Situasjoner der personvern sto sentralt i 2002,
var blant annet ved forslag til nye måter å etterforske
straffbare forhold, bruk av helseopplysninger til forskning, ved økt
overvåking i arbeidslivet og generelt ved forslag til en
mer effektiv offentlig forvaltning. Fra enkelte hold er det hevdet
at personvern fungerer som en bremsekloss i forhold til nye, gode
og rasjonelle ideer. Det er imidlertid viktig at personvernspørsmål
tidlig kommer med i vurderingen av nye tiltak slik at det blir en reell
vurdering av dette hensynet. Personvernaspektet må være
en naturlig og integrert del i utviklingen av forvaltningen - det
vil da bli enklere å gjennomføre forslag på en
måte som harmonerer med god personverntankegang. Målet
er at det skal være like naturlig å tenke personvern
som kostnader når saker utredes.
Det fremgår videre av meldingen at
uansett hvor godt utredet personvernspørsmål er
i forbindelse med nye tiltak, vil det være behov for en
sentral instans som overvåker og informerer om personvern
- på bakgrunn av bl.a. samfunnsutviklingen generelt, den
teknologiske utviklingen spesielt, internasjonale trender og vedtatte
lover. Datatilsynet er dermed ikke bare en forvalter av eksisterende
regelverk, men en premissgiver i forhold til utviklingen av det.
Datatilsynets hovedoppgave er å beskytte
den enkelte mot at personvernet blir krenket gjennom behandling
av personopplysninger. Fra 1. januar 2002 har Datatilsynet i tillegg
til å være tilsynsmyndighet i forhold til personopplysningsloven
også vært tilsynsmyndighet i forhold til helseregisterloven
- sammen med Statens helsetilsyn og Fylkeslegen.
Datatilsynet bruker mange virkemidler for å ivareta et
bedre personvern. Etter Arbeids- og administrasjonsdepartementets
syn har Datatilsynet funnet fram til en rasjonell og effektiv arbeidsmetode.
Når det gjelde den operative virksomheten var det i 2002
særlig fokusert på helsesektoren, ideelle/frivillige
organisasjoner, bank/finans/forsikring og kameraovervåking.
Resultatene tyder på at mange virksomheter
ikke er bevisst sitt lovpålagte ansvar i forhold til blant
annet utarbeiding av sikkerhetsmål og -strategi for sikring
av personopplysninger. Arbeids- og administrasjonsdepartementet
understreker betydningen av at alle virksomheter - både
i offentlig og privat sektor - setter seg inn i egne plikter etter
personopplysningsloven og helseregisterloven.
Departementet understreker at personhensyn blir vektlagt
allerede tidlig i prosessen vedrørende nytt regelverk.
En understreker også betydningen av at alle som arbeider
med utredninger som har en personvernside gjør Datatilsynet
til direkte høringsinstans.
Bekjempelse av trygdemisbruk, spesielt organisert misbruk,
er vesentlig for å bevare disse velferdsordningenes legitimitet.
Opplysninger fra Økokrim eller andre deler av politiet
vil kunne være innledningen til en avsløring av
misbruk av et betydelig omfang, samtidig som personvernhensyn taler
for at slike opplysninger ikke gis videre til trygdeetaten. Det
er nødvendig å veie disse viktige samfunnshensynene
mot hverandre.
Personvernnemnda skal avgjøre klager
over Datatilsynets avgjørelser, og enkeltsaker blir på den
måten unntatt fra departementets instruksjonsmyndighet.
I 2002 behandlet nemnda åtte klager.
Selv om personopplysningsloven trådte
i kraft 1. januar 2001 og helseregisterloven trådte i kraft
1. januar 2002, har ikke arbeidsmengden stabilisert seg - verken for
Datatilsynet eller for Personvernnemnda. Dette skyldes i hovedsak
overgangsordningene i lovene. Både Datatilsynet og Personvernnemnda
melder om stor aktivitet.
