Innstilling fra kommunal- og forvaltningskomiteen om Årsmeldingane til Datatilsynet og Personvernnemnda for 2016

Til Stortinget

Sammendrag

Innleiinga til Kommunal- og moderniseringsdepartementet

Det blir i meldinga peikt på at årsmeldingane til Datatilsynet og Personvernnemnda for 2016 gir eit bilete av situasjonen her og no. I tillegg forsøker ein å sjå litt framover i tid. Meldingane ligg som vedlegg til stortingsmeldinga.

Det blir i meldinga vist til at ein stor del av debatten har omhandla samspelet mellom ny teknologi og personvern. I mange tilfelle gir den teknologiske utviklinga også betre høve til å ta vare på personvernet, mellom anna ved at ein kan bygge personvern inn i dei teknologiske løysingane. Samstundes blir stadig fleire merksame på dei store moglegheitene ny teknologi gir for utstrakt kartlegging av alt frå bevegelsar og handlemønster til personlege eigenskapar og preferansar. Mykje av den offentlege debatten har også i 2016 handla om arbeidet i EU med den nye personvernforordninga og kva konsekvensar forordninga får for norske verksemder og innbyggarar. Forslaget om oppretting av eit digitalt grenseforsvar har òg vore hyppig debattert, i tillegg til nye avgjerder frå EU-domstolen.

Debattane viser at personvern ikkje eksisterer i eit vakuum, men alltid må vegast mot andre interesser og behov. Kravet om å gjere grundige konsekvensvurderingar før innføring av nye lover og tiltak følger òg av den nye personvernforordninga. Slike vurderingar blir derfor ikkje mindre viktige i framtida.

Regelverksarbeid og internasjonal utvikling på personvernområdet

Dei seinare åra har det skjedd mykje med dei internasjonale reglane om behandling og vern av personopplysningar. Merksemda om personvern har òg auka merkbart. «Alle» snakkar om EU si personvernforordning og kva ho vil føre med seg av endringar for personvernet både i Europa og i resten av verda.

Gjennomføring av EU si personvernforordning

Etter å ha arbeidd med regelverket i over fire år, vedtok EU den nye forordninga om personvern, forordning 2016/679, i april 2016. Ho tek til å gjelde i alle EU sine medlemsstatar 25. mai 2018 og vil erstatte det nogjeldande personverndirektivet, direktiv 95/46/EC. Dei gjeld direkte som nasjonal rett i EU-landa. Samstundes med forordninga blei det vedteke eit direktiv om behandling av personopplysningar i justissektoren. Forordninga er EØS-relevant og direktivet er Schengen-relevant. Begge delar vil derfor bli gjennomførte i norsk rett.

Forordninga fører til at personvernreglane i Europa blir harmoniserte i større grad enn etter det gjeldande personverndirektivet. Gjennomføring av forordninga er eit viktig element i både den norske og den europeiske digitaliseringspolitikken.

Eit tilnærma einsarta personvernregelverk i heile EU-/EØS-området vil vere ein fordel både for dei registrerte og for verksemder som behandlar personopplysningar og skal etterleve reglane. Forordninga legg opp til fleire ordningar for å sikre einsarta tolking av reglane i alle EU-/EØS-landa. Forordninga legg opp til eit utstrakt samarbeid mellom dei nasjonale datatilsyna, samstundes som det blir oppretta eit felleseuropeisk datatilsyn med eit overordna tilsynsansvar («European Data Protection Board»). Det felleseuropeiske tilsynsorganet vil kunne fatte bindande avgjerder i ein del enkeltsaker og uttale seg om tolking av forordninga. Dei nasjonale datatilsyna må legge slike tolkingar til grunn i saksbehandlinga si. Regjeringa arbeider for at det norske Datatilsynet skal få delta i dette samarbeidet slik dei deltar i Artikkel 29-gruppa i dag.

Regjeringa meiner den nye forordninga gir eit sterkt vern for personopplysningar. Mange av dei grunnleggande personvernprinsippa og reglane som følger av det gjeldande direktivet og gjeldande norsk rett, blir førte vidare i forordninga. Dette har vore viktig for Noreg under forhandlingane i EU. Samstundes innfører forordninga nye reglar på fleire område og fører til endringar i norsk personvernrett.

