Det vises i meldingen til at 2013 var et år
da personvernet i aller høyeste grad ble satt på dagsordenen, både
i Norge og ellers i verden, jf. Edward Snowden-saken.
Det vises i meldingen til at overvåkning av
nettaktivitet fra både myndigheter og kommersielle aktører er et
omdiskutert tema, og at det ofte hevdes at økt grad av overvåkning
kan føre til en nedkjølingseffekt («chilling effect»). Nedkjølingseffekten
oppstår i situasjoner hvor utøvelse av legitime handlinger innskrenkes
eller motvirkes gjennom trusselen om mulige sanksjoner. Datatilsynet
gjennomførte i november 2013 en undersøkelse av nedkjøling i Norge.
Undersøkelsen viser at forholdsvis mange oppgir å legge bånd på
sine aktiviteter på nett fordi de er usikre på hvordan opplysningene
kan bli brukt senere, yngre i større grad enn eldre. Det pekes i meldingen
på at det ennå er for tidlig å si noe om hvor utviklingen går, men
at dersom Datatilsynets undersøkelse viser tidlige tegn på en utvikling
hvor innbyggerne begrenser sine ytringer som et resultat av svekket
personvern, er dette noe som må tas alvorlig.
Det pekes i meldingen på at man også i forvaltningen
kan komme til å se tegn til nedkjøling dersom innbyggerne ikke lenger
har tillit til at personopplysningene deres blir behandlet som de
forventer. I november 2013 fremla en arbeidsgruppe nedsatt av Juristforbundet
en rapport om bekjempelse av organisert økonomisk kriminalitet gjennom
etterforsknings- og påtalesamarbeid mellom politiet og statlige
kontrolletater. Juristforbundet foreslår at enkelte forvaltningsorganer
får myndighet til å etterforske og ta ut påtale for økonomisk kriminalitet
innenfor egen sektor. Det vises i meldingen til at forslaget må ses
i sammenheng med en økende tendens til at forvaltningsorganer gis
egne hjemler til å etterforske lovbrudd, og videre at de gis hjemler
til å dele informasjon med påtalemyndigheten som ligger utenfor
straffeprosessloven. Dette er en tendens som blant annet Datatilsynet
har stilt seg kritisk til. Mangel på involvering fra en objektiv tredjepart
kan utfordre innbyggernes rettssikkerhet, og det kan også gi en
nedkjølingseffekt ved at innbyggerne vegrer seg for å avgi opplysninger
til forvaltningen. Økt informasjonsflyt mellom de aktuelle virksomhetene
kan også svekke innbyggernes tillit til at personopplysningene deres
blir brukt til de formålene de samles inn for. Det pekes i meldingen
på at den høye graden av tillit som norske innbyggere har til forvaltningen,
må opprettholdes for at velferdsstaten vår skal fungere. En av forutsetningene
for dette er et godt personvern. Det vises i meldingen til at mulige
personvernkonsekvenser av de tiltak Juristforbundet foreslår, derfor
må drøftes inngående.
Personvern blir et stadig viktigere element
i konsekvensutredninger som utføres av ulike aktører. En undersøkelse
fra 2012/2013 av to masterstudenter fra Senter for rettsinformatikk
ved Universitetet i Oslo konkluderte med at utredningsinstruksens
krav til å utrede personvernkonsekvenser ikke blir fulgt i alle
saker, og at personvernargumenter fremsatt av høringsinstansene
sjelden blir tatt til følge av det ansvarlige departementet. Videre
ble ikke personvernkonsekvenser evaluert som ledd i etterkontroll
i noen av sakene studentene gjennomgikk.
I Datatilsynets årsmelding kommenteres det utredningsarbeidet
som er gjort i forbindelse med tiltak innen helse- og omsorgssektoren.
Det fremgår av årsmeldingen at Datatilsynet har hatt regelmessig
dialog med både Helse- og omsorgsdepartementet og Helsedirektoratet
om disse spørsmålene.
Utredningsinstruksen, og veilederen om utredning
av personvernkonsekvenser, gir føringer for hvordan forvaltningen
skal vurdere hva som må anses som vesentlige konsekvenser ved et forslag,
og hvordan arbeidet med utredning av disse bør gjøres. Departementet
arbeider i 2014 med å revidere utredningsinstruksen, og i revisjonen
skal det også gjøres en ny vurdering av hvilke krav som bør stilles
til konsekvensutredninger.
Det vises i meldingen til at et annet prosjekt
som er viktig for regjeringen i 2014, er det store arbeidet med
digitalisering av tjenester fra forvaltningen. En del av Norges
digitale agenda er å etablere rammevilkår som stimulerer til nye
og innovative digitale tjenester og digitale forretningsmodeller.
