Meld. St. 5 (2010–2011)

Datatilsynets og Personvernnemndas årsmeldinger for 2009

Til innholdsfortegnelse

2 Personvernnemndas årsmelding for 2009

2.1 Sammendrag

Dette er Personvernnemndas niende årsmelding. I løpet av året er det kommet 25 klager, hvorav 15 er ferdigbehandlet i 2009. Datatilsynets vedtak er omgjort i to av de 15 sakene (PVN-2009-5 og PVN-2009-15).

Saksmengden har vært svært mye høyere enn tidligere år. Det er aldri tidligere kommet inn så mange saker. Personvernnemnda finner det vanskelig å vurdere årsaken til økningen. Det ser ut til at klagenes innhold henger sammen med hvilke sektorer Datatilsynet gjennomfører tilsyn hos.

Flere av sakene har vært komplekse og prinsipielle. Fire av de største sakene, PVN-2009-11 (Nasjonalbiblioteket), PVN-2009-14 (Altinn), PVN-2009-16 (Drosjeløyve Oslo kommune) og PVN-2009-18 (Fildeling Simonsen) har nemnda arbeidet med i flere nemndmøter, uten at nemnda er kommet frem til noe vedtak i løpet av 2009.

Personvernnemnda kan bare ta stilling i konkrete saker, men ser at det på flere områder er behov for en sektorovergripende rettspolitisk debatt.

2.2 Innledning

Personvernnemnda er opprettet med hjemmel i lov om behandling av personopplysninger (2000:31). Loven trådte i kraft 1.1.2001. Personvernnemnda er et klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven, helseregisterloven (2001:24) og helseforskningsloven (2008:44).

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Fornyings- og administrasjonsdepartementet (FAD).

Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne, samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.

Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.

Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene.

2.3 Medlemmer

Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen. Første gangs oppnevning skjedde i 2001. I desember 2008 ble det oppnevnt ny leder og nestleder, samt to nye medlemmer, som startet sin funksjonstid 1.1.2009. Leder gjennom de første åtte år, Jon Bing, gikk av ved årsskiftet. Det samme gjorde nestleder Gro Hillestad Thune, medlem Siv Bergit Pedersen og medlem Hanne I Bjurstrøm, samt deres personlige vararepresentanter.

Personvernnemnda besto i 2009 av følgende personer:

  • Eva I E Jarbekk, leder

  • Arve Føyen, nestleder

  • Tom Bolstad

  • Leikny Øgrim

  • Jostein Halgunset

  • Ørnulf Rasmussen

  • Ann Rudinow Sætnan

I tillegg har alle medlemmene personlige vararepresentanter:

  • Olav Torvund (vara for leder)

  • Ingvild Hanssen-Bauer (vara for nestleder)

  • Gry Nergård

  • Lars Erik Fjørtoft

  • Svein Erik Ekeid

  • Michal Wiik Johansen

  • Gisle Hannemyr

2.4 Andre organisatoriske forhold

Sekretariatet til Personvernnemnda består av Tonje Røste Gulliksen. Hun ble ansatt som seniorrådgiver i Fornyingsdepartementet med tiltredelse 1. mars 2006 for å arbeide i Personvernnemndas sekretariat. Sekretariatet ble fra samme dato samlokalisert med Forbrukerrådet og Forbrukerombudet i Rolf Wickstrøms vei 15 i Nydalen. Leieforholdet ble avviklet i juli 2009. Fra august 2009 har sekretæren leid kontor i Sandefjord der hun bor, men hun reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Dette har ikke skapt praktiske problemer for nemndas arbeid.

Personvernnemnda holder sine møter i Oslo, i lokaler utenfor Datatilsynet og Regjeringskvartalet for også på denne måten å markere uavhengighet.

Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor blant annet vedtakene er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata lenket til det øvrige dokumenterte materialet. Dermed kan en bruker lett slå opp på Personvernnemndas vedtak ved oppslag på paragraf i personopplysningsloven, andre lover, dommer mv. som vedtakene viser til.

