1 Samandrag
Behandling og utveksling av personopplysningar er ein nødvendig føresetnad i eit moderne samfunn. Ulike teknologiske løysingar for behandling av personopplysningar legg til rette for gode, sikre og lett tilgjengelege tenester for innbyggjarane. Regjeringa ønskjer å digitalisere forvaltninga og dei tenestene forvaltninga yter til innbyggjarane, og har som mål at dette skal gi betre og meir tilgjengelege tenester. Også i privat sektor er mange tenester digitaliserte ved at kundane har tilgang til elektroniske innsynsløysingar, elektroniske skjema og så vidare. Personvern er eit av omsyna ein må leggje vekt på når ein tek i bruk teknologi i tenesteytinga. Bruk av teknologi gjer det mogleg å ta vare på personvernet på nye måtar.
Utgangspunktet for denne meldinga er rapporten Individ og integritet – personvern i det digitale samfunnet utarbeidd av Personvernkommisjonen og innteken i NOU 2009: 1. Regjeringa tek likevel ikkje sikte på å omtale alle framlegga frå Personvernkommisjonen i meldinga. Meldinga gjer greie for korleis ein kan bruke handlingsrommet i personvernregelverket til beste både for samfunnet, for innbyggjarane og for dei som behandlar personopplysningar. Dette vil leggje grunnlag for betre personvern, slik Personvernkommisjonen etterlyser.
Internasjonalt personvernregelverk, med konsekvensar for den norske personvernreguleringa, gjennomgår for tida store revisjonar. Regjeringa vil vente på desse regelendringane før ho vurderer endringar i den norske personopplysningslova. I denne meldinga blir det derfor ikkje gjort framlegg om endringar i gjeldande personopplysningslov. Meldinga gir sektorovergripande tilrådingar innanfor gjeldande personvernregelverk.
Det er viktig at Noreg følgjer den internasjonale utviklinga på personvernområdet og tek aktiv del i arbeidet der utviklings- og regelverksarbeidet skjer. Regjeringa vil arbeide for norsk deltaking i eit eventuelt nytt europeisk datatilsyn og deltaking i avgjerdsprosessane i EU-kommisjonen der dette er aktuelt. Dette blir omtala i kapittel 3.
Omsynet til personvernet må ofte vektast mot andre viktige samfunnsomsyn og interesser. Slik vekting kan vere vanskeleg og krev grundige vurderingar frå område til område og frå sak til sak. Vurderingane er viktige for at ein skal kunne ta omsyn til dei ulike interessene på best mogleg måte. I kapittel 4 blir det gjort greie for vurderingar på nokre sentrale område.
Tilrettelegging for gjenbruk av offentlege data er ein viktig del av politikken til regjeringa, og ein skal i så stor grad som råd leggje til rette for gjenbruk av offentlege informasjonsressursar. Ulike døme på gjenbruk og moglegheiter og utfordringar knytte til gjenbruken blir drøfta i kapittel 5.
Behandling av personopplysningar skal alltid ha eit behandlingsgrunnlag i samsvar med personopplysningslova. Dette blir omhandla i kapittel 6. Eit behandlingsgrunnlag kan vere ein lovheimel, eit samtykke frå den registrerte eller at behandlinga er nødvendig for eit nærmare oppgitt føremål. Forvaltninga si innsamling og bruk av personopplysningar er i hovudsak fastsett i lov eller er nødvendig for å utøve offentleg styresmakt. Informasjon om og samtykke til behandling av personopplysningar er likevel viktige personvernprinsipp. Samtykke bør òg i framtida vere det føretrekte behandlingsgrunnlaget i samanhengar der dei registrere reelt kan velje om dei vil vere registrerte. Å gi dei registrerte ein rett til å reservere seg mot behandling av personopplysningar kan vere ei god personvernløysing der personopplysningsbehandlinga er lovleg, men likevel ikkje påkravd.
Somme gonger manglar både mindreårige og vaksne samtykkekompetanse. Dette reiser særlege utfordringar. I mange samanhengar samtykkjer vaksne i behandling av personopplysningar på vegner av barn. Då skal dei alltid ta omsyn til det som er best for barnet. Dei bør òg leggje vekt på kva barnet sjølv meiner, også der barnet ikkje har sjølvstendig samtykkekompetanse.
