2 Personvernnemndas årsmelding 2008
2.1 Sammendrag
Dette er Personvernnemndas åttende årsmelding. I løpet av året er det kommet seks klager, alle er ferdigbehandlet i 2008. Dessuten er tre klager fra 2007 ferdigbehandlet. I alt er det altså ferdigstilt ni klagesaker i løpet av året. Datatilsynets vedtak er omgjort helt eller delvis i tre av de ni sakene.
Saksmengden har vært stabil i forhold til 2007, hvor det ble behandlet totalt 11 saker. Personvernnemnda antar at saksmengden nå vil stabilisere seg på ca 10-12 klagesaker i året.
Flere av sakene har vært komplekse og prinsipielle. Personvernnemnda kan bare ta stilling i konkrete saker, men ser at det på flere områder er behov for en sektorovergripende rettspolitisk debatt. Nemnda er derfor glad for at Personvernkommisjonen ble opprettet. Et av varamedlemmene i nemnda – Mari Bø Haugstad – har også vært medlem av Personvernkommisjonen i 2008.
2.2 Innledning
Personvernnemnda er opprettet med hjemmel i lov om behandling av personopplysninger (2000:31). Loven trådte i kraft 1.1.2001. Personvernnemnda er et klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven og etter helseregisterloven (2001:24).
Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Fornyings- og administrasjonsdepartementet (FAD).
Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne, samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.
Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.
Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene.
2.3 Medlemmer
Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til oppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen. Første gangs oppnevning skjedde i 2001. I 2005 ble leder og nestleder, samt medlemmene Siv Bergit Pedersen og Hanne Inger Bjurstrøm, oppnevnt for fire nye år. Disse fire har i 2008 hatt sitt siste år av funksjonstiden i nemnda. Det ble også oppnevnt tre nye medlemmer i 2005, som i desember 2008 ble gjenoppnevnt for fire nye år. I desember 2008 ble det også oppnevnt ny leder og nestleder, samt to nye medlemmer, som starter sin funksjonstid 1.1.2009.
Personvernnemnda besto i 2008 av følgende personer:
Jon Bing, leder
Gro Hillestad Thune, nestleder
Siv Bergit Pedersen
Hanne I Bjurstrøm
Tom Bolstad
Leikny Øgrim
Jostein Halgunset
I tillegg har alle medlemmene personlige vararepresentanter.
2.4 Andre organisatoriske forhold
Sekretariatet til Personvernnemnda består av Tonje Røste Gulliksen, som ble ansatt som seniorrådgiver i Fornyingsdepartementet i 2005. Sekretariatet er samlokalisert med Forbrukerrådet og Forbrukerombudet i Rolf Wickstrøms vei 15 i Nydalen. Sekretæren avvikler såkalt gradert uttak av fødselspermisjon. Dette har ikke skapt praktiske problemer for nemndas arbeid.
Personvernnemnda holder sine møter i lokaler utenfor Datatilsynet og Regjeringskvartalet for også på denne måten å markere uavhengighet.
Personvernnemnda har egen hjemmeside, www.personvernnemnda.no , hvor blant annet vedtakene er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata lenket til det øvrige dokumenterte materialet. Dermed kan en bruker lett slå opp på Personvernnemndas vedtak ved oppslag på paragraf i personopplysningsloven, andre lover, dommer mv. som vedtakene viser til.
2.5 Møter og konferanser 2008
Personvernnemnda har i 2008 hatt i alt ni møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold har blitt behandlet.
I tillegg til nemndmøter har det vært forberedende møter med sekretariatet og leder.
Personvernnemnda hadde to kontaktmøter med departementet i 2008, i juni og november.
Personvernnemnda deltok på den internasjonale konferansen for datatilsynsmyndigheter i Strasbourg, Frankrike, 15. – 17. oktober. Leder Jon Bing, nestleder Gro Hillestad Thune og sekretær Tonje Røste Gulliksen representerte nemnda.
Personvernnemnda ytet økonomisk støtte til «Personvernkonferansen 2008», som ble arrangert av Avdeling for forvaltningsinformatikk, Universitetet i Oslo, 5.12.2008. Flere av Personvernnemndas medlemmer deltok på konferansen. Tema for konferansen var «Personvern – også i skolen?». Konferansen belyste personvern for barn og ungdom og drøftet personvern i skolen over en bred front. Konferansen var fulltegnet.
