Departementet peker på at personvern er en grunnleggende
rettighet som beskytter den enkeltes personlige integritet og privatliv.
Inngrep i enkeltindividets personlige integritet forutsetter lovhjemmel
eller samtykke fra den det gjelder.
Sikker identitetsforvaltning, gode autorisasjons- og
loggløsninger, og et generelt høyt sikkerhetsnivå er viktige tiltak
for å redusere negative konsekvenser ved bruk av personopplysninger. Ytterligere
personvernutfordringer er knyttet til bruk av Internett med globale
systemer som nødvendiggjør avklaringer vedrørende landenes jurisdiksjon.
Internasjonalt personvernarbeid på flere plan er derfor viktig.
Personvern har vært et hyppig tema i den offentlige
debatt i løpet av meldingsåret. Debatten dreier seg om avveiningen
mellom personvern og andre viktige samfunnshensyn. Det skal alltid foretas
gode, helhetlige konsekvensvurderinger slik at den samlede effekten
av ulike personverninngrep vurderes i forbindelse med hvert nytt inngrep,
og veies opp mot fordelene man vil oppnå med tiltaket. Datatilsynet
påpeker i sin årsmelding at personverngarantiene i praksis vil smuldre
bort med tiden dersom personvernet blir sett som en hindring som
helst bør ryddes av veien. Det er viktig at personvernet har status som
et gode med selvstendig egenverdi.
I arbeidet med oppfølgingen av Personvernkommisjonens
rapport ønsker departementet å legge bedre til rette for en helhetlig
tilnærming til personvernet. Målet er å ta tak i sektorovergripende problemstillinger
og arbeide fram en omforent, tverrsektoriell strategi for å oppnå
en mer helhetlig tenkning rundt personvernutfordringene. Eksempler
på gjennomgripende problemstillinger er utfordringer knyttet til
økende innsamling av elektroniske spor, tendenser til å lagre data
i svært lang tid, rekkevidden av de registrertes samtykke og mangelfull
tilgangskontroll. Departementet mener det bør utvikles gode teknologiske
løsninger som kan medvirke til å redusere negative personvernkonsekvenser.
Som ledd i oppfølgingen av Personvernkommisjonens
rapport bevilget departementet i meldingsåret midler til gjennomføring
av særskilte prosjekter i regi av Datatilsynet. Det mest synlige
av disse prosjektene har hittil vært opprettelsen av veiledningstjenesten
og nettstedet slettmeg.no. Målet med prosjektet er å etablere et
lavterskeltilbud som kan veilede publikum i hvordan de for eksempel
kan få fjernet eller gjort informasjonen utilgjengelig for andre.
I meldingsåret fikk Datatilsynet midler for
å igangsette et arbeid for å bedre kjennskapen til og etterlevelsen
av personopplysningslovens regler om informasjonssikkerhet og internkontroll, blant
annet gjennom bruk av personvernombudsordningen.
Det er i dag mer enn to millioner norske brukere på
Facebook. Spørsmål om eierskap og tilgang til informasjon er viktig
for de mange brukerne. Samtidig er jurisdiksjonsspørsmålet en kompliserende
faktor. Nye globale lagringsmetoder i form av blant annet cloud
computing åpner enorme muligheter, men utfordrer også grensene for
eierskap, bruk av og kontroll med informasjon.
I meldingsåret har spørsmålet om mulig implementering
av EUs datalagringsdirektiv vært et tilbakevendende tema.
Reduksjon av anonyme alternativer, i kombinasjon
med at elektroniske spor i større grad registreres, medfører at
personvernet utfordres.
For tiden er både EUs personvernregelverk og vår
nasjonale personopplysnings-lov, som bygger på EU-direktiv 95/46/EF,
til revisjon. Ett av målene er å få et mer tidsmessig oppdatert regelverk
som tar høyde for den teknologiske utviklingen. Samtidig er det
nå 30 år siden OECDs personvernretningslinjer ble vedtatt, og også disse
er satt under lupen med tanke på oppdatering.
