Personvernåret 2005

Omgrepet personvernåret 2005 blei lansert i St.meld. nr. 43 (2003-2004) Datatilsynets og Personvernnemndas årsmeldinger for 2003 for to år sidan, og året som gjekk har vore viktig i personvernsamanheng. Både personvernlovgivinga i Noreg og Datatilsynet fylte 25 år i fjor. Departementet meiner det er positivt at Datatilsynet valde å feire jubileet ved å setje i verk tiltak for å skape merksemd og refleksjon kring ulike sider ved personvern og privatlivets fred. Eitt av tiltaka var utgiving av boka «Fra tillit til kontroll – tolv samtaler om politikk, teknologi og personvern» . I boka blir det gitt att samtalar Datatilsynets direktør har hatt med engasjerte og reflekterte medborgarar i inn- og utland om ulike problemstillingar knytte til personvern. Boken er ein tankevekkjar, og departementet oppmodar dei som er opptekne av personvern og som ikkje allereie har lese boka til å gjere dette.

Datatilsynet har jobba aktivt med rekruttering av personvernombod, og i 2005 auka talet på personvernombod kraftig. Vidare starta arbeidet med etterkontroll av personopplysningsloven og –forskrifta opp. Det blei gjort ei omfattande undersøking om befolkningas og verksemders kunnskapar og haldningar til personvern. Det blei dessutan gjort ei omfattande kartlegging av elektroniske spor. Personvernåret 2005 er over, men resultata frå dei nemnde undersøkingane og trendar ved personvernutviklinga skisserte i Datatilsynets årsmelding, viser at arbeidet med bevisstgjering og styrking av personvernet til kvar enkelt stadig blir viktigare.

Undersøking om befolkningas og verksemders haldningar til og kunnskapar om personvern

Departementet og Datatilsynet fekk i 2005 gjennomført ei personvernundersøking om haldningar til og kunnskapar om personvern blant folk og verksemder. Det var då over åtte år sidan det i Noreg blei gjennomført ei personvernundersøking av eit slikt omfang. Undersøkinga blei gjennomført som to separate undersøkingar: Den eine undersøkinga retta seg mot eit representativt utval av befolkninga (befolkningsundersøkinga), den andre mot verksemder (verksemdsundersøkinga). Analysen blei utført av Transportøkonomisk institutt (TØI), jf. TØI-rapportane 789/2005 og 800/2005.

Generelt om personvernundersøkinga

Befolkningsundersøkinga viser at folk tek lite ansvar for sitt eige personvern. Dette trass i at personvernregelverket legg opp til at det i stor grad er opp til kvar enkelt å ta vare på sitt eige personvern gjennom bl.a. å gi informert samtykke. Svært få av oss nyttar retten til innsyn, retting og sletting av eigne personopplysningar. Folk lit i stor grad på at andre tek vare på personvernet for dei og at personverninteressene til kvar enkelt blir varetekne av lovar, reglar og av Datatilsynet. Det er stor tillit til korleis ulike offentlege organ og private verksemder behandlar personopplysningar. Særleg offentlege organ nyt stor tillit i befolkninga. Politiet er i ei særstilling i så måte, men også trygde- og skatteetaten kjem godt ut. Bankar nyt også stor tillit.

Verksemdsundersøkinga viser at offentlege og private verksemder generelt har ei grunnleggjande positiv haldning til personvern. Av dei spurde er 70 prosent einige i at personopplysningsloven er nødvendig for å oppnå godt hegn om personvernet. Undersøkinga viser likevel at sjølv om verksemdene har ei positiv haldning til personvern, så har dei same verksemdene liten kunnskap om personvernregelverket. Få verksemder varetek alle sine lovpålagde plikter vedrørande informasjonstryggleik , internkontroll og informasjonsplikt godt nok. Berre ein av tre seier dei har utarbeidd eit internkontrollsystem som dokumenterer rutinar og tiltak for å sikre behandling i tråd med krava i lovgivinga.

Undersøkinga viser at missbruk ikkje er noko stort problem i dag, og kan vere med på å forklare kvifor folk flest har stor tillit til offentlege og private verksemder. Ein kan òg stille spørsmål om folk har teke ei medvete standpunkt og er meir opptekne av effektivitet og gode tenester enn personvern. Personvernundersøkinga gir likevel grunnlag for å stille spørsmål om vi er gode vaktarar av vårt eige personvern. Befolkninga trur at verksemdene og Datatilsynet tek vare på personvernet for dei, mens undersøkinga viser at verksemdene har dårleg kunnskap om mellom anna krava til informasjonstryggleik som følgjer av loven. Dette samsvarar med resultat frå Datatilsynet si tilsynsverksemd, jf. kapittel 7 i Datatilsynet si melding. Det er derfor behov for å gjere personopplysningslova og –forskrifta betre kjend både blant befolkninga og offentlege og private verksemder. Vidare må styresmaktene og Datatilsynet jobbe energisk vidare for å oppnå betre etterleving av personopplysningsloven, for gjennom dette å behalde tilliten i befolkninga til korleis både offentlege organ og private verksemder behandlar personopplysningar.

