Departementet peker i meldingen på at personvernutfordringer
er sektorovergripende og at personvern også er en grunnleggende
rettighet som skal beskytte den enkeltes integritet og privatliv.
Det er grunnleggende at den enkelte skal ha rett til innsyn i og
informasjon om behandling av opplysninger om seg selv. Videre er
det et sentralt prinsipp at det ikke skal lagres opplysninger utover
det som er nødvendig for formålet, og at disse opplysningene samtidig skal
være tilstrekkelige, korrekte og oppdaterte. Det er viktig at den
som er registrert har tillit til at personopplysninger behandles
med diskresjon, at de sikres tilfredsstillende, og at de ikke tilflyter
uvedkommende.
Avveining mellom personvern og andre samfunnshensyn
kan være krevende. Helsevesenets tilgang til og utveksling av pasientopplysninger, og
innsamling og bruk av personopplysninger i kriminalitetsbekjempelse
har vært spesielt gjenstand for oppmerksomhet og debatt.
Som følge av at vi legger igjen elektroniske
spor i stadig flere av våre daglige gjøremål, får personvernvurderinger
betydning. Spørsmål om retting og sletting av opplysninger står
sentralt, og får også betydelig oppmerksomhet internasjonalt. Det
samme gjelder spørsmål om hvem som skal ha tilgang til registrerte
personopplysninger, og hvilke formål opplysningene kan benyttes
til.
Teknologiutviklingen endrer personvernet. Både nasjonalt
og internasjonalt pågår omfattende revisjon av personvernreguleringen.
EU arbeider med revisjon av direktiv 95/46/EF (personverndirektivet)
og har stor oppmerksomhet rettet mot styrking av de registrertes
rettigheter. Både OECD og Europarådet arbeidet med gjennomgang og
oppdatering av sine retningslinjer/rekommandasjoner om personvern. Justisdepartementet
arbeider med en gjennomgang av personopplysningsloven med tanke
på revisjon av regelverket.
Teknologi er et virkemiddel som kan brukes til
å ivareta personvern samtidig som det ivaretar andre legitime hensyn
og behov. Med økende bruk av teknologi følger også et voksende behov
for å bruke teknologien på en personvernvennlig måte. Det er derfor
viktig at personvern er en integrert del av en organisasjons mål
og styringssystemer.
Erfaring viser at dersom personvern ikke allerede
fra starten er et sentralt krav, blir det ofte vanskelig å tilpasse
systemene til regelverkets krav senere. De som skal benytte nye
teknologiske løsninger, må derfor stille krav om at systemene bygges
i samsvar med gjeldende regelverk. De som utvikler ny teknologi,
må på sin side forstå betydningen av å velge de personvernvennlige
alternativene. Samarbeid mellom tilsynsmyndigheter og teknologiutviklere
kan være viktig for å oppnå gode resultater for personvernet. Både
personvern og teknologi byr på utfordringer som krever internasjonalt
samarbeid. Dialog med store internasjonale teknologiutviklere er
derfor svært interessant.
Formålet med stadig flere helseregistre er ofte
å styre og administrere helsetjenestene basert på fakta, kvalitet,
rasjonalitet og effektivitet. Helseregistre benyttes også til medisinsk
forskning og til å iverksette forebyggende tiltak i et folkehelseperspektiv.
Helseregisterlovens formålsbestemmelse fastslår
at helseopplysninger skal behandles i samsvar med grunnleggende
personvernhensyn. Helseregisterloven § 8 gir hjemmel for å opprette
sentrale helseregistre med direkte identifiserbare opplysninger
som ikke bygger på samtykke fra de registrerte. Selv om samtykke
er den klare hovedregelen og et sentralt personvernprinsipp, viser
det seg i praksis at de fleste helseregistre opprettes uten de registrertes
medvirkning.
Det følger av helseregisterloven og personopplysningsloven
med forskrifter at den databehandlingsansvarlige og databehandleren gjennom
planlagte og systematiske tiltak skal sørge for tilfredsstillende
informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet
og tilgjengelighet ved behandling av personopplysninger. Den databehandlingsansvarlige
er også pålagt å etablere og ivareta internkontroll.
Arbeidslivet er ett av de områdene der personvernutfordringene
synes å ha tiltatt i omfang og kompleksitet de senere årene. Informasjonsteknologien
gir muligheter for endringer i organiseringen av arbeidet, arbeidsprosesser
og arbeidsoppgaver. Dette får også følger for arbeidstakernes personvern.
Dagens teknologi gjør det lite kostnadskrevende å overvåke ansatte.
