Teknisk test 17.–18. september

Tirsdag 17. og onsdag 18. september gjennomføres det tekniske tester av infrastrukturen i stortingssalen. I perioden vil blant annet talerlisten, nett-TV og førstesiden på  stortinget.no bli testet, og det kan oppleves aktivitet i disse.

1.1 Innledning

Meldingen ble fremmet av regjeringen Stoltenberg II 23. august 2013.

Det vises i meldingen til at omfanget av personvernrelaterte problemstillinger øker i takt med teknologiutviklingen. Virksomheten til Datatilsynet og Personvernnemnda får betydning på stadig flere samfunnsområder.

I personopplysningsloven finner man regler som skal ivareta personvernet gjennom beskyttelse av den enkeltes personopplysninger. Loven er generell og gjelder i alle sektorer, med mindre noe annet følger av særregler, som for eksempel i helseregisterloven og i den nye politiregisterloven.

Da personopplysningsloven ble vedtatt i 2000, ble reglene i stor grad basert på EUs personverndirektiv fra 1995. Personvernregelverket i EU er under revisjon, og EU-kommisjonen la i januar 2012 frem et forslag til en generell forordning om personvern. Forordningen antas å være EØS-relevant, og de detaljerte reglene vil derfor være gjeldende for Norge dersom de blir vedtatt. Det vises i meldingen til at som følge av regelverksendringene som drøftes i EU, kan det bli nødvendig med en revisjon av det norske personopplysningsregelverket. Det vises i meldingen til at arbeidet i EU har stor betydning for hvilken retning norsk personvernrett tar, og at både Justis- og beredskapsdepartementet, Fornyings-, administrasjons- og kirkedepartementet og Datatilsynet er engasjert i arbeidet.

Fornyings-, administrasjons- og kirkedepartementet fremmet i 2012 Meld. St. 11 (2012–2013) Personvern – utsikter og utfordringar for Stortinget, der mange av de viktigste utviklingstrekkene i samfunnet med betydning for personvernet er skissert.

Big Data og informasjon som handelsvare

Det vises i meldingen til at man bruker data i større grad og høyere tempo enn noensinne.

Det vises i meldingen til at den kommersielle informasjonsindustrien behandler enorme mengder personopplysninger og til at det ligger store økonomiske interesser i behandlingen av personopplysninger. Særlig innbringende er informasjon om brukeratferd som kan benyttes til personlig rettet markedsføring.

Også offentlige myndigheter og forskningsmiljøer har stor interesse av å lagre og behandle store datamengder. Det kan ligge mye viktig informasjon i detaljer, særlig når disse settes i system, for eksempel i samfunnsforskning eller medisinsk forskning.

Big Data er betegnelsen på store datasett som samles inn fra forskjellige kilder, og som aggregeres og analyseres til bruk i nye sammenhenger. Det finnes flere datavarehus som arbeider med å levere slike analyser til aktører i ulike sektorer (se eksempler i meldingen). Det er vanskelig å forutse hvilke data som kan vise seg nyttige. Tendensen har derfor vært at det samles inn så mye data som teknisk mulig. I flere land og internasjonale organer pågår det diskusjoner om hvordan man best kan regulere innsamlingsmetoder og bruken av disse datasettene, slik at nye muligheter kan utnyttes uten å krenke den enkeltes personvern. Datatilsynet viser i sin årsmelding for 2012 at de er opptatt av de personvernrettslige problemstillingene som oppstår ved bruk av Big Data. Det vises i meldingen til at dette også er et område av stor interesse for departementet, som nøye vil følge den internasjonale utviklingen.

Innebygd personvern

Tanken om innebygd personvern («privacy by design») innebærer å ta hensyn til personvern i utvikling og bruk av informasjonsteknologi på alle nivåer. Personvern skal være en naturlig del av de systemer innbyggerne møter i hverdagen.

Den teknologiske utviklingen går svært raskt, og i tillegg til lovgivning og regulering må kommersielle aktører og offentlige myndigheter samarbeide for å finne løsninger som integrerer personvern i folks hverdag.

