Justissektoren
I 2014 trådte også politiregisterloven i kraft. Denne regulerer politiets behandling av personopplysninger, også utenom straffesaker, og er ment å styrke den registrertes rettigheter.
Vi erfarer at private aktører i stadig større utstrekning benytter seg av tiltak som tradisjonelt har vært forbeholdt offentlige myndigheter, slik som ulike former for privat etterforskning/granskning. Dette kan ha sammenheng med at politiet i stor grad henlegger anmeldte lovbrudd. I privat regi skjer etterforskningen med utgangspunkt i uklart regelverk, den er underlagt lite kontroll og foregår gjerne i det skjulte. Privat etterforskning/granskning har som mål å avdekke om det har skjedd en eller annen form for normbrudd. Flere konsulentselskaper og advokatfirmaer tilbyr tjenester innen privat etterforskning og granskning.
Det er særlig tre områder innen justissektoren som har hatt hovedprioritet i 2014. Dette gjelder vårt arbeid med politiregisterloven, datalagringsdirektivet og privat etterforskning/granskning.
Både Snowden-avsløringene i 2013, terrortrusselen i juli 2014 og avsløringene som kom i desember 2014 om at mobilnettet i Oslo sentrum har blitt overvåket, har blåst liv i den offentlige debatten om personvern og terrorbekjempelse.
I kraft av ombudsrollen har Datatilsynet deltatt i en rekke debatter om dette temaet, blant annet om hvilken adgang PST bør ha til å bedrive en mer generell overvåking på internett.
Datatilsynets overordnede mål for denne sektoren er at inngrep overfor den enkelte borger skal ha en særskilt begrunnelse. I praksis vil det si en god rettslig forankring av tiltak mot enkeltindivider, og god forutberegnelighet for den eller de som kan bli utsatt for undersøkelser. Informasjon om offentlig myndighetsutøvelse er også et mål for Datatilsynet. Det er viktig at publikum er informert om regler og plikter i forkant, og det er avgjørende at enkeltindivider blir informert om hva som undersøkes om dem, enten med en gang, og i hvert fall i etterkant.
Vi har også som mål for sektoren å se til at inngripende tiltak blir gjenstand for offentlig debatt og gode demokratiske prosesser.
Gjennomførte aktiviteter
Politiregisterloven trådte i kraft 1. juli 2014. Noen bestemmelser er allikevel utsatt, og det er etablert enkelte overgangsordninger. Vi har i løpet av året hatt god dialog og jevnlige møter med sentrale politimyndigheter og med politiets personvernrådgivere. Blant annet arrangerte vi et halvdagsseminar for personvernrådgiverne, der vi så på lovens krav til internkontroll. I møter med Politidirektoratet og Kripos er vi holdt løpende orientert om fremdriften i de ulike prosjektene som jobber med å implementere det nye regelverket, og vi har stilt oss til disposisjon for å bistå i arbeidet. Vårt generelle inntrykk er at politiet har store utfordringer med implementeringen, men at det jobbes planmessig og godt, og med en fremdrift som er forsvarlig. Vi har heller ikke mottatt klager eller andre henvendelser som gir grunn til bekymring vedrørende politiets arbeid, og har derfor ikke sett det som formålstjenlig å gjennomføre kontroller med etterlevelse av politiregisterloven i 2014.
I løpet av året har vi fulgt opp kontrollene av privat etterforskningsvirksomhet som ble gjennomført i 2013. I tillegg til å holde en rekke foredrag om temaet, har vi bistått Finans Norge med å etablere en bransjenorm for forsikringsselskapenes utredning av svik. Denne er ikke ferdigstilt.
Tilsyn med privat etterforskning/granskning
Vi har gjennomført tilsyn hos FaVer AS som tilbyr privat etterforskning/granskning, særlig ved utredning av svik i forsikringsbransjen. I tillegg har vi kontrollert to selskaper som tilbyr granskningstjenester, PWC og Advokatfirmaet Wiersholm. Vi ønsket å se nærmere på om behandlingen er tilfredsstillende regulert og kontrollert gjennom databehandleravtaler med de behandlingsansvarlige.
