St.meld. nr. 43 (2003-20)

Datatilsynets og Personvernnemndas årsmeldinger for 2003

Til innholdsfortegnelse

2 Arbeids- og administrasjonsdepartementets merknader til Datatilsynets årsmelding for 2003

Datatilsynets arbeidsområde

Datatilsynets hovedoppgave er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Datatilsynet er tilsynsmyndighet etter personopplysningsloven og helseregisterloven. I NOU 2003: 21 Kriminalitetsbekjempelse og personvernforeslås det at Datatilsynet i en viss utstrekning også skal være tilsynsmyndighet etter denne loven. I NOU 2004: 5 Arbeidslivslovutvalget: «Et arbeidsliv for trygghet, inkludering og vekst», foreslås det imidlertid at Arbeidstilsynet skal være tilsynsmyndighet etter loven, også for de foreslåtte bestemmelsene om personvern i arbeidslivet. Arbeids- og administrasjonsdepartementet mener generelt at det er mest hensiktsmessig at hovedansvaret for tilsyn med personvernarbeid er samlet hos Datatilsynet.

Datatilsynets overordnede prioriteringer

Datatilsynet fokuserte i 2003 spesielt på helsesektoren, kommunesektoren og arbeidslivssektoren. Ved valg at innsatsområder har Datatilsynet bl.a. vurdert mengde og type personopplysninger som behandles, antall klager på området og henvendelser fra publikum og media. Den samlede bruken av ressurser og virkemidler som Datatilsynet benytter, tilsyn sammen med bl.a. bransjekontakt, råd og veiledning, samt å skape medieoppmerksomhet, gir etter Arbeids- og administrasjonsdepartementets syn en hensiktsmessig arbeidsform.

Oppfølging av regelverket

Datatilsynet gjennomførte 79 operative tilsyn i 2003. Dessverre ble det også dette året avdekket at mange virksomheter har liten kunnskap om personvernregelverket og de prinsippene dette bygger på. Datatilsynet avdekket særlig uryddighet i forhold til ansvar og myndighet, samt brudd på bestemmelsene om internkontroll og informasjonssikkerhet. Personopplysningsloven og -forskriften gir detaljerte bestemmelser om hvem som er ansvarlige for behandlingen av personopplysninger - og hva dette nærmere innebærer. Arbeids- og administrasjonsdepartementet anser de avdekkede avvikene som svært uheldige i og med at de nevnte kravene til ryddighet i ansvarsforhold, samt en tilfredsstillende internkontroll og informasjonssikkerhet, skal være med på å sikre en forsvarlig behandling av personopplysninger. Arbeids- og administrasjonsdepartementet har merket seg at enkelte av tilsynsobjektene anser at regelverket kan være vanskelig å etterleve. Departementet mener det er viktig at både regelverk og annen oppfølging vurderes kontinuerlig for å lette etterlevelsen.

Arbeids- og administrasjonsdepartementet kan med tilfredshet registrere at etterlevelsen av meldeplikten har bedret seg. Også her har imidlertid virksomhetene et betydelig forbedringspotensial. Det er viktig at alle virksomheter, både i offentlig og privat sektor, setter seg inn i egne plikter etter personopplysningsloven og helseregisterloven.

Nytt regelverk mv.

I fjorårets stortingsmelding påpekte Arbeids- og administrasjonsdepartementet viktigheten av at personvernhensyn blir vektlagt tidlig i prosesser vedrørende nytt regelverk og nye samfunnstiltak, jf. utredningsinstruksens krav. Datatilsynet deltok også i 2003 i en rekke arbeidsgrupper og utvalg, og hadde derfor direkte mulighet for å bidra til at personvernkonsekvenser ble grundig utredet. Arbeids- og administrasjonsdepartementet anser det som viktig at Datatilsynet på denne måten får mulighet til å påvirke utredningsarbeid på et tidlig tidspunkt.

