Datatilsynet ble opprettet med hjemmel i lov
om personregistre og har vært i virksomhet siden 1. januar 1980.
Stortinget behandlet våren 1999 forslag
til ny personopplysningslov som vil erstatte personregisterloven.
Forventet ikrafttreden er 1. januar 2001.
Departementet viser til at Datatilsynet bl.a.
tar opp kommersiell bruk av registre der borgerne er pliktige å stå registrert.
Departementet arbeider med opprettelse av et sentralt reservasjonsregister
mot adressert reklame. Registeret tenkes lokalisert til Brønnøysundregistrene,
og det planlegges å være operativt når personopplysningsloven
trer i kraft. Barne- og familiedepartementet mener det bør
innføres automatisk reservasjon mot kommersiell bruk av
registre som det er lovpålagt å være
registrert i for barn under 18 år. Justisdepartementet
mener imidlertid at personopplysningsloven ikke gir hjemmel for
en slik reservasjonsordning.
Datatilsynet omtaler videre i sin årsmelding
en sak som gjelder muligheten til retting av uriktige opplysninger
i Folkeregisteret. Finansdepartementet mente det burde være
en viss adgang til å få rettet feilregistreringer,
selv om feilen skyldes melderen selv, og Skattedirektoratet er bedt
om å endre reglene i tråd med dette.
Datatilsynet redegjør også i
sin årsmelding for kontroll av det såkalte Taterregisteret
ved Kripos. Datatilsynet har bedt Justisdepartementet vurdere behovet
for slike gamle manuelle registre, og alternative oppbevaringsmuligheter.
Justisdepartementet har bedt Kripos om å vurdere overføring
av Kripos’ gamle papirbaserte personregistre til Riksarkivet.
Riksarkivet har gitt uttrykk for at det aksepteres at det manuelle
strafferegisteret avleveres Riksarkivet om ca. ti år.
Justisdepartementet har merket seg Datatilsynets generelle
behov for økte bevilgninger for å kunne imøtekomme
nye utfordringer. Datatilsynet har fått styrket sin bevilgning
i 2000 i forbindelse med innføring av ny personopplysningslov
og Schengen-samarbeidet.
Regjeringen har våren 2000 besluttet
at ansvaret for administrasjonen av Datatilsynet flyttes til Arbeids-
og administrasjonsdepartementet 1. januar 2001. Lovansvaret for
personvern forblir i Justisdepartementet.
De fleste klagesakene styret behandlet i 1999
gjelder avslag på søknad om konsesjon for opprettelse
av personregister. Noen av klagesakene har reist spørsmål
av større rekkevidde eller av prinsipiell betydning. Blant disse
nevnes klager over konsesjonsvilkår for kunderegister i
forsikring og klage fra Telenor over avslag på søknad
om publisering av telefonkatalogens hvite sider på Internett.
Også virksomhetsåret 1999
ble i betydelig grad preget av arbeidet med ny personopplysningslov.
Det er Datatilsynets oppfatning at Regjeringen har funnet frem til
en rimelig avveining av de hensyn som skal vektlegges i loven.
I en sak ført for Asker og Bærum
herredsrett ble viktige prinsipper knyttet til innhenting, oppbevaring
og bruk av materiale egnet for genetisk forskning belyst. Saken
gjaldt spørsmålet om en genforsker som skiftet arbeidsplass
kan ta med seg sitt prosjektmateriale. Samtykket som var gitt fra
donor/informant ble tolket som en tillatelse for en bestemt
forsker og ett oppgitt formål, og ikke som en personuavhengig
generalfullmakt gitt til en institusjon.
Datatilsynet har gitt uttrykk for at Sentralkartoteket for åndssvake
bør makuleres. Innvendingene mot dette baserer seg ikke
på at registeret har betydning for helsemyndighetene, men
at det representerer interessant, historisk materiale. Noen avklaring
hadde ikke funnet sted ved meldingsårets utgang.