Målet er at offentlige data og offentlig finansiert innhold i størst
mulig grad skal være praktisk tilgjengelig for viderebruk og verdiskaping.
Personvernhensyn kan være et hensyn som setter grenser for hvilke
data som kan deles og utnyttes til nye formål. Ikke alle datasett egner
seg like godt til viderebruk, særlig ikke om de inneholder personopplysninger
eller på annen måte er egnet til å krenke enkeltpersoners personvern.
Det må også tas hensyn til eventuelle personvernmessige konsekvenser
av sammenstilling av flere datasett.
Det vises i meldingen til at Datatilsynet i
2013 har vært en aktiv bidragsyter i samfunnsdebatten om personvern.
Tilsynet har utarbeidet en rapport om Big Data, gjort seg bemerket
i flere viktige høringer, og holdt foredrag om personvernrelevante
tema i forskjellige fora. Datatilsynet har særlig satt søkelys på
innebygd personvern, og hvordan man kan jobbe for å bygge best mulig
personvern inn i løsninger fra starten av. Dette er noe også regjeringen
er svært opptatt av, og det pekes i meldingen på at det er positivt
at prinsippet om innebygd personvern får oppmerksomhet.
Datatilsynet har i 2013 prioritert å arbeide
med personvern innenfor følgende områder: helse og velferd, justissektoren,
offentlig sektor, skole, barn og unge samt arbeidsliv.
Både barnehager, grunnskoler og videregående skoler
behandler store mengder opplysninger om barn og unge. Opplysningene
behandles i stadig større grad digitalt. Utviklingen går i retning
av digitale læringsplattformer, innloggingssystemer og saksbehandlingssystemer,
og det pekes i meldingen på at det er viktig at personvernhensyn
blir ivaretatt fra et tidlig stadium i utviklingen av disse. I 2012
fikk personopplysningsloven § 11 et nytt ledd, som sier at personopplysninger
som gjelder barn ikke skal behandles på en måte som er uforsvarlig
av hensyn til barnets beste.
Det vises i meldingen til at departementet også
er opptatt av personvernutfordringer i skolen, og ser behov for
et kunnskapsløft om personvern i sektoren. Stadig flere skoler tar
i bruk IKT til nye formål. Det er alltid en viss fare for at standardiserte
systemer legger til rette for en behandling av personopplysninger
som brukeren ikke trenger. En annen utfordring kan være at det er relativt
stor avstand mellom den behandlingsansvarlige (rådmann eller fylkesrådmann)
og de som faktisk behandler personopplysninger, nemlig skolene.
Det er viktig at krav til kunnskap om personvern formidles i alle
ledd, fra departementene og fylkesmannen, til administrasjonen i kommuner
og fylkeskommuner, skoleadministrasjon og lærere, og selvsagt også
til elevene selv.
Flere aktører, deriblant Datatilsynet, driver
utstrakt informasjonsvirksomhet om personvern for skoler, barn og
unge. Du Bestemmer består av to undervisningsopplegg for barn i
aldersgruppene 9–13 år og 13–17 år, og har hatt jevne tall både
for nettsidebesøk og bestillinger av materiell de siste årene. Det
pekes i meldingen på at det er positivt at alle skoler har et tilbud
om undervisningsmateriell om personvern. Kommunal- og moderniseringsdepartementet
ser behovet for og vurderer ulike tiltak for å løfte personvernet
i utdanningssektoren, både på lærernivå og i administrasjonene.
Det er viktig at de som behandler elevopplysninger er kjent med hvilke
plikter de har, og hvilke rettigheter elevene har når det gjelder
personvern. Det er også viktig at skolene og kommunene har høy bestillerkompetanse,
slik at de IKT-systemene som anskaffes til bruk i skolene, er tilstrekkelig
personvernvennlige.
Datatilsynet har gjennomført tilsyn hos flere skoleeiere
i 2013, og funnet at skolene gjennomgående ikke har tilfredsstillende
rutiner for internkontroll og informasjonssikkerhet. Departementet
vil se nærmere på hvilke mulige tiltak som kan igangsettes for å
bedre situasjonen. Det ble i Meld. St. 11 (2012–2013) Personvern
– utsikter og utfordringar varslet en veileder om internkontroll
etter personopplysningsloven. Departementet arbeider med en slik
veileder, som også vil ta for seg pliktene til informasjonssikkerhet
etter loven.
