1 Datatilsynets årsmelding for 2011

Forord

Sosiale medier vokser hurtig, applikasjoner for mobil og andre plattformer utvikles i et rasende tempo, kontrolltiltak i arbeidslivet blir stadig billigere og enklere å innføre, samt en på mange måter foreldet IKT-struktur i helsesektoren utfordrer personvernet på ulike måter.

I et slikt landskap er det avgjørende å ha et godt strategisk rammeverk, og det har det vært en prioritert oppgave for Datatilsynet å få dette på plass. Et høydepunkt ble nådd da vi i november 2011 lanserte «Datatilsynets strategi for årene 2011-2016». Her trekker vi fram de viktigste utfordringene personvernet står overfor og beslutter de viktigste målene og satsingene i neste femårsperiode. Også på enkeltområder har det vært viktig med en mer strategisk tilnærming. Helsesektoren behandler store mengder sensitive opplysninger og er preget av stor politisk endringsvilje. Datatilsynets «Strategi for godt personvern i helsesektoren» peker ut personvernets vei fremover i dette landskapet.

Datatilsynet har i 2011 jobbet etter en helt ny virksomhetsplanstruktur. Vi har hatt seks prioriterte områder på virksomhetsplanen: internett og telekommunikasjon, arbeidsliv, justis, økonomi og finans, samferdsel og helse. Arbeidsformen har vært mer utredningsbasert enn tidligere, og vår rapport om Facebook har vakt oppmerksomhet utenfor landets grenser, og har ført til at vi leder de nordiske landenes dialog med Facebook. Dette viser at det selv for et lite tilsyn fra et lite land er mulig å komme i dialog med internasjonale giganter ved godt strategisk arbeid.

På slutten av meldingsåret kom det første utkastet til ny EU-forordning på bordet. Det var mye godt personvern i forslaget, blant annet å opprette et nytt kollektivt europeisk organ på personvernområder; European Data Protection Board, der alle datatilsynsmyndigheter i EU-land har møterett. Som ikke-medlem er Norge i utgangspunktet utelukket fra å delta i dette svært viktige organet. Verdt å merke seg er også at en forordning ikke gir rom for nasjonale tilpasninger. Skal vi påvirke arbeidet må det gjøres nå. Denne korte innledningen avsluttes derfor med en oppfordring til hele det politiske miljøet om å mobilisere sine nettverk for å påvirke forordningen. Dette for å sikre et godt personvern for norske borgere, og sørge for at vi får innpass i de organene der beslutninger treffes.

Bjørn Erik Thon

Direktør

1.1 Datatilsynets strategi 2011 – 2016

De siste årene har det vært det vært et overordnet mål for Datatilsynet å utvikle en mer strategisk og planmessig arbeidsform med større vekt på prioriteringer. I slutten av 2010 ble en ny resultatorientert virksomhetsplan for 2011 vedtatt. I planen var ulike områder og sektorer prioritert i forhold til hverandre. Ved slutten av meldingsåret er de aller fleste av målene som ble satt der gjennomført, og det er oppnådd gode resultater på en rekke områder.

Det er imidlertid behov for å se lenger fram i horisonten enn kun ett år. En viktig oppgave i 2011 har derfor vært å vedta en ny, overordnet strategi for tilsynet. Strategiprosessen ble tidsmessig lagt parallelt med en evaluering av Datatilsynet som ble gjennomført av Direktoratet for forvaltning og IKT (Difi), og denne evalueringen ga viktige innspill til den interne strategiprosessen. Planarbeidet har krevd til dels store interne ressurser inneværende år, men nå er det til gjengjeld lagt et solid grunnlag for videre fremadrettet arbeid i tilsynet.

En viktig del av strategiarbeidet var å samles om en visjon og definere felles verdier og overordnede mål.

Visjon: «Datatilsynet – i front for retten til selvbestemmelse, integritet og verdighet.»

Datatilsynets verdier er å være uredd, troverdig, entusiastisk og kunnskapsrik, og i strategien trekkes det fram fire overordnede mål. Datatilsynet skal:

• sette borgeren i stand til å ivareta sitt eget personvern,

• aktivt kontrollere at lover og regler følges,

• være Norges mest kompetente fagmiljø på personvern, og

• ha stor synlighet i personverndebatten.

Strategien inneholder også en framstilling av hva personvern egentlig er, sett fra Datatilsynets ståsted. Videre gjennomgår strategien Datatilsynets roller og de virkemidlene tilsynet har til disposisjon.

Den mest sentrale delen av strategien er de satsingene tilsynet skal sette i verk for å oppnå de overordnede målene og utføre de lovpålagte oppgavene på en god måte. Datatilsynet skal blant annet:

• jobbe aktivt for å få andre aktører opptatt av personvern. Dette innebærer utstrakt kontakt og aktiv dialog med næringslivets organisasjoner, private aktører, andre tilsyn og departementer.

• ha kvalitet i alle ledd, både når det gjelder tilsyn, juss og kommunikasjonsvirksomhet, samt administrativt. Dette betyr også mer kontakt med forsknings- og utviklingsmiljøer for å kunne være et ledende fagmiljø på personvern.

• være bevisst sin bruk av roller – og riktig bruk av virkemidler. Det er viktig at Datatilsynet bruker de ulike rollene på en riktig måte. Dette skaper større forutberegnelighet for omverdenen, og ikke minst større mulighet for å få gjennomslag i viktige saker.

• ha teknologifokus – særlig på personvernvennlig teknologi og såkalt «privacy by design». Dersom gode personvernløsninger bygges inn i teknologien allerede i designstadiet, er det bedre for personvernet, og billigere for de som utvikler ulike tjenester, enn om virksomhetene må gjøre det i ettertid.

• ha effektiv saksbehandling, risikobasert tilsynsvirksomhet og klare prioriteringer. Stor saksmengde nødvendiggjør at tilsynet erkjenner at alle saker ikke er like viktige, og at det arbeides effektivt med klare opp- og nedprioriteringer.

• ha aktivt internasjonalt engasjement. Personvernlovgivningen er i stor grad basert på EU-direktiver. Deltagelse i ulike internasjonale fora er derfor svært viktig for Datatilsynet. Det samme gjelder å ta tak i saker mot store internasjonale selskaper, slik det blant annet ble gjort i forbindelse med Facebook.

• ha høy kompetanse og motiverte medarbeidere. Datatilsynet møter sektorekspertise på nær sagt alle områder. Det satses derfor mye på å utvikle egne medarbeidere for å holde tritt med dette.

1.2 Saker vi vil trekke frem fra året som gikk

Kartlegging av Facebook

I desember 2010 ga Datatilsynet ut rapporten «Social Network Services and Privacy – a case study of Facebook». Rapporten viste at den profilinformasjonen som brukerne bevisst gir fra seg selv, kun er en liten del av den totale mengden informasjon som Facebook innhenter. Samtidig avdekket rapporten flere uklarheter om Facebooks innsamling og bruk av personopplysninger. Med bakgrunn i dette sendte de nordiske personvernmyndighetene i juli 2011, på initiativ fra det norske Datatilsynet, en rekke konkrete spørsmål til Facebook om hvem som samler inn og får tilgang til informasjonen via Facebook, samt hva som skjer med innsamlede personopplysninger.

Les mer om dette under Internett og telekommunikasjon i kapittel 8.

Datalagringsdirektivet

Stortinget vedtok i april 2011 å implementere datalagringsdirektivet i norsk rett. Direktivet vil implementeres i både ekomregelverket, straffeprosessloven og personopplysningsforskriften. Datatilsynet vil få en rekke nye oppgaver i tilknytning til direktivet, blant annet tilsynsoppgaver knyttet til sletteplikten og utarbeidelse av konsesjoner med krav til sikkerhet. Datatilsynet argumenterte sterkt imot direktivet, men tok Stortingets beslutning til etterretning, og jobbet siste del av meldingsåret sammen med Post- og teletilsynet om implementeringen.

Les mer om dette under Justis i kapittel 8.

App-rapporten

Datatilsynet publiserte i september 2011 rapporten «Hva vet appen om deg? Kartlegging av personvernutfordringer knyttet til mobilapplikasjoner». Mobilapplikasjoner, såkalte «apper», er i kraftig vekst. Bakgrunnen for at tilsynet har kikket nærmere på dette markedet er at mange applikasjoner håndterer store mengder personopplysninger, ofte uten at brukeren selv er klar over det. Enkelte applikasjoner krever tilgang til personopplysninger som kan fortelle svært mye om brukeren, som for eksempel hvor man har oppholdt seg, opplysninger om vennenettverket og om vedkommendes interesser.

Les mer om dette under Internett og telekommunikasjon i kapittel 8.

RMI-saken

I 2010 gjennomførte Datatilsynet en kontroll ved Rettsmedisinsk institutt (RMI) ved Universitetet i Oslo. Kontrollen viste at instituttet oppbevarer store mengder sensitive personopplysninger fra sin oppdragsvirksomhet, uten at det foreligger tilfredsstillende rettslig grunnlag for slik oppbevaring verken i lov eller i avtalen med den enkelte oppdragsgiver. Datatilsynet fant også at det forelå store mangler ved informasjonssikkerheten for opplysningene, og at universitetet for øvrig utøvde dårlig kontroll med opplysningene. I meldingsåret varslet Datatilsynet at det ville fatte vedtak om at opplysningene må slettes.

Les mer om denne saken under Justis i kapittel 8.

Datatilsynets helsestrategi

Høsten 2011 ble «Datatilsynets strategi for bedre personvern i helsesektoren» lansert. Datatilsynet har utarbeidet langsiktige mål for hvordan etaten skal bidra til bedre personvern i helsesektoren. Det inkluderer blant annet arbeid rundt tilgangsstyring (både internt i virksomheter og tilgang på tvers), modernisering og samordning av helseregistre (sentrale helseregistre og andre kvalitetsregistre), samt en evaluering av hvordan tilsynet kan sikre folks selvbestemmelse og autonomi. Strategien tar også opp hvordan tilsynet skal arbeide overfor de lokale kvalitetsregistrene, departement, Helsedirektoratet, Helsetilsynet og andre sentrale aktører i helsesektoren.

Nettby

I desember 2010 ble VG sitt nettsamfunn Nettby nedlagt. Dette var en periode Norges største nettsamfunn, og betydelige mengder informasjon var registrert, deriblant privat kommunikasjon. Etter nedleggelsen ble alle opplysningene liggende hos VG, utilgjengelig for både deres tidligere brukere og allmennheten for øvrig. VG og Nasjonalbiblioteket mente at disse opplysningene måtte bevares for ettertiden fordi de gjenspeilet den tiden vi lever i nå, og derfor kunne være interessante for forskning. Det opprinnelige formålet med Nettby var imidlertid å tilby medlemmene deltagelse i et nettsamfunn – med blant annet mulighet for privat samhandling medlemmene imellom. Datatilsynet påla derfor sletting.

Les mer om dette under Internett og telekommunikasjon i kapittel 8.

Bransjenorm for elektronisk billettering

På initiativ fra Ruter og de øvrige kollektivselskapene har tilsynet deltatt i et samarbeidsprosjekt om personvernvennlige løsninger for elektronisk billettering og utvikling av en bransjenorm. En bransjenorm for elektronisk billettering skal bidra til at alle kan reise anonymt med buss, tog og båt, og forplikter hele bransjen til å tilby elektroniske billetter som gir godt personvern for de reisende. Alle trafikanter skal kunne reise kollektivt uten å oppgi hvem eller hvor de er, og likevel få de samme fordelene og servicen som trafikanter som velger å inngå personlige avtaler med et transportselskap.

Bransjenormen ble lansert i desember 2011.

Tollvesenets kontrollpraksis overfor privatpersoner

Tollvesenet har en kontrollpraksis som innebærer at opplysninger om privatpersoners utenlandstransaksjoner hentes fra valutaregisteret, at opplysningene foreholdes den registrerte gjennom et brev, og at vedkommende bes om å legge frem dokumentasjon knyttet til de aktuelle transaksjonene og eventuelle tollbehandlinger.

Datatilsynet mener at dette er et kontrolltiltak overfor den enkelte som mangler hjemmel i lov, og fattet i meldingsåret et vedtak overfor tollvesenet. Tollvesenet har på sin side påklaget Datatilsynets vedtak, og saken er oversendt Personvernnemnda.

Les mer om denne saken under Justis i kapittel 8.

1.3 Tendenser og overordnede utviklingstrekk

1.4 Tilsyn og saksbehandling

Nøkkeltall og trender fra tilsynsvirksomheten

I meldingsåret gjennomførte Datatilsynet tilsyn innen ti ulike bransjer valgt ut ifra prioriterte områder i virksomhetsplanen. Dette er et noe smalere utvalg enn det som har vært vanlig. Reduksjonen i tilsynsvirksomheten skyldes at Datatilsynet i 2011 prioriterte planarbeid svært høyt. Det ble lagt ned mye arbeid i å få på plass strategi og virksomhetsplan, og disse interne prosessene krevde mye ressurser. Rapporteringsåret må dermed anses som et avvik fra normalen. Planen er å øke omfanget av tilsynsvirksomheten igjen i 2012.

Det ble gjennomført 38 tilsyn (36 stedlige kontroller og to brevkontroller). I tillegg kommer dessuten vedtaksbrev mot 56 kommuner. Dette var en oppfølging av en kartlegging som ble gjennomført i 2010, og er derfor ikke tatt med i oversikten for 2011. Prosessen i meldingsåret var å følge opp virksomheter som allerede hadde fått påvist mangler etter regelverket.

Tabellen under viser gjennomførte tilsyn fordelt på bransjer:

For en fullstendig oversikt over alle tilsynsobjektene, se vedlegg A.

Rapportene fra alle tilsynene er ikke klare på meldingstidspunktet, men det er så langt varslet om til sammen 71 enkeltvedtak, der seks av dem er ansett som alvorlige. Avvik som kategoriseres som alvorlige har oppfylt ett eller flere av følgende kriterier:

• vesentlig grad av økt risiko for sikkerhetsbrudd og/eller krenkelse av den registrertes personvern,

• virksomheten behandler sensitive personopplysninger,

• avviket synes å ha vedvart over lang tid,

• vesentlige mangler rundt systemplikter, slik som informasjonssikkerhet.

Ved inngangen til 2011 passerte personopplysningsloven og tilhørende forskrift ti års virke. Siden ikrafttredelsen har det vært lagt ned mye arbeid med å gjøre virksomhetene kjent med regelverket, blant annet gjennom utarbeidelse av veiledningsmateriell, kurs og seminar, samt bruk av veiledningsmøter. Gjennomgående synes virksomhetene å kjenne til regleverket, men det skorter dessverre på tilfredsstillende etterlevelse i mange bransjer.

Antallet tilsyn som er gjennomført i hver bransje i 2011 er begrenset. Der det er gjennomført færre enn fem tilsyn, er det vanskelig å trekke ut trender eller karakteristiske funn for bransjen. En trend som imidlertid ser ut til å være økende er lagring. Kostnadene ved lagring av informasjon er nå så lav at mange virksomheter, spesielt innen privat sektor, lagrer uforholdsmessige mengder informasjon om kundene. Et eksempel på dette er leverandører av Nett-TV. Ofte argumenteres det med at lagringen er nødvendig av hensyn til sikkerhet, for å kunne underbygge et krav, eller som et ledd i å verifisere levert kvalitet på et produkt. Dersom man går nærmere inn på begrunnelsene, opplever tilsynet ofte at virksomhetene ikke har særlig gjennomtenkte beslutninger. Lagringen kan like gjerne være et resultat av designet i kundebehandlingssystemet, systemovervåkingsverktøyene eller lignende.

Øvrige funn fra tilsynsvirksomheten omtales nærmere under de respektive temaene i kapittel 8.

Prosjekt internkontroll og informasjonssikkerhet

Datatilsynet startet i 2009 opp det 2-årige prosjektet «Internkontroll, informasjonssikkerhet og internkontroll», men endringer i rammevilkårene gjorde at personvernombudsordningen ble tatt ut av prosjektet i 2011.

I meldingsåret har prosjektet jobbet med å utforme og implementere kompetansehevende tiltak innenfor internkontroll og informasjonssikkerhet for alle virksomheter som behandler personopplysninger.

