Det blir i meldinga vist til at Datatilsynet
er den sentrale personvernstyremakta. Tilsynet vart oppretta i 1980
og har vakse frå ei verksemd med nokre få tilsette til om lag 40
i dag. Verksemda er inndelt i fire avdelingar: administrasjonsavdelinga,
kommunikasjonsavdelinga, juridisk avdeling og tilsyns- og tryggleiksavdelinga.
Oppgåvene til tilsynet er definerte i personopplysningslova
§ 42.
Datatilsynet fører i tillegg tilsyn etter ulike
lover.
Datatilsynet har definert følgjande som kjerneoppgåvene
sine:
Behandle innkomne
saker og drive tilsynsverksemd, jf. personopplysningslova § 42 nr.
2 og 3.
Gi råd og rettleiing til privatpersonar,
næringsdrivande, offentlege etatar o.l., jf. personopplysningslova
§ 42 nr. 6.
Vere ombod for personvernspørsmål, jf.
personopplysningslova § 42 nr. 5.
Drive informasjonsarbeid, jf. personopplysningslova
§ 42 nr. 5 og 6.
Dette samsvarar langt på veg med omtalen Personvernkommisjonen
har gitt, sjå rapporten frå kommisjonen, punkt 18.1.2.
Både tilsynsverksemd og informasjonsarbeid er verkemiddel
Datatilsynet nyttar for å gjere personvernregelverket betre kjent.
Ombodsrolla blir òg brukt aktivt som eit verkemiddel i samanhengar
der tilsynsrolla anten ikkje fungerer godt, eller der det ikkje
er rettsleg grunnlag for å bruke den kompetansen Datatilsynet har
som tilsyn.
Datatilsynet er oppretta som eit uavhengig tilsynsorgan
underlagt Fornyings-, administrasjons- og kyrkjedepartementet. NOU 1997:19
Et bedre personvern peikte bl.a. på at «departementets etatsstyring
må ta hensyn til at tilsynsmyndigheten skal være faglig uavhengig».
At Datatilsynet skal vere uavhengig, er stadfesta i
Ot.prp. nr. 92 (1998–1999) og i Innst. O. nr. 51 (1990–2000), der
«komiteen er enig med Justis- og beredskapsdepartementets karakteristikk
av Datatilsynet som et faglig uavhengig forvaltningsorgan med særskilt
vide fullmakter». Den uavhengige stillinga er òg forankra i europeisk regelverk.
I EUs forslag til forordning på personvernområdet er den uavhengige
stillinga omtala i kapittel 6. Her blir alle EU/EØS-land pålagde
å ha ei uavhengig personvernstyremakt. Enkeltvedtaka til Datatilsynet
kan likevel klagast inn til Personvernnemnda.
I tillegg arbeider ei lang rekkje tilsynsstyremakter
med spørsmål knytte til behandling av personopplysningar på sitt
kompetanseområde. Dette gjeld mellom anna Arbeidstilsynet, Post- og
teletilsynet, Helsetilsynet og Forbrukarombodet.
Datatilsynsstyremaktene i EØS-området er ulikt organiserte.
Eit gjennomgåande trekk er likevel at organa er organiserte som
sjølvstendige sektorstyremakter, og at dei i tillegg til tilsynsoppgåver
har ei ombodsrolle ved at dei skal skape medvit rundt og delta i
debattar om personvern. Oppgåvene deira består i hovudsak av å behandle
saker om og føre tilsyn med bruk av personopplysningar, gi rettleiing
om behandling av personopplysningar og kome med høyringsfråsegner.
Trass i noko ulike oppgåver er det relativt liten skilnad på korleis personvernstyremaktene
i dei nordiske landa er organiserte, og det er godt samarbeid mellom etatane.