I meldingsåret vedtok Stortinget blant annet
ny politiregisterlov. Loven innebærer langt bedre regulering av
politiets bruk av personopplysninger enn gammelt regelverk. Ikrafttredelse av
regelverket forutsetter forskrifter som for tiden er under utarbeidelse.
Når reglene trer i kraft, vil de innebære et bedret personvern for dem
som registreres i politiets registre. I meldingsåret avga Metodekontrollutvalget
sin rapport Skjult informasjon – åpen kontroll, inntatt i NOU 2009:15.
Rapporten er nyttig i personvern-sammenheng ved at den gir en god
oversikt over politiets bruk av skjulte, og personvern-inngripende,
tvangsmidler. I meldingsåret ble også Medieansvarsutvalget nedsatt.
Utvalgets mandat er å foreta en samlet vurdering av reglene om plassering
av ansvar for ytringer, med sikte på å vurdere om det er grunnlag
for et mer enhetlig system for plassering av ansvar. Utvalget skal herunder
vurdere tiltak som kan sikre enkeltmenneskers personvern i møte
med media. Sektorreguleringen må spille sammen med det generelle
personvernregelverket for å gi borgerne best mulig personvern.
Datatilsynet er bekymret for at personvernet svekkes
som følge av mange enkeltstående tiltak, som går på bekostning av
personvernet, og at personvernet tilsidesettes som følge av marginale,
ikke-dokumenterte gevinster, eller av rene effektivitetshensyn.
Tilsynet fokuserer på den samlede effekten av et stort antall nye
personopplysningsbehandlinger, mangelfull ansvarsplassering, elektroniske
spor, manglende sletting, større samhandling og færre anonyme alternativer.
Departementet støtter tilsynet i at enkeltstående tiltak må ses
i sammenheng med andre tiltak som får konsekvenser for personvernet. For
å kunne foreta en reell forholdsmessighetsvurdering, vil en være
nødt til å se på den samlede effekten av opptak/registrering og
lagring av personopplysninger.
Datatilsynet peker videre på en tendens til
at konsekvensen av innsamling og lagring av personopplysninger undervurderes,
og at innskrenkninger i bruken av opplysningene og gode sikkerhetsløsninger
vurderes som tilstrekkelig kompensasjon for lagringen. I likhet
med tilsynet understreker departementet at innsamling og lagring
av personopplysninger er et personverninngrep i seg selv. Departementet
understreker betydningen av at vurderinger av personvernkonsekvenser
foretas tidlig i en beslutningsprosess, noe også Personvernkommisjonen påpekte
i NOU 2009:1 og som departementet selv peker på i sin veileder i
vurdering av personvernkonsekvenser utgitt i 2008.
Teknologien setter i dag marginale grenser for lagringskapasitet,
og det er ofte mer kostbart å slette opplysninger enn fortsatt å
oppbevare dem. Til tross for stadig nye teknologiske løsninger,
vil slettereg-lene i personopplysningsloven være avgjørende for
hvor lenge opplysningene kan lagres; sletting skal skje når behandlingens
formål er oppfylt. Dette ble i meldingsåret, som året før, påpekt
i Datatilsynets årsmelding, og brudd på sletteplikten beskrives
som den største og alvorligste enkeltutfordringen for personvernet.
En ny lagringsmåte som har fått gjennomslag
internasjonalt, er cloud computing der opplysningene ikke lagres
ett definert sted, men derimot i den del av nettskyen der det til
enhver tid er ledig kapasitet. Både økonomisk og kapasitetsmessig har
cloud computing et stort potensial. Samtidig byr denne teknologien
på mange utfordringer både teknisk og juridisk. Departementet vil
følge utviklingen på området tett.
Datatilsynet peker på at datasystemer må bygges opp
på en personvernvennlig måte. Tilsynet peker på at innebygde personverngarantier
(privacy by design) er spesielt viktig når man har ambisiøse samordningsprosjekter
som krever informasjonsflyt mellom flere parter. Departementet er
enig i at det er viktig at sikre datasystemer er på plass før det
iverksettes tiltak som får personvernkonsekvenser.