EU-reglane er omfattande og dekker alle samfunnsområde. I utgangspunktet skal vi, på lik line med alle medlemsstatane i EU, gjennomføre forordninga i nasjonal rett slik ho lyder. Reglane vil derfor bli viktige for alle dei som behandlar personopplysningar i Noreg. Ei merkbar endring for både Datatilsynet og dei som behandlar personopplysningar, vil vere at den ganske omfattande konsesjonsplikta vi kjenner i dag, fell bort. Til erstatning blir det innført ei omfattande plikt for dei som skal behandle personopplysningar, til å gjere grundige utgreiingar av personvernkonsekvensar før nye tiltak blir sette i verk. Med grunnlag i konsekvensvurderingane skal dei behandlingsansvarlege gjennomføre risikoreduserande tiltak. Som ledd i dette arbeidet kan dei søke råd hos Datatilsynet i samsvar med reglane om førehandsdrøftingar i forordninga. Dei som behandlar personopplysningar, må på dette viset sjølve ta mykje større ansvar for at dei behandlar opplysningar i samsvar med reglane. Det finst likevel ei opning i forordninga for å fastsette nasjonale reglar om konsesjonsplikt i særskilte døme. Regjeringa vil vurdere om det er nødvendig med slike reglar for å sikre personvernet.

Forordninga inneheld ei rekke reglar som gir statane eit nasjonalt handlingsrom. I arbeidet med gjennomføring av forordninga vurderer regjeringa korleis dette handlingsrommet kan nyttast best mogleg for norske innbyggarar og verksemder. Det kan derfor bli aktuelt å vidareføre nokre av dei norske særreglane om behandling av personopplysningar, til dømes i arbeidslivet ved forsking og vitskaplege formål.

Regjeringa arbeider med gjennomføring av forordning 2016/679 i norsk rett. Direktiv 2016/680 om behandling av personopplysningar i justissektoren er allereie foreslått gjennomført i norsk rett gjennom endringar i politiregisterlova, sjå Prop. 99 L (2016–2017).

Endringar i personopplysningsforskrifta

I meldingsåret blei det, som ledd i regjeringa sitt tidstjuvprosjekt, fastsett fleire endringar i reglane om melde- og konsesjonsplikt i personopplysningsforskrifta. Det blei gjort fire nye unntak frå meldeplikta og fem unntak frå både melde- og konsesjonsplikta ved behandling av personopplysningar. Dei nye unntaka fjernar tidstjuvar for både Datatilsynet og verksemder som behandlar personopplysningar. Sjå omtale i meldinga pkt. 1.1.2. Regelendringane tok til å gjelde 1. januar 2017.

Overføring av personopplysningar til tredjeland

I meldinga blir det peikt på at ei viktig personvernhending i 2016 var avtalen mellom USA og EU om overføring av personopplysningar – den såkalla EU-US Privacy Shield-avtalen. Avtalen forenklar overføring av personopplysningar til USA og erstattar den tidlegare Safe Harbor-avtalen, som blei kjent ugyldig av EU-domstolen i 2015.

Privacy Shield-avtalen skal sikre tilstrekkeleg vern av personopplysningar som blir overførte mellom EU-/EØS-landa og USA. På same måten som Safe Harbor er Privacy Shield ei sjølvdeklarasjonsordning, der amerikanske selskap frivillig kan forplikte seg til å behandle personopplysningar med ein større grad av tryggleik og kontroll enn kva amerikansk lovverk elles legg opp til.

Slike reglar finst òg i den nye personvernforordninga. Etter reglar i EØS-avtalen gjeld avgjerder frå kommisjonen om vernenivået i tredjeland frå same tidspunkt for Noreg som for EU-landa. Privacy Shield-avtalen tok dermed til å gjelde i juli 2016.

Tele 2-dommen

I meldinga blir det peikt på at ei anna viktig hending i meldingsåret var den såkalla Tele 2-dommen frå EU-domstolen. Dommen konkluderte med at datalagringslovene i Sverige og Storbritannia ikkje var i tråd med retten til privatliv. Av dommen går det fram at det ikkje er i tråd med menneskerettane å masselagre data utan ei vurdering av behovet og av om lagringa er formålstenleg. Det må også gjerast ei avgrensing av kva opplysningane skal nyttast til. Dommen legg viktige premissar for datalagring og overvaking. Desse premissane vil vere sentrale for det vidare personvernarbeidet til departementet, særleg i justissektoren.