Blant de viktigste leveransene er:

• tilpassede veiledere og maler innen internkontroll og informasjonssikkerhet

• verktøy for statussjekk av personvernstatus i kommunesektoren

• evaluering av personvernombudsordningen

• utvidelse av Datatilsynets generelle kurstilbud innen internkontroll og informasjonssikkerhet

En del av prosjektet har også vært utviklingen av en e-læringsplattform om internkontroll og informasjonssikkerhet. Et slikt verktøy vil kunne gi enklere og mer tilgjengelig informasjon for brukerne. E-læringen skal fungere som et supplement til det øvrige veiledningsmateriellet. Det skal i 2012 lages en strategi for den videre framdriften for e-læringsverktøyet.

Saksbehandlingen

Saksbehandlingen i Datatilsynet omfatter alle aktiviteter knyttet til henvendelser fra offentlige og private virksomheter, samt fra enkeltpersoner. Henvendelsene mottas både via brev, e-post og telefon.

Datatilsynet erfarer at stadig flere saker er mer komplekse, og at problemstillingene blir flere og mer sammensatte. Personvernutfordringene er mange og sektorovergripende, og avveiningen mellom personvern og andre samfunnshensyn er krevende. Teknologiutviklingen og bruk av nye teknologiske løsninger stiller krav til gjeldende regelverk, og systemer må tilpasses. Dette gjelder spesielt for sektorer hvor det er gjennomført eller gjennomføres store reformer. Særlig er saksbehandlingen på områdene helse og forskning, samferdsel, justis og arbeidsliv ressurskrevende. Det er også på disse områdene Datatilsynet gir flest høringsuttalelser.

I 2011 startet tilsynet en prosess for å effektivisere saksbehandlingen. Ressursmessig krever saksbehandlingen mye kapasitet, og det er grunn til å tro at saksmengden ikke vil reduseres vesentlig de kommende år. Dette blant annet fordi Datatilsynet er gitt nye oppgaver knyttet til datalagringsdirektivet og ny politiregisterlov. Tilsynet må fortløpende vurdere ressursbruk på de ulike oppgavene som skal løses, og i meldingsåret har det vært viktig å kartlegge og vektlegge hva som gir størst effekt for personvernet i saksbehandlingen, for så å disponere ressursene deretter.

Resultatet av dette arbeidet er at saker gis ulik prioritet og behandles hovedsakelig i tre spor; et veiledningsspor, et forenklet saksbehandlingsspor hvor påpeking av plikter vektlegges, samt et spor hvor sakene gis full forvaltningsbehandling.

Prioriteringene gjøres ut ifra tilsynets virksomhetsplan og de hovedsatsingsområder som er satt. Et av kriteriene er om henvendelsene indikerer en større systemfeil i en aktuell virksomhet eller bransje. Datatilsynet forsøker å svare veiledende på henvendelser i flere tilfeller enn tidligere, fremfor å ta sakene opp til full saksbehandling med den undersøkelsesplikten som forvaltningsloven krever.

Henvendelsene til tilsynet varierer i kompleksitet og kan gjelde alt fra henvendelser om arbeidsgiver sitt behov for å iverksette kontrolltiltak og arbeidstakers syn på dette, til det offentlige sin etablering av store sentrale registre.

Oversikt over alle journalførte dokumenter hos Datatilsynet i 2011:

Det ble journalført til sammen 4 878 dokumenter i meldingsåret. Av disse var 2 740 innkomne dokumenter som hovedsakelig ble behandlet i forvaltningssporet. Dette er en nedgang i forhold til 2010. Det skyldes nok i hovedsak at Datatilsynet i 2010 utstedte nye bankkonsesjoner, noe som medførte en del korrespondanse. Effektiviseringen av saksbehandlingen, samt en redusert tilsynsaktivitet i meldingsåret gir også utslag på statistikken.

Det ble for øvrig opprettet 1 345 nye saker, mot 1 580 året før.

Konsesjon/meldeplikt

Teknologiutviklingen påvirker personvernet på mange måter, og tilsynet ser at endel virksomheter er bevisste på at løsninger som utvikles også tar hensyn til personvernet. Mange virksomheter kontakter Datatilsynet og ønsker veiledningsmøter rundt nye løsninger og tjenester. Et av spørsmålene som da ofte stilles er om behandlingen vil kreve konsesjon eller utløser meldeplikt.

Oversikt over utstedte konsesjoner de siste to årene (det vil si både søknader om konsesjon, forlengelse av konsesjon, utvidelser og tilleggsprosjekter):

Datatilsynet erfarer at konsesjoner som blir gitt blant annet innen helse og forskning, senere ønskes endret. Å behandle endringssøknader er hovedsakelig like ressurskrevende som å behandle nye søknader. Flere forskningsprosjekter utvikler seg over tid og blir svært omfattende og tidkrevende å behandle. Det bør derfor vurderes om endringssøknader i større grad bør reguleres i egne forskrifter.

Meldeplikten innebærer at den som ønsker å sette i gang en behandling av personopplysninger skal orientere Datatilsynet om dette senest 30 dager før behandlingen starter. Meldingene legges inn i en offentlig tilgjengelig database som er søkbar for publikum via tilsynets nettsider. For vedvarende behandlinger skal meldingen fornyes hvert tredje år. Det er gitt unntak fra meldeplikten blant annet for virksomheter som har opprettet personvernombud.

Oversikt over registrerte meldinger de siste tre årene:

Høringer

Høringsuttalelser er et sentralt virkemiddel i Datatilsynets ombudsfunksjon. I 2011 var tilsynet høringsinstans i 122 saker. I 58 av disse sakene hadde tilsynet konkrete merknader.

Oversikt over høringssaker de siste årene:

Datatilsynet hadde merknader til de fleste av høringssakene innen helse- og omsorgssektoren. Innen justissektoren medførte blant annet den nye politiregisterloven en del høringsarbeid.

Høringer hvor Datatilsynet har hatt vesentlige merknader er omtalt i under de respektive temaene i kapittel 8. Se for øvrig fullstendig oversikt over høringene Datatilsynet hadde merknader til i vedlegg D.

Datatilsynets veiledningstjeneste

Datatilsynet har en veiledningstjeneste som er bemannet med fire jurister. Disse besvarer telefoner og e-posthenvendelser fra publikum og virksomheter fortløpende. Svarene som gis her er av mer uformell og veiledende karakter. Dersom henvendelsene er kompliserte eller bør vurderes som forvaltningssaker, overføres de til full saksbehandling og journalføring i juridisk avdeling.

Tjenesten fanger kjapt opp nye og aktuelle problemstillinger, og gir slik tilsynet en god indikasjon på hvilke spørsmål publikum er opptatt av. Denne informasjonen benyttes blant annet til å planlegge tilsynets informasjonsvirksomhet, for eksempel utvikling av nettsidene og annet veiledningsmateriell.

Antall telefoner og e-poster besvart av veiledningstjenesten:

Av tabellen ser man at antall telefonhenvendelser har gått noe ned fra 2010. Noe skyldes nok at alle henvendelser om internettpublisering og krenkelser på nett gikk til slettmeg.no i meldingsåret. I deler av 2011 var dessuten ikke veiledningstjenesten fullt bemannet, noe som førte til at en del telefoner ble satt videre til andre avdelinger i tilsynet.

Særlig om henvendelsene til tilsynet

Datatilsynet har i flere sammenhenger omtalt en sterkt økende registrering av personopplysninger. Dette understøttes også gjennom henvendelsene tilsynet får. Publikum stiller seg spørrende til lovligheten av ulike registreringer de opplever. Erfaringen er at mange behandlingsansvarlige gir for dårlig informasjon om hva de bruker personopplysningene til. Dette, kombinert med et vanskelig tilgjengelig regelverk på området, gjør at det oppstår uklarheter og usikkerhet hos publikum.

Her er en kort oppsummering av hva en del av henvendelsene til Datatilsynet dreier seg om (Temaene er for øvrig prioriterte områder hos tilsynet, og kan leses mer om i kapittel 8):

Overvåking og kontroll i arbeidslivet

En stor del av henvendelsene til tilsynet er knyttet til spørsmål i arbeidslivet. Henvendelsene kommer både fra arbeidstaker og arbeidsgiversiden. Skillet mellom privatliv og arbeidsliv er blitt mindre skarpt og det er innen mange arbeidsgrupper en forventning om økt tilgjengelighet. Arbeidsgiver iverksetter en rekke tiltak overfor arbeidstakerne som igjen stiller spørsmål ved flere av disse tiltakene. Det er spørsmål knyttet til krav om logging, bruk av kameraovervåking, rustesting, innsyn i personalmapper, bruk av lydopptak, publisering av bilder, GPS og sporing, bruk av fødselsnummer, spørsmål knyttet til kredittopplysning, forsikring, nye sosiale medier, helse og velferd med mer.

Kameraovervåking

Stadig flere privatpersoner monterer overvåkingskamera på egen eiendom, og Datatilsynet registrerer en økning i antall henvendelser om lovligheten av slik overvåking. Det samme gjelder spørsmål om kameraovervåking i sameier og bofellesskap.

Fødselsnummer

Datatilsynet har tradisjonelt fått mange henvendelser fra publikum og virksomheter om bruk av fødselsnummer. Det gjelder også i 2011. De sakene Datatilsynet har behandlet avdekker manglende kunnskap om hvilke kriterier som må være oppfylt for at en kan benytte fødselsnummer i en behandling. Tilsynet ser samtidig at mange IT-systemer konstrueres slik at de forutsetter bruk av fødselsnummer, uavhengig av om vilkårene for det er tilstede eller ikke.

Publisering på internett

Både slettmeg.no og veiledningstjenesten mottok i meldingsåret mange henvendelser om publisering av personopplysninger på internett. Svært mange av disse henvendelsene vedrørte publisering på nettsteder som er etablert i utlandet, og ytringer som er vernet av ytringsfriheten. Dette betyr at publiseringen faller utenfor tilsynets jurisdiksjon. Tilsynet sitter igjen med et inntrykk av at den økende aktiviteten på blogger, hjemmesider og sosiale nettsamfunn, kombinert med mangelfull kjennskap til personvernregelverket, fører til at mange blir eksponert mot egen viten og vilje. Tilsynet ser at dette også skyldes manglende refleksjon og kunnskap om hvordan nettet fungerer.

Saker i Personvernnemnda

Datatilsynet sendte i 2011 over 13 klagesaker til Personvernnemnda, hvorav fem ikke er avgjort ved årets utgang. I de fleste sakene ble Datatilsynets vedtak opprettholdt.

I én sak er Datatilsynets vedtak opphevet av nemnda og sendt tilbake til tilsynet for ny behandling. Klagen gjaldt Datatilsynets beslutning om ikke å ilegge en arbeidsgiver overtredelsesgebyr for å ha foretatt et urettmessig innsyn i arbeidstakers e-post. Etter nemndas syn hadde ikke Datatilsynet vurdert de momentene som loven oppstiller ved vurderingen om det skal ilegges overtredelsgebyr.

Ved ett tilfelle ble klageren gitt medhold av Personvernnemnda. Det gjaldt klage på Datatilsynets vedtak om manglende behandlingsgrunnlag for såkalt terrorscreening innen ConocoPhillips-konsernet. Saken er nærmere omtalt under arbeidsliv i kapittel 8.

Fullstendig liste over hvilke saker som er oversendt og avgjort i Personvernnemnda i meldingsåret kan sees i vedlegg B og C.

Personvernombud

Ved utgangen av meldingsåret har Datatilsynet registrert 193 personvernombud, 20 flere enn på samme tid i fjor. Personvernombudene representerer rundt 370 virksomheter.

I 2011 har Datatilsynet brukt omtrent ett årsverk på arbeidet med personvernombudene. Arbeidet består i hovedsak av å arrangere kurs og en årlig ombudskonferanse, veiledning over telefon og e-post, sende ut nyhetsbrev til ombudene, behandling av søknader og å drifte nettsidene for personvernombudene på datatilsynet.no.

Ordningen er i jevn vekst. Økningen fra i fjor er omtrent som tidligere år, men litt svakere prosentmessig. Dette kan skyldes at det sammenliknet med 2010 har det vært gjennomført lite promotering av ordningen.

I 2011 har personvernombudsordningen vært driftet på ordinært budsjett. Det har derfor vært en nedgang i midler fra 2010 da ordningen var en del av prosjektet «Internkontroll, informasjonssikkerhet og personvernombud», som fikk ekstra midler fra Fornyings-, administrasjons- og kirkedepartementet (FAD). Etter føringer fra FAD ble personvernombudsordningen tatt ut fra prosjektsatsingen i 2011. Personvernombudene har likevel hatt nytte av prosjektets arbeid når det gjelder kurs innenfor temaene internkontroll og informasjonssikkerhet. Kursene har vært åpne for alle og mange ombud har deltatt på disse.

Det er også gjennomført en ekstern evaluering av personvernombudsordningen. Evalueringen ble gjennomført høsten 2011 av Synovate, og omfattet 202 ombud, samt 181 behandlingsansvarlige og virksomhetsledere. Sluttresultatet er en rapport som vil være et nyttig verktøy for Datatilsynet i fremtidig tenkning både om personvernombudsordningen, og personvernarbeid generelt. Resultatet av evalueringen er generelt positivt med tanke på hvordan personvernombudsordningen fungerer og at både ledelse og personvernombud mener at det å delta i ordningen har en god effekt i virksomhetene.

På tross av mindre ressurser til dette arbeidet, har Datatilsynet i meldingsåret styrket det totale kurstilbudet til ombudene. Høsten 2011 ble det arrangert et nytt juridisk påbygningskurs om lovhjemler, informasjonsplikter og innsynsrett. Kurs for ombudene har jevnt over svært god deltagelse. Flere av kursene har vært fulltegnet lenge før påmeldingsfristen gikk ut.

Aktiviteter relatert til hendelsene 22. juli

Hendelsene den 22. juli 2011 har naturligvis aktualisert en rekke tiltak fra sentrale myndigheter. Enkelte av disse medfører behandling av sensitive personopplysninger, hvilket gjør at Datatilsynets myndighetsområde berøres.

Flere av tiltakene er av en slik art at man vanskelig har kunnet overskue behovet for dem på forhånd. Det betyr at de mangler nødvendig rettslig grunnlag i form av lovhjemmel. Av tidsmessige hensyn har man søkt om Datatilsynets tillatelse til å iverksette disse tiltakene, snarere enn å etablere nye lovhjemler for de aktuelle tiltakene.

Datatilsynet har utstedt tre konsesjoner til offentlige myndigheter som en direkte konsekvens av hendelsene 22. juli:

• Helsedirektoratet har fått tillatelse til å opprette et sentralt helseregister , for å sikre en koordinert og tilfredsstillende medisinsk oppfølgning av de som er berørt av hendelsene.

• Kulturdepartementet har fått en tidsbegrenset tillatelse til å opprette et kontaktregister over de berørte etter hendelsen. Formålet med registeret var å kunne sende ut invitasjoner til Regjeringens minnemarkering.

• 22. juli-kommisjonen har fått tidsbegrenset tillatelse til å behandle personopplysninger i forbindelse med de undersøkelsene som kommisjonen har fått i oppdrag å gjennomføre.

Når det gjelder 22. juli-kommisjonen vil Datatilsynet bemerke at undersøkelser i regi av offentlige undersøkelseskommisjoner reiser en rekke prinsippelle og vanskelige spørsmål, særlig når det gjelder ivaretakelse av rettsvernet til de som får sine forhold undersøkt. Datatilsynets konsesjonsvilkår kan bare i begrenset grad avhjelpe manglende regelverk på området. Det vises her til at personopplysningsvernet bare utgjør en del av det rettsvernet som må etableres. Det er vanskelig for Datatilsynet å overskue alle de konsekvensene slike undersøkelser kan få for den registrerte, samt å stille vilkår for å avhjelpe disse.

Tilsynet er av den oppfatning at det er helt nødvendig med en egen lovregulering av slik virksomhet, slik det også ble foreslått av det såkalte granskningslovutvalget i NOU 2009:9. Lovregulering vil sikre forutberegnlighet for den som får sine forhold undersøkt. Den vil i tillegg sikre at forholdsmessigheten i tiltaket blir belyst og vurdert med bakgrunn i en bred og demokratisk prosess.

Datatilsynet vil rette en henvendelse til Justisdepartementet for å påskynde arbeidet med å lovregulere offentlige undersøkelseskommisjoner.

