St.meld. nr. 30 (2001-2002)

Datatilsynets og Personvernnemndas årsmeldinger for 2001

Til innholdsfortegnelse

2 Arbeids- og administrasjonsdepartementets merknader til Datatilsynets årsmelding for 2001

Datatilsynet i utvikling

Datatilsynet er inne i sitt 23. virkeår. I løpet av tiden som har gått siden opprettelsen i 1980, har Datatilsynet befestet sin posisjon som personvernets vokter i Norge. Hovedoppgaven er fortsatt den samme: Å beskytte den enkelte mot krenking av personvernet. Virkemidlene og tilnærmingsmåten er imidlertid endret på vesentlige punkter som følge av den nye loven. Konsesjonsinstituttet er til dels erstattet av meldeplikt ved behandling av personopplysninger. Behandling av sensitive data er imidlertid fortsatt konsesjonspliktig. Sensitive data omfatter blant annet opplysninger om helseforhold og politisk, filosofisk eller religiøs oppfatning, jf. lovens § 2. I tillegg er behandling av personopplysninger i bransjer som telesektoren, forsikringsbransjen, banker og finansinstitusjoner konsesjonspliktig i henhold til forskriften. I og med at mer ansvar er lagt til de behandlingsansvarlige selv, vil Datatilsynets oppgaver i større grad enn tidligere dreie seg om etterkontroll i form av tilsyn, og - ikke minst - veilednings- og opplysningsarbeide.

Personvernet i utvikling

Personvernet endrer innhold som følge av endret teknologi, endrede samfunnsforhold og utvikling innen andre rettsområder. Det har vært en sterk teknologisk utvikling de siste årene, og lite tyder på at tempoet i utviklingen vil avta. Samfunnsutviklingen har ført til at det genereres stadig flere opplysninger om enkeltpersoner. Det er viktig at personvernregelverket ikke blir en hindring for å få til gode og balanserte løsninger på alle de ulike samfunnsområdene Datatilsynet opererer innenfor. Regelverket må tvert imot være et virkemiddel for å få til et godt resultat i enkeltsaker. Datatilsynet vil gjennom sin anvendelse av det til en hver tid eksisterende regelverket være en viktig premissleverandør i forhold til utviklingen.

Personvernområdet er utsatt for press fra flere hold. Det vil alltid være ulik oppfatning om hvor grensen for den enkeltes personvern skal trekkes. Personvernhensyn vil kunne oppfattes som en begrensing for å få satt ut i livet en god idé, som en uhensiktsmessig hindring ved etterforskning, eller som en økonomisk merbelastning. Det grunnleggende personvernprinsippet om at innsamlede opplysninger i utgangspunktet ikke skal brukes til formål som er uforenelig med det opprinnelige formålet, blir stadig utfordret. Det er viktig at behandlere av personopplysninger blir gjort oppmerksomme på at slik gjenbruk krever samtykke eller hjemmel i lov.

På den andre siden er det mange som ikke har et bevisst forhold til temaet personvern. Dette bekreftes av Datatilsynets undersøkelse som det refereres til i meldingen. Når enkeltpersoner gjøres oppmerksomme på hvor store mengder personopplysninger som registreres på ulike områder, og mulighetene for sammenfatning av opplysninger - legalt eller ikke -, blir de derfor ofte negativt overrasket. Datatilsynet har følgelig en stor og viktig opplysningsoppgave - som har blitt enda viktigere på grunn av friheten den enkelte har til å avstå opplysninger om seg selv dersom han eller hun ønsker dette. Arbeids- og administrasjonsdepartementet mener det er et mål å øke bevisstheten om personvern i samfunnet. Departementet mener videre at Datatilsynet har gjort en bra jobb med å være en synlig og troverdig part i offentlige debatter.

Personvern i arbeidsforhold

Et område som stadig flere er bevisst på, er behandling av personopplysninger i arbeidslivet. Spørsmålene til Datatilsynet gjelder gjerne arbeidsgivers rett til å håndtere helseopplysninger (inkludert rusforhold), personellregistre, telefon- og kameraovervåking, overvåking av Internett eller e-post, adgangskontroller samt opplysninger om arbeidssøkere (inkludert politiattester).

Arbeidslivslovsutvalget som ble nedsatt 31. august 2001 skal vurdere endringer i arbeidsmiljøloven, blant annet spørsmålet om regulering av kontroll og overvåking i arbeidslivet. Et sentralt område i den forbindelse er arbeidsgivers behandling av personopplysninger om arbeidssøkere og arbeidstakere. Dette er et område som omfattes av personopplysningsloven. Det har imidlertid vært reist spørsmål ved om personopplysningsloven er tilstrekkelig tilpasset arbeidslivets særlige behov og om det derfor er behov for særregler i arbeidsmiljølovgivningen. Utvalget skal levere sin innstilling 1. desember 2003.

