2 Personvernnemndas årsmelding for 2003
2.1 Sammendrag
Dette er Personvernnemndas (PVNs) tredje årsmelding. I løpet av året er det kommet åtte klager, hvorav seks er ferdigbehandlet. Nemnda begynner å få et visst erfaringsgrunnlag. Klagesakene er selvsagt konkrete, men flere av dem har likevel vært prinsipielle.
I de i alt åtte sakene som kom inn til PVN i 2003, er Datatilsynets vedtak omgjort helt eller delvis i to av sakene. Blant klagesakene vil det naturlig nok være en forholdsvis stor andel som det knytter seg tvil til tolkningen av bestemmelsene i personvernlovgivningen eller de vurderinger de forutsetter. PVN søker å ha for øyet at de konkrete vedtakene også skal bidra til en avklaring av gjeldende rett.
2.2 Innledning
PVN er opprettet med hjemmel i lov om behandling av personopplysninger (2000:31). Loven trådte i kraft 1. januar 2001 og PVN skal behandle klager på vedtak som Datatilsynet fatter etter personopplysningsloven. PVN skal også behandle klager på vedtak som Datatilsynet fatter etter helseregisterloven (2001:24).
Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Arbeids- og administrasjonsdepartementet.
PVNsarbeid reguleres av personopplysningsloven, forskrifter til denne, samt en instruks som Arbeids- og administrasjonsdepartementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.
Selv om Arbeids- og administrasjonsdepartementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.
Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene.
2.3 Oppnevning av medlemmer
Personvernnemnda har syv medlemmer som oppnevnes for fire år med adgang til oppnevning for ytterligere fire år. Første gangs oppnevning skjedde i 2001. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer utnevnes av Kongen.
PVN består av følgende personer:
Jon Bing, leder
Gro Hillestad Thune, nestleder
Per Anders Stalheim
Dag Elgesem
Siv Bergit Pedersen
Sidsel Rogde
Hanne I Bjurstrøm
I tillegg er det oppnevnt personlige vararepresentanter.
2.4 Øvrige organisatoriske forhold
PVN holder sine møter i lokaler utenfor Datatilsynet og Regjeringskvartalet for også på denne måten å markere uavhengighet. AAD utlyste og gjennomførte en anbudskonkurranse for oppdraget som PVNs sekretariat. Kontrakt ble tildelt advokat Camilla Sivesind Tokvam, og gjelder for ett år med mulighet for fornyelse for ytterligere et år.
Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor blant annet vedtakene er publisert. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Nettet.
I 2003 har PVN arbeidet med et prosjekt for sikker e-post utveksling mellom medlemmene og sekretariatet. Prosjektet forventets ferdigstilt i mars 2004, og innebærer at alle saksdokumenter oversendes elektronisk.
2.5 Møter og seminar i 2003
PVN har i 2003 hatt i alt syv møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold som arbeidsform og saksbehandling, samt vurdering av budsjett og budsjettforslag for 2004 har blitt behandlet i møtene. I tillegg til nemndmøter har det vært forberedende møter med sekretariat og en eller flere medlemmer, samt enkelte tilsvarende møter i forbindelse med behandling av klagesaker.
PVN har hatt to møter med AAD.
PVN arrangerte seminar 10. oktober hvor tema var «Personvern og helseopplysninger».
Seminart tok sikte på å belyse enkelte sider av bruk av personopplysninger i helsesektoren og til medisinsk forskning. Det var ca. 50 deltagere. Programmet var som følger:
Professor dr. juris Erik Boe (Institutt for offentlig rett, Universitetet i Oslo) «Helseregisterloven - historikk og forventninger»
Professor Aslak Syse (Institutt for offentlig rett, Universitetet i Oslo) «Moderne bioteknologi og rettslig regulering. Forskningens behov og individets beskyttelse. Etiske og juridiske grenser»
Førsteamanuensis dr. juris Lee A Bygrave (Institutt for rettsinformatikk, Universitetet i Oslo) «Personopplysninger og biologisk materiale»
Direktør Frøydis Langmark (Kreftregisteret) «Medisinsk forskning og behovet for personlige opplysninger.