Barn og unge

Det blir i meldinga peikt på at auka bruk av sosiale medium med deling av bilde og informasjon om barn kan svekke personvernet deira. Vaksne har eit særskilt ansvar for å ta vare på personvernet til barn. Mindre barn har ikkje i same grad som vaksne moglegheit til å samtykke til slik deling, eller til å sjå konsekvensane av å gi samtykke. Det er derfor viktig med rettleiing av både barna og dei vaksne som har ansvaret for dei, slik at kunnskapen om personvern er best mogleg. Departementet meiner det kan vere behov for eit meir målretta arbeid mot foreldra for å styrke personvernet til barn.

Opplæringssektoren må derfor kjenne til regelverket og ha gode rutinar for behandling av personopplysningar og bruk av digitale medium. Datatilsynet har i meldingsåret følgt opp tidlegare arbeid med personvern for barn og unge. Saman med Utdanningsdirektoratet og Senter for IKT i utdanningen har Datatilsynet arbeidd med ei koordinering av eksisterande rettleiingsmateriale for eit godt personvern i opplæringssektoren. Prosjektet har resultert i nettressursen www.personvernskolen.no. Tilsynet har vidare halde fram samarbeidsprosjektet «Du bestemmer». Departementet er oppteke av at barn og unge blir sikra eit godt personvern, og støttar Datatilsynet sitt arbeid for god kunnskap om personvern og nettvett blant barn og unge.

I det pågåande arbeidet med å gjennomføre EU si personvernforordning blir det òg retta merksemd mot retten barn har til personvern. Forordninga har fleire artiklar som skal sikre eit særskilt vern av personopplysningar om barn.

Kommersialisering av personopplysningar og personifisering av tenester

Det blir i meldinga vist til at ein stadig større del av liva våre finn stad digitalt. Heile tida legg vi att små elektroniske spor om kvar vi har vore, når vi var der, kven vi var saman med og kva vi gjorde. Som Datatilsynet skriv i årsmeldinga si, er innsamling og analyse av forbrukardata viktig for å utvikle personifiserte tenester og løysingar basert på kunstig intelligens. Personopplysningar har blitt ei raskt veksande handelsvare. Ei rekke selskap spesialiserer seg på å selje profilar baserte på innsamla personopplysningar til annonsørar og andre som ønsker å målrette marknadsføring og tilbod. Det er ei utfordring at mykje av innsamlinga av personopplysningar skjer i det skjulte, utan at vi har kjennskap til det, og i mange tilfelle òg utan at vi har samtykt. Mangelen på forståeleg informasjon gjer det vanskeleg å sette seg inn i kva som skjer, og å ta gode og bevisste personvernval. Brukaravtalene er ofte lange og detaljerte, og vilkåra er uklare. Konsekvensen er at forbrukarane gir sitt samtykke utan å vite kva dei seier ja til. Regjeringa er oppteken av å styrke personvernet til forbrukarar som bruker digitale tenester. For at råderetten skal vere reell, må den enkelte kunne seie nei til deling av personopplysningar og likevel få tilgang til digitale tenester.

Departementet synest det er positivt at bransjen sjølv i aukande grad tar initiativ til å utvikle meir personvernvenlege løysingar som er transparente og lar forbrukarane rå over eigne personopplysningar. Dette finn vi òg att i EU si nye personvernforordning, som legg opp til bruk av merkeordningar for godt personvern. Det er mykje som tyder på at godt person- og forbrukarvern i stadig større grad vil bli eit konkurransefortrinn.

Merknader frå Kommunal- og moderniseringsdepartementet til Datatilsynet si årsmelding

Det blir i meldinga vist til at Datatilsynet i 2016 har vore ein aktiv bidragsytar i samfunnsdebatten, og tilsynet har medverka til god kunnskap om personvern generelt, og særleg om EU si personvernforordning. Datatilsynet har òg halde fram arbeidet sitt i sentrale EU-organ og vore ein aktiv deltakar på ei rekke andre nordiske og internasjonale samarbeidsarenaer.

Datatilsynet har i 2016 særleg arbeidd med personvern innanfor følgjande område:

  • Justissektoren

  • Digitalisering i offentleg sektor

  • Helse og velferd

  • Barn, skule og utdanning

I tillegg har Datatilsynet brukt mykje tid på å førebu både seg og andre på gjennomføringa av EU si personvernforordning i norsk rett.

