norske sertifiseringsordninger for informasjonssikkerhet.
Retningslinjene omfatter i mindre grad detaljerte tekniske
sikkerhetskrav enn tidligere sikkerhetsreguleringer. Datatilsynet
utarbeider derfor veiledninger i informasjonssikkerhet spesielt
rettet mot enkelte sektorer.
Datatilsynet har de siste årene sett
en økende tendens til opprettelse av sentrale, til dels
store helseregistre. En økende tendens i søknadene
er at registreringene blir basert på samtykke fra de registrerte.
Mange forskere tar sikte på svært
lang oppbevaringstid for opplysningene, og har ofte ambisjoner om å utnytte
opplysningene også i fremtidige prosjekter. Det kan reises
tvil om hvorvidt samtykket er reelt i mange sammenhenger, evt. om
nytt samtykke bør innhentes etter en tid. Til tross for
ulike betenkeligheter knyttet til sentrale forskningsregistre, har
Datatilsynet ikke avslått søknader hverken for
prosjektrelaterte eller permanente helseregistre. En søknad
om konsesjon til videre oppbevaring av det såkalte Åndssvakeregisteret er
under behandling. Datatilsynet har bedt om en nærmere begrunnelse
for behovet for videre registrering.
Datatilsynet viser til at helsemyndighetene ønsker å gi
egne regler om sikring av informasjon. Det utarbeides nå generelle
sikkerhetsforskrifter i tilknytning til forslag til lov om behandling
av personopplysninger, og Datatilsynet mener det vil være
naturlig at de samme sikkerhetskravene stilles overfor helsevesenet.
I forhold til Schengen informasjonssystem (SIS)
har Datatilsynet i meldingsåret engasjert seg i to viktige områder:
forslag til lov om SIS og etablering av en prosjektgruppe i det
nasjonale Schengen-prosjektet.
Datatilsynet mener overvåking av offentlige
rom er et sterkt inngrep i den private sfære, og at kontinuerlig overvåking
ved hjelp av kamera bør være unntaket og ikke
regelen. I 1998 kom det krav fra mange hold om at politiet skulle
ta i bruk fjernsynsovervåking av offentlige gater og torg,
og det skal gjennomføres et prøveprosjekt i Oslo.
Denne praksisen reiser bl.a. spørsmål om lovgrunnlaget.
Nylig har Datatilsynet fått forespørsler
fra publikum om lovligheten av å benytte seg av fast installerte
internettkameraer i barnehager. Det er et spørsmål
om dette oppfyller personregisterlovens krav til saklig behov for overvåking.
Datatilsynet har det siste året fått
flere henvendelser fra skoler som vil overvåke både
skolegårder og innendørs lokaler. En eventuell
overvåking av skoleanlegg bør bare finne sted
på tidspunkt ingen har sitt faste tilhold der.
Datatilsynet ga i meldingsåret om lag
430 konsesjoner til nye forskningsprosjekter og 300 konsesjonsforlengelser.
Publiserte rapporter og lignende fra forskningsprosjekter
skal være anonymiserte. Datatilsynets styre har vedtatt
at prinsippet om anonymisering bare kan fravikes dersom belysning
av sentrale, historiske hendelser svekkes vesentlig uten at identiteten
offentliggjøres, og viktigheten av opplysningene i den
aktuelle debatt veier vesentlig tyngre enn den ulempen en offentliggjøring
vil medføre for den registrerte, hans ettermæle og
hans etterlatte.
1998 har vært sterkt preget av saker
hvor aktører med store personregistre vil legge disse ut
på Internett. Hovedregelen for en slik offentliggjøring
er kravet om samtykke fra den enkelte før opplysningene
legges ut på nettet.
Det har blitt reist mange spørsmål
om grensen mellom offentlighetsprinsippet og personvern når
offentlige dokumenter og journaler blir tilgjengelig på Internett.
Datatilsynet er generelt skeptisk til registre som blir liggende
over ubegrenset tid på Internett og mener krav om sletting
eller anonymisering etter en viss tid er vesentlig.
Fjernsynsovervåking av ansatte er ikke
lenger uvanlig. Datatilsynet ser også stadig flere eksempler
på skjult overvåking, til tross for at dette er
straffbart.
Arbeidsgivere har ikke anledning til å registrere
telefonsamtaler for å overvåke ansatte eller for å disiplinere
de ansattes telefonbruk. Arbeidsgivere som har et saklig behov for å registrere
oppringt nummer for samtaler de ansatte har, kan registrere dette
dersom de får en avtale mellom partene i arbeidslivet.
Datatilsynet ser problemer for personvernet når arbeidsgivere
får spesifiserte telefonregninger med både jobb-
og privatsamtaler for sine ansatte.
Mange arbeidsgivere ønsker å bruke
elektroniske logger for kontroll av ansattes bruk av Internett.
