Departementet peker på at personvern er en grunnleggende
rettighet som beskytter den enkeltes personlige integritet og privatliv.
Inngrep i enkeltindividets personlige integritet forutsetter lovhjemmel
eller samtykke fra den det gjelder.
Sikker identitetsforvaltning, gode autorisasjons- og
loggløsninger, og et generelt høyt sikkerhetsnivå er viktige tiltak
for å redusere negative konsekvenser ved bruk av personopplysninger. Ytterligere
personvernutfordringer er knyttet til bruk av Internett med globale
systemer som nødvendiggjør avklaringer vedrørende landenes jurisdiksjon.
Internasjonalt personvernarbeid på flere plan er derfor viktig.
Personvern har vært et hyppig tema i den offentlige
debatt i løpet av meldingsåret. Debatten dreier seg om avveiningen
mellom personvern og andre viktige samfunnshensyn. Det skal alltid foretas
gode, helhetlige konsekvensvurderinger slik at den samlede effekten
av ulike personverninngrep vurderes i forbindelse med hvert nytt inngrep,
og veies opp mot fordelene man vil oppnå med tiltaket. Datatilsynet
påpeker i sin årsmelding at personverngarantiene i praksis vil smuldre
bort med tiden dersom personvernet blir sett som en hindring som
helst bør ryddes av veien. Det er viktig at personvernet har status som
et gode med selvstendig egenverdi.
I arbeidet med oppfølgingen av Personvernkommisjonens
rapport ønsker departementet å legge bedre til rette for en helhetlig
tilnærming til personvernet. Målet er å ta tak i sektorovergripende problemstillinger
og arbeide fram en omforent, tverrsektoriell strategi for å oppnå
en mer helhetlig tenkning rundt personvernutfordringene. Eksempler
på gjennomgripende problemstillinger er utfordringer knyttet til
økende innsamling av elektroniske spor, tendenser til å lagre data
i svært lang tid, rekkevidden av de registrertes samtykke og mangelfull
tilgangskontroll. Departementet mener det bør utvikles gode teknologiske
løsninger som kan medvirke til å redusere negative personvernkonsekvenser.
Som ledd i oppfølgingen av Personvernkommisjonens
rapport bevilget departementet i meldingsåret midler til gjennomføring
av særskilte prosjekter i regi av Datatilsynet. Det mest synlige
av disse prosjektene har hittil vært opprettelsen av veiledningstjenesten
og nettstedet slettmeg.no. Målet med prosjektet er å etablere et
lavterskeltilbud som kan veilede publikum i hvordan de for eksempel
kan få fjernet eller gjort informasjonen utilgjengelig for andre.
I meldingsåret fikk Datatilsynet midler for
å igangsette et arbeid for å bedre kjennskapen til og etterlevelsen
av personopplysningslovens regler om informasjonssikkerhet og internkontroll, blant
annet gjennom bruk av personvernombudsordningen.
Det er i dag mer enn to millioner norske brukere på
Facebook. Spørsmål om eierskap og tilgang til informasjon er viktig
for de mange brukerne. Samtidig er jurisdiksjonsspørsmålet en kompliserende
faktor. Nye globale lagringsmetoder i form av blant annet cloud
computing åpner enorme muligheter, men utfordrer også grensene for
eierskap, bruk av og kontroll med informasjon.
I meldingsåret har spørsmålet om mulig implementering
av EUs datalagringsdirektiv vært et tilbakevendende tema.
Reduksjon av anonyme alternativer, i kombinasjon
med at elektroniske spor i større grad registreres, medfører at
personvernet utfordres.
For tiden er både EUs personvernregelverk og vår
nasjonale personopplysnings-lov, som bygger på EU-direktiv 95/46/EF,
til revisjon. Ett av målene er å få et mer tidsmessig oppdatert regelverk
som tar høyde for den teknologiske utviklingen. Samtidig er det
nå 30 år siden OECDs personvernretningslinjer ble vedtatt, og også disse
er satt under lupen med tanke på oppdatering.