Samtidig er det viktig å være oppmerksom på
at kontrolltiltak i arbeidslivet ikke utelukkende er negativt for
de ansatte. En del kontrolltiltak iverksettes nettopp for å ivareta
de ansattes sikkerhet. Noen kontrolltiltak er iverksatt for å kunne
imøtekomme offentligrettslige rapporteringskrav eller andre typer
pålegg.
Det er enighet om at alle har krav på personvern og
en viss grad av privatliv, også på arbeidsplassen. Dette må balanseres
mot arbeidsgivers interesse i å opprettholde effektivitet, ivareta
de ansattes sikkerhet og beskytte seg mot skadelige konsekvenser
av de ansattes handlinger. I prinsippet om medbestemmelse ligger
blant annet at den ansatte skal kunne delta i vurdering av behov,
utforming, gjennomføring og vesentlig endring av kontrolltiltak
for å ha mulighet til å påvirke sitt arbeidsmiljø og til å påvirke
andres behandling av opplysninger om seg selv. Den ansatte skal
også gis rett til innsyn i opplysningene som behandles.
Departementet har merket seg at en del arbeidsgivere
synes å ha lav terskel for iverksetting av ulike typer kontrolltiltak
overfor de ansatte. Og terskelen for bruk av innsamlete personopplysninger
til andre formål kan være lav. Det er grunn til å spørre om det
er regelverket som er mangelfullt, eller om det er kunnskap om og vilje
til å etterleve regelverket som er utfordringen. Departementet vil
følge utviklingen på dette området i samarbeid med andre berørte
aktører. Etter meldingsåret er det inngått en samarbeidsavtale mellom
Datatilsynet og Arbeidstilsynet med det formål å sikre at felles problemstillinger
drøftes og løses, bidra til forståelse av grenseflater mellom myndighetene og
bidra til en enhetlig praksis, jf. Ot.prp. nr. 49 (2004–2005).
Mange arbeidsgivere ønsker tilgang til de ansattes
elektroniske kommunikasjon. Arbeidsgivers innsyn i e-postkassen
vil kunne gi arbeidsgiver innsyn i kommunikasjon som er privat, og
som arbeidsgiver ikke skal ha innsyn i. Av og til kan det likevel
være nødvendig at arbeidsgiver går inn i og leser virksomhetsrelatert
e-post i en ansatts e-postkasse. For å ivareta de ansattes rettigheter
i slike situasjoner, og for å verne om det som måtte finnes av privat
kommunikasjon i e-postkassen, er det oppstilt strenge vilkår for
arbeidsgivers innsyn i arbeidstakers e-post. Det er gitt bestemmelser
om varsling og uttalerett. Så langt det er mulig, skal den ansatte
også gis anledning til å være til stede når innsynet gjennomføres.
Mange av de utfordringene som følger med det
å eksponere seg på nett, er særlig aktuelle for barn og unge, fordi
de ofte har mindre kunnskap enn voksne om konsekvensene av sine
handlinger på nett. Det er jevnlig fokus på tilfeller der barn i
en aller annen form er blitt krenket som følge av misbruk av personopplysninger.
Samtidig ser vi en økende tendens til at voksne legger ut informasjon
om og bilder av sine barn på nett uten å vurdere konsekvensene for
barna, eller spørre barna om de synes slik eksponering er greit.
Holdningsskapende arbeid og informasjon om nettbruk
både blant barn og voksne er derfor fremdeles viktig, og må fortsette
i årene fremover. Datatilsynet er aktiv bidragsyter i undervisningskampanjen
dubestemmer.
En konsekvens av den økte nettbruken er dessverre
også at brukerne oftere opplever å få sitt personvern krenket på
nett. Som et svar på dette voksende problemet har regjeringen bevilget midler
til et toårig prosjekt i form av slettehjelpstjenesten slettmeg.no.
Tjenesten er en ren veiledningstjeneste og driftes av Datatilsynet. Den
har hatt stor pågang og har hjulpet mange siden åpningen i 2009.
I likhet med dubestemmer-kampanjen som ble lansert for noen år siden,
har også slettmeg.no vakt internasjonal interesse og oppmerksomhet.
Den raske og omfattende teknologiske utviklingen
har betydelige konsekvenser for personvernet – både positive og
negative. Flere og flere av de hjelpemidlene vi bruker til daglig
etterlater seg elektroniske spor. For noen år siden var det ressurskrevende
å ta vare på alle disse sporene. Nå krever det lite. Sletting av
data derimot krever tiltak og rutiner. Slike tiltak og rutiner blir
ofte ikke iverksatt. Mangelen på sletterutiner medfører at personopplysninger
hoper seg opp i enorme mengder, og kan utgjøre en personvernrisiko.
Departementet er derfor opptatt av at prinsippet om
dataminimalisering skal legges til grunn ved behandling av personopplysninger.