Det vises i meldingen til at regjeringen i stortingsmeldingen om personvern har gitt uttrykk for at prinsippet om innebygd personvern bør gjelde for alle sektorer. Det er viktig at det gjøres et bevisst arbeid for å sikre at personvern tidlig innarbeides ved utvikling av regelverk og nye systemer.

Utviklingen av gode systemer for tilgangsstyring er en viktig del av prosessen med å bygge personvern inn i registre og andre informasjonssystemer med søke- og oppslagsmuligheter. Dette er imidlertid svært vanskelig i mange sektorer.

Det vises i meldingen til at den kanskje mest sentrale siden av innebygd personvern likevel dreier seg om holdninger og bevissthet rundt personvern hos den enkelte.

Det pekes i meldingen på at Datatilsynet er en viktig aktør.

1.2 Fornyings-, administrasjons- og kirkedepartementets merknader til Datatilsynets årsmelding for 2012

Det fremgår av meldingen at Datatilsynet i 2012 har arbeidet med å bedre personvernet i en rekke sektorer og særlig fokusert på følgende: Internett og telekommunikasjon; helse og velferd; justissektoren; offentlig sektor; internasjonalt samarbeid.

Det vises i meldingen til at Internett og telekommunikasjon har revolusjonert måten vi kommuniserer på og forutsetter behandling av store mengder personopplysninger om brukerne. Det er helt nødvendig å følge utviklingen tett for å få med seg eventuelle endringer som kan ha positive eller negative følger for personvernet. I meldingsåret har Datatilsynet vært svært offensive overfor ekombransjen, og de har søkt å holde en god dialog med de viktige aktørene i bransjen. Det pekes i meldingen på at det er positivt at Datatilsynet aktivt går inn for å påvirke utviklingen i en personvernvennlig retning, og at de søker å påvirke de store aktørene så tidlig som mulig i utviklingsprosesser.

Arbeidet med digitalisering og modernisering i helse- og omsorgssektoren reiser personvernrelaterte problemstillinger. Det pekes i meldingen på at det derfor er naturlig at Datatilsynet har fokusert på helse- og omsorgssektoren i meldingsåret. Blant annet har Datatilsynet deltatt i diskusjonen rundt mulig bruk av velferdsteknologi.

Gjenbruk av personopplysninger

Det fremgår av meldingen at det har vært flere saker i rapporteringsperioden hvor personopplysninger er gjenbrukt til nye formål, særlig i arbeidslivet.

Økende bruk av teknologiske hjelpemidler bidrar til stadig flere muligheter for sporing og bruk av elektroniske spor i arbeidslivet. Det er forskjellige grunner til slik sporing. For å kunne bruke teknologi for sporing og registrering i arbeidslivet, må man ha nødvendig hjemmel. Dersom man ønsker å gjenbruke innhentede opplysninger til et annet formål enn det opprinnelige, må det foreligge et nytt hjemmelsgrunnlag.

En sak som ble behandlet av både Datatilsynet og Personvernnemnda i 2011, ble behandlet i domstolene i 2012. Saken gjaldt en avskjedigelse med grunnlag i opplysninger innhentet i strid med personopplysningsloven. Den ble endelig avgjort ved Høyesteretts dom 31. januar 2013 (HR 2013-234). Se nærmere omtale i meldingen.

I saken uttalte Høyesterett seg om tolkningen av de krav som stilles til gjenbruk av personopplysninger. Datatilsynet og Personvernnemnda har tidligere antatt at personopplysningsloven ikke kan tolkes slik at det stilles strengere krav til gjenbruk enn til førstegangs bruk av personopplysninger. Høyesterett uttalte i denne saken at vilkåret i lovens § 11 første ledd bokstav c oppstiller et tilleggskrav for gjenbruk. Hvis formålet med gjenbruken ikke sammenfaller med det opprinnelige formålet, må det i tillegg innhentes samtykke fra den registrerte. Rettens uttalelse om dette spørsmålet gir en avklaring av hvordan lovens krav til gjenbruk skal tolkes.

