2 Personvernnemndas årsmelding 2004
2.1 Samandrag
Dette er Personvernnemndas fjerde årsmelding, og representerer det siste året i nemndas første periode.
I løpet av 2004 har det komme ni klagar, av desse er tre ferdigbehandla. Samtidig er tre klagar frå 2003 ferdigbehandla. Nemnda begynner å få eit visst erfaringsgrunnlag. Klagesaker er sjølvsagt konkrete, men fleire av dei har likevel vore prinsipielle.
Av dei i alt seks sakene som blei ferdigbehandla Personvernnemnda i 2004, er Datatilsynets vedtak omgjort heilt eller delvis i tre av sakene. Blant klagesakene vil det naturleg nok vere ein forholdsvis stor del der det knyter seg tvil til tolkinga av føresegnene i personvernlovgivinga eller dei vurderingar dei føreset. Personvernnemnda søkjer å ha for auga at dei konkrete vedtaka også skal medverke til ei avklaring av gjeldande rett.
2.2 Innleiing
Personvernnemnda er oppretta med heimel i lov om behandling av personopplysninger av 2000:31. Loven trådde i kraft 1. januar 2001 og Personvernnemnda skal behandle klager på vedtak som Datatilsynet fattar etter personopplysningsloven. Personvernnemnda skal også behandle klager på vedtak som Datatilsynet fattar etter helseregisterloven (2001:24).
Personvernnemnda er eit uavhengig forvaltningsorgan administrativt underlagt Kongen og Moderniseringsdepartementet.
Personvernnemndas arbeid blir regulert av personopplysningsloven, forskrifter til denne, samt ein instruks som Moderniseringsdepartementet (tidlegare Arbeids- og administrasjonsdepartementet) har utarbeidd. Forvaltningsloven og offentlegloven kjem også til bruk som for forvaltninga elles.
Sjølv om Moderniseringsdepartementet har utarbeidd instruks, inneber dette ikkje noka form for instruksjonsrett i enkeltsaker. Departementet kan heller ikkje gi generelle instruksar om lovtolking eller skjønnsutøving.
Personvernnemnda skal kvart år orientere Kongen om behandling av klagesakene.
2.3 Medlemmer
Personvernnemnda har sju medlemmer som blir oppnemnde for fire år med høve til oppnemning for ytterlegare fire år. Første gongs oppnemning skjedde i 2001. Personvernnemndas leiar og nestleiar blir oppnemnde av Stortinget, mens dei andre medlemmer blir utnemnde av Kongen.
PVN er samansett av desse personane:
Jon Bing, leiar
Gro Hillestad Thune, nestleiar
Per Anders Stalheim
Dag Elgesem
Siv Bergit Pedersen
Sidsel Rogde
Hanne I Bjurstrøm
I tillegg er det oppnemnt personlege vararepresentantar.
2.4 Andre organisatoriske forhold
Sekretariatet har i 2004 vore advokat Camilla Sivesind Tokvam, avtalen gjeld fram til august 2005.
Personvernnemnda held sine møte i lokale utanfor Datatilsynet og Regjeringskvartalet for å markere sjølvstende.
Personvernnemnda har ei eiga heimeside, www.personvernnemnda.no, der blant anna vedtaka er publiserte. Heimesida har lenke frå Datatilsynets heimeside, og lenker til personvernrelatert materiale tilgjengeleg på Nettet. Jamvel om det totale talet vedtak ikkje er stort, er det oppnådd semje med Lovdata om at vedtaka også skal leggjast inn i ein egen database lenka til det andre dokumenterte materialet. Dermed kan ein brukar lett slå opp på Personvernnemndas vedtak ved oppslag på paragraf i personopplysningsloven, andre lovar, dommar mv. som vedtaka viser til.
I 2004 har Personvernnemnda arbeidd med eit prosjekt for sikker e-post-utveksling mellom medlemmene og sekretariatet. Prosjektet var venta ferdig i 2004, men har mått utsetjast etter at leverandøren som var vald (Posten) terminerte den tenesta som ein hadde planar om å nytte.