Ved å legge dette prinsippet til grunn reduseres mengden opplysninger
som lagres i lang tid. Strenge og gode nødvendighetsvurderinger
reduserer således i noen grad behovet for etterfølgende sletting
av opplysninger.
Personopplysninger er en raskt voksende handelsvare.
Selskaper tjener penger på personlige opplysninger generert fra
brukerne. Gratistjenester har ofte som forretningsidé at brukeren
betaler ved å stille sine personopplysninger til rådighet for videresalg
i bytte mot et gode. Økningen i antall opplysninger som samles inn, øker
treffsikkerheten og dermed betalingsvilligheten. Datatilsynet mener
denne utviklingen vil forsterkes i årene som kommer. Man gir fra seg
stadig flere og mer inngripende opplysninger uten å være seg bevisst
hvilken krets disse opplysningene blir spredt til, og hvordan de
kan brukes.
Datatilsynet nedsatte i 2010 en arbeidsgruppe som
skal se på personvernutfordringer knyttet til sosiale nettsamfunn
og apps. Det er gjennomført et forprosjekt med utgangspunkt i Facebook, som
blant annet viser at profilinformasjonen som hver enkelt bruker
frivillig gir fra seg, kun er en liten del av den samlede informasjonen som
Facebook innhenter. Facebook samler også inn informasjon om brukere
som ikke er medlemmer, og via selskapets ulike informasjonsapplikasjoner
innhenter Facebook opplysninger om brukere av andre nettsteder.
Som mot-ytelse får nettsidene som implementerer Facebooks informasjonsapplikasjoner,
blant annet tilgang på statistikk. En av forprosjektets konklusjoner
er at nevnte problemstillinger ikke kan ignoreres i tilsynets videre
arbeid, uavhengig av om norsk rett har jurisdiksjon over Facebook eller
ikke.
Departementet bemerker at personopplysninger synes
å ha fått en betydelig verdi i næringslivet. Internasjonale undersøkelser
kan tyde på at borgerne gjennomgående undervurderer markedsverdien
av egne personopplysninger. Samtidig synes det å være et stort gap
mellom næringslivets betalingsvillighet for personopplysninger og
for eksempel den prisen som settes på forsikring mot id-tyveri.
Departementet påpeker viktigheten av at Datatilsynet følger utviklingen
på dette området, og at borgerne bevisstgjøres om verdien på gjenbruksmulighetene
når de gir fra seg opplysninger.
Offentleglova er klarere enn tidligere regelverk med
hensyn til hva stat og kommune kan og skal publisere på Internett.
Datatilsynet har registrert en tendens til at offentlige myndigheter
i stadig større grad også offentliggjør saksdokumenter som inneholder
personopplysninger. Dette kan ha ulike årsaker. Personopplysninger
fra offentlige registre kan ha kommersiell interesse. Det offentlige
har i enkelte situasjoner pålagt seg selv å lage begrensninger i
søkefunksjonaliteten. Datatilsynet påpeker at slike begrensninger
kan bli virkningsløse når opplysningene lastes ned og publiseres
av andre.
Datatilsynet er bekymret for at enkeltpersoner skal
oppleve at det ved feil legges ut sensitive personopplysninger om
dem, og at bekymringer for feil, identitetstyveri og profildannelse
skal medføre at befolkningen avstår fra å klage eller på annen måte
benytte seg av rettigheter de har overfor det offentlige. Dette
kan i så fall utgjøre et demokratiproblem. Et av formålene med en åpen
forvaltning er at den skal gi borgerne kontroll med myndighetene.
Men åpenhet kan i verste fall også føre til tap av kontroll for
den enkelte borger. Det offentlige må med andre ord bli mer bevisst
på hvilke opplysninger som publiseres. Det er således ikke åpenhet
i seg selv som er problemet, men at en sak gjøres tilgjengelig på
Internett på en slik måte at den relateres til enkeltpersoner i
årevis via søkemotorer. Offentlighetshensynet kan ivaretas uten
at informasjonen tilgjengeliggjøres på denne måten.
Departementet har forståelse for Datatilsynets bekymring
knyttet til praktisering av offentlighets-reg-lene. Til tross for
at personvern var ett av flere temaer som sto sentralt i arbeidet med
den nye offentlighetsloven, viser dagens praksis at det stadig er
utfordringer å ta tak i. De personvernmessige utfordringene ved
å publisere journaler og saksdokumenter på Internett bør derfor
diskuteres og vurderes, enten i forbindelse med den forestående
evalueringen av offentlighetsloven eller i annen sammenheng.
