2 Innleiing
På mange samfunnsområde, og både i privat og offentleg verksemd, er det nødvendig og ønskjeleg å samle inn, bruke og utveksle personopplysningar mellom aktørar både nasjonalt og internasjonalt. Samfunnet er avhengig av god bruk og flyt av personopplysningar. Dette gagnar òg innbyggjarane. Det norske personvernregelverket gjennomfører EUs personverndirektiv frå 1995, og personvernlovgivinga vår liknar derfor i grove trekk på personvernlovgivinga i medlemsstatane i EU. EUs personvernregelverk har som eit viktig mål å leggje til rette for fri flyt av personopplysningar som grunnlag for utvikling og vekst i den indre marknaden. Bruk av personopplysningar er ein av mange føresetnader for eit velfungerande samfunn, både i offentleg og privat verksemd.
2.1 Rapporten frå Personvernkommisjonen, bakgrunnen for og målet med denne meldinga frå regjeringa til Stortinget
St.meld. nr. 17 (2006–2007) Eit informasjonssamfunn for alle seier mange stader at ein må sjå personvernet i ein heilskapleg samanheng, og i punkt 8.3.1 i meldinga vart det gjort framlegg om å setje ned ein personvernkommisjon. Framlegget om å nemne opp ein personvernkommisjon vart behandla våren 2006, og framlegget fekk støtte frå eit samla Storting. Personvernkommisjonen vart oppnemnd av regjeringa 25. mai 2007 og hadde dette omfattande oppdraget:
Gi ein heilskapeleg status over utfordringane for personvernet. I samband med dette skal kommisjonen skildre dagens situasjon og utfordringar innan ulike sektorar som den ser som særleg relevante, og sjå hen til internasjonale avtaler og regelverk knytta til personvern.
Vurdera nærmare korleis personvernet bør takast vare på i møte med motståande omsyn og verdiar.
Kartleggje og evaluere dei verkemidla som i dag eksisterer for å ta vare på personvernet, herunder sjå på personvernstyresmaktenes praksis og rolle.
Fremje forslag til nye prinsipp og verkemiddel, samstundes som andre omsyn óg vert tekne vare på. I denne samanheng skal kommisjonen vurdere bruk av personvernfremjande teknologi.
Sjå på moglege tiltak og verkemiddel for betre etterleving av regelverk som tek vare på personvernet.
Kommisjonen leverte rapporten sin til Fornyings- og administrasjonsdepartementet 13. januar 2009. Rapporten er innteken i NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet (heretter omtala som PVK-rapporten eller rapporten frå Personvernkommisjonen).
Kommisjonen vart særleg beden om å kome med tilrådingar til betre personvern på desse fem konkrete områda: media, barn og unge, arbeidslivet, helsesektoren og transport- og kommunikasjonssektoren. Som supplement til temaa i mandatet har Personvernkommisjonen gjort greie for ulike teknologiar som har konsekvensar for personvernet og utviklinga på teknologiområdet. Dette gir eit nyttig bakteppe for mange av vurderingane frå kommisjonen. Kommisjonen har vidare drøfta spørsmål knytte til oppgåvene til og organiseringa av tilsynsstyremakta og spørsmål om grunnlovsfesting av personvernet. Rapporten frå Personvernkommisjonen var på brei høyring i 2009, og det kom inn mange og gode innspel til vidare arbeid på personvernområdet.
Denne meldinga byggjer på mange av funna frå arbeidet Personvernkommisjonen gjorde, og på innspela frå høyringsrunden. Personvern er relevant for svært mange samfunnsfelt, men er sjeldan i seg sjølv målet med eit arbeid. For eksempel er behandling av personopplysningar heilt nødvendig for å kunne yte god helsehjelp, for å kunne drive effektiv kriminalitetsførebygging og for å kunne administrere ulike velferdsordningar, men er likevel ikkje eit mål i seg sjølv. Når ein utviklar og implementerer ny teknologi, eller når ein set i verk ulike tiltak som inneber behandling av personopplysningar, er personvernvurderingar sjeldan i sentrum. Men personvern er eitt av fleire moment som ein må vurdere og ta omsyn til i eit arbeid. Oftare og oftare ser ein at det ikkje blir teke godt nok vare på personvernet fordi utgreiarane og avgjerdsstakarane, både i offentleg og privat sektor, ikkje har vurdert personvernkonsekvensane grundig nok eller sett i verk tiltak som kan ta vare på personvernomsyna tidleg nok.
I samband med behandlinga av innstilling til Stortinget om gjennomføring av EUs datalagringsdirektiv1, bad Stortinget om nærmare utgreiing av fleire tema på personvernområdet. Dette gjeld krav til logging, gjennomgang av rutinar for å sikre teieplikta i Arbeids- og velferdsetaten og ordninga med personvernombod. Desse temaa vert omtalte i meldinga.
Meldinga byggjer òg på det som er sagt i Soria Moria-erklæringa om varetaking av personvernomsyn. Om dette heiter det i kapittel 6 i erklæringa:
«Det må settes klare grenser for hvor langt offentlige myndigheter og andre kan gå i retning av innsyn i, eller kontroll med den enkeltes gjøremål. Retten til likeverdig behandling i rettsapparatet og forvaltningen, og enkeltmenneskets rett til vern om eget privatliv er grunnleggende prinsipper i en rettsstat. Ytringsfriheten skal være reell, både i arbeidsliv og i privatliv. Retten til å være informert er avgjørende for muligheten folk har til å delta i samfunnsdebatten.
Personvernet kan komme i konflikt med andre formål. Regjeringen vil ha fokus på at personvernet ikke svekkes. Det må etableres ordninger som både tar hensyn til samfunnets behov for innsyn og kontroll og enkeltmenneskets rett til personvern.»
Regjeringa ønskjer å drøfte sektorovergripande mål og tiltak for eit betre personvern. Det er nødvendig med sektorovergripande og langsiktige mål som kan liggje fast i personvernarbeidet. Meldinga skal derfor ikkje på same måten som rapporten frå Personvernkommisjonen drøfte personvern knytt til særlege sektorar og einskildtiltak i desse sektorane. I staden vil regjeringa peike på generelle personvernprinsipp, -mål og -tiltak ein kan tilpasse og bruke på personvernutfordringar same kva samfunnsområde det gjeld. Med ei slik tilnærming vonar regjeringa å leggje grunnlag for ein debatt om varetaking av personvern i samfunnet i dag og presentere nokre tiltak for korleis ein best mogleg kan ivareta gjeldande regelverk.
