1 Kommunal- og moderniseringsdepartementets innledning
Datatilsynets og Personvernnemndas årsmeldinger for 2017 gir en status for personvernarbeidet i meldingsåret, i tillegg til et blikk inn i fremtiden og utfordringer i tiden som kommer. Meldingene viser med all tydelighet at personvern er blitt et tema som berører oss alle og som stadig flere blir oppmerksomme på.
De siste årene har det vært betydelig oppmerksomhet om nye personvernregler som har vært under utarbeidelse både i EU og i Norge. EUs generelle forordning om vern av personopplysninger trådte i kraft i EUs medlemsland 25. mai 2018. Forordningen er EØS-relevant og gjennomføres i norsk rett. Justis- og beredskapsdepartementet sendte forslag til ny personopplysningslov på høring sommeren 2017, og personvernforordningen ble gjennomført i norsk rett ved Stortingets vedtakelse av ny personopplysningslov 28. mai 2018.
Meldingsåret har naturlig nok vært sterkt preget av arbeidet med det nye personvernregelverket. Både offentlige og private virksomheter har forberedt seg på å etterleve et regelverk som er betydelig mer detaljert enn personopplysningsloven fra 2000. Noe av årsaken til den økte oppmerksomheten om personvernspørsmål er trolig de strenge sanksjonene forordningen oppstiller for overtredelse av de nye reglene. For Datatilsynet har nytt regelverk medført høy etterspørsel etter foredrag og veiledning, en etterspørsel som har vært svært ressurskrevende for virksomheten å imøtekomme. I tillegg til å tilby betydelig ekstern veiledning, har tilsynet arbeidet gjennom hele året for å forberede egen organisasjon på en ny arbeidsform og endrede oppgaver.
Samfunnet blir stadig mer avhengig av informasjon, herunder personopplysninger. Dataanalyse er grunnlaget for en rekke viktige tjenester. For å sikre at opplysninger behandles på en trygg og god måte, og at den enkelte i størst mulig grad får råde over egne opplysninger, er det viktig at det gjøres gode konsekvensutredninger når det vurderes å sette i gang behandlinger av personopplysninger. Hver for seg kan tiltakene fremstå lite personverninngripende, og for den enkelte kan de være nesten umerkelige. Samlet sett, og over tid, kan likevel inngrepet i den enkeltes personvern bli betydelig. Derfor er det viktig å se ulike personverninngripende tiltak i sammenheng, og vurdere personvernkonsekvenser og utvikling over tid.
Den teknologiske utviklingen skjer i et høyt tempo. Dette kan være en utfordring for den enkeltes personvern, for eksempel gjennom utstrakt kartlegging av bevegelser, handlemønster, personlige egenskaper og preferanser. Teknologien gir uante muligheter for innsamling og analyse av informasjon. Det er viktig at vi har en åpen og god debatt om hvilke teknologiske muligheter vi skal benytte oss av. Samtidig er det viktig å se at teknologien også åpner nye muligheter for å ivareta personvernhensyn. Innebygd personvern er en måte å bruke teknologien til å ivareta personvernet. Datatilsynet har fokusert på innebygd personvern i flere år. Innebygd personvern og personvern som standardinnstilling er nå nedfelt som krav i personvernforordningen, og det har vært mye oppmerksomhet om temaet i meldingsåret. Kort sagt dreier det seg om å bruke de mulighetene teknologien gir til å ivareta personvernet, og å designe nye løsninger slik at forhåndsinnstillingene er så personvernvennlige som mulig, og hjelper de registrerte til å ta gode personvernvalg. Det er viktig at hver og en av oss settes i stand til å ivareta eget personvern best mulig.
1.1 Presset mot personvernet
Vi lever i et samfunn i stadig og rask utvikling. Nye muligheter, men også nye utfordringer og trusler, dukker jevnlig opp. Endringene er i stor grad basert på de mulighetene som ligger i den teknologiske utviklingen. Stadig flere tjenester digitaliseres. Dette er effektivt fordi digitale tjenester ofte er billigere enn manuelle. Det er også i mange sammenhenger praktisk for brukeren, fordi tjenestene er tilgjengelige når det passer brukeren, der brukeren er. Ikke sjelden er også digitale tjenester sikrere enn manuelle tjenester. For eksempel kan det å levere et skjema i en søknadsportal med sikker innlogging, være tryggere enn å sende et papirskjema i posten eller levere det i en betjent skranke.