Det er en økende trend blant privatpersoner
og virksomheter i retning av å flytte mye av den informasjonen som
tradisjonelt har vært lagret lokalt på datamaskinen, ut på nettet
til den såkalte nettskyen (cloud computing). Nettskyen er en fellesbetegnelse
på et vidt spekter av tjenester som leveres over eksterne nettverk.
En typisk nettskytjeneste er databasetjenester og lagring av data
i store eksterne serverparker.
Det kan både være kostnadseffektivt og praktisk å
benytte slike tjenester.
Datatilsynet har erfart at lagring av informasjon i
nettskyen reduserer brukernes kontroll med dataene. Mange av tjenestetilbyderne
har ikke egen serverpark, men bruker en annen leverandør for den
faktiske lagringen. For eksempel kan det innebære at dataene flyttes
til en server i et annet land, uten garanti for at de behandles
etter et bestemt regelverk. Datatilsynet mener det er viktig at
både privatpersoner og virksomheter er klar over de usikkerhetsmomenter
som gjelder ved kjøp av tjenester i nettskyen, og at dette særlig
gjelder for virksomheter som behandler personopplysninger. Overføres
personopplysninger til land utenfor EØS-området, krever regelverket i
utgangspunktet en prosess som involverer Datatilsynet.
Datatilsynet har utarbeidet en kortfattet veileder i
personvernkonsekvenser ved bruk av nettjenester. Tilsynet påpeker
at de reglene som gjelder for en behandlingsansvarlig i Norge, også gjelder
for behandlingen av personopplysninger som lagres i nettskyen. Også
departementet er enig i at lagring av kundeopplysninger eller andre
personopplysninger i nettskyen kan medføre en personvernrisiko.
I praksis er det imidlertid svært vanskelig å føre kontroll med
overholdelse av regelverket når personopplysningene er lagret i
nettskyen og i praksis kan flyttes rundt kontinuerlig. For næringslivet
bør spørsmålet om IKT-sikkerheten i nettskyen gi grunnlag for refleksjoner
over virksomhetens sårbarhet. EUs standardavtaler for overføring
av personopplysninger til tredjeland kan blant annet være et godt
instrument for å sikre at de nasjonale personvernreglene etterleves
ved bruk av databehandlere i land utenfor EØS-området.
Datatilsynet har lagt vekt på å medvirke til
at personvern bygges inn i nye teknologiske løsninger fra starten.
Det vil si en tilnærming med fokus på personvernfremmende teknologi,
eller personvernvennlig design, og anerkjennelse av at godt personvern
ikke kan sikres utelukkende ved hjelp av lover og regulering. Ideelt
sett må personvern inngå som en naturlig del av en organisasjons
virksomhetsstyring.
Dersom det ikke bygges inn personvern i designfasen
ved nyutvikling av informasjonssystemer, viser det seg ofte å være
vanskelig å få dette til i ettertid.
Departementet deler Datatilsynets vurdering
av betydningen av innebygget personvern. Jo tidligere i prosesser
det tenkes personvern, jo lettere er det å finne frem til gode og
rimelige personvernløsninger. Det er viktig å arbeide frem internasjonalt
aksepterte løsninger som de store teknologiutviklerne implementerer
i sine systemer. Departementet følger utviklingen på dette området
med interesse og ønsker å bidra til at det offentlige tar i bruk
innebygget personvern.
Datatilsynet viser til at helsesektoren er et
område hvor personvernet er under stort press. Datatilsynet viser
til at forventning om å kunne samle inn og forske på helseopplysninger,
større mobilitet både mht. pasienter og helseopplysninger, og ønsket
om effektivisering av pasientbehandling ved bruk av informasjonsteknologi,
er viktige drivkrefter i helsesektoren.
I meldingsåret ble rapporten «Gode helseregistre –
bedre helse (strategi for modernisering og samordning av sentrale
helseregistre og medisinske kvalitetsregistre)» sendt på høring
i regi av HOD. Datatilsynet hadde flere merknader til rapporten.
Tilsynets viktigste merknad gikk på valg av registerform, og at
prinsippet om pasientens samtykke i økende grad tilsidesettes. Datatilsynet
uttrykker også skepsis til at rapporten åpner for sammenslåing av
helseregistrene til et altomfattende sentralisert helseregister.
Datatilsynet mener at etableringen av et sentralt altomfattende
helseregister ikke er en ønsket utvikling av hensyn til personvernet.
Ansvaret for de ulike helseregistrene bør derfor etter Datatilsynets
oppfatning tillegges ulike organisasjoner, slik at det opprettes
skranker ved koblinger og utleveringer. Dersom det ikke opprettes
slike skranker, vil ulovlig bruk av helseregistrene kunne skje uoppdaget.
