3 JUSTISDEPARTEMENTETS MERKNADER TIL ENKELTE PUNKTER I DATATILSYNETS ÅRSMELDING FOR 1996
Til kapittel 3 Datatilsynets virksomhet i 1996
Justisdepartementet har merket seg Datatilsynets redegjørelse under dette punktet. Det fremgår at Datatilsynet gjennomfører en stadig vurdering av både registerkonsesjoner og konsesjoner for virksomheter som må ha slik tillatelse for å drive selve virksomheten. Arbeidet har medført skjerpede vilkår og en særlig vekt på mer informasjon til registrerte personer og publikum. Justisdepartementet ser positivt på en slik gjennomgang av konsesjonene for å styrke personvernet.
Den 1. januar 1997 trådte endringer i personregisterforskriften i kraft. Endringene innebærer at flere personregistre enn tidligere er fritatt fra konsesjonsplikt. Dette medfører at Datatilsynet har fått frigitt tid fra ordinær konsesjonsbehandling til andre oppgaver. Forskriftsendringene innebærer også språklige og systematiske endringer som gjør forskriften lettere tilgjengelig.
Når det gjelder Datatilsynets økonomiske situasjon, vurderer Justisdepartementet til enhver tid hvilke ressursbehov Datatilsynet måtte ha for en tilfredstillende løsning av de pålagte oppgaver.
Til kapittel 4 Tolkning av personregisterloven: saker i 1996
«Smuglersaken» - utlevering av opplysninger fra Tollvesentet til arbeidsgiver
I Datatilsynets årsmelding omtales den såkalte «Smuglersaken» og problemstillinger i tilknytning til sakskomplekset vedrørende utlevering av opplysninger om tollovertredelse fra Tollvesenet til arbeidsgiver.
I tolloven § 8 nr. 1 fremgår det at «Taushetsplikten ikke (..er..) til hinder for at opplysningene i en sak gjøres kjent for sakens parter eller deres representanter». Ordet «part» tolkes i overensstemmelse med forvaltningsloven § 2 litra e som «....person som en avgjørelse retter seg mot eller som saken ellers direkte gjelder». Tollovertredelser som foretas i en sammenheng der den ansatte opptrer i egenskap av privatperson, vil i utgangspunktet ikke gjelde arbeidsgiveren. Arbeidsgiveren vil under normale omstendigheter ikke bli trukket inn som part i saken, verken i forvaltningen eller rettsapparatet. Så lenge forholdene ikke er konkretisert, direkte eller indirekte, må det imidlertid på generelt grunnlag kunne gis en redegjørelse fra Tollvesenet til en virksomhet om at ansatte i virksomheten er tatt i smugling.
Dersom den ansatte er i tjeneste når overtredelsen finner sted blir partsspørsmålet noe anderledes, og en arbeidsgiver vil oftere kunne være part i saken. Det avgjørende må være om det kan sies at saken har en slik faktisk betydning for arbeidsgiveren at den må sies å direkte gjelde denne. Den aktuelle overtredelse kan f.eks. være av en så alvorlig art eller av et slikt omfang at det er arbeidsgiveren som anmeldes enten istedenfor eller sammen med den ansatte.
Tolloven § 70 gir adgang til å nekte en person å representere vareeier ved tollekspedisjon av varer dersom denne «....har opptrådt i strid med meddelt tillatelse, eller har gjort seg skyldig i annet straffbart forhold overfor tollvesenet». Det er i denne sammenheng uten betydning om personens overtredelse er gjort i egenskap av privatperson eller i tjeneste. Vedtaket om å nekte en person å representere vareeier/arbeidsgiver ved tollekspedisjon vil også rette seg mot arbeidsgiver idet det vil være av betydning for vareeier/arbeidsgivers muligheter for å disponere den ansatte til en bestemt type oppdrag. Arbeidsgiveren må her derfor karakteriseres som part i saken.
Bruk av personopplysninger i journalistisk virksomhet
Bruk av personopplysninger i journalistisk virksomhet reiser flere prinsipielle spørsmål. Datatilsynet viser i årsmeldingen til at man har sett flere eksempler på at pressen har kjøpt opplysninger fra kredittopplysningsforetak. Justisdepartementet anser ikke at personregisterloven gir tilstrekkelige holdepunkter for å hindre at kredittopplysninger selges til bruk i journalistisk øyemed. Utlevering av kredittopplysninger reguleres av personregisterloven § 17. Av denne bestemmelsen fremgår det at «Kredittopplysning ikke (..må..) gis når det etter det som foreligger, går fram at bestilleren ikke har saklig behov for dem». «Saklig behov» som kriterium for hvilke bestillere som skal kunne bestille kredittopplysninger, er utpreget skjønnsmessig. Av forarbeidene til bestemmelsen fremgår det at det ikke burde stilles for strenge krav for adgangen til å få opplysninger, og kriteriet «saklig behov» burde derfor tolkes romslig. En streng tolkning av vurderingskriteriet ble i lovens forarbeider ikke ansett viktig idet det ville være lett for en bestiller å motivere bestillingen på en slik måte at den må anses som saklig. Journalistisk bruk av kredittopplysninger kan isolert sett normalt ikke karakteriseres som utslag av usaklig bruk av kredittopplysningene. Det kan imidlertid tenkes tilfeller hvor journalistisk bruk rammes av bestemmelsen. Kredittopplysningsbyråene må i slike tilfeller anvende det skjønn som loven tillegger dem i vurderingen av hva som er «saklig behov». Det er også viktig å presisere pressens egen varsomhetsplikt. Pressen vil ofte ha tilgang til opplysninger av en slik art at grensene for det etisk forsvarlige overtres dersom de trykkes. Pressens bruk av opplysninger må derfor underkastes vanlige etiske vurderinger, uavhengig av om opplysningene stammer fra kredittopplysningsbyrå eller fra andre kilder.