Datatilsynet har i stor grad vært engasjert
i spørsmål vedrørende personvern og helse i meldingsåret. Tilsynet
har blant annet vært kritisk til enkelte sider av samhandlingsreformen,
for eksempel forslag om tilgang til helseopplysninger på tvers av
virksomhetsgrenser og etablering av fellesregistre i denne forbindelse. Tilsynet
frykter det skjer en uthuling av taushetsplikten, og advarer sterkt
mot at det åpnes for tilgang på tvers før tilstrekkelige interne
sikkerhetsløsninger foreligger. Datatilsynet ønsker å bli inkludert
i arbeidet med forskrift om informasjonssikkerhet ved samhandling
i helsesektoren.
Videre er tilsynet bekymret for en økning i
antall personer som fremover vil kunne få direkte tilgang til pasientjournaler,
samt en sentralisering av registrene hos Folkehelseinstituttet.
Departementet påpeker at det fremover er viktig å legge til rette
for å ivareta pasientenes tillit til helsetjenesten, slik at de
ikke unnlater å oppsøke tjenestene i frykt for at helseopplysninger
skal spres. Dette må ses i sammenheng med behovet for økt samhandling
i helsetjenesten.
Lov om medisinsk og helsefaglig forskning som trådte
i kraft 1. juli 2009, innebar store endringer for Datatilsynets
arbeidsfelt. Loven innebærer at Datatilsynet ikke forhåndsgodkjenner
medisinsk og helsefaglig forskning. De regionale komiteer for medisinsk
og helsefaglig forskningsetikk innehar nå godkjenningskompetansen,
og Datatilsynet uttrykker bekymring for at komiteenes tilknytning
til forsk-ningsmiljøene skal få innvirke på saksbehandlingen.
I løpet av meldingsåret ble det fremmet forslag om
å etablere et sentralt register for hjerte- og karlidelser. Datatilsynet
etterlyste en prinsipiell tilnærming til hjemmelsgrunnlaget for
etableringen av slike register. Etter tilsynets mening bør slike
registre etableres med samtykke fra pasienten, alternativt må opplysningene
være pseudonymiserte, eller på annen måte være underlagt et særlig
vern.
Datatilsynet påpeker videre brudd på register-
og personvernlovgivningen i to tilfeller hos Kreftregisteret, ett
hos Folkehelseinstituttet, ett i Colon Cancer bank samt ett hos
NTNU i forbindelse med at pasient-journaler var på avveie. Departementet
mener sakene sender signal om at Datatilsynet også i fremtiden bør
arbeide for at personvern blir ivaretatt i helsesektoren og føre
en tett dialog med helsemyndighetene. Departementet fremholder at
det er mulig å ivareta personvernhensyn samtidig som man opprettholder
et godt forskningsklima med mulighet for gode og viktige resultater.
I løpet av meldingsåret var forslag til revisjon
av personopplysningsloven på høring. Datatilsynet er, som tilsynsmyndighet
og forvaltningsmyndighet, en svært sentral høringsinstans når det gjelder
personvernlovgivningen.
Datatilsynets erfaringer er av stor verdi for lovrevisjonen,
og deres vurderinger vil være et nyttig verktøy i det videre lovrevisjonsarbeidet. Departementet
har merket seg at de temaene Datatilsynet legger størst vekt på,
langt på vei er sammenfallende med de temaene som får størst oppmerksomhet
i internasjonale fora. Departementet fremhever i denne sammenheng
betydningen av tilsynets deltakelse i internasjonale diskusjonsfora
for vår nasjonale personverndebatt.
I løpet av meldingsåret har Datatilsynet ført
tilsyn hos tre tilbydere av offentlig transport der det sentrale
temaet var elektronisk billettering. Det ble videre ført tilsyn
hos Statens vegvesen for å kontrollere personvern ved strekningsvis automatisk
kontroll (SATK). I tillegg gjennomførte etaten tilsyn hos to bompengeselskaper. Datatilsynet
setter muligheten for anonym ferdsel høyt og mener det samles inn
langt flere opplysninger enn nødvendig i samferdselssektoren. Departementet
viser i denne forbindelse til at det er satt i gang et interdepartementalt
arbeid der også Datatilsynet deltar, som har som mål å legge til
rette for anonyme bompasseringer. Det er viktig å opprettholde prinsippet
om at kun de opplysningene som er nødvendige for å oppnå formålet,
skal lagres.