Et godt og effektivt samarbeid mellom helsepersonell
med tilhørighet i forskjellige statlige og kommunale virksomheter
forutsetter at helseopplysninger kan utveksles på enklest mulig
måte. Enklere «informasjonsflyt» av helseopplysninger stiller store
krav til fremtidens IKT-systemer i helsesektoren. «Norm for informasjonssikkerhet
i helsesektoren» med veiledere er et solid og viktig arbeid for
å sikre forsvarlige IKT-systemer, og er resultat av et godt samarbeid
mellom helsemyndighetene og andre aktører, herunder Datatilsynet.
I tillegg til omfattende omstillinger i helsetjenestene
er det etablert en langsiktig strategi for sekundærbruk av helseopplysninger,
til for eksempel administrasjon, styring, forebygging og forskning.
Trenden er at registrene skal være identifiserbare, nasjonale og
at hvert register skal dekke et bredt spekter av ulike formål uten pasientens
samtykke. Når formålet med et register er bredt, blir opplysningsmengden
tilsvarende omfangsrik. Prinsipielt kan det argumenteres for et
skille mellom registerformer som skal benyttes for henholdsvis primærbruk og
sekundærbruk. Det er derfor positivt at Helse- og omsorgsdepartementet
legger opp til at samtlige av helseregisterlovens registerformer,
også de mer personvernfremmende, skal vurderes som alternativer
ved etablering av fremtidige helseregistre.
Personvernnemndas sammensetning ble sist endret
1. januar 2009 da ny leder og nestleder, samt to nye medlemmer startet
sin funksjonstid. På grunn av den store saksmengden som kom inn
i 2009 (25 saker), er ti av disse overført til og ferdigbehandlet
i 2010. I meldingsåret har det kommet inn 13 klagesaker. Av disse
er fire ferdigbehandlet. Det vil si at totalt 14 saker ble ferdigbehandlet
av nemnda i 2010. Selv om antallet klagesaker i 2010 er redusert
sammenlignet med foregående år, fremhever nemnda at flere av sakene
har vært prinsipielle, og at fire av de mest omfattende sakene er
blitt behandlet over flere møter.
Personvernnemnda mener at antallet klagesaker kan
ha sammenheng med hvilke sektorer Datatilsynet gjennomfører tilsyn
hos.
Personvernnemnda har omgjort Datatilsynets vedtak
i seks av de 14 klagesakene som er behandlet i 2010. At det er avvikende
syn mellom Datatilsynet og Personvernnemnda i nær halvparten av
de saker som er ferdigbehandlet i 2010, antas blant annet å gjenspeile
sakenes kompleksitet og prinsipielle karakter. Departementet viser
også til at nemnda har vært delt i synet på enkeltsaker. For øvrig
påpeker departementet at antallet klagesaker er meget lavt tatt
i betraktning det høye antall vedtak Datatilsynet fatter årlig.
Av de påklagede vedtakene er det også en del som omgjøres av Datatilsynet
selv, og som derfor aldri blir oversendt Personvernnemnda for vurdering.
Datatilsynet er opptatt av at noen spørsmål er av så prinsipiell
karakter at det er riktig at de avgjøres av klageorganet. Departementet
deler denne vurderingen. Av de sakene Personvernnemnda har behandlet
i 2010, fremheves fildelingssaken, som nemnda har jobbet med i over
et år. Det vises til nærmere omtale i meldingens kapittel 3.
Georg Apenes fratrådte som direktør 8. april 2010
etter over 20 år som tilsynets direktør. Datatilsynet fikk ny direktør
da Bjørn Erik Thon tiltrådte 2. august 2010.
Datatilsynet hadde i 2010 et budsjett på 31
mill. kroner, en økning på ca. 3 mill. kroner fra 2009. I tillegg
fikk Datatilsynet bevilget 4 mill. kroner til videreføring av prosjekter
som retter seg mot internkontroll og informasjonsvirksomhet i norske
virksomheter og etablering av slettmeg.no, som begge ble startet
opp i 2009. Mesteparten av det ordinære budsjettet dekker lønnskostnader.
I tillegg medgår det en del kostnader til reisevirksomhet knyttet
til avholdte tilsyn.
I løpet av året har Datatilsynet registrert
omkring 1 600 nye saker til behandling. Det innkom 357 konsesjonssøknader,
hvorav 251 var nye bankkonsesjoner, og 3 693 meldinger om behandling av
personopplysninger. Tilsynet avga uttalelse i litt over halvparten
av de innkomne høringssakene, hvorav de fleste gjaldt justis- og
helsesektoren.
Departementet er tilfreds med måten Datatilsynet
utnytter sine ressurser på i forhold til de omfattende oppgavene
tilsynet har. Prioritering av diverse nasjonale og internasjonale
råd og utvalg fremstår som hensiktsmessig. Særlig vil departementet
påpeke betydningen av internasjonalt arbeid.
