1 Datatilsynets årsmelding for 2002
Innhold
1. Datatilsynet
2. Overvåking i IT-alderen
3. Rapport fra året 2002
4. Utvalgte temaer
1.1 Datatilsynet
Datatilsynet har siden opprettelsen i 1980 hatt til oppgave å beskytte den enkelte mot at personverninteressene krenkes gjennom behandling av personopplysninger. Personopplysninger skal behandles i samsvar med grunnleggende personvernhensyn som behovet for vern av personlig integritet og privatlivets fred. Det juridiske grunnlaget for Datatilsynets virksomhet er regulert i Lov om behandling av personopplysninger av 14. april 2000 (personopplysningsloven) og Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) av 18. mai 2001.
Datatilsynet er et uavhengig forvaltningsorgan, administrativt underordnet Kongen og Arbeids- og administrasjonsdepartementet. Datatilsynets uavhengighet innebærer at departementet ikke kan gi instruks om, eller omgjøre Datatilsynets utøving av myndighet etter personopplysnings- eller helseregisterloven. Som klageinstans i forhold til Datatilsynets vedtak er det opprettet en Personvernnemnd. Personvernnemnda utgir sin egen årsmelding.
Personopplysningsloven legger opp til at det i første rekke er opp til hver enkelt å ivareta sitt eget personvern. I tillegg har de som behandler personopplysninger fått et større ansvar enn de hadde etter den gamle personregisterloven. Som en følge av dette er Datatilsynets oppgaver i stor grad gått fra forhåndsgodkjenning til etterkontroll.
1.1.1 Datatilsynets oppgaver
Datatilsynet skal holde seg orientert og informere om den nasjonale og internasjonale utviklingen i behandlingen av personopplysninger, og om de problemene som knytter seg til slik behandling. Datatilsynet skal identifisere farer for personvernet og gi råd om hvordan de kan unngås eller begrenses. Deltakelse i råd og utvalg er derfor en viktig del av Datatilsynets arbeid. Også som høringsinstans i saker som kan ha en personvernmessig konsekvens har Datatilsynet innflytelse på samfunnsutviklingen.
Datatilsynet fører en offentlig fortegnelse over alle behandlinger av personopplysninger som er meldt inn. Videre behandler Datatilsynet søknader om konsesjon, der dette kreves etter loven.
Gjennom aktivt tilsyn og saksbehandling kontrollerer Datatilsynet at lover og forskrifter for behandling av personopplysninger blir fulgt, og at feil og mangler blir rettet. Datatilsynet bistår bransjeorganisasjoner med å utarbeide bransjevise adferdsnormer og gir bransjer og enkeltvirksomheter råd om sikring av personopplysninger.
Sist, men ikke minst, har Datatilsynet også en viktig ombudsmannsrolle. I den forbindelse drives rådgivning og informasjon overfor enkeltpersoner som tar kontakt med tilsynet. Publikum generelt nås i første rekke gjennom aktiv mediekontakt og publisering på eget nettsted.
1.2 Overvåking i IT-alderen
V/Datatilsynets direktør Georg Apenes
Et av de praktiske resultatene av Lund-kommisjonens arbeide ble at de som mente seg å ha vært ulovlig overvåket, kunne forlange å få se sin mappe hos Overvåkingspolitiet.
Av kommentarer de senere har gitt etter å ha gjort seg kjent med innholdet, er det påfallende mange som uttrykker forundring over den forholdsvis overveldende mengden av usedvanlig lite oppsiktsvekkende iakktakelser som er nedtegnet om deres liv, levnet og bevegelser.
I George Orwells diktede «1984» og i Josef Stalins høyst virkelige Sovjet var det statstjenestemenn og kvinner som hadde som yrke å omskrive historien. «Gamle» fakta mistet sin ideologiske autorisasjon og nye godkjente tok deres sted. Kamerater i unåde ble retursjert bort fra fotografiene av Kreml-balkongen 1. mai, og nye fiffig innmontert. Samtiden sensurerte fortiden og luket bort det som ikke passet.
Historien - det som har skjedd - er en innholdsrik journal. I den kan vi lese og forstå mangt og meget som kan hjelpe oss til å virkeliggjøre en ønsket fremtid - et prosjekt som får økte muligheter for å lykkes dersom vi begynner med samtiden.
Med utgangspunkt i en kombinasjon av raffinerte teknologiske muligheter, iøynefallende sosiale behov og en grenseløs politisk ergjerrighet, er kartlegging av individer og grupper blitt en stadig mer akseptert og omfattende beskjeftigelse: - Skal jeg kunne gjøre noe for deg eller dere, må jeg også få vite mest mulig om deg. Eller dere. Du vil ha trygghet, helse, velvære og forutsigbarhet i de fleste varianter. Da trenger du hjelp og bistand. Den skal være effektiv og billig. Da er det ikke for meget forlangt at vi holder et øye med deg?
Også i våre dager må vi revidere ordbøker og leksika ut fra de redeligste motiver. Overvåking er ikke lenger noe som middelaldrende herrer i gabardinfrakk bedriver bak trestammer i Frognerparken, men utnyttelse av de store mengdene informasjon som så vel lovlydige borgere som kjeltringer legger igjen etter seg. De mange små persondatabitene, blir vi fortalt, vil kunne:
gi oss et bedre forsvar mot kriminalitet og terrorisme,
hindre forsikringssvindel, konkursrytteri, svart arbeid og hvitvasking,
utvikle bedre service fra stat og kommune,
gi høyere produktivitet på jobben,
innebære bedre utnyttelse av kostbare ressurser,
gi enklere og bedre løsninger i samfunnsplanleggingen,
gi bedre muligheter for å avdekke sykdom på et tidlig stadium,
gi økte muligheter for å reparere skade og lindre sykdom,
gi mer moro og underholdning for rimeligere priser.
Og hvem kan vel motsette seg alle disse gode ting bare fordi noen ønsker å skjerme sitt privatliv og synes at et svekket personvern skal med i regnestykket?
I det følgende kan du lese om hva Datatilsynet med utgangspunkt i loven om behandling av personopplysninger har gjort og ment om de stadig flere og stadig mer nærgående utfordringer borgernes eiendoms- og styringsrett når det gjelder personlige opplysninger, har.
1.3 Rapport fra året 2002
1.3.1 Overordnede prioriteringer
Datatilsynets arbeid har i meldingsåret vært preget av at helseregisterloven trådte i kraft 1. januar 2002. I tillegg gikk overgangsordningene etter den gamle personsregisterloven ut pr. 31. desember 2002. Alle behandlingsansvarlige som hadde konsesjon etter gammel lov forutsettes derfor nå å ha søkt om ny konsesjon, eller å ha sendt inn melding om behandling av personopplysninger.
Datatilsynet har lagt vekt på å få til en mest mulig samordnet bruk av ressurser og virkemidler mot utvalgte sektorer eller bransjer innenfor definerte perioder. Operativt tilsyn benyttes i kombinasjon med andre virkemidler, som juridisk utredning og saksbehandling, bransjekontakt, råd og veiledning, seminarvirksomhet, mediekontakt og annet informasjonsarbeid.
Det ble i 2002 særlig fokusert på fire områder:
Helsesektoren
Ideelle og frivillige organisasjoner, herunder markedsføring
Bank, finans og forsikring
Kameraovervåking
Disse fokusområdene er valgt ut etter en vurdering av personverntruslene, blant annet mengde og type personopplysninger som behandles i sektoren. Også henvendelser fra publikum og aktører innen bransjen, og saker som har vært tatt opp via mediene, har påvirket prioriteringene.
Året har i stor grad også vært preget av saker som kom inn for ordinær saksbehandling, behandling av konsesjonssøknader, og henvendelser fra publikum og mediene.
1.3.2 Organisasjon og budsjett
Datatilsynet ledes av direktør Georg Apenes og er organisert i fire avdelinger; juridisk, tilsyn og sikkerhet, informasjon og administrasjon. Juridisk avdeling utgjør med sine 12 medarbeidere den største organisatoriske enheten.
Datatilsynet hadde i virksomhetsåret 27 fast tilsatte, fordelt på 14 kvinner og 13 menn. I tillegg er et to-års engasjement knyttet til informasjonsavdelingen. Fire medarbeidere har i løpet av 2002 sluttet for å gå over i annen stilling. I tillegg var fire medarbeidere ute i svangerskapspermisjon.
Det er opprettet en ny stilling som driftsansvarlig for IT og internsikkerhet. En engasjementsstilling med oppgaver knyttet til arkiv er omgjort til fast stilling. Ekstrahjelp er benyttet i forbindelse med arkivarbeide og kurs- seminarvirksomheten.
1.3.2.1 Budsjett
Datatilsynet hadde i 2002 en disponibel budsjettramme på kr 17,8 millioner. I overkant av 65 prosent av budsjettet har gått til dekning av lønnsutgifter. 25 prosent har dekket ordinære og i stor grad faste driftsutgifter (leie av lokaler, porto, telefon, strøm, renhold med mer). Resterende 10 prosent har gått til dekning av reiseutgifter i forbindelse med tilsyn og internasjonalt arbeid, informasjonstiltak, kunngjøringer, investeringer i edb-utstyr og inventar mv.
Datatilsynet hadde i 2002 også et inntjeningskrav på vel en million kroner, knyttet til egen kurs- og seminarvirksomhet. Det var gitt en merinntektsfullmakt, slik at merinntekt på posten kunne dekke tilsvarende utgifter. Ut over dette hadde Datatilsynet ikke fullmakt til å disponere disse inntektene. Datatilsynet fikk en inntekt på kr 1,5 millioner på denne posten, og oppnådde dermed inntjeningskravet.
1.3.3 Saksbehandling
Også 2002 har vært preget av en stor saksmengde. Det ble i løpet av året registrert 4 081 innkomne dokumenter. 2 974 brev gikk ut fra Datatilsynet. I tillegg til mange telefoner, kom det også inn 2 300 henvendelser pr. e-post, som alle ble besvart fortløpende.
1.3.3.1 Konsesjonssøknader og meldinger
De som er ansvarlige for behandling av personopplysninger med konsesjon etter den gamle personregisterloven, hadde frist 1. januar 2003 for å søke om ny konsesjon etter personopplysningsloven eller helseregisterloven. Mange behandlinger som tidligere krevde konsesjon er imidlertid ikke lenger konsesjonspliktige. Behandlingsansvarlige må i stedet sende melding til Datatilsynet før behandlingen tar til. Også denne meldefristen var satt til 1. januar 2003.
I slutten av november gikk Datatilsynet ut i to omganger med annonser i alle landets aviser og en del fagblader. Annonsene kunngjorde fristen for å søke ny konsesjon eller sende melding. Dette førte til en betydelig pågang av konsesjonssøknader og meldinger på slutten av året.
I løpet av året er det gitt 309 konsesjoner etter personopplysningsloven og 128 etter helseregisterloven. Til sammenlikning ble det i 2001 gitt 163 konsesjoner etter personopplysningsloven. Ni konsesjonssøknader ble helt eller delvis avslått.
Pr. 31.12.2002 er det registrert 9 748 meldinger i den offentlige fortegnelsen over behandling av personopplysninger. Det kom dermed inn hele 7 218 meldinger i løpet av året, hvorav mer enn 3 000 i desember.
1.3.3.2 Personvernombud og fritak fra meldeplikten
Siden 2001 har Datatilsynet arbeidet med å legge til rette for en frivillig ordning med opprettelse av personvernombud. 2002 var imidlertid året da ordningen fikk sin første konkrete oppstart. Seks virksomheter søkte i løpet av året om fritak fra meldeplikten, under henvisning til at de har opprettet personvernombud. Den ene søkeren, Norsk Samfunnsvitenskaplig Datatjeneste, har inngått avtale med samtlige norske universiteter og høyskoler om opprettelse av personvernombud i forhold til behandling av deres forskningsprosjekter. Med grunnlag i opprettelsen av dette ene personvernombudet er det gitt unntak fra meldeplikten for 36 universiteter og høyskoler når det gjelder forskningssaker. De øvrige personvernombudene er opprettet for Statistisk Sentralbyrå, Vefsn og Vestvågøy kommuner, meglerhuset Aon Grieg AS og Universitetet i Oslo.
Før virksomhetene kan fritas fra meldeplikten, må ombudene delta på Datatilsynets obligatoriske seminar for personvernombud. På seminaret får ombudene en grunnleggende innføring i oppgavene de påtar seg som personvernombud, en veileder de kan bruke i sitt daglige virke, og en skreddersydd gjennomgang av personopplysnings- og helseregisterloven.
Datatilsynet håper nå at også flere virksomheter, herunder i kommunesektoren, griper denne muligheten til ivaretakelse av et godt personvern. I Sverige har, etter bare fire år med ordningen, nær fem tusen virksomheter oppnevnt eget personvernombud.