I 1999 hadde Datatilsynet 22 faste stillingshjemler. Tilsynet
påpeker et generelt behov for økte bevilgninger
for å kunne imøtekomme nye utfordringer.
Datatilsynet har i meldingsåret arbeidet
med omfattende tiltak for å få ned saksbehandlingstiden
på kurante saker. Omfattende saker har en saksbehandlingstid
på mellom seks til åtte uker, mens helt enkle saker
nå har en gjennomsnittlig behandlingstid på fire uker.
Datatilsynet bruker flest ressurser på behandling
av søknader om konsesjon. De siste årene har vært
preget av at sakene er færre, men mer komplekse. I 1999
ga Datatilsynet konsesjon til å opprette 1 899 registre,
og det ble utstedt 417 virksomhetskonsesjoner.
I 1999 ga Datatilsynet 107 høringsuttalelser.
Datatilsynet har gitt avslag i 37 saker i 1999.
I meldingsåret kom det inn 14 klager. Tre vedtak ble helt eller
delvis omgjort av styret. Justisdepartementet avgjorde i løpet
av meldingsåret fire klagesaker. I tre av sakene stadfestet
departementet Datatilsynets vedtak.
Den nye situasjonen på telemarkedet
har gjort det nødvendig å lage et nytt rammeverk
for konsesjonene. I arbeidet med nye konsesjonsvilkår legges
det vekt på å få en harmonisering i forhold
til EUs telekommunikasjonsdirektiv. Det nye regelverket skal være
uavhengig av teknologi og sikre at vilkårene blir like
for alle operatørene.
EU-direktivet legger til grunn at landene skal
gi mulighet til anonym og strengt privat adgang til offentlige teletjenester.
Datatilsynet er av den oppfatning at det i praksis finnes få muligheter
for slik anonymitet.
Abonnentene må selv kunne avgjøre
i hvor stor grad deres personopplysninger skal offentliggjøres
i en telefonkatalog. Abonnenten skal ha rett til kostnadsfritt å kreve å bli
utelatt fra en katalog, at opplysninger om vedkommende ikke skal
kunne brukes til direkte markedsføring, og at vedkommendes
adresse delvis utelates.
Nåværende regler setter en
slettefrist på 14 dager som hovedregel for teleselskapenes
opplysninger om privatpersoners fastlinje-telefoni. For bedriftskunder og
alle mobiltelefonkunder er lagringstiden seks måneder.
Datatilsynet vil harmonisere reglene for sletting slik at det blir
lik slettefrist for alle teletjenester.
En teleoperatør har lenge operert med
en tjeneste hvor man forhåndsbetaler ringetid og dermed
slipper å registrere seg som kunde. Operatøren
har følt seg presset av myndighetene til å gi
opp denne anonyme tjenesten, og Datatilsynet er bekymret for om
den siste muligheten for å kunne benytte seg av et anonymt alternativ,
utenom bruk av offentlige telefoner, skal forsvinne. I forbindelse
med teleoperatørenes kontantkort-tilbud vil Datatilsynet
se på hvilket behov teleoperatørene har for å lagre
kundeopplysninger.
Telenor søkte Datatilsynet om å gjøre
alle opplysningene i telefonkatalogens hvite sider tilgjengelige
på Internett. Datatilsynet åpnet for en slik utlevering
på vilkår av det ble innhentet samtykke fra den
enkelte abonnent. Vedtaket ble påklaget, men Justisdepartementet
opprettholdt Datatilsynets vedtak.
Datatilsynet har registrert en stor økning
i antallet henvendelser i forbindelse med direkte markedsføring ved
bruk av tekstmeldinger til mobiltelefon (SMS). Tre selskaper er
i 1999 gitt konsesjoner til å forestå slik forsendelse
for andre. Krav fra Datatilsynet om at opplysninger til slik bruk
bare kan registreres etter samtykke fra den enkelte, har medført
enkelte reaksjoner. Datatilsynet anser SMS-meldinger i markedsføringsøyemed å være
en så fjerntliggende følge for den enkelte at
en ikke kan sies å ha samtykket bare ved å avgi mobiltelefonnummeret.