1.5 Nasjonalt og internasjonalt samarbeid

Internasjonal deltagelse

Regelverket som Datatilsynet forvalter er basert på et EU-direktiv. Direktivet er igjen tuftet på europeiske og globale menneskerettigheter. Datatilsynets forvaltning må, i tillegg til de føringene lovgiver har gitt, i rimelig grad forholde seg til forvaltningspraksis hos øvrige personvernmyndigheter. Mange av de behandlingsansvarlige er multinasjonale selskaper, og mye av det internasjonale arbeidet tar nettopp utgangspunkt i et ønske om en enhetlig forvaltning av direktivet, samt det å utveksle synspunkter og erfaringer. EU arbeider som tidligere med et nytt personvernregelverk, og datalagringsdirektivet er under revidering.

Ettersom Norge ikke er medlem av EU, er Datatilsynets påvirkning av EU-prosessene dels avhengig av egen aktivitet og dels av andres. Det er særlig viktig med et tett og forpliktende samarbeid mellom de nordiske landene.

Datatilsynet deltar både på europeisk og globalt plan i sitt arbeid. Dette er nødvendig for å sikre et godt personvern nasjonalt, da stadig flere personopplysninger utveksles på tvers av landegrensene, og det er viktig at dette skjer i kontrollerte former.

I 2011 har Datatilsynet deltatt i følgende fora:

Artikkel 29-gruppen. Norge har observatørstatus i denne gruppen som består av lederne hos datatilsynsmyndighetene i EU- og EØS-land. Observatørstatusen kommer av at Norge ikke er medlemsland, og gjør at Datatilsynet ikke har stemmerett. Gruppen er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. Gruppen har møter 6 ganger i året.

Datatilsynet er også representert som fullverdig medlem i en undergruppe til artikkel 29: Technology Subgroup. Dette er en arbeidsgruppe som gjør saksforberedelser for artikkel 29-gruppen. Denne gruppen er en viktig kanal for å fremme norske synspunkter innen personvernspørsmål.

The Schengen Joint Supervisory Authority (JSA). Norge er fullverdig medlem av dette uavhengige kontrollorganet som er sammensatt av medlemmer fra datatilsynsmyndigheter i nasjoner tilknyttet Schengenavtalen. Representanter fra Datatilsynet er med på møtene og har også vært med på inspeksjoner av andre nasjoners håndtering av sine forpliktelser etter Schengenavtalen.

Working Party Police and Justice (WPPJ). Denne arbeidsgruppen har sitt mandat fra Den Europeiske Konferansen for datatilsynsmyndigheter, og har jevnlige møter. Oppgaven er å følge med på utviklingen innen politi- og justisområdet når det gjelder behandlingen av personopplysninger. Inntil Lisboa-traktaten kom, var dette området unntatt fra personverndirektivet og personopplysingsloven. Datatilsynet sitter i arbeidsgruppen, og kan både melde inn generelle problemstillinger og enkeltsaker.

Berlin-gruppen. Dette er en gruppe som arbeider med personvern innen elektronisk kommunikasjon i utvidet forstand, og Datatilsynet er fullverdig medlem. Det er bred deltakelse fra alle deler av verden. Gruppen har vært viktig av flere grunner. Den bidrar til at tilsynet får tidlig kunnskap om ulike problemstillinger, gruppen utøver påvirkning på prosesser i EU, og den er et viktig forum for å drøfte aktuelle personvernutfordringer.

Internasjonalt saksbehandlermøte. Dette er et årlig arrangement der Datatilsynet er representert for å få innspill om hva andre lands myndigheter er opptatt av, samt for å bidra til erfaringsutveksling. Dette er også en god arena for utvikling av kontaktnett. Et av temaene på det internasjonale saksbehandlermøtet i 2011 var overføring av personopplysninger til utlandet, og problematikk knyttet til samarbeid mellom de ulike landenes tilsynsmyndigheter.

Nordisk møte. Lederne for de nordiske datatilsynsmyndighetene samles en gang i året for å utveksle erfaringer fra egen virksomhet. De nordiske landene har mange fellestrekk i sin regulering av personvern, og det nordiske møtet er et viktig samlingspunkt for å finne felles posisjoner som kan trekkes inn i det internasjonale arbeidet. Det er også verdifullt å se hvordan like spørsmål løses i nabolandene. Fra årets møte kan det felles fremstøtet mot Facebook trekkes frem. Dette omtales nærmere under Internett og telekommunikasjon i kapittel 8.

Offentlige råd og utvalg

Datatilsynet er en etterspurt ressurs når det gjelder å få innspill om hvordan personvernet kan ivaretas på en tilfredsstillende måte. Viktige vurderinger og avveininger av ulike hensyn fordrer en omfattende samlet samfunnskompetanse og en evne til å balansere ulike behov.

Tilsynet ønsker gjennom deltagelse i råd og utvalg å påvirke premissgivere til å inkludere tilfredsstillende ivaretakelse av personvernet i sitt beslutningsgrunnlag. Datatilsynets rolle er å synliggjøre verdien av et godt personvern og hvordan dette hensynet kan kombineres med aktørens behov.

Datatilsynet jobber med mange sektorer og bransjer. Ofte er det behov for koordinering med sektormyndigheter, det er spesielle utfordringer for en bransje, og det er et stort omfang av aktører. Det forutsetter at tilsynet er effektive i sin dialog og kommunikasjon. Datatilsynet prioriterer derfor tilstedeværelse i en del fora der kontakt, meningsbrytning, erfaringsutveksling og dialog kan skje på en effektiv måte.

Datatilsynets formål med deltakelse i nasjonale fora er tredelt. Tilsynet skal:

• legge til rette for en effektiv dialog og kommunikasjon med andre myndigheter og bransjer,

• være en kanal for å fange inn synspunkter fra ulike bransjeaktører, samt

• være en arena for å drøfte viktige utfordringer i en bransje.

I 2011 har Datatilsynet hatt en bred representasjon i nasjonale råd og utvalg:

Koordineringsutvalget for informasjonssikkerhet – KIS. Utvalget består av representanter for sju departement, Statsministerens kontor og ni direktorater. Opprettelsen av utvalget er et ledd i gjennomføringen av en nasjonal strategi for informasjonssikkerhet. Formålet med utvalget er å koordinere regjeringens arbeid med informasjonssikkerhet på en best mulig måte. Datatilsynets rolle er å være en rådgiver i dette arbeidet.

Samarbeidsrådet for helsesektoren. Datatilsynet deltar som observatør i samarbeidsrådet. Rådet er opprettet av Helsedirektoratet med sikte på å koordinere arbeidet med informasjonsteknologi i helsesektoren. Datatilsynet har gjennom sitt tilsynsarbeid avdekket mange utfordringer innen helsesektoren. Rådet er et viktig forum for å formidle funnene og bidra til at aktørene tar tak i de problemstillingene tilsynet avdekker.

Styringsgruppe for bransjenorm innen helse. En bransjenorm om informasjonssikkerhet for helsesektoren ble lansert i september 2006. Arbeidet i styringsgruppen består i å få en hensiktsmessig spredning og implementering av normen i sektoren. Dette er en stor utfordring på grunn av sammensetningen av små, mellomstore og store aktører. Datatilsynet deltar som observatør i styringsgruppen.

Interdepartemental arbeidsgruppe – kartlegging av praktisering av regler om taushetsplikt, opplysningsrett og plikt. Datatilsynet deltar i dette arbeidet da det er svært sentralt at publikum får mulighet til å ivareta egne rettigheter etter helselovgivning og personopplysningsloven. Datatilsynet får en del spørsmål om dette, og det er viktig for tilsynet å være med og påvirke arbeidet.

Styringskomiteen for eCall i Norge. EU-kommisjonen arbeider med innføringen av et system for automatisk nødanrop fra biler som har vært utsatt for ulykke, såkalt eCall. Datatilsynet deltar i eCallarbeidet i den nasjonale styringskomiteen. Denne deltakelsen gir tilsynet mulighet for å påvirke at systemet i størst mulig grad blir tilrettelagt som en personvernvennlig løsning. Datatilsynet har også deltatt i det internasjonale standardiseringsarbeidet, med sikte på å bygge inn mest mulig personvern i løsningene.

Styret for Norsk Senter for Informasjonssikring (NorSIS). NorSIS er en viktig samarbeidspart innen arbeidet med å fremme god informasjonssikkerhet i samfunnet, og Datatilsynet er representert i styret.

Styringsgruppen for ID-tyveriprosjektet. Datatilsynet har i 2011 vært aktiv deltager i et prosjekt om identitetstyveri. Prosjektet drives av NorSIS. Tilsynet utredet på eget initiativ problemstillingen i 2008/2009, og mener at det er behov for en rekke forebyggende tiltak innen dette området. Datatilsynet har sett på dette prosjektet som en viktig kanal for å få gjennomført en del av forslagene som tidligere utredninger har konkludert med. Det er rundt 40 interessenter/deltagere i prosjektet.

E-valg 2011. Datatilsynet har vært representert i referansegruppen for prosjektet E-valg 2011. Gruppen har sett på prosessen med elektroniske valg og utarbeidet kravspesifikasjon for valgmaskinene. Formålet med deltakelsen har vært å medvirke til at løsningene som velges har inkorporert et godt personvern.

Arbeidsgruppe i Samferdselsdepartementet – helautomatiske bomstasjoner. Etter tilsyn mot utvalgte bomstasjonsselskaper i 2010 ble det avdekket et lagringsregime som Datatilsynet mente var i strid med gjeldene rett. Samferdselsdepartementet inviterte som følge av dette til deltakelse i en arbeidsgruppe som skal se på personvern i forbindelse med overgangen til helautomatiske bomstasjoner. Med i arbeidet er også Statens Vegvesen som er en sentral instans for utbygging av bomstasjoner og den tekniske løsningen.

Samferdselsdepartementets råd om intelligente transportsystem (ITS-råd). I dette rådet deltar et bredt utvalg av interesseparter, blant annet forskningsinstitusjoner, myndigheter, bransjen og arbeidslivsparter. Det er 14 faste medlemmer i rådet. Formålet er å gi råd til myndighetene når det gjelder intelligente transportsystemer. Datatilsynet forventer en vesentlig utvikling innen denne typen systemer i de nærmeste årene. Det er derfor viktig for tilsynet å holde seg informert om, samt påvirke, utviklingen.

INFOFLYT-prosjektet. Datatilsynet har vært med i et utvalg som skal se nærmere på INFOFLYT-systemet. Systemet ble etablert i 2005 av Justisdepartementet for utveksling av informasjon mellom kriminalomsorgen og politiet. Utvalget skal blant annet kartlegge og vurdere hvordan kriminalomsorgens utveksling av informasjon med politiet fungerer i dag. Arbeidet i prosjektet skulle etter planen vært ferdig i 2011, men er utsatt til primo 2012.

Referansegruppe – ny politiregisterforskrift. Datatilsynet har deltatt i Justisdepartementets arbeid med å utforme ny politiregisterforskrift. I gruppen har det i tillegg til Datatilsynet vært representanter fra hele justissektoren.

Folkeregisterprosjektet. Dette er et stort prosjekt med flere undergrupper, og der Datatilsynet har hatt representanter i alle gruppene.

Standardisering – komitédeltagelse

For at produkter og tjenester skal kunne utveksles over landegrensene er det viktig at de oppfyller forventninger og krav rundt helse, miljø, sikkerhet og funksjonalitet. Dersom produkter, tjenester eller systemer behandler personopplysninger må de også oppfylle kravene til en slik behandling. Virksomheter må i økende grad basere seg på å etterleve standarder allerede mens systemene og tjenestene er under utvikling, design og produksjon. Det innebærer samtidig at standardene får økende betydning for innebygd personvern.

Flere multinasjonale selskaper har over tid tatt til orde for en tydeligere global regulering av personvern. De viser til at mange tjenester baseres på tjenesteyting i flere land og regioner. Det forutsetter et tilnærmet likt reguleringsregime. Personverndirektivet kom i sin tid i stand av samme årsak, nemlig behovet for en grenseoverskridende behandling av personopplysninger.

Gjeldende direktiv legger opp til en mest mulig harmonisert regulering i de europeiske landene. Likevel eksisterer det markante forskjeller i hvordan direktivet i praksis er implementert. I den forestående revisjonsprosessen for direktivet, kan det ikke utelukkes at man i større grad vil støtte seg til anerkjente standarder. Tilsvarende vil det før eller siden bli behov for en klarere harmonisering av regelverk på tvers av regioner. Igjen vil trolig standarder være det instrumentet det vil være naturlig å benytte seg av. For å møte disse utfordringene har Datatilsynet valgt å gå inn som medlem i utvalgte nasjonalkomiteer. Disse er igjen forankret tett opp mot de internasjonale komiteene.

Datatilsynet er kun med i komiteer som har direkte relevans for eget arbeidsområde. Formålet med deltakelse i komiteene er å:

• sikre kunnskap om pågående prosesser internasjonalt,

• sikre kunnskap om «beste praksis»,

• påvirke fremtidige rammebetingelser, og

• bidra til å påvirke relevante standarder.

Datatilsynet har i 2011 deltatt i fire komiteer. Disse arbeider innen informasjonssikkerhet, intelligente transportsystemer, identitetshåndtering og semantisk web (neste generasjons internett) og automatisert datafangst.

Alle komiteene arbeider innenfor Datatilsynets kjernevirksomhet. Det er derfor av stor interesse å holde seg orientert om og påvirke dette arbeidet.

1.6 Informasjon og dialog som virkemiddel

I Datatilsynets strategi for perioden 2011-2016 er et av de overordnede målene at borgeren skal settes i stand til å ivareta sitt eget personvern. Datatilsynet skal videre arbeide aktivt for at virksomheter og beslutningstakere for øvrig legger vekt på personvernhensyn. Kommunikasjonsvirksomheten er derfor et sentralt virkemiddel for å oppnå disse målene. Dessuten bør også andre virkemidler, som saksbehandling og tilsynsvirksomhet, understøttes av informasjon og dialog dersom de skal få skikkelig effekt. Informasjon som virkemiddel er uovertruffent når det gjelder å skape oppmerksomhet og gi kunnskap. Uten kunnskap kan plikt- og rettighetshavere ikke ta eget ansvar for etterlevelse av lovgivningen.

Kommunikasjon brukes med andre ord aktivt både ved utøvelse av Datatilsynets ombudsrolle og i rollen som forvaltningsorgan.

1.7 Organisasjon og administrasjon

Budsjett

Datatilsynets budsjett i meldingsåret var 32 millioner kroner. Dette var en økning på 3,3 prosent i forhold til 2010. Tildelingen dekket lønns- og driftsutgifter for 2011.

I tillegg ble det bevilget 3,2 millioner kroner til videreføring av prosjekter på personvernområdet. Prosjektene rettet seg mot internkontroll og informasjonssikkerhet i norske virksomheter, og etablering av rådgivningstjenesten slettmeg.no. Disse prosjektene ble startet i 2009 og avsluttes i 2011.

Datatilsynet fikk 270 000 kroner i revidert nasjonalbudsjett. Dette ble gjort for å kunne ivareta nye arbeidsoppgaver i forbindelse med implementering av ny politiregisterlov og datalagringsdirektivet. Bevilgningen dekket utgifter for fire måneder i 2011. Helårseffekten av årsverket blir innarbeidet i budsjettforslaget for 2012.

Budsjettutvikling:

Ansatte – kjønnsfordeling, fravær

Datatilsynet ledes av en direktør. Direktøren blir oppnevnt av Kongen i statsråd for en periode på seks år. Bjørn Erik Thon ble i august 2010 ansatt som ny direktør i Datatilsynet.

Ved utgangen av 2011 var det, som året før, 37 faste stillingshjemler i Datatilsynet, hvorav én var ubesatt ved meldingsårets slutt. I tillegg har fire personer vært ansatt i tidsavgrensede prosjektstillinger.

Datatilsynet er organisert i fire avdelinger. Hver avdeling ledes av en avdelingsdirektør. Tabellen viser faste stillinger fordelt på avdelinger:

Informasjonsavdelingen har i 2011 hatt tre prosjektstillinger (tre menn) knyttet til avdelingen i tillegg til de fast ansatte. Prosjektstillingene har alle vært knyttet til rådgivningstjenesten slettmeg.no, og opphørte ved årets slutt.