2.5 Møter og konferanser 2009

Personvernnemnda har i 2009 hatt i alt 12 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold har blitt behandlet.

I tillegg til nemndmøter har det vært forberedende møter med sekretariatet og leder.

Personvernnemnda hadde to kontaktmøter med departementet i 2009.

Personvernnemnda deltok på den internasjonale konferansen for datatilsynsmyndigheter i Madrid, Spania, 4. – 6. november. Leder Eva I E Jarbekk representerte nemnda.

Personvernnemnda ytet økonomisk støtte til «Personvernkonferansen 2009», som ble arrangert av Avdeling for forvaltningsinformatikk, Universitetet i Oslo, 4.12.2009.

2.6 Klagesaksbehandling

Personvernnemnda mottok i 2009 totalt 25 klagesaker. Av disse var 15 ferdigbehandlet ved utgangen av året. Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene publisert i egen database hos Lovdata.

Saksmengden har økt kraftig i forhold til 2007 og 2008. Flere av sakene har vært prinsipielle. Det store antall saker i 2009 har medført merarbeid for medlemmene. Dette skyldes også at flere av sakene har hatt et ikke uvesentlig omfang med svært mange vedlegg. Dette har medført arbeid for medlemmene ut over de tilmålte fire timers forberedelse til hvert møte.

Nemnda har i løpet av 2009 funnet det nødvendig å avholde flere møter enn planlagt, for å sikre en tilfredsstillende fremdrift i forhold til saksmengden.

Personvernnemnda vil særlig fremheve følgende forhold i årsmeldingen:

Det første forholdet gjelder sakene om helseforskning, PVN-2009-04, PVN-2009-05, PVN-2009-06, PVN-2009-07, PVN-2009-08 og PVN-2009-09. Nemnda finner det bekymringsverdig at det tilsynelatende er en tendens til å forsøke å unngå å måtte varsle eller informere forskningsobjekter. I sak PVN-2009-07 (Gjennombrudds-prosjekt keisersnitt) uttalte Personvernnemnda at det ikke kan være slik at hovedregelen ikke skal følges når det gjelder de manges personvern, bare når det gjelder de fås personvern. Dette er et prinsipielt poeng som nemnda vil fremheve fordi det anføres stadig oftere at det er «uforholdsmessig vanskelig» å informere utvalget når det dreier seg om et større antall personer. De samtykkeskjemaene som brukes i forskning synes også å lide av vesentlige mangler. Nemnda viser særlig til sakene PVN-2009-05 (Kobling av helseregistre – levertransplantasjon) og PVN-2009-06 (Kreftregisterets mammografiprogram). Videre vises det til PVN-2009-08 (CoCa-banken) hvor klager ville beholde personidentifiserbare opplysninger til 2011 til tross for at forsker manglet alle de nødvendige offentlige godkjennelser av prosjektet. Nemnda uttalte at det ligger en personverntrussel i den praksis at regelverket neglisjeres og så tror man at skaden lar seg enkelt reparere i ettertid.

Det andre forholdet gjelder det store antallet midlertidige konsesjoner som Datatilsynet gir «i påvente av lovgiver». Selv om en midlertidig konsesjon kan være velbegrunnet i det enkelte tilfellet, så er Personvernnemnda noe betenkt over antall tilfeller der det brukes.

Det tredje forholdet Personvernnemnda vil peke på er det generelle problemet forbundet med at det gis standardkonsesjoner i stedet for forskrift. For eksempel har kredittopplysningsbransjen fått en standardkonsesjon. Standardkonsesjoner er ikke gjenstand for den samme demokratiske prosessen som en forskrift. Dette ble også påpekt av nemnda i forrige årsmelding og nemnda finner denne praksisen uheldig. Etter nemndas syn ville det være mer hensiktsmessig å lage en forskrift med de rettssikkerhetsgarantier det medfører.