2.2 Avgrensing mot delar av rapporten frå Personvernkommisjonen
2.2.1 Strukturen i rapporten – korleis regjeringa vurderer einskilde tiltak
Som tidlegare sagt tek regjeringa ikkje sikte på å gå gjennom alle framlegga frå Personvernkommisjonen i denne meldinga. Nedanfor blir det likevel kort gjort greie for korleis regjeringa allereie har følgt opp fleire av framlegga frå Personvernkommisjonen på ulike område, sjå kapittel 2.3. Meldinga skal òg gjere greie for korleis nokre framlegg er vurderte utan at det er funne grunnlag for å gå vidare med dei. Regjeringa ønskjer likevel eit ordskifte på eit meir overordna nivå enn det Personvernkommisjonen konkret har greidd ut og kome med framlegg om. Det er derfor ikkje eit mål at alle framlegga frå kommisjonen skal omtalast i denne meldinga. Dei ulike framlegga frå Personvernkommisjonen til tiltak som kan betre personvernet på dei konkrete områda, vil derimot vere med i vurderingane når sektorstyremaktene arbeider med ulike tiltak på kvart sitt område, til dømes i arbeidet som er i gang med å revidere lov 9. juni 1989 nr. 32 om pliktavlevering, eller i arbeidet regjeringa gjer med e-helse. Meldinga tek heller ikkje sikte på å gjere greie for status for personvernet i dei ulike sektorane som Personvernkommisjonen har skrive om i rapporten sin.
Personvernkommisjonen gjer i rapporten sin punkt 13.5.3 framlegg om at ordninga med fri rettshjelp skal utvidast til å femne om visse saker mot media. Behovet for endringar i rettshjelpsordninga vart gjennomgått og vurdert i St.meld. nr. 26 (2008–2009) Om offentleg rettshjelp. Der vart det konkludert med at ordninga ikkje skal femne om rettsleg prøving av personvernkrenkingar som media har gjort seg skuldige i.
Personvernkommisjonen gjer framlegg om ei rad tiltak som kan betre personvernet til pasientane i helsesektoren. Eitt av framlegga frå kommisjonen var mellombels stopp i etableringa av nye helseregister i påvente av ein gjennomgang og ei evaluering av registra som finst i dag. Regjeringa meiner dette ikkje er eit nødvendig tiltak, og framlegget frå Personvernkommisjonen om eit moratorium mot å opprette nye helseregister i påvente av ein gjennomgang av eksisterande register blir derfor ikkje nærmare drøfta i denne meldinga. Det blir alltid gjort grundige personvernvurderingar i samband med oppretting av nye eller endring av eksisterande helseregister. Det blir heller ikkje oppretta nye helseregister utan at behovet er grundig utgreidd og dokumentert. Etter at kommisjonen kom med rapporten sin, har Stortinget mellom anna gjort vedtak om å opprette eit nasjonalt register over hjarte- og karlidingar, sentralt helsearkivregister og nasjonal kjernejournal. Dette syner at det er brei semje om at ein treng sentrale helseregister for å ivareta ein del viktige helserelaterte oppgåver.
2.2.2 Grunnlovsfesting av personvern
Grunnlovsfesting av personvernet kan synleggjere personvernet som menneskerett og kva rom denne retten bør ha i samfunnet vårt. Personvernkommisjonen viser i si utgreiing kapittel 19.1 mellom anna til den ubalansen det er at ytringsfridom som grunnleggjande rett er grunnlovsfesta, medan retten til personvern, som av og til står i motstrid til ytringsfridom, ikkje er det. Samstundes er det slik at dei grunnlovsfesta rettane alltid vil ha stor vekt i tolking og bruk av anna regelverk. Med grunnlag i mellom anna ei utgreiing av Alf Petter Høgberg og Njål Høstmælingen2 konkluderer Personvernkommisjonen i rapporten sin med at retten til personvern bør grunnlovsfestast i Noreg.
Grunnlovsfesting av menneskerettar er òg vurdert av det stortingsoppnemnde Menneskerettsutvalet3. Utvalet leverte rapporten sin 10. januar 20124. I kapittel 30.6.5 skriv utvalet følgjande om grunnlovsfesting av personvern:
«En grunnlovsfesting av privatlivets fred, personvern og personopplysningsvern vil i første rekke ha den konsekvens at disse prinsippene får en generell forankring i Grunnloven. Det vil synliggjøre at den fragmentariske lovgivning på området og det ulovfestede vern etablert av domstolene, springer ut av en grunntanke om at det finnes en privatsfære som omverdenen ikke har krav på innsyn i, men som tvert i mot har krav på beskyttelse mot slikt innsyn.
Videre vil grunnlovsfesting bidra til å løfte de internasjonale menneskerettighetsprinsipper om «right to privacy» inn i en norsk kontekst. En norsk grunnlovsbestemmelse om privatlivets fred mv. vil kunne speile essensen i både de internasjonale menneskerettighetsbestemmelsene, den ordinære lovgivning og det ulovfestede personvern. Slik vil en grunnlovsbestemmelse på dette området ikke endre dagens rettstilstand, men bidra til å synliggjøre den gjennom en prinsipiell bestemmelse i Grunnloven.»
Vidare skriv utvalet
«En grunnlovsfesting av privatlivets fred, personvern og personopplysningsvern vil fremheve det rettslige utgangspunkt om ivaretakelse av disse verdiene i norsk rett. Den nærmere vurderingen eller avveiningen av hvor langt en slik grunnlovsbestemmelse strekker seg, vil måtte forstås i lys av og suppleres med det internasjonale konvensjonsvernet og med tidligere ulovfestet rett. Hensikten med en slik grunnlovsbestemmelse vil dermed være å sikre at privatlivets fred, personvern og personopplysningsvern sikres på alle rettsområder i tråd med gjeldende praksis, samtidig som dette synliggjøres på grunnlovs nivå.»
Grunnlovsfesting av retten til personvern endrar ikkje rettstilstanden slik han er i dag, men strekar under kor viktig denne retten er. Når det gjeld andre vurderingar av behovet for og konsekvensane av grunnlovsfesting av retten til personvern, blir det vist til dei nemnde dokumenta.