Tilsyns- og sikkerhetsavdelingen har hatt én person tilsatt i prosjektstilling (en mann) i tillegg til de fast ansatte. Også denne prosjektstillingen har vært tidsavgrenset og opphørte i januar 2012.

To av Datatilsynets medarbeidere har i 2011 benyttet seg av avtalefestet pensjon (AFP).

Fem personer har deler av året hatt foreldrepermisjon. Alle disse har vært tilknyttet juridisk avdeling. Til sammen utgjorde dette to årsverk (tre kvinner og to menn).

Datatilsynet er omfattet av avtalen om inkluderende arbeidsliv (IA-avtalen) og vektlegger forebygging og oppfølging av sykefravær. Sykefraværet i Datatilsynet har i flere år vært lavt og bruken av egenmeldinger i meldingsåret var 1,52 prosent. Fravær er ofte relatert til barns sykdom og svangerskapsrelatert sykdom. Det har i meldingsåret ikke vært behov for å iverksette særskilte tiltak for å følge opp og forebygge sykdom.

Datatilsynet benytter overtid ved spesielle behov for å få utført konkrete arbeidsoppdrag i tide. Tilsynet har imidlertid ikke utstrakt bruk av overtid.

I 2011 ble det gitt permisjon til medarbeidere som ønsket å ta tilleggsutdanning på områder som er blitt definert som relevant kompetanse for etaten. Det ble også satt av midler avdelingsvis til kurs og kompetansehevende tiltak. Det er for øvrig besluttet å opprette et eget kompetansefond i 2012 for de som søker utdanning som er kostnadskrevende.

Evaluering av Datatilsynet

Som et ledd i oppfølgingen av Personvernkommisjonens rapport (NOU 2009: 1) – «Personvern i det digitale samfunn» – ble det på oppdrag fra Fornyings-, administrasjons- og kirkedepartementet (FAD) gjennomført en evaluering av Datatilsynet. Det var Direktoratet for forvaltning og IKT (Difi) som stod for evalueringen som ble utført i nært samarbeid med Datatilsynet. Målet med evalueringen var å vurdere om Datatilsynet hadde de nødvendige forutsetninger for å fylle sine roller og utføre sine oppgaver i samsvar med personopplysningslovens krav, samt å gi FAD et bedre grunnlag for å utvikle styringsdialogen og gi tilsynet et verktøy for framtidig organisasjonsutvikling.

Som et ledd i evalueringen ble det gjennomført intervjuer med en lang rekke informanter i departement, ulike tilsyn, organisasjoner, forsknings- og utviklingsmiljøer og privat næringsliv, i tillegg til 21 av de ansatte i Datatilsynet.

Difis hovedfunn var at Datatilsynet oppnår gode resultater med begrensede ressurser. Det ble særlig trukket fram at tilsynet er svært synlig i media og på en god måte setter personvern på dagsorden. Det ble pekt på at tilsynet har hatt en utvikling i riktig retning blant annet for å møte nye oppgaver og for å komme i konstruktiv dialog med ulike målgrupper. Datatilsynet fikk også gode skussmål for kompetanse og konkret myndighetsutøvelse. På spørsmålet om det å ha rollen som både tilsyn og ombud kan være problematisk, pekte samtlige ansatte, og hovedtyngden av de eksterne informantene, på at kombinasjonen mellom de to rollene fungerer greit, og at Datatilsynet i det store og hele ser ut til å balansere rollene godt. Enkelte informanter mente derimot at Datatilsynet bruker ombudsrollen i for stor grad og at det ikke skilles godt nok mellom rollene.

Difis evaluering trakk frem enkelte temaer Datatilsynet bør følge opp nærmere. Dette gjaldt blant annet mer bruk av strategiske virkemiddel, sterkere rollebevissthet, tydeliggjøring av ombudsrollen og styrking av forvaltningskompetansen.

Datatilsynet gjennomførte i 2011 en omfattende strategiprosess, og vedtok i november en ny overordnet femårsstrategi som tar tak i de utfordringene Difi har pekt på. Strategien er omtalt i kapittel 1.

1.8 Nærmere om prioriterte områder

1.8.1 Internett og telekommunikasjon

Internett har revolusjonert måten vi kommuniserer på. Fra å være et medium hvor man først og fremst mottar informasjon, har nettet utviklet seg til å bli et sted hvor man aktivt samhandler og deler informasjon. Denne utviklingen har utvilsomt hatt en positiv effekt på samfunnet, men har også gitt oss nye utfordringer for personvernet. En av de største endringene har trolig vært i forhold til sosiale nettsamfunn hvor det innsamles, lagres og bearbeides personopplysninger i et enormt omfang.

I økende grad vil det tas i bruk ny internettprotokoll (IPV6) som øker omfanget av adresser på internett. Dette kan innebære at hver enhet opererer med en unik adresse i hele sin levetid, en adresse som samtidig benyttes under kommunikasjon med andre enheter på internett. Det gjør at sporbarhet helt ned på enkeltenhet kan bli en realitet om ganske få år, med mindre det mobiliseres et engasjement for å forhindre en slik utvikling.

Utviklingen går også mot at stadig flere ting kobles til nettet, slik som kjøretøy, teknisk utstyr og husholdningsapparater. Dette utfordrer personvernet på nye måter, ettersom flere av disse enhetene samler inn bruksopplysninger.

Et økende antall tjenester bygges i dag på plattformer som er dominert av noen få globale virksomheter. Dette gjelder for eksempel produkter fra Apples (Iphone og Ipad), Googles Android (smarttelefoner og nettbrett) og Microsoft (smarttelefoner og nettbrett). Det fysiske produktet og softwaren som styrer enhetene er tett bundet sammen. De store leverandørene kontrollerer i varierende grad hvem og under hvilke betingelser andre tjenestetilbydere kan levere produkter på deres plattform. Det er sannsynlig at koblingen mellom avanserte produkter og tjenester som bygges på disse vil bli sterkere i årene som kommer. Det er viktig at personvernmyndighetene er årvåkne i forhold til denne utviklingen, samt medvirker til at godt personvern er et av kriteriene for å slippe inn på disse plattformene.

Smarttelefoner har blitt allemannseie, og antall programmer og applikasjoner som tilbys til smarttelefonene er stadig økende. Programvaren eller applikasjonene kan benyttes til å samle personopplysninger fra brukerne, ofte uten at disse er tilstrekkelig orientert på forhånd. Mange tjenester som fremstår som gratis, innebærer i praksis at betalingen skjer ved innsamling og videre bruk av personopplysninger. Disse personopplysningene selges gjerne til andre aktører, eller stilles til rådighet for målrettet markedsføring. Kompleksitet i grensesnittet mellom menneske, programmer og maskiner fører til at et stort flertall av brukerne trolig vil basere seg på produsentens innstillinger. Dette er slett ikke alltid et godt valg med hensyn til et godt personvern.

Bruk av nettskyen oppleves av stadig flere virksomheter som et gunstig valg for å kutte kostnader. Store investeringer i lokal infrastruktur og høye lokale driftsutgifter ønskes erstattet med lagrings- og databearbeidingskapasitet. Dette må imidlertid skje innenfor trygge rammer og de grenser som lovgiver har satt. I mange tilfeller vil oppdragsgiverne stå overfor ensidige avtaler, hvor deres muligheter for å påvirke produktet er begrenset. Rammene for en slik praksis bør klargjøres.

Hva har Datatilsynet gjort på området?

Kartlegging av Facebook

I desember 2010 ga Datatilsynet ut rapporten «Social Network Services and Privacy – a case study of Facebook». Rapporten viste at den profilinformasjonen som brukerne bevisst gir fra seg selv, kun er en liten del av den totale mengden informasjon som Facebook innhenter. Samtidig avdekket rapporten flere uklarheter rundt Facebooks innsamling og bruk av personopplysninger. Med bakgrunn i dette sendte de nordiske personvernmyndighetene i juli 2011, på initiativ fra Datatilsynet, en rekke konkrete spørsmål til Facebook om hvem som samler inn og får tilgang til informasjonen via Facebook, samt hva som skjer med innsamlede personopplysninger. Det ble også stilt spørsmål om Facebooks innsamling av opplysninger om ikke-medlemmer gjennom funksjonene «Liker », «Friend finder» og «Face recognition».

I sitt formelle svar gjorde Facebook det klart at de anser seg for å være underlagt europeisk personvernlovgivning, og at Facebook Irland Ltd. er ansvarlig for nordiske brukere. Facebook bekreftet videre at det brukeren skriver på veggen blir benyttet til å målrette reklame. Selskapet understreket imidlertid at de ikke videreformidler personopplysninger til andre selskaper, med mindre brukeren selv aksepterer det ved å installere såkalte tredjepartsapplikasjoner. Det samme gjelder for foto og video.

Facebook bekreftet dessuten at de samler inn nettadresser til alle nettbrukere som besøker en side med Liker-funksjonen, men da kun til bruk for administrative og sikkerhetsmessige formål. Nettadressene lagres i 90 dager.

I meldingsåret har Datatilsynet hatt flere kontaktmøter med Facebook både her hjemme og i Irland. Datatilsynet har også arbeidet tett sammen med de irske personvernmyndighetene som i perioden oktober-desember 2011 gjennomførte tilsyn med Facebook Irland.

Tilsynet har også hatt dialog med selskapene Google og LinkedIn.

Nettby

I desember 2010 ble VG sitt nettsamfunn Nettby nedlagt. Nettby var en periode Norges største nettsamfunn, og betydelige mengder informasjon ble samlet inn og lagret. På bakgrunn av henvendelser til publikumstjenesten slettmeg.no ble Datatilsynet gjort kjent med at VG ikke hadde slettet brukerprofiler og innhold som var registrert på Nettby, til tross for at nettsamfunnet var nedlagt. Datatilsynet startet derfor en dialog med VG, med tanke på å få profilene slettet.

VG tok på sin side opp spørsmålet med, og fikk støtte fra, Nasjonalbiblioteket om ikke disse opplysningene burde bevares for ettertiden. Det ble hevdet at informasjonen, som var samlet på en systematisk måte, gjenspeiler den samtiden vi lever i, og derfor kan være interessant for fremtidig forskning. Det opprinnelige formålet med Nettby var imidlertid å tilby medlemmene deltagelse i et nettsamfunn – med blant annet mulighet for privat samhandling medlemmene imellom. Datatilsynet påla derfor sletting.

Diskusjonen handler imidlertid om noe mer enn Nettby. Det handler om eiendomsretten til egne personopplysninger i det digitale samfunnet. Det er en debatt Datatilsynet ønsker velkommen. På Nettby, som i andre sosiale nettsamfunn, ble det delt store mengder informasjon, også private samtaler slik som chat, e-post og meldinger. Et viktig utgangspunkt i personvernet er at den enkelte skal ha kontroll med opplysninger om seg selv og en tilfredsstillende forutsigbarhet. De over 800 000 brukerne hadde sannsynligvis aldri gitt sitt samtykke til ovennevnte tjeneste dersom de hadde vært inneforstått med at deres opplysninger og private kommunikasjon kunne havne i statlige arkiver.

Et eksempel kan illustrere utfordringen: Hvordan hadde vi reagert om de store nettsamfunn som Google+, eller Facebook deponerte alt innholdet til amerikansk eller norsk nasjonalbibliotek for bruk i framtida? Ville brukerne akseptert at alle opplysningene de har gitt på disse nettsamfunnene fryses og blir brukt til forskning en gang i framtida?

Nasjonalbiblioteket

Nasjonalbiblioteket har bedt om anledning til å lagre innholdet på det norske toppdomenet (.no). I mangel på klargjørende lovverk ble det for noen år siden fremmet en konsesjonssøknad til Datatilsynet. Det ble da gitt en midlertidig konsesjon til Nasjonalbiblioteket om å høste inn filer (for eksempel nettsider) som er allment tilgjengelige. Tilsynet la til grunn at Regjeringen på sin side ville klargjøre fremtidig politikk på området ved å fremme et lovforslag overfor Stortinget.

Senest da konsesjonen ble fornyet i 2011 ba tilsynet om at «lovgiver må ta stilling til om de ulike delene av materialet som er samlet inn skal slettes eller lagres. For materialet som skal beholdes må det tas stilling til hvem som skal få tilgang til materialet, hvor det skal gis tilgang – og når». Arbeidet med lovforslaget er nå igangsatt hos Kulturdepartementet.

App-rapporten

Datatilsynet publiserte i september 2011 rapporten «Hva vet appen om deg? Kartlegging av personvernutfordringer knyttet til mobilapplikasjoner». Mobilapplikasjoner, såkalte «apper», er i kraftig vekst. Bakgrunnen for at tilsynet har kikket nærmere på dette markedet er at mange applikasjoner håndterer store mengder personopplysninger, ofte uten at brukeren selv er klar over det. Enkelte applikasjoner krever tilgang til personopplysninger som kan fortelle svært mye om brukeren, som for eksempel hvor man har oppholdt seg, opplysninger om vennenettverket og om vedkommendes interesser.

Hovedkonklusjonen i rapporten er at applikasjonsmarkedet er preget av lite åpenhet når det gjelder hvilke opplysninger som samles inn om brukeren, hva som er formålet med innsamlingen og hvordan opplysningene eventuelt viderebrukes . Markedet preges også av mange ulike aktører med ulike roller. Dette fører til uklarhet rundt hvem som faktisk er ansvarlig for at personopplysninger blir behandlet i tråd med personvernlovgivningen. Ingen av de norske applikasjonene som Datatilsynet undersøkte hadde lagt informasjon om håndtering av innsamlede personopplysninger eller hvem som er behandlingsansvarlig for disse, lett tilgjengelig for brukeren.

Basert på konklusjonene i rapporten har Datatilsynet vært i dialog med aktørene som utvikler applikasjoner, særlig med tanke på å få utarbeidet gode personvernerklæringer for brukerne, og for å skape bevissthet omkring ansvarsforhold. Rapporten er også oversatt til engelsk og tilsynet har videreformidlet innholdet i rapporten i ulike internasjonale fora. Dette arbeidet vil fortsette i 2012.

Bruk av Google Apps

Narvik kommune ble i meldingsåret landets første offentlig etat som valgte Google som totalleverandør av e-post, kalender og gruppevare. Google Apps er en såkalt nettskytjeneste. Det vil si at produksjon, behandling og lagring av innhold skjer på internett og ikke på kommunens egne servere. Mange av disse eksterne serverparkene står utenfor Norges grenser. Google Apps leveres av Google i USA og er dermed ikke underlagt norsk lov om håndtering av personopplysninger.

Kommuner og andre offentlige myndigheter er pålagt å vurdere risikoen ved å bruke slike tjenester, før de tas i bruk. Dette er den første saken Datatilsynet tar opp når det gjelder nettskyløsninger i offentlig sektor. Det blir derfor en prøvesak for tilsynets behandling av slike saker.

Datatilsynet har bedt kommunen om å redegjøre for bruken av Google Apps når det gjelder hvilke personopplysninger de skal behandle og hvilken risikovurdering de gjorde før de tok i bruk tjenesten.

Utredning om ytringsfrihet vs. personvern

Det er skrevet en utredning som tar for seg den kompliserte avveiningen mellom ytringsfrihet på internett og personvern. Spørsmålet som stilles i utredningen er hvor langt retten til personvern strekker seg på internett, både i lys av den teknologiske utviklingen, det sammensatte rettskildebildet og den økende trenden til at privatpersoner deler opplysninger både om seg selv og om andre på internett. Utredningen konkluderer med at tilsynet primært bør bruke ombudsrollen i spørsmål som utfordrer grensen mellom personvern og ytringsfrihet.

Funn fra tilsyn

Økende utfordringer med grensepasserende nettjenester

Mange brukere er lite bevisste på hvor tilbyderen av nettjenestene faktisk er lokalisert og hvilke konsekvenser dette har for deres rettigheter. Selv om brukeren sitter i Norge, kan tilbyderen av nettstedet være lokalisert et helt annet sted i verden, i et land med helt andre lover og regler.