Til kapittel 5 Temaer
Nettverk: global elektronisk kommunikasjon
Nettutvikling basert på åpne, standardiserte kommunikasjonsløsninger er en trend som reiser nye utfordringer i forhold til sikkerhet generelt og personvern spesielt. Som Datatilsynet peker på er det mange farer forbundet med bruk av åpne kommunikasjonsnett som Internett. Det er imidlertid også en stadig utvikling av produkter og tjenester som bl.a. skal redusere farene og ivareta personvernhensynene på best mulig måte.
Når man benytter seg av datakommunikasjon vil aktivitetene på nettet logges. Den primære funksjonen med logging er å overvåke drift og eventuelt avdekke uautoriserte angrep. Slike aktivitetslogger i edb-system eller datanett er etter endring i personregisterforskriften pr. 1.1.1997 fritatt fra konsesjonsplikt når registeret kun brukes til administrasjon av systemet og til å avdekke eller oppklare brudd på sikkerheten i edb-systemet. Annen bruk av loggen er således ikke tillatt dersom det ikke foreligger særskilt tillatelse til det i form av avtale mellom partene i arbeidslivet.
Datatilsynet gir i årsmeldingen uttrykk for at det er «enkelt å samle informasjon om all kommunikasjon en person eller en organisasjon deltar i...» Det er klart at dette er mulig, men ikke nødvendigvis enkelt. Slik oversikt vil kreve både fagkunnskap og tilgang til sentrale systemer, som i utgangspunktet er realtivt godt sikret fysisk og datateknisk. Det er etter departementets vurdering riktig å gjøre rede for de trusler vi står overfor. Samtidig er det viktig å ikke spre ubegrunnet frykt.
Det tverrdepartementale Rådet for IT-sikkerhet skal tjene som forum for erfaringsutveksling, samordning og initiativ bl.a. til nye tverrsektorielle sikkerhetstiltak. Også miljøer utenfor departementene skal kunne inviteres til drøftinger i rådet dersom sakene tilsier det. Rådet arbeider for tiden med utredning av en ordning for sertifisering av IT-sikkerhet i Norge. Rapport om dette forventes ferdigstilt i løpet av 1997. Rådet vil, sammen med Datatilsynet, være viktige aktører når det gjelder å skape bevissthet om IT-sikkerhetsarbeidet i Norge.
Overvåking
Når det gjelder bruk av satelittsporing innenfor transportsektoren er departementet enig med Datatilsynet i at dette er systemer som vil kunne ha uheldige sider i forhold til personvernet dersom de gir mulighet for å kartlegge den enkelte trafikkant. Ved bruk av slike systemer f.eks. i transportsektoren, er det derfor viktig at partene i arbeidslivet er med og utformer regler for bruk av slike systemer på sin arbeidsplass.
Bruk av offentlig vei skal prinsipielt være fri for overvåking av den enkelte. Dagens ulike ordninger for betalingskontroll medfører en registrering av trafikantene som kan være en trussel mot personvernet. Det er lovfestede begrensninger for å få utlevert opplysninger fra slike registre. Hjemmel for utlevering av opplysninger finnes i straffeprosessloven § 210. Denne bestemmelsen stiller ikke krav om at saken skal gjelde etterforskning av kjent gjerningsmann. Det er imidlertid et prinsipp at det straffbare forhold må være tilstrekkelig konkretisert. Det kan for øvrig nevnes at automatisk trafikkontroll og vegtrafikktelematikk behandles i Norsk veg- og vegtrafikkplan 1998-2007.
For øvrig kan det opplyses at Skauge-utvalget i sin innstilling foreslår strengere regler om overvåking. En del overvåking vil være elektronisk behandling av personopplysninger. Dette gjelder f eks fjernsynsovervåking med billedopptak som lagres digitalt. I så fall får loven anvendelse på vanlig måte, blant annet slik at overvåkingen utløser meldeplikt, at Datatilsynet har adgang til å gi pålegg om at ulovlig overvåking skal opphøre, og adgang til å ilegge tvangsmulkt dersom pålegget ikke etterkommes.
Det er ikke all overvåking som vil være elektronisk behandling av personopplysninger i lovens forstand. Et eksempel på overvåking som i utgangspunktet faller utenfor lovens saklige virkeområde, er fjernsynsovervåking uten billedopptak. Også for slik overvåking er det etter utvalgets syn behov for strengere regler enn i dag, og utvalget foreslår at det også for denne type overvåking bl a skal være meldeplikt og adgang for Datatilsynet til å gi pålegg om at ulovlig overvåking skal opphøre samt tvangsmulkt.