Regjeringa ser det slik at ein bør behandle spørsmålet om grunnlovsfesting av personvernet saman med spørsmålet om grunnlovsfesting av andre menneskerettar. Det er riktig og føremålstenleg å gjere ei samla og heilskapleg vurdering av framlegga og tilrådingane frå Menneskerettsutvalet. Regjeringa vil derfor ikkje gjere ytterlegare vurderingar av spørsmålet om grunnlovsfesting av personvernet i denne meldinga.
2.3 Tilrådingane frå Personvernkommisjonen – gjennomførte tiltak
Rapporten frå Personvernkommisjonen inneheld eit breitt spekter av vel tufta framlegg til betre varetaking av personvernet i eit samfunn med rivande teknologisk utvikling. Mange av framlegga frå kommisjonen er allereie gjennomførte.
Personvern og medium
I vurderinga av personvernutfordringar som oppstår når folk møter og bruker ulike medium, peiker Personvernkommisjonen på ei rad moglege tiltak som kan betre integritetsvernet. Eit viktig tiltak regjeringa har sett i gang, er drifta av slettehjelpstenesta slettmeg.no. Medieansvarsutvalet (NOU 2011: 12) greidde óg ut behovet for særskilde lovreglar eller tenester som kan tryggje personvernet til einskildpersonar i møte med media. Utvalet gjorde ikkje framlegg om nye lovføresegner, men såg behovet for eit lågterskeltilbod som kan bidra til å løyse usemjer innanfor sosiale medium og andre medium utan ein sentral redaktørfunksjon. Medieansvarsutvalet peikte særleg på informasjons- og hjelpetenesta slettmeg.no. Tenesta, som vart etablert som ei direkte følgje av framlegget frå Personvernkommisjonen, vart i oppstarts- og prosjektperioden driven av Datatilsynet med finansiering frå Fornyings-, administrasjons- og kyrkjedepartementet. Frå 1. januar 2012 har tenesta vore driven av NorSIS. Tenesta har hatt stor pågang og har hjelpt mange som har opplevd integritetskrenkingar gjennom spreiing av bilete og andre personopplysningar på nettet. Tenesta er eit døme på eit særs vellukka lågterskeltilbod som har gitt verdfull hjelp utan å vurdere om ytringar er rette eller galne, lovlege eller ulovlege. Regjeringa er svært nøgd med at NorSIS driv tenesta vidare.
Eit anna viktig tiltak Personvernkommisjonen gjorde framlegg om for å betre integritetsvernet i media, var å setje grenser både for publikum og for media når det gjeld å søkje og stille saman opplysningar frå skattelistene. Gode grunnar tala for ei innstramming på dette området, og regjeringa la i mai 2011 fram Prop. 116 LS (2010–2011) om mellom anna innstrammingar i reglane om innsyn i skattelistene. Saka vart behandla i Stortinget i juni 2011, og det vart vedteke å endre praksis for offentleggjering av skattelistene. I dag er skattelistene berre tilgjengelege frå nettsidene til skatteetaten, og innsyn krev innlogging med MinID. Det avgrensar innsynet vesentleg og tek vare på ønsket skattytarane har om diskresjon. Pressa har ikkje lenger rett til å offentleggjere heile skattelister elektronisk.
Personvern i arbeidslivet
Bruken av teknologi i arbeidslivet aukar sterkt. Bruk av teknologi i arbeidet eller som eit kontrolltiltak let i dei fleste tilfelle etter seg spor som seier kva arbeidstakaren har gjort, når det vart gjort, kor lang tid det tok, og ofte òg kvar det vart gjort. Eit av tiltaka Personvernkommisjonen gjer framlegg om for å betre personvernet for dei tilsette, er å regulere tilgangen arbeidsgivaren har til e-posten dei tilsette sender og tek imot. Då kommisjonen kom med framlegget, hadde regjeringa alt i lang tid arbeidd med eit forskriftsframlegg som skulle regulere tilgangen arbeidsgivaren har til e-posten til dei tilsette og til elektronisk lagra dokument på personlege område. Forskrifter om innsynet arbeidsgivaren har i e-posten til dei tilsette, vart vedtekne i personopplysningsforskrifta 29. januar 2009 og tok til å gjelde 1. mars same året.
Personvern i helsesektoren
I gjennomgangen av personvernutfordringar i helsesektoren peiker Personvernkommisjonen på ei rad moglege tiltak. Kommisjonen gjer framlegg om at pasienten bør ha rett til å reservere seg mot innsyn i den elektroniske pasientjournalen sin på tvers av verksemder, og at kvar einskild bør ha innsynsrett i tilgangsloggen til pasientjournalen sin. Begge desse framlegga vart vedtekne då helseregisterlova5 vart endra 19. juni 2009. Dette inneber at viktige element i framlegget frå Personvernkommisjonen for å betre personvernet i helsesektoren er gjennomførte.
Barn og personvern
Den teknologiske utviklinga gjer at bilete og opplysningar om barn lett kan spreiast på nettet, og det aukar risikoen for misbruk av personopplysningar om barn. Utfordringar kan til dømes kome når skule, barnehage og foreldre/føresette legg ut personopplysningar om barn på internett. Personvernkommisjonen peikte i rapporten sin på at ein særleg treng reglar som kan verne barn mot uønskt publisering av personopplysningar på internett. Personopplysningslova vart revidert våren 2012. Mellom anna vart det vedteke ein særskild regel i personopplysningslova § 11 siste leddet som skal gi betre personvern for barn. Den nye regelen inneber eit styrkt vern, fordi personopplysningar om barn ikkje kan behandlast dersom dette er uforsvarleg med tanke på det beste for barnet. I tillegg kan Datatilsynet gripe inn ved grove krenkingar av personvernet til barn. Lovvedtaket legg til rette for betre varetaking av personvernet for barn generelt.
