Saksbehandlingen
I 2014 har vi sett nærmere på noen sakstyper og vurdert om vår praksis bør endres utfra endringer i regelverk og samfunnsforhold. Vi har blant annet sett at noen standardkonsesjoner som vi tidligere har utstedt, nå kan erstattes av lovhjemmel som rettslig grunnlag. Mer tidsriktig fortolkning og endringer i regelverk vurderes som tilstrekkelig grunnlag, for eksempel for kommunenes håndtering av personopplysninger. Resultatet er at vi får noen gevinster tidsmessig, og denne tiden kan benyttes til annet og mer målrettet arbeid.
Vi har også sett på om det er regler som bør endres for å skape en mer effektiv forvaltning. At Datatilsynet skal være obligatorisk høringsinstans i saker om endring i pasientjournaler, mener vi er unødvendig. Dette har vi spilt inn til Helse- og omsorgsdepartementet. Vi kan heller være en mulig høringsinstans i enkeltsaker dersom helsemyndighetene har behov for våre vurderinger.
Antall nye saker og saksdokumenter
I løpet av 2014 ble det registrert 1 468 nye saker hos Datatilsynet. Dette innebærer en økning på 4,5 prosent fra året før.
Vi ser imidlertid at antallet registrerte enkeltdokumenter har hatt en relativ økning som er betydelig større enn dette. Antallet registrerte dokumenter inn til oss var 3 466 i 2014, mot 2 814 året før. Dette utgjør en økning på over 23 prosent. Vi tillegger denne økningen at kompleksiteten i sakene øker. Dette er tydeligst i de kontrollsakene vi selv har initiert, og kanskje særlig i de sakene som ender opp som klagesaker til Personvernnemnda.
Vedtak, klageomfang og prioritering
Antallet vedtak som er fattet har også økt, og i 2014 har vi fattet 525 vedtak. Det vil i realiteten si at vi har tatt konkret stilling til flere enkeltspørsmål enn i 2013. Vi har i 2014 hatt som mål å ha tydelige saksavgjørelser, samt tydelige skiller mellom forvaltningssaker hvor vi fatter vedtak og de sakene hvor vi svarer veiledende til de som henvender seg.
Klageomfanget er lite og vi opplever stort sett at vedtakene våre blir akseptert. Vi har de siste årene hatt noen klagesaker på at vi ikke tar opp enkeltsaker til behandling. Gjennom slike klager har vi blitt utfordret på prioriteringene våre flere ganger, men vi opplever at det har vært en større andel i 2014 enn tidligere med dette som tema. Vi prøver gjennom disse klagesakene å kartlegge hvilke prioriteringer vi kan foreta uten at det kan angripes ved klage. Klagebehandling er ressurskrevende og vi ønsker derfor en høy forutsigbarhet på hvilke beslutninger vi kan gjøre med endelig virkning.
Antall vedtak og klager telles manuelt fra saksbehandlingssystemet. Det er en svakhet med telleformen at den baserer seg på teksten i brev og i dokumenter, og ikke utelukkende på arkivkoder eller annet enhetlig registreringssystem.
Saker oversendt til Personvernnemnda
I 2014 sendte Datatilsynet 26 saker til klagebehandling i Personvernnemnda. Antallet saker som gikk til nemnda var høyere i 2013, men de to siste årene er markert høyere enn de to foregående.
Ved årsskiftet var ti av sakene behandlet, mens de resterende 16 fortsatt er til behandling. Klager ble gitt medhold i to av sakene, det ble gitt delvis medhold i én sak, mens i seks saker førte ikke klagen frem. I ett tilfelle var saken opprinnelig avsluttet i Datatilsynet med veiledning til vedkommende som henvendte seg, noe det ble klaget på. Personvernnemnda sendte saken tilbake til Datatilsynet igjen med beslutning om også formelt å ta stilling til spørsmålet som var bragt inn. Uenigheten gikk på om vi kunne nedprioritere saken med veiledning, eller om vi måtte fatte formelt vedtak. Formelle saker er mer ressurskrevende enn å avslutte en sak med veiledning til de som henvender seg til oss.
