2 Personvernnemndas årsmelding 2010
2.1 Sammendrag
Dette er Personvernnemndas tiende årsmelding. I løpet av året er det kommet 13 klager. Totalt 14 saker er ferdigbehandlet i 2010; ti saker fra 2009 og fire saker fra 2010. Datatilsynets vedtak er omgjort i seks av de 14 sakene.
Saksmengden har vært normal sammenlignet med tidligere år, med unntak for 2009 hvor det kom inn et svært høyt antall saker. Det er mulig at antallet saker varierer med hvilke sektorer Datatilsynet gjennomfører tilsyn hos.
Flere av sakene har vært prinsipielle. Fire av de største sakene, PVN-2009-11 (Nasjonalbiblioteket), PVN-2009-14 (Altinn), PVN-2009-16 (Drosjeløyve Oslo kommune) og PVN-2009-18 (Fildeling Simonsen), har nemnda arbeidet med i en rekke nemndmøter i 2009. Disse sakene ble ferdigbehandlet i 2010.
Personvernnemnda kan bare ta stilling til spørsmål i de foreliggende konkrete saker, men ser at klagesakene viser at det på flere områder er behov for en sektorovergripende rettspolitisk debatt.
2.2 Innledning
Personvernnemnda er opprettet med hjemmel i lov om behandling av personopplysninger (2000:31). Loven trådte i kraft 1.1.2001. Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven, helseregisterloven (2001:24) og helseforskningsloven (2008:44).
Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Fornyings- og administrasjonsdepartementet (FAD).
Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.
Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.
Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene.
2.3 Medlemmer
Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen. Første gangs oppnevning skjedde i 2001. I desember 2008 ble det oppnevnt ny leder og nestleder, samt to nye medlemmer, som startet sin funksjonstid 1.1.2009.
Personvernnemnda besto i 2010 av følgende personer:
Eva I. E. Jarbekk, leder
Arve Føyen, nestleder
Tom Bolstad
Leikny Øgrim
Jostein Halgunset
Ørnulf Rasmussen
Ann Rudinow Sætnan
I tillegg har alle medlemmene personlige vararepresentanter:
Olav Torvund (vara for leder)
Ingvild Hanssen-Bauer (vara for nestleder)
Gry Nergård
Lars Erik Fjørtoft
Svein Erik Ekeid
Michal Wiik Johansen
Gisle Hannemyr
2.4 Andre organisatoriske forhold
Sekretariatet til Personvernnemnda består av Tonje Røste Gulliksen. Hun ble ansatt som seniorrådgiver i Fornyingsdepartementet med tiltredelse 1. mars 2006 for å arbeide i Personvernnemndas sekretariat. Fra august 2009 har sekretæren leid kontor i Sandefjord der hun bor, men hun reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Dette har ikke skapt praktiske problemer for nemndas arbeid.
Personvernnemnda holder sine møter i Oslo. Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor blant annet vedtakene er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata hvor det er lenket til det øvrige materialet.
2.5 Møter og konferanser 2010
Personvernnemnda har i 2010 hatt i alt 11 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold er blitt behandlet.
I tillegg til nemndmøter har det vært forberedende møter med sekretariatet og leder.
Personvernnemnda hadde et kontaktmøte med departementet i 2010.
Personvernnemnda deltok på OECD-konferanse i Israel 25. og 26. oktober og den internasjonale konferansen for datatilsynsmyndigheter i Israel 27. og 28. oktober 2010. Leder Eva I E Jarbekk representerte nemnda.
Personvernnemnda ydet økonomisk støtte til «Personvernkonferansen 2010», som ble arrangert av Avdeling for forvaltningsinformatikk, Universitetet i Oslo, 3.12.2010.
2.6 Klagesaksbehandling
Personvernnemnda mottok i 2010 totalt 13 klagesaker. Av disse var fire ferdigbehandlet ved utgangen av året. I tillegg ble ti saker fra 2009 ferdigbehandlet i 2010. Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene som nevnt publisert i egen database hos Lovdata.
Saksmengden har normalisert seg i forhold til i fjor og er på linje med 2007 og 2008. Flere av sakene har vært prinsipielle. Også i 2010 har omfangsrike saker medført arbeid for medlemmene ut over de tilmålte fire timers forberedelse til hvert møte.