Sannsynligheten er også stor for at nettstedet – enten tilbyderen er lokalisert i Norge eller et annet kjent land – benytter en eller flere grensepasserende tjenester. Det vil si at leverandøren av tjenesten ikke har base i samme land som tilbyderne av nettstedet. Dette kan for eksempel være tilfelle ved bruk av webanalyserverktøy. I mange tilfeller er bruk av slike eksterne tjenester ikke direkte synlig for brukeren av nettstedet. Brukeren kan dermed ha forestillinger om egne rettigheter og forpliktelser hos tilbyderen som senere viser seg å være feil.

Datatilsynet gjennomførte i 2011 tilsyn hos virksomheter som benytter analyseverktøy, slik som for eksempel Google analytics og Facebooks liker-funksjon. Dersom et nettsted benytter slike verktøy, legges det programkode på nettsiden som gjør at personopplysninger utveksles med en tredjepart. Det kan for eksempel legges unike informasjonskapsler på brukerens datamaskin, eller det kan utveksles IP-adresser til disse tredjepartene. I mange tilfeller gjøres dette til en virksomhet som ligger utenfor EØS-sonen. I samsvar med hva som er gjeldende oppfatning blant datatilsynsmyndigheter, betraktes IP-adresser under gitte forutsetninger som en personopplysning. Personopplysningslovens rettigheter og plikter kommer i så fall til anvendelse.

Tilsynene avdekket også at innehaverne av nettsider ikke i tilstrekkelig grad forsikrer seg om at fangst av IP-adresser og den videre bearbeidelse av disse, skjer i samsvar med regelverket. Det ble videre identifisert at bruk av informasjonskapsler i sporingshensikt også vil være problematisk fra et personvernståsted. Eksterne tilbydere av analyseverktøy benytter vanligvis slike kapsler. Noen av disse bidrar til unik sporing av brukerne i inntil to år.

Nett-TV

Datatilsynet gjennomførte i meldingsåret tilsyn hos virksomheter som tilbyr TV levert over bredbånd. Kontrollene viste at flere av selskapene logget informasjon om kundens bruk av nett-TV, det vil si hvilke programmer disse så på. Virksomhetene argumenterte med at dette ble gjort av hensyn til kundene i tilfelle kvaliteten på leveransen ikke var tilfredsstillende. Datatilsynet reagerte på praksisen og krevde endringer. Sakene er fortsatt til behandling.

1.8.2 Justis

Datatilsynet definerer justissektoren til å omfatte offentlige kontrollmyndigheter og utlendingsmyndighetene, i tillegg til domstolene, politi og påtalemyndighet.

Sektoren kjennetegnes av at den enkelte har liten selvbestemmelsesrett og begrenset kunnskap om hvilke informasjonsbehandlinger som finner sted. Den enkeltes individuelle rettigheter settes på prøve i møte med store systemer og tunge samfunnsinteresser, slik som samfunnssikkerhet og kriminalitetsbekjempelse. Innen justissektoren er personvernet å anse som en rettsverngaranti som setter grenser for hvilke tiltak myndigheten kan iverksette overfor den enkelte. Sektoren er sterkt lovregulert, og legalitetskontroll er derfor en viktig del av tilsynets oppfølgning. Innenfor denne sektoren håndteres store mengder sensitive personopplysninger.

Ny politiregisterlov med forskrift skal tre i kraft i sommeren 2012. Det har vært viktig for Datatilsynet å være tett på forskriftsarbeidet for å sikre at personvernhensyn blir ivaretatt. Tilsynet må arbeide for at de som er behandlingsansvarlige settes i stand til å realisere intensjonene bak det nye regelverket. Dette må skje blant annet gjennom samarbeid med sektoren og ved kontroller. Datatilsynet frykter at sektoren vil ha problemer med å etterleve det nye regelverket med de informasjonssystemene de har i dag, og ser at det er store utfordringer knyttet til det å få til en utbedring av systemene på kort sikt.

Automatiserte og intelligente systemer tas i økende grad i bruk for innhenting og systematisering av opplysninger til kontrollformål. Såkalt gjenkjenningsteknologi benyttes i stadig oftere. Det er viktig å få kunnskap om utbredelse og bruk av slike systemer. Det må også vurderes om hjemmelsgrunnlagene som kontrollmyndighetene viser til holder mål.

Justissektoren er videre preget av rask og omfattende internasjonal utvikling. I november 2008 ble EU-kommisjonens forslag til ny rammebeslutning om personvern ved behandling av opplysninger i forbindelse med politi- og strafferettssamarbeid vedtatt i Europarådet. Denne regulerer behandling av personopplysninger innenfor rammene av politisamarbeid og annet rettslig samarbeid i straffesaker. Instrumentet må ses på som et tiltak for å lette informasjonsflyten innad i EU-området. En slik utstrakt informasjonsflyt nødvendiggjør felles krav til hvordan opplysningene skal behandles. Politiregisterloven vil etter intensjonen oppstille slike krav til justissektoren i Norge.

Norge har også andre internasjonale forpliktelser som omfatter behandling av personopplysninger i sektoren. Forpliktelser som stiller krav til oppfølging fra tilsynets side. Dette gjelder særlig Schengenavtalen, jf. Lov om Schengen informasjonssystem.

Justisdepartementets arbeid med å etablere et nasjonalt identitetskort har pågått i lang tid. Kortet vil bestå av to komponenter, henholdsvis det fysiske identitetsbeviset og en elektronisk ID /signatur. Et slikt kort vil kunne fylle to viktige funksjoner; som et høyverdig identitetsbevis og for å fremskynde bruk av sikker elektronisk samhandling. Datatilsynet har derfor vært opptatt av å få dette på plass. Opprinnelige planer tilsa en lansering i 2011, men lanseringen er senere skjøvet til 2014. Datatilsynet mener det er sterkt beklagelig med denne utsettelsen. Spesielt er dette alvorlig i forhold til senere utbredelse av fullverdig elektronisk ID/signatur i befolkningen. Tilsynet vil følge den videre prosessen nøye.

Hva har Datatilsynet gjort på området?

Datalagringsdirektivet

I meldingsåret vedtok Stortinget at datalagringsdirektivet (direktiv 2006/24/EF) skal innføres i norsk rett. Innføringen ble vedtatt med knapt flertall, noe som illustrerer hvor kontroversielt vedtaket var. Datatilsynet var meget klare i sin tilrådning, nemlig at Norge burde avstå fra innføringen. En lagringsplikt slik direktivet foreskriver innebærer at det skal lagres opplysninger om hvem som kontakter hvem, når kontakten skjedde, hvor de kommuniserende befant seg og hvilket utstyr som ble benyttet i et halvt år etter at kommunikasjonen fant sted.

Datatilsynet tok Stortingets beslutning til etterretning, og siste del av meldingsåret har tilsynet arbeidet sammen med Post- og teletilsynet om implementeringen.

Ny politiregisterlov med forskrift

Behandling av personopplysninger i forbindelse med straffeprosessen har vært unntatt fra personopplysningslovens virkeområde. EU har laget en rammebeslutning, hvoretter de rettighetene og pliktene som personverndirektivet gir, skal gjøres gjeldende også i forbindelse med politiarbeid og straffeprosess. Frist for nasjonal tilpasning til rammebeslutningen var satt til september 2011.

Datatilsynet har vært i tett dialog med Justisdepartementet, både i forbindelse med lovarbeidet og forskriftsarbeidet. I dag sitter en jurist og en teknolog fra tilsynet i referansegruppa for politiregisterforskriften. Forskriftsarbeidet er forventet sluttført i løpet av våren 2012.

For at Datatilsynet skal kunne ivareta de nye pliktene i politiregisterloven er det en nødvendig forutsetning at tilsynets egen kompetanse i sektoren blir styrket, samtidig som det er behov for økte ressurser. I forbindelse med statsbudsjettet har tilsynet fått midler tilsvarende én stilling. Datatilsynet har startet opp arbeidet med å legge en langsiktig strategi for videre oppfølging av sektoren.

Schengen informasjonssystem

Norges etterlevelse av Schengen-avtalen har vært kontrollert i 2011. Det vil blant annet si kontroll av den nasjonale ivaretakelsen av personvernet til de registrerte. Datatilsynet forberedte den delen av Schengen-evalueringen som var rettet mot personopplysninger og Schengen Information System (SIS). Tilsynet ferdigstilte dessuten egne kontroller mot KRIPOS, som er den norske behandlingsansvarlige for SIS, og mot Østfold politidistrikt som bruker av SIS.

Rapporten konkluderte med at Norge hadde god informasjonssikkerhet rundt SIS og overholdt de forpliktelser som følger av Schengen-regelverket. Evalueringsgruppen kom også med noen anbefalinger på Datatilsynets område som det vil tas hensyn til i det videre tilsynsarbeidet med SIS.

DNA-screening i politietterforskning

Datatilsynet har som ombud uttalt seg kritisk til såkalt DNA-screening i forbindelse med politietterforskning. Uttalelsene har kommet i forbindelse med at metoden ble brukt i etterforskningen av en grov voldtektssak i Bergensområdet, og en drapssak i Os.

DNA-screening foregår i praksis ved at politiet innkaller en relativt vid krets av personer til vitneavhør i forbindelse med etterforskning av en konkret straffesak, og ber om samtykke til å analysere vedkommendes DNA. Dette fremstilles som en mulighet for den enkelte til å bli «sjekket ut» av saken. Kretsen som innkalles avgrenses gjerne ut fra geografiske kriterier og kjønn.

I påtaleinstruksen er samtykkebasert DNA-testing konkretisert til å gjelde i to relasjoner. For det første kan det samtykkes til såkalte referanseprøver, det vil si prøver fra personer med kjent tilknytning til åstedet eller en gjenstand som er knyttet til den straffbare handlingen. Dernest kan det samtykkes til innhenting av eliminasjonsprøver fra personer med kjent identitet som regelmessig kommer i kontakt med åsteder og bevismateriale, for eksempel ansatte ved politiet og analyseinstitusjoner. Formålet er i begge tilfeller å unngå at personer som med en viss grad av sannsynlighet lovlig har avsatt sitt DNA på åsted, gjenstander eller prøver, havner i politiets sporregister.

Datatilsynet mener at samtykke er lite problematisk i de sistnevnte tilfellene. Spørsmålet er i hvilken grad andre personer, hvor det i utgangspunktet ikke er holdepunkter for at vedkommende har avsatt DNA som vil bli funnet i etterforskningen, kan samtykke til tilsvarende undersøkelser.

Datatilsynet mener at det er tvilsomt. Det skal i utgangspunktet ikke være noe grunnlag for å sjekke vedkommende ut av saken, slik det er i de tilfellene som påtaleinstruksen omhandler. Det reelle formålet med undersøkelsen er altså å kontrollere om det er grunnlag for å sjekke vedkommende inn i saken.

Datatilsynet mener at samtykkebasert politietterforskning uansett reiser viktige prinsipielle problemestillinger. Det vises til at det ikke bør være opp til den enkelte borger å sette grenser for hvilke tiltak politiet kan iverksette overfor ham. Det foreligger en åpenbar ubalanse i forholdet mellom politiet og den enkelte – en ubalanse som sterkt utfordrer kravet om at det må foreligge en frivillig viljeserklæring. Dette gjelder særlig i de tilfellene hvor manglende samtykke kan medføre at man får etablert eller forsterket en mistanke mot seg, eller hvor den enkelte frykter at det kan bli konsekvensen.

Datatilsynet vil i kraft av å være ombud ta politiets praksis opp med Justisdepartementet.

Tollvesenets kontrollpraksis overfor privatpersoner – legalitetskontroll Datatilsynet har i meldingsåret fattet et vedtak overfor tollvesenet. Tilsynet påla tollvesenet å avslutte en kontrollpraksis som tilsynet mente manglet tilfredsstillende hjemmel.

Tollvesenets kontrollpraksis innebærer at opplysninger om privatpersoners utenlandstransaksjoner hentes fra valutaregisteret, at opplysningene foreholdes den registrerte gjennom et brev, og at han bes om å legge frem dokumentasjon knyttet til de aktuelle transaksjonene og eventuelle tollbehandlinger. Datatilsynet fikk kjennskap til praksisen gjennom en klage fra en privat person som hadde blitt utsatt for en slik kontroll.

Datatilsynet mener at dette er et kontrolltiltak overfor den enkelte som krever hjemmel i lov. Tilsynet mener at tollvesenets kompetanse etter gjeldende regelverk, hva gjelder kontroll av privatpersoner, er begrenset i tid og rom til innførsels- eller grensepasseringssituasjonen. De aktuelle transaksjoner og påfølgende innførsler som lå til grunn for tollkontrollen hadde imidlertid funnet sted flere år tilbake i tid, noe som innebærer at kontrollhjemlene ikke lenger var anvendelige.

Tollvesenet har påklaget Datatilsynets vedtak, og saken er oversendt Personvernnemnda.

Funn fra tilsyn

Rettsmedisinsk institutt – systemkontroll og legalitetskontroll

Høsten 2010 gjennomførte Datatilsynet en kontroll ved Rettsmedisinsk institutt ved Universitetet i Oslo. Kontrollen tok sikte på å avklare hvorvidt instituttets behandling av personopplysninger i forbindelse med DNA-testing og andre oppdrag var i samsvar med personopplysningslovens bestemmelser.

Datatilsynet fant at instituttet oppbevarer store mengder sensitive personopplysninger fra sin oppdragsvirksomhet, uten at det foreligger tilfredsstillende rettslig grunnlag for slik oppbevaring verken i lov eller i avtalen med den enkelte oppdragsgiver. Datatilsynet fant også at det forelå store mangler ved informasjonssikkerheten for opplysningene, og at universitetet for øvrig utøvde dårlig kontroll med opplysningene. I meldingsåret varslet Datatilsynet at det ville fatte vedtak om at universitetet må slette opplysningene.

Virksomheten ved Rettsmedisinsk institutt ble med virkning fra 1. juni 2011 overført til Folkehelseinstituttet. I sitt tilsvar har universitetet og Folkehelseinstituttet vist til at de er offentlige organer, og derved har plikt etter arkivloven til å oppbevare dokumenter som inneholder angjeldende opplysninger. De bestrider derfor at de har adgang til å slette disse opplysningene, og at oppbevaringen dessuten har rettslig grunnlag.

Datatilsynet har i meldingsåret arbeidet med et vedtak som er i tråd med det som ble varslet. Tilsynet legger til grunn at arkivloven bare kommer til anvendelse dersom oppdragsgiver er et offentlig organ, og at plikten da oppstår på oppdragsgivers hånd. Det vises til at oppdragstaker er en databehandler, og ikke har adgang til å behandle personopplysninger på en annen måte enn det som er avtalt med oppdragsgiver.

Dersom arkivloven forstås slik at det foreligger en arkivplikt for disse dokumentene hos Folkehelseinstituttet, vil det medføre en uthuling av de strenge slettebestemmelsene som er vedtatt av Stortinget i forbindelse med DNA-analyser i strafferettspleien. Dette gir et sterkt urimelig resultat som vil kunne være i strid med forholdsmessighetskravet i Den europeiske menneskerettskonvensjonen (EMK) artikkel 8.

Datatilsynet avdekket også at det oppbevares store mengder biologisk materiale fra analyseoppdragene ved instituttet. Tilsynet mener det er grunn til å stille spørsmål ved om personopplysningsloven får direkte anvendelse for biologisk materiale, og har unnlatt å fatte vedtak knyttet til dette.

Det er imidlertid slik at biobanker er en type virksomhet som krever hjemmel i lov etter EMK artikkel 8. Gjeldende regelverk hjemler forsknings-, diagnostiske og behandlingsbiobanker. De biobankene som foreligger ved rettsmedisinsk institutt omfattes ikke av dette regelverket, hvilket betyr at disse biobankene mangler rettslig grunnlag. Oppbevaringen kan derved være direkte i strid med EMK.

1.8.3 Helse og velferd

Helse og velferd involverer samtlige innbyggere i Norge, i alle stadier av livet. Opplysningene som behandles i sektoren er blant de mest sensitive personopplysningene som finnes. Samtidig må den enkelte akseptere og gi fra seg personopplysninger i «bytte» mot helsehjelp. Bruk av personopplysningene begrenses imidlertid ikke til helsehjelp, men samles inn for mange andre formål slik som forskning, kvalitetssikring, administrasjon og planlegging. Videre er det etablert en rekke helseregistre som helseopplysningene utleveres til. Den enkelte har dermed begrenset kontroll med spredningen av opplysningene og trolig også liten kjennskap til hvordan opplysninger benyttes og videreformidles.