Saker som ble behandlet i 2009 er:

PVN-2009-01 Gjenpartsbrev ved kredittvurdering

Klage på tre vedtak fra Datatilsynet vedrørende gjenpartsbrev ved kredittvurdering

Klage på vedtak fra Datatilsynet hvor Datatilsynet påla tre kredittopplysningsforetak å endre sine gjenpartsbrev slik at også «score» fremkommer av gjenparten. Klager anfører at det ikke er rettslig grunnlag for å gi pålegg om at selve kredittvurderingen skal fremgå av gjenparten. Formålet med gjenpartsplikten er oppfylt når den registrerte får informasjon om hvilke opplysninger som er utlevert til spørrer eller lagt til grunn for kredittvurderingen. Datatilsynet mener at en score sier noe om en persons kredittverdighet og er følgelig å anse som en personopplysning. Personvernnemnda er enig med Datatilsynet og mener at når personopplysninger er definert som både fakta og vurderinger, blir det uriktig å skille mellom opplysningene og scoren. Personvernnemnda er derfor av den oppfatning at også scoren skal fremgå av gjenparten.

PVN-2009-02 Vekting av momenter ved kredittvurdering

Klage på Datatilsynets beslutning hvor tilsynet finner at det ikke har kompetanse til å vurdere vektingen av opplysninger som kredittopplysningsvirksomheter har lovlig adgang til å innhente i forbindelse med en kredittvurdering

Klage på Datatilsynets vedtak om at tilsynet ikke har kompetanse til å vurdere vektingen av opplysninger som kredittopplysningsvirksomheter har lovlig adgang til å innhente. Nemnda var enig med tilsynet om at den ikke har myndighet til å overprøve Lindorffs valg av metoder. Heller ikke påstandene om retting etter personopplysningsloven § 27 eller sletting etter personopplysningsloven § 28 førte frem.

PVN-2009-03 Forskningsprosjekter – helseopplysninger

Klage på Datatilsynets saksbehandling vedrørende påberopte brudd på personvernlovgivningen i forskningsprosjekter

Klage på Datatilsynets saksbehandling vedrørende påberopte brudd på personvernlovgivningen i forskningsprosjekter. Klager mente at Datatilsynet skulle ha foretatt seg mer i denne saken. Datatilsynet svarte at det har fulgt opp saken på en adekvat måte, blant annet med både brevlig og stedlig kontroll – uten at det ble funnet noen behandling som var ulovlig. Personvernnemnda var enig med tilsynet og konkluderte med at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

PVN-2009-04 Kobling av helseregistre – St Olavs Hospital

Klage på Datatilsynets avslag på søknad om endring av konsesjon – kobling av helseregistre uten å informere pasientene

Kobling av helseregistre. Det ble søkt om konsesjon til å foreta en kobling not Dødsårsaksregisteret uten å informere utvalget. Datatilsynet ga delvis avslag på søknaden. Klager fikk konsesjon, men Datatilsynet satte som krav at utvalget ble informert om koblingen. Personvernnemnda vurderte hvorvidt informasjon til pasientene om at det skal foretas en kobling mot Dødsårsaksregisteret er «utilrådelig». Nemnda bemerket at denne saken er annerledes enn de to sakene hvor Datatilsynet brukte unntaksregelen i helseregisterloven § 25, 2. ledd nr 3. Tolkning av begrepet «utilrådelig» skal ta utgangspunkt i et faglig skjønn, men dette er ikke avgjørende selv om det er av betydning. Nemnda kom til at kravet om informasjon etter helseregisterlovens §§ 20, 23 og 24 må opprettholdes.

PVN-2009-05 Kobling av helseregistre – levertransplantasjon

Klage på Datatilsynets avslag på søknad om helseforskning – kobling av helseregistre og samtykke

Kobling av helseregistre. Klage på Datatilsynets vedtak om at konsesjon for å gjennomføre en kobling mot Kreftregisteret krever at det blir innhentet nye samtykker fra alle registrerte pasienter i Norsk levertransplantasjonsregister. Personvernnemnda vurderte samtykkeskjemaene og kom til at kobling mot Kreftregisteret kan skje uten at man innhenter nye samtykker fra pasientene. Nemnda la særlig vekt på at det fremgikk av ordlyden at registreringen var frivillig. Nemnda anbefalte dog at ordlyden ble enda tydeligere slik at det blir klart at manglende samtykke ikke har noen betydning for plassen på ventelisten eller oppfølgningen etter en transplantasjon.