Personvernnemnda vil særlig fremheve fildelingssaken (PVN-2009-18) i årsmeldingen. Denne saken har nemnda arbeidet med i over ett år. Saken gjaldt en klage på Datatilsynets vedtak hvor Datatilsynet hadde gitt avslag på søknad fra Simonsen Advokatfirma DA om forlengelse av konsesjon til å behandle personopplysninger. Formålet med behandlingen var å bistå rettighetshavere til musikk og filmverk i deres arbeid med å stanse ulovlig eksemplarfremstilling og tilgjengeliggjøring for allmennheten, blant annet på Internett, av deres rettslig beskyttede verker og arbeider. Datatilsynet nektet forlengelse, blant annet med den begrunnelse at det er en rekke prinsipielle problemstillinger som Datatilsynet har sett ved at en privat aktør skal overvåke internettaktivitet uten nærmere føringer fra lovgiver. Man hadde sett ulike bivirkninger av tiltaket og det var nå behov for en avklaring fra politisk hold. Personvernnemnda brukte lang tid på å sette seg inn i saken. Saken var kompleks, prinsipiell og dessuten delte nemnda Datatilsynets syn om at denne saken med fordel burde vært gjenstand for politisk behandling. Nemnda delte seg til slutt i et flertall og et mindretall. Flertallet kom til at konsesjonen skulle forlenges. Flertallet mente at interesseavveiningen etter personopplysningsloven § 34 falt ut i søkers favør. Nemndas leder kom med en særbemerkning i saken hvor det bl a presiseres at Datatilsynet står fritt til å trekke tilbake midlertidige konsesjoner basert på eget skjønn, herunder på grunn av behov for lovregulering. Det foreligger således flertall i Personvernnemnda for denne oppfatningen. Mindretallet fant det betenkelig at en privat aktør overvåker nettet på den måten Simonsen gjør på vegne av rettighetshaverne, og mente at det er nødvendig med lovregulering. Mindretallet fremhevet at den aktuelle registrering ville ha personvernmessige virkninger som kan «volde ulemper». Mindretallet mente at disse ikke kan dempes eller nøytraliseres ved hjelp av vilkår som stilles til konsesjonen. Personvernnemnda vil påpeke at saken berører vesentlige prinsipielle personvernspørsmål, så som fare for feilregistrering, betenkeligheter ved privat overvåkning, vurdering av hvorvidt det gjøres bruk av provokasjonslignende tiltak og endring av prinsipp for bevisvurdering.
Saker som ble behandlet i 2010 er:
PVN-2009-11 Nasjonalbiblioteket
Klage på Datatilsynets vedtak om tidsbegrenset konsesjon til å behandle personopplysninger hos Nasjonalbiblioteket
Nasjonalbiblioteket påklaget Datatilsynets vedtak om tids- og innholdsmessig begrenset konsesjon for nedlasting, oppbevaring og tilgjengeliggjøring av materiale fra Internett. Personvernnemnda bemerket at avleveringsloven og avleveringsforskriften åpenbart ikke er tilpasset nettdokumenter. Nemnda mente også at lovens begrep «allment tilgjengelig» ikke er et hensiktsmessig begrep for den lovregulerte, pliktmessige innsamling av ytringer i det offentlige rom. Begrepet er ikke lenger dekkende for det som var formålet med avleveringsloven, nemlig å samle inn de offentlige ytringer. Med Internett har «allment tilgjengelig» blitt utvidet til å også omfatte private ytringer. Personvernnemnda gjennomgikk konsesjonsvilkårene. Nemnda opprettholdt kravet om at Nasjonalbiblioteket må respektere robots.txt. Industristandarder som robots.txt utgjør en mild beskyttelse av innhold som er lagt ut på Internett, for eksempel når intensjonen er å spre det innenfor «ein privat krins». Nemnda opprettholdt også vilkåret om retting/supplement, men ikke i form av en tilsvarsrett, men på den måten at klager må oppfylle plikten som følger av personopplysningsloven § 27 første og annet ledd. For så vidt gjaldt informasjonstiltak, var nemnda enig med klager i at klager bare kan informere de registrerte om retten til å komme med kommentarer. Nemnda kom til at tilgjengeliggjøring for forskning ikke kunne skje; nemnda mente at det er viktig at informasjonsplikten og muligheten til å kommentere oppfylles før det tilgjengeliggjøres for forskning. Personvernnemnda var enig med Datatilsynet i at det i denne saken måtte gis en tidsavgrenset konsesjon, men nemnda forlenget konsesjonsperioden frem til 30.6.2012.