Datatilsynet har siden opprettelsen i 1980 hatt
til oppgave å beskytte den enkelte mot at personverninteressene
krenkes gjennom behandling av personopplysninger. Det juridiske
grunnlaget for Datatilsynets virksomhet er regulert i
lov om behandling av personopplysninger av 14. april 2000 (personopplysningsloven)
og lov om helseregistre og behandling av helseopplysninger (helseregisterloven)
av 18. mai 2001.
Datatilsynet er et uavhengig forvaltningsorgan, administrativt
underordnet Kongen og Arbeids- og administrasjonsdepartementet.
Som klageinstans i forhold til Datatilsynets vedtak er det opprettet
en Personvernnemnd.
Det ble i 2002 særlig fokusert på fire
områder: helsesektoren, ideelle og frivillige organisasjoner, herunder
markedsføring, bank, finans og forsikring og kameraovervåking.
Disse fokusområdene er valgt ut etter
en vurdering av personverntruslene, blant annet mengde og type personopplysninger
som behandles i sektoren. Også henvendelser fra publikum
og aktører innen bransjen, og saker som har vært
tatt opp via mediene, har påvirket prioriteringene.
Også 2002 har vært preget
av en stor saksmengde. I løpet av året er det
gitt 309 konsesjoner etter personopplysningsloven og 128 etter helseregisterloven.
Til sammenlikning ble det i 2001 gitt 163 konsesjoner etter personopplysningsloven.
Siden 2001 har Datatilsynet arbeidet med å legge
til rette for en frivillig ordning med opprettelse av personvernombud.
2002 var imidlertid året da ordningen fikk sin første
konkrete oppstart. Seks virksomheter har opprettet personvernombud.
Datatilsynet har i 2002 avgitt 67 høringsuttalelser, mot
89 året før. I urovekkende mange av høringssakene opplever
Datatilsynet at personvernet i liten eller ingen grad er drøftet
og vurdert opp mot de andre gode formål som forslaget er
ment å fremme. Dette fører til at vurderinger
mht. personvern kommer for sent inn i prosessen. Dette innebærer
igjen en uforholdsmessig stor ressursbruk, både for utredningsansvarlig
og Datatilsynet.
I flere offentlige utredninger og lovforslag
er Datatilsynet ikke ført opp som selvstendig høringsinstans. Dette
kan være i direkte strid med artikkel 28 i personverndirektivet.
Høringssakene har vært særlig
omfattende og komplekse innen helsesektoren. Noen av de mest sentrale høringssakene
kommenteres nærmere i temadelen.
Datatilsynet har i 2002 deltatt i flere offentlige
råd og utvalg og deltar også i stor utstrekning
i internasjonalt arbeid.
Datatilsynets informasjonsvirksomhet fokuserer særlig
mot to målgrupper: Behandlere av personopplysninger og
publikum. For å nå fram til disse to målgruppene
på en mest mulig kostnadseffektiv måte, er Datatilsynets
egen hjemmeside og mediene to helt sentrale informasjonskanaler.
Datatilsynet er opptatt av å være
synlige i samfunnsdebatten og praktiserer derfor utstrakt grad av meroffentlighet.
Personvernnemnda er klageinstans for klager
over Datatilsynets avgjørelser i forhold til både
personopplysningsloven og helseregisterloven. Arbeids- og administrasjonsdepartementet
er på sin side klageinstans for klager som var kommet inn
før ikrafttredelse av personopplysningsloven, og klager
over Datatilsynets mer administrative saksbehandling.
Meldingen redegjør nærmere
for klagesakene. Personalnemnda kom til samme standpunkt som Datatilsynet
i nesten samtlige saker. I én sak ble klagen tatt til følge.
Den operative tilsynsvirksomheten har tatt utgangspunkt
i Datatilsynets overordnede strategier og prioriteringer for meldingsåret.
Det ble derfor gjennomført tilsyn innen avgrensede fokusområder,
fremfor å gå i bredden.