Der Datatilsynet ikke deltar direkte i et utredningsarbeid, er det særlig viktig at utrederne på egne tiltak vurderer personvernkonsekvenser. Arbeids- og administrasjonsdepartementet har igangsatt et prosjekt for generelt å bedre kvaliteten på utredningsarbeid, herunder hvordan en kan forbedre planleggingen av utredningsarbeid for å unngå for korte høringsfrister.

Delegering av forskriftkompetanse

Arbeids- og administrasjonsdepartementet delegerte myndighet etter personopplysningsforskriften til Datatilsynet med virkning fra 1. januar 2004. Den delegerte myndigheten omfatter de fleste av bestemmelsene i personopplysningsforskriften med unntak av bestemmelser om personopplysningslovens virkeområde, Personvernnemnda, straff og lovens sluttbestemmelser. Hensikten med delegeringen er bl.a. å gjøre det lettere for Datatilsynet å vurdere bruk av forskrift kontra bruk av konsesjoner for ulike bransjeområder. Selv om antall konsesjoner har gått betydelig ned ved innføring av personopplysningsloven, mener både Arbeids- og administrasjonsdepartementet og Datatilsynet at antall konsesjoner fortsatt er for høyt.

Personopplysninger i barnevernet

Personopplysninger skal ikke oppbevares lengre enn det som er nødvendig. Barnevernstjenesten har som oppgave å avdekke om barn lever under forhold som kan gi grunnlag for tiltak i henhold til barnevernloven. For å kunne utføre sine lovpålagte oppgaver på en forsvarlig måte, er barnevernstjenesten avhengig av opplysninger om barn som kommer i kontakt med barnevernet. Formålet med opplysningene som ligger i en bekymringsmelding, tilsier at det er nødvendig å oppbevare meldingen i noe tid etter at denne er henlagt. I brev til Datatilsynet datert 6. juli 1993 var Barne- og familiedepartementet derfor av den oppfatning at bekymringsmeldinger som ikke blir fulgt opp med en undersøkelsessak, bør oppbevares i ett år før makulering. Barne- og familiedepartementet er i ferd med å utarbeide et rundskriv om taushetsplikt. Rutiner for oppbevaring og sletting av personopplysninger vil også bli behandlet i rundskrivet. Rundskrivet skal etter planen være ferdig i løpet av 2004.

Internasjonalt arbeid

Personvernarbeidet blir stadig mer internasjonalt. Dette skyldes ikke bare at problemstillingene stort sett vil være like fra land til land - men også stadig voksende muligheter for flyt av personopplysninger over landegrensene. Arbeids- og administrasjonsdepartementet anser det som banebrytende at det i 2003 ble opprettet et eget ombud for personvern i EU-kommisjonen.

Europakommisjonen gjennomførte i 2003 en omfattende undersøkelse i alle EU-landene om folks syn på personvern og informasjonssikkerhet. Resultatene viser store forskjeller mellom landene. De nordiske landene scorer jevnt over høyt når det gjelder tillit til at offentlige og private virksomheter ikke misbruker de registrerte personopplysningene. Videre ligger de nordiske landene over gjennomsnittet når det gjelder tillit til at arbeidsgivere behandler personopplysninger akseptabelt. Mindre oppløftende er imidlertid tallene vedrørende kjennskap til personvernlovverket og håndhevingen av dette. Her er tallene generelt lave i alle EU-landene. For mer informasjon om undersøkelsen og resultatene, se Datatilsynets hjemmesider på www.datatilsynet.no.

Klager behandlet av Arbeids- og administrasjonsdepartementet

Ordinære klager etter personopplysningsloven og helseregisterloven skal behandles av Personvernnemnda. Arbeids- og administrasjonsdepartementet behandler imidlertid klager av administrativ karakter som faller utenfor Personvernnemndas området. I 2003 behandlet Arbeids- og administrasjonsdepartementet én klagesak. Datatilsynets vurdering om avvisning ble opprettholdt fordi det påklagede forholdet lå utenfor Datatilsynets kompetanseområde.