2.4 Avgrensing mot igangsett arbeid med personvernkonsekvensar
Kvart departement og kvar etat har ansvar for personvernarbeid i sin sektor og skal tryggje personvernomsyn i arbeidet sitt. Det blir til kvar tid arbeidd med tiltak som får personvernkonsekvensar. Denne meldinga tek sikte på å drøfte sektorovergripande personvernutfordringar og gi råd om korleis desse utfordringane generelt kan møtast og handterast. Kvar sektor må ta ansvar for å handtere sektorspesifikke utfordringar, med grunnlag i dei felles løysingane og prinsippa ein kjem fram til. Det er derfor nødvendig å gjere kort greie for personvernrelatert arbeid som er i gang i nokre sektorar, og som ikkje vil bli nærmare omtala i denne meldinga.
2.4.1 Arbeidsliv
Personvern i arbeidslivet handlar om å vege behovet arbeidsgivaren har for å kontrollere kva som går føre seg i verksemda, mot behovet arbeidstakaren har for vern av personleg integritet og personlege opplysningar. Kva kontrolltiltak verksemda har høve til å setje i verk overfor dei tilsette, blir regulert av arbeidsmiljølova. Bruken av dei opplysningane som kjem fram som ei følgje av kontrolltiltaket, blir regulert av personopplysningslova. Ny teknologi opnar for nye former for kontroll og overvaking av arbeidstakarane. Dette får konsekvensar for personvernet til dei tilsette, men òg for sjølve arbeidsmiljøet.
Reglar om kontroll og overvaking i arbeidslivet vart lovfesta i kapittel 9 i arbeidsmiljølova i 2005. Etter kvart som problemstillinga kring retten arbeidsgivaren har til innsyn i e-post vart meir og meir aktuell, vart det klårt at dei rettslege standardane på området trong utdjuping og konkretisering. Dette vart derfor nærmare regulert i kapittel 9 i personopplysningsforskrifta i januar 2009. Det viste seg etter kvart at reint privatrettsleg handheving av kontroll- og overvakingskapittelet i arbeidsmiljølova ikkje var særleg praktisk. Frå 1. januar 2010 fekk derfor Arbeidstilsynet handhevingsmyndigheit for reglane i kapittel 9 i arbeidsmiljølova. Arbeidstilsynet kan no gi dei pålegga som er nødvendige for å sikre at reglane om kontroll og overvaking i arbeidsmiljølova blir følgde. Dette har skapt ein meir effektiv sanksjonsmåte og er meir i samsvar med fullmaktene Datatilsynet har etter personopplysningslova.
Det har såleis vore ei utvikling sidan 2005, og rettstilstanden har òg skifta etter at Personvernkommisjonen kom med rapporten sin. I tillegg finst det no ein del rettspraksis som gjer det mogleg å sjå nokre tendensar for korleis lovverket fungerer. Det ligg òg føre ein del forskingsrapportar om emnet.
Vinteren 2011–2012 sette Arbeidsdepartementet ned ei arbeidsgruppe for å vurdere om det trengst tiltak for å betre personvernet i arbeidslivet. Arbeidsgruppa er samansett av representantar for partane i arbeidslivet og for arbeidslivs- og personvernstyremaktene og er framleis i byrjinga på arbeidet. Nett no har ein ikkje noko klårt bilete av kva utfordringar som ligg føre, omfanget av utfordringane og behovet for tiltak. Samstundes synest det som nokre bransjar har ei urovekkjande utvikling, både når det gjeld arbeidsmiljø og personvern. Det er derfor nødvendig at partane og tilsynsstyremaktene saman arbeider vidare med utfordringar knytte til kontroll og overvaking/personvern i arbeidslivet og kjem attende med konklusjonar og personverntiltak i arbeidslivet ved eit seinare høve.
2.4.2 Barne- og likestillingssektoren
Barne-, likestillings- og inkluderingsdepartementet arbeider med reglar om openheit kring løn som eit tiltak for likeløn og mot lønsdiskriminering. Departementet gjer framlegg om nye reglar i diskrimineringslovgivinga om utarbeiding av kjønnsdelt lønsstatistikk på verksemdnivå og om opplysningsplikt ved mistanke om lønsdiskriminering. Dersom opplysningane som blir gitt, avslører løna til einskildpersonar, kan dette kome i strid med interessa arbeidstakaren har i diskresjon. Personvernomsyn er derfor eit tema i regelverksarbeidet, og framlegga er utforma i samsvar med reglane i personopplysningslova og prinsippa som følgjer av denne meldinga. Framlegget er ein del av arbeidet regjeringa gjer med ein lovproposisjon om endringar i diskrimineringslovgivinga som etter planen skal fremjast i 2013.
Gjeldsregistrering
I 2006 bad Stortinget regjeringa om å greie ut spørsmålet om ein bør opprette eit register over gjeld i Noreg, jf. dokument nr. 8:95 (2005–2006) om tiltak for å motverke fattigdom og førebyggje gjeldsproblem og Innst. S. nr. 120 (2006–2007). Barne-, likestillings- og inkluderingsdepartementet greier ut alternative modellar for korleis tilgangen til opplysningane skal innrettast, og tek sikte på å sende ut eit høyringsnotat om saka hausten 2012.
Bakgrunnen for tiltaket er at gjeldsproblem hos private er eit stort og aukande problem. Tal frå namsstyremaktene viser ein jamn auke i talet på utleggsforretningar dei siste tre åra, og talet på personar under offentleg gjeldsordning har aldri vore høgare enn i 2011. For mange er det for store opptak av usikra forbrukskreditt (forbrukslån og kredittkort) som er hovudårsaka eller ei medverkande årsak til gjeldsproblema. Finansføretak har teieplikt om låneavtaler med eigne kundar, og når dei vurderer lånesøknader, har føretaka derfor ikkje høve til å kontrollere opplysningane lånesøkjaren gir om eksisterande gjeldsskyldnader til andre føretak. Regjeringa ønskjer å sjå på om det er mogleg å endre teieplikta bankane og finansføretaka imellom, slik at informasjon om forbrukskredittane til lånesøkjaren kan vere tilgjengeleg for kredittytaren ved vurdering av nye lånesøknader.
Etablering av eit system for registrering og bruk av opplysningar om usikra forbrukskreditt gir likevel utfordringar når det gjeld personvernet. Desse utfordringane er særleg knytte til kva opplysningar som skal kunne registrerast, kven som skal kunne få tilgang, og korleis ein kan sikre god datakvalitet, medrekna kor ofte opplysningane blir oppdaterte. I arbeidet som er i gang, blir det vurdert ulike tiltak for å sikre tilfredsstillande varetaking av sentrale personvernomsyn i samband med gjeldsregistrering.