1.3.3.3 Høringssaker
Datatilsynet legger stor vekt høringsarbeidet. Som høringsinstans kan tilsynet bidra til at man i samfunnsplanlegging og beslutningsprosesser tar rimelige hensyn til personvernet. Datatilsynet har i 2002 avgitt 67 høringsuttalelser, mot 89 året før. I urovekkende mange av høringssakene opplever Datatilsynet at personvernet i liten eller ingen grad er drøftet og vurdert opp mot de andre gode formål som forslaget er ment å fremme. Dette fører til at vurderinger mht. personvern kommer for sent inn i prosessen. Dette innebærer igjen en uforholdsmessig stor ressursbruk, både for utredningsansvarlig og Datatilsynet.
I flere offentlige utredninger og lovforslag er Datatilsynet ikke ført opp som selvstendig høringsinstans. Dette kan være i direkte strid med artikkel 28 personverndirektivet.
Høringssakene har vært særlig omfattende og komplekse innen helsesektoren. Noen av de mest sentrale høringssakene kommenteres nærmere i temadelen.
1.3.4 Deltakelse i offentlige råd og utvalg
Datatilsynet har i 2002 deltatt i følgende offentlige råd og utvalg:
1.3.4.1 Politiregisterutvalget
Dette utvalget har som mandat å fornye eksisterende lov om strafferegistre. Den nye politiregisterloven, som blir det nye navnet på loven, vil gjelde for all behandling av opplysninger i politiets registre. Arbeidet er ventet sluttført sommeren 2003.
1.3.4.2 Utvalg for politimetoder i forebyggende øyemed
Utvalget skal vurdere metoder politiet kan benytte for å forebygge og avverge kriminalitet og foreslå nærmere regler for dette.
1.3.4.3 Datakrimutvalget
Utvalget er satt ned for å se på implementeringen av cyber-crime-konvensjonen slik at Norge kan ratifisere denne.
1.3.4.4 Arbeidsgruppe for elektronisk postjournal
Arbeidsgruppen skal se på i hvilken form prøveprosjektet om bruk av elektronisk postjournal i departementer og direktorater eventuelt skal videreføres og gjøres tilgjengelig for allmennheten på Internett.
1.3.4.5 Arbeidsgruppe for revisjon av personopplysningslov- og forskrift
Personopplysningsloven skal etterkontrolleres fire år etter at den ble satt i kraft. En slik bred revisjon skal dermed finne sted i 2005. Justisdepartementet har imidlertid, i samråd med Arbeids- og administrasjonsdepartementet og Datatilsynet, kommet til at det er hensiktsmessig at en arbeidsgruppe vurderer om det allerede nå er behov for å endre loven og forskriftene på enkelte punkter. Arbeidet er dels en oppfølging av Justiskomiteens merknader under lovbehandlingen, og dels en oppfølging av praktiske erfaringer som Datatilsynet har gjort seg etter at loven trådte i kraft. Dette gjelder i første rekke problemstillinger som knytter seg til elektroniske spor, personvern i arbeidslivet og forenklet/redusert konsesjonsplikt.
1.3.4.6 Rådet for persondataarkivering
Rådet har som mandat å foreslå hvilke forskningsprosjekter som skal arkiveres. Rådets vurderinger legges ved som innstillinger i søknader til Datatilsynet. Datatilsynet har deltatt som observatør i rådet.
1.3.4.7 Styringsgrupper for etablering av sertifiseringsordninger
Datatilsynet er representert i styringsgruppene for etablering av sertifiseringsordninger for IT-sikkerhet i organisasjoner og i datasystemer. For å fremme en tilfredsstillende informasjonssikkerhet hos virksomheter kan slike ordninger være hensiktsmessige. På sikt kan dette også rasjonalisere tilsynsarbeidet.
1.3.4.8 Forum for IT-sikkerhet
Datatilsynet er fast medlem i Forum for IT-sikkerhet. Forumet er opprettet av Nærings- og handelsdepartementet og skal tjene som dialogforum mellom departementene, offentlige myndigheter og næringsliv.
1.3.5 Internasjonalt samarbeide
Personvern er et internasjonalt tema. For Datatilsynet er det derfor meget viktig å samarbeide med tilsvarende organer i andre land. Internasjonale samarbeidsfora er dessuten viktige arenaer for erfaringsutveksling.
1.3.5.1 Artikkel 29-gruppen
Artikkel 29-gruppen er det viktigste internasjonale fagforumet for personvernarbeid. Det konsulteres ofte av Kommisjonen og preger som hovedregel de holdninger EU inntar i personvernspørsmål. Bakgrunnen for Artikkel 29-gruppen er EUs personverndirektiv. Dette forutsetter at lederne av de 15 nasjonale tilsynsmyndighetene samarbeider om løsninger og holdninger til hvordan direktivets forskjellige bestemmelser bør forstås. Gruppen holder fire til seks møter pr. år. For tiden har Italia ledervervet, mens Finland er nestleder.
Norge er med i gruppen som observatør. I praksis betyr dette at vi, med unntak av stemmerett, stiller likt med medlemslandene.
Sekretariatet, som sorterer under Kommisjonen, har ved flere anledninger gitt Datatilsynet verdifull bistand i arbeidet med konkrete spørsmål. En av våre juridiske saksbehandlere har også, med stort utbytte, hospitert en periode i sekretariatet.
Noen aktuelle temaer for gruppens arbeide i meldingsåret
Hvilke utfordringer representerer de stadig mer tilgjengelige genetiske personopplysningene for personvernet? Eksempelvis har et stort og kjøpekraftig marked for sikker identitetskontroll gjort biometri til et viktig satsnings- og forskningsområde.
Artikkel 29-gruppen ønsker at informasjonssamlerens plikter skal bli tydelige og enkle å håndheve. Dette vil innebære en skjerping av kravene til hvilken informasjon som skal gis til personer når de blir avkrevd opplysninger om seg selv. Dette er opplysninger som kanskje skal brukes til flere formål og utleveres til flere interessenter.
Mange land har verken personvernlovgivning eller en myndighet tilsvarende Datatilsynet, eller de har et regelverk som ikke tilfredsstiller EUs krav. Artikkel 29-gruppen er blitt et forum og koordineringspunkt for arbeidet med adferdsnormer innen bransjer som er organisert innenfor hele, eller det meste av EU-området.
Nylig har gruppen også tatt opp arbeidet med å få til et godt personvernregime når det gjelder identifisering av telefonbrukere.
Internasjonalt tilsynssjefsmøte
Datatilsynet deltok med to representanter på det 24. internasjonale tilsynssjefsmøtet, som ble avholdt i Cardiff. 28 land og 22 delstater med egne personverninstitusjoner er representert på det årlige møtet.
1.3.5.2 Berlin-gruppen
Berlin-gruppen er en arbeidsgruppe utledet av den internasjonale tilsynssjefkonferansen. Gruppen arbeider med tekniske problemstillinger knyttet til personvernaspektet innen telekommunikasjon. Det avholdes to møter pr. år.
Gruppens drøftinger er fortsatt preget av en økt skepsis mot overvåkningsaspektet som ligger i bruk av Internett og elektronisk post. En rekke problemstillinger knyttet til dette temaet ble drøftet. Gruppen har som målsetting å komme frem til anbefalinger til medlemmene. Diskusjonene i år 2002 ble også preget av diskusjoner knyttet til oppbevaringstid for telefontrafikk. Bakgrunnen for dette er ønsket om å komme frem til en ensartet praksis innen EØS-området.
1.3.5.3 Nordisk Datatilsynsmøte
Det årlige møtet mellom de nordiske datatilsynssjefene fant i juni 2002 sted i Stenungsbaden i Sverige. Genetiske databaser og overføringer av personopplysninger til utlandet var blant de felles problemstillingene som ble diskutert.
1.3.5.4 Internasjonalt saksbehandlermøte
To saksbehandlere fra Datatilsynet deltok i fjorårets to møter i regi av det europeiske samarbeidsforumet for saksbehandlere - « complaint workshop». På det første møtet, arrangert av irske tilsynsmyndigheter, dreide det seg hovedsaklig om overføring av personopplysninger fra samarbeidsforumets medlemsland til land utenfor EØS-området.
På det andre møtet, arrangert av tyske tilsynsmyndigheter, ble det presentert resultater fra en spørreundersøkelse om landenes praksis ved overføring av personopplysninger.
Undersøkelsen viste at det er store forskjeller de ulike landene i mellom. Temaet vil derfor bli tatt opp også i senere møter.
Nyttig intranettside
Det europeiske samarbeidsforumet for saksbehandlere har tilgang til en lukket side på Internett, der europeiske tilsynsmyndigheter kan utveksle informasjon og synspunkter på aktuelle problemstillinger fra de forskjellige landene. Nettsiden er et nyttig verktøy for å oppfylle intensjonen om enhetlig behandling av personopplysninger i EØS-området. Fra Norges side ble nettsiden benyttet for å kartlegge status når det gjelder publisering av skatteopplysninger via Internett. Kartleggingen bekreftet at Norge er alene om dagens praksis med at skattelistene gjøres åpent tilgjengelig i søkbar form, via Internett.
1.3.5.5 Nordisk juridisk saksbehandlermøte
I 2002 var det Datatilsynets tur til å arrangere det nordiske juridiske saksbehandlermøtet. Møtet samlet 11 deltagere fra Danmark, Finland, Island, Sverige og Norge. På møtet drøftet man blant annet hvilket lands regelverk som skal anvendes når virksomheter behandler personopplysninger i flere av de nordiske landene.
1.3.5.6 Nordisk møte innen tilsyns- og sikkerhetsfaglige spørsmål
Fjorårets møte mellom de nordiske tilsynsmyndighetene ble avholdt i København. Møtets hovedtema var tilsyns- og sikkerhetsfaglige spørsmål. Da alle de skandinaviske tilsynsmyndighetene nå flytter fokus fra preaksept til tilsyn, ble det lagt særlig vekt på tilsynsstrategi og metode. Utvikling og trender innen teknologiområdet ble også diskutert, herunder hvordan dette ville kunne påvirke personvernmyndighetenes arbeide. Et annet viktig tema var hvordan man i større grad kan utveksle erfaringer fra tilsynsarbeidet.
1.3.5.7 OECD
Datatilsynet har deltatt i den norske delegasjonen til OECD-arbeidsgruppen som arbeider med informasjonssikkerhet og personvern. Organisasjonen er opptatt av hvordan det skal kunne skapes et sikkerhetsregime rundt e-handel, der nettopp tillit mellom handler og handlende er avgjørende. E-handel har ikke fått det omfanget mange hadde regnet med for få år siden. Én viktig årsak mener man kan være en utbredt skepsis til denne omsetningsformens muligheter for, og vilje til å respektere viktige personvernprinsipper.
1.3.5.8 Europol
Norges samarbeidsavtale med Europol har ikke gitt Datatilsynet den ønskede rollen som deltaker i Europols felles tilsynsorgan Joint Supervisory Body (JSB). Dette innebærer at vi ikke har noen formell innflytelse når det gjelder de personvernspørsmål dette politisamarbeidet reiser. Datatilsynet ble i juni invitert av JSB til å delta i et halvdagsmøte sammen med de andre tredjelandene. JSB har til hensikt å arrangere årlige møter med tredjeland.
1.3.5.9 Joint Supervisory Authority (JSA)
JSA er det felles tilsynsorganet for Schengen Informasjonssystem - SIS. Årlig avholdes normalt fem møter i Brussel. JSA har særlig arbeidet med uttalelser i forbindelse med ønsker om utvidelse av SIS. Dette gjelder hvilke opplysninger som skal kunne registreres, hvem som skal kunne gis tilgang og til hvilke formål SIS skal kunne brukes. JSA ser tydelig en utvikling fra et system som ble opprettet med funksjonen «treff/ikke-treff» og til et mer sofistikert arbeidsregister for politiet i Europa. Dette kan innebære store personvernutfordringer. For øvrig deltar Datatilsynet med en representant i forbindelse med JSAs inspeksjon av det sentrale organet i informasjonssystemet CSIS i Strasbourg. Det har i meldingsåret vært arbeidet med forberedelse av en inspeksjon som vil finne sted våren 2003. Datatilsynet tar sikte på å delta i denne inspeksjonen.
1.3.5.10 Implementering av SIS i Tsjekkia
Datatilsynet har sammen med Utenriksdepartementet, Politidirektoratet og Justisdepartementet bistått Tsjekkia i forbindelse med deres implementering av Schengen-avtalen. Samarbeidet ble initiert av Politidirektoratet. Datatilsynets innsats bestod i personvernfaglig bistand i implementeringsprosessen, gjennom et to-dagers samarbeid med det tsjekkiske Innenriksministeriet og personvernmyndigheter i Praha.