Justissektoren

Det blir i stortingsmeldinga vist til at Datatilsynet i årsmeldinga si har omtalt fleire av dei tiltaka dei har arbeidd med på justisområdet i 2016. Fleire store saker om endringar i regelverk i justissektoren var på høyring i løpet av 2016. Datatilsynet har rolla som «vaktbikkje» når saker som rører ved personvernet til innbyggarane kjem på høyring. Dei peiker i slike saker på utfordringar og korleis dei kan handterast best mogleg i dei ulike sakene. I meldingsåret peikte tilsynet mellom anna på utfordringar med informasjonstryggleiken i advokatbransjen, gjenbruk av personopplysningar i politiet og etterretningstenesta, tilgang for politiet til registra hos utlendingsmyndigheita, og utgreiinga i NOU 2015: 13 Digital sårbarhet – sikkert samfunn.

Politiet og etterretninga sin tilgang til personopplysningar er eit tilbakevendande tema som reiser ei rekke utfordringar for personvernet. I mange samanhengar er det snakk om gjenbruk av opplysningar samla inn for eitt formål til eit anna. Dette var mellom anna tilfellet i saka om utlevering av opplysningar frå PST til E-tenesta. Det er krevjande å finne ein god balanse mellom det som er nødvendig for å ta vare på tryggleiken i samfunnet, og det som er nødvendig av omsyn til personvernet til den enkelte. Nokre gongar må derfor ønska frå den enkelte vike for trongen fellesskapet har for å verne seg mot åtak. For demokratiet er det likevel viktig at vi har opne og gode diskusjonar om kvar grensene skal gå og kva vi tillèt at politiet får tilgang til. Som Datatilsynet peiker på i årsmeldinga si, vil vi i tida framover få fleire slike diskusjonar, mellom anna om digitalt grenseforsvar.

Departementet meiner at Datatilsynet er ein svært viktig bidragsytar i slike diskusjonar.

Digitalisering i offentleg sektor

Digitalisering er eit felles omgrep for overgangen frå analoge, mekaniske og papirbaserte løysingar, prosessar og system, til elektroniske og digitale løysingar. For at digitaliseringa skal bli vellykka, må innbyggarane ha tillit til dei digitale tenestene som det offentlege tilbyr. Innbyggarane må stole på at informasjon dei gir frå seg, blir behandla i samsvar med lover og reglar som bygger på anerkjende personvernprinsipp. Dei må oppleve tryggleik for at opplysningar ikkje blir brukte til andre formål enn innsamlingsformålet utan særskilt heimel, og dei må vere trygge på at det ikkje blir samla inn og behandla fleire opplysningar enn det faktisk er bruk for i den offentlege myndigheitsutøvinga. Innebygd personvern er eit viktig tiltak for å sikre slik tillit. Temaet er omtalt i Meld. St. 27 Digital agenda for Norge. IKT for en enklere hverdag og økt produktivitet, som regjeringa la fram i april 2016. Meldinga gjer det tydeleg at teknologi og personvern ikkje treng å vere motsetningar. Departementet meiner innebygd personvern skal vere eit mål i alle sektorar, og førande i det pågåande arbeidet med å fornye, forenkle og forbetre offentleg sektor.

Det blir i meldinga vist til at arbeidet med å digitalisere offentlege tenester i Noreg har vore vellykka på mange område. Statlege verksemder og kommunar tilbyr stadig fleire digitale tenester, og bruken av tenestene aukar betydeleg. Samstundes peiker Datatilsynet på at enkelte offentlege verksemder framleis har ein veg å gå før ein kan seie at dei har utarbeidd gode nok system og rutinar for behandling av personopplysningar.

I meldingsåret gjennomførte Datatilsynet kontrollar med 15 kommunar. Sjølv om det var store variasjonar mellom kommunane, fann tilsynet, som i føregåande år, at det var eit gjennomgåande problem at mange norske kommunar ikkje har tilfredsstillande rutinar for å oppfylle pliktene i personopplysningslova. Departementet merkar seg utfordringane Datatilsynet peiker på, og vil halde fram med å støtte innsatsen til Datatilsynet for eit betre personvern i norske kommunar. Kommunane må også sjølve ta ansvar og gjere den viktige jobben med å etablere betre system og rutinar for behandling av personopplysningar.