2.5 Møte og seminar i 2004
Personvernnemnda har i 2004 hatt i alt ni møte. Møta blei i hovudsak nytta til å behandle klagesaker, men også administrative forhold som arbeidsform og saksbehandling, pluss vurdering av budsjett og budsjettforslag for 2005, er blitt behandla i møta. I tillegg til nemndsmøte har det vore førebuande møte med sekretariatet og ein eller fleire medlemmer, samt enkelte tilsvarande møte i samband med behandling av klagesaker.
Personvernnemnda har hatt to møte med Moderniseringsdepartementet.
Nestleiar Gro Hillestad Thune, medlem Hanne I. Bjurstrøm og sekretæren Camilla S. Tokvam deltok på den internasjonale konferansen for datatilsynsmyndigheiter i Wroclaw - Polen, 14. – 17. september 2004.
Personvernnemnda ytte økonomisk støtte til ”Personvernkonferansen 2004”, som blei arrangert av Avdeling for forvaltningsinformatikk, Universitetet i Oslo. Om budsjettsituasjonen tillet det, tek Personvernnemnda sikte på å medverke til at det kvart år kan haldast ein slik fagleg konferanse for diskusjon av aktuelle personvernspørsmål. Utover det økonomiske bidraget og ei generell utsegn om kva hovudemne som interesserer Personvernnemnda, har nemnda ikkje noko med sjølve arrangementet å gjøre. Det blir lagt vekt på at dette skal vere eit ope, fagleg forum. Personvernnemndas medlemmer deltek på konferansen, men det er semje om at ein skal vere tilbakehalden med der å gi uttrykk for haldningar til faglege spørsmål i tråd med Personvernnemndas ønske om å reindyrke rolla som klageorgan.
Konferansen tok sikte på å kaste lys over personvern og forsking, inkludert diskusjon av sentrale rettsreglar som styrer korleis forskaren bruker personopplysningar.
2.6 Klagesaksbehandling
Personvernnemnda mottok i 2004 totalt ni klagesaker. Tre av disse var ferdigbehandla ved utgangen av året. Oversikt over vedtak, og sjølve vedtaka er lagde ut på Personvernnemndas heimesider, i tillegg til at vedtaka blir sende elektronisk over til Datatilsynet som publiserer desse på sine eigne heimesider.
Talet på saker i 2004 har auka med ei sak i forhold til 2003. Erfaringane frå Justisdepartementet som var klageorgan under den tidlegare personregisterloven kan tyde på eit årleg tal på ca 10 - 12 saker. Ved inngangen til 2005 fekk Personvernnemnda oversendt åtte nye saker, det er derfor grunn til å gå ut frå at det vil skje ein auke relativt sett i dette året, minst opp til det nivået som Justisdepartementet sine erfaringar tilseier.
Saker som er behandla i 2004 er:
Klage på Datatilsynets vedtak om vilkår om samtykke for konsesjon for delstudie 1 og 2 - Statens Arbeidsmiljøinstitutt - STAMI
Sak nr. 2004-01 STAMI: Saka gjeld ein klage frå Statens Arbeidsmiljøinstitutt (STAMI) i samband med ein oppfølgingsstudie om kreft og lungesjukdommar blant tilsette i norsk silisiumkarbidindustri. Hovudspørsmålet er om det skal vere krav om informert samtykke for å tillate oppfølgingsstudien, eller om denne kan baserast på ei av grunngivingane for at tiltaket er nødvendig, jf. personopplysningsloven § 11 jf. §§ 8 og 9. Med utgangspunkt i personopplysningsloven § 11, peiker Personvernnemnda på at for sensitive opplysningar må både vilkåra i § 8 og i § 9 i personopplysningsloven vere oppfylte. Av dei tre alternative grunngivingane i personopplysningsloven § 8 sluttar Personvernnemnda seg til Datatilsynets tolking av loven, som gir samtykke prioritet. Men Personvernnemnda tolkar loven slik at dersom det ligg føre tilstrekkelig grunngiving for å avvike frå hovudregelen, kan dette gjerast. Ei slik grunngiving finn Personvernnemnda i den konkrete saka i omsynet til kvaliteten på undersøkinga. Når personopplysningsloven § 8 er tilfredsstilt, må ein så avgjere om også vilkåra etter personopplysningsloven § 9 er til stades. Personvernnemnda gjer ei konkret vurdering av saka, og finn at i dette tilfellet vil samfunnets interesse av at behandlinga skjer, klart overstige ulempene denne kan medføre for kvar enkelt, jf. 9, 1.ledd litra h. Etter dette blir klagen å ta til følgje.
