1 Datatilsynets årsmelding 1999
Styrets beretning for 1999
Styret hadde syv styremøter i 1999. Styret har behandlet 12 saker. I tillegg er 59 saker lagt frem til orientering.
Alle klagesaker til Justisdepartementet behandles av styret. Av de 12 sakene styret behandlet var ni saker klagesaker. Seks av klagesakene ble sendt over til Justisdepartementet som klageinstans. I en klagesak ble administrasjonens vedtak omgjort av styret etter forslag fra administrasjonen. I to saker tok styret klagen delvis til følge.
De fleste klagesakene gjelder helt eller delvis avslag på søknad om konsesjon for opprettelse av personregister. Noen av klagesakene har reist spørsmål av større rekkevidde eller av prinsipiell betydning. Blant disse nevnes klager fra to forsikringsselskaper over konsesjonsvilkår for føring av kunderegister i forsikring og klage fra Telenor over avslag på søknad om publisering av telefonkatalogens hvite sider på Internett.
Ut over klagesakene har styret behandlet saker av prinsipiell rekkevidde for personvernet, herunder høringsuttalelser.
Styret har vedtatt årsplan for styrets virksomhet. I henhold til årsplanen har styret i løpet av 1999 gjennomgått virksomheten innen de enkelte avdelinger og fagområder med presentasjon og gjennomgåelse av vesentlige og prinsipielle spørsmål.
Styret har fulgt arbeidet med forslag til ny personopplysningslov og de endringer lovforslaget vil medføre for Datatilsynets virksomhet. Styret har gjennomført et fagseminar om lovforslaget, hvor en representant fra Justisdepartementet var til stede.
Styret fører to protokoller fra styremøtene, en vedtaksprotokoll og en referatprotokoll. Vedtaksprotokollen er offentlig etter offentlighetsloven. Etter styrets vedtak er også referatprotokollen offentlig.
Regine Ramm Bjerke
Leder i Datatilsynets styre
Styret i Datatilsynet har hatt følgende sammensetning i 1999:
Advokat Regine Ramm Bjerke, formann (varamedlem byrettsdommer Nina Opsahl)
Art director Marianne Voll, nestleder (varamedlem konsulent Berit Opedal Windheim)
Sjefslege Jan Olav Johannessen (varamedlem yrkeshygieniker Bjørn Erikson)
Prosjektleder Jennifer Akselsen (varamedlem advokat Wenche Flavik)
Administrasjonssjef Roar Svartberg (varamedlem adm.direktør Per Rosenblad Brun)
Sorenskriver Roald Tørrissen (varamedlem kinosjef Egil Akselsen)
Kontorsjef Anne Lise Holøs (varamedlem kontorsjef Inger Gjesdahl)
Styret er oppnevnt for perioden 30. april 1998 til 1. april 2000.
Datatilsynets direktør om virksomheten i 1999
Også virksomhetsåret 1999 ble i betydelig grad preget av arbeidet med og forventninger knyttet til ny lov. Odelstingsproposisjon nr 92 (1998-99) Om lov om behandling av personopplysninger (personopplysningsloven) ble fremmet i statsråd den 25. juni i meldingsåret. Den tar sitt utgangspunkt i utredningen fra det såkalte «Skaugeutvalget» publisert i NOU 1997:19.
Det er Datatilsynets oppfatning at Regjeringen har funnet frem til en rimelig avveining av de hensyn som skal vektlegges når legitime samfunnsinteresser og den enkelte borgers behov for beskyttelse av privatssfære og integritet ikke er fullt ut parallelle og en avstemming skal finnes - ofte av Datatilsynet.
Hensynet til et fritt, offentlig ordskifte innebærer at det journalistiske arbeidet i betydelig utstrekning er unntatt fra lovens regler. Det er grunn til å tro at dette er med på å forklare hvorfor lovforslaget som helhet, eller de enkelte bestemmelser i det, ikke utløste noen offentlig debatt.
Administrasjonens mer konkrete planlegging av overgang til ny lov har nødvendigvis måttet skje uten kjennskap til lovgivers vektlegging av fremtidens oppgaver og virkemidler, viten om forskriftsverkets materielle innhold og ressurser stilt til rådighet. Det er imidlertid et sterkt ønske at tiden fra Stortingets vedtak til ikrafttreden, blir så kort som overhodet mulig og at en lengre periode med dobbelt regime unngås.
I en sak ført for Asker og Bærum herredsrett i september 1999, ble viktige prinsipper knyttet til innhenting, oppbevaring og bruk av materiale egnet for genetisk forskning berørt og belyst. Saken gjaldt spørsmålet om en genforsker som skiftet arbeidsplass fra Ullevål sykehus til Rikshospitalet kan ta med seg sitt prosjektmateriale.
Rettens vektlegging av graden av nærhet i relasjonen mellom informant/donor og forsker fikk betydning for sakens utfall. Samtykket som var gitt ble tolket som en tillatelse for en bestemt forskeridentitet og ett oppgitt formål, og ikke som en personuavhengig generalfullmakt gitt til en institusjon.
Domspremissene har også betydelig interesse for den generelle debatten om temaet:»kan opplysninger innhentet for ett formål uten samtykke benyttes til et annet» ?
På slutten av året vakte Datatilsynets standpunkt til den fremtidige forvaltning av Sentralkartoteket for åndssvake betydelig medieoppmerksomhet etter at tilsynet hadde tilkjennegitt som sin mening at registret bør makuleres. Registeret ble opprettet i 1948 og tilført opplysninger fra institusjoner der pasientene oppholdt seg. Hensikten var å sette helsemyndighetene istand til å organisere, planlegge og utvikle et egnet helsetilbud til denne kategorien syke.
Innvendingene mot slettingen baserer seg ikke på at registeret likevel har betydning for sitt opprinnelige formål, men at det representerer interessant, historisk materiale. Dessuten at registret kan benyttes som dokumentasjon av feildiagnostisering og feilinnleggelse hvilket i sin tur kan begrunne erstatning på basis av billighet.
Noen avklaring hadde ikke funnet sted ved meldingsårets utgang.
Datatilsynets virksomhetsår har ellers vært preget av mange spennende og interessante, men ofte meget komplekse spørsmål knyttet til personvernet. Både jurdisk og teknologisk side blir berørt. Denne årsmeldingen presenterer flere slike saker.
Sakene gjenspeiler behovet for en instans som Datatilsynet, som med fagkunnskap kan vurdere de ulike personvernfaglige sidene i de spørsmål som oppstår som konseskvens av en rask teknologisk og samfunnsmessig utvikling.
Georg Apenes
Direktør i Datatilsynet
Virksomheten i 1999
Personregisterloven ble vedtatt i 1978 og trådte i kraft i 1980. Datatilsynet ble etablert 1. januar 1980. Datatilsynet skal sikre gjennomføringen av personregisterloven. Loven skal beskytte de individrettede og samfunnsorienterte personvernhensyn. Personregisterloven setter rammene for Datatilsynets virksomhet.
Virksomheten kan summeres opp i tre hovedoppgaver:
Datatilsynet skal behandle og avgjøre søknader om konsesjon for personregistre og virksomheter som er konsesjonspliktige etter loven.
Datatilsynet skal kontrollereat lover og forskrifter som gjelder for bruk av personopplysninger overholdes.
Datatilsynet skal informereom personvern og sikring av data og om de reglene som gjelder for personregistre
Avgjørelser av prinsipiell og overordnet betydning for problemstillinger innen personvern som tas av Datatilsynets styre, vil også være retningsgivende for tilsynets arbeid.
I 1999 hadde Datatilsynet 22 faste stillingshjemler. Stillingene er fordelt på direktør, administrativ seksjonssjef med fem personer i staben, juridisk seksjonssjef og ni jurister, seksjonsjef for sikkerhet og to teknologer, og informasjonsseksjonen med informasjonssjef og web-redaktør.
Datatilsynet har et generelt behov for økte bevilgninger for å kunne imøtekomme nye utfordringer. Nye og andre personvernproblemstillinger i samfunnet fører til at arbeidsoppgavene blir mer sammensatte og utfordrende, men også mer krevende. Den raske utviklingen innen informasjonsteknologien byr på spennende og samtidig kompliserte problemstillinger for personvernet og Datatilsynet. Behandlingstiden, som normalt er på seks uker, kan øke i enkelte tilfeller fordi saksmengden blir mer kompleks og mangfoldig.
Datatilsynet vil påpeke ressursbehovet knyttet til vedlikehold og oppdatering av jurdisk, teknologisk og informasjonsfaglig kompetanse.
I 1999 var bevilgningen til Datatilsynet på 11 297 mill kroner mot 10 786 mill kroner i 1998.
Hurtigsvarprosjekt (HS)
Datatilsynet har i meldingsåret arbeidet med omfattende tiltak for å få ned saksbehandlingstiden på kurante saker. Et såkalt hurtigsvarprosjekt (HS) ble satt ned. Resultatet er at omfattende saker behandles med en saksbehandlingstid på ordinært mellom seks til åtte uker, mens helt enkle, kurante saker som ofte kan besvares med standardskriv, nå har en gjennomsnittlig behandlingstid på fire uker.
Økonomiforvaltning
Økonomireglementet for staten med tilhørende funksjonelle krav trådte i kraft 10. januar 1997. Datatilsynet har inngått avtale om bruk av Skattefogden i Akershus som regnskapssentral. Datatilsynet gikk over på Statens konsernkontoordning fra 1. april 1999. Datatilsynet har organisert økonomifunksjonen i henhold til reglementet og det er innført rutiner slik at økonomireglementets krav og krav satt i økonomiinstruksen gitt av Justisdepartementet, er oppfylt.
Arbeidsmiljø
Datatilsynet er en relativt liten organisasjon som preges av medarbeidernes engasjement i virksomhetens mange problemstillinger. Miljøet er nokså homogent og har høyt utdanningsnivå. Datatilsynets ansatte er fordelt på tretten kvinner og ni menn.
Datatilsynet har tre fagorganisasjoner som aktivt deltar i planleggingsarbeidet og utviklingen av organsiasjonen og miljøet.
To ansatte har i 1999 vært i svangerskapspermisjon.