Dette er ikke i strid med personregisterloven hvis opplysningene
som hentes ut av loggen ikke kan tilbakeføres til den enkelte.
Kontroll av ansatte gjennom loggene krever konsesjon.
Elektronisk registrering av hvor lang tid hver
enkelt ansatt bruker på hver aktivitet er et annet eksempel
på overvåking. Datatilsynet har gitt konsesjon
til slik registrering på vilkår at man får
skriftlig samtykke fra den enkelte.
I et avisoppslag på vårparten
kom det frem at en kommune gikk gjennom ulovlig plassert søppel
ved kommunens miljøstasjoner. Søppelet skulle
identifisere synderen. Datatilsynets direktør uttalte seg
kritisk til tiltaket.
Forenklede forelegg blir registrert i bøteregisteret
på linje med andre ilagte bøter, til tross for
at hverken Sivilombudsmannen eller Datatilsynet kan se at det er hjemmel
for dette i strafferegistreringsloven. Justisdepartementet har fastslått
at forenklede forelegg ikke skal komme med i vandelsattestene. Datatilsynet
er opptatt av at hvis det finnes hjemmel til å registrere opplysninger
om forenklede forelegg, bør registreringene bare skje i
forbindelse med hjemmelen, og registeret skal ikke kobles opp mot
andre.
I 1998 har informasjonsarbeidet vært
knyttet til satsingsområdene helsesektoren, justissektoren
og elektroniske spor innen samferdsel.
De viktigste kanalene for informasjon er mediekontakt,
webtjenesten, årsmeldingen, magasinet SPOR, pressemøter,
seminarer, foredrag og en høy publisitet rundt kontrollvirksomheten.
I 1998 hadde Datatilsynet 22 faste stillingshjemler. Behandlingstiden øker
fordi saksmengden har blitt mer kompleks og mangfoldig enn tidligere.
Mange av henvendelsene til Datatilsynet tar
opp saker som ikke er direkte knyttet til søknader om oppretting
av registre eller å drive konsesjonspliktig virksomhet,
men i hovedsak brukes flest ressurser på behandling av
søknader om konsesjon for å opprette personregistre.
Fra 1997 til 1998 er det en nedgang i antall dokumenter som utgjør
15,2 pst.
I løpet av meldingsåret kom
det inn 20 klager over Datatilsynets vedtak. Justisdepartementet
avgjorde i løpet av dette meldingsåret 13 saker.
Av dem ble tre omgjort. Av søknader som ble avslått
nevnes bl.a. en søknad fra kredittopplysningsbyråene
om å hente inn opplysninger fra motorvognregisteret til
bruk i kredittopplysningsvirksomhet, og en søknad fra Kreditorforeningen
i Oslo om å opprette et permanent register over samtlige
skatteytere i Norge.
I 1998 gjennomførte Datatilsynet kontroller
i Trøndelag og i Rogalandsdistriktet. Tilsynet konsentrerte seg
om fylkesvise kontroller innen et bredt spekter av virksomheter,
fra videobutikker til internasjonale konsern. Det er mangel på konkret
kjennskap til regelverket og konsesjonene, men de fleste følger
likevel personvernets generelle grunntanker. Få av de registrerte benyttet
seg av innsynsretten. Positivt mange hadde likevel utarbeidet rutiner
for dette.
Datatilsynet hadde 116 høringssaker
i meldingsåret. Tilsynet legger stor vekt på høringsarbeid,
noe som er i overensstemmelse med Stortingets uttrykte ønske.
Justisdepartementet har i meldingsåret
også foreslått opprettelsen av et sentralt reservasjonsregister,
et register Datatilsynet har etterlyst i lang tid. Registeret er
ennå ikke opprettet.
Kontor- og datateknisk landsforening har tatt
initiativ til opprettelsen av et klageorgan for utenomrettslig behandling
av klager over bruk av Internett; Internett etisk råd.
Rådet har utarbeidet et utkast til etiske regler for Internettbruk.
Datatilsynet mener reglene i stor grad bar preg av de større
kommersielle aktørenes interesser.
Generelt savner Datatilsynet en harmonisering
av regelverket innenfor politisektoren og spesielt i forhold til
viktige personvernregler som innsyn, retting og sletting av opplysninger.
Datatilsynet tok opp ansvaret for gjennomføring
og oppfølging av direktivet for telekommunikasjon med Justisdepartementet
i meldingsåret. Det vises til at Datatilsynet skal behandle
spørsmål om bruk av personopplysninger, også innenfor
telesektoren. Justisdepartementet ønsker direktivet lagt
inn under Samferdselsdepartementets ansvarsområde.
Erfaringene fra virksomhetsåret bekrefter
tendenser fra foregående år mot mer omfattende,
internasjonalt arbeid på personvernområdet, bl.a.
innenfor Norden og i EU.