2 Arbeids- og administrasjonsdepartementets merknader til Datatilsynets årsmelding for 2002
Datatilsynets arbeidsområde
Datatilsynets hovedoppgave er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Også i 2002 har arbeidsfeltet til Datatilsynet blitt utvidet. Fra 1. januar 2002 har Datatilsynet i tillegg til å være tilsynsmyndighet i forhold til personopplysningsloven også vært tilsynsmyndighet i forhold til helseregisterloven - sammen med Statens helsetilsyn og Fylkeslegen.
Før helseregisterloven ble vedtatt, var bruk av helseopplysninger i hovedsak regulert ved de alminnelige reglene i personvernlovgivningen. Med helseregisterloven er det satt ekstra fokus på personvern innenfor et område som behandler svært sensitive opplysninger.
Elektronisk kommunikasjon er et annet viktig område som er under nyregulering. Forslaget til ny lov om elektronisk kommunikasjon, jf. Ot.prp. nr. 58 (2002-2003), bygger på kommunikasjonsverndirektivet 2002/58/EF, og vil avløse gjeldende telelov og annen regulering som gjelder elektronisk kommunikasjon. For å sikre en best mulig regulering på områder som overlapper telemyndighetenes og personvernmyndighetenes ansvarsområder, er det viktig at reguleringen skjer i samarbeid mellom de respektive myndigheter.
Ved bruk av særregulering er det imidlertid viktig å være oppmerksom på at dette kan føre til uheldig fragmentering av personvernlovgivningen. I tillegg vil nødvendigvis dette medføre økt arbeidsbelastning for Datatilsynet som må fordele sine ressurser på flere områder.
Datatilsynets arbeidsmåter
Som følge av overgangsbestemmelsene i personopplysningsloven og innføringen av helseregisterloven, økte antall henvendelser til Datatilsynet svært mye før årsskiftet. Datatilsynet får stadig flere henvendelser - pr. brev, e-post og telefon - fra enkeltpersoner og virksomheter med spørsmål om personvern. Undersøkelser gjort av Statskonsult, viser at publikum ønsker offentlig informasjon gjennom forskjellige kanaler: via massemedier, Internett og ikke minst gjennom personlig kontakt. Datatilsynet har nedlagt betydelige ressurser med å etablere en informativ og oppdatert hjemmeside. Videre legger Datatilsynet mye arbeid i å sette saker på dagsordenen gjennom mediene. I 2002 har Datatilsynet prøvd ut en «telefonvaktordning» hvor hensikten er at publikum enkelt og raskt skal komme i kontakt med jurist eller teknolog. Datatilsynets satsing på informasjon og media-/brukerkontakt er etter Arbeids- og administrasjonsdepartementets oppfatning viktig.
Datatilsynet bruker mange virkemidler for å ivareta et bedre personvern. Etter Arbeids- og administrasjonsdepartementets syn har Datatilsynet funnet fram til en rasjonell og effektiv arbeidsmetode. Den operative virksomheten tar utgangspunkt i Datatilsynets overordnede strategier og prioriteringer. Ved å kombinere ordinær saksbehandling, herunder konsesjonsbehandlinger med bransjemessige tilsyn og informasjon, oppnår Datatilsynet et konsentrert fokus mot enkelte bransjer. I 2002 var det særlig fokusert på helsesektoren, ideelle/frivillige organisasjoner, bank/finans/forsikring og kameraovervåking.
Oppfølging av regelverket
Datatilsynet gjennomførte over 100 operative tilsyn i 2002. Resultatene tyder på at mange virksomheter ikke er bevisst sitt lovpålagte ansvar i forhold til blant annet utarbeiding av sikkerhetsmål og -strategi for sikring av personopplysninger. I tillegg til at arbeids- og kostnadskrevende oppgaver ikke blir oppfylt i tilstrekkelig grad, er det en betenkelig lav oppfyllelse av meldeplikten. Arbeids- og administrasjonsdepartementet understreker betydningen av at alle virksomheter - både i offentlig og privat sektor - setter seg inn i egne plikter etter personopplysningsloven og helseregisterloven.
Bedrifter og etater som innfører personvernombud i samsvar med lovverket, vil få fritak fra meldeplikten. I tillegg oppnår bedriften et ekstra fokus på personvern. Arbeids- og administrasjonsdepartementet håper - i likhet med Datatilsynet - at flere virksomheter griper denne muligheten til å ivareta et godt personvern.
Nytt regelverk mv.
Innledningsvis har departementet påpekt nødvendigheten av at personvernhensyn blir vektlagt allerede tidlig i prosesser vedrørende nytt regelverk. Dette er den sikreste måten å oppnå reell drøftelse av hensynet. Det er forslagsstiller for nye bestemmelser som har ansvar for at personvernspørsmål blir utredet, jf. Utredningsinstruksens bestemmelser. Ved viktige endringer bør Datatilsynet kontaktes tidlig i prosessen. Det er for øvrig viktig at Datatilsynet blir forelagt saken i forbindelse med den alminnelige høringen. Arbeids- og administrasjonsdepartementet understreker betydningen av at alle som arbeider med utredninger som har en personvernside gjør Datatilsynet til direkte høringsinstans.
Internasjonalt arbeid
Personvernspørsmål stopper ikke ved landegrensene - slik heller ikke personopplysninger stopper ved grensene. Utfordringene ulike land står overfor, er dessuten relativt like. Målet er at Datatilsynet skal være premissleverandør og bidra til å styrke det internasjonale personvernet. Et aktuelt eksempel fra 2002 er Datatilsynets engasjement i forhold til amerikanske myndigheters krav om elektronisk tilgang til passasjerlister fra norske flyselskaper. Datatilsynets internasjonale arbeid må derfor stå sentralt i virksomheten - slik det har gjort i 2002.
Trygdemisbruk og personvern
Trygdemisbruk vil ofte rammes av straffebud, men dette kan være vanskelig å konstatere uten en nærmere undersøkelse av sakens trygdemessige sider. Bekjempelse av trygdemisbruk, spesielt organisert misbruk, er vesentlig for å bevare disse velferdsordningens legitimitet. Opplysninger fra Økokrim eller andre deler av politiet vil kunne være innledningen til en avsløring av misbruk av et betydelig omfang, samtidig som personvernhensyn taler for at slike opplysninger ikke gis videre til trygdeetaten. Det er nødvendig å veie disse viktige samfunnshensynene mot hverandre.
Klager behandlet av AAD
Ordinære klager etter personopplysningsloven og helseregisterloven skal behandles av Personvernnemnda. AAD ferdigbehandlet imidlertid to konsesjonsklager i 2002 i henhold til personopplysningslovens overgangsregler. I tillegg behandlet AAD saker utenfor Personvernnemndas område. For mer informasjon om klagesakene vises det til Datatilsynets årsmelding.