Organiseringa av personvernstyremakta er omtala
i kapittel 11 i rapporten frå Personvernkommisjonen. Personvernkommisjonen kjem
med fleire forslag til endringar. Forslaga omhandlar desse tema:
oppgåvene og ressursane
til Datatilsynet
regionalisering av Datatilsynet
oppretting av eit råd for Datatilsynet
sektorvis styring av personvernkompetansen
dialog med akademia og andre fagmiljø
Hausten 2010 gav Fornyings-, administrasjons- og
kyrkjedepartementet Direktoratet for forvaltning og IKT (Difi) i
oppdrag å evaluere Datatilsynet. Evalueringa var ei oppfølging av framlegget
frå Personvernkommisjonen. Målet med prosjektet var
å vurdere om personvernstyremaktene,
og Datatilsynet som hovudaktør, har dei nødvendige føresetnadane
for å kunne oppfylle rollene og oppgåvene sine i samsvar med personopplysningslova
å gi Fornyings-, administrasjons- og kyrkjedepartementet
eit betre grunnlag for å vidareutvikle styringsdialogen mellom FAD, Datatilsynet
og Personvernnemnda
å gi Datatilsynet eit godt verktøy for
framtidig organisasjons- og utviklingsarbeid
Som ein del av arbeidet vart ei rekkje interne
og eksterne informantar intervjua.
Rapporten Evaluering av Datatilsynet vart framlagd
3. oktober 2011.
Hovudkonklusjonen til Difi var at Datatilsynet oppnår
gode resultat på eit breitt område. Det vart òg understreka at Datatilsynet
hadde utvikla seg positivt både med tanke på å gjere organisasjonen
betre rusta til å løyse ulike typar oppgåver og til å kome i konstruktiv
dialog med ulike målgrupper. Dei fleste informantane vurderte Datatilsynet
som ein god rådgivar i personvernspørsmål, samstundes som det kom fram
noko kritikk frå enkelte informantar som meinte Datatilsynet ikkje
alltid er gode nok til å vurdere ulike omsyn mot kvarandre.
Det vart òg peikt på enkelte ting som kunne
bli betre. Rapporten peikte mellom anna på behovet for meir strategisk
bruk av verkemiddel og ressursstyring, sterkare rollemedvit, ei
tydeleggjering av ombodsrolla, betre samarbeid med ulike målgrupper
og betre forvaltningskompetanse.
Rapporten frå Difi konkluderer med at det er
lite fagleg kontakt mellom Datatilsynet og Personvernnemnda. Datatilsynet
er likevel bevisst på å bruke klageorganet for å få avklåra prinsipielle tolkingsspørsmål.
Sidan Datatilsynet er eit fagleg uavhengig forvaltningsorgan, er
den faglege kontakten mellom Datatilsynet på den eine sida og Justis-
og beredskapsdepartementet og Fornyings-, administrasjons- og kyrkjedepartementet
på den andre òg etter måten liten. Departementa er mellom anna varsame
med å uttale seg om korleis regelverket skal tolkast, fordi bruk
av reglane er ei oppgåve for Datatilsynet og eventuelt Personvernnemnda.
For å leggje til rette for effektiv ressursbruk
på alle område gjennomførte Datatilsynet ein intern strategiprosess
parallelt med evalueringa til Difi. Den nye strategien vart lansert
i november 2011 og peiker ut kva retning Datatilsynet skal gå i
dei neste fem åra.
Eit hovudpunkt her er ei meir strategisk arbeidsform.
Datatilsynet vedtek kvart år ein detaljert verksemdsplan som slår
konkret fast kva aktivitetar etaten skal gjennomføre. I tillegg
har Datatilsynet vedteke fagstrategiar på helseområdet, i justissektoren
og på det internasjonale området.
Eit anna viktig punkt i strategien er å medverke til
auka interesse for og kunnskap om personvern og vidare å arbeide
for at andre aktørar òg legg vekt på personvern.
Strategien legg òg vekt på kor viktig det er
med kvalitet og kompetanse. Det er sett i gang ein plan for å heve
kompetansen internt. Datatilsynet gjer òg i større grad enn tidlegare
klåre prioriteringar av innkomne saker og har som mål å behandle
fleire saker ved å gi rettleiing framfor å gi kvar sak ei full forvaltningsbehandling.
Til slutt er det ei viktig oppgåve å identifisere
farar for personvernet og vere synleg og tydeleg i den offentlege
debatten. Datatilsynet skal bruke ombodsrolla til å fremje debatt,
men samtidig markere tydeleg i kvart einskilt tilfelle kva for ei av
rollene sine etaten spelar.
Det er ikkje uvanleg i norsk forvaltning at
eit organ har fleire roller. Det er likevel ikkje vanleg med to
så tydelege roller i eitt og same organ som det ein finn i Datatilsynet.
