2 Fornyings- og administrasjons-departementets merknader til Datatilsynets årsmelding for 2008
Fornyings- og administrasjonsdepartementet har merka seg at Datatilsynet peiker på problem med manglande oppfylling av meldings- og varslingsplikta, plikta til internkontroll og informasjonstryggleik og dårleg oppfølging av sletteplikta. Fokus må rettast mot løysingar som bidreg til betre oppfylling av dei lovpålagde pliktene.
Ansvarsfråskriving og pulverisering av ansvar
Fokus blir retta først under kapittelet «Tema og tendensar i 2008» mot eit svekt personvern på grunn av ansvarsfråskrivingar. Datatilsynet rapporterer om ein tendens til pulverisering av ansvar som går på kostnad av den enkelte sitt personvern. Den behandlingsansvarlege skal ha det øvste ansvaret for at personvernkrenkingar ikkje skjer i samband med behandlinga av personopplysningar. Men i visse tilfelle viser det seg vanskeleg å fastsetje kven som er behandlingsansvarleg. Ei vedvarande auka medvit om personvern kan medverke til at verksemder får betre ansvarsrutinar.
Meir informasjon, større utveksling og utilstrekkeleg tryggleik
Manglande sletting og snoking i register er noko Datatilsynet har sett fokus på i meldingsåret. Det har blitt ein tendens til å lagre opplysningar lenger enn nødvendig, då det kostar mindre å lagre opplysningar enn å bruke tid på å sortere ut materiale som det ikkje lenger er nødvendig å oppbevare. Ei slik massiv lagring i kombinasjon med eit utilstrekkeleg vern mot snoking, utgjer ein monaleg trussel mot personvernet til den enkelte. Regjeringa støttar Datatilsynet i at det bør setjast inn tiltak for å forbetre sletterutinar og avgrense talet på personar med tilgang til personopplysningar som blir registrerte.
At det i tillegg er lagt opp til færre anonyme løysingar, sjølv når identifisering ikkje er nødvendig, medfører at betydelege mengder informasjon kan knytast til enkeltindividet. Regjeringa vil peike på at opplysningar berre skal lagrast i identifiserbar form dersom dette er nødvendig for det tilsikta formålet. I denne samanheng bør det arbeidast med tekniske løysingar som gjer enkle anonyme alternativ mogleg.
Når det skjer ei auka utveksling av data mellom ulike databasar og i tillegg ei utholing av teieplikta for å forenkle slik utveksling, vil eit større tal personar få tilgang til fleire personopplysningar. Dette fører med seg ein fare for at mange får ein god del overskotsinformasjon som dei ikkje har eit formålsmessig behov for. Oppbevaring av slik overskotsinformasjon vil vere i strid med personopplysningsloven.
Justissektoren
Det skjer ei omfattande behandling av personopplysningar innanfor justissektoren. Det finst ei rekkje register baserte på ulike heimelsgrunnlag, og politimyndigheitene har innsyn i atskillige register som høyrer til andre sektorar. Datatilsynet uttrykkjer ei tydeleg bekymring for personverntilstanden i politisektoren.
Tilsynet gir først og fremst uttrykk for uro over utilstrekkeleg regulering av politiet sine register. Dei etterlyser klåre reglar for sletting og sanering, avklarte ansvarsforhold og ryddig rollefordeling for behandlinga av opplysningar, reglar for tilgangsstyring av databasar, klårgjering av teieplikta til politiet og ei avklaring av politiet sin tilgang til databasar hos andre aktørar.
Regjeringa la nyleg fram utkast til ny politiregisterlov. Forslaget inneber ei rekkje endringar samanlikna med rettstilstanden i dag. Den nye loven og tilhørande forskrift gjer klårare regler om behandlingsansvar, teieplikt, tilgang, innsyn, retting og sletting.
Datatilsynet har uttrykt sterk skepsis til at elektronisk lagring av fingeravtrykk no blir heimla i passloven. Dei har avdekt utilfredsstillende forvaltning av det eksisterande passregisteret, og er bekymra for tryggleiken forbunde med eit slikt utvida register som òg inneheld biometriske kjenneteikn. Regjeringa har etter grundige vurderingar bestemt seg for ikkje å foreslå lagring av fingeravtrykk i det sentrale passregisteret, jf. Ot. prp. nr. 64 (2008-2009) om endringar i passloven.