Svært mange av våre daglige gjøremål etterlater elektroniske spor. I de fleste hjem er det nå installert smarte, digitale strømmålere som med korte tidsintervaller rapporterer strømforbruket. Tanken er at dette skal gi bedre kontroll med strømforbruket og derigjennom riktigere strømregninger basert på strømpris da forbruket faktisk fant sted. Det gir samtidig strømleverandøren svært detaljert informasjon om aktivitetene i husstanden. Informasjonen kan analyseres i detalj, og kan gi et bilde av om personene i husstanden vasker klær, lader el-bilen, ser TV, sover eller er bortreist. Dette er informasjon de færreste ønsker spredt, og heller ikke ønsker brukt til andre formål enn som grunnlag for strømregningen. Samtidig kan analyse av forbruksmønsteret danne grunnlag for informasjon til brukeren som kan få denne til å endre forbruksmønster og derigjennom senke strømkostnadene. Dette vil de fleste være interesserte i.
Vil du lese en digital avis i «fullversjon» forutsettes det at du er abonnent. Som innlogget abonnent lagres alle klikk du gjør både når du leser avisen, og når du blar deg ut og inn av avisen via lenker. Dette gir mediehusene detaljert informasjon om lesernes interesser og preferanser. Det gir også mulighet for inngripende analyser og antakelser om den enkelte, analyser som kan gi resultater den enkelte selv ville bli ganske overrasket over. Slike analyser kan også brukes til å manipulere oss.
Det har vært antydet at dataanalyse, særlig basert på brukernes Facebook-profiler, ble brukt til å påvirke både Brexit-avstemningen i Storbritannia og valget i USA i 2016. Analyser av brukernes eget, og deres kontakters, bruksmønster benyttes som grunnlag for plassering av annonser og promotering av redaksjonelt innhold. Slik kan vi påvirkes og manipuleres i den ene eller andre retningen ved hjelp av avanserte dataanalyser de færreste av oss forstår. Bruken av personopplysninger kan på denne måten få store konsekvenser både for den enkelte og for samfunnet.
På den annen side åpner avansert dataanalyse for utvikling av tjenester som ikke var mulig for få år siden. Maskinlæring og kunstig intelligens er basert på analyse av enorme mengder personopplysninger. Gjennom analyse kan maskiner gjenkjenne mønstre og «lære». Dette kan hjelpe oss til å finne løsninger på krevende utfordringer for eksempel i helsesektoren og i klimaarbeidet. Likevel er det viktig å huske på at også her er innsatsfaktoren personopplysninger om enkeltpersoner. Personer som har et ønske om og en rett til å råde over egne personopplysninger.
Personopplysninger er blitt verdifullt. De fleste forstår i dag at opplysninger og elektroniske spor de gir fra seg vil bli brukt i analyse, målrettet dialog og markedsføring. Samtidig opplever relativt få det som interessant å betale for sporfrie tjenester. En undersøkelse Datatilsynet og Teknologirådet gjorde i 2016 (Personvern tilstand og trender 2016) viser at bare 20% av de spurte kan være villige til å betale for å unngå at nettbaserte tjenester analyserer personopplysninger om dem for å gi tilpasset reklame. Selv om behandling av personopplysninger oppleves som nærgående, og til tider ubehagelig, er betalingsvilligheten for å få bedre beskyttelse av egne opplysninger relativt liten. Noe av årsaken kan være at mange ikke reflekterer over, eller helt forstår, hva slags opplysninger som samles inn og hvordan de analyseres, blant annet for bruk i markedsføring. Derfor er det svært viktig at de som behandler personopplysninger er åpne og gir brukerne informasjon om hvilke opplysninger de samler inn og hva de brukes til, slik at alle i størst mulig grad kan ta egne, opplyste personvernvalg.
1.2 Nytt personvernregelverk – styrking av den enkeltes rettigheter
Et personvernregelverk som setter gode og trygge rammer for innsamling og behandling av personopplysninger både i privat og offentlig regi er en av flere viktige forutsetninger for et velfungerende demokrati. Norge har hatt et generelt personvernregelverk i mange år. Personregisterloven ble vedtatt i 1978, og var en av de første i verden i sitt slag. Den ble avløst av personopplysningsloven som ble vedtatt i 2000. Personopplysningsloven 2000 gjennomførte EUs personverndirektiv, dir. 95/46/EU, i norsk rett. Regelverket har hele tiden vært holdt teknologinøytralt, og har, trass i den store teknologiske utviklingen som har funnet sted, fungert relativt bra.