Personvern i helsesektoren

GeNova AS søkte høsten 2001 om konsesjon fra Datatilsynet i forbindelse med forskningsprosjektet «Påvisning av sykdomsdisponerende gener i en homogen norsk befolkning.» Datatilsynet skriver i sin årsmelding at (daværende) Sosial- og helsedepartementet antok at behandling av helseopplysninger i forbindelse med dette prosjektet kunne skje etter konsesjon fra Datatilsynet. Helsedepartementet presiserer at de ikke har tatt konkret stilling til om det bør gis tillatelse til dette prosjektet. De har kun vurdert at Norsk Arv ikke er et regionalt eller sentralt register i helseregisterlovens forstand, og at det således ikke vil kunne forskriftsreguleres etter helseregisterloven §§ 7 eller 8. Hjemmelsgrunnlaget må søkes i helseregisterlovens § 5 hvor det står at helseopplysningen kan behandles når det er tillatt etter personopplysningslovens §§ 9 og 33, og ikke er forbudt ved særskilt rettsgrunnlag.

Helsedepartementet støtter for øvrig Datatilsynets prinsipielle syn om at opprettelse av helseregistre med genetisk informasjon om store deler av den norske befolkningen, bør underlegges offentlig styring og kontroll. På den måten kan en motvirke at etiske prinsipper og personvernhensyn konkurrerer med kommersielle interesser, noe som er nødvendig dersom en skal sikre aksept og tillit til genforskning i Norge. Helsedepartementet viser for øvrig til Ot.prp. nr. 56 (2001-2002) Om lov om biobanker.

Datatilsynets internasjonale samarbeid

Samfunnsutviklingen og den teknologiske utviklingen har ført til at det stadig blir viktigere med samspill med andre land vedrørende personvernspørsmål. Det er blitt enklere og billigere å overføre personopplysninger, uavhengig av landegrenser. I tillegg står landene overfor relativt like utfordringer når det gjelder personvern, og det er derfor naturlig å utveksle problemstillinger og løsninger.

Personopplysningsloven med forskrifter implementerer EU-direktiv 95/46 EF «Om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger», og oppfølging av EØS-forpliktelsene står derfor sentralt. EU-landene vedtok 7. desember 2000 et charter om grunnleggende rettigheter - også kalt EUs menneskerettighetserklæring. I charteret slås det blant annet fast at enhver har rett til beskyttelse av personopplysninger som angår en selv. Charteret er en politisk erklæring, og dets rettslige status skal vurderes i forbindelse med EU-regjeringskonferansen i 2004.

Personvernspørsmål diskuteres også i andre europeiske og internasjonale fora. Det er et mål at Datatilsynet skal være premissleverandør og bidra til å styrke det europeiske og internasjonale personvernet. Etter Arbeids- og administrasjonsdepartementets syn må følgelig det internasjonale arbeidet være en sentral og viktig del av Datatilsynets virkeområde.

Kontroller og tilsyn

Datatilsynets økede fokus på kontroller og tilsyn er en konsekvens av at deler av konsesjonsinstituttet er erstattet med meldeplikt. I tillegg har Stortinget tidligere fokusert på tilsynsvirksomheten.

Selv om vi nå er inne i en overgangsperiode der både gammel og ny lov gjelder, mener Arbeids- og administrasjonsdepartementet at Datatilsynets oppsummering av kontrollene viser at mange bransjer og virksomheter har et stort forbedringspotensial når det gjelder personvern. Det er bekymringsfullt når for eksempel kun 10 % av de kontrollerte virksomhetene kan vise til at de har etablert systematikk i forhold til å vurdere risiko knyttet til elektronisk behandling av personopplysninger. Kontrollene viser imidlertid at selv om kjennskapen til loven og lovens bestemmelser til dels er dårlig, følger virksomhetene allikevel i stor grad lovens regler. De behandlingsansvarlige for personopplysninger har en stor og viktig oppgave med å innfri personopplysningslovens krav innen overgangsperioden går ut 31. desember 2002.

Samarbeid og veiledning

Arbeids- og administrasjonsdepartementet mener det er riktig av Datatilsynet å satse på ulike typer samarbeid når det gjelder å komme fram til tilfredsstillende løsninger. Ved deltakelse i forskjellige utvalg, veiledning i forbindelse med kontroller, direkte dialog i forbindelse med konsesjonssaker og bistand til utvikling av bransjevise normer, vil Datatilsynet kunne komme i forkant av uheldig behandling av personopplysninger.