Det har vidare skjedd ei internasjonal utvikling når det gjeld utveksling av biometrisk informasjon. Ein slik auka utveksling av informasjon over landegrensene gjer det ytterlegare påkravd å sikre at biometrisk informasjon lagrast på ein sikker måte. Regjeringa har allereie i samband med DNA-reforma innført ei rekkje endringar i regelverket, blant anna etablering av etterforskingsregisteret for DNA-analysar og fleire andre endringar i påtaleinstruksen. Desse endringane bidrar til å sikre betre kontroll med opplysningar om DNA. Biometrisk informasjon vil i framtida vere omfatta av den nye politiregisterloven, noko som inneber at Datatilsynet vil føre tilsyn med registra.
Noreg har forhandla fram ei tilknytingsavtale til EU-regelverket om forsterka politisamarbeid (Prümbeslutnigane). Dette medfører at politiet får moglegheit til å søkje i EU-landa sine register, og at desse landa tilsvarande kan søkje i dei norske registra. Kontroll med at rette opplysningar lagrast i politiet sine databasar er derfor viktig. I dag er lagring av biometrisk informasjon heimla i straffeprosesslova og politiinstruksen, men vil i framtida regulerast i politiregisterlova, noko som utgjer eit betre rettsgrunnlag enn i dag.
Også datalagringsdirektivet vil kunne få stor tyding for justissektoren. Spørsmålet om implementeringa av direktivet har blitt vigd stor mediemerksemd i meldingsåret. Innføring av direktivet vil medføre at elektronisk kommunikasjon blir lagra i større omfang og over lengre tid enn i dag. Direktivet reiser viktige prinsipielle problemstillingar i forholdet mellom personvern og arbeidet mot kriminalitet. Frå regjeringa si side er det viktig at ein eventuell lovgiving om datalagring inneheld gode og sterke personvernreglar.
Internett
I meldingsåret har det vore eit sterkt press mot personvern på internett og innan telekommunikasjon. I media har det spesielt vore fokus på fildelingsspørsmålet. Datatilsynet nemner at konsesjonen til Advokatfirmaet Simonsen blei fornya i løpet av året, slik at dei framleis har høve til å loggføre IP- adresser. I etterkant av Datatilsynets årsmelding blei merksemda rundt fildelingsspørsmålet forsterka blant anna i samband med Pirate Bay-saka i Sverige, og «three strikes»-loven i Frankrike. Temaet reiser mange vanskelege spørsmål med personvernimplikasjonar. Det er nødvendig med ein offentleg debatt om korleis ein unngår at den enkelte sitt personvern blir sett til side samtidig som ein kan arbeide for å stanse slik ulovleg fildeling.
Datatilsynet har òg retta ein del av arbeidet sitt mot personvern i ulike nettsamfunn. I tillegg til at den som sjølv opprettar profil i nettsamfunnet publiserer ei rekkje opplysningar om seg sjølv, blir det lagt ut personopplysningar om andre aktørar. Datatilsynet har i denne samanhengen motteke mange førespurnader vedrørande kopiering og bruk av slike opplysningar i andre samanhenger. I denne samanheng har Datatilsynet foreslått at det blir oppretta ei hjelpelinje for personar som ufrivillig har fått krenkjande personopplysningar lagde ut på internett. Regjeringa har derfor gitt Datatilsynet midlar til å utgreie og opprette ei hjelpeteneste for personar som blir krenkte på internett.
Personvern hos barn og unge; internett og skole
Barn og unge er spesielt utsette for krenkingar på internett, eller dei står i fare for å utsetje andre for krenkingar. Det er avgjerande at desse gruppene får opplæring i fornuftig bruk av internett. Unge er svært aktive i nettsamfunn og er ofte meir kompetente enn føresette og lærarar i bruk av ny teknologi. Dei er likevel ikkje meir kompetente til å sjå og forstå kva konsekvensar bruk av nettet kan få for dei sjølve og andre, og kor langvarige slike konsekvensar kan vere. Datatilsynets arbeid retta mot bruken av internett blant unge har vist seg å ha stor bevisstgjerande effekt. Du bestemmer-kampanjen hadde i 2007 stor verknad hos unge nettbrukarar. I meldingsåret blei det utarbeidd ein ny rettleiar om bilete av barn på internett. Denne var retta mot barnehagar, skolar og føresette for å forhindre at bilete av barn ukritisk blei lagde ut på nett.