I 2012 begynte EU arbeidet med et nytt generelt regelverk om vern av personopplysninger som skulle avløse personverndirektivet fra 1995. Personvernforordningen, som trådte i kraft i EUs medlemsstater 25. mai 2018, ble gjennomført i norsk rett ved Stortingets vedtakelse av ny personopplysningslov 28. mai 2018. Et bærende hensyn i EUs arbeid med nytt personvernregelverk har vært regelverksharmonisering i hele EØS-området, slik at de næringsdrivende i EØS-området opplever at det gjelder like vilkår for behandling av personopplysninger uansett hvilken medlemsstat de opererer i. Samtidig skal de registrerte nyte godt av det samme sterke personvernet uansett i hvilken medlemsstat de kjøper varer og tjenester.
For regjeringen er det viktig at det nye personvernregelverket både vil videreføre og styrke borgernes personvernrettigheter. Det vil også bli mer åpenhet rundt bruk av personopplysninger. Når opplysninger samles inn, skal den registrerte få informasjon om dette. Når de registrerte bes om samtykke til behandling av opplysninger, skal dette skje på en klar og tydelig måte. Departementet mener det er grunnleggende at den enkelte i størst mulig grad skal råde over egne personopplysninger. Åpenhet og informasjon er helt nødvendig for at de registrerte skal kunne benytte de rettighetene personvernregelverket gir.
Prinsippet om dataminimalitet styrkes i det nye regelverket. Dette prinsippet har stått sterkt i norsk rett også etter personopplysningsloven 2000. Personopplysninger skal være adekvate, relevante og nødvendige for innsamlingsformålet. Det vil ikke være lovlig å samle inn eller lagre personopplysninger man ikke trenger. Når behovet som lå til grunn for innsamlingen faller bort, skal personopplysningene slettes.
Det nye personvernregelverket innfører også nye rettigheter, som blant annet retten til dataportabilitet. Som eier av personopplysninger om seg selv har den enkelte rett til å få disse opplysningene overført til en ny tjenesteleverandør, for eksempel ved bytte av nettbaserte musikk- eller filmtjenester. Denne retten gjør det mulig å bytte tjenesteleverandør uten å etterlate seg flere spor enn nødvendig hos den tjenestetilbyderen man forlater.
Offentlige og private virksomheter får et større ansvar for å ivareta de registrertes personvern når de samler inn og lagrer opplysninger. De behandlingsansvarlige får en utvidet plikt til selv å vurdere hvilke konsekvenser behandlingen av personopplysninger har for den enkelte. De har også ansvar for å iverksette tiltak som kan redusere risikoen behandlingen av opplysninger medfører. Ved brudd på personopplysningssikkerheten, for eksempel hvis opplysninger tilflyter uvedkommende, har de ansvarlige en plikt til å varsle både tilsynsmyndigheten og de registrerte i henhold til fastsatte frister.
Det nye regelverket skal gjøre det enklere for brukerne å velge de mest personvernvennlige alternativene og de mest personvernvennlige tjenestene. Innebygd personvern og personvern som standardinnstilling i applikasjoner og tjenester blir lovpålagt både i offentlig og privat sektor. De tekniske løsningene skal lages slik at de ivaretar personvernet. På denne måten kan godt personvern bli et konkurransefortrinn i privat sektor. For statlige virksomheter er bruk av innebygd personvern allerede lagt inn som et krav gjennom det årlige digitaliseringsrundskrivet fra Kommunal- og moderniseringsdepartementet.
Ordningen med personvernombud, som etter personopplysningsloven 2000 var en frivillig ordning, lovfestes i det nye personvernregelverket. Personvernombudet skal være et bindeledd mellom de registrerte og den behandlingsansvarlige. Alle offentlige virksomheter, alle virksomheter som behandler sensitive personopplysninger i stor skala, og virksomheter som overvåker europeiske borgere i stor skala skal ha et personvernombud. De registrerte kan henvende seg til personvernombudet med spørsmål om behandling av personopplysninger. Samtidig skal personvernombudet bistå virksomheten med å etterleve personvernreglene. Departementet har tiltro til at etablering av personvernombud i en rekke virksomheter som behandler personopplysninger vil gi bedre ivaretakelse av de registrertes rettigheter.
Samlet sett vil rettighetene og pliktene i personvernforordningen og den nye personopplysningsloven utgjøre et viktig vern i den enkeltes møte med en digital hverdag i konstant utvikling.