I 1999 har Justisministeren hentet to politiske rådgivere fra Datatilsynets juridiske seksjon. I tillegg ble en av Datatilsynets jurister engasjert i Sivilavdelingen i Justisdepartementet i løpet av året, for å arbeide med forskrifter til personopplysningsloven.
Fellesfunksjoner
Det har også i 1999 vært lagt vekt på å utvikle administrative fellesfunksjoner for alle seksjoner. Målet er å effektivisere og tilrettelegge for at alle oppgaver knyttet til saksbehandling, kontroll og informasjon kan gjennomføres på en tilfredsstillende måte. Administrativ seksjon har store og viktige oppgaver innen arkivspørsmål, tekniske løsninger og effektivisering av rutiner. Arbeidet med innføring av ny personopplysningslov vil prege framdriften på disse områdene også i 2000.
Saksbehandling
Datatilsynet har definert mål for virksomheten med utgangspunkt i personregisterloven. Det overordnede målet for Datatilsynet er å ivareta og styrke personvernet.
Målsettingen skal gjenspeiles i de oppgaver Datatilsynet prioriterer hvert år og som beskrievs i den årlige virksomhetsplanen. Behandling av saker, kontrollvirksomhet, informasjonsarbeidet og arbeidet med ulike prosjekter er viktige virkemidler for å nå målene Datatilsynet setter for sin virksomhet.
I 1999 prioriterte Datatilsynet de ulike deler av saksbehandlingen på følgende måte:
Besvare henvendelser fra publikum (muntlig/skriftlig)
Behandle søknader om konsesjoner
Fatte enkeltvedtak som ikke ender i konsesjon eller endring av konsesjon
Drive kontrollvirksomhet
Skrive høringsuttalelser
Delta i utvalgs- og komiteearbeid
Saksmengden er mangfoldig
Datatilsynet bruker flest ressurser på behandling av søknader om konsesjon for å opprette personregister eller å drive konsesjonspliktig virksomhet. De siste årene har vært preget av at sakene er færre, men mer komplekse og at problemstillingene har blitt flere og mer sammensatte enn i tidligere år. I 1999 ble det registrert innkommet 9 847 dokumenter. Tilsvarende tall for 1998 var 10 107 dokumenter.
Konsesjon til personregister
Et personregister er en samling personopplysninger som er lagret slik at de registrerte kan identifiseres. Registre over næringsdrivende og firmaer omfattes også av personregisterloven. Et eksempel på personregister er registre sortert etter navn. Et register sortert etter bilnummer eller telefonnummer er også et personregister fordi identifisering er mulig.
Det må søkes om konsesjon fra Datatilsynet for å opprette edb-baserte personregistre. Det kreves også konsesjon for å opprette manuelle personregistre som inneholder sensitive personopplysninger. Sensitive personopplysninger er opplysninger om rase, politisk eller religiøs oppfatning, opplysninger om at en person har vært mistenkt, tiltalt eller dømt for straffbare forhold, helseforhold eller misbruk av rusmidler, seksuelle forhold, andre opplysninger som gjelder familieforhold utenom opplysninger om slektskap eller familiestatus, formuesordningen mellom ektefeller eller forsørgelsesbyrde.
I 1999 ga Datatilsynet konsesjon til å opprette 1 899 registre.
Av disse var 434 offentlige registre og 1 465 private.
Dette er en liten nedgang i forhold til 1998 da det ble gitt konsesjon til 1 923 personregistre, hvorav 505 registre var offentlige og 1 418 registre private. I 1997 ble det gitt totalt 2 419 konsesjoner.
Konsesjon for virksomheter
Personregisterloven omfatter også disse virksomhetene:
Kredittopplysningsvirksomhet som gir informasjon om kredittverdighet eller økonomisk vederheftighet.
Databehandlingsvirksomhet som innebærer å bearbeide personopplysninger med elektroniske hjelpemidler for andre.
Adresserings- og distribusjonsvirksomhet som selger eller tilbyr adresser eller driver utsending av reklame eller annen informasjon til persongrupper.
Virksomhet som består i å drive markeds- og opinionsundersøkelser for andre.
Det er utstedt totalt 417 virksomhetskonsesjoner.
Eksempler på massekonsesjoner
Enkelte konsesjonstyper sendes til svært mange mottakere og er eksempler på standardiserte massekonsesjoner. I 1999 ble det for eksempel gitt 90 konsesjoner til fotobutikkers kunderegistre. Kommuner og fylkesmannskontorer skal via Rusmiddeldirektoratet gjennomføre den såkalte kunnskapsprøven. Dette er en prøve som selgere av alkohol skal avgi som følge av Rusmiddeldirektoratets forskrifter. 96 konsesjoner er gitt for dette formålet.
Det er mottatt en rekke søknader for å opprette personregistre på opplæringskontorer. Dette er registre som omfatter bedrifter som er med på å organisere opplæringsvirksomhet i sine bransjer, lærlinger og søkere til læreplass. Formålet med registrene er å holde oversikt over kontrakter mellom bedrifter og lærlinger som er tilknyttet opplæringsvvirksomheten, og å utføre administrative oppgaver i forbindelse med inngåelse og gjennomføring av lærlingekontraktene. Det ble sendt ut konsesjoner til 86 slike kontorer i 1999.
Det er også sendt ut over 50 konsesjoner til ulike utdanningsinstitusjoner som utsteder det såkalte datakortet, en form for «sertifikat» for at man har visse kvalifikasjoner innen edb-bruk.
Mange henvendelser
Datatilsynet får en rekke henvendelser av ulike slag. Mange av dem er saker som ikke direkte er knyttet til søknader om å opprette registre eller å drive konsesjonspliktig virksomhet.
Henvendelsene omfatter andre deler av personregisterloven og tar gjerne opp temaer som er aktuelle i samfunnsdebatten eller som knytter seg direkte til enkeltpersoners hverdagsliv.
Dette kan være spørsmål om regler for overvåking, bruk av kredittopplysninger, bruk av opplysninger i skattelister, adressert reklame, regler for kunderegistrering, bruk av Internett, innsyn i registre eller journaler, sletting av opplysninger, bruk av fødselsnummer mv.
Høringsarbeid
I 1999 ga Datatilsynet 107 høringsuttalelser. Tilsvarende antall for 1998 var 116. Mange av høringsnotatene er komplekse og volumniøse.
Datatilsynet legger stor vekt på høringsarbeidet, noe som også er i overensstemmelse med Stortingets ønske. Som høringsinstans bidrar Datatilsynet til at samfunnsplanleggere og beslutningstagere har tilstrekkelig informasjon om personvern og sikring av personopplysninger.
Avslag og klager
Datatilsynet har gitt avslag i 37 saker i 1999. Av disse var 28 bare delvis avslag i forhold til søknaden. Delvis avslag betyr i de fleste tilfelle at Datatilsynet har satt strengere vilkår enn det søkeren ønsket.
I meldingsåret kom det inn 14 klager. I tillegg har Datatilsynet behandlet tre klagesaker som kom inn i 1998. To saker ble omgjort av tilsynets administrasjon, én ble avvist og ni ble behandlet av styret. Fem saker er fortsatt til behandling i administrasjonen.
Av vedtakene som ble styrebehandlet, ble tre helt eller delvis omgjort av styret. I de resterende seks sakene opprettholdt styret vedtaket og sendte saken videre til Justisdepartementet for behandling.
Justisdepartementet avgjorde i løpet av meldingsåret fire saker. I tre av sakene stadfestet departementet Datatilsynets vedtak. Ett vedtak ble omgjort. Ved utgangen av året var to saker fortsatt til behandling i departementet.
Tabell 1.1 Skjematisk oversikt over klagesaker i 1999
Part | Påklaget vedtak/vilkår | Registertype | Utfallet av klagesaken/status 31.12.99 |
En arbeidstaker | Krav om retting/sletting. | Personalregister | Saken er sendt til Justisdepartementet for avgjørelse. |
Deal AS | Avslag på søknad om å registrere fødselsnummer. | Kunderegister | Datatilsynet gjorde om vedtaket og tillot registrering når det foreligger rapporteringsplikt til NRK. |
Universitetsstipendiat Jorunn Torper | Vilkår om at pasienter må være informert om prosjektet før de kommer til tannlegekontoret. (Klagen kom inn i 1998) | Forskningsregister | Justisdepartementet stadfestet vedtaket. |
Sparebanken NOR | Tolkningsuttalelse: Transaksjonsdata kan ikke brukes som seleksjonskriterier for direkte markedsføring. | Kunderegister i bank | Datatilsynet avviste klagen fordi den ikke gjaldt et vedtak. |
Evictus AS | Delvis avslag: Vilkår om at registeret ikke kan inneholde fødselsnummer og økonomiopplysninger. | Kandidatregister | Datatilsynet gjorde om vedtaket og tillot registrering av opplysingene. |
Price Waterhouse Coopers Consulting | Samtykke fra den ansatte eller fagorganisasjoner som vilkår for overføring av opplysninger til utlandet. | Personalregister | Saken er til behandling i Datatilsynet. |
NOR Forsikring og Storebrand | Nye konsesjonsvilkår: Opplysninger om avslåtte og bortfalte søknader skal ikke registreres. Selskapets lege skal gå gjennom innsendte lege- og trygdejournaler. Den registrerte skal varsles om utlevering av opplysninger ved mistanke om svik. | Kunderegister i forsikring | Datatilsynet gjorde vedtakene delvis om. |
Statens vegvesen | Avslag på søknad om tillatelse til å utlevere røykeopplysninger fra bedriftshelsetjenesten til Rikshospitalet uten skriftlig samtykke fra den registrerte | Bedriftshelsetjenesteregister og forskningsregister | Justisdepartementet omgjorde vedtaket og tillot utlevering etter presumert samtykke. |
Telenor Nextel | Krav om å sondre mellom bruker og abonnent, og om å slette trafikkdata innen 14 dager. (Klagen kom inn i 1998) | Abonnentregister for tele- og multimediatjenester | Ikke avklart; Datatilsynet arbeider med nye konsesjonsvilkår. |
Part i innkrevingssak | Datatilsynet avviste klage over handlemåten til Skattefogden i Oslo i en innkrevingssak. | Saksbehandlerarkiv | Datatilsynet gjorde om vedtaket, men fant ikke grunnlag for at det var skjedd brudd på personregisterloven. |
American Express AS | Vilkår om at personopplysninger (herunder navn og adresse) bare kan utleveres til utenforstående (inkludert samarbeidspartnere) etter skriftlig samtykke fra den registrerte. | Medlemsregister | Justisdepartementet stadfestet Datatilsynets vedtak. |
Telenor Media AS | Telefonkatalogens hvite sider kan publiseres på Internett, men bare etter skriftlig samtykke fra kundene. (Klagen kom inn i 1998) | Abonnentregister | Justisdepartementet stadfestet Datatilsynets vedtak. |
Norsk Medisin Informasjon | Uten den registrertes aktive samtykke kan bare opplysninger om navn og adresse utleveres. | Register over helsepersonell til bruk i adresserings- og distribusjonsvirksomhet | Saken er til behandling i Datatilsynet. |
Nordland fylkeskommune | Vilkår om at pasientnummer ikke skal være knyttet til opplysningene. | Avidentifisert somatisk pasientdatabase for statistikk og beregning av inntekter | Saken er til behandling i Datatilsynet. |
Firmaet Svartelisten | Søknad om tillatelse til å opprette personregister ble avslått. | Register over forbrukertvister og forbrukeres positive og negative erfaringer med bestemte virksomheter. | Saken er til behandling i Datatilsynet. |
Part i barnevernsak | Datatilsynets vedtak om ikke å pålegge en kommune å slette opplysninger i en sak. | Register over barneverntjenestens klienter | Saken er sendt over til Justisdepartementet for avgjørelse. |
Utvalg av saker i 1999
Telekommunikasjon
Nye vilkår innen telesektoren
Det har vært behov for å vurdere regelverket som skal ta vare på personvernet innen telekommunikasjon slik at det fortsatt virker etter hensikten, og at det er i samsvar med dagens teknologi. I løpet av året har det derfor vært arbeidet med disse problemstillingene.