2.4.3 Finanssektoren
Personvern er eit av fleire viktige omsyn i arbeidet med regulering av finanssektoren. Bank- og forsikringsverksemd inneber ofte behandling av opplysningar som kan ha personvernkonsekvensar i ulike samanhengar.
I Finansdepartementet går det føre seg eit større lovarbeid på bank- og forsikringsområdet. Banklovkommisjonen kom 27. mai 2011 med si utgreiing nr. 24, NOU 2011:8 med utkast til lov om finansføretak og finanskonsern m.m. (finansføretakslova). Banklovkommisjonen har laga utkast til ny finansføretakslov som kan avløyse det meste av gjeldande lover på bank- og forsikringsområdet. Personvernomsyn er relevante i tilknyting til fleire av dei spørsmåla som Banklovkommisjonen drøftar i utgreiinga si. Finansdepartementet arbeider for tida med ein lovproposisjon til Stortinget som følgjer opp utgreiinga frå Banklovkommisjonen.
2.4.4 Helse- og omsorgssektoren
Det blir stadig fleire eldre i befolkninga, og talet på personar med kroniske sjukdomar aukar. Helse- og omsorgssektoren står derfor overfor store utfordringar, mellom anna i form av aukande kompleksitet i sjukdomsbiletet, talet på pasientar og innbyggjaranes forventningar til tenesta. For å sikre tilliten og berekrafta til den offentlege helse- og omsorgstenesta må ein ta i bruk meir moderne og effektive hjelpemiddel for informasjon og kommunikasjon. Dette skal gjerast på ein måte som tek betre vare på samspelet mellom forventninga om godt integritetsvern og god pasienttryggleik. Ein må sikre heilskaplege pasientgangar, og det må leggjast til rette for samhandling mellom helsearbeidarar, som blir alt meir spesialiserte. Vidare er det ein del av utfordringsbiletet at det totalt blir utført i overkant av 220 000 årsverk i helse- og omsorgssektoren, og at det årleg er ca. 4 millionar sjukehusopphald og ca. 4,3 millionar polikliniske konsultasjonar.
I helse- og omsorgssektoren er arbeid med personvern, til liks med betring av tenestetilbodet, kontinuerlege prosessar. Parallelt med denne meldinga har regjeringa fremja to meldingar til Stortinget, ei om digitale tenester i helse- og omsorgssektoren (e-helse) og ei om kvalitet og pasienttryggleik, der personvern òg er eit viktig element. Spesifikke personvernutfordringar knytte til desse temaa blir derfor ikkje omtala her.
Samhandlingsreforma og fokuset på føresetnaden om ein heilskapleg pasientgang demokratiserer helsetenesta ved å involvere brukarar og pasientar i større grad enn i dag. Pasienten blir sett i stand til å vere ein aktiv deltakar i varetakinga av si eiga helse. Det inneber mellom anna at ein må satse sterkt på digitale tenester, der pasienten i mykje større grad skal få tilgang til informasjon om sitt eige pasientforhold.
I NOU 2011: 11 Innovasjon i omsorg, drøftar utvalet bruk av sporings- og varslingsteknologi i omsorgssektoren sett i lys av personvernspørsmål. Utviklinga innanfor sporings- og varslingsteknologien, for eksempel bruk av GPS, har opna for nye måtar å skape tryggleik på ved å gjere det lettare å finne att personar med svak orienteringsevne og sikre at dei kan ferdast friare enn dei elles hadde kunna gjere. Dette kan gi meir fysisk aktivitet og eit sjølvstendig liv for kvar einskild. Regjeringa arbeider med å leggje til rette eit tilfredsstillande rettsleg grunnlag for bruk av denne typen teknologi. Forslag til endringar av korleis ein kan bruke varslings- og lokaliseringsteknologi, er allereie sende på høyring.
Respekt for integriteten til pasienten er ei grunnleggjande etisk norm ved all helsehjelp. Pasientane skal mellom anna vernast mot spreiing av opplysningar om personlege tilhøve og helsa si. Helsearbeidarar er derfor pålagde teieplikt. Teieplikta skal òg tryggje tilliten mellom helsetenesta og brukarane og medverke til open kontakt mellom pasientar og helsepersonell. Det går jamleg føre seg opplærings- og haldningsskapande tiltak som skal sikre at teieplikta blir ivareteken. Det er mellom anna utarbeidd eit rundskriv som gir helsepersonell ei lett tilgjengeleg rettleiing om teieplikta dei har i den direkte, munnlege kommunikasjonen med pasientar. Elles må utdannings- og opplæringstilbodet for helse- og omsorgspersonell spegle den elektroniske kvardagen dei arbeider i, og korleis elektronisk samhandling påverkar helse- og omsorgstenesta.
Det er i gang eit arbeid med revisjon av helseregisterlova. Samstundes blir det arbeidd med organisering og strukturering av nasjonale helseregister for å leggje til rette for betre utnytting, betre kvalitet og endå sikrare handtering av data. Personvernomsyn står sentralt i dette arbeidet.
2.4.5 Justissektoren
Delrevisjon av personopplysningslova
I forarbeida til personopplysningslova vart det uttrykt behov for etterkontroll av lova for å undersøkje om reglane verkar slik dei var meinte. I Prop. 47 L (2011–2012) vart det føreslått reglar som skal oppdatere personopplysningslova på område der det har vist seg at det trengst endringar. Endringane vart vedtekne 27. mars 2012 og sette i kraft 20. april 2012.
Ivaretaking av personvernet for barn er eit hovudtema i rapporten frå Personvernkommisjonen. Då personopplysningslova vart endra i 2012, vart det innført ein særskild regel om personvern for barn i § 11 siste leddet. Den teknologiske utviklinga gjer at bilete av og opplysningar om barn lett kan spreiast på nettet, noko som aukar risikoen for misbruk av personopplysningane. Den nye lovregelen inneber eit styrkt vern for barn ved å slå fast at ein ikkje kan behandle personopplysningar om barn dersom dette er uforsvarleg med tanke på det beste for barnet. I tillegg kan Datatilsynet gripe inn ved grove krenkingar av personvernet til barn.