PVN-2009-14 Altinn
Klage på Datatilsynets vedtak om at Altinn sentralforvaltning må avslutte logging av fødselsnummer og tilhørende IP-adresse
Klage på Datatilsynets vedtak om at Altinn sentralforvaltning må avslutte logging av fødselsnummer og tilhørende IP-adresse. Datatilsynet mente at Altinn ikke har grunnlag for loggingen i personopplysningsforskriftens §§ 2-14 og 2-16. Forskriften pålegger tiltak for å hindre uautorisert tilgang, men ikke slik som Altinn legger opp til, nemlig å logge all trafikk for å kunne etterspore en eventuell uautorisert tilgang til systemet. Personvernnemnda var enig med Datatilsynet i at behandlingen av IP-adresser ikke hadde rettslig grunnlag i personopplysningsforskriften. Nemnda var imidlertid av den oppfatning at Altinn har behandlingsgrunnlag i personopplysningsloven § 8 f; den behandlingsansvarlige skal ivareta en berettiget interesse og hensynet til den registrertes personvern overstiger ikke denne interessen.
PVN-2009-16 Drosjeløyve
Klage på Datatilsynets vedtak om at Oslo kommune ikke kan be om samtykke fra løyvesøker til å innhente vandelsopplysninger ved tildeling av drosjeløyver, samt pålegg om sletting av innhentede personopplysninger
Klage på Datatilsynets vedtak om at Oslo kommune ved tildeling av drosjeløyver ikke kan innhente vandelsopplysninger og andre opplysninger på grunnlag av samtykke fra løyvesøker. Klagen ble delvis tatt til følge. Nemnda konkluderte med at den behandlingen det her var tale om kunne skje på grunnlag av samtykke fra den registrerte, så fremt det var etablert en alternativ behandlingsmåte for de som velger å ikke gi samtykke. For at dette skal være tilfelle må søker få anledning og tilstrekkelig informasjon til selv å kunne fremskaffe de relevante opplysninger. Personvernnemnda vurderte samtykkeskjemaet og kom til at erklæringen måtte konkretiseres nærmere og de ulike opplysninger som skulle innhentes i samsvar med vilkårene i yrkestransportloven og forskriften måtte spesifiseres. Nemnda kom derfor til at samtykkeerklæringen ikke var utformet slik at den tilfredsstilte kravene til en frivillig, uttrykkelig og informert erklæring fra den registrerte, jf personopplysningsloven § 2 nr 7.
PVN-2009-18 Konsesjon til å overvåke fildelingsnettverk
Klage på Datatilsynets vedtak hvor Datatilsynets vedtak hvor det gis avslag på forlengelse av konsesjon til behandling av personopplysninger for å bistå rettighetshavere til musikk og filmverk
Klage på Datatilsynets vedtak hvor Datatilsynet ga avslag på søknad fra Simonsen Advokatfirma DA om forlengelse av konsesjon til å behandle personopplysninger. Formålet med behandlingen av personopplysninger er å bistå rettighetshavere til musikk og filmverk i deres arbeid med å stanse ulovlig eksemplarfremstilling og tilgjengeliggjøring for allmennheten, blant annet på Internett, av deres rettslig beskyttede verker og arbeider. Datatilsynet nektet forlengelse, blant annet med den begrunnelse at det er en rekke prinsipielle problemstillinger som Datatilsynet har sett ved at en privat aktør skal overvåke internettaktivitet uten nærmere føringer fra lovgiver. Man har sett ulike bivirkninger av tiltaket og nå er det behov for en avklaring fra politisk hold. Personvernnemnda delte seg i et flertall (med en særbemerkning fra nemndas leder hva angår valg av begrunnelse) og et mindretall. Flertallet kom til at konsesjonen skulle forlenges. Flertallet mente at interesseavveiningen etter personopplysningsloven § 34 falt ut i søkers favør. Nemndas leder kom med en særbemerkning i saken hvor det bl a presiseres at Datatilsynet står fritt til å trekke tilbake midlertidige konsesjoner basert på eget skjønn, herunder på grunn av behov for lovregulering. Det foreligger således flertall i Personvernnemnda for denne oppfatningen. Mindretallet var enig i Datatilsynets vedtak. Mindretallet fremhever at den aktuelle registrering vil ha personvernmessige virkninger som kan «volde ulemper». Mindretallet mener at disse ikke kan dempes eller nøytraliseres ved hjelp av vilkår som stilles til konsesjonen. Mindretallet mener at saken berører vesentlige prinsipielle personvernspørsmål, så som påregnelig feilregistrering, privat overvåkning, bruk av provokasjonslignende tiltak og endring av prinsipp for bevisvurdering.