Datatilsynet meiner å kunne sjå at kommunar som har personvernombod, gjennomgåande både tek betre vare på personvernet og overheld pliktene i personopplysningslova betre enn andre. Ordninga med personvernombod blir ført vidare, og blir jamvel utvida, i EU si nye personvernforordning. Ordninga blir mellom anna obligatorisk for offentlege verksemder og for verksemder som behandlar sensitive personopplysningar i stor skala. Departementet er positive til den komande utvidinga av personvernombodsordninga og vil arbeide for å fremme gode personvernløysingar og -rutinar i offentleg sektor.

Helse og velferd

Datatilsynet har i meldingsåret vore svært engasjert i spørsmål om personvern, helse og velferd. Dei har gjennomført fleire tilsyn, hatt dialog og møte med ulike aktørar og gitt utstrakt råd og rettleiing. Datatilsynet har òg gitt fleire høyringsfråsegner. Tilsynet har mellom anna vore kritisk til enkelte sider av forslaget om endringar i kjernejournal- og reseptformidlarforskrifta. I årsmeldinga si peiker Datatilsynet på at det er ein veldig positiv personverntrend innan helsetenesta at innbyggarane, med dei nye innbyggartenestene, i størst mogleg grad sjølv skal kunne bestemme over sine eigne personopplysningar. Departementet meiner at dette er ei styrking av den enkelte sin rett til personvern, men er samstundes einig med Datatilsynet i at det er visse utfordringar knytte til kravet om stadig større bevisstheit og kunnskap hos den enkelte. Ei anna aktuell utfordring som Datatilsynet trekker fram, er den manglande sikringa mot snoking i spesialisthelsetenesta. Datatilsynet tok seinhausten 2016 kontakt med spesialisthelsesektoren for å avklare status på ulike nasjonale tiltak. Statusen for loggarbeidet var framleis uavklart ved utgangen av meldingsåret, og Datatilsynet merkar at området krev vidare oppfølging. Departementet er einige med Datatilsynet i at det er viktig å sjå til at det blir utvikla tilfredsstillande system for logganalyse i spesialisthelsetenesta, slik at pasientane blir verna mot unødvendig og utilsikta spreiing av pasientopplysningane sine.

Internasjonalt arbeid

Det blir i meldinga peikt på at Datatilsynet i meldingsåret på ein god måte har evna å prioritere deltaking i det europeiske personvernsamarbeidet.

Dei europeiske datatilsyna møter kvarandre fleire gonger i året i WP 29, som er eit samarbeidsforum oppretta med grunnlag i det gjeldande personverndirektivet, direktiv 95/46/EC. Det norske Datatilsynet har møte- og talerett i WP 29. Dei deltek aktivt i fleire av undergruppene som er etablerte av WP 29. Fordi Noreg skal gjennomføre EU sitt personverndirektiv på same måten som EU-landa, er samarbeid om tolking og bruk av regelverket viktig. Deltaking i WP 29-arbeidet gir Datatilsynet viktig informasjon om prosessane internt i EU, slik at dei lettare kan førebu den nasjonale gjennomføringa av regelverket.

I tillegg til det formaliserte personvernsamarbeidet i EU deltar Datatilsynet i fleire andre internasjonale samarbeidsforum. Datatilsynet publiserer jamleg rapportar på engelsk. Desse blir lagt merke til og blir diskuterte i ulike internasjonale fora. Departementet er tilfreds med den aktive rolla Datatilsynet har tatt i det internasjonale personvernarbeidet generelt og i det europeiske samarbeidet spesielt.

Merknader frå Kommunal- og moderniseringsdepartementet til Personvernnemnda si årsmelding

Personvernnemnda er klageorgan for vedtak fatta av Datatilsynet. Saksmengda har vore noko høgare samanlikna med tidlegare år, og nemnda peiker i meldinga si på at fleire av sakene har vore prinsipielle. Totalt behandla nemnda 27 saker i 2016. Departementet har merka seg at nemnda har jobba godt med å halde talet på restansar nede, slik at det låg få saker att då den nye nemnda starta arbeidet sitt i januar 2017.

Sakene som blei behandla i 2016, gjaldt mellom anna overvaking i arbeidstilhøve, spørsmål om innsyn i opplysningar og internkontroll. Eit tema som har gått igjen frå tidlegare år, er bruken av loggdata. Ilegging av gebyr for brot på personopplysningslova har vore særleg aktuelt i 2016, og i fleire av desse sakene endra nemnda lovbrotsgebyret som Datatilsynet hadde fatta vedtak om. Nemnda behandla i meldingsåret fleire saker om innsyn i og tilgang til opplysningar. Spørsmålet har vore aktuelt i fleire saker om innsyn for arbeidsgivar i opplysningar om dei tilsette. Innsyn i og bruk av opplysningar frå e-postkassa til den tilsette og frå elektroniske køyrebøker er aktuelle og tilbakevendande problemstillingar. Også ønske frå føresette om innsyn i skulen sin aktivitetslogg knytt til skulebarna sin bruk av datasystema ved skulen har vore oppe til behandling i meldingsåret. Departementet merkar seg at ønske om å bruke opplysningar innsamla for eitt formål til andre og nye formål, er aukande.