Både Difi og Personvernkommisjonen peiker på at det kan vere krevjande
å ha rolla som både tilsyn og ombod. Medan tilsynsrolla krev nøytralitet
og objektivitet, ligg det i rolla som ombod at ein skal ta konkret
stilling til ulike spørsmål. Difi peiker i rapporten på at det sterke
engasjementet blant dei tilsette i etaten kan føre til at medvitet
om rolla som forvaltningsorgan ikkje alltid er sterk nok. Datatilsynet
sjølv peiker i strategien sin på at det kan vere spesielt krevjande
å skilje mellom dei to rollene når ein går frå ombodsrolla til tilsynsrolla.
Difi peiker i evalueringa av Datatilsynet på
ei oppfatning av at tilsynet ikkje alltid godt nok veger omsyn og
regelverk opp mot kvarandre, og at dei i for stor grad einsidig
legg vekt på personvernomsyn. I evalueringa frå Difi er det òg lagt vekt
på at hovudtyngda av informantane viser stor forståing for dei ulike
rollene Datatilsynet har, og meiner at etaten i hovudsaka balanserer bra
i arbeidet med ulike oppgåver.
Det er mange fordelar med å kombinere dei to rollene,
som i mange tilfelle overlappar kvarandre. I høyringsarbeidet glir
rollene over i kvarandre. I informasjonsarbeidet er det òg vanskeleg
å skilje mellom informasjon som blir gitt i rolla som ombod, og
informasjon som blir gitt i rolla som tilsyn. Som tilsyn får Datatilsynet
kvart år ca. 10 000 meldingar og telefonsamtaler frå næringsdrivande
og privatpersonar. Datatilsynet kan derfor basere synspunkta sine
i høyringssaker og utvalsarbeid på ein unik og erfaringsbasert kunnskap
om korleis personvernlovgivinga faktisk blir etterlevd.
Ein kombinasjon av dei to rollene gir dessutan Datatilsynet
eit større handlingsrom enn om rollene var skilde.
Aktivt internasjonalt engasjement er viktig
for Datatilsynet. Eit eventuelt reint ombod på personvernområdet
vil ikkje ha tilgang til dette nettverket.
Det blir i meldinga vist til at for sterk oppsplitting
i forvaltningsorgan med reindyrka roller vil kunne gi ei uoversiktleg
forvaltning. I samband med evalueringa av Datatilsynet peiker Difi likevel
på at det kan vere nødvendig å avklåre ombodsrolla til statlege
organ meir generelt. I Datatilsynet sitt tilfelle verkar fordelane
med å halde på begge rollene først og fremst å vere at etaten i
utøvinga av ombodsrolla kan dra nytte av den verdifulle informasjonen
og kompetansen dei opparbeider seg gjennom å utøve rolla som tilsynsstyremakt.
For eit lite organ som Datatilsynet med eit stort arbeidsfelt er
dette svært verdifullt. Den største utfordringa ved å kombinere dei
to rollene er at det kan vere krevjande både for tilsynet sjølv
og for dei som samhandlar med tilsynet, å vite kva rolle etaten
til kvar tid opptrer i, og dermed kva verkemiddel dei kan bruke.
I Datatilsynet sitt tilfelle meiner regjeringa
at fordelane med å halde dei to rollene i eitt og same organ skyggjer
over ulempene. Regjeringa viser òg til at fleirtalet i Personvernkommisjonen –
14 medlemer – meiner at kombinasjonen av roller i Datatilsynet bør
vidareførast. Dette er òg den konklusjonen regjeringa har trekt.
Samtidig blir det understreka at det er viktig at Datatilsynet er
tydeleg på dei ulike rollene sine, og spesielt når det flytter seg
frå ombodsrolla over i tilsynsrolla. Datatilsynet har i det store
og heile klart å balansere dei to rollene på ein tilfredsstillande måte,
noko som òg blir understreka i evalueringsrapporten frå Difi. Det
blir lagt til grunn at Datatilsynet òg i det vidare arbeidet arbeider
aktivt med rolleforståinga, slik at det blir mogleg å kombinere
dei to rollene på ein god måte. Det er viktig å ha eit sterkt, synleg
og uavhengig datatilsyn som fremjar personvernomsyn og talar personvernet
si sak.