I kapittel 7 blir det gjort greie for ulike personvernrettar og -plikter og korleis ein best kan oppfylle dei. Det er eit klårt mål at folk skal ha råderett over eigne personopplysningar og vere i stand til å ta vare på sitt eige personvern. Dei registrerte skal ha informasjon om kva opplysningar som blir nytta om dei til ulike føremål, og kjenne personvernrettane sine. Både offentlege verksemder og private behandlingsansvarlege har ansvar for at dei registrerte får den nødvendige informasjonen på ein enkel og lettfatteleg måte.
I arbeidet regjeringa gjer med digitalisering av offentleg sektor er det mogleg å finne fram til elektroniske løysingar som sikrar omsynet både til digitalisering og personvern. Når ein implementerer slike løysingar, må ein sjå til at systemet tek vare på informasjonstryggleiken på ein god måte.
Dataminimalitet er eit viktig prinsipp i personvernsamanheng. Dataminimalitet går ut på å avgrense mengda av personopplysningar så mykje som mogleg ut frå føremålet med behandlinga. Når ein greier ut ulike tiltak som har eller kan ha personvernkonsekvensar, skal prinsippet om dataminimalitet ha stor vekt. Det er eit mål å leggje til rette for bruk av sporfrie alternativ der det ikkje er nødvendig å identifisere seg.
Kapittel 8 handlar om personvern og sosiale medium. Bruken av sosiale medium har vakse enormt dei seinare åra og kan føre til store personvernutfordringar for brukarane.
Det er særleg barn og unge som er utsette for krenkingar på nett. Det er derfor viktig å vidareføre og styrkje førebyggjande arbeid gjennom informasjon og haldningsskapande verksemd overfor desse aldersgruppene.
Teknologien kan utfordre personvernet. Samstundes kan ein òg bruke teknologi til å styrkje personvernet. I kapittel 9 blir bruk av ulike teknologiar som både kan utfordre og støtte opp under etterleving av personvernregelverket drøfta.
Med innebygd personvern meiner ein som oftast bruk av teknologi for å ta vare på personvernet. Ein bør til dømes setje førehandsdefinerte standardinnstillingar i teknologisk utstyr, system og program til det mest personvernvenlege nivået. Det bør vere eit mål å gjennomføre innebygd personvern i alle sektorar.
Lagring av data i nettskya blir stadig vanlegare. Det er både rimeleg og praktisk for mange. Rettleiingar om korleis ein kan gjere nettskyavtalar tilpassa ulike sektorar, kan vere eit godt hjelpemiddel for å ta vare på ulike omsyn ved bruk av nettskya.
Eit viktig element i alt arbeid med informasjonstryggleik er styring av tilgangen til informasjon. Logging av tilgang kan vere eit middel for å kontrollere om tilgangsstyringa verkar. Regjeringa har vedteke å setje ned ei arbeidsgruppe som skal greie ut behovet for klientbasert logging i større offentlege og private register. Gruppa vil undersøkje korleis logging blir praktisert i aktuelle sektorar og register, korleis innsynsretten blir praktisert, og korleis ein bør praktisere logging og innsyn i loggar i dei ulike sektorane i framtida.
Datatilsynet er både tilsynsstyremakt og ombod for personvernet, og blir omtala i kapittel 10. Det er viktig at etaten er tydeleg på dei ulike rollene sine og kva for verkemiddel som kan takast i bruk. Den raske teknologiske utviklinga fører til krevjande og veksande oppgåver for Datatilsynet. Dei siste åra har tilsynet arbeidd mykje med strategiar og planar for å kunne møte framtidige utfordringar betre og bruke ressursane sine på ein god måte.
Personvern er eit rettsområde der både utfordringar og løysingar er internasjonale. Deltaking i internasjonalt personvernarbeid er derfor viktig. Datatilsynet prioriterer internasjonalt arbeid og har nyleg utarbeidd ein strategi for det internasjonale engasjementet sitt.
Verksemder som ønskjer å ha særskild merksemd retta mot personvern, kan tilsetje personvernombod/personvernrådgivar. Ein personvernrådgivar med klåre oppgåver og ei sterk forankring i leiinga i verksemda kan ha positiv effekt på korleis verksemda tek vare på personvernomsyna. Ordninga kan òg vere ei avlasting for Datatilsynet. I lys av EUs revisjon av personverndirektivet kan det bli aktuelt å sjå på ordninga med personvernombod/personvernrådgivarar og gi ho ei klårare forankring i personvernregelverket.