Klage på Datatilsynets vedtak om vilkår om samtykke til at ein framleis kan lagre opplysningar frå prosjektet ”Helse- og stressreaksjoner hos oljearbeidere i Nordsjøen” - NTNU
Sak nr. 2004-02 NTNU: Etter Alexander Kielland-ulykka i 1980 blei det i 1984-85 gjennomført ei undersøking blant dei overlevande basert på munnleg samtykke frå dei overlevande og skriftleg samtykke frå ei kontrollgruppe. Det er fleire gonger søkt om konsesjon for vidare lagring med sikte på ei oppfølgingsundersøking, den siste konsesjonen (gitt etter personregisterloven) gjekk ut i 2002. Ny søknad blei lagd fram i januar 2004. Datatilsynet gav delvis avslag, og kravde at det blei henta inn skriftleg samtykke frå dei registrerte innan 1. juni 2004. Klagaren ønskte først å innhente samtykke i samband med igangsetjing av oppfølgingsstudien, og lagring for eit lengre tidsrom. Personvernnemnda gav løyve til at lagringa heldt fram til det låg føre eit vedtak i nemnda. Klagen blei teken til følgje. Personvernnemnda tillet lagring inntil seks månader frå datoen for vedtaket. Før oppfølgingsprosjektet blir sett i gang, må tilfredsstillande samtykke innhentast. Personvernnemnda fann at føresegna om tvingande grunn i personopplysningsloven § 8 litra d her kunne nyttast, og at samfunnet sine interesser var klart større enn ulempene for kvar enkelt i dette tilfellet, jf. personopplysningsloven § 9 litra h. Saka blei send tilbake til Datatilsynet, som har kompetanse etter personopplysningsloven § 33 til å gi konsesjon.
Klage på Datatilsynets vedtak om at Postens utleige av adresselister ikkje kan forankrast i personopplysningsloven § 8 litra f – Posten Norge AS
Sak nr 2004-03 Posten. Posten har eit register over dei fleste privatpersonar som bur i Noreg (PMS). Posten ønskjer å leige ut adresselister frå dette registeret. Det blei foreslått tiltak, særleg eit eige reservasjonsregister, for å dempe ulempene for personvernet til den registrerte. Personvernnemnda fann at teiepliktføresegna i postloven § 13 ikkje var til hinder for slik gjenbruk. Nemnda fann likevel at gjenbruk ikkje hadde heimel i personopplysningsloven § 11, 1.ledd litra c fordi formålet ved utleige av adresselistene var uforlikeleg med registrering av opplysningane for formidling av postsendingar. Slik gjenbruk kravde derfor samtykke. Personvernnemnda tolka personopplysningsloven slik at det i ein slik situasjon ikkje skal leggjast strengare krav til gjenbruk enn til første gongs bruk, og vurderte derfor om bruken kunne heimlast i personopplysningsloven § 8 litra f. Personvernnemnda kom til at den forretningsmessige interessa til Posten var rettkomen etter denne føresegna, men fann ved å vise til forarbeida at denne forretningsmessige interessa ikkje kunne vege tyngre enn den registrerte si interesse i privatlivets fred og personvern.