Til nå har konsesjon for registrering av samtaledata for telefoni vært basert på de tjenester og den teknologi som var representert ved Telenors tilbud. Den nye situasjonen med mange konkurrerende operatører og forskjellige teknologiske løsninger, har gjort det nødvendig å lage et nytt rammeverk for konsesjonene. Det nye regelverket skal være uavhengig av teknologi og sikre at vilkårene blir like for alle operatørene.
Viktige utviklingstrekk
Det er to viktige utviklingstrekk i telesektoren som gjør at det er nødvendig å vurdere hvorvidt konsesjonsvilkårene dekker behovene i dag. Det ene forholdet gjelder den teknologiske utviklingen, mens det andre knytter seg til dereguleringen av markedet og framveksten av mange nye operatører både på nettsiden og tjenestesiden.
Telekommunikasjon er et felt i spenning mellom mange ulike og til dels motstridende interesser: Kommersielle hensyn mot personvernhensyn, personvern mot forbrukerhensyn, og forskjellige typer personvernhensyn mot hverandre.
I arbeidet med nye konsesjonsvilkår legges det vekt på å få en harmonisering i forhold til EUs telekommunikasjonsdirektiv.
Anonyme alternativer
EU-direktivet legger til grunn at landene skal tilskynde utvikling av valgmuligheter som gir mulighet til anonym og strengt privat adgang til offentlige teletjenester. Datatilsynet er av den oppfatning at det i praksis finnes få muligheter som gir slik anonymitet. Ikke minst fører nødvendige funksjoner for fakturering av abonnenter og samtrafikkavregning mellom ulike teleoperatører til at nesten all bruk av teletjenester blir sporbar på en eller annen måte.
Offentliggjøring av abonnentopplysninger
Av personvernmessige hensyn er det nødvendig at abonnentene selv kan avgjøre i hvor stor grad deres personopplysninger skal offentliggjøres i en telefonkatalog. Dette gjelder både trykte og elektroniske abonnentkataloger. Abonnenten skal ha rett til kostnadsfritt å kreve å bli utelatt fra en trykt eller elektronisk katalog, at opplysninger om vedkommende ikke skal kunne brukes til direkte markedsføring, og at vedkommendes adresse delvis utelates.
Opplysninger skal slettes
Et viktig personvernprinsipp er at registerføreren ikke skal ha opplysninger lagret lenger enn det som er nødvendig for formålet med registreringen. Dette prinsippet gjelder også for teleoperatørene. I den nåværende reguleringen er det satt en kort slettefrist på 14 dager som hovedregel for opplysninger om privatpersoners fastlinje-telefoni. For bedriftskunder og alle mobiltelefonkunder er lagringstiden seks måneder.
Flere aktører i telemarkedet fører til at det blir nødvendig å overføre opplysninger fra ett selskap til ett annet for å kunne fakturere tjenestene (samtrafikkavregning).
Datatilsynet vil derfor harmonisere reglene for sletting slik at det blir lik slettefrist for alle teletjenester, og sette en frist som ivaretar teleoperatørenes behov så lenge det ikke strider mot grunnleggende personvernprinsipper.
Mobiltelefon og kontantkort
En teleoperatør har lenge operert med en tjeneste hvor man forhåndsbetaler ringetid og dermed slipper å registrere seg som kunde. Datatilsynet ble kontaktet i forbindelse med at operatøren følte seg presset av myndighetene til å gi opp denne anonyme tjenesten og sette som vilkår for bruk av tjenesten at man registrerer seg som kunde.
Datatilsynet er bekymret for om den siste muligheten for å kunne benytte seg av et anonymt alternativ utenom bruk av offentlige telefoner, skal forsvinne. I EU-direktivet om behandling av personopplysninger og vern av privatlivets fred innen telekommunikasjonssektoren, sies det i fortalen at medlemslandene skal oppfordre til at det innenfor telekommunikasjonssektoren utvikles anonyme alternativer. Tanken bak dette er at man som bruker av teletjenester skal kunne velge om man vil bruke teletjenester anonymt.
Datatilsynet mener i denne sammenhengen at norske telemyndigheter bør være mer aktive i sin oppfordring til teleoperatørene og bidra til at teleoperatørene skal kunne tilby anonyme alternativer til sine kunder.
I forbindelse med teleoperatørenes kontantkort-tilbud vil Datatilsynet også se på hvilket behov teleoperatørene har for å lagre kundeopplysninger.
Personvernhensynet i saken: Personopplysninger skal ikke lagres dersom det ikke er saklig begrunnet i den virksomheten man driver.
Telefonkatalogens hvite sider på Internett
Telenor søkte Datatilsynet om å gjøre alle opplysningene i telefonkatalogens hvite sider tilgjengelige for alle på Internett. Datatilsynet åpnet for en slik utlevering på vilkår av det ble innhentet et aktivt informert samtykke fra den enkelte abonnent før opplysningene ble lagt ut. Datatilsynet mener at det er den enkelte abonnent som selv skal bestemme om han vil at katalogopplysninger skal spres gjennom et så potent medium som Internett. Tilsynet mener personvernulempene er så store at det ikke er tilstrekkelig at den enkelte får en adgang til å reservere seg.
Vedtaket ble påklaget og Justisdepartementet opprettholdt Datatilsynets vedtak.
Personvernhensynet i saken:Det enkelte skal i størst mulig grad selv ha kontroll med bruk av egne personopplysninger.
Tekstreklame på mobiltelefon (SMS)
Datatilsynet har registrert en stor økning i antallet henvendelser i forbindelse med direkte markedsføring ved bruk av tekstmeldinger til mobiltelefon (SMS). Selskaper som ønsker å forestå forsendelser av denne karakter for andre, må ha konsesjon for å drive adresserings- og distribusjonsvirksomhet, jf. personregisterloven § 25. Selskapene må også ha konsesjon for å opprette eget personregister til bruk for dette formål.
Tre selskaper er i 1999 gitt slike virksomhetskonsesjoner. Datatilsynet har i disse konsesjonene oppstilt en rekke krav når det gjelder registrering, bruk, sikkerhet mv. Krav om at opplysninger til slik bruk bare kan registreres etter informert samtykke fra den enkelte, har imidlertid medført enkelte reaksjoner. Det er lagt til grunn at forespørsler fra selskapene til potensielle kunder om samtykke er å regne som henvendelse i markedsføringsøyemed. Dermed kan ikke SMS benyttes som kommunikasjonsmetode for dette formål. Det er også fastsatt at barn under 15 år ikke anses å kunne avgi samtykke som ovenfor nevnt.
Det er flere grunner til at Datatilsynet har funnet det nødvendig å stille krav om forhåndssamtykke. Datatilsynet anser SMS-meldinger i markedsføringsøyemed å være en så fjerntliggende følge for den enkelte at en ikke kan sies å ha samtykket bare ved å avgi mobiltelefonnummeret. Slik markedsføring kan videre lett oppfattes som belastende, forstyrrende og som en inngripen i den private sfære.
I vurderingen har Datatilsynet lagt vekt på EU-direktivet om fjernsalg, som vil innebære stor grad av likhet innen EØS-området. Krav om forhåndssamtykke følger av fjernsalgsdirektivet artikkel 10 nr. 1, og er foreslått implementert i norsk lovgivning ved en ny bestemmelse i markedsføringsloven. Datatilsynet har i en høringsuttalelse tiltrådt hovedlinjene i Barne- og familiedepartementets lovforslag. Lovforslaget samsvarer i stor grad med reglene som følger av personregisterloven og etablert praksis i Datatilsynet. Den tekniske utviklingen den senere tid har muliggjort markedsføring gjennom flere nye kanaler og det er liten grunn til å anta at det ikke vil forekomme også andre former i fremtiden. Datatilsynet tiltrer departementets vurdering om at det ikke bør oppstå vilkårlige forskjeller ved bruk av formidlingsteknikk. Datatilsynet er, sammen med Forbrukerombudet, av den oppfatning at krav om samtykke også bør legges til grunn ved telefonmarkedsføring.
Markedsundersøkelser har vist at det generelt er en så stor uvilje i befolkningen mot telefonmarkedsføring at det vil medføre problemer å innhente samtykke på forhånd.
