15 Økonomiske og administrative konsekvenser. Etterkontroll
15.1 Økonomiske og administrative konsekvenser knyttet til organisering av tilsynsmyndigheten
Som både utvalget og flere av høringsinstansene peker på vil et effektivt og godt personvern være avhengig av at Datatilsynet får de ressurser som trengs for at tilsynet kan ivareta sine oppgaver etter det nye lovforslaget på en tilfredsstillende måte. For å møte de utfordringer som det nye lovforslaget stiller både til Datatilsynets tilsynsfunksjoner og til rådgivnings- og informasjonsvirksomheten, vil det være nødvendig å styrke tilsynets bemanning. Det må også bevilges midler til utvikling og etablering av et nytt datasystem for å behandle meldinger fra de behandlingsansvarlige.
Den nye loven forutsetter i stor grad en omprioritering av Datatilsynets arbeidsoppgaver, ved at fokus flyttes fra behandling av konsesjonssøknader til etterfølgende kontroll med bakgrunn i meldinger som registreres elektronisk. Begrensningen i konsesjonsplikten vil frigjøre mer tid til tilsyns- og kontrollvirksomhet. Hvor mye tid som faktisk vil bli frigjort knytter det seg en viss usikkerhet til. Arbeidsbyrden vil bl a være avhengig av hvor mange som vil benytte seg av adgangen i § 33 tredje ledd i lovforslaget til på forhånd å be Datatilsynet om å avgjøre om en behandling krever konsesjon. Det vil også ha betydning i hvor stor grad Datatilsynet vil anse det nødvendig å kreve konsesjon for behandling av personopplysninger som ikke er sensitive, jf § 33 annet ledd. Det vil uansett være et økt behov - ikke minst i en overgangsperiode - for å styrke tilsynets muligheter for å veilede og informere både om tekniske tiltak for å styrke informasjonssikkerheten og om forståelsen og praktiseringen av lovens regler. Det er også sannsynlig at man ved å gi Datatilsynet flere sanksjonsmidler vil oppleve en øking av antall klagesaker. Det følger videre av lovforslaget at Datatilsynet får en mer sentral rolle i både rådgivning og kontroll med overføring av personopplysninger til utlandet. Dette forutsetter en styrking i tilsynets internasjonale virksomhet som gjør det nødvendig å øke bemanningen. Departementet mener på denne bakgrunn at Datatilsynet bør tilføres fem nye saksbehandlerstillinger på permanent basis.
I en overgangsperiode må det forventes en ekstra stor økning i antallet henvendelser til Datatilsynet. Informasjon om den nye loven er en sentral forutsetning, både for å sikre at den enkelte borger skal ivareta sine personvernrettigheter og for sette de behandlingsansvarlige i stand til å overholde de plikter som den nye loven pålegger dem. I startfasen vil det også måtte påregnes ekstra innsats for å legge om tilsynets organisasjon og arbeidsmåte til det nye systemet som lovforslaget legger opp til. Det vil på denne bakgrunn være nødvendig å opprette fire midlertidige stillinger for en periode på to år.
Som følge av forslaget om å basere Datatilsynets kontrollvirksomhet på en bred meldeplikt, vil det være nødvendig for Datatilsynet å utrede, utvikle og etablere et meldesystem. Meldepliktsystemet innebærer en omfattende omlegging av Datatilsynets arbeidsmåte og vil utgjøre en krumtapp i tilsynets rådgivnings- og tilsynsvirksomhet. Til en slik omlegging vil det være nødvendig å trekke inn ekstern konsulentbistand. Utgifter til utredning og utvikling av systemet beregnes til omlag 2 400 000 kr, mens utgiftene til anskaffelse av datasystem anslås til ca kr 2 250 000 kr.
Som følge av at styret i Datatilsynet avvikles reduseres de administrative utgiftene med ca kr 280 000,- pr år.