PVN-2009-19 Betalingsanmerkninger
Klage på Datatilsynets vedtak hvor Datatilsynet har gitt pålegg om sletting av betalingsanmerkninger eldre enn åtte år og omlegging av kredittopplysningsbyråenes praktisering av sletting i samsvar med pålegget
Klage på Datatilsynets vedtak om sletting av betalingsanmerkninger eldre enn åtte år og omlegging av kredittopplysningsbyråenes praktisering av sletting i samsvar med pålegget. Saken gjelder en tolkning av standardkonsesjonen for kredittopplysningsvirksomhet punkt 4.2. Bestemmelsen angir at en fordring som ikke kan resultere i slik tvangsforretning, kan benyttes i kredittopplysningsøyemed i ytterligere fire år dersom det tas nye rettslige skritt. Klager mener at det dermed ikke finnes noen maksimal oppbevaringstid, slik at bemerkningen ikke behøver å slettes før det er gått fire år siden siste rettslige skritt. Datatilsynet har tolket inn en øvre grense på maksimalt to fireårsperioder. Etter nemndas syn blir det å trekke den naturlige språklig forståelsen av ordlyden for langt. Datatilsynet kan eventuelt sette en øvre grense ved å endre konsesjonen. Klager gis medhold.
PVN-2009-20 Tvangsekteskap
Klage på Datatilsynets avslag på søknad om konsesjon for behandling av personopplysninger i IMDis kompetanseteam mot tvangsekteskap
Klage på Datatilsynets avslag på søknad om konsesjon for behandling av personopplysninger i IMDis kompetanseteam mot tvangsekteskap. Personvernnemnda kom til at klager har behov for ytterligere veiledning, begrepsavklaring og utredning. Av hensyn til klager, er nemnda derfor kommet til at saken sendes tilbake til Datatilsynet slik at saken eventuelt kan bli gjenstand for en reell toinstansbehandling i forvaltningsapparatet.
PVN-2009-22 NAV
Klage på Datatilsynets vedtak om informasjonsplikt ved NAVs innhenting av pasientjournaler i forbindelse med etterkontroll
Klage på Datatilsynets vedtak hvor Datatilsynet slår fast at informasjonsplikten i personopplysningsloven § 20 første ledd gjelder ved innhenting av pasientjournaler i kontrolløyemed. Datatilsynet og NAV er uenige om rekkevidden av unntaket i personopplysningsloven § 20 annet ledd bokstav a. Klager mener at personopplysningsloven § 20 annet ledd bokstav a, sammenholdt med folketrygdloven § 21-4, jf § 21-4 bokstav c hjemler unntak fra informasjonsplikten som følger av personopplysningsloven § 20 første ledd. Personvernnemnda kom til at en naturlig forståelse av ordlyden i folketrygdloven § 21-4c 4.ledd tilsier at hovedregelen om informasjonsplikt skal gjelde her. Det er uttrykkelig henvist til informasjonsplikten i personopplysningsloven i § 21-4c 4. ledd, og det er bare gjort unntak for de forhold som er regulert i folketrygdlovens § 21-4b. Klagen ble ikke tatt til følge.
PVN-2009-23 Opplysninger i politiets registre
Klage på Datatilsynets vedtak om å avslutte sak (avvisningsvedtak)
Klage på Datatilsynets avvisningsvedtak. Saken gjelder en påstand om at det er registrert feilaktige opplysninger om klager i politiets strafferegister og at klager ikke har fått innsyn i samtlige opplysninger som er registrert om vedkommende. Nemnda kom til at saken ble tilstrekkelig opplyst og Datatilsynet har oppfylt sin utredningsplikt etter forvaltningsloven § 17 og sin veiledningsplikt etter forvaltningsloven § 11. Klagen ble ikke tatt til følge.
PVN-2009-24 CoCa-banken II
Klage på Datatilsynets vedtak om sletting av personopplysninger
CoCa-banken II. I sak PVN-2009-08 CoCa-banken, behandlet Personvernnemnda spørsmålet om avslag på søknad om konsesjon til å behandle personopplysninger til forskning, samt varsel om vedtak om sletting/anonymisering. Personvernnemnda kom til at Datatilsynets vedtak skulle opprettholdes. Datatilsynet fattet deretter endelig vedtak om at UiO skal «slette eller anonymisere» opplysningene. Datatilsynet henstilte om at opplysningene ble slettet og ikke anonymisert. UiO påklaget dette vedtaket. Personvernnemnda fant at Datatilsynets siktemål med vedtaket oppfylles ved at dataene anonymiseres. En anonymisering kan skje ved at nøkkelen mellom person og prøver slettes, slik at det ikke beholdes noen kobling som åpner for å finne tilbake til fødselsnummeret eller person. Anonymisering vil tillate at pågående doktorgradsstudier kan fullføres. Klagen ble ikke tatt til følge.