Personvernnemnda hadde i 2010 en budsjettramme
på kr 1 683 000. Totalt forbruk var på ca. 1,3 mill. kroner. Nemnda
ga økonomisk støtte til Personvernkonferansen 2010. Det ble avholdt
11 møter i nemnda, samt et kontaktmøte med departementet. Personvernnemnda
v/leder var også representert på OECD-konferansen og den internasjonale
konferansen for datatilsynsmyndigheter. Etter departementets vurdering
har Personvernnemnda på en god måte ivaretatt sin rolle som klageorgan
innenfor de rammer som ble vedtatt for 2010.
Komiteen, medlemmene fra Arbeiderpartiet,
Lise Christoffersen, Håkon Haugli, Hilde Magnusson, Ingalill Olsen
og Knut Petter Torgersen, fra Fremskrittspartiet, Gjermund Hagesæter,
Morten Ørsal Johansen og Åge Starheim, fra Høyre, Trond Helleland og
Michael Tetzschner, fra Sosialistisk Venstreparti, lederen Heikki
Holmås, fra Senterpartiet, Heidi Greni, og fra Kristelig Folkeparti,
Geir Jørgen Bekkevold, mener Datatilsynet er det viktigste
redskap for daglig ivaretakelse av personvernhensyn i forvaltningen,
i privat sektor og i norsk offentlighet generelt. Tilsynet arbeider
med spørsmål av stor rekkevidde for borgerne. Datatilsynet skal
bidra til å identifisere risikoområder og gi råd om hvordan skadepotensialet
ved at personopplysninger kommer på avveie, kan unngås eller minimaliseres. Datatilsynet
fører en offentlig fortegnelse over alle behandlinger av personopplysninger
som er meldt inn. Videre behandler Datatilsynet søknader om konsesjon,
der det kreves etter loven.
Komiteen vil peke på at samfunnslivet
etter hvert får flere bestemmelser som skal sikre forsvarlig behandling
av personopplysninger. Likevel er det en stor oppgave for et tilsyn
å kontrollere at lover og forskrifter blir fulgt og at avvik mellom
lov og praksis blir rettet. I motsetning til hva som er tilfellet
ved overtredelse av andre lover eller krenkelse av individuelle
rettigheter, der det er lett å identifisere en skadelidende part,
vil svært mange brudd på personopplysningsloven være en «forbrytelse uten
offer». Urettmessig eller uproporsjonal registrering er rettsstrid
allerede på registreringstidspunktet, det vil i praksis si lenge
før eventuelle skadevirkninger har vist seg. Dette tilsier nødvendigheten
av et aktivt, skadeforebyggende tilsyn.
Komiteen vil likeledes fremheve
viktigheten av tilsynets rådgivningsarbeid overfor bransjeorganisasjonene
i deres arbeid med å utvikle gode, bransjevise normer. Utviklingen
av bransjevise kutymer som går lenger enn lovens minstekrav til
behandling av personfølsomme opplysninger kan supplere formelle
lover og forskrifter, samtidig som det minner aktørene på at de
ikke nødvendigvis bør utnytte de tekniske registreringsmuligheter
til lovens yttergrense.
Komiteen vil peke på at det praktiske
erfaringsgrunnlaget Datatilsynet får gjennom sin virksomhet, også
representerer et kompetansesenter for personvernspørsmål som lovgiver kan
bruke ved utviklingen av nye regler som den teknologiske utviklingen
gjør nødvendig. Derfor er tilsynets rolle som deltaker i samfunnsdebatten
svært velkommen.
Komiteen har merket seg at departementet
har lagt vekt på teknologiens muligheter til også å virke personvernfremmende.
Departementet fremhever betydningen av at når nye løsninger utvikles,
kan de designes slik at personvernvennlige alternativer blir førstevalget.
Det betyr at det kun lagres opplysninger som er nødvendige for registreringens
formål, og hvor det ev. kan åpnes for frivillig registrering av
tilleggsopplysninger. Komiteen er enig i at en slik
metodikk vil kunne styrke personvernet i konkrete valgsituasjoner.
Komiteen vil henvise til at personvernfremmende
teknologi er gitt en bred omtale i Personvernkommisjonens innstilling
NOU 2009:1, som man imøteser den videre oppfølging av fra departementet.
Komiteen har merket seg at det
i årsmeldingen er fremhevet enkelte arbeidsområder som særlig aktuelle:
helsesektoren, arbeidslivet og sosiale medier.