2.6 Klagesaksbehandling
PVN behandlet i 2003 totalt åtte klagesaker. Seks av disse var ferdigbehandlet ved utgangen av året. Oversikt over vedtak, og vedtakene selv er lagt ut på PVNs hjemmesider, samt at vedtakene oversendes elektronisk til Datatilsynet som publiserer disse på egne hjemmesider.
Antallet saker i 2003 er det samme som i 2002. Erfaringene fra Justisdepartementet som var klageorgan under den tidligere personregisterloven antyder et årlig antall på ca 10 saker.
Saker som er behandlet i 2003 er:
Sak nr. 1/2003: Personvernnemnda sluttet seg til Datatilsynets vurdering at hvis man baserte et sentralt låneregister på samtykke av de registrerte, ville registeret knapt møte kravet til datakvalitet i personregisterloven § 11, 1.ledd litra d og e. Personvernnemnda mente at å gjøre samtykke til en forutsetning for å få lån, ville gjøre at samtykket ikke ville møtet kravet i personregisterloven § 2 nr 7 om bl.a. frivillighet. Personvernnemnda antok at etablering av et slikt sentralt register vanskelig kan etableres uten hjemmel i lov.
Sak nr. 2/2003: Klager var registrert i Sentralkartoteket for alvorlig sinnslidende (»Psykoseregisteret») med Riksarkivaren som behandlingsansvarlig. Bakgrunnen for registreringen var en frivillig innleggelse med diagnosen «depressiv nevrose». Personvernnemnda kom til at klagen måtte behandles etter personopplysningsloven, ikke helseregisterloven. Personvernnemnda fant at registreringen var å betegne som sterkt belastende for den registrerte etter personopplysningsloven § 28. Etter en vurdering av forholdet til samfunnsmessige interesser kom Personvernnemnda til at hele innførselen i registeret angående den registrerte måtte slettes. Dissens (5-2). Datatilsynets vedtak ble omgjort.
Sak nr 3/2003: I forbindelse med boligadresseringsprosjektet innførte Statens kartverk et attributt i registeret over grunneiendom, adresse og bygning (GAB) kalt «boligtype». Dette ble innført fordi et annet attributt i registeret, «bygningstype», i sin definisjon anga hvor mange boliger bygningen hadde. Særlig for boliger oppført før 1983 var det en viss inkonsistens mellom denne definisjonen og det antall boliger som faktisk fantes i bygningen. Boligadresseringsprosjektet hadde bl a som formål å tildele en unik adresse til hver bolig, og det var derfor nødvendig at GAB reflekterte det antall boliger som bygningen faktisk inneholdt. Av praktiske og tekniske årsaker, innførte derfor Statens kartverk et nytt attributt i GAB (uten samtidig å endre GAB-forskriften tilsvarende). Stavanger kommune utnyttet disse opplysningene ved samkjøring med andre registre for å identifisere ulovlige boliger. Personvernnemnda finner at opplysningene avgitt til boligadresseprosjektet med formål å utarbeide statistikk og forbedre kvaliteten på enkelte registre, bl.a. GAB, ikke kan benyttes til slike kontrollformål, jf. personopplysningsloven § 11. 1.ledd litra c. Datatilsynets vedtak om å forby slik bruk av opplysningene opprettholdes.
Sak nr 4/2003: Klager ønsket slettet opplysninger om seg selv i en journal ført i forbindelse med en barnevernjournal. Klager var ikke selv part i saken, men opptrådte av og til på vegne av parten, som var klagers barn. Selve barnevernsaken gjaldt klagers barnebarn. Journalen var omfattende (nær 400 dokumenter) og klager påpekte en rekke opplysninger som ble hevdet å være uriktige, f.eks. hvordan klagers adferd ble oppfattet på møter, tidspunkter for møter og telefoner mv. Personvernnemnda manglet grunnlag for å vurdere hva som var uriktige opplysninger, og gjennomføringen av sletting ved overstrykning i papirdokumenter ville være praktisk vanskelig. Dokumentene var også relevante i en barnevernssak som på vedtakstidspunktet ikke var avsluttet, jf. personopplysningsloven § 27, 2 ledd. Personvernnemnda opprettholdt Datatilsynets vedtak om at klagers anførsler skulle supplere journalen, slik at vedkommende som ser journalen, vil kunne gjøre seg kjent med klagers fremstilling. Nemnda presiserte vedtaket dit hen at to brev til nemnda med kommentarer også skulle supplere journalen, forutsatt at klager samtykket i dette.