2.6 Evaluering av nemndas arbeid 2001–2008
Personvernnemnda inngikk i september 2008 en avtale med professor ved Københavns Universitet, Peter Blume, som er en anerkjent personvernrettsekspert. Blume er også medlem av Datarådet i det danske datatilsynet.
Bakgrunnen for avtalen var at nemnda snart skulle avslutte sin andre funksjonsperiode ved utgangen av 2008. Nemnda ønsket derfor en uavhengig, overordnet gjennomgang og vurdering av de vedtak som nemnda har truffet, med vekt på typer av vurderinger som nemnda har foretatt, Personvernnemndas praksis i forhold til den internasjonale utvikling og hvordan nemndas skjønn henger sammen med retninger og trender i andre europeiske land.
På bakgrunn av sin gjennomgang av Personvernnemndas praksis holdt Blume et innlegg under den årlige personvernkonferansen 5. desember. Han leverte sin rapport til nemnda 22. desember. Rapporten er publisert på Personvernnemndas hjemmeside.
2.7 Klagesaksbehandling
Personvernnemnda mottok i 2008 totalt seks klagesaker. Samtlige av disse var ferdigbehandlet ved utgangen av året. I tillegg ble tre saker fra 2007 ferdigbehandlet i 2008. Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene publisert i egen database hos Lovdata.
Saksmengden har holdt seg stabil i forhold til 2007. Flere av sakene har vært prinsipielle.
Personvernnemnda vil særlig fremheve to forhold i årsmeldingen.
Det første forholdet gjelder sakene om kredittopplysningsbransjen, PVN-2008-04 Lindorff og PVN-2008-05 Creditinform. Datatilsynet har laget en standardkonsesjon for kredittopplysningsforetak. Bruk av standardkonsesjon er et enkeltvedtak, men det binder Datatilsynet opp i å benytte samme konsesjon for alle foretak innen bransjen uten at dette har vært gjenstand for høring o.a. Etter nemndas syn ville det være mer hensiktsmessig å lage en forskrift med de rettssikkerhetsgarantier det medfører.
Det andre forholdet gjelder saken om det sentrale straffe- og politiopplysningsregisteret, PVN-2008-02 SSP. I denne saken mener nemnda at det er grunn til rettspolitisk ettertanke. Nemnda etterlyser en generell og overordnet rettspolitisk diskusjon av politiets registrering, oppbevaring, bruk og sletting av sensitive opplysninger. Etter nemndas syn bør det oppmuntres til en debatt blant relevante parter om hvordan dette systemet bør bygges opp. I en slik vurdering er det politifaglige bare et aspekt. Det andre aspektet gjelder datalagring og datasanering generelt. Dette er et prinsipielt spørsmål som berører nærmest alle sektorer og er et viktig samfunnsspørsmål.
Saker som ble behandlet i 2008 er:
PVN-2007-02 Bibliotek-Systemer
Klage på Datatilsynets avslag hvoretter Bibliotek-Systemer AS ikke får utvikle bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike låntakerne låner – såkalt korrelasjonsdatabase
Bibliotek-Systemer AS har påklaget et vedtak fra Datatilsynet som går ut på at de ikke får utvikle en bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike boklåntakerne låner – en såkalt korrelasjonsdatabase. Datatilsynet er av den oppfatning at tjenesten innebærer en personverntrussel. Det vises til at det opprinnelige formålet med bibliotekenes låneopplysninger er å administrere låneforholdet. Som en følge av dette skal opplysningene normalt slettes når boken leveres tilbake, jf personopplysningsloven § 28. Nemnda mener at personverntrusselen er liten, men kommer likevel til at Bibliotek-Systemer AS kun har adgang til å etablere en korrelasjonsdatabase dersom det innhentes samtykke fra de registrerte.