1.3.6 Informasjon og dialog som virkemiddel
Datatilsynets informasjonsvirksomhet fokuserer særlig mot to målgrupper: Behandlere av personopplysninger og publikum. For å nå fram til disse to målgruppene på en mest mulig kostnadseffektiv måte, er Datatilsynets egen hjemmeside og mediene to helt sentrale informasjonskanaler.
1.3.6.1 Internettjenesten
Datatilsynets hjemmeside på Internett inneholder nyhetsnotiser og informasjon til plikt- og rettighetshavere. Det meste av informasjonen publiseres kun elektronisk, men sendes ved forespørsel også ut på papir. Det legges stor vekt på at tjenesten skal fremstå som aktuell og nyttig for brukerne. For å holde dette målet ble systemet for utlegging av nyhetsnotiser forenklet.
I meldingsåret ble det utgitt seks nummer av det elektroniske fagtidsskriftet SPOR. I tillegg ble det lagt ut 103 nyhetssaker på hjemmesiden. Dette er i tråd med målet om at hjemmesiden skal oppdateres én til to ganger i uken. I underkant av 1 700 personer står på en «abonnentliste» for nyhetsoppdateringer fra Datatilsynet. Estimert antall daglig besøkende på Internettjenesten er ca. 600. Dette utgjør en økning på ca. hundre fra året før.
1.3.6.2 Meroffentlighet
Datatilsynet er opptatt av å være synlige i samfunnsdebatten og praktiserer derfor utstrakt grad av meroffentlighet. I overkant av et halvt årsverk benyttes til daglig mediekontakt. I tillegg benyttes også en del ressurser til å finne fram, kopiere og sende ut dokumenter etter forespørsel fra mediene. I 2002 bestilte pressen og andre aktører 470 dokumenter fra journalen.
1.3.6.3 Debatt- og pressemøter
I anledning debatten om biobanker arrangerte Datatilsynet et pressemøte i mai. Tilsynet orienterte om regler og aktuelle saker forbundet med hvem som har råderett over genetisk informasjon. I tillegg holdt Camilla Stoltenberg ved Folkehelseinstituttet og Knut Ruyter fra Den Nasjonale forskningsetiske komité for medisin (NEM), innlegg på møtet.
I oktober inviterte Datatilsynet forsikringsbransjen og Finansnæringens Hovedorganisasjon til debattmøte om sentrale spørsmål vedrørende den nye forsikringskonsesjonen som er utarbeidet.
1.3.6.4 Seminarer og foredrag
Ved innledningen til 2002 ble en landsomfattende seminarturné for kommuneansatte avsluttet.
Andre målgrupper som ble prioritert med Datatilsynets seminarer var frivillige organisasjoner, handels- og servicenæringen og bank- og finans. I anledning den nye helseregisterloven var helsesektoren et annet viktig satsningsområde. Den nye loven gjorde at seminarene for medisinske forskere og IT-sikkerhetsansvarlige ble møtt med stor interesse fra målgruppene. Det ble arrangert ni seminarer i egen regi, med i alt 563 deltakere.
Oversikt over gjennomførte seminarer:
Personopplysningsloven og kommunene (to seminarer med til sammen 103 deltakere, Oslo)
Behandling av personopplysninger i frivillige organisasjoner (55 deltakere, Oslo)
Nye regler for medisinske forskere (80 deltakere, Oslo)
Overvåking på arbeidsplassen (72 deltakere, Bergen)
Behandling av personopplysninger i bank- og finansnæringen (70 deltakere, Oslo)
Overvåking på arbeidsplassen (81 deltakere, Oslo)
Nye regler for medisinske forskere (35 deltakere, Oslo)
IT-sikkerhet for helsesektoren (67 deltakere, Oslo)
Det ble i tillegg holdt 39 foredrag på seminarer arrangert i regi av andre.
1.3.6.5 Direkte dialog likevel viktigst
Direkte dialog med brukergruppene er, når det kommer til stykket, likevel den viktigste kommunikasjonsformen. Datatilsynet bruker en betydelig andel av ressursene til å besvare spørsmål som kommer inn via brev, e-post og telefoner. De aller fleste telefonhenvendelsene blir kanalisert gjennom en egen «telefonvaktordning», som sikrer at publikum enkelt og raskt kommer i kontakt med jurister eller teknologer som kan bistå dem.
Representanter for de behandlingsansvarlige får gjennom tilbud om egne veilednings- og dialogmøter også hjelp til å komme i gang med å etablere sikkerhetsmål og sikkerhetsstrategi for virksomheten.
1.3.6.6 Veiledninger
Det ble i meldingsåret utarbeidet en veiledning om utarbeidelse av risikovurdering. I tillegg har Datatilsynet også hatt en del utkast til veiledere fra bransjeforeninger og konsulentselskaper til vurdering. Formålet med slike gjennomganger har vært å bidra til at de anvisningene som gis i disse veilederne, er i samsvar med personopplysnings- og helseregisterloven.
1.3.7 Klagesaker
Personvernnemnda er klageinstans for klager over Datatilsynets avgjørelser i forhold til både personopplysningsloven og helseregisterloven. Arbeids- og administrasjonsdepartementet er på sin side klageinstans for klager som var kommet inn før ikrafttredelse av personopplysningsloven, og klager over Datatilsynets mer administrative saksbehandling.
1.3.7.1 Saker i Personvernnemnda
Datatilsynet har i meldingsåret oversendt åtte saker til behandling i Personvernnemnda, hvorav nemnda har fattet vedtak i seks av disse.
Posten Norge BA og utvidet lagringstid av billedopptak av minibanker
Posten Norge BA søkte på vegne av DnB/Postbanken om dispensasjon til utvidet lagringstid av billedopptak ved minibanker på utsiden av postlokale. Begrunnelsen for utvidelsen var lang revisjonstid av forhold som kan oppklares ved hjelp av billedopptak. Datatilsynet avslo søknaden og Posten klaget på avslaget.
Klagen ble tatt til følge av Personvernnemnda. Nemnda mente at Datatilsynet tolket dispensasjonsvilkåret, «særlige behov» for strengt. Det avgjørende, etter Nemndas vurdering, er om det etter en totalvurdering av de ulike hensynene foreligger et «særlig behov», som begrunner utvidet lagringstid. Nemnda viser til at personopplysningsforskriftens bestemmelse om slettefrist på syv dager, kun må sees som en veiledningsnorm for det konkrete behovet. Personvernnemnda satte i sitt vedtak slettefristen for minibanker samlokalisert med post- /banklokale til tre måneder. Dette tilsvarer normal slettefrist for opptak gjort inne i post- og banklokaler.
A-møbler og utvidet lagringstid av billedopptak
A-møbler klaget på Datatilsynets avslag på søknad om dispensasjon om utvidet lagringstid for billedopptak. A-møbler begrunnet søknaden med lang revisjonstid.
Personvernnemnda kom til samme standpunkt som Datatilsynet. I motsetning til i klagesaken fra Posten Norge BA, legger Nemnda avgjørende vekt på at det i større grad finnes alternative kontrollmuligheter, som for eksempel manuelle kontroller utført av medarbeidere. Videre vurderer Nemnda det slik at det ikke gjør seg gjeldende vesentlige individinteresser som kan begrunne utvidet lagringstid for billedopptak.
Raddison SAS Plaza Hotell og pålegg om opphør av kameraovervåking
Hotellet fjernsynsovervåket baren som et sikkerhetstiltak overfor gjestene. Etter et tilsynsbesøk ble det gitt pålegg om at denne kameraovervåkingen måtte opphøre. Begrunnelsen for dette pålegget er gjestenes forventning og ønske om diskresjon. Hensynet til personvernet overstiger den berettigede interessen virksomheten kan ha til å overvåke. Gjestenes behov for sikkerhet vurderes tilstrekkelig ivaretatt ved at baren er betjent. Videre ble det gitt pålegg om å stanse billedopptak i forbindelse med overvåking av basseng/treningslokalet. Det ble imidlertid gitt tillatelse til å opprettholde en ren monitorering for å ivareta gjestenes sikkerhet ved bassenget. Hotellet påklagde Datatilsynets vedtak.
Personvernnemnda sluttet seg til Datatilsynets vurderinger og stadfestet vedtaket.
Krav om retting eller sletting av opplysninger i styreprotokoll
En advokat krevde overfor Senter mot etnisk diskriminering (SMED) at benevnelsen «klage» i en styreprotokoll måtte slettes, eventuelt rettes. SMED nektet dette og advokaten bad derfor om bistand fra Datatilsynet.
Datatilsynet gav ikke advokaten medhold i sitt krav overfor SMED. Begrunnelsen var at det fra SMEDs side ikke var uriktig å bruke benevnelsen «klage». Det forelå ikke ufullstendige opplysninger i protokollen og den aktuelle registreringen ble også ansett som tilstrekkelig for formålet. Advokaten klaget Datatilsynets vedtak inn for Personvernnemnda.
Personvernnemnda tok ikke klagen til følge, idet nemnda viser til at uenigheten om benevnelsen «klage» vil komme frem gjennom den skriftlige dokumentasjonen i saken. Den påståtte feilen vil også fremgå av styreprotokollen fra senere møte.
Norskespill.no AS og bruk av fødselsnummer
Norskespill.no AS tilbyr spilletjenester på nettstedet www.tivoli.no. Spilltjenesten forutsetter at brukerne registrerer seg. Som del av registreringen ble brukerne bedt om å registrere fødselsnummeret. Begrunnelsen var at spilltjenesten på denne måten skulle oppfylle Lotteritilsynets vilkår om at det skal verifiseres at brukeren er over 18 år. Datatilsynet gav Norskespill.no AS pålegg om å ikke lenger bruke fødselsnummer ved registrering. Begrunnelsen for vedtaket er at registrering av fødselsnummer ikke gir noen form for garanti for at vilkårene fra Lotteritilsynet oppfylles. Personopplysningslovens krav i forhold til bruk av fødselsnummer er dermed ikke oppfylt.
Norskespill.no AS klaget vedtaket inn for Personvernnemnda. Personvernnemnda stadfestet Datatilsynets vedtak. Registrering av navn, adresse, fødselsdato og bankkontonummer vil etter nemndas vurdering gi like god identifikasjon som bruk av fødselsnummer.
Krav om tilgang til maskinelle datautskrifter fra DnB
En bankkunde ønsket å få avklart om han hadde rettslig krav på at DnB skulle fremlegge maskinelle datautskrifter av konti. Datatilsynet mente banken hadde oppfylt sin plikt ved å vise til kopier av bevegelser til ulike konti, og avsluttet saken. Som følge av dette kom det klage på at Datatilsynet ikke hadde gjennomført tilstrekklig kontroll med om innsynsretten hos DnB var imøtekommet, og hvorvidt alle registrerte opplysninger var fremlagt fra bankens side. Datatilsynet avslo klagen, med den begrunnelse at avgjørelsen ikke var en type vedtak som kan gjøres til gjenstand for klagebehandling. Klagen ble vurdert etter personregisterloven ,fordi saken som ligger til grunn for klagen var påbegynt i 1997.
Nemnda legger, i motsetning til Datatilsynet, til grunn at en beslutning om ikke å benytte adgangen til å gi pålegg, eller bruke kontrolladgangen, etter omstendighetene kan anses som et enkeltvedtak. Vedtaket kan dermed gjøres til gjenstand for klagebehandling. Personvernnemnda vurderte imidlertid, i likhet med Datatilsynet, at det forelå full rett til innsyn i de datamaskinbaserte registrene. Nemnda konkluderte dermed at Datatilsynet saksbehandling ikke var mangelfull.
Statens institutt for rusmiddelforskning - delvis avslag på konsesjonssøknad
Statens institutt for rusmiddelforskning søkte om konsesjon for et forskningsprosjekt om narkotikadødsfall blant sprøytemisbrukere. Prosjektet er en oppfølging av et tidligere prosjekt fra nittitallet. Prosjektet skal blant annet koble opplysninger fra det tidligere prosjektet, og flere andre registre. Datatilsynet har gitt konsesjon, under forutsetning av at det innhentes samtykke fra de registrerte til å bruke opplysningene på nytt. Samtykke er særlig viktig når det dreier seg om svært sensitive opplysninger. Det delvise avslaget er gitt selv om Den nasjonale etiske komité for medisin i sin uttalelse anbefalte at konsesjon skulle gis. Statens institutt for rusmiddelforskning har klaget på vedtaket. Saken er til behandling i Personvernnemnda.