Sektoren er preget av høy grad av endringsvilje og -evne fra departement til institusjonsnivå. Særlig aktuelt i denne forbindelse er samhandlingsreformen (ny kommunehelsetjenestelov, kjernejournal og tilgang på tvers) og modernisering av helseregisterområdet (utredning av reservasjonsrett, nye registerforskrifter, helsearkiv, nyfødtscreening og hjerte- og karregisteret).

I årene som kommer vil vi se økt bruk av teknologi innen omsorgssektoren, gjerne kalt omsorgs- eller velferdsteknologi. Datatilsynet har tatt mål av seg å være i forkant av denne utviklingen, stille krav til løsningene og bidra til innbygget personvern i løsninger som utvikles. Samtidig vil tilsynet arbeide med å ha en god dialog med de sentrale aktørene innenfor området.

Hva har Datatilsynet gjort på området?

Strategi for bedre personvern i helsesektoren

I november ble «Datatilsynets strategi for bedre personvern i helsesektoren» lansert, da det var behov for en mer strategisk tilnærming til arbeidet på dette området.

Tilsynet har i strategien utarbeidet langsiktige mål for hvordan etaten skal bidra til bedre personvern i helsesektoren. Det inkluderer blant annet arbeid rundt tilgangsstyring (både internt i virksomheter og tilgang på tvers), modernisering og samordning av helseregistre (sentrale helseregistre og andre kvalitetsregistre), samt en evaluering av hvordan tilsynet kan sikre folks selvbestemmelse og autonomi. Strategien tar også opp hvordan tilsynet skal arbeide overfor de lokale kvalitetsregistrene, departement, Helsedirektoratet, Helsetilsynet og andre sentrale aktører innenfor helsesektoren.

Samhandlingsreformen

Samhandlingsreformen innebærer en rekke praktiske endringer i helsesektoren, og de fleste innebærer endringer i regelverket. Datatilsynet har avgitt høringsuttalelser, samt hatt dialog med regelverksutvikler og gjennomførere for enkelte av endringene:

Sentrale tiltak for å bedre den elektroniske samhandlingen har vært opprettelse av en kjernejournal og muligheten for virksomheter å gjøre oppslag i hverandres journaler (tilgang på tvers). Kjernejournalen vil inneholde en sammenstilt grunninformasjon om pasienten, og vil være et sentralt helseregister. Datatilsynet har talt for at en slik journal skulle opprettes etter samtykke fra den enkelte. Resultatet ble at den enkelte kan reservere seg mot opprettelsen, og at det som hovedregel skal innhentes samtykke før en slår opp i kjernejournalen.

I 2009 ble helseregisterloven endret slik at det kunne gis tilgang til journaler mellom helsevirksomheter. Helseinformasjonssikkerhetsforskriften gir regler for hvordan en slik tilgang skal gjennomføres. I tillegg konkretiseres det en rekke krav til informasjonssikkerhet og tilgang internt i virksomheten. Datatilsynet har gitt innspill og kommentarer og er fornøyd med selve forskriften. Samtidig ser tilsynet det som viktig at det gis tilstrekkelige klargjøringer fra helsemyndighetene om hvordan enkelte krav skal løses, spesielt om hvordan helsejournalene skal struktureres.

Det skal opprettes en helseportal for publikums innsyn i egne opplysninger og samhandling med publikum. Portalen skal etableres innen gjeldende regelverk. Datatilsynet har dialog med sektoren også på dette området.

Hjerte- og karregisteret

Det sentrale helseregisteret Hjerte- og karregisteret ble opprettet i 2010. I meldingsåret ga Datatilsynet en høringsuttalelse til registerets forskrift. Forskriften ble vedtatt sent i 2011. Den tekniske utformingen av Hjerte- og karregisteret setter trolig standarden for påfølgende sentrale helseregistre etter fellesregistermodellen. Datatilsynet har lagt spesielt vekt på å gi innspill til hvordan identiteten til den som skal inn i slike register håndteres.

Datatilsynet har registrert at Helse- og omsorgsdepartementet tar sikte på å utrede en modell for reservasjon fra sentrale helseregistre. Datatilsynet mener dette er en viktig forutsetning for å beholde en viss grad av selvbestemmelse for individet.

Norsk Helsearkiv

Datatilsynet ga i meldingsåret høringssvar til Helse- og omsorgsdepartementet om etableringen av Norsk helsearkiv. I dette arkivet skal det oppbevares sensitive opplysninger slik som psykiatriske diagnoser og genetisk informasjon. Datatilsynet kritiserte forslaget da det ikke forelå utredninger av personvernkonsekvensene, og pekte på at måten opplysningene skal oppbevares og brukes på blir svært inngripende for den enkelte. Registreringen av opplysninger skal etter planen være obligatorisk, noe som står i kontrast til kjernen i personvernet om retten til selvbestemmelse. Tilsynet mente også at formålene med registeret var uklare.

Omsorgsteknologi

Datatilsynet igangsatte i 2011 en kartlegging av personvernutfordringer knyttet til ulike former for omsorgsteknologi. Rapporten skal lede ut i en strategi for hvordan tilsynet skal jobbe med dette viktige området fremover. Et viktig tiltak vil bli å få sentrale aktører til å se på innebygget personvern som et viktig element i utviklingen og implementeringen av nye teknologiske løsninger.

I denne sammenhengen har tilsynet sett det som viktig å opprettholde en god kontakt med akademia, utviklings- og forskningsmiljøer, samt brukere av omsorgsteknologi for å bidra til at personvernet blir tilfredsstillende ivaretatt.

Datatilsynet har også tatt til orde for at det må komme på plass et tydeligere rettslig grunnlag for bruk av omsorgsteknologi. Blant annet ble dette kommunisert til det såkalte «Hagen-utvalget» som har kommet med et forslag til politikk på området.

Helsedirektoratet har startet opp arbeidet med å utarbeide en fagrapport om implementering av omsorgsteknologi i de kommunale omsorgstjenestene. Datatilsynet deltar i en arbeidsgruppe som skal vurdere de juridiske og etiske utfordringene ved bruk av blant annet sensor- og varslingssystemer i kommunal omsorgstjeneste.

Genetiske undersøkelser

Det har blitt igangsatt et arbeid med en utredning om utfordringer ved genetiske undersøkelser. Utredningen vil se på sentrale personvernproblemstillinger knyttet til genetiske undersøkelser, og søke å avklare Datatilsynets tilsynskompetanse etter bioteknologiloven. Dette er blant annet utfordringer ved:

• lagring og ny bruk av genetisk informasjon og biologisk materiale,

• nasjonal og internasjonal forskning,

• kommersiell utnyttelse av humane biobanker og helseopplysninger,

• kommersielle aktører som tilbyr gentester – tester som markedsføres og selges via internett uten at lege er involvert.

Gerica-saken

Det ble i meldingsåret behandlet en klagesak i Personvernnemnda, der spørsmålet var om en kommune kan gi private virksomheter tilgang til kommunens helseregistre. Etter Datatilsynets vurdering er helseregisterloven til hinder for at kommunen kan gi disse virksomhetene en slik tilgang. Samtidig med at saken var inne til behandling ble det foretatt lovendringer i helseregisterloven. Disse lovendringene vil i fremtiden kunne muliggjøre nye samhandlingsløsninger mellom kommune og private virksomheter.

Personvernnemnda ga senere, i januar 2012, Datatilsynet medhold i denne saken. Nemnda la helseregisterloven til grunn for sin vurdering. Det ble ikke ansett som relevant at Helse- og omsorgsdepartementet varslet om at de arbeider ut fra en forutsetning om at en ny forskrift skal kunne regulere den type situasjoner som det er klagd på i denne saken.

Bruk av standardkonsesjon i antidopingprogram ved treningssentre

Nemnda behandlet en klage på Datatilsynets standardkonsesjon for å behandle personopplysninger i antidopingprogram ved treningssentre. Klagen var begrunnet i at konsesjonen i praksis godkjenner som avtalevilkår at man samtykker til dopingtesting. Personvernnemnda oppretthold tilsynets vedtak og la vekt på at dopingbruk har store både samfunnsmessige og individmessige konsekvenser og at viktige samfunnsinteresser tilsier at antidopingarbeid ivaretas også på alminnelige treningssentre. Det er frivillig å bli medlem på et treningssenter og det finnes alternative treningsmuligheter.

Funn fra tilsyn

Tilgangsstyring internt i helseforetak

Datatilsynet har gjentatte ganger uttrykt bekymring for mange av helseforetakenes mangelfulle tilgangsstyring og logging i forbindelse med elektroniske journalsystem. I 2011 ble det fattet vedtak om disse manglene mot Helse Møre og Romsdal HF. Bakgrunnen for vedtaket var en kontroll gjennomført i 2010. Etter kontrollen kom det frem at de identifiserte problemene gjaldt i samtlige helseforetak i helseregion Midt.

Tilsynet er heller ikke tilfreds med fremdriften mange helseforetak har for å bringe systemene i samsvar med gjeldende rett.

Helseforskning

Datatilsynet gjennomførte i 2011 sine første tilsyn etter helseforskningsloven og der opplysninger var innsamlet etter ikrafttredelsen av loven. Tilsynene ble gjennomført ved et større og et mindre helseforetak under Regional etisk komité (REK) Vest sitt ansvarsområde. Datatilsynet konstaterte at foretakene i regionen hadde samarbeidet godt om rutiner for ivaretakelse av helseforskningslovens krav.

Generelt hadde foretakene god oversikt over og kontroll med at tillatelser var innhentet før forskningsprosjekter var igangsatt. Datatilsynet avdekket imidlertid manglende kontroll med tidligere igangsatte prosjekter, samt behov for å sikre at pågående prosjekter blir gjennomført i samsvar med tillatelsene fra REK og regelverkets krav.

Datatilsynet ser det som viktig at forskningsansvarlig (tilsvarende behandlingsansvarlig i personopplysningsloven) etablerer en stabsfunksjon for støtte og oppfølging av forskningsaktiviteten. Dette var gjort i de kontrollerte helseforetakene. Datatilsynet vil kommunisere funn fra tilsynene til sektoren, deriblant de regionale forskningsetiske komiteene. Dette vil kunne bidra til en forsvarlig utvikling under et relativt nytt regelverk.

Oppfølging av NAV

I meldingsåret gjennomførte Datatilsynet nye tilsyn med NAV. Tidligere tilsyn har avdekket utfordringer med tilgangstyring og logging. I 2010 slo Datatilsynet ned på dette ved vedtak om styrket logging og konfidensialitetssikring. Tilsynene i 2011 fant sted ved tre NAVkontor av ulik størrelse i Rogaland. Det var tilsyn både med den kommunale og statlige delen av NAV. De samme utfordringene som ble identifisert ved tidligere tilsyn, ble på nytt stadfestet. NAV hevder at de påpekte utfordringene først lar seg løse når de sentrale saksbehandlingssystemene i NAV moderniseres. Datatilsynet vil imidlertid følge den videre prosessen nøye.

Videre fremstod manglende avklaringer rundt ansvaret for personopplysninger som problematiske. Fra sentralt hold legges det opp til at personopplysninger som man normalt anser for å falle under det kommunale behandlingsansvaret, registreres i statlige saksbehandlingssystem. Dette gjøres uten at ansvarsforhold eller avtalebehov er utredet. Manglende avklaringer fra sentralt hold medfører at samtlige av landets kommuner blir presset til en praksis som kan være i en juridisk gråsone.

1.8.4 Arbeidsliv

Datatilsynet får svært mange henvendelser knyttet til spørsmål i arbeidslivet, og det er et stort engasjement på dette feltet, både på arbeidstakersiden og arbeidsgiversiden. I arbeidslivet generelt er det en klar vekst i detaljregistrering av personopplysninger. Opplysningene registreres til mange ulike formål, som for eksempel for å måle ressursutnyttelse, kvalitetssikring og som sikkerhetstiltak. Opplysninger kan også registreres for å kontrollere den enkelte arbeidstaker.

Datatilsynet har merket en økning i antall henvendelser innenfor feltet arbeidsliv, særlig fra arbeidstakere som føler seg overvåket i arbeidshverdagen. Bakgrunnen for økningen kan blant annet være ikrafttredelsen av personopplysningsforskriften kapittel 9 om innsyn i e-post, mer tilgjengelige kontrollverktøy, eller en økt bevissthet blant både arbeidsgivere og arbeidstakere.

En del av henvendelsene gjelder spørsmål om arbeidsgivers adgang til å foreta innsyn i e-post og i ansattes filområder på virksomhetens nettverk, samt hvilke prosedyrer som må følges i den forbindelse. Men det er også mange spørsmål vedrørende GPS-overvåking av nyttekjøretøyer i forbindelse med logistikksystemer og elektroniske kjørebøker, og overvåkingssystemer som i detalj rapporterer kjøreadferd. Datatilsynet tar til orde for at arbeidsgiver må vurdere nøye hvilke opplysninger som er nødvendige å registrere, og understreker behovet for god informasjon til de ansatte.

Videre har det vært en merkbar økning i spørsmål med internasjonal grenseflate, slik som overføring av personopplysninger til utlandet, screening for å sikre at det ikke inngås avtaler med personer på FNs lister knyttet til terror, utvidet lagringsplikt av e-post og lignende. Det er grunn til å anta at arbeidstakerens personvern vil komme i en pressituasjon på grunn av nye krav til registrering.

Antallet henvendelser Datatilsynet får på dette feltet kan vitne om at regelverket er lite kjent blant både arbeidsgivere og arbeidstakere, og det er derfor viktig å formidle relevant informasjon til partene i arbeidslivet.

Hva har Datatilsynet gjort på området?

Kartlegging av behandlingen av personopplysninger i arbeidslivet

Arbeidsgivere iverksetter en rekke tiltak overfor arbeidstakere, hvor formålet kan være alt fra å sikre tilgangsbegrensning, øke ressursutnyttelsen og planlegge arbeidsoppgaver, til å kontrollere den enkelte arbeidstaker. Som regel vurderes det enkelte tiltak isolert, og samlingen av enkeltstående problemstillinger gir Datatilsynet en god oversikt over hvilke spørsmål som er aktuelle innen arbeidslivet. Tilsynet mangler imidlertid et helhetlig bilde av hvilke registreringer av personopplysninger en arbeidstaker utsettes for i arbeidshverdagen.

For å illustrere det totale trykket har Datatilsynet startet opp arbeidet med å gjennomføre studier av tre yrkesgrupper. Disse gruppene er; saksbehandler i det offentlige, yrkestransportsjåfør og ansatt i helsesektoren. Rammen skal være en arbeidsdag. Målet er å eksemplifisere hvilke registreringer en arbeidstaker kan bli utsatt for, og samle inn informasjon om arbeidshverdagen for norske arbeidstakere. Prosjektet vil forhåpentligvis også fungere som en bevisstgjøring. To av tre yrkesgrupper var kartlagt ved årsskiftet.

Arbeidet skal resultere i en rapport og eventuelt informasjonsmateriell som skal brukes i forbindelse med Datatilsynets arbeid innenfor feltet arbeidsliv, samt distribueres til aktuelle aktører. Prosjektet vil avsluttes i 2012.

Rapport om kontroll og overvåking i arbeidslivet

På oppfordring fra Arbeidstilsynet har Datatilsynet kommet med innspill til en kartlegging av kontroll og overvåking i arbeidslivet, initiert av Arbeidsdepartementet.

Datatilsynet behandler saker som knytter seg til arbeidsliv og kontrolltiltak i tre kanaler, henholdsvis tilsyn, saksbehandling og veiledning. Rapporten viser blant annet til utviklingstrekk og særlige problemstillinger på området, utfordringer knyttet til regelverk, tilsyn, samt eventuelle behov for tiltak.

Avfallsservice – flåtestyring

I Avfallsservice-saken hadde arbeidsgiver sammenstilt opplysninger fra GPS-loggen med timelister fra arbeidstakeren for å avdekke urettmessige krav om overtidsgodtgjørelse. Formålet med GPS-systemet var å få på plass en effektiv administrasjon, samt å bruke det til å utarbeide arbeidsplaner og normere tidsforbruket på rutene. Arbeidsgiverens bruk av systemet til kontrollformålet var etter Datatilsynets vurdering uforenlig med det opprinnelige formålet.