Reglane om kameraovervaking er moderniserte. Det har vore ein stor auke i talet på kamera som er monterte i det offentlege rommet, og kjensla av å vere overvaka kan vere sterk hos mange. Samstundes kan kameraovervaking vere med og gi auka tryggleik og oppklaring av kriminalitet. Med dei nye reglane er definisjonen av kameraovervaking gjord meir tidsriktig, og dei same reglane skal gjelde for bruk av falske kameraløysingar (dummykamera) som for ordinære overvakingskamera. Det er innført strengare reglar for overvaking i somme rekreasjonsområde i tillegg til ei plikt til å varsle dersom det parallelt med kameraovervakinga blir gjort lydopptak.
Det er òg vedteke ei forenkling av konsesjonsordninga for behandling av sensitive personopplysningar. Lovendringa gir Datatilsynet kompetanse til å gjere unntak frå konsesjonsplikta etter skjøn for behandling av personopplysningar som ikkje representerer nokon reell fare for personvernet. Slik blir saksmengda hos tilsynsstyremakta avgrensa, samstundes som fordelane ved konsesjonsordninga blir førte vidare.
Personopplysningslova § 7 om tilhøvet mellom personvernet og ytringsfridomen er endra. Før endringa kunne det gjerast unntak frå dei mest sentrale reglane i personopplysningslova dersom personopplysningar vart behandla «utelukkende for kunstneriske, litterære eller journalistiske, herunder opinionsdannende formål». Uttrykket «opinionsdannende» har skapt tolkingstvil og utfordringar. Det er no fjerna frå lovregelen, slik at rekkevidda av unntaket blir klårgjord. Framlegget fekk brei tilslutning under høyringa og er dessutan i tråd med utgreiinga frå Medieansvarsutvalet6. Bakgrunnen for endringa var at tilsynsstyremakta har late vere å gripe inn mot nettytringar av til dels sjikanerande karakter med den grunngivinga at dei har vore opinionsdannande ytringar.
I EU går det for tida føre seg eit arbeid med å vedta nye reglar om behandling av personopplysningar. Reglane skal avløyse direktiv 95/46/EF. Med framlegga i Prop. 47 L (2011–2012) tok regjeringa sikte på å møte behovet for oppdatering av visse delar av personopplysningslova i påvente av revisjonsarbeidet i EU. Når dei nye EU-reglane blir vedteke, trengst det venteleg fleire endringar i den norske personvernlovgivinga, og ein meir vidfemnande etterkontroll av personopplysningslova kan derfor gjennomførast i samband med gjennomføringa av EU-reglane i norsk rett. Denne meldinga tek derfor ikkje sikte på å greie ut om det trengst endringar i den gjeldande personopplysningslova.
Schengen-samarbeidet
Noreg har sidan 2001 vore part i Schengen-samarbeidet og skal føre ein harmonisert visum- og grensekontrollpolitikk. Regelverk som blir utvikla på desse områda innan Schengen-samarbeidet, blir implementerte i norsk rett. Biometriske kjenneteikn i form av fotografi og fingeravtrykk er gradvis innførte på visumområdet og i grensekontrollen. I 2011 vart Visa Information System (VIS) teke i bruk. VIS er eit felles datasystem for Schengen-medlemslanda. I VIS blir saksopplysningar om søkjaren, i tillegg til fingeravtrykk av personar over tolv år, lagra i inntil fem år. Schengen-medlemslanda kan, innanfor nærmare gitte rammer, få tilgang til informasjonen i samband med behandlinga av visumsøknader, grensekontroll og identifisering. Vidare kan Europol og politistyremakter med ansvar for å førebyggje, granske eller oppklare terrorhandlingar eller annan alvorleg kriminalitet, få tilgang på nærmare fastsette vilkår.
Ved utviklinga av regelverk innan Schengen-samarbeidet legg EU-kommisjonen og Schengen-medlemslanda EUs gjeldande regelverk om personvern til grunn og konsulterer jamleg EU-komiteen med ansvar for personvern. VIS blir rekna for å vere i tråd med norsk personvernregelverk og er implementert i utlendingslova §§ 102 a til 102 f.
Behandling av personopplysningar i kriminalomsorga – forskrifter til straffegjennomføringslova
Straffegjennomføringslova kapittel 1 a om behandling av personopplysningar i kriminalomsorga vart vedteken ved lov 17. desember 2010 nr. 85. Ikraftsetjinga av endringslova er utsett i påvente av at det kjem utfyllande forskrifter. Bakgrunnen for dei nye lovreglane er pålegget frå Datatilsynet om å etablere eit klårare rettsleg grunnlag for behandling av personopplysningar etter tilsynet ved Ila fengsel og forvaringsanstalt i 2007.
Arbeidet med forskrift om behandling av personopplysningar i kriminalomsorga er i gang, og utkastet skal etter planen sendast på høyring hausten 2012 med sikte på at endringslova kan bli sett i kraft i 2013.
INFOFLYT-registeret
Det er nødvendig å utveksle informasjon mellom kriminalomsorga og politiet. Kriminalomsorga treng informasjon frå politiet for å sikre den generelle tryggleiken i fengsla. Vidare treng kriminalomsorga tilstrekkeleg informasjon frå politiet, slik at ho kan setje inn nødvendige tryggingstiltak rundt kvar einskild innsett for å førebyggje eller hindre ny kriminalitet. Politiet treng informasjon om den innsette for å kunne førebyggje eller hindre alvorleg kriminalitet.
For å sikre eit fungerande system vart det i 2005 etablert eit eige informasjonsutvekslingssystem (INFOFLYT) som skulle avdekkje og hindre den mest alvorlege og samfunnsskadelege kriminaliteten.
Sivilombodsmannen har retta kritikk mot INFOFLYT-systemet og peikt på at heimelsgrunnlaget synest uklårt. På bakgrunn av kritikken sette Justis- og beredskapsdepartementet i 2010 ned eit utval. INFOFLYT-utvalet leverte rapporten sin til departementet 22. mai 2012. I rapporten er det mellom anna gjort framlegg om eit klårare heimelsgrunnlag for INFOFLYT, medrekna reglar om utlevering av opplysningar frå kriminalomsorga til politiet. Regjeringa vil setje i gang arbeidet med ein proposisjon om endringar i straffegjennomføringslova, slik at INFOFLYT får ei klårare rettsleg forankring. INFOFLYT-rapporten vart send på høyring 27. juni 2012.