Forslag til lov om behandling av personopplysninger er også vurdert. Her går det fram at personopplysninger som hovedregel bare kan behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling.
Personvernhensynet i saken:Retten til å bestemme over bruk av opplysninger om en selv. Forhåndsamtykke for å motta markedsføring i former som kan oppfattes som belastende og som inntrengning i den private sfære.
Utlevering av personopplysninger fra Telenor
I en tvist mellom påtalemyndigheten og Telenor Nextel uttalte Datatilsynet seg om de personvernmessige sider i saken. Tvisten dreier seg om hvilken framgangsmåte som må brukes og hvilke vilkår som må foreligge for at utlevering av opplysninger skal kunne finne sted.
Påtalemyndigheten har krevd å få tilgang på navn og telefonnummer til den av Telenor Nextels Internettkunder som var koplet til Internett med et såkalt vertsnavn på et bestemt tidspunkt. Vertsadressen refererer til et dynamisk IP-nummer, som fører fram til kunden og telefonnummeret Internettilknytningen er gjort på.
Hovedspørsmålet i tvisten er hvorvidt påtalemyndigheten kan få tilgang til opplysningene uten å få tillatelse fra Post- og teletilsynet eller etter rettens kjennelse. Tvisten handler ikke om påtalemyndigheten i forbindelse med etterforskningen av et straffbart forhold kan få tilgang til opplysningene.
Bør innhente rettens kjennelse
Datatilsynets oppfatning er at påtalemyndigheten bør innhente rettens kjennelse før tilgang gis.
Telekommunikasjonsloven §9-3 åpner for innhenting av opplysninger til annet politiarbeide enn etterforskning av mistanke om et konkret straffbart forhold. Bestemmelsen er spesiell ved at det ikke er noen utenforliggende myndighet som kontrollerer at innhentingen av opplysninger er i overensstemmelse med lovens vilkår. Å gi påtalemyndigheten en slik tilgang vil være å åpne for en generell overvåking som vesentlig innskrenker den enkelte borgers frihet og som strider mot grunnleggende rettssikkerhetsprinsipper.
At det også kan reises tvil om hvorvidt koplingen av data fra Internett og den flyktige IP-adressen fører fram til riktig person, tilsier også at det bør være en rettslig forhåndskontroll.
Høyesterett behandlet saken i desember 1999. Kjæremålet fra Telenor Nextel ble forkastet. Politiet kan få tilgang til brukeridentitet uten å innhente tillatelse fra Post- og teletilsynet eller rettens kjennelse på forhånd.
Forsikring
Konsesjoner i livsforsikringsselskapene
Datatilsynet får mange henvendelser fra forsikringskunder som viser at folks oppfatning av hva som er rimelig behandling av personopplysninger ikke alltid samsvarer med selskapenes. Datatilsynet har lenge etterlyst en regulering av hva som skal kunne registreres av opplysninger i et forsikringsselskap. Personregistre i livsforsikringsselskapene var tidligere unntatt fra konsesjonsplikten i forskriftene til personregisterloven. Forskriften ble endret 1. januar 1997, og Datatilsynet utarbeidet i den forbindelse standardkonsesjoner til alle forsikringsselskapene. Arbeidet med både utvikling og tildeling har tatt noe tid, ikke minst fordi konsesjonene krever en total gjennomgang av sikkerhetsopplegget i selskapene før konsesjon blir tildelt.
I 1999 la tilsynet ned mange ressurser i å revidere konsesjonsvilkårene for livsforsikringsselskapene.
Informasjonsplikt overfor kunden
I konsesjonsvilkårene har Datatilsynet lagt stor vekt på selskapets plikt til å informere kunden om ulike sider ved bruk av personopplysninger. Dette skal sikre den registrerte større kontroll med opplysninger om seg selv, samt en større mulighet til å utøve rettighetene kunden har etter personregisterloven. Informasjonsplikten er også i tråd med kravene i EU-direktivet om personvern og forslaget til personopplysningslov.
Informasjonsplikten inntrer når utlevering skjer med hjemmel i lov, i forskrift gitt med hjemmel i lov eller etter enkeltvedtak fattet av Datatilsynet. Informasjonen skal inneholde opplysninger om hva som utleveres, til hvilket formål og hvem som er mottaker av opplysningene. Dette gjelder ikke dersom bestemmelsen som hjemler rapporteringsplikt fastsetter noe annet. Melding er ikke nødvendig ved rutinemessig utlevering av opplysninger til offentlige myndigheter.
Informasjon om sentrale registre
I tillegg skal kunden så tidlig som mulig informeres om de av forsikringsbransjens sentrale registre som er av betydning for den forsikring søknaden gjelder. Det skal informeres om at kunden vil kunne bli kontrollert mot bransjens sentrale registre, hvilke registre dette gjelder, samt vilkår for registrering i disse registrene.
Kunden skal videre orienteres om at forsikringsselskapet er pålagt rapporteringsplikt overfor en del offentlige myndigheter, og at det i denne sammenheng vil kunne bli utlevert opplysninger om kunden til myndighetene.
Samtykke
Konsesjonen legger ellers vekt på at opplysninger bare skal samles inn etter samtykke fra den registrerte, og at dette samtykket må være så konkret som mulig. Det er ikke lenger akseptabelt med såkalte blanco-fullmakter, der kunden samtykker til at selskapet kan innhente «hva-som-helst hvor-som-helst».
Klage på konsesjonsvilkår
To store selskaper har påklaget deler av konsesjonen. Klagen omfattet tre sentrale spørsmål; muligheten for å registrere opplysninger om avslåtte og bortfalte søknader, kravet om at selskapets lege skulle gjennomgå tilsendte legejournaler og trygdejournaler, og plikten til å informere om utlevering av personopplysninger ved mistanke om svik.
Datatilsynets styre har behandlet klagen i første omgang, og selskapene har fått delvis medhold på flere punkter. Styrets vedtak gir selskapene anledning til å registrere opplysninger om bortfalte/avslåtte søknader, men med begrenset adgang til å brukeopplysningene.
Selskapenes lege skal gjennomgå journaler og trygdemapper i den grad disse er sendt inn i sin helhet etter oppfordring fra selskapet. Dersom selskapet mottar hele journaler eller trygdemapper uoppfordret kan materialet gå direkte til saksbehandler dersom saken inneholder en erklæring om at det er foretatt en relevansvurdering.
Informasjonsplikten ved undersøkelser av svik mot forsikringskollektivet kan utsettes når det er nødvendig for å foreta en forsvarlig avdekking av konkret og begrunnet mistanke om svik.
Selskapene har ennå ikke tatt endelig stilling til om deler av klagen likevel skal opprettholdes.
Personvernhensynet i saken:Krav om konkrete samtykkeerklæringer og informasjonsplikt overfor den registrerte gir den enkelte bedre muligheter til å ivareta sitt eget personvern.
Bruk av transaksjonsopplysninger i Sparebank 1
En forsikringskunde i Storebrand skulle betale forsikringspremien ved å sende inn en bankgiro til en bank i Sparebank 1 gruppen. Bankfunksjonæren som behandlet giroen, returnerte den til kunden, uten å honorere den, og la ved tilbud om bankens egen forsikringsløsning.
Storebrand klaget denne fremgangsmåten inn for Forbrukerombudet og Datatilsynet, og hevdet at transaksjonsopplysninger i banken var brukt på ulovlig måte.
Datatilsynet ga Storebrand medhold.
Personregisterlovens hovedforskrift § 2-4 regulerer bruk av bankers kunderegistre. Bestemmelsen sier at kunderegistrene bare kan brukes til «ordinære bank- og finanstjenester». Spørsmålet ble derfor om den typen markedsføring som bankfunksjonæren hadde foretatt kunne sies å være ordinær banktjeneste.
Datatilsynet har antatt at bankers kunderegistre kan brukes til markedsføring, men da bare til slik type reklame som man sender til alle kunder på for eksempel personkundenivå. Bankene kan ikke bruke opplysninger fra registrene til å skille ut kundene enkeltvis, for eksempel på bakgrunn av transaksjonsopplysninger, for så å sende dem reklame. Dette vil ikke være ordinære banktjenester, men mer ha karakter av å være markedsføringsvirksomhet.
Personvernhensynet i saken: Opplysninger i bankvirksomhet skal ikke benyttes til annet formål enn det kunden er inneforstått med.
Kopling med kontrollformål
Yrkesskadeforsikringsforeningen søkte i 1999 Datatilsynet om tillatelse til å kople forsikringsselskapenes kunderegistre med Enhetsregisteret. Resultatet av koplingen ville bli et nytt register over arbeidsgivere som ikke hadde tegnet lovpålagt yrkesskadeforsikring - noe som er straffbart. Foreningen ønsket å kontakte uforsikrede arbeidsgivere for å få dem til å tegne slik forsikring.
Ved vurderingen av om tillatelse skulle gis, måtte personvernhensyn veies opp mot de hensyn som taler for opprettelsen av et slikt register.
Følgende hensyn talte for å tillate koplingen:
Hensynet til om lag 200 000 uforsikrede arbeidstakere.
Hensynet til uforsikrede arbeidsgivere som risikerer ruinerende regresskrav.
Hensynet til forsikrede arbeidsgivere som må betale høyere premie for å finansiere pool-ordningen.
Hensynet til å gjennomføre yrkesskadeforsikringslovens intensjoner.
Følgende hensyn talte mot å tillate koplingen:
Resultatet av den omsøkte koplingen ville bli et landsomfattende register over virksomheter som antas å ha gjort seg skyldig i lovbrudd. Påtalemyndigheten vil også kunne få tilgang til registeret. Konsekvensene av å stå i et slikt register kunne derfor bli alvorlige, og uansett ubehagelige. Da Stortinget behandlet lov om Enhetsregisteret, ble det forutsatt at eventuelle koplinger med andre registre skulle reguleres i lov. Datatilsynets praksis, og forskriften til personregisterloven, talte entydig mot slik kopling.
Datatilsynet avslo søknaden, og Justisdepartementet fastholdt Datatilsynets avslag.
Departementet la avgjørende vekt på hensynet til den registrerte. Koplingen ville inneholde et element av kontroll, og departementet mente det ville oppfattes som ubehagelig å stå registrert i et register over virksomheter som har gjort seg skyldig i mulig lovbrudd.