Vi fattet vedtak om retting og om overtredelsesgebyr overfor FaVer. Vedtaket er påklaget, og vil oversendes Personvernnemnda for klagebehandling. Vi har også varslet vedtak om retting og om overtredelsesgebyr overfor Wiersholm og PWC. Selskapenes tilsvar foreligger, og sakene vil bli behandlet i 2015.
Sentrale høringsuttalelser
Samferdselsdepartementet har foreslått å lovregulere veimyndighetenes behandling av personopplysninger. Datatilsynet er fornøyd med at det etableres en egen lovregulering på området. Vi er også fornøyde med at det ikke ble foreslått å gi politiet en mer generell adgang til å samle inn og bruke opplysninger fra veimyndighetenes registre i andre tilfeller enn ved kontroll og håndhevelse av vegtrafikklovens bestemmelser. Politiets adgang til å samle inn personopplysninger for polisiære formål utover dette, er – og bør fremdeles være – regulert i straffeprosessloven.
Justis- og beredskapsdepartementet foreslo å etablere en hjemmel i politiloven, for å gi kommunene adgang til å forby tigging. Datatilsynet er fornøyd med at det ikke ble foreslått å etablere et sentralt tiggerregister, og forutsetter at personopplysninger om tiggerne blir behandlet i tråd med politiregisterlovens bestemmelser.
Saksbehandling og sentrale nemndavgjørelser
Datatilsynet har ilagt Forsvaret et overtredelsesgebyr på 75 000 kroner. Bakgrunnen er at Etterretningsbataljonen i Nord-Norge hadde registrert opplysninger om elleve norske journalister i sine systemer, uten at det forelå nødvendig behandlingsgrunnlag. Dette ble ansett å være et ulovlig inngrep i både journalistenes privatliv og i pressens frihet. Vedtaket ble ikke påklaget.
Gjensidige Forsikring – informasjonssikkerhet og internkontroll (PVN-2013-27)
I 2013 fattet Datatilsynet en rekke vedtak overfor Gjensidige Forsikring med bakgrunn i en kontroll av selskapet. I 2014 ble tre av i alt elleve vedtakspunkter opphevet av Personvernnemnda, da nemnda mente at vedtakene manglet «nødvendig presisjonsnivå». Vedtakene om at selskapet må etablere internkontroll og betale et overtredelsesgebyr på 600 000 kroner ble imidlertid ikke opphevet.
Gjensidige Forsikring – skjult granskning (PVN-2014-11)
I 2013 fattet Datatilsynet også et vedtak overfor Gjensidige Forsikring med bakgrunn i en klage fra en privatperson. Klagen gjaldt selskapets utredning av hans forsikringskrav, deriblant bruk av skjulte metoder som spaning og infiltrasjon. Vi mente at dette var et klart uforholdsmessig tiltak, og vedtok et overtredelsesgebyr på 600 000 kroner. Personvernnemnda opphevet dette vedtaket i 2014, da disse tiltakene «etter en konkret helhetsvurdering» ble funnet rettmessige.
Skan-Kontroll – klage på pålegg og overtredelsesgebyr (PVN-2014-01)
I 2012 fattet Datatilsynet en rekke vedtak overfor Skan-Kontroll AS, basert på en kontroll av selskapet. I 2014 stadfestet Personvernnemnda fem av i alt seks vedtakspunkter, men sendte spørsmålet om overtredelsesgebyr tilbake til ny behandling. Datatilsynet traff så et nytt vedtak om overtredelsesgebyr. Dette er påklaget.
Fremtidige utfordringer
Innen justissektoren er det særlig kampen mot kriminalitetsbekjempelse generelt, og terrorbekjempelse spesielt, som utgjør den største trusselen mot personvernet. Denne debatten ventes å fortsette, og vil bli prioritert av Datatilsynet også i fremtiden.
Vi ser dessuten et behov for at det etableres klarere regler for behandling av personopplysninger i forbindelse med avdekking av hvitvasking, skatteunndragelser og terrorfinansiering, områder der banker og finansvirksomheter har et lovpålagt ansvar for å kontrollere og treffe tiltak overfor den enkelte.