Ullevål sykehus - krav om overføring av biologisk materiale
Datatilsynet fant det nødvendig å pålegge Ullevål sykehus å overføre biologisk materiale og tilhørende dokumentasjon til Rikshospitalet. Materialet oppbevares ved Ullevål sykehus og var innsamlet i tilknytning til et forskningsprosjekt om hyperkolesterolemir. En forsker, som tidligere var ansatt ved Ullevål sykehus, ønsket å videreføre arbeidet med Rikshospitalet som ny arbeidsgiver, men fikk ikke materialet utlevert fra Ullevål.
Forskeren ble gjennom rettskraftig dom i Asker og Bærum herredsrett tilkjent disposisjons- og oppbevaringsrett til hovedtyngden av materialet. Datatilsynets pålegg er imidlertid begrenset til 392 blodprøver som var gjenglemt ved Ullevål sykehus, og ikke berørt i dommen. Det er uenighet mellom forskeren og Ullevål sykehus om hvorvidt blodprøvene skal overføres som del av det øvrige forskningsmaterialet, eller fortsatt oppbevares på Ullevål.
Det er forskeren som har konsesjon fra Datatilsynet. Denne konsesjonen omfatter etter Datatilsynets vurdering også de 392 blodprøvene. Av disse skal 224 av respondentene ha krevd blodprøvene overført til forskeren. Etter Datatilsynets vurdering er forskeren ansvarlig for at konsesjonen overholdes, også for det materialet som ble igjen på Ullevål sykehus.
Ullevål sykehus påklaget Datatilsynets vedtak. Saken var i meldingsåret ikke ferdig behandlet av Personvernnemnda.
1.3.7.2 Klagesaker i Arbeids- og administrasjonsdepartementet
Arbeids- og administrasjonsdepartementet er klageinstans for klager som var kommet inn før ikrafttredelse av personopplysningsloven, og klager på Datatilsynets mer administrative saksbehandling.
Telenor - konsesjon for register over abonnenters bruk av teletjenester
Telenor klaget på Datatilsynets saksbehandling i forbindelse med konsesjon for opprettelse av register med opplysninger om abonnenters bruk av teletjenester. Departementet sier i sitt vedtak at Datatilsynet burde ha oppklart eller kommentert merknadene fra Telenor. Overgangsreglene i konsesjonen burde også ha blitt presisert. Departementet kan imidlertid ikke se at dette har innvirket på selve vedtaket fra Datatilsynet.
Materielt sett gjelder klagen først og fremst konsesjonens punkt om slettefrister. Konsesjonen inneholdt krav om at opplysninger om samtaletrafikken skulle slettes senest etter tre måneder. Dette går dårlig sammen med det faktum at mange av abonnentene mottar kvartalsvis regning, som de bør ha mulighet til å kontrollere. Opplysningene må derfor kunne oppbevares frem til at faktura er gjort opp, og klagefristen er gått ut. For å opprettholde en mulighet for kvartalsvis faktura endret departementet konsesjonen, slik at denne slettefristen ble satt til fem måneder. For månedsvis fakturering er slettefristen tre måneder. Dersom faktura ikke blir betalt, eller det oppstår tvist om betalingsplikten, kan opplysningene oppbevares inntil kravet er oppgjort.
Tele2
Også Tele 2 sin klage gjaldt slettefristen som var satt i konsesjonen. Tele 2 ønsket å forlenge slettefristen til seks måneder for å kunne tilby kvartalsvise regninger. Departementets vurderinger og konklusjon ble som for Telenors vedkommende.
Klage på forvaltningsvedtak - kameraovervåking
Klagen gjaldt Datatilsynets avgjørelse om ikke å behandle en klage om ulovlig kameraovervåking fra naboeiendommen. Begrunnelsen for Datatilsynets avslag var at distriktets lensmannsfullmektig hadde fått bekreftet at det omdiskuterte kameraet ikke gjorde noen form for opptak. Forholdet falt etter dette utenfor personopplysningsloven.
Departementet avslo klagen, idet departementet ikke kan se at det er grunn til å betvile en erklæring fra en offentlig tjenestemann, som må anses som en nøytral part i saken. Departementet deler derfor Datatilsynets vurdering av at forholdet faller utenfor Datatilsynets myndighetsområde.
1.3.8 Tilsyns- og sikkerhetsarbeidet
Den operative tilsynsvirksomheten har tatt utgangspunkt i Datatilsynets overordnede strategier og prioriteringer for meldingsåret. Det ble derfor gjennomført tilsyn innen avgrensede fokusområder, fremfor å gå i bredden.
Det ble i tilsynsvirksomheten satt særlig fokus på:
Helsesektoren
Ideelle/frivillige organisasjoners markedsføring
Kameraovervåking
Det ble også gjennomført et mindre antall tilsyn innen bank og finans, forsikring, telefonsentre, inkasso/kredittopplysning og Schengen Informasjonsystem (SIS).
Rent geografisk har tilsynene blitt holdt i Oslo, Kristiansand, Bergen og Trondheim, med omegn.
1.3.8.1 Samlet vurdering av funnene
Det ble i 2002 gjennomført 104 operative tilsyn. Til sammenlikning ble det gjort 53 tilsyn året før. Dette innebærer en økning på over 90 prosent. Det ble funnet avvik som gav grunnlag for å gi varsel om pålegg om tiltak i 60 prosent av tilfellene.
Erfaringene fra årets tilsyn indikerer at virksomhetene i stor grad bryter de samme bestemmelsene i regelverket. Sannsynligheten for brudd henger naturlig nok sammen med hvor arbeids- og kostnadskrevende det er å oppfylle en konkret plikt. Ett unntak er imidlertid meldeplikten, som i skuffende liten grad etterleves, selv om det i seg selv er lite ressurskrevende å sende inn slike meldinger.
Brudd på bestemmelsene om informasjonssikkerhet
Det mangler ofte nødvendige sikkerhetsmål og sikkerhetsstrategier. Risikovurdering henger sammen med dette, og er dermed også i liten grad foretatt. Videre er det avdekket manglende konfigurasjonskontroll og uklare ansvars- og myndighetsforhold i forhold til informasjonssystemet. I den grad tekniske og organisatoriske sikkerhetstiltak er definert og utarbeidet, er disse likevel ikke tilstrekkelig implementert i virksomheten.
Brudd på bestemmelser om internkontroll
Etablering av internkontroll viser seg å være et problem for svært mange virksomheter. Tilsynene har avdekket at det er liten sammenheng mellom virksomhetens størrelse og i hvilken grad man har etablert et system for internkontroll. Selv innen relativt store virksomheter er det ikke startet opp et systematisk arbeide i forhold til dette.
Mange virksomheter har også problemer med å etablere en nødvendig struktur og systematikk i sitt system for internkontroll. Det råder stor usikkerhet med hensyn til hva som skal inngå i et slikt system. Mange fokuserer på teknologi og informasjonssystemet alene, og legger ansvaret til IT-avdelingen. På den måten oppnås ikke et tilstrekkelig helhetsperspektiv og forankring i ledelsen.
Som følge av dette vil Datatilsynet fremover legge en betydelig større vekt på å formidle hva internkontroll er, og hvordan den kan gjennomføres i praksis.
Uryddighet knyttet til ansvar og myndighet
Det avdekkes i mange tilfeller at den behandlingsansvarlige ikke har definert klare rammer og ansvarsforhold for behandling av personopplysninger. Manglende sikkerhetsmål- og strategi gjør at utvikling, drift og sikring av informasjonssystemet ikke i tilstrekkelig grad kan sies å være under ledelsens reelle kontroll. Det er ofte opp til teknologene i virksomheten, eller eksterne leverandører, å realisere løsninger etter meget vage føringer fra ledelsens side.
Ansvar og myndighet skal være klart definert i virksomhetens system for internkontroll.
Brudd på meldeplikten
Plikten til å melde behandling av personopplysninger følger av Datatilsynets behov for å skaffe seg oversikt over behandlinger, samt samfunnets ønske om en offentlig fortegnelse over behandlinger som skjer i ulike virksomheter. Ikke minst skal meldingene også bidra til å skape bevissthet hos de behandlingsansvarlige om hvilke plikter de har etter personopplysningsloven og helseregisterloven.
Plikten til å melde er sannsynligvis den minst belastende plikten i regelverket. Dersom virksomhetene hadde vært kjent med bestemmelsens innhold, hadde de neppe unnlatt å oppfylle meldeplikten. Brudd på meldeplikten er derfor en klar indikasjon på at virksomheten ikke har satt seg tilfredsstillende inn i regelverket.
1.3.8.2 Nærmere om ulike funn
Helsesektoren
Det er grunn til å uttrykke bekymring når det gjelder helsesektoren. Det var her det ble funnet flest og mest alvorlige brudd på regelverket. Dette er særlig betenkelig tatt i betraktning at det i helsesektoren behandles opplysninger som de fleste av oss regner som svært sensitive.
Det ble gjennomført tilsyn ved tre større helseforetak, hvor det særlig ble sett på bruk av elektroniske pasientjournaler. I tillegg ble det gjort tilsyn ved sykehusapoteker, blodbanker og legekontorer. Tilsynene i helseforetakene ble gjennomført med representanter for Fylkeslegen som observatør.
Det ble konstatert flere alvorlige mangler, både med hensyn til etablering av system for internkontroll, informasjonssikkerhet og intern organisering/ansvarsforhold. Graden av avvik varierte naturlig nok fra helseforetak til helseforetak, men flere av avvikene gikk igjen.
Datatilsynet sitter igjen med det inntrykk at pasientrettigheter, herunder retten til vern om sin sykdomshistorie og tilhørende behandling, er gjenstand for stor respekt blant utøvende helsepersonell. Problemene oppstår imidlertid når informasjonssystemene innrettes på en slik måte at den som er ansvarlig for behandling av personopplysninger ikke har reell kontroll. Det ble avdekket en for liberal praksis når det gjelder tilgangen til pasientjournaler. Gjennom såkalte «aktiviseringssekvenser» eller «egenautorisasjon» kan helsearbeidere skaffe seg uautorisert tilgang innen et helseforetak, i noen tilfeller også på tvers av foretakene.
Som en følge av de funnene som er gjort vil Datatilsynet også i 2003 ha et fortsatt sterkt fokus på helsesektoren.
Ideelle og frivillige organisasjoners markedsføring
Ideelle og frivillige organisasjoner ble valgt ut på bakgrunn av en rekke klager fra publikum om urettmessig bruk av personopplysninger ved direkte markedsføring. Organisasjonene benytter seg som regel av eksterne markedsførere, dvs. virksomheter som har spesialisert seg på for eksempel telefonsalg. Disse virksomhetene vil normalt være å anse som «databehandlere» i personopplysningslovens forstand. Dette innebærer at den ideelle organisasjonen sitter med hovedansvaret også for hvordan personopplysninger behandles i markedsføringen. Datatilsynet ønsket gjennom tilsynene å se nærmere på samhandlingen mellom behandlingsansvarlig og databehandler.
Tilsynene avdekket at slettefristen for såkalte «løpende kundeforhold» er et av hovedproblemene. Slike kundeforhold er ikke omfattet av eventuell reservasjon mot direkte markedsføring. I mangel på en klar fortolkning har en slettefrist på tre år vært benyttet. Marketingsselskapene hevder at feil stavelse av navn ved reservasjon kan være årsak til feil ved «vasking» av registre. Erfaring fra tilsynene, samt omfanget av klagene fra publikum, tyder imidlertid på at det også kan være svikt i selskapenes egner rutiner knyttet til vaskingen.
Det ble også konstatert at den behandlingsansvarlige ikke er tilstrekkelig bevisst på å avgrense databehandlers bruk av personopplysninger når det avtales oppdrag, samt hvilke plikter databehandler skal påta seg på vegne av den behandlingsansvarlige.
Kameraovervåking
For å få et inntrykk av hvorvidt graden av kameraovervåking varierer fra landsdel til landsdel, har Datatilsynet gjennomført tilsyn også utenfor det sentrale østlandsområdet. Det ble foretatt tilsyn i Fredrikstad, Kristiansand, Bergen og Trondheim.
Graden av kameraovervåking er desidert høyest i området rundt hovedstaden. Når det gjelder de konkrete avvikene er disse, i likhet med tidligere, knyttet til manglende melding til Datatilsynet og manglende skilting av overvåkingen. Det ble også avdekket forhold der oppbevaringstiden for opptak var i strid med regelverket. I enkelte tilfeller ble det avdekket overvåking av ansatte. Se kapittel 0 om arbeidsliv.
Inkassovirksomhet
Det er Datatilsynets inntrykk at inkassobransjen er opptatt av ryddighet i forhold til personopplysningsloven. Tilsynet har lenge hatt et godt samarbeid med bransjen, både bransjeforening og enkeltselskaper.
Flere inkassoselskaper har lagt ut sin portefølje på Internett, med passordadministrert tilgang både for kreditorer og debitorer. Det er varierende praksis med hensyn til hvilke opplysninger som gjøres tilgjengelig og hvor lenge disse oppbevares. Datatilsynet vil følge utviklingen nøye i tiden framover, for å sikre at debitors personvern blir ivaretatt på en forsvarlig måte.