I meldingen vises det videre til en tvist mellom
påtalemyndigheten og Telenor om hvorvidt påtalemyndigheten
kan få tilgang til opplysninger om Telenor Nextels internett-kunder
som var koblet til Internett på et bestemt tidspunkt, uten
først å få tillatelse fra Post- og teletilsynet
eller rettens kjennelse. Datatilsynets oppfatning er at påtalemyndigheten
bør innhente rettens kjennelse før tilgang gis.
Høyesterett, som behandlet saken i desember 1999, kom imidlertid
til at politiet kan få tilgang til brukeridentitet uten å innhente
tillatelse fra Post- og teletilsynet eller rettens kjennelse på forhånd.
I 1999 la tilsynet ned mange ressurser i å revidere konsesjonsvilkårene
for livsforsikringsselskapene. Datatilsynet har lagt stor vekt på selskapets
plikt til å informere kunden om ulike sider ved bruk av
personopplysninger, og at opplysninger bare skal samles inn etter
samtykke fra den registrerte. To store selskaper påklaget
deler av konsesjonen. Datatilsynets styre behandlet klagen i første
omgang, og selskapene fikk delvis medhold på flere punkter.
I meldingen omtales videre en sak der en forsikringskunde
i Storebrand skulle betale forsikringspremien via en bankgiro. Banken
returnerte giroen uten å honorere den, og la ved tilbud
om bankens egen forsikringsløsning. Storebrand klaget på denne
fremgangsmåten, og Datatilsynet ga Storebrand medhold.
Bankers kunderegistre kan brukes til markedsføring, men
da bare til slik type reklame som man sender til alle kunder.
Yrkesskadeforsikringsforeningen søkte
i 1999 Datatilsynet om tillatelse til å kople forsikringsselskapenes kunderegistre
med Enhetsregisteret. Foreningen ønsket å kontakte
uforsikrede arbeidsgivere for å få dem til å tegne
slik forsikring. Datatilsynet avslo søknaden, og Justisdepartementet
fastholdt avslaget ut fra hensynet til den registrerte.
Norske borgere står oppført
i en rekke registre de er lovpålagt å være
registrert i. Datatilsynet mener at opplysninger som er avlevert
til slik pliktig registrering ikke bør brukes til andre
formål enn det som er oppgitt.
Barnas Trafikklubb sender ut reklame til alle
treåringer i landet, der barnas navn og adresse hentes
fra Folkeregisteret. Datatilsynet mottok en klage på denne framgangsmåten,
og påpekte at det måtte innføres en reservasjonsadgang.
Man er nå kommet til enighet om hvordan en reservasjonsordning
kan innføres uten at det vil medføre store tekniske
utfordringer.
I henhold til folkeregisterloven plikter man å melde fra
til Folkeregisteret når man flytter. Skattedirektoratet
mente at en feil oppgitt flyttedato bare kunne endres dersom feilen
kunne lastes Folkeregisteret. Der den meldepliktige selv har oppgitt
feil dato, kunne rettelse av datoen ikke skje. Etter Datatilsynets
vurdering synes dette å være i strid med personregisterloven § 8, og
Datatilsynet varslet Skattedirektoratet om å vurdere å pålegge
retting av flyttedato i en konkret sak som var tatt opp med tilsynet.
Datatilsynet mottok i april 1999 et forslag
fra Sosial- og helsedepartementet om endring av lov om bioteknologi
som vil medføre at forskning faller utenfor lovens område.
Et slikt unntak innebærer også unntak fra kravet
om samtykke fra opphavspersonen til det genetiske materialet. Datatilsynet
støttet ikke dette forslaget. Etter Datatilsynets oppfatning
bør samtykke være hovedregelen ved enhver bruk
av individualiserte helseopplysninger.
Datatilsynet har utviklet en veiledning for
informasjonssikkerhet for kommuner og fylker i nært samarbeid
med Kommunenes Sentralforbund og seks kommuner og fylkeskommuner.
I mai 1999 sendte Kirke-, utdannings- og forskningsdepartementet
ut forslag om forskrift til universitets- og høgskoleloven
som ville innebære at de ulike lærestedene kunne
føre et register over skikketheten til den enkelte student.
Datatilsynet framhevet at utkastet brøt med grunnleggende
personvernprinsipper. Departementet tok hensyn til Datatilsynets
bemerkninger og utarbeidet en ny regel om et sentralt register.
På den måten begrenser man spredningen av personopplysninger.
Datatilsynet mottok i 1999 en henvendelse fra
en ansatt hos Vesta i Bergen om at det ble registrert detaljerte
opplysninger om de ansattes effektivitet. Måling av ansattes
effektivitet skal være saklig begrunnet ut fra hensynet
til administrasjon og virksomhet på det aktuelle arbeidssted.
Datatilsynet mente at arbeidsgivers behov for målinger
av ansatte i dette tilfellet ikke var så tungtveiende at
det var saklig begrunnet, og konkluderte med at registreringen var
ulovlig.
Syv av Datatilsynets kontroller i 1999 har hatt
informasjonssikkerhet som hovedtema. Det er arbeidet med å legge
grunnlag for en kontrollhåndbok, og det er lagt vekt på å forsette
arbeidet med å gjennomføre kontroller distriktsvis.
Datatilsynet har bl.a. gjennomført
en kontroll av "Tater-registeret" på Kriminalpolitisentralen
(Kripos). Dette dreier seg om gamle registreringer av straffereaksjoner
og andre beslutninger politiet har gjennomført overfor
enkeltpersoner. Datatilsynet forsto det slik at Kripos har flere
eldre, manuelle registre, og at det ikke finnes retningslinjer på dette
området. Tilsynet har derfor bedt Justisdepartementet om å utarbeide generelle
regler for behandling av de manuelle registrene i politiet, vurdere
behovet for registrene og se på alternative oppbevaringsmuligheter,
som for eksempel deponering i Riksarkivet.
Oppland fylkesarkiv har arkivert diverse notater
og saksdokumenter vedrørende o.l. 1994 på Lillehammer. Materialet
inneholder i noen grad opplysninger om enkelte av IOC-medlemmenes
helseforhold og religiøse oppfatning. Datatilsynet gikk
i 1999 gjennom materialet og kom fram til at registeret er konsesjonspliktig.
Konsesjon ble senere gitt.
Datatilsynet utførte i 1999 flere kontroller
i Bergensområdet. Bevisshetsnivået var relativt
lavt når det gjaldt gjeldende regelverk, men registreringene
holdt seg stort sett innenfor de gitte rammer likevel. Datatilsynet
gjennomførte også kontroller i Vestfold.
Datatilsynet vedtok nye krav til informasjonssikkerhet
i 1998. I 1999 har sikkerhetsseksjonen videreført arbeidet
med å utdype retningslinjene. Veiledningen for bruk av
elektronisk datautveksling, EDI, i helsesektoren er ferdigstilt,
og arbeidet med Veiledning i informasjonssikkerhet i justissektoren
pågikk i hele 1999. To nye prosjekter ble startet opp:
informasjonssikkerhet i små virksomheter, og informasjonssikkerhet
relatert til bruk av virtuelle private nett; VPN.
Datatilsynet vektlegger kravet om en distribuert
sikkerhetsmodell. Dette betyr at større virksomheter må "deles
inn" i mindre driftsenheter som hver pålegges et selvstendig
sikkerhetsansvar.
Ny personopplysningslov stiller konkrete krav
til sikring av personopplysninger. Hovedkravet er at arbeidet med
informasjonssikkerhet skal organiseres gjennom internkontroll og
kvalitetssikring. Mye av dagens regelverk kan benyttes videre og
inngå i den nye sikkerhetsforskriften.