I meldingsåret vedtok Stortinget blant annet
ny politiregisterlov. Loven innebærer langt bedre regulering av
politiets bruk av personopplysninger enn gammelt regelverk. Ikrafttredelse av
regelverket forutsetter forskrifter som for tiden er under utarbeidelse.
Når reglene trer i kraft, vil de innebære et bedret personvern for dem
som registreres i politiets registre. I meldingsåret avga Metodekontrollutvalget
sin rapport Skjult informasjon – åpen kontroll, inntatt i NOU 2009:15.
Rapporten er nyttig i personvern-sammenheng ved at den gir en god
oversikt over politiets bruk av skjulte, og personvern-inngripende,
tvangsmidler. I meldingsåret ble også Medieansvarsutvalget nedsatt.
Utvalgets mandat er å foreta en samlet vurdering av reglene om plassering
av ansvar for ytringer, med sikte på å vurdere om det er grunnlag
for et mer enhetlig system for plassering av ansvar. Utvalget skal herunder
vurdere tiltak som kan sikre enkeltmenneskers personvern i møte
med media. Sektorreguleringen må spille sammen med det generelle
personvernregelverket for å gi borgerne best mulig personvern.
Datatilsynet er bekymret for at personvernet svekkes
som følge av mange enkeltstående tiltak, som går på bekostning av
personvernet, og at personvernet tilsidesettes som følge av marginale,
ikke-dokumenterte gevinster, eller av rene effektivitetshensyn.
Tilsynet fokuserer på den samlede effekten av et stort antall nye
personopplysningsbehandlinger, mangelfull ansvarsplassering, elektroniske
spor, manglende sletting, større samhandling og færre anonyme alternativer.
Departementet støtter tilsynet i at enkeltstående tiltak må ses
i sammenheng med andre tiltak som får konsekvenser for personvernet. For
å kunne foreta en reell forholdsmessighetsvurdering, vil en være
nødt til å se på den samlede effekten av opptak/registrering og
lagring av personopplysninger.
Datatilsynet peker videre på en tendens til
at konsekvensen av innsamling og lagring av personopplysninger undervurderes,
og at innskrenkninger i bruken av opplysningene og gode sikkerhetsløsninger
vurderes som tilstrekkelig kompensasjon for lagringen. I likhet
med tilsynet understreker departementet at innsamling og lagring
av personopplysninger er et personverninngrep i seg selv. Departementet
understreker betydningen av at vurderinger av personvernkonsekvenser
foretas tidlig i en beslutningsprosess, noe også Personvernkommisjonen påpekte
i NOU 2009:1 og som departementet selv peker på i sin veileder i
vurdering av personvernkonsekvenser utgitt i 2008.
Teknologien setter i dag marginale grenser for lagringskapasitet,
og det er ofte mer kostbart å slette opplysninger enn fortsatt å
oppbevare dem. Til tross for stadig nye teknologiske løsninger,
vil slettereg-lene i personopplysningsloven være avgjørende for
hvor lenge opplysningene kan lagres; sletting skal skje når behandlingens
formål er oppfylt. Dette ble i meldingsåret, som året før, påpekt
i Datatilsynets årsmelding, og brudd på sletteplikten beskrives
som den største og alvorligste enkeltutfordringen for personvernet.
En ny lagringsmåte som har fått gjennomslag
internasjonalt, er cloud computing der opplysningene ikke lagres
ett definert sted, men derimot i den del av nettskyen der det til
enhver tid er ledig kapasitet. Både økonomisk og kapasitetsmessig har
cloud computing et stort potensial. Samtidig byr denne teknologien
på mange utfordringer både teknisk og juridisk. Departementet vil
følge utviklingen på området tett.
Datatilsynet peker på at datasystemer må bygges opp
på en personvernvennlig måte. Tilsynet peker på at innebygde personverngarantier
(privacy by design) er spesielt viktig når man har ambisiøse samordningsprosjekter
som krever informasjonsflyt mellom flere parter. Departementet er
enig i at det er viktig at sikre datasystemer er på plass før det
iverksettes tiltak som får personvernkonsekvenser.