Selv om inkassoselskapene ser ut til å ha god kjennskap til personvernregelverket, ble det også i denne bransjen konstatert mangler knyttet til internkontroll og informasjonssikkerhet.
Schengen informasjonssystem (SIS)
Som medlem i Schengen-samarbeidet er Norge delaktig også i forhold til det informasjonssystemet som benyttes i samarbeidet. Dette gjelder opplysninger om personer som er straffedømt, ettersøkt, savnet, eller nektet innreise til Schengen-området. Datatilsynet ønsket gjennom fire tilsyn å kartlegge hvordan man i politidistriktene behandler personopplysninger ved bruk av dette systemet.
Datatilsynet konstaterer at politiets bruk av SIS synes å være i samsvar med regelverket. Rutinene for innleggelse av personer i SIS er godt kvalitetssikret. Denne kvalitetssikringen skjer ved at de enkelte politikamre sender en henstilling til «Sirenekontoret» om å legge opplysninger om en person inn i registeret. Sirenekontoret foretar deretter en vurdering etter nærmere angitte kriterier, før registrering eventuelt blir gjort. Ved tilsynene dannet det seg et bestemt inntrykk av at disse strenge rutinene blir etterlevd. Datatilsynet er så langt også tilfreds med administrasjon og overordnede rutiner for håndtering av systemet. Datatilsynet vil imidlertid foreta en noe mer grundig gjennomgang av informasjonssikkerheten i systemet. Det er Politiets Datasentral som drifter SIS.
1.4 Utvalgte temaer
1.4.1 Terror- og kriminalitetsbekjempelse
Personvern dreier seg om den enkeltes grunnleggende behov for å kunne trekke en beskyttende grense rundt sin egen person, slik at ikke andre krenker ens personlige integritet. Individets krav på personvern er imidlertid ikke absolutt. Det vil kunne stå i et motsetningsforhold til for eksempel etterforskning av straffbare forhold. I en rettsstat må man imidlertid alltid tilstrebe at uskyldige ikke blir krenket.
Personverninteressene utfordres når samfunnet introduserer nye virkemidler for å bekjempe terror og annen kriminalitet. En av årsakene til dette er at folk flest har en underliggende tilbøyelighet til å akseptere inngrep i den enkeltes integritet når målet er å forhindre eller etterforske kriminelle handlinger. Vi søker tilflukt og trygghet der vi tror at den er å finne. Et nærliggende eksempel på dette er aksepten for den sterkt økende bruken av fjernsynsovervåkning. Dette har ført til at Oslo er en av de mest kameraovervåkede byene i Europa.
I meldingsåret er det initiert en rekke lovforslag hvor hovedhensikten er kriminalitetsbekjempelse. Sentrale endringer i utlendingsloven, straffeloven, straffeprosessloven og forslag til ny lov om hvitvasking, er eksempler på dette. Forslagene reiser grunnleggende personvernspørsmål. I høringsuttalelsene til samtlige av disse forslagene har Datatilsynet etterlyst en beskrivelse av trusselbildet som i større grad legitimerer de virkemidlene som foreslås tatt i bruk. En forutsetning må hele tiden være at det er et balansert forhold mellom tiltakene som iverksettes og det trusselbildet samfunnet til enhver tid er utsatt for.
Foruten norske myndigheters egne initiativ, berøres vi i økende grad av tiltak som andre land setter i verk. Amerikanske myndigheter har for eksempel fremmet krav om elektronisk tilgang til passasjerlister fra norske flyselskaper, med varsel om sanksjoner dersom kravet ikke innfris. Amerikanerne har også fått igjennom en avtale om tilgang til opplysninger fra Europol. I disse sakene er det grunn til å være bekymret over at USA ikke har en personvernlovgivning som, i samme grad som hos oss, beskytter mot eventuelt misbruk av opplysninger.
1.4.1.1 Lovtiltak mot terrorisme
I forbindelse med Justisdepartementets forslag til endringer i straffeloven og straffeprosessloven (lovtiltak mot terrorisme), etterlyste Datatilsynet en mer konkret beskrivelse av de trusler som skulle begrunne og legitimere de foreslåtte lovendringene.
Forslagene reiste indirekte også spørsmål om politiets adgang til bruk av ekstraordinære etterforskningsmetoder. Datatilsynets fokus i denne sammenheng er at krenkelsen av personvernet inntrer idet det iverksettes ekstraordinære etterforskningsmetoder mot en person. Oppnevning av forsvarer representerer derfor en viktig rettsikkerhetsgaranti for den mistenkte i slike saker.
Høringsnotatet omhandlet blant annet forsvarers rett til innsyn i dokumenter som holdes hemmelig av hensyn til rikets sikkerhet eller forhold til fremmede stater. I Lund-kommisjonens rapport ble det i sin tid pekt på forhold i forhørsretten som viste at mangel på forsvarer i saker om rikets sikkerhet kan bidra til en skjev fremstilling av saken. Dette bør vektlegges når det gjelder forsvarers mulighet til innsyn i dokumenter som ligger til grunn i slike saker. Forsvarer bør bare nektes innsyn i dokumenter om rikets sikkerhet når helt særskilte grunner foreligger.
Regler om innsynsretten bør utformes slik at forsvarer ikke møter urimelige hindringer i sitt arbeid. Dersom kopier av dokumenter er nødvendig for forsvarers arbeid, bør dette imøtekommes. Den nødvendige tilliten til rettsvesenet vil svekkes dersom fokus flyttes fra hva saken egentlig angår, til spørsmål om forsvarers rett til innsyn i sakens dokumenter. Datatilsynet forutsetter at man i saker som angår rikets sikkerhet gjør bruk av sikkerhetsklarerte forsvarere. Disse kan pålegges en plikt til sikker dokumentoppbevaring som er identisk med avgivers sikkerhetskrav.
1.4.1.2 Tre forslag til endringer i utlendingsloven
Kommunaldepartementet har i meldingsåret tatt opp tre forslag til endringer i utlendingsloven som har påkalt Datatilsynets oppmerksomhet. Det første forslaget kom i kjølvannet av Justisdepartementets initiativ til lovtiltak mot terrorisme. Der ble det foreslått utvidelser når det gjelder muligheten til bortvisning av utlendinger. Det neste initiativet kom, uten annen foranledning enn den generelle kriminalitetsutviklingen, med forslag om å gjøre bruk av utlendingers registrerte fingeravtrykk til etterforskning. Kommunaldepartementets tredje initiativ dreide seg også om forslag til en utvidet adgang til utsendelse av utlendinger, denne gang tuftet på et Rådsdirektiv fra EU.
Det kan virke selvfølgelig at kriminelle utlendinger må utvises, og at ulike typer kriminalitet må etterforskes på ulike måter. Men på hvilket grunnlag og under hvilke forutsetninger skal dette kunne skje? Disse sentrale spørsmålene bør oppta lovgiver i et land som ganske nylig har implementert Den europeiske menneskerettighetskonvensjonen.
Utvisning og utlevering
I følge de to forslagene som dreier seg om utvisning og utlevering, skal utvisning ved overtredelse av straffebud ikke konstateres i rettssystemet ved en rettskraftig dom, men kun som en administrativ beslutning. Datatilsynet etterlyser klarere kriterier for når slike tiltak kan iverksettes.
Fingeravtrykksregisteret
Da det i 1992 ble vedtatt at utlendingsmyndighetene skulle kunne kreve at utlendinger avgir fingeravtrykk, var det klare formålet at man på denne måten skulle ha et hjelpemiddel til å kunne identifisere vedkommende i forbindelse med søknad om asyl og oppholdstillatelse. Allerede da var imidlertid bekymringen stor for at det ville bli et press for å bruke opplysninger fra fingeravtrykksregisteret også til andre formål. Det ble derfor satt som vilkår i konsesjonen at rettens kjennelse må innhentes før man kan bruke opplysningene som ledd i etterforskning av kriminelle handlinger.
Departementet foreslår nå at denne viktige rettsikkerhetsgarantien fjernes ved at politiet får en lovfestet rett til å gjøre søk i registeret ved etterforskning.
Datatilsynet har forståelse for at man leter etter nye måter å bekjempe og etterforske alvorlig kriminalitet på. Tilsynet stiller seg imidlertid kritisk til at et register som er opprettet for et spesifikt formål (identifisering) skal brukes til et helt annet formål (etterforskning). En slik praksis vil bety at utlendinger ikke har samme krav på rettssikkerhet som nordmenn.
Helhetlig gjennomgang nødvendig
Samlet sett reiser forslagene helt grunnleggende spørsmål om hvorvidt man i Norge skal akseptere at det innføres et todelt rettssystem - et for nordmenn og et for utlendinger. Disse problemstillingene bør vurderes nærmere av utvalget som er i gang med å utrede en ny lovgivning på utlendingsområdet.
1.4.1.3 Hvitvasking av penger - forslag om utvidet rapporteringsplikt
Finansdepartementet har foreslått en ny lov om forebyggende tiltak mot hvitvasking av utbytte og finansiering av terrorisme. Forslaget er resultat av en arbeidsgruppe som blant annet skulle følge opp Finanskomiteens anmodning om å foreta en bred gjennomgang av hvitvaskingsbestemmelsene, med særlig vekt på forholdet mellom kontrollbehov og personvernhensyn.
Etter Datatilsynets vurdering er arbeidsgruppens rapport mangelfull, idet verken kontrollbehovet eller sentrale personvernhensyn er drøftet og veid mot hverandre. Det savnes også en nærmere redegjørelse for hvilke trusler som gjør nye tiltak nødvendig. Datatilsynet mener derfor at det ikke foreligger et tilstrekkelig grunnlag for iverksettelse av de foreslåtte tiltakene.
Utvidet rapporteringsplikt
Sentralt i personvernet står enkeltpersoners behov for, og krav på, å ha kunnskap om til hvilke formål opplysninger om dem selv brukes. Dette prinsippet fravikes i urovekkende stor grad med forslaget om å utvide området for rapporteringsplikt og kretsen av informanter til Økokrim.
Når det gjelder forslaget om en institusjonalisering av advokaters rapporteringsplikt, rokker dette ved tillitsforholdet mellom advokat og klient og de hensyn som ligger bak advokaters taushetsplikt. Advokatforskriften har en bestemmelse om at en advokat skal frasi seg et oppdrag dersom han får mistanke om at det omfatter en transaksjon som vil medføre hvitvasking av penger, og klienten ikke er villig til å avstå fra å gjennomføre transaksjonen. Datatilsynet mener at denne bestemmelsen bør være tilstrekklig, slik at vi unngår å uthule de rettsgodene som tillitt og taushetsplikt representerer.
Mangler nødvendig kompetanse
Datatilsynet har også i tidligere høringer om hvitvasking påpekt det problematiske i at den som skal ta stilling til om et forhold skal rapporteres, ikke har nødvendig kompetanse til å vurdere hvorvidt det faktisk dreier seg om et straffbart forhold. Dette problemet forsterkes ytterligere ved en utvidelse av kretsen av informanter og ulike typer forhold som skal rapporteres.
1.4.1.4 Tiltak mot trygdemisbruk
Forslaget innebærer at Økokrim skal kunne gi opplysninger fra bankenes hvitvaskingsmeldinger videre til Trygdeetaten. Dette vil ofte være opplysninger som, fra Økokrims side, er å regne som overskuddsinformasjon. Datatilsynet er sterkt kritisk til slik annenhånds bruk av opplysningene. Da bestemmelsene som pålegger bank- og finansinstitusjoner å sende meldinger om mulig hvitvasking til Økokrim ble tatt inn i Lov om finansieringsvirksomhet, ble det presisert at Økokrim bare kunne bruke disse opplysningene til sin egen etterforskning. Dette er en viktig rettssikkerhetsgaranti, som ikke bør svekkes.
1.4.2 Helse og sosial
Opplysninger om egen helsetilstand og sosiale forhold er regnet blant de aller mest private og sensitive opplysningene i vårt samfunn, og står på mange måter i en særstilling i forhold til andre personopplysninger. Datatilsynet vil derfor alltid ha et særlig fokus på hvordan ulike virksomheter og institusjoner innen helse- og sosialsektoren behandler de personopplysningene de forvalter. Dette har også vært tilfellet i 2002.
1.4.2.1 Helseregisterloven
Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) trådte i kraft 1. januar 2002. Egne forskrifter for Kreftregisteret, Dødsårsaksregisteret og Medisinsk fødselsregister trådte i kraft samtidig.
Helseregisterloven gjelder for elektronisk behandling av helseopplysninger i helsesektoren, uavhengig av om det skjer i privat eller offentlig regi. Den gjelder også for manuelle helseregistre.