Personvernhensynet i saken: Opplysninger samlet til et formål bør ikke koples med registre for andre formål, spesielt ikke når koplingen har kontrollformål for øyet og dette ikke ble tatt stilling til ved opprettelsen av registeret. Den enkelte vil miste kontroll med bruk av egne opplysninger.
Pliktig registrering
Norske borgere står oppført i en rekke registre det er lovpålagt å være registrert i. Eksempler på slike registre kan være Folkeregisteret, skatte- og ligningsregistre, Enhetsregisteret, eiendomsregistre, mv. Datatilsynet er av den oppfatning at opplysninger som er avlevert til slik pliktig registrering ikke bør brukes til andre formål enn det som er oppgitt. Dette handler om å gi enkeltmennesket rett til å ha kontroll med bruk av egne personlige opplysninger.
Adgangen til å reservere seg mot reklame fra Barnas Trafikklubb
Barnas Trafikklubb sender ut reklame til alle treåringer i landet. Barnas navn og adresse hentes fra Folkeregisteret. Datatilsynet mottok en klage på denne framgangsmåten.
Bruk av Folkeregisteret reguleres av lov om folkeregistrering. I denne loven bestemmes det i hvilke tilfeller folkeregisteropplysninger kan leveres ut. Folkeregisteret er i utgangspunktet unntatt konsesjonsplikt, jf personregisterloven § 41. Personregisterlovens regler skal likevel gjelde dersom ikke annet følger av den aktuelle hjemmelsloven.
Personregisterloven § 8a bestemmer at enhver skal kunne reservere sitt navn i et register «mot bruk til utsending av direkte reklame eller liknende publikasjoner». Denne bestemmelsen får anvendelse også på Folkeregisteret, siden lov om folkeregistrering ikke bestemmer noe annet.
Datatilsynet hadde ingen innsigelser mot at Folkeregisteret leverte ut opplysningene til Barnas Trafikklubb, men påpekte overfor Sentralkontoret for folkeregistrering at det måtte innføres en reservasjonsadgang i tråd med personregisterloven § 8a.
Sentralkontoret nektet å innføre en slik reservasjonsadgang, siden det mente at utsendelsene fra Barnas Trafikklubb ikke kunne ses på som reklame. Datatilsynet mente på sin side at det var reklame, og at det uansett måtte kunne ses på som «liknende publikasjoner». Sentralkontoret ville likevel ikke innføre reservasjonsadgang, og henviste til at dette ville være teknisk umulig.
Reservasjonsadgangen er en lovhjemmlet rett for borgerne og Datatilsynet så derfor alvorlig på saken. Tilsynet ba Finansdepartementet, som Sentralkontorets overordnede instans, å sørge for at reservasjonsadgang ble innført.
Finansdepartementet fikk i stand et møte mellom departementet, Trygg Trafikk, Sentralkontoret og Datatilsynet. I dette møtet kom man til enighet om hvordan Sentralkontoret kunne innføre en reservasjonsordning, uten at det ville medføre store tekniske utfordringer.
Personvernhensynet i saken: Retten til å reservere seg mot reklame og annen informasjon gjelder også offentlige registre. Dette styrker mulighetene for den enkelte til selv å holde oversikt over hva egne, personlige opplysninger blir brukt til.
Retting av opplysninger i folkeregisteret
I henhold til folkeregisterloven plikter man å melde fra til Folkeregisteret når man bosetter seg i et folkeregisterdistrikt. I meldingen til folkeregisteret skal flyttedatooppgis. Denne datoen er i folkeregisterforskriften § 8 femte ledd definert som «den datoen som den meldepliktige har oppgitt som flyttedag».
Datatilsynet har i meldingsåret vurdert en sak vedrørende krav om å få endret oppgitt flyttedato. Skattedirektoratet kom fram til at datoen bare kan endres i de tilfellene det kan påvises at datoen er feil på grunn av forhold som kan lastes Folkeregisteret. Der det ikke kan påvises slik feil, for eksempel når den meldepliktige selv har oppgitt feil dato, kan rettelse av datoen ikke skje, etter Skattedirektoratets oppfatning.
Som begrunnelse for Skattedirektoratet vedtak ble det blant annet uttalt at «oppgitt flyttedato er som navnet tilsier den dato melder selv oppgir at flyttingen har skjedd» og at Folkeregisteret ikke fører noen kontroll med denne datoen. Skattedirektoratet har videre opplyst at datoen kun legges til grunn ved føring av skattemanntallet, og at man i utgangspunktet må ta saken opp med ligningskontoret dersom man mener at datoen er feil.
Etter Datatilsynets vurdering synes det å være i strid med personregisterloven § 8 å avskjære muligheten for å rette datoen i andre tilfeller enn når feilen skyldes folkeregisteret selv. Personregisterloven § 8 stiller krav om at registerfører av eget tiltak skal rette, slette eller supplere opplysninger dersom mangelen kan få betydning for den registrerte. Det essensielle med bestemmelsen er å motvirke at vedtak eller beslutninger fattes på grunnlag av uriktige, ufullstendige eller ulovlige opplysninger. For dette formålet er det etter Datatilsynets oppfatning, av underordnet betydning om årsaken til mangelen er hos Folkeregisteret eller melder selv.
I den konkrete saken ble angjeldende dato blant annet benyttet av Toll- og avgiftsdirektoratet som grunnlag for fastsettelse av importavgift på motorkjøretøy - med økt importavgift som resultat. Datatilsynet mener at dette er en god illustrasjon på hvilke konsekvenser det kan få når Folkeregisterets registerdata benyttes som grunnlag for vedtak i offentlige organer.
Datatilsynet fant også grunn til å stille spørsmål om Skattedirektoratets fortolkning av folkeregisterforskriften er i overensstemmelse med forvaltningsloven § 17 om forvaltningsorganets utrednings- og informasjonsplikt, og folkeregisterforskriften § 40 om at «Registerføreren må påse at registerføringen blir fullstendig og holder et kvalitativt høyt nivå».
Datatilsynet har varslet Skattedirektoratet om at det vurderes å pålegge retting av flyttedato i den konkrete saken.
Personvernhensynet i saken: Opplysninger skal på registereierens eget initiativ rettes, slettes eller suppleres dersom mangler får betydning for den registrerte. Slik kan det unngås at vedtak eller beslutninger fattes med utgangspunkt i uriktige, ufullstendige eller ulovlige opplysninger.
Eiendomsrett til informasjon
Datatilsynet er opptatt av at den enkelte skal ha en viss kunnskap eller kontroll med hva som skjer med egne personopplysninger. Å kunne samtykke til at egne personopplysninger blir brukt av andre er derfor ansett som et svært viktig personvernhensyn.
Bioteknologiloven
Datatilsynet mottok i april 1999 et forslag fra Sosial- og helsedepartementet om endring av lov om bioteknologi. Lovendringen skulle medføre at forskning faller utenfor bioteknologilovens område. Datatilsynet fant ikke å kunne støtte dette forslaget.
Genetisk informasjon er sensitiv informasjon i personregisterlovens forstand. Det innebærer at kravene til bruk av informasjonen blir skjerpet. Etter Datatilsynets oppfatning er dette et viktig hovedprinsipp i forhold til personvernet. I praksis kommer dette til uttrykk ved at det settes strenge krav i konsesjonene gitt i medhold av personregisterloven. Hovedvilkåret er krav om samtykke fra den registrerte i alle sammenhenger hvor det er mulig.
I enkelte tilfeller kommer personregisterloven ikke til anvendelse. Dette gjelder når forskeren får tilgang til identifiserbare data, men registreringen skjer anonymt i forskningsprosjektet. I slike tilfeller vil det etter personregisterloven ikke være opprettet et konsesjonspliktig personregister.
Samtykkekravet
Kravet om samtykke fra opphavspersonen er et viktig utgangspunkt i personvernsammenheng. Det bidrar til at den enkelte i størst mulig grad har kontroll med opplysninger om seg selv. Det er spesielt viktig i forhold til genetisk informasjon fordi materialet kan gi mer informasjon enn opphavspersonen selv kjenner til, og mulige framtidige ønsker for bruk av materialet er uoverskuelige. Det er ikke ønskelig å hindre forskning på dette materialet av den grunn, men etter Datatilsynets oppfatning er det viktig at dersom det ikke kan forskes på anonymt materiale, må forskningen til dels skje på opphavspersonens premisser. Samtykke bør derfor være hovedregelen ved enhver bruk av individualiserte helseopplysninger.
Uheldig signaleffekt
Et generelt unntak i bioteknologiloven for forskningen innebærer også unntak fra kravet om samtykke. Dette gir etter Datatilsynets oppfatning en uheldig signaleffekt overfor forskningsmiljøene. De fleste forskningsprosjekter vil kunne fanges opp av personregisterloven eller annen lovgivning, men det gjelder altså ikke alle. De Nasjonaletiske komiteer (NEM - medisinsk forskning, NESH - samfunnsvitenskap og humaniora og NENT - naturvitenskap og teknologi), vurderer etiske sider ved forskningsprosjekter. De etiske komitéene har bare en rådgivende status, deres vurderinger kan ikke overprøves rettslig og reguleres neppe av forvaltningsloven når det gjelder begrunnelsesplikt. Komiteen kan derfor ikke alene få ansvaret for å sikre individets rettigheter i forhold til forskning i de tilfeller der lovverket ikke kommer til anvendelse.
Søknadsbehandling basert på samarbeid
Datatilsynet har utviklet en veiledning for informasjonssikkerhet for kommuner og fylker i nært samarbeid med Kommunenes Sentralforbund og seks kommuner og fylkeskommuner.
I dette arbeidet var også Sogn og Fjordane fylkeskommune deltager.
Fylkeskommunen arbeidet med å innføre nye rutiner for IT-sikkeherhet. Målet var at fylkeskommunen skulle kunne koples til åpne nettverk for å benytte Internett og e-post, og å tilby hjemmekontor.