Selv om Høyesterett i saken mente at sammenstilling av GPS-loggen med timelister var ulovlig, åpnet de for bruk av opplysningene som bevis i saken om arbeidstakerens oppsigelse. I avgjørelsen bemerket Høyesterett at selv om de ikke fant det riktig å tilkjenne arbeidstakeren erstatning for den ulovlige sammenstillingen, er det mulig for Datatilsynet å ilegge arbeidsgiver overtredelsesgebyr etter personopplysningsloven § 46. Datatilsynet har signalisert at de vil vurdere å benytte seg av denne muligheten i fremtidige saker, og overtredelsesgebyr er allerede ilagt i en liknende sak i et vedtak fra 16. april 2013.

Datatilsynet har i 2012 arbeidet mye med å bedre bevisstheten rundt personvern i arbeidslivet. Blant annet har de utarbeidet en rapport som viser hvilke elektroniske spor en vanlig arbeidstaker etterlater seg i løpet av en arbeidsdag. Rapporten viser at det er vanskelig for ansatte å ha oversikt over hvilke personopplysninger som behandles, og at arbeidsgiver ikke gir god nok informasjon om sin behandling av personopplysninger. Departementet er enig i at det er behov for å se nærmere på hvordan personvernutfordringer i arbeidslivet håndteres, og ser positivt på at Datatilsynet fokuserer på dette. Også fra regjeringens side er dette et område som vies oppmerksomhet. Det vises til en partssammensatt arbeidsgruppe.

Justissektoren

En rekke endringer er foreslått i justissektoren etter 22. juli-hendelsene. PST har generelt ønsket å åpne for en større informasjonsstrøm inn til dem for etterretnings- og forebyggingsformål, og det er fremmet flere forslag som berører personvernet. Blant annet er det fremmet forslag om endringer i straffeloven og straffeprosessloven i Prop. 131 L (2012–2013) og Prop.147 L (2012–2013).

Datatilsynet har det siste året arbeidet mye med personvern i justissektoren. Regelverket i justissektoren har stor betydning for enkeltpersoner, og personvern er ett av flere viktige hensyn som må ivaretas. Tilsynet fremholder at graden av overvåkning i et samfunn har direkte konsekvenser for graden av åpenhet og demokrati. Før man innfører personverninngripende lovgivning, er det derfor viktig å vurdere hvilke konsekvenser den kan ha for personvern, demokrati og åpenhet generelt i samfunnet. Det er også viktig at de tiltak man setter inn for å bekjempe kriminalitet, har en faktisk effekt. Derfor bør tiltakene evalueres med jevne mellomrom, slik at inngripende tiltak som viser seg lite effektive, justeres eller oppheves.

Politiet må ha gode virkemidler for å avdekke alvorlig kriminalitet. Samtidig må politiets behov for informasjon veies mot andre hensyn, som borgernes personvern. Det er viktig at personvernkonsekvenser utredes grundig før innføring av kriminalitetsbekjempende tiltak. Datatilsynets bidrag er derfor nyttig i forberedelsen av slike tiltak. Departementet viser i meldingen til at det er positivt at Datatilsynet engasjerer seg i lovgivningsprosesser på justisområdet, og at tilsynets synspunkter blir hørt og vektlagt i flere saker.

Behandling av personopplysninger i offentlig sektor

Det vises i meldingen til at offentlig sektor behandler store mengder personopplysninger i forskjellige sammenhenger. I stadig flere offentlige utredninger, forskrifter, proposisjoner og meldinger til Stortinget foreslås tiltak som innebærer behandling av personopplysninger. I meldingen omtales nasjonal kjernejournal og innføring av smarte strømmålere. Særskilt for offentlig sektor er at de registrerte som regel ikke kan velge om de ønsker å ta del i en behandling av personopplysninger.

Datatilsynet har vært en aktiv høringsinstans og bidratt med mange innspill til forslag fra det offentlige. Noen ganger må andre hensyn gå foran personvernhensyn av gode grunner. Selv om deres argumenter ikke alltid får gjennomslag, kan Datatilsynets engasjement likevel bidra til at offentlig sektor får et mer bevisst forhold til personvern og derfor søker å bygge gode personvernløsninger inn i de tiltak som foreslås.