Datatilsynet har i stor grad vært engasjert
i spørsmål vedrørende personvern og helse i meldingsåret. Tilsynet
har blant annet vært kritisk til enkelte sider av samhandlingsreformen,
for eksempel forslag om tilgang til helseopplysninger på tvers av
virksomhetsgrenser og etablering av fellesregistre i denne forbindelse. Tilsynet
frykter det skjer en uthuling av taushetsplikten, og advarer sterkt
mot at det åpnes for tilgang på tvers før tilstrekkelige interne
sikkerhetsløsninger foreligger. Datatilsynet ønsker å bli inkludert
i arbeidet med forskrift om informasjonssikkerhet ved samhandling
i helsesektoren.
Videre er tilsynet bekymret for en økning i
antall personer som fremover vil kunne få direkte tilgang til pasientjournaler,
samt en sentralisering av registrene hos Folkehelseinstituttet.
Departementet påpeker at det fremover er viktig å legge til rette
for å ivareta pasientenes tillit til helsetjenesten, slik at de
ikke unnlater å oppsøke tjenestene i frykt for at helseopplysninger
skal spres. Dette må ses i sammenheng med behovet for økt samhandling
i helsetjenesten.
Lov om medisinsk og helsefaglig forskning som trådte
i kraft 1. juli 2009, innebar store endringer for Datatilsynets
arbeidsfelt. Loven innebærer at Datatilsynet ikke forhåndsgodkjenner
medisinsk og helsefaglig forskning. De regionale komiteer for medisinsk
og helsefaglig forskningsetikk innehar nå godkjenningskompetansen,
og Datatilsynet uttrykker bekymring for at komiteenes tilknytning
til forsk-ningsmiljøene skal få innvirke på saksbehandlingen.
I løpet av meldingsåret ble det fremmet forslag om
å etablere et sentralt register for hjerte- og karlidelser. Datatilsynet
etterlyste en prinsipiell tilnærming til hjemmelsgrunnlaget for
etableringen av slike register. Etter tilsynets mening bør slike
registre etableres med samtykke fra pasienten, alternativt må opplysningene
være pseudonymiserte, eller på annen måte være underlagt et særlig
vern.
Datatilsynet påpeker videre brudd på register-
og personvernlovgivningen i to tilfeller hos Kreftregisteret, ett
hos Folkehelseinstituttet, ett i Colon Cancer bank samt ett hos
NTNU i forbindelse med at pasient-journaler var på avveie. Departementet
mener sakene sender signal om at Datatilsynet også i fremtiden bør
arbeide for at personvern blir ivaretatt i helsesektoren og føre
en tett dialog med helsemyndighetene. Departementet fremholder at
det er mulig å ivareta personvernhensyn samtidig som man opprettholder
et godt forskningsklima med mulighet for gode og viktige resultater.
I løpet av meldingsåret var forslag til revisjon
av personopplysningsloven på høring. Datatilsynet er, som tilsynsmyndighet
og forvaltningsmyndighet, en svært sentral høringsinstans når det gjelder
personvernlovgivningen.
Datatilsynets erfaringer er av stor verdi for lovrevisjonen,
og deres vurderinger vil være et nyttig verktøy i det videre lovrevisjonsarbeidet. Departementet
har merket seg at de temaene Datatilsynet legger størst vekt på,
langt på vei er sammenfallende med de temaene som får størst oppmerksomhet
i internasjonale fora. Departementet fremhever i denne sammenheng
betydningen av tilsynets deltakelse i internasjonale diskusjonsfora
for vår nasjonale personverndebatt.
I løpet av meldingsåret har Datatilsynet ført
tilsyn hos tre tilbydere av offentlig transport der det sentrale
temaet var elektronisk billettering. Det ble videre ført tilsyn
hos Statens vegvesen for å kontrollere personvern ved strekningsvis automatisk
kontroll (SATK). I tillegg gjennomførte etaten tilsyn hos to bompengeselskaper. Datatilsynet
setter muligheten for anonym ferdsel høyt og mener det samles inn
langt flere opplysninger enn nødvendig i samferdselssektoren. Departementet
viser i denne forbindelse til at det er satt i gang et interdepartementalt
arbeid der også Datatilsynet deltar, som har som mål å legge til
rette for anonyme bompasseringer. Det er viktig å opprettholde prinsippet
om at kun de opplysningene som er nødvendige for å oppnå formålet,
skal lagres.