Det ble i september 1998 arrangert et møte for gjennomgang av prosjektplaner og innhold i en prinsippløsning som ga grunnlag for detaljert planlegging av prosjektet. Det startet i november samme år. Datatilsynet ble løpende orientert, og i møter og over telefon ble fylkeskommunen gitt veiledning om alternative løsninger. Sogn og Fjordane sendte som planlagt sin søknad til Datatilsynet i juni 1999. Denne søknaden ble godkjent uten merknader.
Søknaden omfattet hele fylkeskommunen med helsesektoren og behandling av sensitiv personinformasjon. Det ble i godkjenningen fra Datatilsynet spesielt lagt vekt på :
gjennomføring av organisatoriske sikringstiltak og rutiner
motivasjon og opplæring av de ansatte i sikkerhet
Datatilsynet har erfart at partene i samarbeidet viser stor felles forståelse for sikkerhet og de krav som stilles i det nye regelverket «Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger». Tilsvarende samarbeid har ført til godkjenning av ytterligere tre kommuner i 1999.
Forskrifter om skikkethetsvurdering i lærerutdanning
I mai 1999 sendte Kirke-, utdannings- og forskningsdepartementet ut forslag om forskrift til universitets- og høgskoleloven § 54 C vedrørende skikkethet for læreryrket. Det ville innebære at de ulike lærestedene kunne føre et register over skikketheten til den enkelte student.
Datatilsynet framhevet som høringsinstans at slik utkastet til forskriften var utformet, brøt det med de grunnleggende personvernprinsipper slik de er nedfelt i lov, forskrifter og praksis.
Vage kriterier
Utkastet innebar at man kunne legge til grunn altfor vage kriterier for når en student kunne anses som uskikket til læreryrket. Vurderingene av dette skulle bygge på stor grad av skjønn og ville medføre ulik praksis utdanningsinstitusjonene i mellom. Et vedtak om ikke-skikkethet vil kunne virke mer belastende og være en større inngripen i studentens personlige integritet, enn det at studenten ikke fikk lærevitnemål.
Unødvendig spredning
I utkastets § 9 om informasjonsrutiner heter det at alle utdanningsinstitusjonene som tilbyr lærerutdanning skulle ha underretning om det vedtak om ikke-skikkethet som ble fattet. Hensikten med underretningen er å sikre at studenter som er vurdert ikke-skikket ved et lærested, ikke skal bli tatt opp som lærerstudent ved et annet.
Dersom dette skulle følges ser Datatilsynet flere personvernmessige trusler. Det var mulighet for at en ubegrenset krets av personer vil få tilgang til personopplysinger av tildels sensitiv karakter. En fare var at ved utleveringen av disse opplysningene hadde den registrerte ikke kontroll over bruk og spredning av personopplysningene om seg selv.
Tok hensyn til Datatilsynets merknader
Kirke-, utdannings- og forskningsdepartementet tok hensyn til Datatilsynets bemerkninger og utarbeidet en ny paragraf i forskriften § 10 om sentralt register. Når det blir fattet vedtak om at en student ikke er skikket skal opplysningene føres i et sentralt register. Samordnet opptak vil sammenholde opplysningene i registeret med søknader om opptak til ulike lærerutdanninger. På den måten begrenser man spredningen av personopplysninger. Samordnet opptak skal ikke sende søknadene til lærerinstitusjonen vedrørende personer som ikke er skikket, men svare vedkommende direkte. Opplysningene i det sentrale registeret skal slettes når utestengningsperioden er over.
Personvernhensynet i saken:Den registrerte skal ha informasjon om og kontroll over spredning og bruk av opplysninger om seg selv. Ved å opprette ett sentralt register begrenses unødig spredning av personopplysninger.
Brudd på regler for personvernet
Datatilsynet mottok i 1999 en henvendelse fra en ansatt hos Vesta i Bergen om at det ble registrert detaljerte opplysninger om de ansattes effektivitet. Datatilsynet ba om redegjørelse fra arbeidsgiveren.
Av reglene for personalregistre går det fram at dersom effektivitetsmålinger på individnivå skal registreres elektronisk, krever dette avtale mellom arbeidsgiver og fagforening, eller konsesjon fra Datatilsynet.
Det var avtalt mellom ledelsen og ansatte at målingen skulle skje på gruppenivå, med minst fire ansatte i hver gruppe. De aktuelle målingene var imidlertid foretatt på individnivå, og arbeidsgiver innrømmet at dette var i strid med avtalen. Den ulovlige registreringen ble stoppet da Datatilsynet påpekte forholdet.
Måling av ansattes effektivitet er registrering av personopplysninger. Slik registrering skal være saklig begrunnet ut fra hensynet til administrasjon og virksomhet på det aktuelle arbeidssted. Hensynet til arbeidsgivers behov for registrering må stå i forhold til den personvernulempe som påføres arbeidstakeren gjennom målingene.
Formålet med effektivitetsmålingene var å rose den mest effektive medarbeideren. Målingene bar likevel preg av unødvendig og ubehagelig overvåkning av ansatte. Ulempen for de ansatte syntes klart større enn fordelen for arbeidsgiver. På denne bakgrunn mente Datatilsynet at arbeidsgivers behov for målinger av ansatte ikke var så tungtveiende at det var saklig begrunnet. Datatilsynet konkluderte med at registreringen var ulovlig.
Personvernhensynet i saken:Det skal foreligge en saklig begrunnelse for å foreta registreringer. Dette må være oppfylt før avtale mellom partene kan åpne for utvidet registrering av personopplysninger. I dette tilfellet var saklighetskravet ikke oppfylt i tillegg til at avtale om grupperegistrering var brutt.
Kontrollarbeidet
Alle som behandler personopplysninger kan få kontrollbesøk av Datatilsynet. I 1999 har tilsynet gjennomført totalt 23 kontrollbesøk. Både teknologer og jurister deltar i kontrollarbeidet. Syv av kontrollene har hatt informasjonssikkerhet som hovedtema.
Formålet med kontrollbesøk er selvsagt å kontrollere at regelverket blir overholdt, men også å nå ut med informasjon om Datatilsynets vilkår, skape dialog med kontrollobjeket og å bidra til at bevissthetsnivået når det gjelder behandling av personinformasjon øker. Publisitet rundt kontroller virker også slik at personvernspørsmål generelt blir satt på dagsorden og at andre brukergrupper får informasjon om reglene som gjelder. Publisitet omkring resultater anses defor som en nødvendig del av kontrollarbeidet.
I tillegg til kontrollbesøk utøver også Datatilsynet tilsynsoppgaver ved å be om utredninger og gjennomgang av ulike registre for å kontrollere kvaliteten på opplysninger hos bedrifter og etater, når registrerte enkeltpersoner ber om hjelp for å få slike forhold undersøkt. Disse skriftlige kravene om utredning utføres ofte hos kredittopplysningsbyråer og i tilknytning til spørsmål om retting og sletting av opplysninger i journaler hos barnevern og på sosialkontorer.
Håndbok i metodikk
I 1999 er det arbeidet med å legge grunnlag for en kontrollhåndbok. Her skal det gis beskrivelser av framgangsmetode fra varsling av kontrollbesøket til endelig rapport og publisitet omkring resultatene av kontrollarbeidet. En kontrollhåndbok vil også være et nyttig verktøy når Datatilsynet får nye kontrolloppgaver ved innføring av personopplysningsloven.
Ulike kontroller
I 1999 er det lagt vekt på å forsette arbeidet med å gjennomføre kontroller distriktsvis. Dette er gjort i tillegg til kontroller i forbindelse med dagsaktuelle saker og temaer, som for eksempel avdekkes i mediene. Eksemplene under viser mangfoldet i kontrollarbeidet.
Kontroll av taterregistrering
På bakgrunn av oppslag i pressen i august 1999 om politiets angivelige «Tater-register», gjennomførte Datatilsynet en kontroll på Kriminalpolitisentralen (KRIPOS) samme dag. Datatilsynet ønsket å se nærmere på hjemmelsgrunnlaget for registeret, hvordan registreringen var gjennomført i praksis, og eventuelt vurdere registerets videre skjebne.
Undersøkelsen viste at dette dreier seg om gamle registreringer av straffereaksjoner og andre beslutninger politiet har gjennomført overfor enkeltpersoner generelt. Såkalte tatere ble markert med en blå strek på det manuelle kortet. Datatilsynet ser at dette er en kontroversiell registrering og markering idag, men legger til grunn at man vurderte det annerledes da dette ble gjort.
Etter en helhetsvurdering har Datatilsynet kommet fram til at registeret har hjemmel i strafferegistreringsloven. Registeret er imidlertid en kombinasjon av et strafferegister og et arbeidsregister, hvilket innebærer at det trolig sorterer inn under både §§ 1 og 4 i strafferegistreringsloven. Det er uheldig at registre med ulike formål og bruksområder har et såpass uklart hjemmelsgrunnlag.
Flere eldre registre
Registeret er relativt gammelt, og Datatilsynet forsto det slik at KRIPOS har flere eldre, manuelle registre. Registrene inneholder svært sensitiv informasjon, og det er viktig at det er klare retningslinjer for bruk, utlevering, lagring og ikke minst sletting. Så langt Datatilsynet har forstått det, finnes det idag ikke retningslinjer på dette området i det hele tatt.
Justisdepartementet lager regler
Dersom registeret hadde vært ført ved hjelp av edb, ville det ha vært underlagt klare retningslinjer i forhold til oppbevaringstid og sletting. I forskriftene til strafferegistreringsloven gis det regler for edb-baserte registre, men ikke for manuelle. Det er etter Datatilsynets oppfatning ikke rimelig at oppbevaringsmåten skal ha så stor betydning i forhold til så viktige personvernmessige spørsmål. Datatilsynet har derfor bedt Justisdepartementet om å utarbeide generelle regler for behandling av de manuelle registrene i politiet.
Datatilsynet har også bedt departementet vurdere behovet for disse gamle, manuelle registrene og herunder se på alternative oppbevaringsmuligheter, som for eksempel deponering i Riksarkivet.
Registrering av IOC-medlemmer
Oppland fylkesarkiv har arkivert diverse notater og saksdokumenter vedrørende OL 1994 på Lillehammer. Arkivmaterialet er i det alt vesentlige ordnet etter sakstype og ikke gjenfinnbart på navn. Deler av materialet er imidlertid kopiert og ordnet i egne mapper på IOC-medlemmenes navn. Materialet inneholder i noen grad opplysninger om enkelte av medlemmenes helseforhold og religiøse oppfatning.