Nemnda peiker i meldinga si på at personvernspørsmål må sjåast i samanheng med andre rettsområde. Dei peiker særleg på forvaltningslova. Departementet meiner det er viktig at nemnda har god forvaltningskompetanse, slik at sakene blir behandla på ein god måte.

Personvernnemnda blir utnemnd av Stortinget (leiar og nestleiar) og Kongen (dei fem andre medlemmene) for fire år, med høve til utnemning for fire nye år. 2016 utgjorde såleis det siste arbeidsåret for nemnda med den dåverande samansettinga. Den nye nemnda blei utnemnd i løpet av 2016 og tok fatt på arbeidet sitt 1. januar 2017.

Administrasjon og ressursar

Budsjettet og rammevilkåra til Datatilsynet

Det går fram i meldinga at Datatilsynet i 2016 hadde ei budsjettramme på 45 587 000 kroner, ein auke på om lag 5,5 mill. kroner frå 2015. Når ein legg til overføringar frå 2015 og tilleggsløyvingar, hadde Datatilsynet 48 084 000 kroner til disposisjon i 2016. Av tilsynet sine utgifter utgjorde 70,9 pst. utgifter til lønn og 29,1 pst. utgifter til drift. Datatilsynet hadde i meldingsåret 40 faste stillingar. I tillegg har tilsynet blitt styrkt med sju mellombelse årsverk. Bjørn Erik Thon har leia tilsynet. Åremålet blei fornya for seks nye år i august 2016. I tilsynet sett under eitt var det ei relativt jamn kjønnsfordeling, med 57 pst. kvinner og 43 pst. menn.

Datatilsynet gjennomførte totalt 85 tilsyn i meldingsåret. Dette er ein auke frå året før. Auken kjem mellom anna av ei stor mengd brevlege tilsyn særleg i helsesektoren og tilsyn knytte til internkontroll i offentlege etatar. I 2016 blei det registrert 1 745 nye saker i Datatilsynet, noko som er ein stor auke samanlikna med året før. Datatilsynet forklarer auken med fleire saker knytte til overføring av personopplysningar til USA og avgjerda frå EU-domstolen i oktober 2015 om oppheving av Safe Harbor-ordninga. I meldingsåret fatta Datatilsynet 564 vedtak, noko som er ein liten nedgang frå året før. Departementet merkar seg at samstundes med at talet på innkomne saker er gått opp, er talet på vedtak gått ned. Departementet meiner Datatilsynet arbeider godt innanfor dei fastsette rammene. Dei har forvalta dei tildelte ressursane på ein god måte i meldingsåret. Departementet meiner at tilsynet sitt breie internasjonale arbeid har positiv effekt på dei oppgåvene tilsynet skal løyse.

Budsjettet og rammevilkåra til Personvernnemnda

Personvernnemnda hadde i 2016 ei budsjettramme på 1 887 000 kroner og har i meldingsåret brukt 1 502 974 kroner. Personvernnemnda har hatt elleve møte i meldingsåret. Saksmengda i rapporteringsperioden har vore noko høgare enn i tidlegare år. Gjennomsnittleg saksbehandlingstid har vore fire–fem månader. Personvernnemnda hadde fire uferdige saker ved utgangen av 2016.

Departementet vurderer at Personvernnemnda har brukt løyvinga si på ein god måte og gjennomført oppgåvene sine tilfredsstillande i 2016.

Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Masud Gharahkhani, Kjell-Idar Juvik, Stein Erik Lauvås og Siri Gåsemyr Staalesen, fra Høyre, Norunn Tveiten Benestad, Kristin Ørmen Johnsen, Mari Holm Lønseth og Ove Trellevik, fra Fremskrittspartiet, Jon Engen-Helgheim og Kari Kjønaas Kjos, fra Senterpartiet, Kari Anne Bøkestad Andreassen og Heidi Greni, fra Sosialistisk Venstreparti, lederen Karin Andersen, og fra Kristelig Folkeparti, Torhild Bransdal, understreker at personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Dette er retten til privatlivets fred.