Ny personvernnemnd ble oppnevnt i 2008, med funksjonstid
fra 1. januar 2009. Advokat Eva I.E. Jarbekk, oppnevnt av Stortinget,
etterfulgte professor Jon Bing som nemndas leder. Det første funksjonsåret
ble et arbeidskrevende år for nemnda, som fikk en betydelig økning
i antall saker sammenlignet med tidligere år – 25 innkomne saker
i 2009 mot seks i 2008. Nemnda mener den store økningen i antall
saker kan ha sammenheng med Datatilsynets tilsynsobjekter, da enkelte
bransjer/objekter i større grad enn andre ser seg tjent med å påklage
Datatilsynets avgjørelser.
Til tross for den store saksmengden har Personvernnemnda
kun omgjort to av klagesakene og i de resterende ferdigbehandlede
sakene opprettholdt Datatilsynets vedtak. Samsvar mellom Datatilsynets
og Personvernnemndas vurderinger gir Datatilsynet større faglig
tyngde i deres fremtidige virksomhet. Mange av sakene har vært prinsipielle
og av betydelig omfang. Etter departementets syn reflekterer både
antall saker og deres kompleksitet at presset på personvernområdet
øker i takt med samfunnets ønsker om å iverksette nye og inngripende
tiltak.
Da Personvernnemnda ikke selv kan reise rettspolitiske
debatter, etterlyser de dette fra annet hold på flere områder. Et
forhold nemnda særskilt etterlyser, er forskriftsreguleringer framfor
bruk av standardkonsesjoner og nevner i den forbindelse konsesjon
for å drive kredittopplysningsvirksomhet. Departementet vil her
vise til at personopplysningsforskriften vil bli gjennomgått når
personopplysningsloven er revidert. I den forbindelse vil det kunne
være ak-tuelt å vurdere det forholdet nemnda tar opp.
Blant sakene avgjort i 2009 trekker nemnda fram vedtakene
om helseforskning, der de finner det bekymringsverdig at det later
til å være en tendens til å forsøke å unngå varsling av forskningsobjekter
og innhenting av samtykke. De viser til at det ligger en personverntrussel
i den praksis som benyttes når regelverket neglisjeres med tro på
at skaden enkelt kan repareres i ettertid. Tildeling av konsesjon
i etterkant vil skape en uheldig presedens, og det er også tvilsomt
om lovverket gir rom for en slik etterfølgende, reparerende konsesjon.
Datatilsynet hadde i 2009 et disponibelt beløp
på i overkant av 29 mill. kroner. I tillegg fikk Datatilsynet ekstrabevilgning
for særskilte prosjekter på personvernområdet på til sammen 5,1
mill. kroner. Sammenlignet med 2008 har budsjettet økt med ca. 1,5
mill. kroner i tillegg til de særskilte prosjektbevilgningene. De
særskilte bevilgningene kom som en følge av problemstillinger påpekt
av Personvernkommisjonen i NOU 2009:1, områder der departementet
så behov for raskt å iverksette målrettede tiltak. Den generelle budsjettøkningen
vil bidra til å styrke Datatilsynets rolle som personvernbeskytter,
tilsyn og informasjonsyter.
Nemnda hadde i meldingsåret et budsjett på 1,65 mill.
kroner. Totalt forbruk var på i underkant av 1,5 mill. kroner. 12
nemndsmøter ble avholdt i løpet av meldingsåret. Naturlig nok har
forbruket gått noe opp sammenlignet med 2008 i forbindelse med økningen
i antall saker og møter.
Departementet vurderer Personvernnemnda, med
dens tekniske, medisinske, kommersielle og juridiske kompetanse,
som godt egnet til å veie personvernhensyn og andre viktige samfunnshensyn
mot hverandre.