Regjeringen lanserte i 2012 sitt digitaliseringsprogram, «På nett med innbyggerne». Her planlegges det blant annet økt sammenstilling og viderebruk av offentlig informasjon, bedre forvaltning av digitale identiteter, elektronisk kommunikasjon med borgeren og etablering av felles digitale tjenester. I programmet ligger ønsker om å effektivisere forvaltningen, forenkle innbyggernes kommunikasjon med offentlige virksomheter og å heve den digitale kompetansen i befolkningen. En av begrunnelsene for ønsket om å viderebruke offentlig informasjon i større grad, er at dette er informasjon som er finansiert og ofte produsert av det offentlige, og som allmennheten derfor bør få tilgang til.

Det er ikke utenkelig at enkelte av de informasjonssettene som ønskes tilgjengeliggjort, inneholder personopplysninger. Departementet ser positivt på at Datatilsynet ønsker å være involvert i digitaliseringsarbeidet. Det er viktig at personvernvennlige løsninger bygges inn fra starten av i de systemer og tjenester som etableres som resultat av digitaliseringsprogrammet. Datatilsynet vil kunne få ansvar for å føre tilsyn med enkelte slike systemer og tjenester, og det kan være nyttig om tilsynet bidrar med innspill og erfaringer allerede i etableringsfasen.

Mange tiltak som foreslås fra det offentlige, innebærer potensielle konsekvenser for personvernet. I mange saker vil andre hensyn veie tyngre enn personvernhensynet. For å kunne foreta en god avveining av ulike hensyn, fastslår utredningsinstruksen at alle vesentlige konsekvenser ved et foreslått tiltak skal utredes. Dette gjelder også personvernkonsekvenser. Derfor utarbeidet departementet i 2008 en veileder til utredningsinstruksen om vurdering av personvernkonsekvenser.

1.3 Fornyings-, administrasjons- og kirkedepartementets merknader til Personvernnemndas årsmelding for 2012

Personvernnemnda oppnevnes av Stortinget (leder og nestleder) og Kongen (øvrige fem medlemmer) for fire år av gangen. 2012 var siste funksjonsår for Personvernnemnda med den daværende sammensetningen.

Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet, og skal, som Datatilsynet, sørge for en god avveining av relevante personvernhensyn med øvrige samfunnshensyn. I 2012 mottok nemnda 15 klagesaker fra Datatilsynet, og alle ble behandlet innen utgangen av året. Til sammen avgjorde nemnda 22 saker i 2012, og Datatilsynets vedtak ble omgjort i 10 av disse sakene. Dette utgjør ingen stor endring i omgjøringsprosent sammenlignet med tidligere år, og antallet omgjorte saker er lavt tatt i betraktning det totale antall vedtak Datatilsynet fatter årlig. Personvernnemnda har i 2012 forsøkt å redusere saksbehandlingstiden og har utvidet møtetiden for hvert møte (i alt 11).

Personvernnemnda peker på en tendens til at ny teknologi kan gi en rettsutvikling. I meldingen omtales rettsutvikling knyttet til bruk av biometri.

Det går frem av meldingen at det også pekes på behovet for en klargjøring av anonymitetsbegrepet. Nemnda mener at det bør arbeides mer med slik personvernrelevant begrepsforståelse hos behandlingsansvarlige for å unngå at personopplysninger registreres ulovlig.

En sak som Personvernnemnda særlig fremhever fra meldingsåret, er saken om behandling av negative testresultater fra livmorhalsscreening under masseundersøkelsen mot livmorhalskreft. Personvernnemnda uttrykker en bekymring over at Helse- og omsorgsdepartementets forslag om å endre kreftregisterforskriften med tilbakevirkende kraft utfordrer nemndas uavhengighet. Det vises i meldingen til at det også i høringen ble reist tvil om regjeringens kompetanse til å vedta de foreslåtte endringene. Spørsmålet ble lagt fram for Stortinget, og endringene er gjennomført i lov i stedet for forskrift. Det vises i meldingen til at det er ingen tvil om at opplysninger om negative screeningresultater kan være nyttig i forskningssammenheng. Det er samtidig viktig at det er bevissthet om personvernregelverket i virksomheter som samler inn og lagrer personopplysninger. Uansett hvilket formål den behandlingsansvarlige har med behandlingen, er det dennes plikt å gjøre seg kjent med de regler som gjelder for behandling av personopplysninger, og å etterleve disse reglene.