Komiteen viser til at alle mennesker har en ukrenkelig egenverdi. Enkeltmennesker har rett på en privat sfære som man selv kontrollerer, hvor den enkelte kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker.

Komiteen minner om prinsippet som er forankret i Den europeiske menneskerettskonvensjon artikkel 8, hvor det fremgår:

«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.»

Datatilsynet ble etablert 1. januar 1980 og er et uavhengig forvaltningsorgan administrativt underlagt Kommunal- og moderniseringsdepartementet. Datatilsynet skal bidra til at personvernregelverket etterleves, og skal fremme personvern som en sentral verdi i samfunnet. Komiteen viser til at Datatilsynet har fem ulike virkemidler til disposisjon for å verne om enkeltindividets personvern. Disse fem virkemidlene er saksbehandling, tilsynsvirksomhet, kommunikasjon og veiledning, organisatoriske virkemidler som deltakelse i råd og utvalg, samt forsknings-, utviklings- og utredningsarbeid.

Komiteen mener Datatilsynets og Personvernnemdas årsmeldinger for 2016 gir en god oversikt over virksomheten, tilsynsvirksomhet, prioriteringer og aktuelle temaer knyttet til personvern.

Komiteen viser til Datatilsynets fire hovedmål i 2016 for best mulig å ivareta folks personvern: For det første at virksomheter og borgere kjenner og anvender personregelverket. For det andre at innebygd personvern blir ivaretatt i utviklingen av nytt regelverk og nye tekniske løsninger. For det tredje å sikre god kjennskap til rettigheter og plikter i EUs personvernforordning. For det fjerde at Datatilsynet er ombud for personvern nasjonalt og et effektivt talerør for personvern internasjonalt.

Komiteen viser til at Datatilsynet i 2016 særlig har arbeidet med personvern innenfor følgende områder: justissektoren, digitalisering i offentlig sektor, helse og velferd samt barn, skole og utdanning. Komiteen er positiv til at det arbeides langsiktig med disse utfordringene.

Komiteen peker på at kommunene i stor utstrekning har personopplysninger om folk. Det er viktig at kommunene håndterer opplysninger i henhold til det til enhver tid gjeldende regelverk. Komiteen viser til at Datatilsynet har initiert et samarbeid med KS for å finne andre arenaer og andre virkemidler som kan benyttes for å øke bevissthet rundt personvern og etterlevelse av personopplysningsloven i kommunal sektor. Komiteen registrerer at dette arbeidet ser ut til å ha vært lite prioritert i 2016, men at Datatilsynet peker på at arbeidet skulle få bedre fart og struktur i 2017. Komiteen understreker at det er viktig med bevisstgjøring av personvernregelverk i kommunesektoren.

Komiteen viser til at den teknologiske utviklingen medfører at personvernet settes under ytterligere press. Det offentliges ansvar for å ivareta individets personvern blir derfor stadig viktigere. Datatilsynet og Personvernnemnda er sentrale aktører i dette arbeidet. Komiteen viser til at de fremlagte årsmeldingene viser at det er nedlagt en betydelig innsats knyttet til bevisstgjøring, og at Datatilsynet ivaretar sin ombudsrolle på en god måte. Komiteen peker blant annet på Datatilsynets virksomhet med å holde foredrag og veilede personer og virksomheter.

Komiteen viser til at mange populære gratistjenester på internett samler inn personopplysninger, som er en verdifull vare for annonsører og tredjeparter. Komiteen viser til at personer avgir, bevisst eller ubevisst, store mengder data ved bruk av internett, og at brukere av gratistjenester fort kan ende opp med å bli det reelle produktet. Samtidig som dette gjør at brukerne får tilpassede tjenester på internett, medfører dette også at det legges igjen spor som kan benyttes av tredjeparter.

Komiteen mener at mange ikke er bevisste på hva slags spor de legger igjen, og at de gir fra seg personopplysninger og eiendomsretten til disse, mot tilpassede tjenester på internett. Komiteen mener det er behov for bevisstgjøring blant folk om at våre personopplysninger kan være et betalingsmiddel. Datatilsynet har en viktig rolle med å bidra til slik bevisstgjøring. Videre peker komiteen på at Datatilsynet har en viktig rolle som portvokter overfor både private og offentlige aktører som i noen tilfeller vil ønske tilgang til ytterligere data av forskjellige årsaker. Komiteen imøteser at Datatilsynet tar denne rollen gjennom blant annet uttalelser, høringssvar og tilsyn.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre. Fremskrittspartiet og Sosialistisk Venstreparti, peker på at EUs personvernforordning trer i kraft i mai 2018. Flertallet mener det er bra at det kommer et nytt, modernisert personvernregelverk.