Helseregisterloven skal ivareta pasientens interesse i effektiv helsehjelp, den enkeltes personverninteresser og samfunnets interesse i at det drives forskning og utarbeides statistikk. Loven gir den enkelte en rekke rettigheter, samtidig som den behandlingsansvarlige pålegges en rekke plikter. Hovedregelen er at behandling av helseopplysninger krever samtykke.
Tolkningsproblemer
Deler av loven skapte innledningsvis tolkningsproblemer, blant annet med hensyn til hvilke helseregistre som kan opprettes etter konsesjon fra Datatilsynet, og hvilke som må ha hjemmel i lov eller forskrift.
Saken har fått sin avklaring. Datatilsynet skal behandle søknader om å opprette registre med sensitiv helseinformasjon så lenge registeret ikke er regulert i forskrift. Det er også lagt til grunn at Datatilsynet har mandat til å gi konsesjoner og administrativt avgjøre opprettelsen av store, sensitive helseregistre. Det betyr at alle private og de fleste offentlige prosjekter skal vurderes av Datatilsynet.
Implementering
Det har vært mye samarbeide mellom Datatilsynet og de store institusjonene, blant annet Nasjonalt folkehelseinstitutt, om hvordan overgangen til det nye regelverket kunne løses på en mest mulig smidig måte.
Helseregisterlovens overgangsregler følger av personopplysningsloven. For mange som behandler helseopplysninger kom helseregisterloven først til anvendelse fra 1. januar 2003.
Datatilsynet mottok likevel relativt mange søknader om konsesjon etter helseregisterloven i løpet av året, hvorav 128 ble innvilget. Antallet meldinger om ikke-konsesjonspliktige behandlinger av helseopplysninger er betydelig høyere.
Helseregisterloven stadfester helseforetakenes plikt til å sørge for forholdsmessig sikring av helseopplysninger. Dette innebærer at et helseforetak må iverksette organisatoriske og tekniske tiltak som sikrer at helseopplysningene blir forsvarlig håndtert i foretaket. Datatilsynet avdekket imidlertid gjennom sine tilsyn at ikke alle virksomheter hadde tatt regelverkets krav like alvorlig. Se kapittel 0
1.4.2.2 Store mangler hos blodbankene
Alle landets blodbanker fikk våren 2002 tilsendt et spørreskjema fra Datatilsynet. Hensikten var å kartlegge blodbankenes rutiner for behandling av person- og helseopplysninger knyttet til biologisk materiale.
Kartleggingen var i hovedsak begrenset til de såkalte blodgiverregistrene, herunder muligheten for å finne tilbake til blodgiveren på grunnlag av opplysninger knyttet til blodproduktene. Blodbankene ble også spurt om forholdet til konsesjoner og i hvilken grad blodet også brukes til annet enn blodoverføring.
Det innkomne materialet gir inntrykk av at de ansvarlige for de aller fleste blodbankene ikke hadde satt seg tilstrekkelig inn i reglene for behandling av helseopplysninger. Blodgiverregistrene inneholder opplysninger om sykdom og seksuelle forhold. De er dermed konsesjonspliktige etter helseregisterloven. Kun et fåtall av blodbankene hadde slik konsesjon.
Informasjon og samtykke
Blodgiverne får relativt mye informasjon om hvilke tester blodet underlegges og om praktiske rutiner i tilknytning til tappingen. Det blir imidlertid i liten eller ingen grad gitt informasjon om hvordan personopplysninger håndteres, og om andre rettigheter blodgiverne har etter helseregisterloven.
Blodet brukes normalt til pasientbehandling. I enkelte tilfeller er det imidlertid ønske om også å bruke blodet til forskning. I slike tilfeller skal blodgiveren avgi en særskilt samtykkeerklæring, basert på grundig informasjon av hvordan blodet skal brukes videre. Undersøkelsen viser at det i liten grad har vært tatt i bruk slike samtykkeerklæringer. De få som finnes er dessuten lite informative.
Ikke tilfreds
Opplysningene som kom fram i kartleggingen er senere blitt verifisert i forbindelse med gjennomføring av tilsyn hos enkelte blodbanker. Datatilsynet er betenkt over at det er konstatert så omfattende svakheter og mangler hos landets blodbanker. Tilsynet har derfor oversendt rapporten fra kartleggingen til Helsedepartementet, Sosial- og helsedirektoratet, og til alle landets blodbanker. Rapporten forutsettes å være et grunnlag for utarbeidelse av nye og tilfredsstillende rutiner ved alle landets blodbanker.
1.4.2.3 Helsenett
Det er et uttalt mål fra myndighetenes side at helsepersonell i hele Norge skal kunne kommunisere elektronisk seg i mellom og med pasientene.
Det nasjonale nettet representerer en overbygning for regionale helsenett, og har som mål å binde hele helsesektoren sammen. Dette skal skje på tvers av kommuner, fylker, regioner og forvaltningsnivåer. Helsenettet er også ment å bidra til at det skal være mulig med en sikker kommunikasjon også med trygdeetaten og sosialsektoren. Helsenettet skal etter planen realiseres innen utgangen av 2003.
Datatilsynet stiller seg positiv til at det tas i bruk tekniske løsninger egnet til å løse viktige problemer i helsesektoren. Løsningene kan bidra til å redde liv eller forhindre alvorlige helseproblemer. Det har imidlertid i liten grad vært fremme i debatten at bruk av nye løsninger berører en rekke spørsmål ut over det rent tekniske, herunder spørsmål om personvern og taushetsplikt.
Et nasjonalt helsenett har potensiale til å gjøre store mengder sensitiv informasjon om nær sagt alle norske borgere, tilgjengelig for helsepersonell over hele landet. Taushetsplikten gjelder også helsearbeidere imellom. Det kan derfor ikke aksepteres at helsepersonell gis tilgang til helseopplysninger de ikke har behov for til sin behandling av pasienten. Fra Datatilsynets side er det viktig at enhver utlevering av helseopplysninger er basert på en konkret vurdering, foretatt av det helseforetaket som har ansvar for helseopplysningene. Dette er i tråd med de krav helseregisterloven fastsetter.
1.4.2.4 GeNova og Norsk Arv
Datatilsynet avslo i oktober en søknad om konsesjon fra det bioteknologiske innovasjonsselskapet GeNova. Selskapet ønsket å etablere forskningsbiobanken «Norsk arv», for å utføre genetiske analyser av flere hundre tusen nordmenn
GeNova søkte om å behandle helseopplysninger av svært sensitiv karakter, knyttet til sykdomsgrupper. Når det skal tas blodprøver og gjennomføres genetiske analyser, reiser det særlige krav til ivaretakelse av de berørtes personvern.
Regional komité for medisinsk forskningsetikk valgte å fraråde prosjektet. Den etiske komiteen begrunnet sin vurdering med at prosjektet ikke holder mål på en rekke punkter som har med planlegging og informasjon å gjøre. Denne vurderingen slutter Datatilsynet seg til. Datatilsynet mener at de nevnte manglene skaper personvernmessige ulemper for deltakerne i prosjektet, som ikke kan oppveies av prosjektets mulige gunstige utfall.
Datatilsynets vedtak er ikke påklaget.
1.4.2.5 BioLante AS
I august søkte selskapet BioLante AS om konsesjon for å behandle helseopplysninger i forbindelse med at selskapet ønsker å tilby fødende en mulighet til å fryse ned stamceller fra navlestrengblod.
Tjenesten forutsetter et samarbeid med helseinstitusjoner. Navlestrengblod skal tappes og sendes til et laboratorium for behandling og separasjon av stamceller. Stamcellene fryses ned og lagres for eventuell senere bruk ved alvorlige sykdommer hos barnet.
Konsesjon på vilkår
Datatilsynet gav konsesjon under forutsetning av at informasjonen til de som inngår avtale om å avgi navlestrengblod blir bedre. Det er viktig at det klart fremgår at det biologiske materialet ikke skal benyttes til andre formål enn medisinsk behandling av donoren, og at alt overskuddsmateriale umiddelbart vil bli destruert. Dersom selskapet likevel skulle ønske å benytte deler av materialet i forskningsøyemed, må det i hvert enkelt tilfelle innhentes et nytt informert samtykke.
Det er knyttet store forventninger til bruk av stamceller i fremtidig terapi. Mye er imidlertid fortsatt på et eksperimentelt stadie. Det er derfor knyttet usikkerhet til i hvilken grad stamcellene vil få klinisk anvendelse i overskuelig framtid. Fra medisinsk hold er det uttalt at man med dagens teknologi trolig ikke kan separere en tilstrekkelig mengde stamceller fra navlestrengsblodet, til å behandle voksne personer. Datatilsynet satte derfor som konsesjonsvilkår at det må informeres om i hvilken grad de avgitte stamcellene er tilstrekkelig til å behandle også voksne personer.
Personvern, etikk og forbrukerrettigheter
I likhet med GeNova illustrerer denne saken hvor komplekse vurderinger av personvern blir i helsesektoren. Utviklingen legger til rette for at private aktører, med kommersielle interesser, tilbyr enkeltmennesker helt nye typer medisinske tjenester og muligheter. Personvernaspektene må sees i nær sammenheng med medisinfaglige vurderinger, etikk, og forbrukerrettigheter. Kravet til tilfredsstillende informasjon står helt sentralt i alle disse sammenhengene.
1.4.2.6 Ny biobanklov forvirrer
Biologisk materiale knyttet til identitet utgjør svært sensitive personopplysninger. Det menneskelige genom er kartlagt og det foregår en stadig økende bruk av biologisk materiale. Biobankene utgjør derfor en betydelig økonomisk ressurs. Misbrukspotensialet er klart tilstede, og antas å være proporsjonalt økende med utviklingen innen forskningen. Innsamling, oppbevaring og bruk av denne typen personopplysninger må derfor strengt lovreguleres. Rettsområdet bør imidlertid vurderes som et hele, slik at lovverket blir mest mulig oversiktlig.
Komplisert sett av regler
Helsepersonell og særlig de som driver medisinsk forskning, må forholde seg til et komplisert sett av lover og regler. Samspillet mellom lovene er ofte uklart. I mange sammenhenger er det derfor vanskelig å vurdere hvilken lov som gjelder, og hvilken myndighet man skal forholde seg til. Lovsituasjonen gjør derfor hverdagen, særlig for medisinske forskere, unødvendig vanskelig. Datatilsynet foreslo derfor overfor Stortingets sosialkomité at reguleringen av biobankene burde gjennomføres ved å foreta mindre endringer i helseregisterloven, fremfor å vedta en egen biobanklov. Dette fordi det er så stor grad av likhet mellom den foreslåtte biobankloven og den eksisterende helseregisterloven
1.4.2.7 Oppsøkende genetisk virksomhet
I forbindelse med evaluering av bioteknologiloven og forslag til en ny forskrift, uttalte Datatilsynet seg om adgangen til oppsøkende genetisk virksomhet.
Når det er dokumentert at en pasient er disponert for eller har en arvelig sykdom, kan pasienten selv bestemme om han eller hun vil informere berørte slektninger om dette. Imidlertid kan legen, mot pasientens vilje og under bestemte vilkår, på egen hånd informere slektningene om mulige sykdomsdisposisjoner.111I sin høringsuttalelse uttrykte Datatilsynet at leger ikke under noen omstendighet bør kunne informere pasientens slektninger om arvelige disposisjoner mot dennes vilje. Etter Datatilsynets vurdering strider slik oppsøkende genetisk virksomhet mot viktige prinsipper om frivillighet og selvbestemmelse. Retten til ikke å vite står sentralt, blant annet med henvisning til FNs menneskerettighetskonvensjons bestemmelse om privatlivets fred.
Erstatningsansvar?
I takt med en utvikling der den vår kunnskap øker stadig hurtigere, vil vi med stadig større grad av sikkerhet kunne forutsi sykdommer som er genetisk betinget. En eventuell adgang til oppsøkende genetisk virksomhet vil samtidig føre til at borgerne får en økende forventning om at de blir kontaktet av helsepersonell dersom de er disponert for, eller har en arvelig sykdom. Dersom de ikke blir kontaktet og blir syke, vil spørsmålet om erstatning fort bli reist. Dersom bioteknologiloven skulle gi adgang til oppsøkende genetisk virksomhet bør det i så fall utredes, og komme klart til uttrykk, i hvilken grad unnlatelse av å foreta oppsøkende genetisk virksomhet kan føre til erstatningsplikt.
1.4.2.8 DNA-register i Forsvaret
Forsvaret søkte om å ta blodprøver av militært personell til bruk for å identifisere omkomne gjennom deres DNA. Det ble i søknaden lagt til grunn at innsamling av blodet ikke skulle være basert på samtykke.