Som tidligere år mener vi at omgjøringsandelen er lav. De sakene som bringes inn for Personvernnemnda er som regel av betydning utover den enkelte saken.
Klagebehandlingen er også et bidrag i utviklingen av Datatilsynets forvaltningspraksis. Justeringer av praksis vil måtte skje over tid, og klagesaksbehandling er et partsdrevet system hvor pliktsubjekter og rettighetshavere kan påvirke utviklingen. Resultatet er at dette blir bidrag i en praksis som er en riktig balanse mellom rettigheter og plikter.
Konsesjoner
I 2014 mottok vi totalt 235 søknader om konsesjon, og ga til sammen 179 konsesjoner. Blant annet har 22 treningssentre fått konsesjon til å behandle personopplysninger i tilfeller der det er mistanke om bruk av dopingmidler. Konsesjonsdokumentene er tidligere utarbeidet i dialog med Antidoping Norge.
Arbeidet med konsesjoner er ved siden av kontrollsakene en av de mer arbeidskrevende oppgavene vi har. Behandling av konsesjonssøknader er i realiteten en forhåndskontroll av om de som søker har tilstrekkelig rettslig grunnlag for det de ønsker å gjøre.
Forhåndskontrollen kan også omfatte andre deler av personopplysningslovens krav, for eksempel om virksomhetene har tilstrekkelige internkontrollrutiner på plass. Vi kan gjennom konsesjonsarbeidet også kompensere for noen av personvernulempene som behandlingen eventuelt fører med seg, ved å stille vilkår for den aktuelle behandlingen.
Bruk av administrative sanksjoner
Vi benytter oss av administrative sanksjoner kun i et fåtall saker. Som etterfølgende sanksjon kan vi utstede overtredelsesgebyr, mens for å sikre gjennomføring av vedtak, kan vi pålegge tvangsmulkt (for eksempel per dag) frem til at et pålegg er etterkommet. Sanksjoner av denne typen er, og skal være, forbeholdt de mer alvorlige overtredelsene som i høy grad utfordrer de rettighetene loven gir den registrerte. Datatilsynet har ikke benyttet tvangsmulkt i løpet av året. Flere av sakene der det er gitt overtredelsesgebyr, er nærmere omtalt under de respektive områdene i kapittelet «Årets viktigste aktiviteter».
Vi har ikke hatt nok saker på alle områder til at vi kan si at det har utviklet seg en generell praksis for når vi nytter overtredelsesgebyr. For noen sakstyper er vi likevel i ferd med å etablere en praksis for bruk av sanksjoner. Vårt mål er at det skal være forutsigbart når man vil få en sanksjon som et ledd i arbeidet med å sikre etterlevelse av personopplysningsregelverket.
Innen arbeidsliv hatt vi en rekke saker om brudd på personopplysningsforskriftens regler om innsyn i ansattes e-post, samt i utstyr stilt til disposisjon for arbeidstakeren. Her har typisk en som er oppsagt, eller som har sluttet, ikke noen maktmidler overfor sin tidligere arbeidsgiver. Alvorlige brudd på disse reglene har vi valgt å forfølge blant annet med bruk av overtredelsesgebyr.
Mange saker løses imidlertid med veiledning til partene, og uten at vi trenger å bruke overtredelsesgebyr som virkemiddel. Vår praksis er ment å være et strengt signal på at arbeidstakernes rett til å ha kontroll over e‑post i eget navn har stor verdi, og at arbeidsgivere må respektere disse rettighetene.
Vi har også benyttet overtredelsesgebyr i saker om publisering bilder og film på internett fra ellers lovlig kameraovervåking. I 2014 ble vi gjort oppmerksom på flere tilfeller enn tidligere år. Slike brudd på reglene kan den registrerte ikke beskytte seg mot og vanskelig ta til motmæle mot, i tillegg til at det er politiet sin oppgave å forfølge. Dette er noen tungtveiende argumenter for en streng reaksjon når slik publisering oppdages. Vi har valgt å reagere strengt for å sende et tydelig signal om at slike handlinger er alvorlige brudd på personopplysningsloven.