Det fremgår i meldingen at et annet fokusområde i
2013 har vært personvern i arbeidslivet. Datatilsynet melder at
rundt én av fire henvendelser fra innbyggere og virksomheter dreier
seg om personvern i arbeidslivet. Dette gir en god indikasjon på
at personvernutfordringer i arbeidslivet bør gis høy prioritet fremover.
Det har vært flere profilerte saker på arbeidslivsområdet i 2013,
og Datatilsynet har i noen tilfeller også ilagt overtredelsesgebyr
til virksomheter som har behandlet opplysninger om ansatte i strid med
personopplysningsloven.
Arbeids- og sosialdepartementet leder en arbeidsgruppe
(KMD er representert) som ser på overvåkning og kontroll i arbeidslivet.
Regjeringen er opptatt av problemstillinger knyttet til personvern
i arbeidslivet, og vil vurdere mulige tiltak når arbeidsgruppens
endelige rapport foreligger.
Under behandlingen av Datatilsynets årsmelding for
2012 diskuterte Stortinget Datatilsynets praksis ved ileggelse av
overtredelsesgebyr. Det ble stilt spørsmål ved om det ikke er behov
for i større grad å ilegge overtredelsesgebyr i saker der sammenstilling
og gjenbruk av data skjer i strid med lovverket. Spørsmålet kan
sees i lys av Høyesteretts uttalelser i dommen om Avfallsservice
fra 31. januar 2013 (se omtale i meldingen).
Departementet understreker at Datatilsynet har en
uavhengig myndighet til å ilegge overtredelsesgebyr. Dette følger
av personopplysningsloven § 46. Tilsynet har ikke benyttet seg av
denne muligheten særlig ofte, blant annet fordi sanksjoner i form
av gebyr er ment å være forbeholdt særlig grove brudd på bestemmelsene
i personopplysningsloven. Tall viser at overtredelsesgebyrene har
økt betraktelig i størrelse bare de siste to årene. I 2011 ble det
ilagt overtredelsesgebyrer for til sammen 270 000 kroner, mens for 2013
var den samlede summen 1 975 000 kroner. Det pekes i meldingen på
at det ikke er utenkelig at overtredelsesgebyrer fremover ilegges
i større grad enn tidligere, som en naturlig følge av at behandlingsansvarlige
har større muligheter for misbruk av personopplysninger enn de tidligere
har hatt.
Det vises i meldingen til at den teknologiske
utviklingen har et enormt forsprang på den rettspolitiske utviklingen,
og også på det generelle kunnskapsnivået i befolkningen.
Datatilsynet antar at bruken av såkalt kroppsnær teknologi,
eller wearable computing, vil øke kraftig i årene fremover. Google
Glass, smarte klokker og GPS-sendere er eksempler. Felles for de
kroppsnære teknologiene er at de kan kommunisere med andre enheter.
De kan lagre og dele opplysninger som forteller mye om bærerens
(eller andre i nærheten) bevegelsesmønster, helsetilstand eller
vaner. For det første kan dette få konsekvenser for bærerens personvern.
For det andre kan det få konsekvenser for personvernet til de ofte
uvitende tredjepersoner som befinner seg i nærheten av bæreren.
Det at informasjon kan kommuniseres fra kroppsnær teknologi til
andre enheter, gjør at det potensielt er svært mange som kan få
tilgang til opplysningene, som for eksempel private næringsdrivende og
politi- og etterretningstjenester.
Det pekes i meldingen på at Datatilsynet har
høy teknologisk og juridisk kompetanse på personvern. Det er positivt
og nødvendig at Datatilsynet holder seg oppdatert på utviklingen
av ny teknologi, og at de har den nødvendige kompetansen til å se
hvilke konsekvenser teknologien kan føre med seg. Datatilsynet evner
å arbeide i grenselandet mellom juss og teknologi. Dette er en viktig
forutsetning for at problemstillinger knyttet til personvern oppdages
før det er for sent å gjøre noe aktivt for å forebygge negative
konsekvenser.
Det vises i meldingen til at Personvernnemnda
i 2013 har behandlet 14 saker av de i alt 28 som ble mottatt i nemnda
i løpet av året.
Et tema Personvernnemnda trekker frem som særlig
aktuelt, er overføring av personopplysninger til utlandet. I det
nye, internasjonale landskapet, hvor store internasjonale aktører tilbyr
forskjellige typer databehandlertjenester, kan det være vanskelig
for de behandlingsansvarlige å se rekkevidden av sitt ansvar for
opplysninger som lagres i en nettsky tilbudt av for eksempel Google
eller Microsoft. Den behandlingsansvarlige skal alltid vurdere mulige
konsekvenser for personvernet ved overføring av personopplysninger
til utlandet, og bestemme seg for hva som er akseptabelt risikonivå
for egen virksomhet, før de inngår databehandleravtaler med tredjeparter.