Det ble i tilsynsvirksomheten satt særlig
fokus på helsesektoren, ideelle/frivillige organisasjoners markedsføring
og kameraovervåking.
Erfaringene fra årets tilsyn indikerer
at virksomhetene i stor grad bryter de samme bestemmelsene i regelverket.
Sannsynligheten for brudd henger ifølge Datatilsynet naturlig
nok sammen med hvor arbeids- og kostnadskrevende det er å oppfylle
en konkret plikt. Ett unntak er imidlertid meldeplikten, som i skuffende liten
grad etterleves, selv om det i seg selv er lite ressurskrevende å sende
inn slike meldinger.
Datatilsynet mener det er grunn til å uttrykke
bekymring når det gjelder helsesektoren. Det var her det
ble funnet flest og mest alvorlige brudd på regelverket. Dette
er særlig betenkelig tatt i betraktning at det i helsesektoren
behandles opplysninger som de fleste av oss regner som svært
sensitive.
Datatilsynet sitter igjen med det inntrykk at
pasientrettigheter, herunder retten til vern om sin sykdomshistorie
og tilhørende behandling, er gjenstand for stor respekt
blant utøvende helsepersonell. Problemene oppstår
imidlertid når informasjonssystemene innrettes på en
slik måte at den som er ansvarlig for behandling av personopplysninger
ikke har reell kontroll. Det ble avdekket en for liberal praksis
når det gjelder tilgangen til pasientjournaler.
Som en følge av de funnene som er gjort
vil Datatilsynet også i 2003 ha et fortsatt sterkt fokus
på helsesektoren.
Det er Datatilsynets inntrykk at inkassobransjen
er opptatt av ryddighet i forhold til personopplysningsloven. Tilsynet
har lenge hatt et godt samarbeid med bransjen, både bransjeforening
og enkeltselskaper.
Datatilsynet vil følge utviklingen
nøye i tiden framover, for å sikre at debitors
personvern blir ivaretatt på en forsvarlig måte.
Datatilsynet ønsket gjennom fire tilsyn å kartlegge hvordan
man i politidistriktene behandler personopplysninger ved bruk av
dette systemet.
Datatilsynet konstaterer at politiets bruk av
SIS synes å være i samsvar med regelverket. Datatilsynet
er så langt også tilfreds med administrasjon og
overordnede rutiner for håndtering av systemet. Datatilsynet
vil imidlertid foreta en noe mer grundig gjennomgang av informasjonssikkerheten
i systemet.
Individets krav på personvern er ikke
absolutt. Det vil kunne stå i et motsetningsforhold til
for eksempel etterforskning av straffbare forhold.
Personverninteressene utfordres når
samfunnet introduserer nye virkemidler for å bekjempe terror
og annen kriminalitet.
I meldingsåret er det initiert en rekke
lovforslag hvor hovedhensikten er kriminalitetsbekjempelse. Forslagene
reiser grunnleggende personvernspørsmål. I høringsuttalelsene
til samtlige av disse forslagene har Datatilsynet etterlyst en beskrivelse
av trusselbildet som i større grad legitimerer de virkemidlene
som foreslås tatt i bruk. En forutsetning må iflg.
Datatilsynet hele tiden være at det er et balansert forhold
mellom tiltakene som iverksettes og det trusselbildet samfunnet
til enhver tid er utsatt for. Også i forbindelse med Justisdepartementets
forslag til endringer i straffeloven og straffeprosessloven (lovtiltak
mot terrorisme), etterlyste Datatilsynet en mer konkret beskrivelse
av de trusler som skulle begrunne og legitimere de foreslåtte
lovendringene.
Kommunaldepartementet har i meldingsåret
tatt opp tre forslag til endringer i utlendingsloven som har påkalt
Datatilsynets oppmerksomhet. Blant annet gjaldt det forslag om å gjøre
bruk av utlendingers registrerte fingeravtrykk til etterforskning.
Tilsynet stiller seg kritisk til at et register som er opprettet
for et spesifikt formål (identifisering) skal brukes til
et helt annet formål (etterforskning).