Komiteen, medlemmene fra Arbeiderpartiet,
Lise Christoffersen, Roald Aga Haug, Håkon Haugli, Ingalill Olsen
og Eirik Sivertsen, fra Fremskrittspartiet, Per-Willy Amundsen,
Gjermund Hagesæter og Åge Starheim, fra Høyre, Trond Helleland og
Michael Tetzschner, fra Sosialistisk Venstreparti, lederen Heikki
Holmås, fra Senterpartiet, Ola Borten Moe, og fra Kristelig Folkeparti,
Geir Jørgen Bekkevold, registrerer med tilfredshet at personvern
har vært et hyppig tema i den offentlige debatt i meldingsåret.
Ny teknologi gjør det mulig å lagre mer, lagre lenger, og enkelt
søke i store mengder data. Denne utviklingen krever økt bevissthet
om personvern som en grunnleggende rettighet som beskytter den enkelte.
Ut fra en rekke gode samfunnsformål er det behov for å lagre personopplysninger.
Det må imidlertid legges til grunn at ethvert nytt inngrep i personvernet
må være forholdsmessig og baseres på en god, helhetlig konsekvensvurdering. Komiteen deler
departementets og Datatilsynets bekymring for at rene effektiviseringshensyn eller
mindre presserende problemer forsøkes løst ved å sette personvernet
til side.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Sosialistisk Venstreparti, Senterpartiet og
Kristelig Folkeparti, vil understreke at det ved slike konsekvensvurderinger
må legges til grunn at det er summen av inngrep som har betydning
for den enkelte, og at personvernet har en kjerne som under ingen
omstendighet kan avveies bort.
Komiteens medlemmer fra Fremskrittspartiet
og Høyre har merket seg at departementet vektlegger forsvarlig
avveining før det gjøres inngrep i personvernet, der Datatilsynet ser
ut til å vektlegge at personvernet må inneholde en kjerne som ikke
kan avveies bort, selv der sterke praktiske og styringsmessige interesser tilsier
det. Disse medlemmer vil understreke betydningen av at personvernet
ikke svekkes gjennom en relativisering ut fra nyttehensyn.
Komiteen er tilfreds
med at departementet som ledd i oppfølgingen av Personvernkommisjonens
rapport i meldingsåret bevilget midler til etablering av veiledningstjenesten
og nettstedet Slettmeg.no. Formålet med tjenesten er å gi råd og
veiledning til personer som føler seg krenket på nett, eller som
av andre grunner ønsker å få slettet eller rettet personopplysninger
publisert på Internett.
Komiteen viser til at formålet
med Datatilsynets virksomhet er å bidra til at personopplysningslovgivningen
etterleves. Tilsynets kontrollvirksomhet er et viktig bidrag i denne sammenheng. Komiteen har
merket seg at Datatilsynet i 2009 gjennomførte 168 kontroller, en
økning på 27 fra 2008. Det er viktig og gledelig at tilsynet i økende
grad gjennomfører kontroller. Komiteen er opptatt
av at Datatilsynet prioriterer kontrollvirksomheten, slik at omfanget
gjenspeiler de mange beslutningene som tas hver eneste dag om lagring
av personopplysninger. Komiteen bemerker likevel
at kontrollvirksomhet er ett av flere virkemidler som står til Datatilsynets
disposisjon i tilsynets arbeid. Andre virkemidler for å fremme personvernet
kan for eksempel være ulike typer kommunikasjonstiltak eller deltakelse
i utarbeidelse av bransjeregelverk. Tilsynet må til enhver tid velge
det virkemiddelet som antas best egnet til å nå målene overfor de
ulike målgruppene.
Komiteen har merket seg at kontrollene
som er gjennomført har avdekket omfattende brudd på regelverket
på områder som krav til ryddig behandling av personopplysninger,
informasjonssikkerhet og sletting. Komiteen deler Datatilsynets
uro over manglende kunnskap om og etterlevelse av regelverket i
mindre kommuner og småbedrifter.
Komiteen tar til etterretning
at Datatilsynet har som mål for sin informasjonsvirksomhet at standpunkter
kommuniseres på en tydelig måte, uten at dette går på bekostning
av tilsynets seriøsitet og etterrettelighet.