Komiteens medlemmer fra Senterpartiet, Sosialistisk Venstreparti og Kristelig Folkeparti viser til at Justisdepartementet har hatt på høring forslag til ny personopplysningslov, som skal gjennomføre EUs personvernforordning. I departementets høringsnotat heter det bl.a.: «Departementet foreslår å presisere at spesiallovgivningen må vike hvis den er i strid med forordningen.» Disse medlemmer er kritiske til at forordningen inntas direkte i norsk lov, og mener Stortingets behandling av ny personopplysningslov må ha som utgangspunkt å forsterke, ikke svekke, den nasjonale lovgivningen. Det er bl.a. ikke tilfelle når det i høringsnotatet til ny personopplysningslov er foreslått å ikke videreføre systemet med meldeplikt til tilsynsmyndighetene ved behandling av personopplysninger. Dette vil åpne for større grad av overvåking i arbeidslivet uten myndighetskontroll.

Disse medlemmer viser til at Datatilsynet mener EU-domstolens avgjørelse gjennom den såkalte Tele 2-dommen er en av årets viktigste hendelser på deres saksområde. Domstolen fastslo at de svenske og britiske datalagringslovene var i strid med menneskerettighetene. Datatilsynet mener dette vil måtte få konsekvenser for det digitale grenseforsvaret (DGF) som Lysne II-utvalget har lansert, og som har vært på høring. Departementet sier i sin kommentar at Tele 2-dommen legger viktige premisser for datalagring og overvåking som vil være sentrale for det videre personvernarbeidet, særlig i justissektoren.

Komiteen viser til at bevilgningene til Datatilsynet økes med 3,5 mill. kroner for å dekke Datatilsynets økte kostnader ved gjennomføringen av nytt personvernregelverk i Prop. 1 S (2017–2018). Komiteen peker på at norske virksomheter og offentlig sektor trenger veiledning for å tilpasse seg de nye bestemmelsene som følge av ikrafttredelse av personvernforordningen. Komiteen ser positivt på Datatilsynets funn om at det er vilje til å følge regelverket i offentlig og privat sektor. Samtidig understreker komiteen at Datatilsynet spiller en viktig rolle i å sette offentlig og privat sektor i stand til å følge regelverket, samt i bevisstgjøring knyttet til regelverket. Komiteen er positiv til at Datatilsynet vil prioritere dette arbeidet.

Komiteen vil peke på de store utfordringene personvernet har og vil få i en stadig mer digitalisert hverdag for innbyggerne.

Ikke minst ser komiteen at skal man bruke digitale verktøy, er det ofte lange og kompliserte brukeravtaler som må godkjennes, og hvor det også kan være en utfordring å forstå rekkevidden av hvilke personopplysninger man faktisk godkjenner brukt og til hva.

Komiteen mener at Datatilsynet og Personvernnemnda er viktige verktøy for å informere og overvåke utviklingen i et stadig mer digitalisert samfunn, og komiteen vil påpeke viktigheten av at Datatilsynet og Personvernnemda er i stand til å foreta nødvendige kontroller samt å følge opp de klagesakene som kommer inn.

Komiteen mener det er vesentlig at den enkelte innbygger har tilgang på informasjon om hvilke instanser som utveksler datainformasjon om en selv, og hva som er formålet med dette. I tillegg skal innbyggerne føle trygghet og være sikre på at personopplysninger som blir samlet inn, enten det er av offentlige eller private aktører, ikke misbrukes eller kommer på avveie.

Komiteens tilråding

Tilrådingen fremmes av en samlet komité.

Komiteen har ellers ingen merknader, viser til meldingen og rår Stortinget til å fremme følgende

vedtak:

Meld. St. 43 (2016–2017) – Årsmeldingane til Datatilsynet og Personvernnemnda for 2016 – vedlegges protokollen.

Oslo, i kommunal- og forvaltningskomiteen, den 6. mars 2018

Karin Andersen

Mari Holm Lønseth

leder

ordfører