Ny personvernnemnd ble oppnevnt i 2008, med funksjonstid
fra 1. januar 2009. Advokat Eva I.E. Jarbekk, oppnevnt av Stortinget,
etterfulgte professor Jon Bing som nemndas leder. Det første funksjonsåret
ble et arbeidskrevende år for nemnda, som fikk en betydelig økning
i antall saker sammenlignet med tidligere år – 25 innkomne saker
i 2009 mot seks i 2008. Nemnda mener den store økningen i antall
saker kan ha sammenheng med Datatilsynets tilsynsobjekter, da enkelte
bransjer/objekter i større grad enn andre ser seg tjent med å påklage
Datatilsynets avgjørelser.
Til tross for den store saksmengden har Personvernnemnda
kun omgjort to av klagesakene og i de resterende ferdigbehandlede
sakene opprettholdt Datatilsynets vedtak. Samsvar mellom Datatilsynets
og Personvernnemndas vurderinger gir Datatilsynet større faglig
tyngde i deres fremtidige virksomhet. Mange av sakene har vært prinsipielle
og av betydelig omfang. Etter departementets syn reflekterer både
antall saker og deres kompleksitet at presset på personvernområdet
øker i takt med samfunnets ønsker om å iverksette nye og inngripende
tiltak.
Da Personvernnemnda ikke selv kan reise rettspolitiske
debatter, etterlyser de dette fra annet hold på flere områder. Et
forhold nemnda særskilt etterlyser, er forskriftsreguleringer framfor
bruk av standardkonsesjoner og nevner i den forbindelse konsesjon
for å drive kredittopplysningsvirksomhet. Departementet vil her
vise til at personopplysningsforskriften vil bli gjennomgått når
personopplysningsloven er revidert. I den forbindelse vil det kunne
være ak-tuelt å vurdere det forholdet nemnda tar opp.
Blant sakene avgjort i 2009 trekker nemnda fram vedtakene
om helseforskning, der de finner det bekymringsverdig at det later
til å være en tendens til å forsøke å unngå varsling av forskningsobjekter
og innhenting av samtykke. De viser til at det ligger en personverntrussel
i den praksis som benyttes når regelverket neglisjeres med tro på
at skaden enkelt kan repareres i ettertid. Tildeling av konsesjon
i etterkant vil skape en uheldig presedens, og det er også tvilsomt
om lovverket gir rom for en slik etterfølgende, reparerende konsesjon.
Datatilsynet hadde i 2009 et disponibelt beløp
på i overkant av 29 mill. kroner. I tillegg fikk Datatilsynet ekstrabevilgning
for særskilte prosjekter på personvernområdet på til sammen 5,1
mill. kroner. Sammenlignet med 2008 har budsjettet økt med ca. 1,5
mill. kroner i tillegg til de særskilte prosjektbevilgningene. De
særskilte bevilgningene kom som en følge av problemstillinger påpekt
av Personvernkommisjonen i NOU 2009:1, områder der departementet
så behov for raskt å iverksette målrettede tiltak. Den generelle budsjettøkningen
vil bidra til å styrke Datatilsynets rolle som personvernbeskytter,
tilsyn og informasjonsyter.
Nemnda hadde i meldingsåret et budsjett på 1,65 mill.
kroner. Totalt forbruk var på i underkant av 1,5 mill. kroner. 12
nemndsmøter ble avholdt i løpet av meldingsåret. Naturlig nok har
forbruket gått noe opp sammenlignet med 2008 i forbindelse med økningen
i antall saker og møter.
Departementet vurderer Personvernnemnda, med
dens tekniske, medisinske, kommersielle og juridiske kompetanse,
som godt egnet til å veie personvernhensyn og andre viktige samfunnshensyn
mot hverandre.