Komiteen er tilfreds med at Datatilsynet
retter mye av sin virksomhet inn mot barn og unge. I tilsynets årsmelding
for 2009 har komiteen særlig merket seg én problemstilling
på dette området: Foreldres publisering av opplysninger om barna
sine på Internett, ofte for å skape sympati for egen barneverns-
eller barnefordelingssak. Komiteen mener det er behov
for tiltak på dette området.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet, Høyre, Sosialistisk Venstreparti,
Senterpartiet og Kristelig Folkeparti, har merket seg at
Datatilsynet vil arbeide for at samtykkebetingelser skal settes
ved utvidet innhenting og bruk av personopplysninger i markedsføring
og andre kommersielle sammenhenger, og vil uttrykke støtte til arbeidet
med dette.
Komiteen har merket
seg at regjeringen siden 2005 har styrket Datatilsynets driftsbudsjett
med ca. 45 pst., i tillegg til at det i samme periode er avsatt
betydelige midler til ulike prosjekter.
Komiteen vil understreke betydningen
av at Datatilsynet inngår som høringsinstans når det fremmes lovgivning
som kan tenkes å utfordre personvernet.
Komiteens medlemmer fra Fremskrittspartiet,
Høyre og Kristelig Folkeparti viser til at et ferskt eksempel
på det siste er en presisering i trygdeloven som gir Nav større
umiddelbar innsynsmulighet enn politiet når det gjelder sosialhjelpmottageres
mobilabonnementer. Loven ble vedtatt mot stemmene fra Fremskrittspartiet,
Høyre, Kristelig Folkeparti og Venstre.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Sosialistisk Venstreparti, Senterpartiet
og Kristelig Folkeparti, vil understreke betydningen av
Datatilsynets brede internasjonale arbeid. Siden EU er en viktig
premissleverandør for fremtidige personvernrettslige normer og regler, er flertallet særlig
tilfreds med at Datatilsynet har valgt og fått mulighet til å delta
som observatør i arbeidsgruppen som er opprettet etter artikkel
29 i EU-direktivet om personvern (Artikkel 29-gruppen). Flertallet er
opptatt av at Datatilsynet også deltar på andre relevante internasjonale
arenaer for erfaringsutveksling, både i nordisk og europeisk regi,
slik at tilsynet er oppdatert på den teknologiske utviklingen og internasjonal
tenkning på personvernområdet.
Komiteens medlemmer fra Fremskrittspartiet
og Høyre er svært opptatt av at Datatilsynet skal holde
tritt med utviklingen som skjer internasjonalt. Mange av standardene
for den informasjonsteknologiske utviklingen og personverntenkningen
skjer blant annet i EU, Europarådet, OECD og i de store internasjonale kornsernene.
Det er derfor svært viktig at Datatilsynet har ressurser til å følge
utviklingen og delta i ulike fora for internasjonalt samarbeid.
Komiteens medlemmer fra Fremskrittspartiet vil
vise til at Fremskrittspartiet i sitt alternative budsjett for 2011
har øket bevilgningene til Datatilsynet med 2 mill. kroner.
Komiteen tar til etterretning
at Personvernnemnda i meldingsåret mottok et vesentlig høyere antall
klagesaker enn tidligere år og at nemnda omgjorde Datatilsynets
vedtak i 2 av 15 behandlede saker. Komiteen legger
til grunn at økningen i antall klagesaker ikke er et resultat av dårligere
saksbehandling hos Datatilsynet, men heller et uttrykk for at flere
saker er sammensatte og prinsipielle. Det totale antall klagesaker
er likevel lavt tatt i betraktning Datatilsynets betydelige saksmengde,
og Personvernnemndas omgjøring av to av tilsynets vedtak må anses
for å være en lav omgjøringsprosent.
Komiteen har ellers
ingen merknader, viser til meldingen og rår Stortinget til å gjøre
slikt
vedtak:
Meld. St. 5 (2010–2011) – om Datatilsynets
og Personvernnemndas årsmeldinger for 2009 – vedlegges protokollen.
Oslo, i kommunal- og forvaltningskomiteen, den 3. desember 2010
Heikki Holmås |
Håkon Haugli |
leder |
ordfører |