Restanser
Datatilsynet har som mål at saker og henvendelser skal være besvart og håndtert innen ti uker. De langt fleste sakene og henvendelsene blir besvart med en gang eller i løpet av fire uker. Restansebegrepet vårt er knyttet opp til overnevnte målsetting om at vi ikke skal ha saker som er eldre enn ti uker. For å nå dette målet teller vi antall dokumenter som står som ubesvart eller ubehandlet etter ti uker, regnet fra de er registrert inn. For å følge med utviklingen over tid ser vi på antall dokumenter som er en restanse, holdt opp mot hvor mye vi registrerer inn hos oss.
For å sikre en god prioritering av restansearbeidet følger vi også med på dokumenter som blir eldre enn henholdsvis seks og tolv måneder. Vi er godt fornøyd med utviklingen de senere årene og hadde ved årsskiftet ingen saker i den eldste kategorien.
Når vi ser på hvilke typer saker restansene består av, er konsesjonssaker overrepresentert. Hele 26 av totalen på 62 saker eldre enn ti uker, var konsesjonssaker. Det er ikke veldig overraskende da dette i mange tilfeller er kompliserte saker som det tar tid å sette seg inn i. I mange tilfeller kan en konsesjonssak være vel så krevende å håndtere som en kontrollsak. Disse to sakstypene kan sammenliknes, da konsesjonsbehandling er en forhåndskontroll av om lovens vilkår er oppfylt for de som søker om å få tillatelse til å behandle personopplysninger.
Det er et ganske beskjedent antall saker (totalt ti stykker) som blir liggende lenger enn seks måneder, noe vi er godt fornøyd med. Ingen saker var eldre enn tolv måneder. For noen av kontrollsakene i kategorien eldre enn seks måneder, har vi ventet på en avklaring av konkrete spørsmål i Personvernnemnda. Flere saker inneholdt tilsvarende spørsmål nemnda hadde til behandling allerede. En avklaring av sentrale spørsmål ville påvirke vår håndtering av sakene og vi mente at det var mest effektivt å få en avklaring fra nemnda før vi ferdigstilte alle sakene.
Prioritering av restanser
Restansesituasjonen er bedre ved utgangen av 2014 enn sammenliknet med tidligere år, selv om det har kommet et større antall dokumenter inn totalt enn de årene vi sammenlikner med. Vi er fornøyde med at antall saker som er blitt gamle er redusert, siden vi jobber kontinuerlig med å sikre at saker ikke blir liggende å vente. Noen saker erfarer vi at tar lang tid, men ren ventetid på saksbehandlerkapasitet jobber vi med å få bort.
Restansearbeid har også en side til prioritering av saker internt. Vi har i flere år jobbet med å ha et bevisst forhold til hvilke saker vi åpner for full forvaltningsbehandling av. Dette skal særlig være saker innenfor de satsingsområdene vi har, eller i tilknytning til spesielle områder eller sektorer hvor vi etter en risikoanalyse ser at det er viktig å ta tak i enkeltsaker. Det er da ofte henvendelser som kan tyde på systemsvikt eller systemfeil som når opp i prioriteringen.
Datatilsynet som høringsinstans
I 2014 har vi gitt merknader til høringer vi har mottatt i noe mindre grad enn tidligere. Det er Justis- og beredskapsdepartementet som er den største avsenderen av høringsbrev dette året. Det skiller seg fra tidligere år hvor det har vært størst aktivitet på helseområdet, med Helse- og omsorgsdepartementet som den mest aktive aktøren. Viktige høringer er omtalt under de respektive områdene i kapittelet «Årets viktigste aktiviteter».
Oversikt over antall høringer vi har behandlet de siste årene:
2012 | 2013 | 2014 | |
Med merknader | 58 | 52 | 39 |
Uten merknader | 47 | 29 | 37 |
Til etterretning | 58 | 53 | 64 |
Sum | 163 | 134 | 140 |
Avviksmeldinger
Det er en rapporteringsplikt til Datatilsynet for hendelser som har medført uautorisert utlevering av personopplysninger der konfidensialitet er nødvendig (personopplysningsforskriften § 2-6).
Rapporterte avvik anses som en relevant aktivitetsindikator, samt en indikator på hvor godt virksomhetene fanger opp avvik og kjenner til rapporteringsplikten for disse.