Klage på Datatilsynets vedtak om å nekte konsesjon for å gjere ferdig forskingsprosjektet "Suicidal atferd i Bergensområdet"
Sak nr 2004-04. Klagaren har på grunnlag av ein konsesjon frå 1983 følgt ei gruppe på 470 personar som alle var innlagde for sjølvpåførte skadar. Ved ein ny konsesjon frå 1997 blei det gitt samtykke til kopling til Dødsårsaksregistret. Datatilsynet fann at det samtykke som i si tid blei innhenta, ikkje oppfylte krav til informert samtykke i personopplysningsloven § 2 nr 7. Klager fremja søknad om ny konsesjon etter at overgangsordninga i personopplysningsloven hadde gått ut. På denne bakgrunnen behandla ikkje Datatilsynet søknaden, men uttalte seg likevel om realiteten. Personvernnemnda valde å behandle klagen som søknad om ny konsesjon, og fann at prosjektet kan byggje på føresegna om tvingande grunn i personopplysningsloven § 8 litra d, og at vilkåra i personopplysningsloven § 9, 1.ledd litra h var tilfredsstilt. Etter dette blei klagen teken til følgje. Fråsegn om at opplysningar om avdøde personar fell utanfor loven sitt område. (Ferdigbehandla i 2005)
Klage på Datatilsynets vedtak om konsesjon for behandling av personopplysningar i kredittopplysningsverksemd - Norske Kredittopplysningsbyråers Forening (NKF)
Sak nr. 2004-05 NKF. Klage på konsesjon frå Norske Kredittopplysningsbyråers Forening (NKF). Klagen knytte seg til fleire punkt i konsesjonen.
Personvernnemnda drøftar spørsmålet om kva tidspunkt som skal leggjast til grunn for registrering av inkassoopplysningar. Her deler nemnda seg i eit fleirtal og et mindretal. Fleirtalet meiner at ein først kan tillate at ei fordring blir registrert når det er teke rettslege steg for å drive inn fordringa, og sluttar seg slik til det synet som ligg til grunn for Datatilsynets vedtak.
Når det gjeld slettefrist for fordringar som er gjorde opp, meiner Personvernnemnda at dei skal slettast straks dei er gjorde opp, og sluttar seg også her til Datatilsynets vedtak.
Når det gjeld behandling av personopplysningar ved berekning av nyetablerte føretak i tida fram til første rekneskap er offentleg tilgjengeleg, gir Personvernnemnda klagaren medhald i at ein skal kunne basere seg på opplysningar om dei nøkkelpersonar som står bak føretaket, når ein rangerer kor kredittverdig føretaket er.
Når det gjeld frist for sletting av opplysningar om misleghaldne fordringar når foreldinga blir avbrote ved at det blir teke rettsleg skritt, får klagaren medhald på eitt punkt, nemlig at det ikkje blir innført noka beløpsgrense. Dermed blir det lov å registrere fordringar som ikkje kan resultere i tvangsforretningar for nye fire år når det blir teke nye rettslege steg innanfor den første fireårsfristen. (Ferdigbehandla i 2005)
Klage på Datatilsynets vedtak om at Ullevål Universitetssjukehus ved personvernombodet ikkje sjølv får oppbevare koplingsnøklar for forskingsprosjekt
Sak nr. 2004-06 UUS. Ullevål Universitetssjukehus (UUS) klaga på eit vilkår i konsesjon for "Etterundersøkelse av pasienter innlagt for selvpåført forgiftning". Datatilsynet stilte som vilkår at et koplingsregister for pseudonym for dei registrerte blei oppbevart eksternt. UUS meinte koplingsregisteret kunne oppbevarast av personvernombodet ved sjukehuset. Personvernnemnda slutta seg til Datatilsynets vurdering om at eit slikt register bør oppbevarast eksternt, bl.a. fordi personvernombodet i prinsippet kan instruerast av leiinga ved UUS. Det blei også gitt ein generell tilslutnad til Datatilsynets syn om at slike oppgåver ikkje burde leggjast til eit personvernombod. (Ferdigbehandla i 2005)
Klage på Datatilsynets vedtak om at Telenor Mobil må slette personopplysningar om tidlegare kundar