PVN-2009-06 Kreftregisterets mammografiprogram

Klage på Datatilsynets vedtak vedrørende Kreftregisterets behandling av opplysninger fra Mammografiprogrammet

Klage på Datatilsynets vedtak om at Kreftregisteret skal slette eller anonymisere opplysninger om negativt funn som er eldre enn seks måneder. Alternativt skal Kreftregisteret utarbeide en fremdriftsplan for innhenting av lovlig samtykke og samtykkene må være innhentet innen utgangen av 2009. Personvernnemnda tok klagen delvis til følge. Nemnda er av den oppfatning at en konsesjon kan endres av en etterfølgende forskrift. Kreftregisterforskriften trådte i kraft i 2002. Det betyr at fristen på seks måneder begynte å løpe fra det tidspunktet, for alle innsamlede opplysninger. Kreftregisteret har ikke overholdt tidsfristen. Personvernnemnda mener at tidsfristen fastsatt av Datatilsynet er for kort og kom til at samtykker må være innhentet innen utgangen av 2011.

PVN-2009-07 Gjennombruddsprosjekt keisersnitt

Klage på Datatilsynets vedtak om utvidelse og forlengelse av konsesjon til å behandle helseopplysninger i forbindelse med «Gjennombruddsprosjekt keisersnitt». Konsesjon ble gitt under forutsetning at utvalget skulle få informasjon om koblingen og adgang til å reservere seg mot deltakelse

Gjennombruddsprosjekt keisersnitt. Klage på Datatilsynets vedtak om utvidelse og forlengelse av konsesjon til å behandle helseopplysninger i forbindelse med «Gjennombruddsprosjekt keisersnitt». Konsesjon ble gitt under forutsetning at utvalget skulle få informasjon om koblingen og adgang til å reservere seg mot deltakelse. Legeforeningen påklaget vedtaket og anførte at det blir vanskelig å innhente samtykke til kobling fordi klager ikke har navn eller personnummer som i etterkant kan identifisere deltakerne. Videre anføres det at arbeidsbyrden i MFR med å tilskrive over 3000 deltakere er for stor. Personvernnemnda kom til at klagen ikke kunne tas til følge. 3200 personer er ikke mange. Det er tvert imot tale om et ganske lite register i forhold til mange registre i Norge i dag. Nemnda bemerket at det kan ikke være slik at hovedregelen ikke skal følges når det gjelder de manges personvern, bare når det gjelder de fås personvern.

PVN-2009-08 CoCa-banken

Klage på Datatilsynets avslag på søknad om konsesjon til helseforskning

Klage på Datatilsynets vedtak hvor det ble gitt avslag på søknad om konsesjon angående Colon Cancer banken (CoCa-banken) til å behandle helseopplysninger. Til tross for at forsker har manglet nødvendige offentlige godkjennelser av prosjektet, ønsker klager likevel å beholde personidentifiserbare opplysninger til 2011. Nemnda kom til, som Datatilsynet, at det i denne saken ikke foreligger hjemmel for å oppbevare materialet. Uttalelse om personverntrusselen som ligger i den praksis at regelverket neglisjeres og man tror at skaden lar seg reparere. Etter Personvernnemndas syn ville en tildeling av konsesjon i etterhånd i et tilfelle som dette, skapt en uheldig presedens.

PVN-2009-09 Tvillingundersøkelse

Klage på Datatilsynets avslag på søknad om konsesjon til helseforskning

Klage på Datatilsynets vedtak hvor det ble gitt avslag på søknad om konsesjon til å behandle helseopplysninger i forbindelse med forskning. Konsesjonssøker ønsket å koble Tvillingregisteret med en rekke andre registre. Datatilsynet ville ikke gi konsesjon uten at samtykke fra utvalget først ble innhentet. Nemnda er enig i Datatilsynets interesseavveining, der Datatilsynet legger til grunn at samfunnets behov for behandlingen i dette tilfellet må vike for personverninteressene.