Militært personell er i dag tildelt et gjenkjenningsmerke med fødselsnummer og blodtype, til bruk for identifikasjon ved død. I tillegg benyttes en journal som viser tannstatus.
Datatilsynet fant ikke å kunne gi tillatelse til innsamling av blodprøver og opprettelse av et DNA-register. Det ble i vurderingen lagt vesentlig vekt på at opprettelse av et DNA-register ville innebære en betydelig integritetskrenkelse og inngrep i enkeltindividets private sfære. Det ville, slik Datatilsynet ser det, ikke være rimelig proporsjonalitet mellom den antatte nytte og personvernulempen.
1.4.3 Arbeidsliv
I dag finnes knapt en bedrift som ikke har tatt mer eller mindre avansert datateknologi i bruk. Kommunikasjon pr. e-post er en selvfølgelig del av hverdagen for mange arbeidstakere, både til jobb og privat. Bruk av elektroniske adgangskontrollsystemer, logging av trafikken på telefon og Internett, samt kameraovervåking er utbredt. Teknologien har gjort mange arbeidsprosesser lettere og mer effektive. En konsekvens av dette er imidlertid at arbeidsgivers potensiale for overvåking øker. Ved å undersøke datalogger, videoopptak og spesifiserte telefonregninger, kan arbeidsgiver raskt skaffe seg et bilde av hvordan den enkelte ansatte disponerer tiden sin, vedkommendes preferanser og adferdsmønstre. Datatilsynet merker denne tendensen i form av et økt antall henvendelser fra ansatte som føler at deres personvern blir krenket. Henvendelsene har grunnlag i alt fra mistanke om at arbeidsgiver beveger seg på kanten av personopplysningsloven, til konkrete eksempler på grove brudd. En god del av henvendelsene kommer fra ansatte i selskaper med hovedsete i andre land enn Norge.
Det er både i arbeidsgivers og arbeidstakers interesse at overvåkingen holdes på et lovlig og akseptabelt nivå. I alle tilfeller har de ansatte krav på informasjon om hvilke kontrolltiltak de utsettes for.
1.4.3.1 Callsentre
Mange virksomheter har kundesentre der de ansatte besvarer innkomne henvendelser og/eller forestår salg pr. telefon - ofte betegnet som «callsenter». Callsentre benytter et telefonsystem som arbeidsverktøy. Slike systemer åpner for registrering av antall telefoner den enkelte besvarer, responstid og varighet på samtalene. Pauser og eventuelle resultater av samtalene kan også registreres. Opptak av samtalene forekommer også. Opplysningene kan benyttes til ressursplanlegging og oppfølging av den enkelte ansatte. Registreringene er, etter Datatilsynets erfaring, mange steder svært detaljerte og misbrukspotensialet tilsvarende stort. Mange ansatte opplever det som en belastning å bli overvåket på denne måten.
På bakgrunn av mange henvendelser om callsentre ble det gjennom tilsynsvirksomheten kartlagt hvilke personopplysninger som behandles i callsentrene, samt hva som er formålet med registreringene. Funnene fra tilsynene tyder på at det er behov for å trekke opp klare grenser for hva arbeidsgiver kan tillate seg av kontrolltiltak. Datatilsynet vil derfor, i samråd med bransjeorganisasjoner, fastsette nærmere retningslinjer for behandling av personopplysninger i callsentrene.
1.4.3.2 Kameraovervåking på arbeidsplassen
Mange av tilsynene med kameraovervåking er blitt foretatt på arbeidsplasser. Tilsynene avdekket flere brudd på personopplysningsloven. I de fleste tilfellene vurderte Datatilsynet det slik at bedriften kan rette feilen ved å endre kameravinkel på en måte som gjør at overvåkingen ikke krenker ansattes personvern. Det har imidlertid også vært tilfeller med grove krenkelser av personvernet. Det er blant annet oppdaget kontinuerlig overvåking av rom som for det meste er brukt som kontor eller spise-/pauserom. I tillegg til å avdekke mulig kriminalitet, har overvåkingsutstyr også blitt benyttet til å kontrollere om de ansatte utførte arbeidet på en tilfredsstillende måte. Ved ett tilfelle ble det foretatt skjult kameraovervåking, som var så grov at Datatilsynet var nær ved å anmelde forholdet.
Urmakerdommen
Årsmeldingen fra 2001 refererer til en prinsipielt viktig kjennelse i en sak om arbeidsgivers overvåking av ansatte. En urmaker hadde videofilmet en ansatt uten at denne visste om det. Videoen avslørte at den ansatte forsynte seg med penger fra kassen. Den ansatte anmeldte arbeidsgiveren for ulovlig videoovervåking og fikk medhold av Gulating lagmannsrett. Urmakeren anket saken til Høyesterett i 2002, men Høyesterett opprettholdt underrettenes avgjørelse om at overvåkingen var ulovlig. Urmakeren ble ilagt bot.
1.4.3.3 Overvåking av ansattes e-post
Europakommisjonens arbeidsgruppe består av sjefene for de europeiske datatilsyn. 29. mai 2002 vedtok arbeidsgruppen retningslinjer for overvåkning av ansattes bruk av e-post og Internett. Datatilsynets tolkninger av personopplysningsloven når det gjelder overvåkning av ansattes e-post og Internettbruk er i samsvar med arbeidsgruppens dokument.
Ulike tolkninger
I 2002 ble arbeidsgivers rettigheter i forhold til innsyn i ansattes e-post illustrert gjennom en rettssak: En arbeidsgiver ønsket å benytte utskrifter fra en ansattes e-postkasse som bevis i forbindelse med en avskjedigelse. Arbeidstakerens advokat krevde beviset avskåret før saken kom opp i retten. Høyesteretts kjæremålsutvalg kom imidlertid i sin kjennelse til at e-postutskriftene kunne legges frem som bevis. Norsk rett har i utgangspunktet fri bevisføring. Det er en eventuell avskjæring av bevis som må begrunnes. Høyesterett la i sin kjennelse vekt på at e-postenes innhold måtte anses som virksomhetsrelatert og at interesseavveiningen etter personopplysningsloven falt ut til arbeidsgivers fordel. Det ble i kjennelsen vist til informasjon på Datatilsynets hjemmesider om dette. Kjæremålsutvalget konkluderte med at e-posten ikke var fremskaffet på ulovlig måte, og at det dermed ikke var grunnlag for å avskjære den som bevis.
Rettens avgjørelse bygger på en vurdering av e-postens innhold etter åpning. Slik Datatilsynet ser det, skal vurderingen av hvorvidt man står overfor virksomhetsrelatert e-post finne sted før eventuell e-post åpnes. Bare dersom denne vurderingen tilsier at man står overfor virksomhetsrelatert e-post, vil arbeidsgiver kunne åpne e-posten. Dersom vurderingen tilsier at man står overfor privat e-post, vil arbeidsgiver måtte basere seg på arbeidstakerens samtykke. Retten tok ikke standpunkt til dette spørsmålet.
1.4.3.4 Bruk av egenerklæringer
Datatilsynet har mottatt en del henvendelser fra arbeidstakere som blir bedt om å fylle ut relativt detaljerte «egenerklæringer», enten ved ansettelse eller som en årlig rutine. Egenerklæringene rapporteres å inneholde spørsmål knyttet til helse og rusproblematikk og straffbare forhold. Enkelte egenerklæringer innholder også spørsmål knyttet til eierskap i konkurrerende selskaper. Det er gjennomgående at man også, i tillegg til opplysninger om seg selv, blir bedt om å gi opplysninger om familie og kolleger. De henvendelser som Datatilsynet har mottatt tyder på at slike egenerklæringer i første rekke blir tatt i bruk av internasjonale selskaper.
Denne bruken av «egenerklæringer» vil i de aller fleste tilfellene vil være i strid med personopplysningsloven, fordi arbeidsgiver ikke kan vise til noe saklig behov for å samle inn opplysningene.
1.4.3.5 Kredittsjekk av arbeidssøkere
Datatilsynet ser en økende tendens til at arbeidsgivere ønsker å kredittsjekke søkere til ledige stillinger i bedriften. I følge Personopplysningsloven skal kredittopplysninger bare gis til den som har et saklig behov for det. Etter Datatilsynets foreløpige vurdering må dette i forbindelse med ansettelser innebære at det dreier seg om rekruttering til en høyere stilling, med et stort økonomisk ansvar. Det forutsettes også at kredittsjekken innhentes på slutten av ansettelsesprosessen, og kun for arbeidssøkere som man reelt vurderer å tilby ansettelse. Datatilsynets vurdering av dette temaet er ikke sluttført.
1.4.3.6 Lønnsopplysninger og likestilling
I 2001 uttalte Datatilsynet at arbeidsgiver ikke på generelt grunnlag og uten samtykke fra lønnsmottaker, kan utlevere lønnsopplysninger til de tillitsvalgte i forkant av lønnsforhandlinger. Innen offentlig forvaltning åpner likevel offentlighetsloven i en del tilfeller for innsyn i lønnsopplysningene.
Disse uttalelsene utløste en mengde spørsmål i 2002. Spørsmålene var knyttet til muligheten for å ivareta likelønnsprinsippet i likestillingsloven og muligheten for å kontrollere at arbeidsgiver ikke bryter ufravikelighetsprinsippet. Ufravikelighetsprinsippet skal sikre at ingen forskjellsbehandles på grunnlag av om man har medlemskap i fagforening, eller ikke.
Datatilsynet konkluderte denne diskusjonen med at man ved konkret mistanke om brudd på likelønns- eller ufravikelighetsprinsippet, uten samtykke kan kreve å få innsyn i de berørtes lønnsopplysninger. Hjemmel for dette ligger i både Likestillingsloven og Arbeidstvistloven. Dette innebærer imidlertid ingen åpning for generelt innsyn for bruk i lønnsforhandlinger.
1.4.4 Direkte markedsføring
Den 1. januar 2001 ble det opprettet et sentralt reservasjonsregister mot direkte markedsføring. I dette registeret kan privatpersoner reservere seg mot direkte markedsføring pr. brev og telefon.
I meldingsåret reserverte ytterligere 118 623 personer seg mot direkte markedsføring. Samlet antall som ved årsskiftet hadde registrert seg var dermed 352 486. Av disse har så mange som 350 580 personer reservert seg også mot telefonsalg fra ideelle organisasjoner.
Også i 2002 har Datatilsynet møtt stor pågang fra personer som mener deres reservasjon mot direkte markedsføring ikke blir respektert. De ideelle organisasjonene går igjen i klagene, med teleoperatørene hakk i hel.
På bakgrunn av dette har Datatilsynet brukt mye tid på å utarbeide notater som beskriver Datatilsynets tolkning av de relevante lovbestemmelsene på området. Spesielt viktig er notatet som forklarer personopplysningslovens begrep løpende kundeforhold. Begrepsavklaringen er avgjørende, fordi markedsfører ikke plikter å sjekke en persons navn opp mot det sentrale reservasjonsregisteret, dersom virksomheten kan sies å ha et løpende kundeforhold til vedkommende. Manglende begrepsavklaring har ført til at reservasjoner ikke er blitt respektert. Datatilsynet håper dette vil endre seg når nevnte avklaring blir kjent i bransjen.
1.4.4.1 Adressemekling
Datatilsynet har i løpet av året utviklet retningslinjer for adressemekling og utleie av egne adresselister. Gjennom arbeidet er berørte i DM-bransjen blitt konsultert.
Innenfor klare rammer kan adresselister leies ut uten samtykke fra de berørte enkeltpersonene. Bakgrunnen for dette er at behandlingen i seg selv innebærer en liten personverntrussel. Dessuten begrenser retningslinjene hvilke typer personopplysninger som kan benyttes. Utleide lister kan kun inneholde såkalte grunndata (navn, adresse, anropnummer og fødselsdato). Adresselistene vil også inneholde informasjon om hvilket adresseregister opplysningene er hentet fra. Det er videre begrenset hvor mange ganger en slik adresseliste kan brukes innenfor en periode på 30 dager, før den må slettes.
Videre plikter både den som leier ut og den som leier listene, å ha et lokalt reservasjonsregistermot direkte markedsføring. Dette reservasjonsregisteret kommer i tillegg til det sentrale, og veier delvis opp for manglende samtykkeerklæring. Det gjør også den lovpålagte informasjonsplikten som gjelder både utleier og leier. Enkeltpersoner skal informeres dersom deres adresse skal leies ut, slik at man dermed får mulighet til å benytte seg av sin lokale reservasjonsrett. Informasjonen skal komme i forkant av eventuell utleie. Dersom utleie av adresselister er vanlig praksis innenfor virksomheten, skal det informeres om dette på et tidlig stadium. For eksempel skal foreninger informere nye medlemmer om at opplysningene de gir fra seg vil kunne bli leid ut til andre, dersom man ikke reserverer seg mot dette.