Komiteen vil understreke betydningen
av at helseopplysninger behandles forsvarlig. Hovedregelen er at
bruk av helseopplysninger til andre enn behandlingsrettede formål
skal være basert på informert samtykke. Dette er et sentralt personvernprinsipp
og skal sikre den enkelte en reell mulighet til å bestemme over
bruken av egne personopplysninger. Selv om samtykke er hovedregelen,
er det en urovekkende praksis at de fleste helseregistre opprettes
uten de registrertes medvirkning.
Komiteen vil peke på at personvernutfordringene
i arbeidslivet har økt som følge av teknologiutviklingen, og at
bruk av datamaskiner på arbeidsplassen kan utviske skillene mellom privat
og arbeidsrelatert kommunikasjon. Slike forhold har en del ganger
kommet for retten, og komiteen legger til grunn at
departementet følger rettsutviklingen, og ev. overveier bestemmelser
som kan forbygge eller løse eventuelle motsetninger mellom arbeidsgivers
kontrollbehov og arbeidstakers personvern.
Komiteen har med tilfredshet
notert at tilsynet og departementet har fremhevet den stigende bruken
av de sosiale mediene, som Facebook, Twitter og YouTube og de personvernmessige problemene
som har oppstått. En konsekvens av den økte nettbruken er at brukerne
oftere opplever å få krenket sitt personvern på nettet. For særlig
de yngre brukerne gjelder at krenkelsen finner sted etter aktiv
medvirkning av den som rammes. For å motvirke dette bevilget Stortinget penger
til slettehjelpstjenesten slettmeg.no i et toårig prosjekt. Komiteen vil
fremheve verdien av at tjenesten kan fortsette, og legger til grunn
at regjeringen i fremtidige budsjettforslag innarbeider en forutsigbar
økonomisk ramme for denne virksomheten.
Komiteen viser til at det har
vært en uavklart diskusjon om hvorvidt institusjoner, i dette tilfelle
høyskoler og universiteter, har anledning til å nekte å utlevere
personregistre over sine studenter når utenforstående kommersielle
interesser ber om innsyn med hjemmel i offentlighetsprinsippet.
Komiteen viser til at avklaring
av konkurrerende rettsprinsipper vil være forvaltningens og domstolenes
ansvar i første omgang, men at lovgiverne må ta det endelige ansvar
for hvilken rettstilstand en ønsker for personverninteressen. Komiteen vil
imøtese en nærmere omtale av de eventuelle funn Datatilsynet gjør
ved tilsyn av institusjoners personvernpraksis, og i denne sammenheng
hvilke avveininger Personvernnemnda foretar.
Komiteen fremhever diskusjonen
om datalagringsdirektivet (DLD) som et eksempel på at utviklingen
av rettsregler utenfor våre grenser blir stadig viktigere for Norge.
Sentrale deler av personvernlovgivningen er bygget på EU-direktiver,
og EU-organer er sentrale i fortolkning av regelverket. Multinasjonale
selskaper som Google, Apple og Facebook behandler enorme mengder
personopplysninger. Det er utfordrende både å få kunnskap om hva
de faktisk gjør og ikke minst komme i inngrep med dem. At disse selskapene
ofte er lokalisert utenfor Norge og Europa stiller oss også overfor
problemer mht. jurisdiksjon.
Komiteen vil videre peke på at
Europakommisjonen i etterkant av evalueringsrapporten om DLD har
gjennomført en høring. Resultatet av høringen skal inngå i en konsekvensanalyse, som
igjen skal danne grunnlaget for et forslag om endring av direktivet.
Kommisjonen har bestilt en ekstern rapport som vil bli lagt fram
i mai 2012, samtidig med konsekvensanalysen. Forslaget til endring
av datalagringsdirektivet er ventet i juli.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Sosialistisk Venstreparti, Senterpartiet og
Kristelig Folkeparti, har merket seg at det både nasjonalt
og internasjonalt arbeides med å styrke regelverket på personvernområdet.
Justisdepartementet arbeider med en gjennomgang av personopplysningsloven
med sikte på en revisjon. Internasjonalt har personvern også bred
oppmerksomhet. I tillegg til at både OECD og Europarådet nå oppdaterer
sine retningslinjer om personvern, arbeider EU med en oppdatering
av direktiv 95/46/EF (personverndirektivet). EU har stor oppmerksomhet
rettet mot å styrke de registrertes rettigheter.