Både Difi og Personvernkommisjonen har peikt på
kor viktig det er at Datatilsynet har kontakt med forskings- og
utviklingsmiljø. Ein del av den strategiske satsinga til Datatilsynet
går ut på å styrkje dialogen med FoU-miljøa og setje i verk forskingsprosjekt
på personvernområdet. Datatilsynet har òg eit etablert samarbeid
med fleire høgskular og universitet. Regjeringa legg derfor til
grunn at Datatilsynet held fram med å utvikle forholdet til forskings-
og utviklingsmiljøa til felles nytte.
Personvernkommisjonen føreslår at det blir oppretta
eit «Datatilsynets råd», som kan fungere som «et kollektivt rådgivningsorgan
med bredere sammensetning enn man finner i Datatilsynets profesjonelle
stab». Dette er grunngitt med at personopplysningslova krev mange
interesseavvegingar, og at ein bør sikre at det også blir lagt vekt
på andre interesser enn personverninteressene.
Det går fram av meldinga at det ikkje er aktuelt no
å opprette eit råd for Datatilsynet, slik Personvernkommisjonen
har teke til orde for. Dersom enkeltsaker, rapportar og tilsynsrapportar
skal leggjast fram for eit kollegialt råd, vil det mest truleg føre
til lengre saksbehandlingstid enn i dag. Datatilsynet har stor sakspågang,
og eit råd kan derfor lett bli eit kompliserande og fordyrande ledd
i saksbehandlinga. Personvernnemnda har i dag full kompetanse til
å overprøve enkeltvedtaka Datatilsynet gjer. Eit råd vil i mange
tilfelle føre til at det i realiteten kan bli tre instansar som
vurderer saker. Godt samarbeid og god dialog med sektorinteresser,
næringsliv og andre styremakter kan tilføre Datatilsynet informasjon
som legg grunnlag for ei balansert saksbehandling, og kan dermed
redusere behovet for eit rådgivingsorgan.
I forslaget til ny EU-forordning blir det understreka
at tilsynsstyremakta skal vere absolutt uavhengig.
Personvernkommisjonen peiker på at personopplysningslova
krev breie vurderingar og interesseavvegingar. Datatilsynet vil,
ved å satse på kompetanseutvikling og auka kontakt med ulike målgrupper
og FoU-miljø, vere godt rusta til å gjere dei avvegingane fagområdet
krev. I klagesaker blir desse vurderingane tekne av Personvernnemnda.
Difi understrekar i rapporten sin (kapittel
7.2) kor viktig det er at Datatilsynet gjer ei strategisk vurdering
av den samla verksemda og bruken av verkemiddel, medrekna samarbeid
med eksterne aktørar.
Omfattande kontakt med eksterne aktørar er ei viktig
strategisk satsing for Datatilsynet. Det er viktig med slik kontakt,
og det synest å vere ein situasjon alle partar tener på. Gjennom
aktiv rådgiving kan Datatilsynet bidra til at eksterne aktørar tek
omsyn til personvernet i si eiga verksemd. Som Difi peiker på, er
det likevel viktig å formidle klårt kvar grensa går for kva Datatilsynet
skal bidra med. Dette er viktig av ressursomsyn, men òg for å sikre
eigen nøytralitet.
Regjeringa vil dessutan understreke kor viktig det
er at Datatilsynet legg vekt på å ha kontakt med eksterne aktørar
– både næringsliv, interesseorganisasjonar og andre instansar –
og på den måten opparbeide betre sektorkompetanse og forståing for
utfordringane i sektoren. Dette vil gjere tilsynet endå betre i
stand til å ta dei breie avvegingane feltet krev.
Difi nemner i punkt 7.7 i evalueringsrapporten sin
at mange informantar meiner ein bør effektivisere den daglege saksbehandlinga
i Datatilsynet. Som Difi òg peiker på, har Datatilsynet vurdert
korleis saksbehandlinga kan organiserast, og kva saker som spesielt
skal prioriterast. Datatilsynet har òg nyleg lansert ei ny nettside, og
det er eit mål at heimesida skal gi svar på dei spørsmåla eit informasjonssøkjande
publikum er oppteke av.
Det blir i meldinga vist til at det ikkje er
grunn til å tru at saksmengda til Datatilsynet kjem til å bli mindre
i åra framover og at det derfor er viktig at tilsynet stadig arbeider
for å effektivisere arbeidsmetodane sine.