Samlet sett reiser forslagene ifølge
Datatilsynet helt grunnleggende spørsmål om hvorvidt
man i Norge skal akseptere at det innføres et todelt rettssystem
- ett for nordmenn og ett for utlendinger. Disse problemstillingene
bør vurderes nærmere av utvalget som er i gang med å utrede
en ny lovgivning på utlendingsområdet.
Finansdepartementet har på bakgrunn
av rapport fra en arbeidsgruppe foreslått en ny lov om
forebyggende tiltak mot hvitvasking av utbytte og finansiering av
terrorisme.
Etter Datatilsynets vurdering er arbeidsgruppens
rapport mangelfull, idet verken kontrollbehovet eller sentrale personvernhensyn
er drøftet og veid mot hverandre. Det savnes også en
nærmere redegjørelse for hvilke trusler som gjør
nye tiltak nødvendig. Datatilsynet mener derfor at det
ikke foreligger et tilstrekkelig grunnlag for iverksettelse av de
foreslåtte tiltakene.
Forslaget innebærer at Økokrim
skal kunne gi opplysninger fra bankenes hvitvaskingsmeldinger videre
til Trygdeetaten. Dette vil ofte være opplysninger som,
fra Økokrims side, er å regne som overskuddsinformasjon.
Datatilsynet er sterkt kritisk til slik annenhånds bruk
av opplysningene.
Opplysninger om egen helsetilstand og sosiale forhold
er regnet blant de aller mest private og sensitive opplysningene
i vårt samfunn, og står på mange måter
i en særstilling i forhold til andre personopplysninger.
Datatilsynet vil derfor alltid ha et særlig fokus på hvordan
ulike virksomheter og institusjoner innen helse- og sosialsektoren
behandler de personopplysningene de forvalter. Dette har også vært
tilfellet i 2002. Fra meldingen vises til følgende saker:
– Store mangler hos blodbankene
Alle landets blodbanker fikk våren
2002 tilsendt et spørreskjema fra Datatilsynet. Hensikten
var å kartlegge blodbankenes rutiner for behandling av
person- og helseopplysninger knyttet til biologisk materiale.
Det innkomne materialet gir inntrykk av at de
ansvarlige for de aller fleste blodbankene ikke hadde satt seg tilstrekkelig
inn i reglene for behandling av helseopplysninger. Blodgiverregistrene
inneholder opplysninger om sykdom og seksuelle forhold. De er dermed konsesjonspliktige
etter helseregisterloven. Kun et fåtall av blodbankene
hadde slik konsesjon.
Datatilsynet er ellers betenkt over at det er
konstatert så omfattende svakheter og mangler hos landets
blodbanker.
– Helsenett
Det er et uttalt mål fra myndighetenes
side at helsepersonell i hele Norge skal kunne kommunisere elektronisk
seg imellom og med pasientene. Helsenettet skal etter planen realiseres
innen utgangen av 2003. Datatilsynet understreker viktigheten av
at helsepersonell ikke gis tilgang til helseopplysninger de ikke
har behov for til sin behandling av pasienten. Fra Datatilsynets
side er det viktig at enhver utlevering av helseopplysninger er
basert på en konkret vurdering, foretatt av det helseforetaket
som har ansvar for helseopplysningene. Dette er i tråd
med de krav helseregisterloven fastsetter.
– Oppsøkende genetisk virksomhet
I forbindelse med evaluering av bioteknologiloven og
forslag til en ny forskrift, uttalte Datatilsynet seg om adgangen
til oppsøkende genetisk virksomhet.
Når det er dokumentert at en pasient
er disponert for eller har en arvelig sykdom, kan pasienten selv bestemme
om han eller hun vil informere berørte slektninger om dette.
Imidlertid kan legen, mot pasientens vilje og under bestemte vilkår,
på egen hånd informere slektningene om mulige
sykdomsdisposisjoner. I sin høringsuttalelse uttrykte Datatilsynet
at leger ikke under noen omstendighet bør kunne informere
pasientens slektninger om arvelige disposisjoner mot dennes vilje.