Komiteen vil understreke
viktigheten av Datatilsynets brede internasjonale arbeid. Siden
EU vil være en sentral premissleverandør for fremtidige personvernrettslige
normer og regler, er komiteen særlig tilfreds med
at Datatilsynet har valgt og fått mulighet til å delta i arbeidsgruppen
som er opprettet etter artikkel 29 i EU-direktivet om personvern
(Artikkel 29-gruppen). Komiteen er opptatt av at
Datatilsynet også deltar aktivt på andre relevante internasjonale arenaer
for erfaringsutveksling, slik at tilsynet er oppdatert på den teknologiske
utviklingen og internasjonal tenkning på personvernområdet.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Sosialistisk Venstreparti, Senterpartiet og
Kristelig Folkeparti, er tilfreds med at Datatilsynet retter
en viktig del av sin virksomhet inn mot barn og unge. I denne sammenheng
vil flertallet vise til at regjeringen har fremmet
forslag til endringer i personopplysningsloven, Prop. 47 L (2011–2012),
som bl.a. omfatter ny § 11 tredje ledd:
«Personopplysninger som gjelder barn skal ikke behandles
på en måte som er uforsvarlig av hensyn til barnets beste.»
Det fremkommer av proposisjonen at bestemmelsen
blant annet vil kunne omfatte publisering av personopplysninger
om egne barn. Datatilsynet har ved flere anledninger uttrykt bekymring for
foreldres bruk av slike personopplysninger for å fremme egen sak
i barneverns- og/eller barnefordelingssaker. Forslaget om bedre beskyttelse
av barns personopplysninger innebærer at Datatilsynet vil kunne
gripe inn ved grove krenkelser av barns personvern. Flertallet vil
understreke at mindreåriges personvern er et problem som må tas
svært alvorlig. Bilder og opplysninger om barn spres lett på nettet,
og det er dessverre ikke alltid voksne setter barns behov og interesser
først.
Flertallet tar til etterretning
at Personvernnemnda i meldingsåret omgjorde Datatilsynets vedtak
i 6 av 14 behandlede saker. Dette er en høyere andel enn tidligere
år. Flertallet legger imidlertid til grunn at dette
ikke er et resultat av dårligere saksbehandling hos Datatilsynet,
men heller et uttrykk for at flere saker er sammensatte og prinsipielle.
Det totale antall klagesaker er lavt tatt i betraktning Datatilsynets
betydelige saksmengde.
Komiteens medlemmer fra Fremskrittspartiet,
Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti viser til
Innst. 275 L (2010–2011) om Datalagringsdirektivet:
«Komiteens medlemmer fra Fremskrittspartiet, Sosialistisk
Venstreparti, Senterpartiet og Kristelig Folkeparti påpeker at personvernet
er under press, og ny teknologi muliggjør økt overvåkning. Ny teknologi
innebærer alltid nye muligheter. Men det er politikkens rolle å
sette grensene for teknologien når det finnes interessekonflikter;
som her opp mot personvernet og rettsstatsprinsipper.
Datalagringsdirektivet
endrer dagens praksis, fra en begrenset lagringsmulighet for faktureringsformål,
til en pålagt lagring av trafikkdata over lengre tid. Direktivet
pålegger alle teleselskaper å lagre hvem man ringer til, hvor man
ringer fra, hvor lenge man snakker, hvem man sender SMS til, hvor
mottakeren befinner seg, når man er på Internett, hvor lenge, og
hvem man sender e-post til, i 6–24 måneder.
Overgangen
fra lagringsmulighet og sletteplikt til en lagringsplikt, betyr
et stort skritt inn i et overvåkingssamfunn som disse medlemmer
ikke ønsker.»
Komiteens medlemmer fra Fremskrittspartiet
og Kristelig Folkeparti mener personvernet i vår tid er
under et sterkere press enn noen gang tidligere. Datatilsynet har
en avgjørende rolle i å motvirke dette. Samtidig med at informasjonsutveksling
gjennom Internett og sosiale medier stadig blir enklere, øker også
faren for misbruk av informasjon. Økt digital kompetanse gir også
et behov for økt kritisk kompetanse hos den enkelte.
Komiteens medlemmer fra Fremskrittspartiet vil
vise til at Fremskrittspartiet i sitt alternative budsjett for 2012
har øket bevilgningene til Datatilsynet med 5 mill. kroner.
Komiteens medlemmer fra Høyre har merket
seg at utover omtalen av DLD som i 2010 primært var et innenrikspolitisk
tema, inneholder årsmeldingen i motsetning til tidligere sparsomt
med vurderinger og informasjon om internasjonale utvik-lingstrekk
som har betydning for tilsynets arbeid. Disse medlemmer imøteser
gjerne en omtale av disse og beslektede temaer i senere årsmeldinger.
Komiteen har for øvrig
ingen merknader, viser til meldingen og rår Stortinget til å gjøre
slikt
vedtak:
Meld. St. 6 (2011–2012) – om Datatilsynets
og Personvernnemndas årsmeldinger for 2010 – vedlegges protokollen.
Oslo, i kommunal- og forvaltningskomiteen, den 31. januar 2012
|
Heikki Holmås |
Michael Tetzschner |
|
leder |
ordfører |