1.4 Administrasjon og ressurser

Datatilsynets budsjett og rammevilkår

Datatilsynet fikk bevilget 35 015 000 kroner for 2012, en økning på 2 964 000 kroner fra 2011 begrunnet med at Datatilsynet er tillagt nye oppgaver i forbindelse med implementering av datalagringsdirektivet og den nye politiregisterloven.

Av Datatilsynets utgifter i 2012 utgjorde lønnsutgifter 69 pst., mens øvrige driftsutgifter utgjorde 31 pst. Lønnsutgiftene er fordelt på 41 fast ansatte i 2012. Det er jevn kjønnsfordeling blant de ansatte. Datatilsynet er organisert i fire avdelinger. Etaten har i meldingsåret vært ledet av direktør Bjørn Erik Thon.

Det vises i meldingen til at Datatilsynet er en kunnskapsvirksomhet og er opptatt av å bidra med kunnskap til en opplyst debatt om personvern. Tilsynet har i 2012 satset spesielt på kompetanseutvikling og kompetansehevende tiltak for egne medarbeidere for å sikre at de er i stand til å møte utfordringene i de ulike sektorene de skal rådgi og føre tilsyn med. I tillegg har Datatilsynet måttet bruke en del ressurser på rekruttering og opplæring av nye medarbeidere etter at ni medarbeidere sluttet i løpet av meldingsåret.

Datatilsynet har i meldingsåret fortsatt sitt arbeid med strategier for fremtidig virksomhet, blant annet om personvern i justissektoren.

Etter at 2011 var et år med nedgang i antall gjennomførte tilsyn som følge av satsing på strategiarbeid, var omfanget av tilsynsvirksomheten igjen på vei opp i 2012. Tilsynsvirksomhet er en viktig del av Datatilsynet arbeid, og departementet har god dialog med Datatilsynet om satsing på og synliggjøring av denne virksomheten. Det har i flere år vært arbeidet med risikostyring både av tilsynsvirksomheten og Datatilsynets virksomhet samlet. Dette arbeidet har gitt resultater i form av bedre ressursutnyttelse. Det vises i meldingen til at departementet er tilfreds med Datatilsynets virksomhet i meldingsåret. Ressursene prioriteres nøye ut fra hvilke aktiviteter man vurderer gir best effekt for personvernet, og det gjøres godt og planmessig arbeid for å nå oppsatte mål.

Personvernnemndas budsjett og rammevilkår

Det vises i meldingen til at Personvernnemnda i 2012 har hatt en budsjettramme på 1 773 000 kroner, hvorav 1 615 143 kroner er brukt. Nemnda avholdt 11 møter i rapporteringsperioden. I tillegg har det vært avholdt forberedende møter mellom sekretariatet og leder. Aktivitetsnivået i nemnda har vært høyt i meldingsåret med sikte på å avslutte alle innkomne saker før nemndas funksjonstid utløp 31. desember 2012. Den etterlot seg ingen ubehandlede saker ved endt funksjonstid.

Som tidligere år bidro Personvernnemnda med økonomisk støtte til Personvernkonferansen også i 2012, med temaet: «Fra lov til innebygget personvern – hvordan kan personvernet styres?».

Departementet har løpende kontakt med Personvernnemndas leder og sekretær om administrative spørsmål. Kommunikasjonen mellom leder og sekretær fungerer godt, og sekretariatsfunksjonen er vel ivaretatt med kontor i Sandefjord. Det vises i meldingen til at departementets vurdering er at Personvernnemnda har brukt de bevilgede midlene på en god måte og ivaretatt sine oppgaver godt i 2012.