Opprettelsen av en egen klagenemnd vil innebære at Justisdepartementet ikke lenger vil behandle klager over Datatilsynets avgjørelser. For departementet innebærer dette en besparelse på ca 0,5 årsverk. Det er vanskelig å si hvor mange saker Personvernnemnda vil få til behandling. Hvis man legger til grunn at nemnda vil møtes 12 ganger i året, og i tillegg antar at tre av medlemmene vil måtte påregne enkelte tilleggsoppgaver utenfor møtene, kan de samlede utgiftene til godtgjørelse til medlemmene anslås til noe under kr 300.000,- pr år. I tillegg kommer reiseutgifter m v i forbindelse med møter i nemnda på anslagsvis kr 120.000,- pr år. Dekning av sekretariatsutgifter anslås til ca kr 540 000,- for avlønning av 1 ½ stilling og kr 600 000,- til leie av lokaler. Det kan imidlertid være muligheter for å redusere det sistnevnte beløpet gjennom f eks å forsøke å legge sekretariatsfunksjonen til et advokatkontor.
Finansiering og omfang av merutgiftene knyttet til styrking av Datatilsynet og opprettelse av klagenemnd vil bli vurdert i de årlige budsjettene.
Det er på det rene at den nye loven vil kreve bredt anlagte informasjonstiltak både forut for, i forbindelse med og etter ikraftsettingen. Informasjon om lovens innhold, rekkevidde og innføringstidspunkt er et avgjørende virkemiddel dersom loven skal kunne gjennomføres i henhold til sine intensjoner. På samme måte vil det være nødvendig å informere om innholdet i en rekke av de forskrifter som vil bli utarbeidet med hjemmel i loven. For å nå ut til brukerne av loven vil man måtte informere generelt om loven gjennom kunngjøringer i aviser og andre media, plakatinformasjon, brosjyrer m v. Det vil også være behov for særlige tiltak rettet mot spesielle målgrupper, f eks i form av brosjyremateriell og annonsering i fagpresse eller magasiner. Datatilsynet vil ha en sentral rolle i informasjonsarbeidet i samarbeid med Statens Informasjonstjeneste.
15.2 Økonomiske og administrative konsekvenser for de behandlingsansvarlige
Lovforslaget vil påføre de behandlingsansvarlige kostnader, først og fremst som en følge av de mer omfattende innsynsreglene og de nye varslingsreglene i kapittel III. Hvor store kostnadene vil bli, vil bl a være avhengig av hvor mange som benytter seg av de ulike innsynsrettighetene. I dag er det slik at innsynsretten etter personregisterloven bare blir benyttet av et fåtall. Hvordan dette vil utvikle seg i forbindelse med det nye lovforslaget vil delvis bero på den informasjonen som Datatilsynet og andre myndigheter klarer å nå ut med til brukerne om rettighetene. Den informasjonen som skal være generelt tilgjengelig hos de behandlingsansvarlige i medhold av § 18 første ledd i lovforslaget vil være av generell karakter og bygge på dokumentasjon som er enkelt tilgjengelig for den behandlingsansvarlige. Den utvidede innsynsadgangen som tilstås den registrerte i medhold av § 18 annet og tredje ledd vil etter forholdene kunne kreve noe mer vidtgående undersøkelser med sikte på å finne frem relevante opplysninger om den registrerte.
Det er grunn til å tro at det i første rekke er varslingsreglene i §§ 19-21 i lovforslaget som vil føre til merutgifter for de behandlingsansvarlige, og da spesielt plikten i § 20 til å varsle de registrerte når det samles inn personopplysninger fra andre. Det er vanskelig å tallfeste hvor store kostnader varslingsplikten konkret vil medføre. Det vil variere for de ulike behandlingsansvarlige hvor mange opplysninger som hentes inn. Det er også grunn til å peke på de mulighetene som den behandlingsansvarlige har til å begrense kostnadene ved å varsle om innhenting av opplysninger når den behandlingsansvarlige av andre grunner er i kontakt med den registrerte. Antallet varsler vil for det første kunne begrenses ved å informere om senere innhenting av opplysninger første gang man er i kontakt med den registrerte, jf § 20 annet ledd bokstav c i lovforslaget. For behandlingsansvarlige som har et løpende kundeforhold med de registrerte, vil man også fortløpende kunne varsle om innhenting av personopplysninger når man av andre grunner er i kontakt med den registrerte som ledd i kundeforholdet. Dette vil f eks være aktuelt innen næringer som bank og forsikring. I den grad det skulle vise seg at bruken av innsyns- og varslingsreglene vil medføre merkbare kostnader, vil det være naturlig å innkalkulere dette som driftsutgifter for den behandlingsansvarlige.
