Det vises i meldingen til at personvernet utfordres
i stadig økende grad av den teknologiske utviklingen og at det offentliges
arbeid med personvern blir stadig viktigere. Det vises i meldingen
til at det er nødvendig å sørge for gode rammer og et velfungerende
regelverk som ivaretar borgernes personvern, men at vel så viktig
er også god veiledning og bidrag til grunnleggende kunnskap i befolkningen.
Det vises i meldingen til at personvern er en ideell
verdi og en grunnleggende menneskerettighet. Rettigheten er bredt
vernet. I 2014 ble også retten til privatliv slått fast i Grunnloven,
ved en ny bestemmelse i Grunnloven § 102. Bestemmelsen skal blant
annet bidra til å løfte de internasjonale menneskerettighetsprinsipper
om «right to privacy» inn i en norsk kontekst ved en generell forankring
i Grunnloven.
Også internasjonalt arbeides det aktivt med
nye regler til sikring av personvernet. I EU er arbeidet med en
revidering av personverndirektivet, som forventes erstattet av en
ny forordning, i sluttfasen. Likeledes pågår et arbeid med modernisering
av Europarådets personvernkonvensjon.
Det vises i meldingen til at for at overføring
av personopplysninger til databehandlere i tredjeland skal kunne
skje så smidig som mulig, samtidig som personvernhensyn ivaretas,
har regjeringen vedtatt en forenkling i personopplysningsforskriftens
prosedyrekrav for slike overføringer.
Den såkalte «retten til å bli glemt», det vil
si rett til å få slettet, sperret eller på annen måte gjort utilgjengelig
for allmennheten personopplysninger om seg selv, har lenge vært
en viktig verdi på personvernområdet. Ved en avgjørelse i EU-domstolen
i 2014 (Google-dommen, sak C-131/12) ble denne retten styrket. Dersom
søkemotoren ikke etterlever et krav om fjerning av søketreff, kan
borgeren bringe saken inn for domstolene eller nasjonale personvernmyndigheter.
Som en følge av dette har Datatilsynet mottatt elleve klager på
området i 2014.
Det vises i meldingen til at departementet følger den
internasjonale utviklingen rundt «retten til å bli glemt» tett og
vil løpende vurdere de signaler og innspill som kommer.
Det vises i meldingen til at man i dag bruker
stadig mer tid på digitale medier. Det pekes i meldingen på at ulike
overvåkningssaker, urettmessig tilgang til personopplysninger og
nettmobbing også dessverre er blitt en del av dette. Det er viktig
å beskytte seg mot slike uønskede konsekvenser så langt det er mulig.
Barn og unge er særlig utsatt.
Det pekes også i meldingen på at det er viktig
at barn og unges personvern sikres tilstrekkelig i barnehage og
skole. Det er viktig at opplæringssektoren har gode rutiner for
sin behandling av personopplysninger og bruk av digitale medier.
Det vises i meldingen til at regjeringen arbeider kontinuerlig
for at digitalisering av offentlig sektor skal skje på en god måte.
IKT-politikken skal legge til rette for forenkling og effektivisering
i offentlig sektor, samt fremme innovasjon og verdiskaping i næringslivet.
En av forutsetningene for digitaliseringen av offentlig sektor er
digital kompetanse hos innbyggerne.
Det vises i meldingen til at godt personvern
er svært viktig i utviklingen av digitale løsninger. Teknologien
kan åpne nye muligheter for bedre ivaretakelse av personvernet,
for eksempel gjennom logging av oppslag i registre. Slike løsninger
for innebygd personvern bør benyttes i den grad de vurderes å være
hensiktsmessige. Datatilsynet arbeider kontinuerlig med å fremme prinsippene
for innebygd personvern, i tett dialog med myndighetsutøvere. Departementet
deler Datatilsynets vurdering av at dette er et viktig samspill
for å sikre fullgode resultater.
En annen utfordring ved digitalisering i staten
er tilrettelegging for god informasjonsflyt mellom virksomheter,
samtidig som personopplysninger sikres. Det pekes i meldingen på
at Datatilsynet her er en viktig bidragsyter i debatten. Et gjennomgående
tema er sikring av dataenes kvalitet og god tilgangskontroll. Det
er også viktig å påse at borgerne er informert om eventuell gjenbruk og/eller
annen deling av informasjon.
Departementet er opptatt av at arbeidet med
innebygd personvern videreføres og at personvern blir en naturlig
del av utredning og utvikling i all offentlig digitalisering.
Det vises i meldingen til at Datatilsynet i
2014 har arbeidet målrettet for å bedre personvernet i samfunnet.
Tilsynet har i 2014 særlig arbeidet med personvern
på følgende områder: helsesektoren, skole- og utdanningssektoren,
justissektoren og digitalisering av offentlig sektor.
Datatilsynet har i 2014 fortsatt sin fokusering
på barn og unge.