PVN-2009-25 Personopplysninger om arbeidstaker
Klage på Datatilsynets vedtak om utlevering av personopplysninger
Klage på Datatilsynets vedtak om at dokumenter som inneholder personopplysninger om arbeidstaker, skal utleveres til Datatilsynet for gjennomsyn, jf personopplysningsloven § 44. Klager anfører personopplysningsloven § 23 f som grunnlag for å frita klager fra å utlevere dokumenter i saken til andre enn de en ser seg tjent med. Personvernnemnda er enig med Datatilsynet i at Datatilsynets rett reguleres av § 44 og dette er en rett til å kreve opplysninger som gjelder uten unntak og uten hinder av taushetsplikt. Klagen ble ikke tatt til følge.
PVN-2010-01 Kredittvurdering
Klage på Datatilsynets avvisningsvedtak – kredittvurderingen omfattes av unntaket i personopplysningsloven § 7
Klage på Datatilsynets avvisningsvedtak. Datatilsynet har avvist saken fordi tilsynet er av den oppfatning at kredittvurderingen omfattes av unntaket i personopplysningsloven § 7. Klager anfører at han ikke skulle vært kredittvurdert av Mastiff TV. Det stemmer at han har vært daglig leder i firmaet, men det var på et tidligere tidspunkt. Personvernnemnda var enig med Datatilsynet i at journalister kan innhente kredittopplysninger i forbindelse med journalistisk arbeid. Etter nemndas syn kan det være høyst relevant for en journalist som gjør research til et tv-program å innhente opplysninger ikke bare om nåværende ledelse i et foretak. Klagen ble ikke tatt til følge.
PVN-2010-03 Opplysninger i kommunalt register
Klage på Datatilsynets avvisningsvedtak vedrørende feilaktige opplysninger i kommunalt register
Klage på Datatilsynets avvisningsvedtak vedrørende feilaktige opplysninger i kommunalt register. Det ligger dokumenter i kommunens sakssystem hvor klager er betegnet som «psykisk syk» og med «unormale personlighetstrekk». Kommunen er dømt til å betale erstatning til klager i lagmannsretten og lagmannsretten la til grunn at klagers sykdom og uføretrygding var et resultat av kommunens håndtering av denne saken. Nemnda kom til at når det er blitt avsagt dom med et slikt innhold, så bør Datatilsynet, for å sikre forsvarlig saksbehandling og resultat, undersøke hva som har skjedd og hva kommunen har gjort. Unnlatt tilsyn var således en saksbehandlingsfeil i denne saken. Klagen ble tatt til følge.
PVN-2010-04 Kredittvurdering
Klage på Datatilsynets vedtak om saklig behov ved kredittvurdering
Klage på Datatilsynets vedtak om saklig behov ved kredittvurdering. Klager anførte at det påståtte erstatningskravet ikke var den reelle grunnen til at advokaten foretok kredittvurdering av ham. Klager mente at kredittvurderingen ble foretatt for å bruke opplysningene om hans økonomi i en pågående tvist mellom advokatens klient og klagers kone. Nemnda var enig i Datatilsynets vurdering. Det forelå saklig behov for kredittvurderingen av klager idet det nærmet seg foreldelse for giftsaken mot klager og det fremsto ikke unaturlig å vurdere sivilrettslige skritt. Etter nemndas syn bør terskelen for å kredittvurdere i slike forhold være lave. Nemnda kom også til at Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.
PVN-2010-05 Kredittvurdering
Klage på Datatilsynets avvisningsvedtak vedrørende saklig behov for kredittvurdering
Klage på Datatilsynets avvisningsvedtak vedrørende saklig behov for kredittvurdering. Klager mente at det ikke vil være saklig behov for kredittvurdering ved opprettelse av inkassosak på lave beløp. Nemnda var enig med Datatilsynet. Det avgjørende for nemnda var at det foreligger en bransjenorm som fastslår at man som hovedregel kan kredittvurdere ved registrering av nytt inkassokrav. Årsaken til kredittvurderingen på dette punktet er at man skal vurdere om kreditor kan/bør velge å ikke fortsette saken. Etter nemndas syn foreligger det da saklig behov nærmest uavhengig av beløpets størrelse.
2.7 Regnskap og budsjett for 2010
Personvernnemnda hadde i 2010 en budsjettramme på kr 1 683 000, og fremkommer under kap 1500 Fornyings- og administrasjonsdepartementet i statsbudsjett for 2010.
Totalt forbruk: kr 1 318 425.
Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, deltakelse på seminar og den internasjonale personvernkonferansen, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler.
Oslo, 10. februar 2011
For Personvernnemnda
Eva I E Jarbekk (leder)