Datatilsynet gikk i 1999 gjennom materialet og kom fram til at det systematiske registeret over IOC-medlemmene er konsesjonspliktig etter personregisterloven § 9. Datatilsynet meddelte Lillehammer kommune, som formelt eier registeret, nødvendig konsesjon. I vurderingen av om konsesjon skulle gis ble det blant annet lagt vekt på at en systematisering av opplysningene kunne forenkle arkivets arbeid med å sikre at opplysninger om helseforhold og annet ikke blir offentliggjort i strid med lovbestemt taushetsplikt.
Kontroller i Bergensområdet
Datatilsynet utførte i mars 1999 flere kontroller i Bergensområdet. Kontrollene var knyttet til ulike temaer og ulike institusjoner. Kontrollene fra tidligere når det gjaldt videoovervåkning på postkontor ble fulgt opp. Resultatene var tilfredstillende i forhold til regelverket. Ellers besøkte tilsynet fire kommuner i området, der registreringer ved sosialkontor og barnevern ble vurdert.
Bevisshetsnivået var relativt lavt når det gjaldt gjeldende regelverk, men registreringene holdt seg stort sett innenfor de gitte rammer likevel. Videre ble to sentrale forsknings-/helseregistre kontrollert, i tillegg til ett fengsel og fylkesmannens kontor.
Kontroller i Vestfold
Datatilsynet gjennomførte høsten 1999 seks kontroller i Vestfold. To store bedrifter og to mindre byråer som arbeider med personalutvelgelse fikk besøk av tilsynet, i tillegg til kommuneadministrasjonene i Skien og Sandefjord. Hensikten med kontrollene var å få fram om reglene for bruk av personopplysninger i personalregistre ble fulgt og å få satt personvern i personalforhold på dagsorden. Det ble opprettet en fruktbar dialog med alle kontrollobjektene.
Sikkerhetsarbeidet
Sikkerhetsseksjonen består av tre medarbeidere. I 1999 har seksjonen prioritert arbeidet med retningslinjer og veiledninger som skal bidra til god informasjonssikkerhet i både offentlige og private virksomheter.
Arbeidet med retningslinjer og veiledninger
Datatilsynet vedtok nye krav til informasjonssikkerhet - Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger - i 1998. Retningslinjene danner grunnlag for sikkerhetsvilkår i konsesjoner. Som regel pålegges registereiere å etterleve retningslinjene dersom sensitive personopplysninger skal behandles. Gjelder konsesjonen registrering av ikke-sensitive personopplysninger, anbefales retningslinjene brukt som grunnlag for sikkerhetsarbeidet.
I 1999 har sikkerhetsseksjonen videreført arbeidet med å utdype retningslinjene i egne veiledninger og anbefalinger. I en ny veiledning diskuteres bruk av terminalklienter - så kalte «tynne klienter» - som skille mellom behandlingen av sensitive opplysninger og tjenester i eksterne datanett som Internett. Veiledningen for bruk av elektronisk datautveksling, EDI, i helsesektoren er ferdigstilt.
Arbeidet med Veiledning i informasjonssikkerhet i justissektoren har pågått i hele 1999. Datatilsynets merknader er oversendt Justisdepartementet for bearbeiding.
To nye prosjekter ble startet opp: Informasjonssikkerhet i små virksomheter, og informasjonssikkerhet relatert til bruk av virtuelle private nett; VPN. Disse er planlagt avsluttet tidlig i 2000.
Distribusjon av sikkerhetsdokumenter
Datatilsynets sikkerhetsdokumentasjon distribueres i første rekke via hjemmesidene på Internett. Analyse av trafikken her viser at sikkerhetsdokumentasjon er blant den mest etterspurte informasjon Datatilsynet har gjort tilgjengelig på web. Datatilsynets retningslinjer, sammen med sikkerhetsveiledningene, er ment både som opplysning om hvilket sikkerhetsnivå som forventes når personopplysninger behandles, og som konkrete eksempler på mulige organisatoriske og tekniske sikkerhetsløsninger. Den store etterspørselen og inntrykket av markant bedre kvalitet på sikkerhetsdokumentasjon Datatilsynet har mottatt siste år, viser at veiledningsarbeidet både er nødvendig og nyttig.
Sikkerhetskontroller
I samsvar med Datatilsynets styres beslutning er retningslinjene også tatt i bruk som grunnlag ved Datatilsynets sikkerhetskontroller. Sjekklister og rapportformat er utarbeidet i forhold til de enkelte konkrete sikkerhetskrav. Ny metodikk har muliggjort sikkerhetskontroller av en høyere faglig standard. Kontrollrapporter som konkret angir samsvar og avvik i forhold til retningslinjenes krav, blir også oppfattet som nyttige verktøy for den virksomhet som kontrolleres.
Sikkerhetskontroller slik de nå utføres stiller store krav til forberedelse og gjennomføring. Datatilsynet sørger for å behandle materialet fra sikkerhetskontrollene med nødvendig forsiktighet, slik at ikke selve kontrollarbeidet utløser en ny sikkerhetstrussel den aktuelle virksomheten må forholde seg til.
Sikkerhetsmodell
Datatilsynets sikkerhetsregelverk har som hovedkrav at virksomhetene skal organisere arbeidet med informasjonssystemet slik at tilfredsstillende informasjonssikkerhet oppnås. Det skal etableres et internkontrollsystem eller kvalitetssystem med sikkerhet for øye. Videre skal virksomhetene forsikre seg om at alle medarbeidere har tilstrekkelig kunnskap til å betjene informasjonssystemet. Det er viktig at det skapes nærhet mellom den enkelte bruker og de deler av virksomheten hvor beslutninger med betydning for informasjonssikkerheten tas. Med dette utgangspunkt vektlegger Datatilsynet kravet om en distribuert sikkerhetsmodell. Dette betyr at større virksomheter må «deles inn» i mindre driftsenheter som hver pålegges et selvstendig sikkerhetsansvar. Metoden er med gode resultater benyttet i blant annet fylkeskommunal sektor og hos landets fylkesmenn.
Sikkerhetskrav i lovforslaget
Forslag til ny personopplysningslov stiller i §13 konkrete krav til sikring av personopplysninger. Hovedkravet er at arbeidet med informasjonssikkerhet skal organiseres gjennom internkontroll og kvalitetssikring, og baseres på dokumenterte rutiner. Sikkerhetskravene skal konkretiseres i en egen forskrift. Datatilsynet er av Justisdepartementet bedt om å utarbeide utkast til en slik forskrift. Som beskrevet over har Datatilsynets sikkerhetsregelverk allerede i dag som utgangspunkt internkontroll og kvalitetssikring. Det legges derfor til grunn at mye av dagens regelverk kan benyttes videre, og inngå i den nye sikkerhetsforskriften.
Det framgår videre av forarbeidene til forslaget til ny personopplysningslov at Datatilsynet skal intensivere kontrollarbeidet også når det gjelder sikkerhetskontroller. Som beskrevet over er tilsynet i gang med å videreutvikle og forbedre arbeidsmetodene ved slike kontroller. Sikkerhetsseksjonen er godt i gang med tilpassing til forslaget til ny personopplysningslov.
Informasjonsarbeidet
Datatilsynets informasjonsseksjon har ansvaret for all intern og ekstern informasjonsvirksomhet. Seksjonen har to medarbeidere.
Målsettingen for informasjonsarbeidet i Datatilsynet er å bidra til å synliggjøre Datatilsynet som forvalter av personregisterloven og tilsynets virksomhet. Informasjonsarbeidet er et virkemiddel for å nå fram til aktuelle målgrupper med korrekt og informativt budskap. Datatilsynet har en vid målgruppe for sin informasjonsvirksomhet; både publikum generelt, formelle rammesettere, ulike fagmiljøer og registereiere er viktige målgrupper. Datatilsynets prioriterte kanaler er mediekontakt, webtjenesten, tidsskriftet SPOR, pressemøter, seminarer og foredag.
Datatilsynet følger prinsippene i den statlige informasjonspolitikken.
Mediekontakt
Mediene vurderes som en svært viktig kanal for Datatilsynets budskap. Det er lagt vekt på å ha et ryddig og ordentlig forhold til mediene slik at aktuelle saker kan framstilles på en mest mulig korrekt måte. Det er samtidig vurdert som viktig å ha et høyt servicenivå overfor journalister. Alle henvendelser blir behandlet raskt og likt. I overkant av et halvt årsverk benyttes til daglig mediekontakt; kontakt som tas både på medienes og Datatilsynets initiativ.
Meroffentlighet og offentlig journal
Datatilsynet praktiserer meroffentlighet og er opptatt av å yte god service ved dokumentbestillinger fra offentlig journal. Journalen er fyldig og innholdsrik og legges blant annet ut på pressesenteret i regjeringskvartalet. Behandlingen av dokumentbestillinger er arbeidskrevende og Datatilsynet brukte mer enn et halvt årsverk i 1999 på å finne fram, kopiere og sende ut dokumenter. I 1999 bestilte pressen og andre aktører 1 214 dokumenter fra journalen. Dette er en nedgang fra 1998, da antallet bestilte dokumenter var 1 400.
Utvikling av webtjenesten
Datatilsynet legger stor vekt på å ha en informativ og brukervennlig webtjeneste. Det er ansatt en webredaktør som har både utvikler- og redaktøransvar for tjenesten. I 1999 er kvaliteten på hjemmesidene utviklet ytterligere. Nå kan brukere av tjenesten lett finne fram til temasider og informasjonsmateriell. Tilsynet publiserer egne temaer og saker blant annet etter forespørsler fra publikum og vurderinger av hva som kan være aktuelle problemstillinger.
Videre skal sidene oppdateres med nyhetssaker eller informasjon om egne temaer minst en gang pr uke. Det er registrert et gjennomsnitt på 28.000 oppslag pr uke i 1999.
Saker fra Datatilsynets hjemmesider blir ofte brukt av andre medier.