Særleg om personvern i arbeidslivet

Arbeidslivet er avhengig av eit tillitsforhold mellom arbeidsgivar og arbeidstakar. Arbeidsgivar vil kunne ha rettkomen interesse – og lovpålagd plikt – til å ha eit visst innsyn i elektroniske verktøy som er stilt til rådvelde for tilsette. Dette kan bl.a. vere krav om å vareta informasjonstryggleiken i verksemda, dokumentasjonsplikt i samsvar med lov og/eller avtale eller for å vareta drifta i verksemda i samband med fråvær blant tilsette. Arbeidstakar vil på si side ha ei rettkomen interesse – og lovpålagd rett – til å ha ein viss privat sfære også på jobben, noko som òg er nedfelt i Den europeiske menneskerettskonvensjon artikkel 8 nr. 1 og i fortalen til EUs personverndirektiv.

Befolkningsundersøkinga viser at arbeidstakarar har tillit til at arbeidsgivar ikkje misbruker opplysningar om dei, og forventar ei tilsvarande tillit i forhold til at arbeidsgivar avgrensar si overvaking av dei. Undersøkinga viser vidare at arbeidstakarar og arbeidsgivarar stort sett er einige om kva som er akseptabelt overvakingsnivå på arbeidsplassen. Som eksempel seier 58 prosent av dei spurde i befolkningsundersøkinga at det er svært eller noko problematisk at arbeidsgivar eller lærestad ser innhaldet i e-post som blir sendt frå arbeidsgivars utstyr. Verksemdsundersøkinga viser at 65 prosent er ueinig i at arbeidsgivaren bør ha uavgrensa rett til å lese all e-post som dei tilsette sender og mottek på jobben – berre 19 prosent meiner dei bør ha ein slik uavgrensa rett.

Det er positivt at tilsette og arbeidsgivarar stort sett er einige om kva som er akseptabel overvaking. Fornyings- og administrasjonsdepartementet, Justisdepartementet og Datatilsynet jobbar saman om ei klårare lov- og forskriftsregulering på dette området.

Kor viktig det er med personvern og personvern kontra andre interesser

17 prosent av dei spurde i befolkningsundersøkinga seier at dei har bedt om retting eller sletting av eigne personopplysningar. I undersøkinga blei dei som ikkje hadde bedt om innsyn spurde kvifor. Nesten 70 prosent seier at dei anten ikkje har reflektert over at det finst opplysningar om dei eller at dei ikkje bryr seg om at det finst slike opplysningar.

16 prosent av dei spurde seier at dei har opplevd at personopplysningar om dei har komme på avvegar eller har blitt misbrukte av andre. Dei som seier dei har opplevd misbruk er meir bekymra for misbruk av personopplysningar om dei i ulike situasjonar enn dei som ikkje har opplevd at opplysningar om dei har komme på avvegar. Dette gjeld for alle situasjonane og handlingane vi har spurt om (bruk av Internett, bruk av mobiltelefon, kameraovervaking mv.).

Heile 46 prosent av verksemdene er einige i at det er så viktig å hegne om personvernet at det bør vere strenge regler for utveksling av opplysningar om enkeltpersonar, sjølv om ei friare utveksling kan gi betre produkt og tenester. Berre 10 prosent er ueinige i dette.

For å vareta personvernet betre i lovgivinga, har departementet sett i gang eit arbeid som skal gjere det lettare for utgreiarar å ta vare på personvernet – og å vege personvern opp mot andre interesser slik som kriminalitetsbekjemping og effektivitet i offentleg sektor. Dersom ein tenkjer personvern tidleg i prosessen, vil ein ofte kunne vareta desse omsyna på ein god måte.

Nye personvernutfordringar

Personvernundersøkinga viser eit noko varierande kunnskapsnivå når det gjeld personverntruslar. Den viser likevel at dersom ein først har opplevd misbruk av personopplysningar på eitt område, blir ein meir skeptisk til misbruk av personopplysningar generelt . «Skrekkhistorier» i media eller frå andre i omgangskrinsen vil òg kunne vere ein slik vekkjar. Eit særleg aktuelt tema den siste tida er ulike former for identitetstjuveri. Det at nokon kan gi seg ut for å vere deg gjennom misbruk av personopplysningar, vil i beste fall kunne vere ubehageleg. I andre tilfelle vil det kunne vere øydeleggjande for eins eige omdømme eller økonomisk ruin. Vårt rettssystem er basert på at ein er uskyldig inntil det motsette er bevist. Ved identitetstjuveri kan vi i enkelte tilfelle risikere at det er offeret som må bevise si uskyld.