Både Personvernkommisjonen og Difi understrekar
at det er viktig at Datatilsynet har ein breitt samansett kompetanse.
I strategien til Datatilsynet er høg kompetanse
ei av dei viktigaste strategiske satsingane, i tillegg til brei
kontakt med eksterne aktørar. Det er laga ein plan for å heve kompetansen
internt.
Regjeringa vil understreke behovet for at eit
sektorovergripande tilsyn har god sektorkompetanse. Det er Datatilsynet
som sjølv må vurdere korleis kompetansen skal vere samansett internt.
Det er likevel viktig å understreke kor mykje det har å seie at
Datatilsynet har god teknologisk kompetanse. God internasjonal kompetanse
gjer det lettare å få gjennomslag i internasjonale forum, og derfor
blir òg slik kompetanse vurdert som spesielt viktig.
Personvernkommisjonen meiner Datatilsynet bør
regionaliserast, og føreslår å opprette fleire regionkontor. Føremålet
er å få ei meir lokal forankring i personvernarbeidet.
Personvernkommisjonen går inn for at eit eventuelt
regionapparat bør ha minst seks tilsette på kvart kontor for at
kontora skal bli effektive. Regjeringa er einig i at eventuelle
regionkontor må ha ei viss minimumsbemanning. Regionkontor med ei
bemanning i samsvar med forslaget frå Personvernkommisjonen ville
derimot ha ført til nesten ei dobling av talet på tilsette i personvernstyremakta.
Regjeringa ser ikkje føre seg at Datatilsynet i åra som kjem bør
styrkjast i eit omfang som kan rettferdiggjere ein slik vekst i regionane.
Så synleg og kompetent som Datatilsynet er i dag, vil ei oppsplitting
av etaten gjennom å etablere regionkontor i stor grad kunne setje
personvernarbeidet tilbake, i alle fall på mellomlang sikt. Mykje
talar for at så små fagmiljø som dei offentlege personvernmiljøa
ikkje er tente med ei oppsplitting i regionkontor. Regjeringa går
derfor inn for å halde ved lag eit sentralisert datatilsyn etter
den eksisterande modellen.
Personvernkommisjonen meinte at Datatilsynet har
for små ressursar i høve til dei omfattande oppgåvene tilsynet er
tildelt. Kommisjonen føreslo at Datatilsynet skal få større ressursar,
og at dei spesielt må bruke ressursane til å styrkje kompetansen
på informasjonsteknologi.
Det blir i meldinga peikt på at samanlikna med dei
nordiske systerorganisasjonane er ressurssituasjonen til Datatilsynet
også relativt bra. Datatilsynet har dessutan dei seinare åra fått noko
auka løyvingar, mellom anna som følgje av nye tilsynsoppgåver, no
sist etter ekomlova og politiregisterlova.
Samtidig ser regjeringa at det dukkar opp stadig fleire
og meir komplekse problemstillingar knytte til personvern. Datatilsynet
har ei stor saksmengd. Det er viktig at Datatilsynet er aktivt til stades
på den internasjonale arenaen, noko som òg er ressurskrevjande.
Regjeringa har vurdert at dei omfattande oppgåvene tilsynet har
fått som følgje av at datalagringsdirektivet skal implementerast
i norsk rett, og som følgje av den nye politiregisterlova, kan tilseie
at løyvingane bør aukast noko, slik at tilsynet blir i stand til
å gi nødvendig rettleiing og føre tilfredsstillande tilsyn på dette
området. I Prop. 1 S (2012–2013) er det føreslått å auke budsjettet
til Datatilsynet for 2013 med drygt 1,7 mill. kroner i høve til
2012-budsjettet for å setje tilsynet i stand til å ta seg av desse
oppgåvene.
Personvernkommisjonen føreslår å styrkje personvernkompetansen
sektorvis ved at andre organ som får med personvernspørsmål å gjere, bør
ha ein person internt med høg kompetanse på personvernspørsmål.
Det er føreslått at dette først og fremst blir gjort gjennom å opprette
personvernombod i desse organa.
Regjeringa er einig med kommisjonen i at organ som
ofte har med personvernspørsmål å gjere, bør ha spesiell kompetanse
på området.