1.3 Personvern og forbrukerpolitikk
Digitale tjenester gir nye muligheter, men skaper også nye utfordringer for forbrukerne. I den digitale økonomien bygger forretningsmodellen ofte på kommersiell utnyttelse av personopplysninger. Før en tjeneste tas i bruk må forbrukeren gjerne samtykke til en lang rekke vilkår. Mange synes det er vanskelig å forstå disse vilkårene. Vilkårene kan være lange og tungt skrevet, ofte også på et annet språk enn norsk. Dessuten er styrkeforholdet mellom forbrukeren og tilbyder av tjenesten ofte skjevt. Mange tjenester er utformet slik at forbrukeren ikke har noe annet valg enn å aksepterer de vilkårene som gis, dersom han eller hun ønsker tjenesten. Etter hvert som digitale tjenester blir vanligere – og på noen områder helt dominerende – er et godt personvern stadig viktigere i forbrukerpolitikken.
Datatilsynet skriver i sin årsmelding at de i meldingsåret hatt et tett samarbeid med forbrukermyndighetene for å styrke forbrukernes rettigheter i den digitale økonomien. Forbrukerrådet har det siste året sett på flere såkalte smartprodukter, slik som treningsarmbånd, digitale leker, helseverktøy og klokker. Datatilsynet har fulgt opp funnene fra Forbrukerrådet, og bl.a. truffet vedtak for å sikre brukernes personvern. Departementet ønsker å understreke viktigheten av et godt samarbeid mellom Datatilsynet og forbrukermyndighetene. Samarbeidet i meldingsåret fremstår som svært fruktbart, og er en viktig brikke i å nå målet om å styrke personvernet til forbrukere som benytter digitale tjenester. Ivaretakelse av forbrukeres personvern krever koordinert innsats både nasjonalt og internasjonalt.
Personvernforordningen og den nye personopplysningsloven vil være et viktig virkemiddel for å fremme samarbeid. Forordningen innebærer like regler i hele EU/EØS-området, og styrker forbrukernes stilling, jf. pkt. 1.2 over. For forbrukerne antar departementet at særlig forordningens klargjøring av kravet til gyldig samtykke er viktig. Forordningen fastsetter at et samtykke ikke skal anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte eller trekke tilbake et samtykke uten at det er til skade for vedkommende. Dette kravet til valgfrihet og rimelighet vil være viktig for gyldigheten av vilkår som blir presentert for forbrukere. Departementet mener de nye reglene på en god måte vil bidra til at forbrukere får gjennomslag for sine rettigheter internasjonalt, og til å fremme europeiske personvernprinsipper i et globalt perspektiv.
Regjeringen er opptatt av å sikre personvernet til forbrukere. I Meld. St. 27 (2015–2016) Digital agenda for Norge. IKT for en enklere hverdag og økt produktivitet, varslet regjeringen at den vil styrke personvernet til forbrukere som benytter digitale tjenester. Forbrukernes rettigheter og personvernet i den digitale økonomien vil derfor vies særlig oppmerksomhet i stortingsmeldingen om forbrukerpolitikk som skal legges frem i 2019.
1.4 Personvern for barn og unge
Barn og unge har samme krav på privatliv og personvern som voksne. Barn er videre gitt en særskilt beskyttelse i FNs barnekonvensjon artikkel 16. I sin melding lister Datatilsynet opp åtte temaer som fikk mest medieomtale i 2017. Hele tre av disse temaene omhandler barn og unge.
Digitalisering i barnehager og skoler er godt i gang. Barnehager og skoler innhenter, lagrer og behandler stadig større mengder opplysninger om barna. Barns utvikling registreres i barnehagen. Skolene benytter digitale læringsplattformer. Barn og ungdom bruker nettbrett i skolen, leverer oppgaver digitalt og får digitale tilbakemeldinger fra lærer. Også eksamen leveres digitalt. Dette innebærer til sammen en omfattende samling av informasjon om barnet/eleven. Det er viktig at denne informasjonen behandles på en god og sikker måte. Departementet er opptatt av at barns personvern vektlegges i barnehager og på skoler. Alle barn og unge skal ha tillit til at personlig informasjon ikke kommer på avveie.
Barn og unge skal være trygge på at informasjon ikke deles uten at barnet og/eller de foresatte har samtykket. Videre har barnet, med økende alder, krav på privatliv også overfor egne foresatte. Dette innebærer at foresatte til større barn ikke nødvendigvis skal få innsyn i alle opplysninger om barnet.
Tingenes internett («Internet of things») har gjort sitt inntog også hos barna. Leker digitaliseres og gis nye og spennende funksjoner. Dette innebærer at også produsenter av leketøy må sette personvern på agendaen. Flere funn Forbrukerrådet har gjort de siste par årene har imidlertid vist at det er alvorlige brister her. Blant annet avdekket Forbrukerrådet i 2017 flere alvorlige sikkerhetsbrister i smartklokker for barn. De fant at fremmede enkelt kan ta kontroll over klokkene og bruke dem til å spore og avlytte barnet. