Personopplysningsloven trådte i kraft
1. januar 2001. Erfaringene fra det første virkeåret
har i overveiende grad vært positive. Det nye regelverket
innebærer blant annet at enkeltpersoner overtar større
ansvar for egne personopplysninger, og at brukere av slike opplysninger
har fått et større ansvar i forbindelse med anvendelsen
og vurderingen av om opplysningene er nødvendige.
Det nye regelverket innebærer en omlegging
av personvernarbeidet i Norge. Datatilsynet er nå et faglig uavhengig
organ, administrativt underlagt Arbeids- og administrasjonsdepartementet.
En egen klagenemnd - Personvernnemnda - skal behandle klager over
Datatilsynets avgjørelser.
Arbeids- og administrasjonsdepartementet vil
foreta en generell vurdering av departementstilknytningen og oppgaveavgrensing
for alle statlige tilsyn. Formålet med gjennomgangen er å styrke
tilsyns- og kontrollfunksjonen, gi tilsynsmyndighetene økt
uavhengighet, sørge for høy faglig kompetanse
i tilsynsarbeidet og finne en hensiktsmessig geografisk plassering
for det enkelte tilsyn. Resultatet vil bli presentert for Stortinget
som egen sak i løpet av inneværende år.
Samfunnsutviklingen har ført til at
det genereres stadig flere opplysninger om enkeltpersoner. Det er
viktig at personvernregelverket ikke blir en hindring for å få til
gode og balanserte løsninger på alle de ulike
samfunnsområdene Datatilsynet opererer innenfor. Datatilsynet
vil gjennom sin anvendelse av regelverket være en viktig
premissleverandør i forhold til utviklingen.
Datatilsynet har en stor og viktig opplysningsoppgave.
Departementet mener det er et mål å øke
bevisstheten om personvern i samfunnet. Departementet mener videre
at Datatilsynet har gjort en bra jobb med å være
en synlig og troverdig part i offentlige debatter.
Et område som stadig flere er bevisst
på, er behandling av personopplysninger i arbeidslivet.
Arbeidslivslovutvalget som ble nedsatt 31. august 2001 skal vurdere
endringer i arbeidsmiljøloven. Utvalget skal levere sin
innstilling 1. desember 2003.
Når det gjelder helsesektoren, støtter
Helsedepartementet Datatilsynets prinsipielle syn om at opprettelse av
helseregistre med genetisk informasjon om store deler av den norske
befolkningen, bør underlegges offentlig styring og kontroll.
Helsedepartementet viser for øvrig til Ot.prp. nr. 56 (2001-2002)
Om lov om biobanker.
Personopplysningsloven med forskrifter implementerer
EU-direktiv 95/46 EF "Om beskyttelse av fysiske personer
i forbindelse med behandling av personopplysninger og om fri utveksling
av slike opplysninger", og oppfølging av EØS-forpliktelsene
står derfor sentralt. EU-landene vedtok 7. desember 2000
et charter om grunnleggende rettigheter - også kalt EUs
menneskerettighetserklæring. I charteret slås
det blant annet fast at enhver har rett til beskyttelse av personopplysninger
som angår en selv.
Departementet har også merket seg Datatilsynets omtale
av personvernombud, og mener at dette er et spennende satsingsområde
med stort potensial for å fremme personvernet.
Nærings- og handelsdepartementet er
enig i at bransjer bør gå sammen om felles vurderinger
av risikovurderinger i tilknytning til informasjonssikkerhet. Departementet
mener imidlertid at Datatilsynet ikke synes å legge vekt
på nødvendige avveininger mellom
de ulike aspekter ved informasjonssikkerhet - tilgjengelighet, integritet
og konfidensialitet. Disse kan ofte stå i motstrid til
hverandre.
I kjølvannet av 11. september 2001
mener departementet at det er viktig at debatten rundt forebyggelse og
oppklaring av terror holdes på et balansert nivå. Regjeringen
utreder ulike tiltak for å forhindre terrorangrep. Personvern
vil stå sentralt i disse utredningene.
Personvernnemndas hovedoppgave er å avgjøre
klager over Datatilsynets avgjørelser. Arbeids- og administrasjonsdepartementet
har tro på at Personvernnemnda gjennom sin klagesaksbehandling
og aktiv publisering av vedtak vil kunne bidra til en økt
bevisstgjøring av personvernspørsmål
i Norge.
Overgangsperioden til ny lov er ikke over før
31. desember 2002. Det er derfor fortsatt ikke fullt ut mulig å trekke
konsekvenser om virkningene av den nye loven, herunder økonomiske
konsekvenser for Datatilsynet og Personvernnemnda. Tiden som har
gått har imidlertid vist at forutsetningene som ble lagt
til grunn om behovet for en permanent ressursøkning har slått
til i stor grad.
Det er fortsatt tidlig å si noe om
hvor omfattende arbeidsoppgaver Personvernnemnda vil få.
For 2002 er budsjettet til Personvernnemnda trukket ut av Datatilsynets
budsjett for å understreke uavhengigheten mellom disse
organene.
Virksomhetsåret 2001 ble for Datatilsynet
preget av gjennomføringen av ny lov med tilhørende
forskrifter. Personvernarbeidet i Norge er etter ikrafttreden av
personopplysningsloven ikke dramatisk forskjellig fra det som ble
drevet under den "gamle" personregisterloven fra 1978. Mer og tydeligere
enn tidligere lovgivning, erkjenner den nye loven den plass og rolle
frivillig tilslutning til ordninger, avtaler og løsninger
bør spille som supplement til lovreglene. Tidligere lov
hadde et større preg av ufravikelighet.
Personvern i statlig regi i det 21. århundre
er i sin kjernesubstans: Informasjon. Meldingsregistrering, konsesjonsbehandling
og kontrollaktiviteter er i hovedsak agenter for informasjon.
Det omfattende samkvemmet på de fleste
områder mellom EU og EØS-landene og USA, har aktualisert behovet
for å kunne utveksle persondata til USA. I dag er situasjonen
imidlertid den at landet verken har lovgivning eller tilsynsmyndigheter
på føderalt nivå som tilfredsstiller
de krav EU’s medlemsland har vedtatt å stille
til seg selv.
Siste del av virksomhetsåret ble, fra
et personvernsynspunkt, rimeligvis preget av de dramatiske begivenhetene
på den amerikanske østkysten den 11. september.
Krav om tiltak som etter sin art eller omfang vil komme til å berøre
personverninteressene er blitt fremmet med vekslende styrke, realisme
og evne og vilje til å veie ulike, legitime interesser,
mot hverandre. Blir overvåkning akseptert som den normale
hovedregel som ikke skal kvalifiseres av overvåkeren, vil
vi snart ha et annet samfunnsfelleskap enn det de fleste antagelig ønsker å ha.
Det er ventet at spørsmålet
om et autorisert identitetskort igjen vil bli reist også i
Norge i overskuelig fremtid. Datatilsynet betrakter dette som en
komplisert utfordring av tradisjonelle verdier. Men liksom innføringen
av fødselsnummeret i sin tid, må fordeler og ulemper
veies mot hverandre før konklusjon trekkes.
I 2001 har Datatilsynet saksbehandlet etter
både personregisterloven og personopplysningsloven. Datatilsynet
har valgt å automatisere mottak av meldinger for å rasjonalisere
meldeplikten etter den nye loven. Datatilsynet har derfor brukt
store ressurser på å etablere et elektronisk meldesystem
og en veileder som tilfredsstiller kravene i personopplysningsloven.
I 2000 ble det gitt konsesjon til å opprette
2150 registre, tilsvarende tall for 1999 var 1899 konsesjoner. Reduksjonen
i antall konsesjoner er i overensstemmelse med intensjonene bak
personopplysningsloven. Ressursene brukes nå i større
grad til tilsyn, informasjon og veiledning. Datatilsynet ga i 2001
avslag i 10 saker, og delvis avslag i 15 saker. En klagesak er oversendt
til Personvernnemnda for klagebehandling og avgjørelse
der. Det er opprettet et eget presedensregister.
I 2001 avga Datatilsynet 89 høringsuttalelser.
Datatilsynet har tatt initiativet til enkelte
endringer i forskriften til personopplysningsloven. Det foreslås
for eksempel at man får en egen forskrift om kredittopplysningsvirksomhet,
og at det generelle unntaket for Datatilsynets
og Personvernnemndas kontrollmyndighet i saker om rikets sikkerhet
og lignende bør revurderes.
Personopplysningsloven åpner for at
bransjene selv i større grad enn før kan ta hånd
om personvernproblematikken og føre selvjustis med dette
arbeidet.
Tilsynet har i 2001 arbeidet spesielt med spørsmålet om
innføring av personvernombud i to institusjoner som håndterer
store mengder med personinformasjon: Norsk Samfunnsvitenskapelig
Datatjeneste og Statistisk sentralbyrå. Det skal lages
klare retningslinjer for ombudsfunksjonen og tilsynet ønsker
at også flere henger seg på denne ordningen.
Datatilsynet har også i 2001 deltatt
i flere offentlig oppnevnte utvalg, og deltar også i stor
utstrekning i internasjonalt arbeid.
Det er lagt vekt på å nå fram
til behandlere, spesielt i dette året hvor personopplysningsloven
har vært ny.
Datatilsynets veiledninger i informasjonssikkerhet har
vært blant den informasjonen som har vært hyppigst
brukt i meldingsåret.
Nytt av året er at Arbeids- og administrasjonsdepartementet
har pålagt Datatilsynet å tjene inn én
million kroner på egen seminarvirksomhet. Årets
inntjeningskrav er innfridd.
I 2001 gjennomførte Norsk Statistikk
to undersøkelser om personvern på vegne av Datatilsynet.
Undersøkelsene slo fast at personopplysningsloven i 2001
ikke er godt kjent blant folk flest. Samtidig er de fleste opptatte
av personvern og retten til å ha et vern. Mange frykter
at personopplysninger skal misbrukes. Datatilsynet vil fortsette
med slike målinger av befolkningens forhold til personvern.
Den nye personopplysningsloven legger vekt på at Datatilsynet
skal flytte fokus fra forhåndsgodkjennelse i form av konsesjonsbehandling,
til operativt tilsyn - etterkontroll. Datatilsynet har derfor opprettet
en egen tilsyns- og sikkerhetsavdeling.
Datatilsynet har løpet av hele 2001
gjennomført 53 kontrollbesøk. Blant annet viser
det seg at til tross for at mange av behandlerne som er kontrollert
ikke har god nok kunnskap om personopplysningsloven, følger virksomhetene
likevel lovens regler. Rundt 25 pst. av virksomhetene hadde lite
eller ingen kjennskap til den nye loven.
I strategiarbeidet for operativt tilsyn har
Datatilsynet foretatt en vurdering av risiko knyttet til personvern innen
ulike bransjer.
Helseregisterloven trådte i kraft 1.
januar 2002. Loven har allerede skapt betydelige tolkningsproblemer
for Datatilsynet. Det har vist seg at Sosial- og helsedepartementet
og Datatilsynet har svært ulik oppfatning av hvordan sentrale
bestemmelser i helseregisterloven skal forstås, herunder
hvilke helseregistre som kan opprettes etter konsesjon fra Datatilsynet
og hvilke som må ha hjemmel i lov eller forskrift. Lovavdelingen
i Justisdepartementet har blitt bedt om å komme med sin
forståelse av bestemmelsene. På bakgrunn av den
uenigheten som har oppstått, vil den videre saksbehandling
av en søknad fra selskapet GeNova AS om konsesjon til forskningsprosjektet "Påvisning
av sykdomsdisponerende gener i en homogen norsk befolkning", måtte
vente til ovennevnte er avklart.
Biobankutvalgets forslag til biobanklov er blitt
lagt ut på høring. Datatilsynet mente lovforslaget
var så mangelfullt at det burde utarbeides et nytt. Utvalget
ble nedsatt uten medlemmer fra Datatilsynet og den Nasjonale forskningsetiske
komité for medisin. Lovforslaget stred etter Datatilsynets
mening mot hovedpunkter i både personopplysningsloven og
helseregisterloven.
Breisteinutvalget vurderte bruk av helseopplysninger
i arbeidslivet. Datatilsynet ønsker klare regler som begrenser
hvilke opplysninger arbeidsgiveren lovlig kan be om. Utvalget konkluderte
med at arbeidsgivere i dag ikke kan kreve opplysninger om arbeidstakeres/-søkeres
helse uten særskilt hjemmelsgrunnlag. Datatilsynet tror
dette er lite kjent for mange arbeidsgivere.
Rikstrygdeverket har konsesjon til å føre
et register over fastleger og deres faste pasienter. Etter at fastlegeordningen
trådte i kraft 1. juni i meldingsåret, har Datatilsynet
mottatt flere henvendelser fra leger og sykehus som ønsker
tilgang til registeret. Datatilsynet mener at helsepersonelloven
og journalforskriften hjemler utlevering av opplysninger fra fastlegeregisteret.
Dette vil likevel ikke løse problemet for legevakt eller
sykehus som ønsker å få oversendt opplysninger
fra fastlegen i forbindelse med sykdom der pasienten av en eller annen
grunn ikke kan oppgi navn på legen. Rikstrygdeverket må søke
dersom Datatilsynet skal endre konsesjonen på dette punkt.
Da den nye personopplysningsloven kom i januar 2001,
ble praktisk talt alle som er ansvarlige for behandling av personopplysninger
konfrontert med et krav om å foreta en risikovurdering
i forhold til mulige brudd på konfidensialitet, integritet
og tilgjengelighet.
Det ville være gunstig om virksomheter
med fellestrekk (bransjeforeninger etc.) kunne gjøre et
arbeid sammen i denne forbindelse. Datatilsynet kan bidra med råd
og veiledning. Personopplysningsloven legger i større grad
enn personregisterloven vekt på at virksomhetene selv skal
utvise et tilfredsstillende sikkerhetsnivå.
I 2001 har Datatilsynet hatt flere spørsmål
og saker knyttet til personvernet på Internett til vurdering.
Datatilsynet har sett på markedsføring på Internett,
såkalte cookies, offentliggjøring av nyhetsgrupper,
skattelister på Internett, publisering av bilder og navn
på barn på nett og helsetjenester på Internett.
Personvernnemnda skal behandle klager på vedtak som
Datatilsynet fatter etter personopplysningsloven. Personvernnemnda
er et uavhengig forvaltningsorgan administrativt underlagt Arbeids-
og administrasjonsdepartementet. Selv om departementet utarbeider instruks,
innebærer dette ikke noen form for instruksjonsmyndighet
i enkeltsaker. Departementet kan ikke gi generelle instrukser om
lovtolkning eller skjønnsutøvelse.
Personvernnemnda skal årlig orientere
Kongen om behandling av klagesakene.
Personvernnemnda har syv medlemmer som oppnevnes
for fire år med adgang til oppnevning for ytterligere fire år.
Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens
de øvrige medlemmer utnevnes av Kongen.
Det vil våren 2002 bli etablert egen
hjemmeside for Personvernnemnda. Nemnda har i 2001 hatt i alt fire møter.
De første møtene ble nyttet til å diskutere arbeidsform
og saksbehandling, samt vurdere budsjett for 2001 og budsjettforslag
for 2002.
Nemnda behandlet i 2001 sin første
klagesak som gjaldt klage på unnlatelse av å gi
pålegg om sletting av personopplysninger i adgangskontrollsystem.
Klagen ble ikke tatt til følge. Arbeidsgiver og tidligere
arbeidstaker var uenige om tolkningen av en avtale mellom partene.
Tolkningen av avtalen ville være avgjørende for
hvorvidt pålegg om sletting skulle gis eller ikke. En strid
om tolkning av avtalen må normalt finne sin endelige løsning
for en domstol, og nemnda kom etter dette til at tolkningen var
uegnet for en prejudisiell avgjørelse av Personvernnemnda.
Komiteen, medlemmene fra Arbeiderpartiet,
Gunn Karin Gjul, Anne Helen Rui og Knut Storberget, fra Høyre,
lederen Trond Helleland, Carsten Dybevig og Linda Cathrine Hofstad,
fra Fremskrittspartiet, Jan Arild Ellingsen og André Kvakkestad,
fra Kristelig Folkeparti, Einar Holstad og Finn Kristian Marthinsen
og fra Sosialistisk Venstreparti, Inga Marte Thorkildsen,
vil innledningsvis vise til at St. meld. nr. 30 (2001 – 2002)
denne gang inneholder både Datatilsynet og Personvernnemndas årsmeldinger
for 2001.
Komiteen finner det naturlig
at Arbeids- og administrasjonsdepartementet (AAD) denne gang legger frem
en melding for å få et samlet bilde av personvernarbeidet.
Komiteen viser til at man nå har
endret regelverket slik at Datatilsynet, jf. personopplysningsloven § 42,
er et uavhengig faglig organ. Datatilsynet er administrativt underlagt
Arbeids- og administrasjonsdepartementet. Justisdepartementet har
ansvar for personopplysningsloven, mens AAD har ansvar for personopplysningsforskriften.
Denne endringen har ført til at Datatilsynet har en mer
uavhengig rolle, blant annet ved at departementet ikke lenger er
klageinstans.
Komiteen viser til at opprettelsen
av en egen klagenemnd - Personvernnemnda, som skal behandle klager
over Datatilsynets avgjørelser, hadde bred politisk oppslutning.
Komiteen finner det fornuftig
av AAD å foreta en vurdering av alle statlige tilsyn og
deres tilknytning til departementene og oppgaveavgrensing. Komiteen slutter
seg til departementets mål om å styrke tilsyns- og
kontrollfunksjoner, samt å øke uavhengighet og kompetanse
hos tilsynsmyndigheten.
Komiteen er klar over at personvernets
grenser er under stadig press og at det derfor er viktig å avklare hvor
grensen for personvern skal gå. Komiteen viser i
den anledning til Arbeidslivslovutvalget som skal gjennomgå og
vurdere endringer i arbeidsmiljøloven med et spesielt fokus
på arbeidsgivers behandling av personopplysninger om arbeidssøkere
og arbeidstakere. Komiteen finner det videre naturlig
at personopplysningsloven gjennomgås og vurderes slik at arbeidslivets
særlige behov sikres, og at det om nødvendig kan
lages særregler for arbeidslovgivningen.
Komiteen har merket seg Nærings-
og handelsdepartementets innspill vedrørende forholdet
mellom informasjonssikkerhet og nødvendige avveininger
i tilfeller hvor rask informasjon kan være viktigere enn konfidensialitet. Komiteen ser
behovet for at f.eks. helsemessig informasjon ikke holdes tilbake
under henvisning til personvern dersom det vil kunne føre
til alvorlige helseskader. Komiteen mener at hensynet til
liv og helse i utgangspunktet bør gå foran personvernhensyn.
Komiteen registrerer også at
forholdet til personvernet er ytterligere aktualisert etter 11.
september 2001, og at personvernhensyn vil inngå i vurderingen av
de tiltak Regjeringen vil fremme for å forhindre terrorangrep.
Komiteen har merket seg at Datatilsynet
avgir en rekke høringsuttalelser, bl.a. i saker som nylig
har vært under arbeid i justiskomiteen. Blant annet gjelder
det forhold vedrørende visitasjon etter våpen,
planlagte visitasjoner og delegasjon av kompetanse til å beslutte visitasjon.
Komiteen registerer for øvrig
at Personvernnemnda i 2001 kun behandlet en klage, og at øvrig
tid er brukt for å komme frem til gode saksbehandlings- og
arbeidsrutiner.
Komiteen viser til
meldingen og rår Stortinget til å gjøre
slikt
vedtak:
St.meld. nr. 30 (2001-2002) om Datatilsynets
og Personvernnemndas årsmeldinger for 2001 - vedlegges protokollen.
Oslo, i justiskomiteen, den 11. juni 2002
Trond Helleland
leder |
Jan Arild Ellingsen
sekretær og ordfører |