Ettersom EU-direktivets krav medfører at det vil finnes tilsvarende innsyns- og varslingsregler i andre EØS-land, kan det ikke være grunn til å tro at kostnadene som følge av innsyns- og varslingsreglene vil kunne medføre nevneverdige konkurransemessige vridninger.
Som det er redegjort for under punkt 5.6.2 i proposisjonen bør utgangspunktet være at det ikke skal koste noe for den registrerte å gjøre bruk av de mulighetene for å oppnå informasjon som lovforslaget gir. I den grad praktiseringen av innsynsreglene skulle vise seg å føre til uakseptable omkostninger for de behandlingsansvarlige, åpnes det likevel i § 17 i lovforslaget for å gi forskrifter om at de registrerte må betale vederlag til den behandlingsansvarlige.
Begrensningene i konsesjonsplikten vil gjøre det lettere å sette i gang med en del behandlinger som tidligere ville krevet konsesjon. Meldeplikten er utformet så enkel at den ikke vil påføre merarbeid eller kostnader av betydning for de behandlingsansvarlige.
Kravene til sikring og internkontroll i §§ 13 og 14 i lovforslaget vil kunne medføre visse omkostninger for de behandlingsansvarlige. Internkontrollplikten er ny for samtlige som behandler personopplysninger. En rekke behandlingsansvarlige er også i dag underlagt krav til tilfredsstillende informasjonssikkerhet, i medhold av personregisterforskriften eller i medhold av vilkår som er fastsatt i Datatilsynets konsesjoner.
15.3 Etterkontroll
Lovforslaget etablerer et regelverk for behandling av personopplysninger som på mange måter skiller seg fra personregisterloven. Formålet er etablere en mer tidsmessig lovgivning som gir mer utførlige regler om hvordan personopplysninger skal behandles, og som samtidig skal styrke kontrollen med at reglene blir etterlevet. Loven skal vareta den enkeltes personvern, samtidig som det er et mål å utforme reglene så fleksibelt at det ikke legges unødige hindringer i veien for ytringsfriheten og bruk og utveksling av personopplysninger som ledd i samfunnsnyttig og nødvendig virksomhet. Reglene skal anvendes på en teknologi som er i stadig utvikling, noe som stiller særlig store utfordringer til utformingen av reglene. Utviklingen kan også vise seg å skape behov for endringer i reglene.
Departementet ser derfor grunn til å foreta en etterkontroll etter en periode på ca fem år for å undersøke om de nye reglene virker etter sin hensikt. I en slik kontroll vil det bl a være naturlig å se nærmere på følgende forhold:
Om det er nødvendig å endre lovens virkeområde.
Om utformingen av konsesjonsplikten i praksis gir en fornuftig avgrensning av de behandlingsformene som medfører en særlig risiko for personvernet.
Om meldepliktordningen er utformet og gjennomført slik at den fungerer etter sin hensikt.
Om det er ønskelig å regulere nærmere en ordning med bruk av dataansvarlige som fører uavhengig kontroll med at de behandlingsansvarlige behandler personopplysninger i tråd med lovens krav.
I hvilken utstrekning rettighetene som lovforslaget gir den enkelte blir benyttet av de registrerte, jf f eks hvor mange som krever innsyn i ulike personopplysningsbehandlinger.
I hvilken utstrekning innsyns- og varslingsreglene fører til merarbeid og kostnader for de behandlingsansvarlige.
Om det er behov for å vurdere særlige regler for andre typer av elektronisk overvåking enn den som skjer ved billedopptak.
Om reglene fungerer tilfredsstillende i forhold til overføring av opplysninger til utlandet, spesielt i tilknytning til bruk av internasjonale kommunikasjonskanaler som f eks internett.
Om kontrollmyndigheten er organisert på en måte som gir grunnlag for en tilfredsstillende kontroll og rådgivningsvirksomhet.
Det vil være naturlig å basere en vesentlig del av etterkontrollen på en gjennomgang av erfaringer fra Datatilsynet og Personvernnemndas praksis. For øvrig bør det legges opp til brukerundersøkelser med enkelte grupper av behandlingsansvarlige og registrerte.