Sak nr 2004-07 Telenor Mobil. Telenor Mobil ønskte å lagre enkelte opplysningar (namn, adresse, fødselsdato, tidlegare telefonnummer og nytta teneste) om kundar med avslutta kundeforhold også etter at kundeforholdet var avslutta. Ut frå erfaring vil ein del av desse seinare ønskje å gjenopprette kundeforholdet, og Telenor Mobil ville bruke opplysningane som bakgrunn for å hjelpe kunden. Opplysningane blei ikkje brukte til andre formål. Personvernnemnda meinte at det var nærliggjande at kundar qua forbrukarar føresette at den tidlegare leverandøren "hugsa" telefonnummer, kva slags type abonnement ein hadde hatt mv. Nemnda fann at lagringa av opplysningane i liten grad svekkjer personvernet til den registrerte, og at Telenor Mobil hadde ei rettkomen interesse i lagringa, jf. personopplysningsloven § 8 litra f. Klagen blei teken til følgje. (Ferdigbehandla i 2005)
Klage på Datatilsynets vedtak om at Bakehuset Kafé AS ikkje får oppretthalde fjernsynsovervaking av butikklokala i noverande omfang
Sak nr 2004-09 Bakehuset. Ein kafé overvakte arbeidsplassen ved hjelp av videokamera. Etter diskusjon mellom Datatilsynet og kafeen var det semje om bruk av slike kamera. I ettertid blei det montert ytterlegare to kamera. Det var semje om at ei viss overvaking kan tillatast etter føresegna om tvingande grunn i personopplysningsloven § 8 litra b jf. personopplysningsloven § 37, 1.ledd. Personvernnemnda slutta seg til Datatilsynet i at det må finnast ei grense for kor intensiv overvaking som kan tillatast på ein arbeidsplass, og opprettheldt vedtaket som gjekk ut på at dei to siste kameraa måtte fjernast. (Ferdigbehandla i 2005)
Vedtaka er lagde ut på Personvernnemndas heimeside, http://www.personvernnemnda.no. Inntrykket av klagesakene er at endå om dei alle er konkrete, kan ein likevel peke på eitt hovudtrekk:
Spørsmål kring forsking og personvern er vanskelige. To av sakene dreier seg om medisinske forskingsprosjekt og forholdet til samtykke. Personvernnemnda har lagt vekt på den samfunnsinteresse som forskingsprosjekt representerer. Det er også uttalt kva omsyn som må vere til stades for at ein kan avvike frå å bruke samtykke som behandlingsgrunn, bl.a. omsynet til kvaliteten av opplysningane som er henta inn.
Personvernnemnda har gitt uttrykk for bekymring i forhold til saksbehandlingstida. Eit kollektivt organ vil vere avhengig av felles diskusjonar for å komme fram til avgjerder, og det vil av og til bli nødvendig å diskutere formuleringa av avgjerda i fleire møte. Det er også nødvendig å la klagaren få lov til å uttale seg etter at klagen er motteken. At ikkje fleire saker av dei som er mottekne i 2004 blei ferdigbehandla innan året gjekk ut, har si hovudforklaring i at dei blei mottekne på hausten, og derfor ikkje kunne førebuast til vedtak før året var omme. Personvernnemnda har ikkje motteke fråsegner som kan tolkast dit at ein meiner saksbehandlingstida er for lang, men nemnda sjølv har forholdet under oppsikt og vil søkje å treffe tiltak for at det ikkje skjer noka opphoping av saker.
2.7 Rekneskap og budsjett for 2004
Personvernnemnda hadde i 2004 ei budsjettramme på kr 1.198.796, som kjem fram under kap 1500 Arbeids- og administrasjonsdepartementet i statsbudsjett for 2004.
Totalt forbruk: kr 1.037.131. Personvernnemnda disponerte løyvinga til innkjøp av nødvendig litteratur, utstyr, tenester, drift og oppdatering av heimesider, gjennomføring av seminar, deltaking på konferanse for tilsynsmyndigheiter, arbeidsgodtgjersle og reisegodtgjersle til medlemmene i nemnda, godtgjersle til sekretariat og leige av møtelokale.
Oslo 4. april 2005
For Personvernnemnda
Jon Bing (leiar)