På det internasjonale området har Datatilsynet fortsatt
sitt aktive arbeid med Big Data og vært i front i arbeidet med å
fremme, og fått vedtatt, en resolusjon om temaet på den internasjonale
personvernkonferansen.
Det pekes i meldingen på at en av hovedutfordringene
for helsesektoren er at den er gjenstand for store forandringer
i et raskt tempo. Videre at det er utfordrende at sektoren er preget av
mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar
og beslutningsmyndighet. Datatilsynet viser til ny lovgivning som
trådte i kraft 1. januar 2015 og som åpner for økt informasjonsutveksling
mellom virksomheter.
Datatilsynet gjennomførte i 2014 tilsyn med
tre sykehus og hvordan de styrer tilgangen til pasientopplysninger
i elektroniske pasientjournaler. Inntrykket var at sektoren er blitt
bedre på dette. Tilsynet avdekket likevel alvorlige brudd på bestemmelsene
om tilgangsstyring. På denne bakgrunn stiller Datatilsynet seg spørrende
til om sektoren er klar for å ivareta de kravene som er nødvendige
for å åpne for slike tilganger. Departementet merker seg de utfordringene
Datatilsynet peker på og vil arbeide kontinuerlig for å fremme gode
personvernløsninger.
Datatilsynet ser at det fortsatt er store personvernutfordringer
på området velferdsteknologi. Utfordringene knytter seg blant annet
til krav til sikkerhet, dokumentasjon og praktiske utfordringer
ved bruk.
Det vises i meldingen til at barnehager og skoler behandler
store mengder personopplysninger og med større bruk av digitale
læringsplattformer. Datatilsynet påpeker blant annet at det er mange aktører
som tilbyr digitale løsninger, og at det er varierende kunnskap
om personvern hos de ansatte i skoler og barnehager.
Datatilsynet prioriterte derfor å se nærmere
på personvern i barnehager og skoler i 2013 og 2014.
Funnene ble oppsummert i en rapport i 2014 og viste
at det er et gjennomgående problem at skolene og barnehagene ikke
har tilfredsstillende rutiner for å oppfylle pliktene i personopplysingsloven
med forskrifter. Det var særlig uklarheter omkring hva personopplysninger
er, hvem som er ansvarlig for behandlingen og hvilket ansvar som
følger med. Overordnede rutiner var enten lite kjent eller dårlig
tilpasset virksomhetene. I den grad virksomheten hadde skrevne rutiner
om behandlingen av personopplysninger, handlet de gjerne om informasjonssikkerhet.
Datatilsynets inntrykk var at mange hadde en oppfatning av at informasjonssikkerhet
var det samme som konfidensialitet, slik at tilgjengelighet og integritet ikke
ble like mye vektlagt.
Datatilsynet har sett at utfordringene og behovet for
veiledning er felles for alle skole- og barnehageeiere, og mener
det er svært viktig at det tas et samlet og koordinert tak i hele
opplæringssektoren. Det er satt i gang et arbeid med sentrale aktører
i sektoren.
Det vises i meldingen til at departementet også
er opptatt av at barn og unge sikres et godt personvern og støtter
Datatilsynets arbeid for en bevisstgjøring på dette feltet.
Datatilsynets arbeid har også fått oppmerksomhet
i internasjonale fora som Norge deltar i.
Det vises i meldingen til at Datatilsynet følger digitaliseringen
av offentlig sektor tett. Selv om det har skjedd en stor utvikling,
peker tilsynet på at mye arbeid gjenstår og det er viktig å fortsatt følge
arbeidet nøye.
Ved deling og gjenbruk av personopplysninger utfordres
prinsippet om formålsbestemthet i personvernlovgivningen. Det er
viktig med klare ansvarsforhold. Innbyggerne må få god informasjon
blant annet om hvilke instanser som behandler og utveksler opplysninger
om dem, samt til hvilket formål dette skjer. Datatilsynet fremhever
også at det er viktig å skape forståelse, også innenfor offentlig
sektor, for nytten av godt personvern og å bidra til regeletterlevelse.
Datatilsynet reviderte i 2014 sin «Strategi for personvern i digitalisering
av offentlig sektor».
Gjennom kontroller fant tilsynet at det var
et gjennomgående trekk at mange offentlige virksomheter ikke har
tilfredsstillende rutiner for å oppfylle pliktene i personopplysningsloven.
De kunne ikke fastslå signifikante forskjeller mellom stat og kommune,
regionale forskjeller eller forskjeller knyttet til størrelse. Imidlertid
mener tilsynet å kunne se at virksomheter som har personvernombud,
gjennomgående hadde en bedre ivaretakelse av personvernet og oppfyllelse
av pliktene i loven. Det fremgår av meldingen at departementet synes
dette er en spennende iakttagelse. Ordningen med personvernombud
er foreslått videreført i forslaget til ny personvernforordning
i EU.