Regjeringa vil sjå spørsmålet om sektorvis styrking
av personvernet i samanheng med utviklinga av personvernombodsordninga.
Det er likevel viktig å understreke at sektorvis styrking av personvernkompetansen
må vurderast breiare enn til berre å gjelde oppretting av personvernombod.
I strategien til Datatilsynet er eit av satsingsområda å medverke
til større interesse for personvern og arbeide for at også andre
legg vekt på personvernomsyn i arbeidet. Regjeringa har òg over
tid arbeidd for betre personvernarbeid på dei ulike fagområda, mellom
anna ved å utarbeide ei rettleiing i vurdering av personvernkonsekvensar
til bruk i utgreiingsarbeidet i forvaltninga. Det blir i meldinga
vist til at desse tiltaka, saman med at Datatilsynet har systematisk
kontakt med sentrale aktørar i den offentlege forvaltninga og i
næringslivet, kan medverke til at andre sektorar legg større vekt
på personvern.
Ordninga med personvernombod er i dag frivillig.
Det er no om lag 200 personvernombod fordelte på i underkant av
400 verksemder i både offentleg og privat sektor. Somme ombod hjelper
fleire behandlingsansvarlege utan å vere tilsette hos nokon av dei.
Andre personvernombod er tilsette i verksemda og har oppgåva som personvernombod
på fulltid. Dei blir omtala som personvernombod, sjølv om dei kanskje
betre kan omtalast som personvernrådgivarar, sidan meininga er at
hovudoppgåva skal vere å gi råd både til behandlingsansvarlege og
registrerte. Det er òg teke omsyn til dette i den nye politiregisterlova,
der ordninga med personvernrådgivarar er lovfesta.
Ordninga med personvernombod er i dag berre laust
forankra i norsk personopplysningsregelverk og i EUs personverndirektiv.
Reguleringa er i hovudsak relatert til lemping eller forenkling
av meldeplikta for behandling av personopplysningar hos behandlingsansvarlege som
har oppretta personvernombod. Det finst ikkje reglar i norsk lov
eller forskrift som direkte regulerer oppgåvene og ansvaret til
omboda, og heller ikkje reglar om kva plikter og ansvar den behandlingsansvarlege
har overfor omboda. Eit forslag om klårare regelfesting og regulering
av ordninga ligg til vurdering i Justis- og beredskapsdepartementet
som eit ledd i etterkontrollen av personopplysningslova. Eit av
forslaga er å lette på fleire av pliktene til den behandlingsansvarlege
dersom det blir oppretta personvernombod. Slike lettar i pliktene
etter regelverket føreset at personvernomboda er godt skolerte og har
ei sterk stilling i høve til den behandlingsansvarlege. I motsett
fall kan oppretting av eit personvernombod bli ei sovepute. Eventuelle endringar
i ordninga med fleire oppgåver for ombodet og færre plikter for
den behandlingsansvarlege må derfor vurderast nøye.
Etter forslaget til ny personvernforordning
i EU skal alle offentlege organ og private verksemder med over 250
tilsette ha personvernombod («data protection officer»).
Den norske ordninga med personvernombod vart
evaluert i 2011 då Synnovate gjennomførte ei spørjeundersøking blant
personvernomboda, leiarar og tilsette i verksemder med ombod. Resultata
frå undersøkinga er sprikande.
I Difi-evalueringa av Datatilsynet vart det
òg stilt spørsmål om ordninga med personvernombod. Svara i undersøkinga
Difi har gjort, er med på å underbyggje dei noko sprikande svara
om effekten av ordninga som kom fram i undersøkinga Synnovate utførte.
I stortingsbehandlinga av forslaget om å implementere
datalagringsdirektivet i norsk rett bad Stortinget i oppmodingsvedtak
nr. 473 11. april 2011 regjeringa om å leggje Innst. 275 L (2010–2011)
til grunn for det vidare arbeidet. I punkt 12 g vart regjeringa
beden om å sørgje for å etablere ei ordning med personvernrådgivarar/-koordinatorar
i større statlege etatar som behandlar sensitive personopplysningar,
spesielt Arbeids- og velferdsforvaltninga og helsesektoren. Å opprette
ein funksjon som personvernrådgivar, slik politiregisterlova legg
opp til i politiet, vil vere eit nyttig tiltak for å rette søkjelyset
mot personvernspørsmål. Samtidig viser evalueringa av ordninga med
personvernombod at det er noko usikkert kva verknad omboda faktisk
har på personvernnivået hos den behandlingsansvarlege. Eit pålegg
om å opprette personvernrådgivarar/-koordinatorar i visse sektorar
og hos visse behandlingsansvarlege krev derfor at ein klårgjer og
regelfestar innhaldet i ordninga i langt større grad enn det som
i dag er tilfellet.
