2 Fornyings-, administrasjons- og kirkedepartementets merknader til Datatilsynets årsmelding for 2012
Datatilsynet har i 2012 arbeidet med å bedre personvernet i en rekke sektorer. Tilsynet har i 2012 fokusert særlig på følgende områder i sitt arbeid:
Internett og telekommunikasjon
Helse og velferd
Justissektoren
Offentlig sektor
Internasjonalt samarbeid
Internett og telekommunikasjon har revolusjonert måten vi kommuniserer på. Tjenestene forutsetter behandling av store mengder personopplysninger om brukerne. Utviklingen i denne sektoren skjer så raskt at det er helt nødvendig å følge den tett for å få med seg eventuelle endringer som kan ha positive eller negative følger for personvernet. I meldingsåret har Datatilsynet vært svært offensive overfor ekombransjen, og de har søkt å holde en god dialog med de viktige aktørene i bransjen. Det er positivt at Datatilsynet aktivt går inn for å påvirke utviklingen i en personvernvennlig retning, og at de søker å påvirke de store aktørene så tidlig som mulig i utviklingsprosesser.
Helse- og omsorgssektoren er en sektor hvor det behandles store mengder sensitive personopplysninger. Arbeidet med digitalisering og modernisering reiser personvernrelaterte problemstillinger. Det er derfor naturlig at Datatilsynet har fokusert på helse- og omsorgssektoren i meldingsåret, for å bidra til at de løsninger som utvikles på best mulig måte ivaretar personvernet. Blant annet har Datatilsynet deltatt i diskusjonen rundt mulig bruk av velferdsteknologi i helse- og omsorgssektoren, for å sikre at personvern bygges inn i de løsninger som vurderes tatt i bruk.
Gjenbruk av personopplysninger
Det har vært flere saker i rapporteringsperioden hvor personopplysninger er gjenbrukt til nye formål. Særlig i arbeidslivet har dette vært tilfellet.
Økende bruk av teknologiske hjelpemidler bidrar til stadig flere muligheter for sporing og bruk av elektroniske spor i arbeidslivet. Det er forskjellige grunner til slik sporing – det kan dreie seg om alt fra flåtestyring av busser og taxier, til adgangskontroll som sørger for at rette vedkommende får adgang til et kontorbygg. For å kunne bruke teknologi for sporing og registrering i arbeidslivet, må man ha nødvendig hjemmel. Dersom man ønsker å gjenbruke innhentede opplysninger til et annet formål enn det opprinnelige, må det foreligge et nytt hjemmelsgrunnlag for den nye bruken.
En sak som ble behandlet av både Datatilsynet og Personvernnemnda i 2011, ble behandlet i domstolene i 2012. Saken gjaldt en avskjedigelse med grunnlag i opplysninger innhentet i strid med personopplysningsloven. Den gikk helt til Høyesterett, og ble endelig avgjort ved Høyesteretts dom 31. januar 2013 (HR 2013-234). Et renovasjonsfirma hadde innført et elektronisk administrasjons-, navigasjons- og rapporteringsverktøy som var basert på GPS-sporing. Formålet med bruken av GPS-enheter var å effektivisere og forbedre driften av selskapet. Selskapet brukte imidlertid opplysninger fra loggene i en GPS-enhet til å avdekke urettmessig overtidsbruk hos en av de ansatte etter å ha fattet mistanke om slik misbruk. En sammenstilling av opplysningene fra GPS-enheten og timelistene til den ansatte viste at den ansatte hadde tatt lange og hyppige pauser i løpet av arbeidsdagene sine, og ført overtid for den ekstra tiden han brukte på å fullføre oppgavene sine. Den ansatte ble avskjediget på grunn av funnene. Både Datatilsynet og Personvernnemnda kom til at sammenstillingen av GPS-loggen med timelistene var en behandling av personopplysninger som var i strid med det opprinnelige formålet.