Arbeids- og administrasjonsdepartementet har dessuten merket seg Datatilsynets omtale av personvernombud, og mener at dette er et spennende satsingsområde med stort potensial for å fremme personvernet.

Datatilsynets fokus på informasjon

Som Datatilsynets direktør påpeker, vil det være umulig for Datatilsynet å kontrollere alle virksomheter som etter lovens definisjoner skal følge regelverket. De kontrollene som foretas vil imidlertid sammen med blant annet informasjonen som kan trekkes ut fra meldeskjemaene være viktig bakgrunnsmateriale for å beslutte hvor informasjonstiltakene bør settes inn og hvordan dette mest effektivt kan gjøres.

I henhold til moderniseringsprogrammet for den offentlige sektoren er et av målene at borgere og bedrifter skal ha en enkel tilgang på rettighetsinformasjon. Det vil alltid være en utfordring å få informasjonen ut til befolkningen på en mest mulig effektiv måte. Arbeids- og administrasjonsdepartementet mener at Datatilsynet har gjort en god jobb på dette området. Hjemmesiden til Datatilsynet, www.datatilsynet.no, er oversiktlig og inneholder både aktuelle temaer og generell informasjon. Besøkstallene på hjemmesiden viser at Datatilsynet på en god måte har nådd ut til store deler av befolkningen. Arbeids- og administrasjonsdepartementet har dessuten inntrykk av at Datatilsynet har et aktivt og godt forhold til media, samt evne og vilje til å få satt saker på dagsorden. Via fokusering på enkeltsaker vil befolkningen lettere kjenne seg igjen i personvernspørsmål, og få et mer bevisst forhold til slike.

Informasjonssikkerhet

Nærings- og handelsdepartementet viser til at det er positivt at Datatilsynet ønsker å styrke kompetansen vedrørende informasjonssikkerhet, særlig risikovurderinger. De er enige i at bransjer bør gå sammen om felles vurderinger av risiko og fastsettelse av akseptkriterier. Nærings- og handelsdepartementet er imidlertid av den oppfatning at Datatilsynet ikke synes å legge vekt på nødvendige avveininger mellom de ulike aspektene ved informasjonssikkerhet - tilgjengelighet, integritet og konfidensialitet. Disse aspektene kan ofte stå i motstrid til hverandre (for eksempel helsevesenet der hensynet til rask tilgang til pasientinformasjon i akutte situasjoner kan være viktigere enn hensynet til konfidensialitet) og dette bør tas med i risikovurderinger og ved fastsettelse av akseptkriteria. Det er videre ikke tilstrekkelig å beskrive risiko ved prosaomtale. For å fastsette akseptkriteria som kan brukes til måling av om risiko håndteres på en akseptabel måte, bør disse i størst mulig grad være kvantifiserbare, også med tanke på at nødvendige sikkerhetstiltak medfører kostnader som må tilpasses det aksepterte risikonivået.

Regulering av Internett

EU-parlamentet har i et tillegg til personverndirektivet foreslått en mer restriktiv regulering av såkalte cookies (filer som legges til på harddisken når brukeren surfer på nettet og som inneholder informasjon om nettsteder maskinen har besøkt og hvilke innstillinger som er valgt). Nærings- og handelsdepartementet viser generelt til at et godt alternativ til for eksempel regulering av cookies, kan være styrking av det bevisstgjørende arbeidet mot forbrukerne. De vil dermed lettere kunne foreta riktige valg med hensyn til personvern ved bruk av Internett. Forsøk på å regulere ulike typer teknologier som brukes på Internett vil trolig resultere i at reguleringer blir fort utdaterte og at det vil oppstå unødige hindringer for innovativ bruk av Internett i samband med for eksempel e-handel eller andre former for elektroniske tjenester.

Personvern etter 11. september 2001

Det er viktig at debatten rundt forebyggelse og oppklaring av terror holdes på et balansert nivå. Regjeringen utreder ulike tiltak for å forhindre terrorangrep. Personvern vil stå sentralt i disse utredningene.

Konsesjonsklager behandlet av AAD

I henhold til personopplysningslovens overgangsregler i § 51 nr. 3, har Arbeids- og administrasjonsdepartementet behandlet de konsesjonsklagene som kom inn til Datatilsynet før 1. januar 2001 og som ikke var ferdigbehandlet av Datatilsynet før denne datoen. To av vedtakene ble opprettholdt, et ble delvis omgjort og en av klagene ble trukket.

Til forsiden