Sak nr 5/2003:Spørsmål om konsernkunderegister skal kunne inneholder opplysninger om produkttype. Datatilsynet tillater at registeret inneholder opplysninger om produktkategori (betalingsformidling, spare- og innskuddsprodukter, lån og kredittgivning), men ikke produkttype (f.eks. at lånet er et fastrente lån). Personvernnemnda peker på at en endring i gjeldende praksis vil ha store praktiske konsekvenser, ettersom registrene da må endres. Spørsmålet vil bli lovregulert på grunnlag av NOU 2001:23 Finansforetakenes virksomhet, og lovproposisjon ventes i løpet av våren 2004. På denne bakgrunn omgjør Personvernnemnda Datatilsynets vedtak og tillater inntil videre fortsatt registrering av produkttype i konsernkunderegisteret. (ferdigbehandlet i 2004)
Sak nr 6/2003: Norsk Rikstoto ønsket å bruke fødselsnummer for identifikasjon av spillere. Etter personopplysningsloven § 12 kan fødselsnummer bare brukes «når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering» I likhet med Datatilsynet fant Personvernnemnda at det forelå saklig grunn for sikker identifisering, men - også i likhet med Datatilsynet - at den metoden som ble benyttet ikke ga sikker identifisering. Jf. klagesak 07/2002. Klagen ble ikke tatt til følge.
Sak nr. 7/2003: Spørsmål om Tuberkuloseregisteret regelmessig skal påføres opplysninger fra UDI for å sikre kvaliteten på opplysningene. Tuberkuloseregisteret er et sentralt register opprettet i medhold av lov. Personvernnemnda anser at vurderingen om innhenting av opplysninger må foretas i henhold til denne loven, og at det er et prinsipielt spørsmål som Helsedepartementet må vurdere, og eventuelt hjemle ved endringer i forskriften for registeret. Datatilsynets vedtak opprettholdt. (ferdigbehandlet i 2004)
Sak nr 8/2003: Krav om omgjøring av Personvernnemndas vedtak i klagesak 08/2002 - Ullevål sykehus, avvist.
Vedtakene er lagt ut på PVNs hjemmeside, http://www.personvernnemnda.no. Inntrykket av klagesakene er at selv om de alle er konkrete, kan man likevel peke på to hovedsaker.
For det første er enkelte av årets saker av prinsipiell karakter. PVN peker her særlig på sak 2/2003, som angikk sletting av opplysninger fra det såkalte «Psykoseregisteret», og hvor Riksantikvaren er behandlingsansvarlig. Sak 3/2004 gjaldt bruk av opplysninger fra Boligadresseinnhentingsprosjektet av en kommune til kontroll, og belyste forholdet til de gjeldende forskriftene. Sak 7/2003 gjaldt overføring av opplysninger fra UDI for å sikre kvalitet i Tuberkuloseregistret, her henviste PVN til at dette måtte ordnes ved endring av de forskrifter som gjelder for registeret.
For det andre har det gjort inntrykk på PVN det betydelige engasjement som den enkelte klager legger i saken. Dette understreker hvordan den enkelte kan føle sitt personvern krenket, og den betydning det vern som loven gir har i praksis. PVN peker her på sak 2/2003 om det såkalte «Psykoseregisteret» og sak 4/2003 om opplysninger i en barnevernjournal.
2.7 Regskap og budsjett for 2003
Personvernnemnda hadde i 2003 en budsjettramme på 1,2 mill kroner, og fremkommer under kap 1500 Arbeids- og administrasjonsdepartementet i statsbudsjett for 2002.
Totalt forbruk: kr 864.766. Personvernnemnda disponerte sin bevilgning til innkjøp av nødvendig litteratur, utstyr, tjenester, gjennomføring av seminar, deltagelse på konferanse for tilsynsmyndigheter, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, godtgjørelse til sekretariat og leie av møtelokaler.
For Personvernnemnda
Jon Bing, leder