Dersom personopplysninger havner på avveie, eller på andre måter behandles
i strid med personopplysningslovens regler, er det den behandlingsansvarlige
som er ansvarlig overfor de registrerte, ikke databehandleren.
I enkelte saker har det oppstått usikkerhet
rundt hvilke plikter den behandlingsansvarlige har dersom personopplysninger
kommer på avveie. Det gis i meldingen en omtale av de såkalte GE-sakene.
Nemnda kom under dissens til at man kan foreta en utvidende tolkning
av personopplysningslovens regler, slik at det påligger en informasjonsplikt
for den behandlingsansvarlige, også der denne ikke er klar over
den urettmessige overføringen. Dette innebærer at behandlingsansvarlige
må gjennomføre gode risikovurderinger og forvisse seg om at databehandlers
behandling av personopplysninger er i samsvar med akseptabelt risikonivå.
Det vises i meldingen til at Personvernnemnda
i 2013 har hatt en uvanlig stor saksmengde, og de har også hatt
flere komplekse saker til vurdering i løpet av året. Med den raske
utviklingen som skjer på personvernområdet, får Personvernnemnda
en særlig viktig rolle. Nemnda er bredt sammensatt med kunnskapsrike
medlemmer fra forskjellige fagmiljøer, noe som åpner for grundige
diskusjoner av sakene som kommer inn. Avgjørelsene fra Personvernnemnda
fungerer som en rettesnor for Datatilsynets videre arbeid, både
når avgjørelsene innebærer omgjøring av tilsynets vedtak, og når
de ikke gjør det.
Datatilsynet hadde i 2013 en budsjettramme på 37 753 000
kroner, noe som innebærer en økning på 2 738 000 kroner fra 2012.
I tillegg ble 1 292 000 kroner overført fra 2012, midler som var
oppspart og øremerket påbegynte IKT-investeringer. Av tilsynets
utgifter i 2013 utgjorde 71 prosent lønnsutgifter, fordelt på 41
faste stillinger. Det vises i meldingen til at selv om tilsynets
ledergruppe består av fire menn og en kvinne (direktør er Bjørn
Erik Thon), var det i rapporteringsåret jevn kjønnsfordeling i Datatilsynet sett
under ett.
Det er i 2013 gjennomført 76 tilsyn, en økning
på 21 tilsyn fra 2012. I alt 30 klagesaker ble oversendt til Personvernnemnda
i rapporteringsperioden, noe som kan tyde på at tilsynet har hatt flere
tunge og prinsipielle saker enn tidligere år. Datatilsynet har også
bidratt med 81 høringsuttalelser på forskjellige felt. Aktivitetsnivået
i Datatilsynet har altså vært forholdsvis høyt i 2013.
Datatilsynet har i rapporteringsperioden brukt mye
ressurser på planlegging og implementering av ny IKT-infrastruktur,
samt oppgradering av arkiv- og saksbehandlersystem. Kompetanseutvikling
har også vært et satsingsområde i 2013. Også deltakelse i internasjonale
fora er prioritert i 2013.
Departementet er tilfreds med Datatilsynets
prioriteringer og ressursutnyttelse med hensyn til de oppgavene
de skal ivareta. Det er positivt at Datatilsynet tar på seg oppgaver
i internasjonale fora.
Personvernnemnda hadde i 2013 en budsjettramme
på 1 833 000 kroner, og har i meldingsåret brukt 1 676 98 kroner.
Bevilgningene er brukt på innkjøp av litteratur og tjenester, deltakelse
på seminar, arbeids- og reisegodtgjørelse til nemndas medlemmer,
leie av lokaler og lønn til sekretariatet. I tillegg bidro Personvernnemnda
i 2013, som tidligere år, med økonomisk støtte til Personvernkonferansen.
Nemnda har i rapporteringsperioden avholdt tolv møter,
i tillegg til forberedende møter mellom sekretariatet og leder.
Av de 28 sakene som ble mottatt i nemnda i 2013, var 14 ferdigbehandlet ved
utgangen av året, og 14 fortsatt ubehandlet. Saksmengden har i rapporteringsperioden
vært stor, og det har kommet inn flere omfangsrike og kompliserte
saker som det har tatt tid å behandle.
Det fremgår av meldingen at det synes å være godt
samarbeid mellom nemndas leder og sekretariatet, og kommunikasjonen
med departementet fungerer også godt. Departementet vurderer at Personvernnemnda
i 2013 har ivaretatt sine oppgaver og brukt de bevilgede midler
på en god måte.