EUs utkast til personvernforordning vil, slik forslaget
ligg føre, leggje sterke føringar på korleis ein skal utforme ordninga
med personvernrådgivarar. Dersom det endelege EU-regelverket regulerer
ordninga, må desse reglane mest truleg òg innførast i Noreg. Regjeringa
ser det slik at ei ordning med personvernrådgivarar i store verksemder
som behandlar sensitive personopplysningar, kan vere eit godt tiltak
for å rette søkjelyset mot personvern i verksemda og på den måten
styrkje regeletterlevinga. Rådgivaren kan gjere sitt til å betre
personvernet for dei registrerte. Regjeringa ønskjer å vente med
ei ny regulering av ordninga med personvernrådgivarar/personvernombod
og nye pålegg om å etablere personvernrådgivarar til EUs personvernregelverk
er ferdig revidert, og til det eventuelt er vedteke klårare reglar
for korleis personvernrådgivarane skal vere organiserte og forankra
i verksemda, og kva oppgåver dei skal ha.
Regjeringa ønskjer likevel å presisere at både
offentlege og private verksemder som behandlar store mengder av
personopplysningar, kan vere tente med å ha god lokal personvernkompetanse. Desse
verksemdene står fritt til å etablere personvernombod i tråd med
tilrådingar frå Datatilsynet, eventuelt personvernrådgivarar med oppgåver
som verksemda sjølv definerer, med det føremålet å betre regeletterlevinga
og det generelle personvernet i verksemda. Mange av dei store helseføretaka
har òg etablert personvernombod/personvernrådgivarar, noko regjeringa ser
på som positivt. Dersom EU vedtek endringar i personvernreguleringa,
vil det vere naturleg for regjeringa å gå gjennom og revidere den
norske ordninga med personvernombod/-rådgivar i lys av den internasjonale
reguleringa.
Personvernnemnda er klageorgan for vedtak Datatilsynet
har gjort i medhald av personopplysningslova eller anna regelverk
tilsynet har vedtakskompetanse etter. Nemnda har sju medlemer med
personlege varamedlemer.
Personvernnemnda er eit fagleg uavhengig forvaltningsorgan.
Ved at klagesaker blir behandla i nemnda, og ikkje som tidlegare
i departementet, er tilsynsstyremakta sikra ei uavhengig stilling,
slik det er nedfelt i EUs personverndirektiv og personopplysningslova.
Nemnda er samansett på ein slik måte at ho er godt rusta til å gjere
vurderingar i saker der personvern er eitt av fleire moment som
skal vurderast. Tradisjonelt har nemnda derfor hatt både teknologisk,
økonomisk og medisinsk kompetanse i tillegg til juridisk kompetanse.
Saksmengda i Personvernnemnda har variert noko
sidan nemnda vart oppretta, men har dei seinaste åra lege på om
lag 10–15 saker per år.
Om lag halvparten av vedtaka i Datatilsynet
som blir innklaga til nemnda, blir omgjorde. Omgjeringsprosenten
i høve til kor mange vedtak Datatilsynet gjer, er likevel svært
låg, sidan under 5 pst. av vedtaka i Datatilsynet blir sende inn
til Personvernnemnda til klagesaksbehandling.
Personvernnemnda er eit reint klageorgan og gjer
vedtak som berre er bindande for partane i kvar einskild sak. Det
er svært sjeldan saker på personvernområdet blir klaga inn til behandling i
rettsapparatet. Sidan Personvernnemnda er klageorgan på personvernområdet,
har vedtaka nemnda gjer, stor presedensverknad i andre og tilsvarande
saker som kjem til behandling i Datatilsynet. Det er derfor viktig
at vedtaka nemnda gjer, blir skrivne på ein måte som gjer dei eigna til
å bli brukte som rettleiing i liknande saker seinare.