Informasjonstrygging og internkontroll i kriminalomsorga
Etter at Datatilsynet gjennomførte tilsyn ved Ila fengsel og forvaringsanstalt hausten 2007, fekk sentralforvaltninga i Kriminalomsorga pålegg om å etablere eit internkontrollsystem for å møte krava i personopplysningslova.
Dette er følgt opp ved at det i 2009 vart utarbeidd ein policy for informasjonstrygging i Kriminalomsorga. I tillegg er det utarbeidd retningsliner både for tilgangsstyring og for logging. I 2010–2011 fekk dei tilsette i Kriminalomsorga omfattande opplæring i det databaserte internkontrollsystemet (KIKS). Mellom anna vart risikovurdering, avviksrapportering og -handtering gjennomgått. Alle tilsette har i samband med dette fått opplæring i krava personopplysningslova set til informasjonstryggleik.
2.4.6 Utdanningssektoren
Sentralt elevregister
Grunnopplæringa og utdanningsstyremaktene, medrekna Kunnskapsdepartementet og Utdanningsdirektoratet, treng eit godt kunnskapsgrunnlag for å gjere norsk skule betre. Utdanningsdirektoratet har mellom anna ansvar for utviklingsprosjekt, forsking og statistikk om grunnskulen og den vidaregåande opplæringa. På nettsidene til Utdanningsdirektoratet blir det framlagt resultat og analysar, og det blir òg jamleg sendt kunnskapsgrunnlag til Kunnskapsdepartementet. Utdanningsdirektoratet behandlar i dag nokre personopplysningar på individnivå frå vidaregåande opplæring. Desse personopplysningane blir hovudsakleg henta frå inntakssystemet til vidaregåande opplæring (Vigo) hos fylkeskommunane.
I oktober 2008 sende regjeringa eit framlegg om å etablere eit sentralt individbasert og pseudonymt elevregister i skulesektoren på høyring. Framlegget innebar at Utdanningsdirektoratet skulle halde fram med å behandle personopplysningar frå vidaregåande opplæring, og at behandlinga òg skulle femne om visse personopplysningar frå grunnskulen. Bakgrunnen for framlegget var intensjonen Stortinget har om eit nasjonalt kvalitetsvurderingssystem i skulen som skal nyttast til å rekne ut sentrale kvalitetsindikatorar for kvalitetsutvikling og leggje til rette for styring, forsking og tilsyn. Eit slikt system krev sentral lagring av dei opplysningane som blir samla inn i samsvar med dei fastsette føremåla. Berre ved slik lagring kan datagrunnlaget opne for analysar, statistikk og forsking og medverke til at staten kan sikre retten til grunnopplæring. Det vart derfor gjort framlegg om å klårgjere gjeldande rett.
Kunnskapsdepartementet har på bakgrunn av høyringsrunden funne det nødvendig med ytterlegare vurdering av behovet for eit slikt register, eventuelt omfanget av innhaldet og konsekvensar for personvernet. Arbeidet er enno ikkje avslutta.
2.4.7 Kultursektoren
Pliktavleveringslova
Kulturdepartementet er i gang med å revidere pliktavleveringslova og skal som eit ledd i denne prosessen mellom anna sjå på korleis ein kan gjennomføre pliktavlevering frå internett. Dei personvernrelaterte problemstillingane som kan oppstå ved pliktavlevering frå internett, blir drøfta i revisjonsarbeidet.
Utgreiinga frå Medieansvarsutvalet
Medieansvarsutvalet, som la fram utgreiinga si 15. juni 2011, hadde mellom anna til oppgåve å greie ut:
«Behovet for særskilte lovregler eller tjenester (offentlige eller i regi av mediene selv ) som kan sikre enkeltpersoners personvern i møte med media. Utvalget bør særlig vurdere behovet for tiltak overfor nettmedier som ikke har en sentral redaktørfunksjon eller der en privatperson står bak, og der bransjens etiske tilsyns- og klagesystem ikke kommer til anvendelse.»
Korleis regjeringa har følgt opp dette punktet, blir nærmare omtala i kapittel 8.
Når det gjeld dei andre delane av mandatet til utvalet, har regjeringa førebels konkludert med at det framleis bør vere ei særskild regulering av ansvarssystemet for redigerte massemedium. Mellom anna ønskjer regjeringa å halde oppe det formelle strafferettslege redaktøransvaret, men i ei meir medieuavhengig form. Det nærmare innhaldet i ei særskild regulering av ansvarssystemet for media blir nærmare utgreidd av Kulturdepartementet i samråd med dei aktuelle departementa.
2.4.8 Samferdselsektoren
Grovt sett er det to tungtvegande samfunnsinteresser som utfordrar personvernet i samferdselssektoren: trafikktryggleik og effektiv og påliteleg framføring av trafikken. Det er eit mål at tiltak for å auke trafikktryggleiken og framføringa av trafikken i minst mogleg grad skal gå ut over retten einskildindividet har til vern om integriteten sin og privatlivet sitt. Personvernet blir òg utfordra innanfor elektronisk kommunikasjon når opplysningar som er lagra for å sikre tryggleik og framføring kan nyttast til andre føremål, som innsatsen mot kriminalitet. Desse spørsmåla er behandla i Prop. 49 L (2010-2011) og ved Stortingets behandling av gjennomføringa av datalagringsdirektivet i norsk rett, Innst. 275 L (2010-2011).
Heilautomatiseringa av innkrevjingsstasjonar krev avvegingar mellom effektivitet, forbrukarinteresser og personvernomsyn. Utviklinga går mot ei heilautomatisering av bompengeanlegg i Noreg. Passeringsdata blir lagra, og det utfordrar retten til anonym ferdsel. Det er eit klårt politisk ønske å kunne tilby ei fullt anonym bompengeløysing, særleg for privatbilistar. I regi av Samferdselsdepartementet er det sett ned ei arbeidsgruppe som skal sjå på om det er mogleg å få til ei fullgod anonym løysing.
I samband med stortingsbehandlinga av Prop. 49 L om gjennomføring av datalagringsdirektivet i norsk rett og Innst. 275 L (2010-2011) i same saka gjorde Stortinget den 11. april 2011 vedtak nr. 473. I vedtaket går det mellom anna fram at passeringsdata frå bompengeanlegg ikkje skal gjerast kjende for skattestyremaktene før ein kan tilby eit anonymt passeringsalternativ. Kravet blir i dag etterlevd av bompengeselskapa. Det er viktig å finne ei permanent løysing på desse utfordringane relativt raskt.