Identitetstjuveriet kan skje ved at ein svindlar samlar nok informasjon om deg til å få utstedt legitimasjon med ditt namn og sitt eige bilde. Slik informasjon kan bl.a. samlast inn på Internett der vi ofte ukritisk legg igjen ulike personopplysningar som kredittkortnummer, namn og fødselsnummer. Opplysningar kan òg samlast inn frå offentlege register eller frå informasjon som det offentlege legg ut på nett. Som Datatilsynet viser til i meldinga si blir stadig fleire personopplysningar publiserte på Internett. Vidare kan opplysningar stelast frå din eigen PC til dømes ved at nokon implanterer såkalla spionprogram på han. Etter at tilstrekkeleg med opplysningar er samla inn, kan svindlaren tinge eit kredittkort i ditt namn og bruke det som om det var hans eige. Han kan òg gi opp ditt namn i ein billettkontroll. Rekningane, og eventuelt inkassosakene, blir sende til deg.

Men identitetstjuveri treng ikkje å vere økonomisk motiverte. Ein person kan med hemnmotiv, ved aktløyse eller av frykt for sjølv å bli teken bruke namnet ditt og kanskje eit bilete av deg på heimesider eller ved deltaking i diskusjonsgrupper. Eit eksempel er elevane som la ut ufordelaktig og ukorrekt informasjon om læraren sin. Eit anna eksempel er ein person som nyttar ditt opne trådlause nett til å surfe etter barneporno. Det er ikkje morosamt å få politiet på døra når det mest tvilsame du kanskje har gjort på nettet er å oppgi eit pseudonym ved posting av ein blogg.

Ei viktig byrjing på å gjere identitetstjuveri vanskelegare er å sjå på når det er behov for sikker identifikasjon, kva som tilfredsstiller ein slik identifikasjon i kvart enkelt tilfelle og når det ikkje er behov for ein sikker identifikasjon. Når identifisering er unødvendig bør det vere mogleg å vere anonym. Datatilsynet viser i si årsmelding til at identifikasjon blir kravd i stadig fleire samanhengar og at anonyme alternativ forsvinn. Dette presset oppstår fordi det primære formålet, å ta betalt for ei teneste, blir kopla opp mot identifisering av betalaren. Datatilsynet og Justisdepartementet fekk i 2005 gjennomført ei kartlegging av elektroniske spor. Oppdraget blei gitt til Norsk Regnesentral. Rapporten viser at vi legg att stadig fleire elektroniske spor, bl.a. fordi at løysingar der ein tidlegare ikkje let etter seg spor i større grad blir erstatta av løysingar der ein blir identifisert. Viktige døme er kortbetaling kontra kontantbetaling og registrering ved bompengepasseringar kontra myntpåkast. I tillegg vil talet på elektroniske løysingar auke og lagringstida for spora vil bli lengre. Av interesse her er EU-direktivet om lagring av kommunikasjonsdata som blei vedteke av EUs ministerråd i februar i år. Etter direktivet skal opplysningar om kven som kontaktar kven via telefon, sms og e-post, på kva tidspunkt og kvar personane oppheld seg, lagrast av teleselskapa i minimum seks månader og maksimum to år. Spørsmålet om implementering i norsk rett ligg til vurdering i Samferdselsdepartementet. Eit anna døme på at anonyme alternativ forsvinn er påbodet om å registrere eigar av kontantkort for mobiltelefon. Da det eksisterande påbodet ikkje blei tilfredsstillande overhaldt, blei det nødvendig å konkritisere plikten i 2005.

Spørsmål om sikrare betalingskort, utlegging av informasjon på nettet, retten til anonym ferdsel, sletting av opplysningar og bruk – og misbruk – av biometri og andre eintydige identifikatorar er sentrale utfordringar i tida som kjem. Departementets varsla IT-melding vil komme inn på nokre av desse utfordringane.

I lys av personvernutfordringane framover vert Datatilsynet si framtidige rolle viktig. Datatilsynet deltar i ei rekkje utgreiingar og arbeidsgrupper for å setje personvern på dagsordenen tidleg i utreiingsprosessen. Dei kjem òg med ei rekkje høyringssvar til ulike saker som departementa foreslår og medverkar i ei rekkje seminar. Vidare har dei innleia samarbeid med bransjeorganisasjonar og har ei rekkje møter med verksemder som vurderer nye teknologiske løysingar.

Nokre har tatt til orde for at Datatilsynet framover bør ha ei enda meir aktiv rolle i å rettleie og vere forkjempar for ulike teknologiske løysingar.