Etter Datatilsynets vurdering strider slik oppsøkende genetisk
virksomhet mot viktige prinsipper om frivillighet og selvbestemmelse.
Retten til ikke å vite står sentralt, blant annet
med henvisning til FNs menneskerettighetskonvensjons bestemmelse
om privatlivets fred.
Datatilsynet tar også opp spørsmålet
om eventuell erstatning hvis opplysninger om arvelig sykdom ikke gis.
Dersom de ikke blir kontaktet og blir syke, vil spørsmålet
om erstatning fort bli reist. Dersom bioteknologiloven skulle gi
adgang til oppsøkende genetisk virksomhet bør
det i så fall utredes, og komme klart til uttrykk, i hvilken
grad unnlatelse av å foreta oppsøkende genetisk
virksomhet kan føre til erstatningsplikt.
I dag finnes knapt en bedrift som ikke har tatt
mer eller mindre avansert datateknologi i bruk. Kommunikasjon pr.
e-post er en selvfølgelig del av hverdagen for mange arbeidstakere,
både til jobb og privat. Bruk av elektroniske adgangskontrollsystemer,
logging av trafikken på telefon og Internett, samt kameraovervåking
er utbredt. Teknologien har gjort mange arbeidsprosesser lettere
og mer effektive. En konsekvens av dette er imidlertid at arbeidsgivers
potensiale for overvåking øker. Ved å undersøke
datalogger, videoopptak og spesifiserte telefonregninger, kan arbeidsgiver
raskt skaffe seg et bilde av hvordan den enkelte ansatte disponerer
tiden sin, vedkommendes preferanser og adferdsmønstre.
Datatilsynet merker denne tendensen i form av et økt antall
henvendelser fra ansatte som føler at deres personvern
blir krenket. Henvendelsene har grunnlag i alt fra mistanke om at arbeidsgiver
beveger seg på kanten av personopplysningsloven, til konkrete
eksempler på grove brudd. En god del av henvendelsene kommer
fra ansatte i selskaper med hovedsete i andre land enn Norge.
Det er både i arbeidsgivers og arbeidstakers
interesse at overvåkingen holdes på et lovlig
og akseptabelt nivå. I alle tilfeller har de ansatte krav
på informasjon om hvilke kontrolltiltak de utsettes for.
Den 1. januar 2001 ble det opprettet et sentralt reservasjonsregister
mot direkte markedsføring. I dette registeret kan privatpersoner
reservere seg mot direkte markedsføring pr. brev og telefon.
Også i 2002 har Datatilsynet møtt
stor pågang fra personer som mener deres reservasjon mot
direkte markedsføring ikke blir respektert. De ideelle
organisasjonene går igjen i klagene, med teleoperatørene hakk
i hæl.
Datatilsynet tar opp flere saksforhold her,
bl.a. om database over betalingsmislighold. EU har foreslått
et direktiv for forbrukerkreditt. Direktivet legger opp til at det
enkelte medlemsland skal ha en sentral database med oversikt over
samtlige forbrukeres betalingsmislighold. Det skal ikke ytes kreditt
før man har sjekket kredittsøkeren opp mot denne
databasen. I sin høringsuttalelse uttrykte Datatilsynet
sterk skepsis i forhold til opprettelsen av en slik sentral database.
Denne vil kunne utgjøre en stor personverntrussel, særlig
med tanke på det store misbrukspotensialet. Det kan også lett
oppstå feil som forringer opplysningskvaliteten.
Det fremmes i økende grad ønsker
om å kunne publisere opplysninger fra offentlige registre
på Internett, som regel ut fra kommersielle interesser.
Datatilsynet er prinsipielt imot at opplysninger om personer som
i henhold til lov er underlagt registreringsplikt, benyttes til
andre og kommersielle formål.