Ofte argumenteres det med at man ønsker å oppbevare opplysninger videre fordi de kan komme til nytte senere. Det grunnleggende prinsippet om formålsbestemt bruk av personopplysninger stilles da på prøve. Det vises særlig til at personopplysninger bare skal brukes til uttrykkelig angitte formål, med mindre arbeidstaker samtykker. Når opplysningene har oppfylt sitt formål, skal de slettes. Brudd på dette prinsippet kan medføre store personvernkonsekvenser ved at opplysninger som er innsamlet til ett formål benyttes til noe helt annet, eller ved at opplysninger som skulle vært slettet trekkes frem på et senere tidspunkt.

Saken ble påklaget til Personvernnemnda, som kom til samme resultat som Datatilsynet.

Saken var videre til behandling i rettsapparatet. Hålogaland lagmannsrett var enig i Datatilsynets vurderinger, men tillot at sammenstillingen ble fremlagt som bevis. Domstolen og Datatilsynet skal åpenbart foreta ulike vurderinger, men saken er et eksempel på at en arbeidsgiver som bryter regelverket på sett og vis kommer gunstigere ut av enkelte situasjoner enn pliktoppfyllende virksomheter.

Datatilsynet kommer til å reagere med overtredelsesgebyr i tilsvarende saker i fremtiden.

Terrorscreening

Datatilsynet har fått flere henvendelser om screening av ansatte opp mot ulike terrorlister i USA, og overføring av personopplysninger til dette formålet. En slik screening gjøres for å kontrollere om firmaets ansatte befinner seg på en av utallige lister over personer det er forbudt å inngå transaksjoner med.

Datatilsynet var av den oppfatning at en slik behandling mangler behandlingsgrunnlag, og kom med en forhåndsuttalelse om lovligheten. Dette ble påklaget til Personvernnemnda, som mente at opplysningene lovlig kan overføres til USA, og at de kan brukes til andre formål enn det de opprinnelig ble samlet inn for dersom det finnes hjemmel for slik bruk etter amerikansk rett. Datatilsynet mener at avgjørelsen er problematisk fordi nemnda ikke tar stilling til grunnkravene i personopplysningsloven.

Innsyn i e-post – overtredelsesgebyr

Etter ikrafttredelsen av nye regler om arbeidsgivers innsyn i e-post har Datatilsynet mottatt en rekke henvendelser som dreier seg om dette. I fire saker har tilsynet ilagt overtredelsesgebyr på opptil 75 000 kroner. I en av sakene hadde arbeidsgiver gitt en vikar brukernavn og passord til en langtidssykemeldt arbeidstakers e-postkasse. Det har også vært eksempler på at arbeidstakers epostkasse blir opprettholdt i en lengre periode etter at arbeidsforholdet er avsluttet, slik at andre i virksomheten får videresendt all innkommende e-post.

Private verktøy i arbeidslivet – MinID

En særlig aktuell problemstilling har vært rolleblandingen mellom en person som privatperson og som arbeidstaker, for eksempel ved at arbeidsgiver pålegger en arbeidstaker å bruke private verktøy i arbeidshverdagen. Ved endringen av Folkeregisteret har én av løsningene innebåret at arbeidstakere må bruke MinID for å løse sine primære arbeidsoppgaver.

Datatilsynet har mottatt en rekke klager fra ansatte i offentlig sektor som reagerer kraftig på bruken av MinID. Noe av bakgrunnen for dette er at man som borger har en forventning om at dette verktøyet utelukkende skal brukes til private formål, slik som å levere selvangivelsen og bestille skattekort. Datatilsynet anser det spesielt problematisk å pålegge arbeidstakere å bruke verktøy som man som privatperson kan reservere seg mot å bruke. Datatilsynet har vært i dialog med Skattedirektoratet og Difi (som er behandlingsansvarlig for MinID), men saken er ikke avsluttet.

Funn fra tilsyn

Arbeidstilsynet og Datatilsynet inngikk en samarbeidsavtale i 2011. Avtalen gjelder samarbeid, informasjons- og erfaringsutveksling. I forbindelse med kartlegging av kontrolltiltak i arbeidslivet ble det i meldingsåret gjennomført felles tilsyn med Arbeidstilsynet. Disse ble gjennomført som ledd i Arbeidstilsynets prosjekt «Arbeid for helse».

Datatilsynet har ved tidligere tilsyn avdekket et omfattende regime når det gjelder prestasjonsmåling og kontrolltiltak mot arbeidstakere innen enkelte bransjer. To av tilsynene ble gjennomført hos callsentere. Tilsynene bekreftet nok en gang behovet for å følge opp spesielle bransjer slik at arbeidsgiveren ikke går for langt med uforholdsmessige kontrolltiltak overfor de ansatte. Videre avdekket tilsynene mangelfull informasjon til de ansatte om kontrolltiltakene.

1.8.5 Økonomi, finans og forsikring

Dette saksområdet omfatter store deler av befolkningen i større eller mindre grad. De aller fleste har bankkonti og forsikringer, samt gjennomfører kjøp som fordrer kredittvurderinger. Tilbudet av elektroniske tjenester på området øker. Ny teknologi, nye aktører, nytt rammeverk og stadig mer internasjonalisering gjør at dette området byr på både personvernutfordringer og sikkerhetsmessige utfordringer.

Selv om opplysninger om økonomiske forhold ikke er sensitive, er slike opplysninger ofte ansett som følsomme av brukerne selv. Innenfor dette området behandles det likevel også en del sensitive personopplysninger, særlig innen området forsikring og pensjon.

Forsikring og pensjon er goder som alle bør ha tilgang til. Det kan se ut som om det er en økende tendens til å innhente flere opplysninger ved beregning av forsikringstilbud og forsikringspremie. Dette kan for eksempel være helseopplysninger, opplysninger fra NAV og kredittvurderinger. Der selskapet er en del av et konsern deles dessuten en rekke opplysninger på tvers av konsernet. Da er det viktig å få avklart hvem som skal ha tilgang til hvilke opplysninger.

Etter en fusjon har NETS (tidligere Bankenes Betalingssentral) blitt en betydelig aktør på betalingsformidling i Europa. Utfordringen blir å sikre personopplysningene mot uautorisert tilgang, bruk og utlevering.

Datatilsynet har i 2011 valgt å legge hovedvekt på kredittvurderinger, forsikring og pensjon. Tilsynet har blant annet hatt som målsetning å utarbeide gode konsesjoner til sentrale aktører for å konkretisere lovens krav, sikre personopplysninger mot uautorisert tilgang, bruk og utlevering, samt styrke egen kompetanse på områder.

Hva har Datatilsynet gjort på området?

Ny kredittopplysningskonsesjon

Datatilsynet har ferdigstilt arbeidet med å utarbeide en ny kredittopplysningskonsesjon etter dialog med bransjen. Bakgrunnen for gjennomgangen var flere konkrete saker som har vært til behandling hos både tilsynet og Personvernnemnda. Konsesjonen gjelder med virkning fra 1. april 2012.

Enkelte deler av konsesjonen er påklaget av Norske kredittopplysningsbyråers forening, da selskapene ikke får bruke adressehistorikk og tidligere forespørsler som parametre i kredittvurderingen. Saken vil oversendes til Personvernnemnda i 2012.

Reservasjonsregister mot kredittvurdering

Datatilsynet har støttet Brønnøysundregisteret i arbeidet med opprettelse av et felles reservasjonsregister mot kredittvurdering. Adgangen til å sperre seg mot kredittvurdering er særlig viktig ved mistanke om identitetstyveri. Det er ønskelig med et system hvor den enkelte kun trenger å melde fra ett sted, i stedet for til hvert enkelt selskap som driver kredittopplysningsvirksomhet. Det er foreslått at et slikt register skal administreres av Brønnøysundregisteret. Saken er oversendt til Nærings- og handelsdepartementet.

Standardbrev – kredittvurdering

Det er dessuten utarbeidet et standardbrev som kan benyttes av personer som mener at de har blitt kredittvurdert uten at det foreligger saklig grunn for dette. Brevmalen er tilgjengelig på nettsidene.

Funn fra tilsyn

Fordelskort

Datatilsynet gjennomførte i 2011 kontroll med tre virksomheter som drifter fordelskortprogram. To virksomheter er tilknyttet handelskjeder, og en er tilknyttet en sammenslutning av boligselskap.

Behandlingen var i det vesentlige i samsvar med tidligere praksis og innhentede samtykker. Det ble reist konkrete problemstillinger knyttet til innhenting av opplysninger fra tredjeparter og sletting ved opphør av medlemskapet.

For virksomheten som driftet fordelsprogrammet for boligselskapene, fremstod det som uavklart hvem som var ansvarlig etter personopplysningsloven. Med mindre det bringes klarhet i ansvaret må derfor behandlingen opphøre.

Forsikringsselskap

Det ble i meldingsåret gjennomført tilsyn med fire forsikringsselskap. Det var særlig håndteringen av sensitive opplysninger slik som helseopplysninger som ble kontrollert, med hovedvekt på relevans, sikkerhet og tilgangskontroll. Det generelle inntrykket var at dette er en ryddig bransje, og ingen alvorlige funn ble gjort.

1.8.6 Samferdsel og transport

Datatilsynet har i de senere årene viet mye oppmerksomhet til de personvernutfordringene som følger av stadig nye tekniske løsninger innenfor samferdsels- og kommunikasjonssektoren. Noe det har vært fulgt ekstra godt med på er overgangen til helautomatiske bomstasjoner og elektronisk billettering på offentlige transportmidler. Dette har vært utslagsgivende for at det både ble iverksatt et arbeid for å få etablert en anonym betalingsløsning for passering av bomstasjoner, og en bransjenorm for elektronisk billettering. Bransjenormen stiller som en forutsetning at man skal kunne benytte offentlig transport uten å legge igjen identifiserbare spor om hvor man har vært og når reisene fant sted. Begge disse løsningene skal være likeverdige alternativer for de reisende, både med tanke på pris og tilgjengelighet.

Like fullt er det stadig nye tekniske løsninger og velmente tiltak på planleggingsstadiet eller under utvikling. Eksempler på dette er eCall-initiativet fra EU og transportbransjens tanker om overgang til billettering via den reisendes mobiltelefon. Dette gjør at Datatilsynet ikke kan slippe taket i denne sektoren.

For Datatilsynet er det sentralt at man også i fremtiden kan ferdes i samfunnet uten å legge igjen opplysninger om hvor man har vært og når reisen fant sted. Etter tilsynets vurdering er dette en forutsetning for reell fri ferdsel. Datatilsynet vil arbeide aktivt for å bevare en slik samfunnsnorm, blant annet gjennom å delta ved etableringen av nye prosjekter og løsninger for å bidra til at tiltaket utformes på en personvernvennlig måte. Tilsynet må stille krav tidlig i prosesser og inngå allianser for å skape engasjement for anonyme alternativer.

Registrering av den enkeltes bevegelser utgjør i seg selv et potensiale for overvåking. Informasjon om de reisendes trafikkvaner i kombinasjon med blant annet helautomatiske bomstasjoner og køprisingssystemer basert på GPS-posisjonering, kan føre til et registreringsregime som fanger opp enhver bevegelse man foretar seg. Det kan også gi grunn til bekymring at mer omfattende lagring av elektroniske spor bidrar til at bevisbyrden på sett og vis snus. Siden sporene allerede ligger der, blir det den registrerte som må sannsynliggjøre sin uskyld.

Som personvernmyndighet skal Datatilsynet holde et øye med det samlede overvåkingstrykket i samfunnet. Selv om for eksempel det enkelte bompengeringselskap neppe har til hensikt kontrollere bilistenes bevegelser, vil registreringen selskapet foretar bidra til et helhetsbilde.

Hva har Datatilsynet gjort på området

Bransjenorm for elektronisk billettering

På initiativ fra Ruter og de øvrige kollektivselskapene har tilsynet deltatt i et samarbeidsprosjekt om personvernvennlige løsninger for elektronisk billettering, samt utvikling av en bransjenorm. Bransjenormen skal bidra til at alle kan reise anonymt med buss, tog og båt, og forplikter hele bransjen til å tilby elektroniske billetter som gir godt personvern for de reisende. Alle trafikanter skal kunne reise kollektivt uten å oppgi hvem eller hvor de er, og likevel få de samme fordelene og servicen som trafikanter som velger å inngå personlige avtaler med et transportselskap.

Det er en politisk målsetting å få til en felles løsning der trafikanter kan bruke ett og samme reisekort uavhengig av transportselskap. Normen legger til rette for at utviklingen av slike betalingsløsninger kan gjøres på en personvernvennlig måte. Bransjenormen ble lansert i desember 2011.

Bomstasjoner

Vegvesenet ønsker å fjerne manuell kontant betaling ved passering i bomstasjoner og gå over til helautomatiske bomstasjoner. Det er også ønskelig at det benyttes betalingsbrikker og ikke fotografering av de som passerer. Formålet med bomstasjonene er å ta inn penger og ikke å registrere de passerende. Det arbeides derfor med å få etablert en ihendehaverløsning som ikke registrerer hvem som betaler, men bare tar inn betaling. Dette anses som en fordel for å ivareta personvernet.

Det har i forbindelse med dette arbeidet dukket opp utfordringer i forhold til bokføringsregelverket. Dette regelverket krever lagring av passeringsopplysninger i ti år. Vegdirektoratet og Datatilsynet har hatt møte med Skattedirektøren og Skattedirektoratet for å få en avklaring av problematikken rundt den lange lagringstiden.

eCall

EU-kommisjonen arbeider med innføringen av et system for automatisk nødanrop fra biler som har vært utsatt for ulykke, såkalt eCall. Et slikt nødanrop skal settes opp mot en relevant alarmsentral. Systemet benytter GPS og GSM, noe som kan medføre utfordringer for personvernet. Det ser ut til at implementeringsdatoen for en pliktmessig installasjon av nødvendig utstyr i nye biler blir 1. januar 2014. Utviklingsarbeidet på europeisk nivå har tatt vesentlig lenger tid enn det som var forutsatt.

Datatilsynet deltar i eCall-arbeidet i den nasjonale styringsgruppen. Denne deltakelsen gir tilsynet mulighet til å påvirke at systemet i størst mulig grad blir tilrettelagt som en personvernvennlig løsning. Tilsynet har også deltatt i det internasjonale standardiseringsarbeidet.

Det norske Datatilsynet ligger i forkant når det gjelder arbeidet med eCall, og ved utvikling i saken har tilsynet en viktig rolle i å påvirke norske posisjoner. Dette er et område tilsynet vil følge nøye med på også i 2012.

1.8.7 Kameraovervåking

De siste årene har det vært en voldsom utvikling i omfanget av kameraovervåking. Tidligere var teknologien relativt kostbar. Kameraovervåking ble derfor i hovedsak benyttet av profesjonelle aktører som gjorde sikkerhetsfaglige vurderinger i forbindelse med beslutningen om å skaffe overvåkingsanlegg. Utstyret ble i hovedsak tatt i bruk i forbindelse med tungtveiende sikkerhetsbehov, slik som forebygging og oppklaring av ran, innbrudd og butikktyverier. Denne overvåkingsteknologien er imidlertid nå blitt så billig, teknisk avansert og brukervennlig at helt nye grupper av aktører tar slikt utstyr i bruk, og da gjerne også til formål som ikke på noen måte har noe med sikkerhet og trygghet å gjøre.

Et illustrerende eksempel på dette er alle de såkalte «viltkameraene» som privatpersoner plasserer i utmarka, og som tar bilder idet noe beveger seg foran kameralinsen – enten det er dyr eller mennesker. Disse kameraene er som regel ikke skiltet. Enkelte turgåere reagerer på dette da de opplever seg overvåket av andre privatpersoner i det som burde være deres frie ferdsel i norsk natur.

Datatilsynet har videre erfart at kameraovervåking tiltar i arbeidslivet, blant annet ved at stadig større områder av en arbeidsplass overvåkes. Et eksempel på dette er innføring av «bank i butikk», hvor enkle bankfunksjoner er flyttet til dagligvarebransjen. Bankformålet medfører et økt overvåkingsbehov, og resulterer i at butikkansatte nærmest er under kontinuerlig overvåking.

Hva har Datatilsynet gjort på området?