1.4.5 Bank, kreditt og forsikring
Datatilsynet har utarbeidet nye konsesjoner for bransjer som er pålagt konsesjonsplikt, selv om de i utgangspunktet ikke behandler sensitive personopplysninger.
1.4.5.1 Bank og finans
Banker og finansinstitusjoner er pålagt konsesjonsplikt for sin behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester. Store deler av 2002 har gått med til å utvikle konsesjonsvilkår for bank- og finansinstitusjonene. Datatilsynet har vært i dialog med bransjen både gjennom seminar- og møtevirksomhet. Innspill fra bransjen er tatt hensyn til, i den grad de er vurdert til å være i tråd med personopplysningsloven.
Gjennom konsesjonsarbeidet ble det blant annet fokusert på behovet for å skille mellom oppfølging av kundene i forhold til produkter de allerede har, og markedsføring av nye produktkategorier. Bruk av personopplysninger ved markedsføring av nye produktkategorier faller utenfor konsesjonens formål, og må derfor ha et selvstendig hjemmelsgrunnlag.
Datatilsynet har videre fastslått en policy i forhold til felles kunderegister i konsern. Bare nøytrale kundeopplysninger, samt informasjon om kundens selskapstilhørighet og hvilke produktkategorier vedkommende har avtale om, kan overføres til et felles kunderegister i konsernet.
Et av vilkårene i konsesjonen spesifiserer også at betalingshistorikk som ikke regnes som vesentlig mislighold skal slettes når oppbevaring av opplysningene ikke lenger er nødvendig for å gjennomføre formålet med behandlingen. Slettefristen er satt til fire år. Oppbevaring og bruk av opplysninger etter dette tidspunkt, og til andre formål, vil likevel kunne skje i henhold til særlovgivning.
Eventuelle klager på konsesjonen innen en fastsatt klagefrist kan føre til endringer i forhold til den nåværende utformingen av konsesjonsvilkårene.
1.4.5.2 Kredittopplysningsvirksomhet
Bransjen har kommet med innspill til Datatilsynets utkast til nye konsesjonsvilkår for behandling av personopplysninger ved kredittopplysningsvirksomhet.
Konsesjonsutkastets nye vilkår om frivillig registrering av kredittvarsel er særlig interessant. Vilkåret betyr at enkeltpersoner selv kan be om å få registrert en merknad i kredittopplysningsselskapets database som forhindrer dem fra å få innvilget kreditt. Merknaden kan kun registreres når vedkommende selv, eller ens verge, ber om det. Begjæringen skal være skriftlig, og kredittopplysningsbyrået skal utarbeide en rutine for å sikre at begjæringen kommer fra rett person.
Tidligere var slettefristen for registrerte betalingsanmerkninger tre år. Nå er den utvidet til fire år.
Datatilsynet mottar fortsatt klager på kredittopplysningsbyråene, særlig når det gjelder urettmessige betalingsanmerkninger. I meldingsåret kom det inn 80 skriftlige klager og mange flere telefonhenvendelser. Antallet klager er imidlertid lavt, tatt i betraktning alle de registreringene som kredittopplysningsbyråene har foretatt i det samme tidsrommet. Datatilsynet oppfatter imidlertid feilregistrerte betalingsanmerkninger som et problem, med tanke på de konsekvensene dette kan ha for den enkelte.
1.4.5.3 Database over betalingsmislighold
EU har foreslått et direktiv for forbrukerkreditt. Direktivet legger opp til at det enkelte medlemsland skal ha en sentral database med oversikt over samtlige forbrukeres betalingsmislighold. Det skal ikke ytes kreditt før man har sjekket kredittsøkeren opp mot denne databasen. I sin høringsuttalelse uttrykte Datatilsynet sterk skepsis i forhold til opprettelsen av en slik sentral database. Denne vil kunne utgjøre en stor personverntrussel, særlig med tanke på det store misbrukspotensialet. Det kan også lett oppstå feil som forringer opplysningskvaliteten.
Forbrukerkredittdirektivet sier ikke noe om adgangen til å få rettet eller slettet opplysninger. Videre er det ikke tatt stilling til hvor lenge opplysningene skal lagres i databasen. Personverntrusselen øker ettersom opplysninger blir eldre. Konsekvensene kan bli alvorlige for en forbruker som blir gjenstand for feilregistrering.
Et annet problem er at direktivet ikke definerer begrepet «mislighold». Dermed finnes det ingen felles standard for skjæringspunktet for en eventuell registrering. Dette er særlig betenkelig med tanke på at forslaget legger opp til at alle virksomheter i EØS-området skal ha tilgang til de nasjonale databasene.
Begrunnelsen for en slik database er at man skal beskytte forbrukeren mot å påta seg en for stor gjeldsbyrde. Et viktig utgangspunkt for personvernretten er imidlertid at enkeltmennesket selv skal ha kontroll med, og ta ansvar for egne personopplysninger. Personopplysninger skal ikke samles inn, med mindre det er et saklig behov for det. Det må stilles spørsmål ved om risikoen for at enkelte forbrukere påtar seg en for stor gjeldsbyrde oppfyller kravet til saklig behov, også tatt i betraktning at et slikt sentralt register vil ha et betydelig potensiale for misbruk og feil.
1.4.5.4 Forsikring
Det er blitt utarbeidet et søknadsskjema for konsesjon, med veiledning for behandling av personopplysninger i forsikringsbransjen. Konsesjonsvilkårene er ennå ikke utarbeidet, men arbeidet med å utvikle disse vil starte og fullføres tidlig i 2003. Også pensjonskasser vil omfattes av konsesjonsplikten, da mange av disse faller inn under den samme lovgivningen som forsikringsbransjen for øvrig.
Fødselsnummer
Datatilsynet har tidligere vært i dialog med bransjen i forhold til bruk av fødselsnummer ved innhenting av pristilbud på skadeforsikring, særlig bilforsikring. Denne dialogen er tatt opp igjen. Datatilsynet er av den oppfatning at bransjen ikke har et saklig behov for den potensielle kundens fødselsnummer på et så tidlig stadium av prosessen. Bransjen derimot hevder at fødselsnummer er nødvendig, da risikovurdering er aktuelt allerede på dette tidspunkt, for å kunne gi kunden et reelt tilbud. Videre fremhever bransjen at bruk av fødselsnummeret effektiviserer kundeadministrasjonen i starten av kundeforholdet.
Samtykkemaler
I et åpent møte med bransjen ble utforming og bruk av samtykkemaler diskutert. Det blir stort sett benyttet standardmaler, som oppfyller lovens krav til samtykke. Datatilsynets inntrykk er likevel at bransjens fremgangsmåte ved innhenting av personopplysninger ikke alltid er i samsvar med kravene i personopplysningsloven.
1.4.6 Kommersialisering og internett
Det fremmes i økende grad ønsker om å kunne publisere opplysninger fra offentlige registre på Internett, som regel ut fra kommersielle interesser. Datatilsynet er prinsipielt imot at opplysninger om personer som i henhold til lov er underlagt registreringsplikt, benyttes til andre, og kommersielle formål.
Ved siden av den årlige debatten omkring publisering av skattelister på Internett, er det to saker fra meldingsåret som illustrerer denne problemstillingen:
1.4.6.1 Forslag til ny GAB-forskrift
I et forslag til ny GAB-forskrift ble det foreslått vidtgående endringer når det gjelder bruk av det eksisterende GAB-registeret (grunneiendommer, adresser og bygninger). Forslaget innebærer at opplysninger fra GAB-registeret skal kunne brukes til direkte markedsføring. I tillegg ble det foreslått at opplysninger fra registeret også kan publiseres på Internett, uten begrensninger i tilgangen. Disse nye bruksområdene berører helt grunnleggende prinsipper knyttet til vern av enkeltindividers personlige integritet.
Det er et viktig personvernprinsipp at den enkelte i størst mulig grad skal ha oversikt over opplysninger om seg selv. Bruk av GAB-opplysninger til kommersielle formål vil svekke den enkeltes mulighet til å beholde en slik oversikt. Dette hensynet er særlig tungtveiende når behandlingen av personopplysningene ikke er basert på den enkeltes selvbestemmelsesrett. Etter Datatilsynets vurdering er opplysningene i registeret av en slik karakter at disse ikke kan benyttes som grunnlag for markedsføring, uten at den registrerte har gitt sitt aktive samtykke til det.
Når det gjelder forslaget om publisering på Internett minner Datatilsynet også om faren for at opplysninger om eiendommer, adresser og bygninger kan benyttes til kriminelle formål, dersom de blir åpent tilgjengelig på Internett. Dersom opplysningene skal publiseres på Internett bør det derfor etableres en form for autorisasjon, som sikrer at innsyn bare gis til de som antas å ha et legitimt behov.
1.4.6.2 Utlegging av personopplysninger i Småbåtregisteret på Internett
Datatilsynet mottok en henvendelse fra Østfold tolldistrikt som ønsket å publisere opplysninger fra Småbåtregisteret på Internett, idet de viste til offentlighetsprinsippet.
Begrepet «offentlig» ble vektlagt også fra Datatilsynets side. Det at opplysninger er offentlige, er ikke det samme som at disse også skal gjøres elektronisk søkbare på Internett. Videre ble det presisert at utgangspunktet må være at offentlige registre, hvor enkeltindivider er pliktig til å være registrert, bare skal brukes til formål de er samlet inn for. En annen utnyttelse av registreringspliktige opplysninger må være klart forankret i lovgivningen.
1.4.6.3 Noen sentrale prinsipper
Noen helt sentrale prinsipper i personvernet må være styrende når det fremmes ønsker om å gjøre kommersiell bruk av opplysninger fra offentlige registre, eller gjøre disse tilgjengelige på Internett:
Prinsippet om formålbestemthet.
Personopplysninger skal bare benyttes til uttrykkelig angitte formål, som er saklig begrunnet i den behandlingsansvarliges virksomhet. Et sentralt grunnkrav må være at opplysninger i offentlige registre hvor enkeltindivider er pliktig til å være registrert, bare skal brukes til det formålet de er samlet inn for.
Kontroll med egne opplysninger.
Den enkelte skal i størst mulig grad kunne ha oversikt over opplysninger om seg selv. Kommersialisering svekker den enkeltes mulighet til å beholde en slik oversikt. Dette hensynet må være særlig tungtveiende når den opprinnelige behandlingen av personopplysninger ikke er basert på den enkeltes rett til selvbestemmelse.
Graden av offentlighet.
At opplysninger er offentlige er ikke det samme som at disse også skal gjøres elektronisk søkbare på Internett. Det er en kvalitativ forskjell i hva som ligger i begrepet «offentlig» når opplysningene skal være tilgjengelig på Internett, sammenlignet med dokumentinnsyn på offentlige kontorer.
Hjemmel i lov.
Kommersialisering og internettpublisering av opplysninger fra offentlige registre som er underlagt registreringsplikt, må forutsette en klar hjemmel i lov.
1.4.7 Bruk av overskuddsinformasjon
Datatilsynet mottok flere klager i forbindelse med at mange sosialkontor rutinemessig krever detaljerte kontoutskrifter fra klienter, som en del av dokumentasjonen for utbetaling av sosialstøtte.
Tilsynet mener at sosialkontorene er for nærgående når de behandler detaljerte opplysninger om hvor, når og for hvilket beløp sosialklienten har betalt varer og tjenester de siste tre månedene. Betalingstransaksjoner kan innholde sensitive personopplysninger, som for eksempel at det er betalt for spesielle helsetjenester. Imidlertid vil også tilsynelatende trivielle opplysninger kunne virke unødig krenkende å måtte avgi til sosialkontoret.
Det er et grunnkrav i personopplysningsloven at all behandling av personopplysninger skal være saklig begrunnet og relevant ut fra formålet. Dette skal hindre at det innhentes og benyttes overskuddsinformasjon. Dersom formålet eksempelvis er å avdekke om sosialklienten har andre inntekter, så skal innhentingen kun omfatte opplysninger om akkurat det. Opplysninger ut over innskuddsbeløp på kontoutskriften vil i en slik sammenheng være å anse som overskuddsinformasjon, som det ikke foreligger en saklig begrunnelse for å hente inn.
Betaling med kort er blitt stadig mer vanlig de siste årene, noe som nødvendigvis medfører at kontoutskrifter bli mer og mer detaljerte. Datatilsynet mener derfor at man bør etablere andre rutiner for dokumentasjon dersom det for eksempel er nødvendig at klienten godtgjør at regninger er betalt. Datatilsynet har derfor anmodet Sosialdepartementet om at det umiddelbart bør utformes klare retningslinjer for i hvilke tilfeller sosialtjenesten kan innhente kontoutskrifter.