Når de behandlet spørsmålet om sammenstillingen var lovlig, uttalte Høyesterett seg om tolkningen av de krav som stilles til gjenbruk av personopplysninger. Datatilsynet og Personvernnemnda har tidligere antatt at personopplysningsloven ikke kan tolkes slik at det stilles strengere krav til gjenbruk enn til førstegangs bruk av personopplysninger. Høyesterett uttalte i denne saken at vilkåret i lovens § 11 første ledd bokstav c oppstiller et tilleggskrav for gjenbruk. Dette betyr at gjenbruk for eksempel ikke alene kan forankres i lovens § 8 bokstav f, som sier at personopplysninger kan behandles hvis dette er nødvendig for at den behandlingsansvarlige eller tredjepersoner kan vareta en berettiget interesse. Hvis formålet med gjenbruken ikke sammenfaller med det opprinnelige formålet, må det i tillegg innhentes samtykke fra den registrerte. Rettens uttalelse om dette spørsmålet gir en avklaring av hvordan lovens krav til gjenbruk skal tolkes.
Selv om Høyesterett mente at sammenstillingen av GPS-loggen med timelistene var ulovlig, åpnet de for bruk av opplysningene som bevis i saken om arbeidstakerens oppsigelse. Retten kom til at hensynet til den ansattes rettsikkerhet og personvern ikke veide tungt nok til å oppfylle det strenge kravet til bevisavskjæring etter tvisteloven § 22-7. I avgjørelsen bemerket Høyesterett at selv om de ikke fant det riktig å tilkjenne arbeidstakeren erstatning for den ulovlige sammenstillingen, er det mulig for Datatilsynet å ilegge arbeidsgiver overtredelsesgebyr etter personopplysningsloven § 46. Datatilsynet har signalisert at de vil vurdere å benytte seg av denne muligheten i fremtidige saker, og overtredelsesgebyr er allerede ilagt i en liknende sak i et vedtak fra 16. april 2013.
Datatilsynet har i 2012 arbeidet mye med å bedre bevisstheten rundt personvern i arbeidslivet. Blant annet har de utarbeidet en rapport som viser hvilke elektroniske spor en vanlig arbeidstaker etterlater seg i løpet av en arbeidsdag. Rapporten viser at det er vanskelig for ansatte å ha oversikt over hvilke personopplysninger som behandles, og at arbeidsgiver ikke gir god nok informasjon om sin behandling av personopplysninger. Departementet er enig i at det er behov for å se nærmere på hvordan personvernutfordringer i arbeidslivet håndteres, og ser positivt på at Datatilsynet fokuserer på dette. Også fra regjeringens side er dette et område som vies oppmerksomhet. Arbeidsdepartementet nedsatte i 2011 en partssammensatt arbeidsgruppe som skal få frem et bilde av hvordan kontroll og overvåking håndteres i arbeidslivet, og hva slags konsekvenser dette får for personvern og arbeidsmiljø. Gruppen skal deretter komme med forslag til tiltak som både kan bidra til økt personvernkunnskap og håndtering av de arbeidsmiljøutfordringer som ny teknologi og samfunnsutvikling reiser.
Justissektoren
En rekke endringer er foreslått i justissektoren etter 22. juli-hendelsene. PST har generelt ønsket å åpne for en større informasjonsstrøm inn til dem for etterretnings- og forebyggingsformål, og det er fremmet flere forslag som berører personvernet. Blant annet er det fremmet forslag om endringer i straffeloven og straffeprosessloven i Prop. 131 L (2012-2013) og Prop. 147 L (2012-2013).
Datatilsynet har det siste året arbeidet mye med personvern i justissektoren. Regelverket i justissektoren har stor betydning for enkeltpersoner, og personvern er ett av flere viktige hensyn som må ivaretas. Tilsynet fremholder at graden av overvåkning i et samfunn har direkte konsekvenser for graden av åpenhet og demokrati. Før man innfører personverninngripende lovgivning, er det derfor viktig å vurdere hvilke konsekvenser den kan ha for personvern, demokrati og åpenhet generelt i samfunnet. Det er også viktig at de tiltak man setter inn for å bekjempe kriminalitet, har en faktisk effekt. Derfor bør tiltakene evalueres med jevne mellomrom, slik at inngripende tiltak som viser seg lite effektive, justeres eller oppheves.