Samferdselsdepartementet er involvert i førebuingane til implementering av eCall i Noreg. Dette er ein del av eSafety, eit EU-initiativ som rettar seg mot bruk av IKT for å betre trafikktryggleiken. Enkelt sagt får nye køyretøy installert ein telefon som ringjer nødnummeret dersom bilen er involvert i ei ulukke. Innleiingsvis i samtala blir det oversendt tekniske data om køyretøyet og kvar det står. I utforminga av eCall i EU, og i standardiseringsarbeidet der, har personvernspørsmål vore sentrale. The Article 29 Data Protection Working Party (sjå nærmare omtale i kapittel 3.2) og norske representantar er involverte i diskusjonane på EU-nivå. Datatilsynet deltek i det nasjonale arbeidet. EU-kommisjonen har som mål at eCall skal vere i drift frå 1. januar 2015. Noreg har forplikta seg til å implementere eCall gjennom eit Memorandum of Understanding som vart signert i 2006.
Lagring av personopplysningar i samband med bruk av elektronisk billettering i kollektivtransporten er omhandla i ei eiga bransjenorm som er knytt opp mot ein nasjonal standard, og som Vegdirektoratet forvaltar (jf. omtale i kapittel 9.4.2)
2.4.9 Teieplikt og opplysningsplikt i førebyggjande verksemd
Teieplikt og personvern heng nøye i hop. Gode reglar om teieplikt og rett praktisering av reglane kan vere ein føresetnad for god ivaretaking av personvernet til dei registrerte. Samstundes er det nødvendig å leggje til rette for utveksling av informasjon underlagd teieplikt innanfor trygge rammer når dette er nødvendig for å ta vare på interessene til både einskildmenneske og samfunnet.
Det går fram i ei rad offentlege dokument at det på fleire samfunnsområde er reist spørsmål om det gjeldande regelverket om teieplikt, opplysingsplikt og -rett er føremålstenleg, og om dette regelverket blir rett praktisert.
Våren 2011 vart det i regi av Justis- og beredskapsdepartementet sett ned ei tverrdepartemental arbeidsgruppe som skal ta føre seg reglane om teieplikt og informasjonsutveksling med tanke på førebygging. Arbeidsgruppa er forankra i førebyggingsstrategien til regjeringa (Regjeringens strategi for forebygging: Fellesskap – trygghet – utjevning (Departementene 2009)) og er vidare omtala i den kriminalitetsførebyggjande handlingsplanen til regjeringa (Gode krefter – Kriminalitetsforebyggende handlingsplan (Justis- og politidepartementet,2009)). Målet er å gå gjennom eksisterande regelverk for teieplikt og informasjonsutveksling i dei relevante fagmiljøa (helse- og omsorgssektoren, barnevernet, utdanningssektoren, kriminalomsorga og politiet) for å avdekkje eventuelle svake punkt og vurdere om det trengst lovendringar. Arbeidet tek sikte på å følgje opp eit vidfemnande kartleggingsprosjekt om same emnet, som Helse- og omsorgsdepartementet har ansvaret for. Personvernomsyn vil bli vurderte i dette arbeidet.
2.4.10 IKT-politikken til regjeringa
I april 2012 la regjeringa fram eit program for digitalisering av offentleg sektor (Digitaliseringsprogrammet). Regjeringa vil òg leggje fram ein heilskapleg omtale av IKT-politikken i ei eiga melding til Stortinget. Meldinga om IKT og verdiskaping har eit breiare nedslagsfelt enn offentleg sektor. Dette er i tråd med FADs koordineringsansvar for den nasjonale IKT-politikken. Meldinga vil ha verdiskaping basert på bruk av IKT som overordna mål og femne om tema som breiband, digital kompetanse og digitalisering i næringsliv og offentleg sektor. Ho vil òg drøfte emne som avansert IKT-kompetanse og sårbarheit. Personvern er ein viktig faktor for IKT-politikken, både på generelt/overordna nivå og for kvar einskild deltakar, og blir drøfta i IKT-meldinga der det er relevant.
Digitalisering av offentleg forvaltning set personvernet på saklista. Å behandle personopplysningar er ein nødvendig føresetnad for forvaltninga, både som utøvar av offentleg myndigheit og som tilbydar av tenester. Digitalisering og personvern kan gå hand i hand om ein bruker dei moglegheitene teknologien gir til å ta vare på personvernet. Mellom anna kan gode digitale løysingar gi grunnlag for store innsparingar i offentleg forvaltning, samstundes som det kan gi lettare tilgang til eigne personopplysningar for innbyggjarane.
Digitaliseringsprogrammet trekkjer opp hovudlinene i politikken regjeringa har for digitalisering av forvaltninga. Regjeringa har som mål at den statlege forvaltninga så langt råd er skal vere tilgjengeleg på nett, og at nettbaserte tenester skal vere hovudforma for kommunikasjon mellom forvaltninga og innbyggjarane og næringslivet. Programmet kviler på ein føresetnad om at ei digital forvaltning gir betre tenester, og at digitalisering av forvaltninga gjer sitt til å frigjere ressursar til andre område. Digitalisering skal både gi innbyggjarane og næringslivet eit betre og raskare møte med offentleg sektor og betre ressursbruken i offentleg sektor.
Digitalisering av offentleg forvaltning skal medverke til at det blir enklare å bruke offentlege tenester. Digitalisering opnar òg for at tenester frå ulike verksemder kan koplast saman i éi og same nettenesta, slik at ein kan få utført tenester frå fleire offentlege etatar i eitt og same ærendet. Bruk av personopplysningar på tvers av etatsgrenser, slik at brukarane slepp å gi dei same opplysningane fleire gonger, inneber ein viss gjenbruk av innsamla personopplysningar og krev at regelverket legg til rette for det. Det er sett ned ei tverrdepartemental arbeidsgruppe med deltaking også frå nokre underliggjande etatar som har til mandat å fremje regelverk tilpassa digitalisering. Gruppa skal levere rapporten sin til Fornyings-, administrasjons- og kyrkjedepartementet innan utgangen av 2012.