Ved siden av den årlige debatten omkring
publisering av skattelister på Internett, er det to saker
fra meldingsåret som illustrerer denne problemstillingen.
Det gjelder bl.a. forslag til ny GAB-forskrift
(grunneiendommer, adresser og bygninger). Forslaget innebærer
at opplysninger fra GAB-registeret skal kunne brukes til direkte
markedsføring. Etter Datatilsynets vurdering er opplysningene
i registeret av en slik karakter at disse ikke kan benyttes som
grunnlag for markedsføring, uten at den registrerte har
gitt sitt aktive samtykke til det.
Noen helt sentrale prinsipper i personvernet
må ifølge Datatilsynet være styrende
når det fremmes ønsker om å gjøre
kommersiell bruk av opplysninger fra offentlige registre, eller
gjøre disse tilgjengelige på Internett:
Personopplysninger skal bare benyttes til uttrykkelig angitte
formål, som er saklig begrunnet i den behandlingsansvarliges
virksomhet. Den enkelte skal i størst mulig grad kunne
ha oversikt over opplysninger om seg selv. At opplysninger er offentlige
er ikke det samme som at disse også skal gjøres
elektronisk søkbare på Internett. Det er en kvalitativ
forskjell i hva som ligger i begrepet "offentlig" når opplysningene skal
være tilgjengelig på Internett, sammenlignet med dokumentinnsyn
på offentlige kontorer.
Kommersialisering og internettpublisering av opplysninger
fra offentlige registre som er underlagt registreringsplikt, må etter
tilsynets vurdering forutsette en klar hjemmel i lov.
Dette er Personvernnemndas (PVNs) andre årsmelding.
I løpet av året er det kommet åtte klager,
hvorav seks er ferdigbehandlet. Erfaringsgrunnlaget er derfor ennå spinkelt.
Klagesakene er svært forskjellige, selv om man kan merke
seg at tre av årets saker angår videoovervåking
i forbindelse med minibankautomat, fasiliteter i et hotell og ekspedisjon
ved kasse. Likevel er det ingen grunn til å anta at denne
typen saker vil dominere i fremtiden. PVN har også merket
seg at individuelle klagere knytter sterke interesser til sine saker -
selv om de ikke fremstår som rettslig prinsipielle, har det
derfor stor betydning for den enkelte at klagesakene behandles grundig
og gis en begrunnelse som klager kan forholde seg til.
Av de seks sakene som er ferdigbehandlet i 2002,
er Datatilsynets vedtak omgjort helt eller delvis i en av sakene.
Blant klagesakene vil det naturlig nok være en forholdsvis
stor andel som det knytter seg tvil til tolkningen av bestemmelsene
i personvernlovgivningen. PVN søker å ha for øyet
at de konkrete vedtakene også skal bidra til en avklaring
av gjeldende rett.
PVN skal behandle klager på vedtak
som Datatilsynet fatter etter personopplysningsloven og helseregisterloven.
Personvernnemnda er et uavhengig forvaltningsorgan
administrativt underlagt Kongen og Arbeids- og administrasjonsdepartementet.
Selv om Arbeids- og administrasjonsdepartementet utarbeider
instruks, innebærer dette ikke noen form for instruksjonsmyndighet
i enkeltsaker. Departementet kan ikke gi generelle instrukser om
lovtolkning eller skjønnsutøvelse.
Personvernnemnda skal årlig orientere
Kongen om behandling av klagesakene.
Personvernnemnda har syv medlemmer som oppnevnes
for fire år med adgang til oppnevning for ytterligere fire år.
Første gangs oppnevning skjedde i 2001. Personvernnemndas
leder og nestleder oppnevnes av Stortinget, mens de øvrige
medlemmer utnevnes av Kongen.
PVN har i 2002 hatt i alt seks møter.
Møtene ble i hovedsak nyttet til å behandle klagesaker,
men også administrative forhold som arbeidsform og saksbehandling,
samt vurdering av budsjett for 2002 og budsjettforslag for 2003
har blitt behandlet i møtene.