Regjeringa meiner ordninga med ei uavhengig klagenemnd
på personvernområdet til no har fungert godt. Også ordninga med
at utnemninga av medlemene i nemnda er delt mellom Stortinget og
regjeringa, meiner regjeringa fungerer godt. Regjeringa har vurdert
om det er grunnlag for å endre ordninga med personlege varamedlemer,
vurderer det inntil vidare som føremålstenleg å halde Personvernnemnda
ved lag med personlege varamedlemer i den noverande forma.
I regjeringa er hovudansvaret for det generelle arbeidet
med personvernsaker delt mellom Fornyings-, administrasjons- og
kyrkjedepartementet og Justis- og beredskapsdepartementet. Justis-
og beredskapsdepartementet har ansvaret for personopplysningslova
og følgjer opp arbeid med personvern både i Europarådet og EU. Fornyings-,
administrasjons- og kyrkjedepartementet har ansvaret for personopplysningsforskrifta,
etatsstyringa av Datatilsynet og Personvernnemnda og dessutan for
det generelle personvernarbeidet til regjeringa. Fornyings-, administrasjons-
og kyrkjedepartementet deltek òg i personvernarbeidet i regi av
OECD. Før personopplysningslova vart vedteken, låg heile ansvaret
for personvernområdet hos Justisdepartementet. Det administrative
ansvaret for Datatilsynet vart flytt til Arbeids- og administrasjonsdepartementet
i 2000 for å sikre at etatsstyringa av Datatilsynet ikkje skulle
kome i konflikt med interessene til Justis- og beredskapsdepartementet
som etatsstyrar av fleire store behandlingsansvarlege.
Arbeidsfordelinga mellom departementa fungerer
bra.
Det ligg ikkje føre konkrete planar om å endre den
noverande arbeidsfordelinga på personvernområdet.
Datatilsynet er ein
relativt liten organisasjon med avgrensa ressursar og eit omfattande
arbeidsområde.
Datatilsynet bør vere tydeleg på når det
opptrer som ombod, og når det opptrer som tilsyn.
Det blir ikkje lagt opp til endringar i
organiseringa av Datatilsynet. Etaten bør ha merksemd retta mot
organisasjonsutvikling og rekruttering av ulike typar kompetanse
og leggje vekt på å ha god kontakt med ulike fag- og forskingsmiljø.
Ordninga med personvernombod som er utvikla av
Datatilsynet, har vakse mykje dei siste åra. Før nokon blir pålagd
å etablere personvernombod/personvernrådgivar, må ein få på plass
ei klårare rettsleg forankring og regulering av ordninga, noko som
må sjåast i lys av endringar i internasjonalt regelverk på området.
Klageorganet Personvernnemnda gjer om vedtak
frå Datatilsynet i om lag halvparten av dei sakene nemnda får til
behandling. Talet på klager over vedtaka til Datatilsynet er likevel svært
lågt sett i høve til kor mange vedtak tilsynet gjer totalt.
Komiteen er opptatt
av Datatilsynets uavhengighet innenfor de rammer som er trukket
opp av Stortinget i lovs form.
Komiteens medlemmer fra Fremskrittspartiet,
Høyre og Kristelig Folkeparti vil peke på at Datatilsynet
og Personvernnemnda er blitt vurdert av Difi, som har utarbeidet
en rapport om virksomheten, der man finner at tilsynet fyller sine
funksjoner både som ombud og tilsynsorgan for førstnevnte og nemnda
som klageorgan, på en god måte, og at dette oppnås innenfor en moderat
ressursramme.
Disse medlemmer deler synspunktet
på at organiseringen så langt har vært hensiktsmessig, og derfor
ikke tilsier noe behov for endringer.
Disse medlemmer vil understreke
at statens egne forvaltningsledd, sentraladministrasjon så vel som
statlige foretak, forutsettes å rette seg etter Datatilsynets og
Personvernnemndas avgjørelser.
Disse medlemmer tar til etterretning
at regjeringen ikke støtter forslaget fra Personvernkommisjonen
om en viss regionalisering av Datatilsynet for å utvide tilsynsfunksjonen.
Derimot vil det lokale personvernarbeidet kunne bli påvirket av
EUs forslag til personvernforordning, som setter krav til bedrifter
med mer enn 250 ansatte om å ha en personvernrådgiver.