Politiet må ha gode virkemidler for å avdekke alvorlig kriminalitet. Samtidig må politiets behov for informasjon veies mot andre hensyn, som borgernes personvern. Det er viktig at personvernkonsekvenser utredes grundig før innføring av kriminalitetsbekjempende tiltak. Datatilsynets bidrag er derfor nyttig i forberedelsen av slike tiltak. Det er positivt at Datatilsynet engasjerer seg i lovgivningsprosesser på justisområdet, og at tilsynets synspunkter blir hørt og vektlagt i flere saker.
Behandling av personopplysninger i offentlig sektor
Offentlig sektor behandler store mengder personopplysninger i forskjellige sammenhenger. I stadig flere offentlige utredninger, forskrifter, proposisjoner og meldinger til Stortinget foreslås tiltak som innebærer behandling av personopplysninger. Det arbeides blant annet med å etablere en nasjonal kjernejournal, som skal inneholde sentrale opplysninger om pasienter og gjøres tilgjengelig for helsepersonell som skal yte helsehjelp. Innføring av smarte strømmålere som vil registrere kundenes strømbruk med korte mellomrom gjennom hele døgnet er et annet eksempel på et tiltak det arbeides med. Dette sier mye om kundens forbruksmønster. Særskilt for offentlig sektor er at de registrerte som regel ikke kan velge om de ønsker å ta del i en behandling av personopplysninger. Behandlingene er nødvendige for å ivareta borgernes og det offentliges rettigheter og plikter, og registrering er obligatorisk.
Datatilsynet har vært en aktiv høringsinstans og bidratt med mange innspill til forslag fra det offentlige som innebærer behandling av personopplysninger. Noen ganger må andre hensyn gå foran personvernhensyn av gode grunner. Selv om deres argumenter ikke alltid får gjennomslag, kan Datatilsynets engasjement likevel bidra til at offentlig sektor får et mer bevisst forhold til personvern og derfor søker å bygge gode personvernløsninger inn i de tiltak som foreslås.
Regjeringen lanserte i 2012 sitt digitaliseringsprogram, «På nett med innbyggerne». Her planlegges det blant annet økt sammenstilling og viderebruk av offentlig informasjon, bedre forvaltning av digitale identiteter, elektronisk kommunikasjon med borgeren og etablering av felles digitale tjenester. I programmet ligger ønsker om å effektivisere forvaltningen, forenkle innbyggernes kommunikasjon med offentlige virksomheter og å heve den digitale kompetansen i befolkningen. En av begrunnelsene for ønsket om å viderebruke offentlig informasjon i større grad, er at dette er informasjon som er finansiert og ofte produsert av det offentlige, og som allmennheten derfor bør få tilgang til.
Det er ikke utenkelig at enkelte av de informasjonssettene som ønskes tilgjengeliggjort, inneholder personopplysninger. Forskningsmateriale kan for eksempel i enkelte tilfeller inneholde personopplysninger. Opplysninger knyttet til kart- og eiendomsdata er andre eksempler på dette. Datatilsynet ønsker å være involvert i digitaliseringsarbeidet, og har i 2012 hatt kontaktmøter med flere aktører som er sentrale for gjennomføringen av programmet. Departementet ser positivt på at Datatilsynet ønsker å bidra i arbeidet. Det er viktig at personvernvennlige løsninger bygges inn fra starten av i de systemer og tjenester som etableres som resultat av digitaliseringsprogrammet. Datatilsynet vil kunne få ansvar for å føre tilsyn med enkelte slike systemer og tjenester, og det kan være nyttig om tilsynet bidrar med innspill og erfaringer allerede i etableringsfasen.
Mange tiltak som foreslås fra det offentlige innebærer potensielle konsekvenser for personvernet. I mange saker vil andre hensyn veie tyngre enn personvernhensynet. For å kunne foreta en god avveining av ulike hensyn, fastslår utredningsinstruksen at alle vesentlige konsekvenser ved et foreslått tiltak skal utredes. Dette gjelder også personvernkonsekvenser. Derfor utarbeidet departementet i 2008 en veileder til utredningsinstruksen om vurdering av personvernkonsekvenser.