Generelt observerer vi en jevn økning i meldte avvik. Det fremstår for oss som om kjennskapen til meldeplikten er vesentlig bedre enn tidligere, men at det fremdeles er store mørketall. Vi har ikke holdepunkter for å si at det faktiske antallet hendelser er voksende.
Offentlighetsloven og innsynskrav
Datatilsynets postjournal er tilgjengelig via Offentlig Elektronisk Postjournal (OEP), en samordning av offentlige postjournaler på internett.
I 2014 håndterte Datatilsynet innsynskrav om til sammen 2 219 dokumenter via OEP. Vi ser slik en liten nedgang sammenliknet med året før. I tillegg til de begjæringene som kommer via OEP, kommer det imidlertid en god del henvendelser om innsyn direkte til arkivet. Tar vi med dette i tallmaterialet er det totale nivået noe i overkant av hva det var i 2013.
Antall innsynskrav var ventet å øke etter endringene i offentlighetsloven. Nå ser det imidlertid ut til at dette er i ferd med å stabilisere seg.
Vi har i noe større grad avslått innsynskrav sammenliknet med 2013. Økningen er ikke utslag av noen endring av praksis fra vår side, og vi tilskriver økningen at de etterspurte opplysningene i større grad er unntatt offentlighet enn tidligere.
I 2014 har vi bare hatt fire klagesaker som er sendt til Kommunal- og moderniseringsdepartementet som er klageinstans, og én som vi omgjorde selv etter klagen. Vi har ikke talt det som klage når vi har blitt bedt om en utvidet forklaring på hvorfor vi har nektet innsyn. Med såpass få klager mener vi at vi har et rutinesett og en praksis som stemmer godt med lovens intensjon og publikums forventning.
Vi har etablert gode rutiner som fungerer i det daglige for håndteringen av innsynskrav. Vi ser imidlertid at vi bruker forholdsvis store ressurser på dette arbeidet.
Kameraovervåking og private formål
Datatilsynets langvarige praksis har vært at en privatperson lovlig kan overvåke sitt eget hus og hage med kamera. Overvåking som gjøres for rent personlige eller private formål er nemlig unntatt fra lovens virkeområde (jf. personopplysningsloven § 3 annet ledd). Kameraet kan ikke samtidig fange opp deler av offentlig område eller andres private eiendom, siden det da ikke lenger er å karakterisere som et rent personlig eller privat formål. Dette gjelder uavhengig av hva som er formålet med overvåkingen.
Den 27. august 2014, kom så Personvernnemnda med en avgjørelse (PVN-2013-25) som endret vår praksis. Nemnda konkluderte med at når en hytteeier hadde montert opp et kamera på egen hytte, et kamera som også fanget opp felles vei og andre hytteeieres eiendom, var det å anse som et privat formål. Slik kameraovervåking ble etter nemndas syn ikke omfattet av personopplysningsloven. Konsekvensen av nemndas avgjørelse var at privatpersoners bruk av kamera normalt må anses som et privat formål, uavhengig av om kameraet fanger opp nabotomten, fellesområder eller offentlig vei. Nemndas konklusjon var overraskende, men den førte til at vi la om praksis og endret veiledningsmaterialet.
Den 11. desember 2014 kom EU-domstolen derimot med en avgjørelse som slo fast at kameraovervåking som blir utført av en privatperson fra egen privat grunn, men som også fanger opp offentlig område, ikke er å regne som et «purely personal or houshold activity» (personverndirektivet artikkel 3 annet ledd). En slik bruk omfattes derfor av direktivets virkeområde.
På bakgrunn av EU-domstolens avgjørelse har Datatilsynet valgt å legge om praksisen tilbake til det vi hadde før Personvernnemndas avgjørelse. Veiledningsmaterialet har også blitt revidert tilbake til sitt opprinnelige innhold.
Selv om avgjørelsen i EU-domstolen retter seg konkret mot en privatperson som kameraovervåker offentlig område, er det mye som taler for at det samme må gjelde for en privatperson som overvåker en nabo, felles vei eller lignende med kamera.