Det vises i meldingen til at saksmengden i Personvernnemnda
har vært stor. Flere av sakene har vært prinsipielle. Personvernnemnda
påpeker at den ser at personvernet griper inn i stadig flere samfunnsområder,
og at problemstillingene er komplekse og har stor betydning for
både privatliv og kommersiell og offentlig virksomhet. Nemnda har
i 2014 forlenget sine møter for å håndtere den store saksmengden og
har også avholdt ekstra møter. Samfunnets økende fokus på personvern
er positivt, men medfører også et økt press på både Datatilsynet og
Personvernnemnda. Det pekes i meldingen på at det er viktig at departementet
følger utviklingen.
I sin rapport peker Personvernnemnda på flere tendenser.
Blant annet ser nemnda at personvernet i økende grad blir internasjonalisert.
Videre peker nemnda på at ileggelse av overtredelsesgebyr har fått
økt aktualitet. Det er derfor ikke overraskende at det kommer flere
klagesaker. Nemnda spår at denne utviklingen antakelig vil fortsette.
Personvernnemnda fremhever også at mange av sakene
som har vært prinsipielle angår plassering av behandlingsansvar.
Kameraovervåking er også et tilbakevendende tema.
Nemnda viser til en nylig dom fra EU-domstolen hvor domstolen, i
relasjon til kameraovervåking, har tolket «rent personlige formål» innskrenkende.
Datatilsynet hadde i 2014 en budsjettramme på 38 264 000
kroner, en økning på 1,4 pst. fra 2013. Med overføringer fra 2013
og tilleggsbevilgninger hadde Datatilsynet 40 526 000 kroner til
disposisjon i 2014. Av tilsynets utgifter utgjorde 69 pst. lønnsutgifter
og 31 pst. driftsutgifter. Datatilsynet hadde i meldingsåret 41
faste stillinger, samt to praksisplasser og to studentarbeidsplasser.
Tilsynet har vært ledet av Bjørn Erik Thon. Ledergruppen besto i
meldingsåret av fire menn og én kvinne. I tilsynet sett under ett
er det 54 pst. kvinner og 46 pst. menn.
Datatilsynet foretok i september 2014 en omorganisering.
Tilsynet gikk over fra en profesjonsbasert organisasjonsmodell til
en organisering basert i større grad på tverrfaglig sammensatte grupper.
Datatilsynet gjennomførte 68 tilsyn i meldingsåret,
noe færre enn i 2013. Tilsynet begrunner nedgangen med at omorganiseringen
tok ressurser på kort sikt, samt at flere hendelser i løpet av året
medførte behov for endringer i planlagte tilsyn. I 2014 kontrollerte
tilsynet virksomheter innen skole og utdanning, helse og velferd
og justissektoren, samt gjennomførte tilsyn med internkontroll og
informasjonssikkerhet i offentlig sektor.
Det ble i 2014 registrert 1 468 nye saker inn
hos Datatilsynet, en økning på 4,5 pst. fra 2013. Størst økning
har det vært i antallet registrerte dokumenter inn til tilsynet,
med 23 pst. fra foregående år. Antallet fattede vedtak har også økt,
og i meldingsåret fattet Datatilsynet 525 vedtak. Saksbehandlingstiden
er likevel relativt rask, og andelen restanser har gått noe ned
fra 2013, på tross av det økende antallet dokumenter.
Departementet er tilfreds med at aktivitetsnivået i
Datatilsynet er høyt og mener tilsynets prioriteringer og ressursutnyttelse
er god. Tilsynet tilpasser seg godt de endringer som skjer i samfunnet.
Det er også positivt at tilsynet markerer seg på den internasjonale
arenaen, og bidrar til internasjonale løsninger for å sikre et godt personvern.
Personvernnemnda hadde i 2014 en budsjettramme
på 1 858 000 kroner, og brukte 1 728 738 kroner. Bevilgningen er
brukt på innkjøp av litteratur og tjenester, deltakelse på seminar,
arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer,
lønn til sekretariat og leie av lokaler, samt økonomisk støtte til
Personvernkonferansen.
Nemnda har avholdt 13 møter i rapporteringsperioden,
i tillegg til forberedende møter. Personvernnemnda mottok 25 klagesaker
i 2014. 12 var ferdigbehandlet ved utgangen av året, og én sak ble
trukket av klager. I tillegg avgjorde nemnda 14 saker fra 2013.
Gjennomsnittlig saksbehandlingstid er 4–5 måneder. Personvernnemnda hadde
12 uferdige saker ved årets slutt.
Det vises i meldingen til at det synes å være
et godt samarbeid mellom nemndas leder og sekretariat, og kommunikasjonen
med departementet fungerer godt. Departementet registrerer at Personvernnemnda,
i likhet med i fjor, har en relativt høy restanse, men ser at nemnda
jobber godt for å redusere denne, særlig ved at de har behandlet
nesten dobbelt så mange saker som i 2013. Departementet vurderer
at Personvernnemnda har brukt de bevilgede midlene på en god måte og
ivaretatt sine oppgaver godt i 2014.