PVN-2009-10 Ila fengsel

Klage på Datatilsynets vedtak hvor Ila fengsel nektes fullt innsyn i den underliggende klage

Klage på Datatilsynets vedtak der Ila fengsel nektes fullt innsyn i den underliggende klage og det innvilges kun delvis innsyn med rettslig grunnlag i forvaltningsloven § 19, 2. ledd bokstav b. Personvernnemnda vurderte det slik at samtlige temaer som den innsatte hadde reist, falt utenfor Datatilsynets kompetanse. Personvernnemnda kom dermed til at den foreliggende saken var en orienteringssak, ikke en enkeltvedtakssak. Dette medførte at det ikke forelå noen enkeltvedtakssak som Ila fengsel kunne være part i. Dermed hadde Ila heller ikke krav på partsinnsyn etter forvaltningsloven.

PVN-2009-12 Politiets taushetsplikt

Klage på Datatilsynets beslutning om å avslutte sak om et eventuelt brudd på politiets taushetsplikt

Klage på Datatilsynets beslutning om å avslutte sak om et eventuelt brudd på politiets taushetsplikt. Saken gjaldt spørsmål om brudd på taushetsplikt hos politiet, og Personvernnemnda var enig med Datatilsynet i at det er en sak for Spesialenheten for politisaker. Saken lå dermed utenfor Datatilsynets kompetanse. Nemnda kom til at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

PVN-2009-13 Registrering hos folkeregisteret

Klage på Datatilsynets avgjørelse om å avslutte sak om registrering av opplysninger i folkeregisteret

Klage på Datatilsynets avvisningsvedtak. Klager mener å stå oppført med feil ektefelle i folkeregisteret. Klager påklager avvisningsvedtaket og hevder at saken ikke burde avsluttes men følges opp ytterligere i forhold til Skatt Øst, jf personopplysningsloven § 13. Personvernnemnda vurderte Datatilsynets saksbehandling og kom til at saken ble tilstrekkelig opplyst før vedtak ble fattet. Datatilsynet har dermed oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11.

PVN-2009-15 Skoleskyssordning

Klage på Datatilsynets vedtak om at Rogaland fylkeskommune ikke kan bruke fødselsnummer for administrering av skoleskyss

Klage på Datatilsynets vedtak om at Rogaland fylkeskommune ikke kan bruke fødselsnummer for administrering av skoleskyss. Datatilsynet viste til at bestemmelsen i personopplysningsloven § 12 er strengt utformet og sikker identifisering kan oppnås ved bruk av navn, adresse og fødselsdato i denne saken. Personvernnemnda kom etter en konkret vurdering til at det var «saklig behov» for sikker identifisering og at metoden var «nødvendig» for å oppnå slik identifisering. Bruken av personnummer i denne saken var derfor i samsvar med personopplysningsloven § 12.

PVN-2009-17 Klage på NAV og helsepersonell

Klage på Datatilsynets avvisningsvedtak

Klage på Datatilsynets avvisningsvedtak. Klagen gjaldt behandling hos NAV og ulike personer innen helsevesenet. Personvernnemnda vurderte hvorvidt Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt i forvaltningsloven § 11. Nemnda kom til at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt i denne saken.

PVN-2009-21 Klage på advokat

Klage på Datatilsynets avvisningsvedtak

Klage på Datatilsynets avvisningsvedtak. Klagen gjaldt forhold knyttet til klagers advokat, blant annet manglende og mangelfull bistand. Personvernnemnda vurderte hvorvidt Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt i forvaltningsloven § 11. Nemnda kom til at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt i denne saken.

2.7 Regnskap og budsjett for 2009

Personvernnemnda hadde i 2009 en budsjettramme på kr 1 650 000, og fremkommer under kap 1500 Fornyings- og administrasjonsdepartementet i statsbudsjett for 2009.

Totalt forbruk: kr 1 490 714. Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, arrangement av internt seminar, deltakelse på seminar og den internasjonale konferansen, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler.

Oslo, 10. februar 2010

For Personvernnemnda

Eva I E Jarbekk (leder)

Til forsiden