Datatilsynets prioriterte informasjonskanaler
er mediekontakt, webtjenesten, tidsskriftet SPOR, pressemøter,
seminarer og foredrag.
Det legges stor vekt på å ha
en informativ og brukervennlig webtjeneste, og det er planlagt at
webtjenesten skal ha en sentral funksjon i det viktige informasjonsarbeidet
knyttet til innføring av ny lov om behandling av personopplysninger.
Lov om behandling av personopplysninger vil
medføre store endringer i Datatilsynets oppgaver og vil kreve
en stor innsats når det gjelder å informere befolkningen
om hvilke rettigheter og plikter loven medfører. Datatilsynet
har kontakt med Statens informasjonstjeneste og Justisdepartementet
når det gjelder informasjon om den nye loven. Slik informasjon
vil kreve ekstra ressurser, også økonomisk sett.
Lovforslaget legger opp til at konsesjonsinstituttet skal
reduseres betraktelig og erstattes av en meldeordning. Datatilsynet
vil arbeide med å planlegge og bygge opp meldesystemet
i 2000.
Datatilsynet er representert i en rekke råd
og utvalg, f.eks. "Brukergruppen for elektronisk saksbehandling" som
ble nedsatt av Statskonsult høsten 1998, Prosjektarbeid
for N-SIS (Schengen informasjonssystem), Rådet for persondataarkivering
og Lege- og forsikringsutvalget. Datatilsynet deltar dessuten
i større grad i internasjonalt arbeid på personvernområdet,
bl.a. i nordisk regi og i tilknytning til EU.
Komiteen, medlemmene fra Arbeiderpartiet, Astrid Marie Nistad, Morten Olsen, Jan Petter Rasmussen og Åge Tovan, fra Fremskrittspartiet, Jan Simonsen og Jørn L. Stang, fra Kristelig Folkeparti, Finn Kristian Marthinsen og Åse Wisløff Nilssen, fra Høyre, lederen Kristin Krohn Devold og Bjørn Hernæs, og fra Senterpartiet, Tor Nymo, viser til at ny lov om personopplysninger ble vedtatt våren 2000, og at den sannsynligvis vil tre i kraft 1. januar 2001. Komiteen er tilfreds med at Justisdepartementet arbeider nært sammen med Datatilsynet om forskriftene til loven. Komiteen ser positivt på at et sentralt reservasjonsregister mot adressert reklame skal være operativt når lov om personopplysninger trer i kraft.
Komiteen slutter seg til departementets betraktninger om at personvern er et område i utvikling og under stadig press. Den teknologiske utviklingen byr på store utfordringer. Utviklingen kan få konsekvenser for Datatilsynets arbeidsbyrde, og komiteen har merket seg at departementet vil foreta løpende vurderinger av Datatilsynets ressursbehov.
Komiteen har merket seg at det administrative ansvaret for Datatilsynet skal overføres til Arbeids- og administrasjonsdepartementet fra den 1. januar 2001.
Komiteen er tilfreds med at både vedtaksprotokollen og referatprotokollen fra Datatilsynets styre offentliggjøres.
Komiteen viser til Datatilsynets omtale av Sentralkartoteket for åndssvake. Komiteen er kjent med at Justisdepartementet har omgjort Datatilsynets vedtak, slik at registeret kan opprettholdes på bestemte vilkår.
Komiteen har merket seg at Datatilsynets saksbehandlingstid er blitt redusert som følge av et hurtigsvarsprosjekt, og synes dette er positivt. Komiteen synes også Datatilsynet har foretatt en fornuftig prioritering av de ulike delene av saksbehandlingen.
Komiteen har merket seg at Datatilsynet har avgitt 107 høringsuttalelser. Dette utgjør etter komiteens mening en svært viktig del av tilsynets arbeid, fordi det bidrar til at samfunnsplanleggere og beslutningstakere har tilstrekkelig informasjon om personvern og sikring av personopplysninger.