PVN-2007-06 OBOS
Klage på Datatilsynets avvisningsvedtak. Begjæring om innsyn i dokumenter, advokaters taushetsplikt og spørsmål om hvor langt Datatilsynets utredningsplikt går
Klager begjærte innsyn i opplysninger i forbindelse med en konflikt mellom et OBOS-borettslag og klagers mor, jf personopplysningsloven § 18. Datatilsynet fulgte opp innsynsbegjæringen, men avsluttet saken da OBOS påberopte at innsyn ikke kunne gis fordi opplysningene er unntatt fra innsynsretten etter personopplysningsloven § 23 litra d, med bakgrunn i advokaters taushets- og konfidensialitetsplikt, jf domstolloven § 224 og advokatforskriftens kap 12 pkt 2.3. Nemnda tok ikke klagen til følge. Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven. Det var ikke en saksbehandlingsfeil at Datatilsynet ikke gjennomførte en stedig kontroll hos OBOS i denne saken.
PVN-2007-07 ung1881.no
Klage på Datatilsynets vedtak om at Opplysningen må innhente samtykke fra abonnent før Opplysningen kan benytte informasjon om brukere av mobiltelefonnummer som de får på nettstedet ung1881.no til å oppdatere sin opplysningstjeneste
Klage på Datatilsynets vedtak om at Opplysningen må innhente samtykke fra abonnent før Opplysningen kan benytte informasjon om brukere av mobiltelefonnummer som de får på nettstedet ung1881.no til å oppdatere sin nummeropplysningstjeneste. Nemnda tok ikke klagen til følge og viste til at dette er regulert i ekomforskriften § 6-3. Ekomforskriften gir abonnenten kontroll med hvilke opplysninger som gjøres tilgjengelig for allmennheten, og det bryter mot denne ordningen at man åpner en «bakvei» for uavhengig av abonnenten å endre eller supplere opplysningene. Nemndas flertall kom til at Opplysningen må be om samtykke fra abonnenten før informasjonen fra ung1881.no kan brukes til å oppdatere nummeropplysningstjenesten, jf hovedregelen i personopplysningsloven § 8.
PVN-2008-01 Utleiemegleren
Klage på Datatilsynets vedtak om at Utleiemegleren skal stanse sin behandling av kredittopplysninger vedrørende interessenter til leie av boliger
Klage på Datatilsynets vedtak om at Utleiemegleren skal stanse sin behandling av kredittopplysninger vedrørende interessenter til leie av boliger. Datatilsynet mente at Utleiemegleren ikke har et «saklig behov» for å innhente kredittopplysninger om interessenter, jf personopplysningsforskriften § 4-3. Datatilsynet viste til flertallets vurderinger i KLP-saken, PVN-2006-03. Personvernnemnda kom etter en konkret vurdering kommet til at det i denne saken foreligger saklig behov for kredittopplysninger. Saken skiller seg fra KLP-saken fordi Utleiemegleren handler på vegne av enkeltpersoner. For en privatperson er det en høy forretningsmessig risiko forbundet med boligutleie. Nemnda mener at kun den som får tilbud om å leie boligen kan bli kredittvurdert som en siste sjekk før tilbudet gis.
PVN-2008-02 SSP
Klage på Datatilsynets vedtak om at Kripos skal slette opplysninger om en person i det sentrale straffe- og politiopplysningsregisteret (SSP)
Personvernnemnda kom til at domstolens beslutning om varetekt faller innenfor personopplysningsloven, jf ordlyden i personopplysningsloven § 2 nr 8. Opplysningen ligger under Datatilsynets tilsynsmyndighet. Strafferegistreringsloven har ingen bestemmelser om sletting av opplysninger. Utfyllende regler må derfor finnes i personopplysningsloven, jf personopplysningsloven § 5. Nemnda gjennomgår politiets instrukser og praksis, men personopplysningsloven har forrang. Instrukser og praksis kan brukes for å tolke hvor lenge lagring er «nødvendig for å gjennomføre formålet med behandlingen», jf personopplysningsloven § 28. Nemnda finner etter en totalvurdering at i denne konkrete saken er den 20 år gamle opplysningen ikke lenger nødvendig for å gjennomføre formålet med behandlingen og skal derfor slettes. Nemnda er bekymret over den vide tilgangen til SSP og foreslår at politiet tar i bruk virkemidler for å begrense tilgangen til opplysningene.