Det er også utviklet en egen abonnent- og presseservice via e-post, slik at melding om oppdatert hjemmeside raskt kan sendes aktuelle mottakere.
Hjemmesidene erstatter i mange tilfeller bruk av tradisjonelt informasjonsmateriell på papir.
Det er planlagt at webtjenesten skal ha en sentral funksjon i det viktige informasjonsarbeidet knyttet til innføring av lov om behandling av personopplysninger.
SPOR
I 1999 ble fire nummer av tidsskriftet SPOR utgitt av Datatilsynet. Bladet distribueres fast og gratis til 3.500 mottakere. I tillegg legges bladet ut på Internett.
SPOR gir generell informasjon om Datatilsynets virksomhet. Aktuell temaer i 1999 har vært regler for registrering og overvåking i arbeidslivet, informasjonssikkerhet, reklame, kunderegistreringer og hvilke rettigheter forbrukerne får ved innføring av ny lov om behandling av personopplysninger.
Foredrag og seminarer
Datatilsynet mottar svært mange forespørsler om å holde foredrag eller delta med innlegg på ulike seminarer og samlinger. Foredragsvirksomhet er en prioritert informasjonsoppgave. I 1999 deltok jurister, teknologer og ledelse på om lag 65 eksterne arrangementer landet rundt. Temaene har kretset rundt personvern og informasjonssikkerhet, kunderegistrering, adresseringsvirksomhet, forvaltning og SIS-registrering, enkeltmenneskets rettigheter, registereieres plikter, personalregistre, arbeidsliv, forskningsetikk, personvern og Internett og personvernerproblemstillinger generelt.
Både private og offentlige virksomheter ønsker foredragsholdere fra Datatilsynet.
Ny lov
Ot prp 92 (1998-99) om lov om behandling av personopplysninger ble lagt fram og levert Stortinget i juni 1999. Lovforslaget vil medføre store endringer i Datatilsynets oppgaver og vil kreve en stor innsats når det gjelder å informere befolkningen som helhet om hvilke rettigheter og plikter loven medfører når den blir iverksatt. Dette er oppgaver Datatilsynet har gått gjennom i 1999. Arbeidet vil fortsette i 2000.
Meldesystem
Lovforslaget legger opp til at konsesjonsinstituttet skal reduseres betraktelig og erstattes av en meldeordning. Det vil bety at behandlere av personopplysninger får plikt til å melde fra til Datatilsynet om de registrene og personopplysninger vedkommende behandler. Datatilsynet skal sørge for å registrere meldingene og i etterkant kunne kontrollere at innholdet i meldingene stemmer overens med både virkeligheten og regelverket.
Det kreves et godt teknisk og organisatorisk mottaksapparat for å kunne føre et meldesystem som både skal fylle lovens krav og være tilgjengelig og brukervennlig Datatilsynet vil arbeide med å planlegge og bygge opp meldesystemet i 2000.
Arbeidet med forskrifter
Justisdepartemenet arbeider med forskrifter til den nye loven. Datatilsynet har satt ned en referansegruppe som alltid vil være tilgjengelig for departementet. Hensikten er å utarbeide et sett forskrifter som vil fungere godt i praksis.
Lovspeil
Det er nødvendig å kunne «speile» nye lovebestemmelser i forhold til det gamle regelverket for å ha et godt sammenligningsgrunnlag. Arbeidet med å lage et slikt lovspeil ble avsluttet i 1999. Det vil foreligge i søkbar stand på web-tjenesten innen 1. mars 2000.
Informasjon til borgerne
Den nye loven vil kreve nøye planlagte informasjonstiltak slik at enkeltmennesker blir kjent med nye rettigheter loven fører med seg og behandlere av personopplysninger kan settes istand til å oppfylle sine plikter etter den nye loven.
Datatilsynet har kontakt med Statens informasjonstjeneste og Justisdepartementet i dette arbeidet. Det er allerede slått fast at informasjonsbehovet vil være stort og at gjennomføringen av informasjonstiltak må stå i forhold til det mottaksapparat Datatilsynet kan mobilisere på de gitte tidspunkter. Det betyr for eksempel at et meldesystem må være på plass og i funksjon før informasjon om meldeplikten og frister for denne, går ut til publikum.
Informasjonstiltak i så stort omfang som nødvendig knyttet til innføringen av personopplysninsgloven, vil kreve ekstra ressurser, også økonomisk sett.
I 1999 er det også arbeidet med å tilrettelegge web-tjenesten slik at den kan utnyttes fullstendig når lovforslaget er vedtatt og forskriftene er på plass.
Kurs i ny lov
I 1999 er det satt i gang et arbeide med å utvikle et solid og informativt kursopplegg i det nye regelverket lovforslaget legger opp til. Dette kurset utvikles av en arbeidsgruppe i Datatilsynet og skal være på plass og klart til utprøving, både faglig og utstyrsmessig i mars 2000.
Utvalg og samarbeid med andre
Datatilsynet er representert i en rekke råd og utvalg. Tilsynets oppgaver berører de fleste samfunnsområder. Dialog og samarbeid er en viktig og prioritert metode i arbeidet med å gjøre regler, rettigheter og plikter knyttet til personvern kjent i ulike fagmiljøer, blant konsesjonssøkere og blant beslutningstagere i utviklings- og planleggingsprosesser som også omfatter personvernspørsmål.
Elektronisk saksbehandling. Datatilsynet er representert i «Brukergruppen for elektronisk saksbehandling» som ble nedsatt av Statskonsult høsten 1998. Gruppen hadde månedlige møter ut 1999.
Rådet for IT-sikkerhet. Datatilsynet har deltatt i Nærings- og handelsdepartementets råd for IT-sikkerhet. Rådet ble lagt ned i 1999, og det skal opprettes et nytt Forum for informasjonssikkerhet.
Prosjektarbeid for N-SIS.I forbindelse med opprettelsen av den norske delen av Schengen informasjonssystem (N.SIS) ble det satt en prosjektgruppe med mandat å utrede hvilke konsekvenser personvernreglene og reglene for informasjonssikkerhet vil få. Prosjektgruppen hadde representanter fra Kriminalpolitisentralen, Politiets datatjeneste, Utenriksdepartementet, Utlendingsdirektoratet og Justisdepartementet i tillegg til gruppens leder, som var fra Datatilsynet. Gruppens avleverte en rapport sommeren 1999. Etter dette har Datatilsynet fulgt opp rapporten overfor de ulike invoverte etater.
Rådet for persondataarkivering.Datatilsynet er representert som observatør i Rådet for persondataarkivering.
Lege- og forsikringsutvalget. Datatilsynet er representert med ett medlem i dette utvalget. Utvalget ble oppnevnt av Sosial- og helsedepartementet høsten 1998. Utvalget har hatt tretten møter i 1999, hvorav to har vært todagers seminarer. Hovedmålet for utvalgets arbeid er å vurdere forsikringsselskapenes adgang til å innhente, bruke og lagre helseopplysninger og livsstilsopplysninger som grunnlag for individuelle forsikringsavtaler, og å gi konkrete forslag til regulering. Arbeidet forventes ferdig i løpet av første halvår i 2000.
Datatilsynet har som organisasjon medlemskap i Den Norske Dataforening, Fagpressens informasjonskontor og Norsk forening for juss og edb.
Internasjonal aktivitet
Datatilsynet deltar i større og større grad i internasjonalt arbeid på personvernområdet. Dette er nødvendig både for å besørge Norges deltagelse i ulike fora og for å samle erfaringer og informasjon om andre lands arbeid med personvernproblemstillinger.
Det uformelle samarbeidet med mellom de nordiske datatilsynssjefene ble opprettholdt også i 1999. Det ble avholdt et møte på Bornholm 7. -9. juni.
Tre saksbehandlere fra juridisk seksjon deltok 19.-21.april på det nordiske saksbehandlermøtet, som i 1999 ble arrangert av Datainspektionen i Stockholm. Det ble diskutert aktuelle temaer rundt innføring av ny lovgivning i de ulike landene.
I den såkalte artikkel 29-gruppen er Norge gitt observatørstatus. Utgangspunktet er nedfelt i EU-direktivene om personvern og telekommunikasjon. Gruppen skal arbeide for presisering, konkretisering og felles strategier for de nasjonale tilsynsorganene. Datatilsynet har deltatt på åtte møter i 1999.
EUs tilsynssjeferhar et årlig møte. Årets møte fant sted i Helsingfors 14.-16.april. Møtet danner rammen om uformelle drøftelser og har ingen besluttende eller innstillende myndighet. Norge har også her fått anledning til å delta.
Tilsynssjefer fra alle land møtes til en internasjonal konferanse årlig. I 1999 ble konferansen avholdt i Hong Kong i september. Programmet ble som vanlig preget av innledninger med påfølgende diskusjoner omkring internasjonale personvernproblemstillinger.
Den såkalte Berlingruppen, som opprinnelig er en gruppe utledet av den internasjonale tilsynssjefkonferanse, med spesielt henblikk på telekommunikasjonsproblemstillinger, ble i 1999 invitert til Norge. Møtet ble arrangert av Datatilsynet, med økonomisk og velvillig støtte fra Næringsdepartementet. Deltagerne ble fraktet med hurtigrute langs kysten til Tromsø. Høstens møte ble arrangert i Berlin, som vanlig.
Schengenavtalen har opphørt og konvensjonen er innlemmet I EU-regelverket gjennom Amsterdam-avtalen. Norge har forhandlet fram en avtale med EU om fortsatt samarbeid innenfor Schengen-regelverkets rammer. Dette betyr også at Norge kun er observatør i tilsynsorganet for føringen av Schengen informasjonssystem, Joint Supervisory Authority (JSA), med de begrensninger dette medfører for muligheten til å øve innflytelse. Datatilsynet har deltatt på alle møtene i JSA.
Datatilsynet har i meldingsåret lagt vekt på å følge innføringen av personopplysningsloven i Sverige og har også med stor interesse fulgt debatten omkring lovforslaget i Danmark. Arbeidet med innføring av personopplysningsombud i Sverige har blant annet vist mange interessante sider. Erfaringene fra andre nordiske land vil kunne være meget nyttig for Norge når ny lovgivning skal innføres her.