Komiteen er tilfreds med at det lages et nytt regelverk for telesektoren, og at dette regelverket skal være uavhengig av teknologi og sikre at vilkårene blir like for alle operatørene.
Komiteen har merket seg følgende sentrale personvernhensyn som Datatilsynet har lagt til grunn ved behandling av forskjellige spørsmål som omtales i årsmeldingen:
-
– Personopplysninger skal ikke lagres dersom det ikke er saklig begrunnet i den virksomhet man driver.
-
– Den enkelte skal i størst mulig grad selv ha kontroll med bruk av egne personopplysninger.
-
– Retten til å bestemme over bruk av opplysninger om en selv.
-
– Krav om konkrete samtykkeerklæringer og informasjonsplikt overfor den registrerte gir den enkelte bedre mulighet til å ivareta sitt eget personvern.
-
– Opplysninger i bankvirksomhet skal ikke benyttes til annet formål enn det kunden er innforstått med.
-
– Opplysninger samlet til et formål bør ikke koples med registre for andre formål, spesielt ikke når koplingen har kontrollformål for øyet og dette ikke ble tatt stilling til ved opprettelsen av registeret. Den enkelte vil i motsatt fall miste kontroll over bruk av egne opplysninger.
-
– Retten til å reservere seg mot reklame og annen informasjon gjelder også offentlige registre. Dette styrker mulighetene for den enkelte til selv å holde oversikt over hva egne, personlige opplysninger blir brukt til.
-
– Opplysninger skal på registereierens eget initiativ rettes, slettes eller suppleres dersom mangler får betydning for den registrerte. Slik kan det unngås at vedtak eller beslutninger fattes med utgangspunkt i uriktige, ufullstendige eller ulovlige opplysninger.
Komiteen understreker viktigheten av at Datatilsynet foretar kontrollbesøk til dem som behandler personopplysninger. Slike kontroller har effekt på flere områder ut over det opplagte formål å kontrollere at regelverket blir fulgt. Besøket skaper dialog med kontrollobjektet, det øker bevissthetsnivået om behandling av personinformasjon og bidrar til informasjon om Datatilsynets vilkår og de resultater kontrollbesøket førte til.
Komiteen har merket seg at Datatilsynets web-tjeneste har et gjennomsnitt på 28 000 oppslag pr. uke i 1999, noe komiteen mener må bety at denne tjenesten imøtekommer et utbredt behov. Komiteen har også merket seg at sikkerhetsdokumentasjon er blant den mest etterspurte informasjon Datatilsynet har gjort tilgjengelig på web.
For øvrig har komiteen merket seg de forskjellige råd og utvalg Datatilsynet er representert i eller samarbeider med. Fra den internasjonale aktiviteten har komiteen spesielt merket seg at Datatilsynet har lagt vekt på å følge innføringen av personopplysningsloven i Sverige, og at tilsynet også med stor interesse har fulgt debatten omkring lovforslaget i Danmark. Det er utvilsomt riktig at erfaringene fra andre nordiske land vil kunne være meget nyttig for Norge når ny lovgivning skal innføres her.
Komiteen har merket seg Datatilsynets holdning til at forskning ikke burde falle utenfor bioteknologilovens område.
Komiteen viser til at sosialkomiteen har sak om endring i lov om medisinsk bruk av bioteknologi til behandling i komiteen. Den videre vurderingen av disse spørsmålene bør derfor skje i forbindelse med den behandlingen.
Komiteen viser til meldingen og rår Stortinget til å gjøre slikt
vedtak:
St. meld. nr. 41 (1999-2000) - om Datatilsynets årsmelding 1999 - vedlegges protokollen.
Oslo, i justiskomiteen, den 2. november 2000
Kristin Krohn Devold
leder |
Finn Kristian Marthinsen
ordfører |
Jan Simonsen
sekretær |