Regjeringa ser positivt på dei initiativ Datatilsynet har teke for å betre personvernet hos barn og unge i skolen og på internett. Departementet ønskjer at det framleis skal arbeidast for bevisstgjering blant denne gruppa, og for å bevisstgjere føresette og barne- og ungdomsarbeidarar med omsyn til dei unges personvern. I NOU 2009: 1 er det peikt på ei rekkje behov for forbetringar når det gjeld personvern hos barn og unge. 1 I tillegg til dei behov barn har for vern mot krenkingar på internett, er det eit behov for å verne mot krenkingar i skolen. Personvernkommisjonen peiker på at barn har same rett til respekt for privatlivet som vaksne på arbeidsplassen, og at bl.a. skolens bruk av fjernsynsovervaking og overvakinga av PC-bruk reiser sentrale personvernspørsmål. Blant anna med bakgrunn i Personvernkommisjonens rapport skal det setjast i gang eit prosjekt som skal greie ut personvernsituasjonen i grunnskolen, og korleis ein best kan ta vare på barnas behov for vern. Personvernkommisjonen legg vekt på kor viktig det er å etablere samarbeid mellom sentrale aktørar innanfor skolesektoren. Prosjektgruppa vil bli sett saman i samarbeid mellom Datatilsynet, Kunnskapsdepartementet og Fornyings- og administrasjonsdepartementet. Det er nødvendig å inkludere både personvernmyndigheita og utdanningssektoren i arbeidet for å få best mogleg resultat.
Forsking og helse
Datatilsynet er bekymra for at helsepersonell har tilgang til overskotsinformasjon, og peiker på at dette er i strid med teieplikta. Det blei reagert på at det blir fremja forslag om å gi elektronisk tilgang til pasientjournal på tvers av verksemder då det, etter tilsynet si meining, ligg føre alvorlege manglar ved informasjonstryggleiken hos fleire av helseføretaka her i landet. Dersom det blir opna for tilgang på tvers av verksemdene, vil informasjon vere praktisk sett lettare tilgjengeleg for helsearbeidarar. Regjeringa påpeiker at ei slik ordning ikkje vil innebere fri tilgang til pasientjournalar for alle som jobbar i helsesektoren. På same måte som tidlegare har helsepersonell berre tilgang til den informasjonen dei har behov for i arbeidet sitt. Men dersom tilgangskontroll og tryggleiksrutinar sviktar, vil det kunne få større konsekvensar enn tidlegare. Det er derfor viktig at det skjer kvalitetskontroll med slike rutinar.
Tilsynsverksemd
Ein stor del av verksemda til Datatilsynet dreier seg om tilsyn og kontroll med etterleving av regelverket. Tilsyn blir gjennomførte med heimel i personopplysningsloven § 42 andre ledd nr. 3) hos behandlingsansvarlege i både privat og offentleg sektor. Tilsyna gir innsikt i utfordringane personvernet møter, set fokus på problemstillingar i ulike bransjar og avdekkjer brot på lovgivinga.
Det ligg likevel i dagen at det ikkje er mogleg for Datatilsynet å kontrollere alle tiltak som blir sette i verk. Det blei gjennomført 141 kontrollar i løpet av meldingsåret. Hovudfokus låg på elektronisk kommunikasjon og internett. Departementet er tilfreds med at Datatilsynet har ei omfattande tilsynsverksemd. Funna under kontrollen er derimot ikkje tilfredsstillande. Det blir diverre avdekt mange regelbrot, og brota er ofte knytte til meldings- og varslingsplikta, plikta til internkontroll og informasjonstryggleik, sletteplikta og oppfølgingsansvaret mot ekstern databehandlar. Det er derfor viktig å framleis ha merksemda retta mot betre etterleving av personopplysningsregelverket blant dei behandlingsansvarlege.
Fotnotar
NOU 2009: 1 kap. 14