Ordinær kameraovervåking i regi av kjøpesentre, butikker, offentlige etater og på privat eiendom uten allmenn ferdsel, har de siste årene hatt en noe lavere prioritet fra Datatilsynets side. Problemstillinger omkring denne typen behandling av personopplysninger har vært forsøkt løst ved minst mulig ressursbruk. Dette er fortrinnsvis blitt gjort gjennom veiledning, fremfor tilsyn og saksbehandling i enkeltsaker.

Datatilsynet har imidlertid hatt som en målsetting å holde seg godt orientert om ny teknologi på området. Dette for å være forberedt på nye anvendelsesområder og for å tidlig kunne se muligheter for misbruk av teknologien. Det er også blitt lagt vekt på å øke kjennskapen til regelverket omkring kameraovervåking hos de behandlingsansvarlige, samtidig som publikum blir satt i stand til å ivareta sine rettigheter.

Revidering av veiledningsmateriell

I meldingsåret ble det satt i gang et arbeid med å revidere veiledningsmateriellet om kameraovervåking. Den eksisterende brosjyren vil bli erstattet av internettbasert veiledning som blir mer tilpasset ulike bruksområder for kameraovervåking. Dette skal gjøre det lettere både for den som tar overvåkingsutstyret i bruk, og de som blir gjenstand for overvåkingen å tolke og forstå regelverket knyttet til den aktuelle og spesifikke situasjonen.

Innspill til lovrevisjon

I forbindelse med Justisdepartementets revisjon av personopplysningsloven, har Datatilsynet i meldingsåret kommet med innspill som gjelder bestemmelsene om kameraovervåking. Særlig viktig er det at lovgiver tar stilling til bruk av lydopptak i forbindelse med kameraovervåking. I dag selges en stadig større andel av kameraovervåkingsløsningene med en innebygget mulighet for opptak av lyd også. Det er sannsynligvis bare et tidsspørsmål før mulighetene til lydopptak blir standardfunksjonalitet på overvåkingskameraer i salg. Bruk av lydopptak i forbindelse med kameraovervåking vil være betydelig mer integritetskrenkende og problematisk enn billedopptak alene, og må derfor bli gjenstand for en grundig vurdering og regulering i lov.

Tilsynet har også fått en del henvendelser om hvilken rettslig stilling en kameraetterligning eller et ikke-virksomt kamera, en dummy, har. Disse problemstillingene er også videreformidlet i forbindelse med revisjonen.

Bransjesamarbeid

Den gode dialogen med Norske Elektroinstallatørers forening (NELFO) er videreført, blant annet gjennom samarbeid om Kameraovervåkingskonferansen 2011, og ved å stille med foredragsholdere på NELFO sine kurs for installatører.

Funn fra tilsyn

Datatilsynets kontroller innen kameraovervåking ble i meldingsåret rettet mot detaljister. Gjennomgående ble det avdekket mangler på varsling av overvåkingen. Det ble dessuten gjennomført noen stedlige tilsyn basert på tips fra publikum der det var mistanke om grove brudd på personvernlovgivningen:

Kjøpesenter – lagring av opptak

Datatilsynet ila et storsenter i Østfold et overtredelsesgebyr på 50 000 kroner for blant annet brudd på bestemmelsene om sletting av opptak. Bakgrunnen for saken var en besøkende til senteret som opplevde å bli feilaktig beskyldt for butikktyveri, og der kameraopptak ble vist til som dokumentasjon. I følge personopplysningsloven skal opptak slettes etter syv dager, men under tilsynet fant Datatilsynet lagrede opptak helt tilbake fra 2006. Den digitale lagringen gjorde det også mulig å søke frem informasjon om bestemte personer.

Bakeri – skjult overvåking av ansatte

Et bakeri i Oslo ble i meldingsåret ilagt et overtredelsesgebyr på 40 000 kroner, etter at de hadde drevet skjult overvåking av sine ansatte. Datatilsynet gjennomførte i 2010 et tilsyn hos bakeriet etter tips fra publikum, og det ble avdekket flere brudd på personopplysningsloven. Det groveste bruddet var skjult overvåking av de ansatte via et kamera gjemt i en røykvarsler på et minikontor, der de ansatte kunne trekke seg tilbake for private gjøremål eller kontorarbeid.

Hotell – overvåking av ansatte og gjester med lydopptak

Datatilsynet anmeldte i 2011 et hotell i Vestfold for omfattende kameraovervåking av både ansatte og gjester. Under et tilsyn ble det dokumentert at hotellets kameraer overvåket gjester og ansatte blant annet ved resepsjonsområdet, spisesal og møterom. Dette ble gjort i kombinasjon med lydopptak. Saken er under arbeid.

Pub – skjult overvåking på toalettet

VG avslørte at en pub i Buskerud gjennom lang tid hadde overvåket gjestene på herretoalettet. Overvåkingen var skjult som en røykvarsler. Med bakgrunn i medieomtale og Datatilsynets vurderinger av alvorlighetsgraden innledet Politiet etterforskning uten forutgående anmeldelse, og sørget for at overvåkingskameraet ble fjernet. Puben ble ilagt et forelegg på 30 000 kroner. Datatilsynet er tilfreds med at politiet av eget tiltak startet etterforskning i denne saken.

1.8.8 Offentlighet og personvern

Offentlighetsprinsippet står sterkt i Norge. En institusjonalisert åpenhet om dokumenter og opplysninger som håndteres av offentlig forvaltning, bidrar til å øke allmennhetens innsikt i politiske spørsmål og prosesser. Dette er viktig for å skape en åpen, fri og informert samfunnsdebatt. Ikke minst gis også borgerne gjennom innsynsretten en mulighet til direkte kontroll av forvaltningens virksomhet, blant annet for å kunne avdekke og forhindre feil eller makt- og myndighetsmisbruk.

Da Stortinget i 1970 innførte offentlighetsloven var det, naturlig nok, ingen som så for seg hvilke samfunnsendringer som skulle komme når det gjaldt muligheter for systematisering og tilgjengeliggjøring av informasjon via internett. Den gang var det slik at den som ønsket å gjøre seg kjent med innholdet i en sak henvendte seg til det aktuelle offentlige kontoret, gjerne ved fysisk oppmøte, og ba om innsyn i tradisjonelle saksmapper og papirdokumenter.

Men så kom internett. Tilgjengeligheten til informasjon ble revolusjonert. Personopplysninger om norske borgere er i et økende omfang blitt gjort tilgjengelig for søk, nedlasting, systematisering og sammenkopling. De opplysningene som i henhold til lovgivningen skal være offentlige, blir gjort elektronisk tilgjengelige for brukere over hele verden, til enhver tid og til ethvert formål. Etter Datatilsynets vurdering gjør dette det nødvendig å foreta nye avveininger av hensynene til åpenhet og tilgjengelighet, samt hvordan dette praktiseres opp mot blant annet personvernmessige konsekvenser.

Hva har Datatilsynet gjort på området

Skattelistene

I Datatilsynets virksomhetsplan for 2011 fremgikk det at tilsynet skulle ta initiativ til dialog med Finansdepartementet, Skatteetaten og Redaktørforeningen med flere, angående den uheldige praksisen som hadde utviklet seg rundt publisering av skattelistene. Målet var å komme fram til et regelverk og praktiske løsninger som i større grad balanserer hensynene til åpenhet og kontroll av skattesystemet opp mot respekten for privatlivets fred.

Et slikt initiativ fra Datatilsynets side ble imidlertid ikke nødvendig. Med bakgrunn i et godt gjennomarbeidet forslag fra Skattedirektoratet, sendte Finansdepartementet våren 2011 ut et høringsnotat med forslag til endringer i reglene om offentliggjøring av skattelistene. Etter en høringsrunde gjorde Stortinget et vedtak om innstramming i praksisen med utlevering og publisering av skattelisteopplysninger. Lovendringen ble gjort med virkning allerede for utleggingen av skattelisene i oktober 2011.

Datatilsynet er meget tilfreds med Skattedirektoratets initiativ, den påfølgende politiske behandlingen av forslaget, og Stortingets endring av ligningsloven om offentliggjøring av skattelistene. Disse personopplysningene er i og for seg like offentlige som tidligere, da man fortsatt kan foreta søk i skattelistene. Opplysningene er imidlertid nå gjort tilgjengelig på en måte som reduserer mulighetene til bruk som ikke er forenlig med den egentlige intensjonen bak offentliggjøring av skattelistene.

Masseinnhøsting av personopplysninger

Den innstrammingen som ble gjort rundt offentliggjøringen av skattelistene viser at det faktisk er mulig å finne praktiske løsninger som balanserer hensynene til åpenhet og innsyn, med hensynene til personvern og sikkerhet. En tilsvarende tilnærming er nødvendig også når det gjelder personopplysninger som gjøres tilgjengelige i medhold av offentlighetsloven.

Som det fremgår av Datatilsynets årsmelding for 2007 varslet tilsynet allerede da om en problematisk konsekvens av offentlighetsloven når det gjelder mulighetene for masseinnhøsting av personopplysninger. Bakgrunnen var at flere kommuner reagerte på at ulike friskoler krevde å få utlevert elevlister fra grunnskolen, slik at de kunne kontakte elever på ungdomsskoletrinnet med informasjon om sitt skoletilbud. Offentlighetsloven ble vist til som grunnlag for kravet. I en tolkningsuttalelse slo Justisdepartementet den gang fast at elevlister er offentlige dokument som enhver kan kreve innsyn i. Dersom elevlistene bare inneholder informasjon om navn, adresse, telefonnummer og eventuelt fødselsnummer, er i utgangspunktet ingen deler av elevlisten unntatt fra innsyn etter offentlighetsloven var Justisdepartementets vurdering.

Datatilsynet oppfordret som følge av dette Justisdepartementet til å forskriftsfeste at elevlister skulle kunne unntas offentlighet. Den nye offentlighetsloven trådte imidlertid i kraft 1. januar 2009 uten et slikt unntak. Tvert i mot ble offentlighetsloven utvidet slik at enhver nå har rett til også å kreve å få utlevert sammenstillinger av opplysninger som er elektronisk lagret, så lenge sammenstillingen er enkel å sette opp. Det skal etter denne nye bestemmelsen mye til for at en offentlig etat kan nekte å masseutlevere sammenstilte personopplysninger i elektronisk form, så lenge de ikke er taushetsbelagte. Dette gjelder enten det dreier seg om lister over nåværende eller tidligere studenter på landets universiteter og høgskoler, elever på grunn- og videregående skoler, kanskje til og med barnehagebarn. Dette gjelder også andre personopplysninger på andre forvaltningsområder.

Offentlighetsloven innebærer videre at det er enhver som kan kreve masseutlevering av denne typen personopplysninger. Vedkommende behøver med andre ord ikke identifisere seg, langt mindre oppgi hva opplysningene er tenkt benyttet til. Dette gjør det i realiteten umulig for den registrerte å benytte sin rett til innsyn, retting eller sletting etter personopplysningsloven.

Studentlister

Problemstillingen med elevlister ble igjen aktualisert i 2011. Under henvisning til offentlighetsloven henvendte en kommersiell aktør seg til NTNU i Trondheim og krevde utlevert lister over tusenvis av studenter. Listene skulle inneholde navn, studieretning og år, adresse, e-post og telefonnummer. Når universitetet nektet å utlevere listene av hensyn til sine studenter, viste imidlertid Kunnskapsdepartementet til Justisdepartementets tolkning av offentlighetsloven. NTNU måtte dermed utlevere listene til et selskap som vil benytte opplysningene til å bygge opp en større database med personopplysninger til bruk for rekrutteringsformål.

Senere har også flere av landets høgskoler mottatt tilsvarende krav om masseutlevering av studentlister fra det samme selskapet. Enkelte av universitetene har, som følge av reaksjoner fra studentorganisasjonene, nektet å utlevere disse personopplysningene. Dette på tross av at opplysningene etter både Kunnskapsdepartementets og Justisdepartementets vurdering er å anse som offentlige. Datatilsynet vil følge opp denne saken i 2012.

Fødselsnummer kan unntas offentlighet

Stortinget vedtok i desember 2011 en endring i offentlighetsloven som innebærer at fødselsnummer kan unntas offentlighet. Initiativet til lovendringen kom etter at flere offentlige etater, deriblant flere departementer, tidligere på året hadde mottatt krav om innsyn i ansattes lønnsslipper, hvor også det fulle fødselsnummeret fremgikk.

Offentlighetsloven bør gjennomgås

Datatilsynet mener at tiden er overmoden for at lovgiver ser med nye øyne på offentlighetsloven når det gjelder muligheten for elektronisk masseutlevering av personopplysninger. En slik gjennomgang bør da ikke avgrense seg til problematikken omkring elev- og studentlister. Det bør foretas en bred kartlegging av ulike typer elektroniske personopplysningsregistre med som det offentlige besitter, sett i relasjon til offentlighetsloven.

Endringene i regelverket omkring offentliggjøring av skattelistene viser at det er mulig å komme frem til en hensiktsmessig balanse mellom hensynet til åpenhet og innsyn, og den enkeltes mulighet til så langt mulig å ha oversikt og kontroll over egne personopplysninger.

Datatilsynet vil i tiden fremover fortsette arbeidet med denne typen problemstillinger, og blant annet se på hvordan offentlige etater selv aktivt publiserer personopplysninger i postjournaler og saksdokumenter på internett.

1.8.9 Statlig forvaltning og kommune

Staten er en stor bruker av personopplysninger. Rollen strekker seg fra å forvalte vår identitet gjennom folkeregisteret, innkreve skatter og håndheve regelverk, til å påse at rettigheter og plikter til den enkelte blir ivaretatt.

I meldingsåret var Datatilsynet engasjert på flere områder innen offentlig forvaltning. Tilsynet har vært opptatt av å delta i utformingen av nytt folkeregister, rammebetingelser for trygg elektronisk samhandling mellom borger og stat, samt løsning for elektroniske valg.

Datatilsynet har videre arbeidet med å bidra til bedre etterlevelse av regelverket i norske kommuner. Tilsynets kommuneundersøkelse 2010/2011 avdekket at omtrent hver andre kommune oppga å ha grunnleggende mangler innenfor internkontroll og informasjonssikkerhet.

Offentlig forvalting er under endring ved at stadig mer av kommunikasjonen med og om borgeren foregår elektronisk, og ved at internett er en foretrukket samhandlingsarena. Det er viktig at det legges tilstrekkelig vekt på personvern og informasjonssikkerhet allerede når løsningene blir designet. Datatilsynet har vært i løpende dialog med den delen av forvaltningen som utvikler og drifter slike løsninger.

Hva Datatilsynet har gjort på området

Nytt folkeregister

Arbeidet med etablering av et nytt folkeregister er godt i gang, og Datatilsynet er invitert til deltakelse. Tilsynet deltok i flere av arbeidsgruppene som var nedsatt for å fremme sentrale personvernhensyn. Samtidig var mange andre interessenter innenfor næringsutvikling og næringsliv invitert. Mange av disse hadde forventninger om egen bruk av folkeregisteropplysninger, en bruk som til tider strekker seg langt i forhold til formålene. Datatilsynets viktigste oppgave er derfor å bidra til å balansere de ulike interessene.

Kommuneundersøkelsen

I meldingsåret utarbeidet Datatilsynet rapporten «Kommuneundersøkelsen 2010/2011». Rapporten var basert på en fullstendig kartlegging av norske kommuners etterlevelse av bestemmelser om internkontroll og informasjonssikkerhet (96 prosent besvarte). Resultatene som ble presentert i rapporten viste behov for fortsatt tung satsing på kommunene. Tilsynet hadde drøftelser med Kommunal- og regionaldepartementet og Kommunenes interesseorganisasjon (KS) om saken. Temaet vil bli videre fulgt opp i 2012.

E-valg

Det ble iverksatt et prosjekt for utprøving av e-valg i ti kommuner ved kommune- og fylkesvalget i 2011. Datatilsynet har fulgt prosjektet og gitt sine råd om hvordan et tilfredsstillende personvern kan inkorporeres i løsningene.

1.9 Vedlegg / Tabeller

Vedlegg A: Oversikt over gjennomførte tilsyn i 2011

Vedlegg B: Saker oversendt til Personvernnemnda i 2011

Vedlegg C: Saker oversendt til nemnda i 2010, men avgjort i 2011

Vedlegg D: Høringer der Datatilsynet hadde merknader i 2011