PVN-2008-03 OBOS-megleren
Klage på Datatilsynets vedtak om at OBOS-megleren må sørge for tilfredsstillende tilgangsbegrensning i henhold til ansattes tjenstlige behov ved bruken av eMegler
Klage på Datatilsynets vedtak om at OBOS-megleren må sørge for tilfredsstillende tilgangsbegrensning i henhold til ansattes tjenstlige behov ved bruken av eMegler, slik at meglerne kun har tilgang til opplysninger knyttet til sitt eget kontor. Nemnda var ikke enig i Datatilsynets rettsanvendelse og kom til at personopplysningsloven § 11 bokstavene b og d, samt personopplysningsforskriftens § 2-11 ikke krever at tilgangen til eMegler begrenses til det enkelte kontor i denne saken. Klagen ble tatt til følge.
PVN-2008-04 Lindorff
Klage på Datatilsynets vedtak om at Lindorff ikke kan benytte opplysninger om tidligere adresser i kredittvurdering av en privatperson
Klage på Datatilsynets pålegg om at Lindorff ikke kan benytte historiske adresser som variabel i kredittvurdering av en privatperson. Personvernnemnda kom til at når adresse er klassifisert under «kontaktopplysninger», må dette bety at det bare er nåværende adresse som er en korrekt og relevant opplysning. Etter nemndas syn er det en rimelig tolkning av konsesjonen at adresse bare skal brukes til kontakt, ikke som variabel i kredittvurdering. Mindretallet finner også at bare aktuelle adresser kan registreres, men mener at den aktuelle adressen kan brukes som variabel i kredittvurdering.
PVN-2008-05 Creditinform
Klage på Datatilsynets vedtak om at Creditinform må stoppe salg av verdiøkende produkter inntil konsesjon for slik bruk av kredittopplysningsdatabasen foreligger
Klage på Datatilsynets vedtak om at Creditinform må stoppe salg av «bransjeanalyser» inntil konsesjon for slik bruk av kredittopplysningsdatabasen foreligger. Klagen ble tatt til følge. Personvernnemnda mener at bransjeanalyser er omfattet av gjeldende konsesjon. Etter nemndas mening må Datatilsynet av eget tiltak trekke konsesjonen tilbake og regulere salg av tjenesten «bransjeanalyse» i en ny og endret konsesjon dersom tilsynet mener at dette er nødvendig. Det vil ha den konsekvens at alle kredittopplysningsforetak vil bli behandlet likt, i og med at dette er en standardkonsesjon.
PVN-2008-06 Pasient hos fysioterapeut
Klage på Datatilsynets avvisningsvedtak. Klager anmodet Datatilsynet om å gjennomføre et tilsyn hos en fysioterapeut. Dette ble avvist. Klager påklaget avvisningsvedtaket
Klager mener at Datatilsynet skulle ha foretatt tilsyn hos en fysioterapeut som klager har vært pasient hos. Klager hadde klaget fysioterapeuten inn for Helsetilsynet for feilbehandling. Helsetilsynet fikk ikke pasientjournal som det ba om fordi fysioterapeuten hadde fått virus på datamaskinen og ødelagt harddisk. Fysioterapeuten sendte harddisken til IBAS, men IBAS klarte ikke å gjenopprette eller rekonstruere innholdet. Helsetilsynet ga fysioterapeuten en advarsel for brudd på journalforskriften. Etter Personvernnemndas syn, har Datatilsynet gjort det som kan gjøres i denne saken. Klager har fått innsyn i IBAS-rapporten. Når IBAS ikke klarer å gjenopprette eller rekonstruere innholdet på harddisken, er det ikke sannsynlig at andre vil klare det.
2.8 Regnskap og budsjett for 2008
Personvernnemnda hadde i 2008 en budsjettramme på kr 1 600 000, og fremkommer under kap 1500 Fornyings- og administrasjonsdepartementet i statsbudsjett for 2008.
Totalt forbruk: kr 1 242 341. Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, deltakelse på seminar og den internasjonale konferansen, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler.
Oslo, 9. januar 2009
For Personvernnemnda
Jon Bing (leder)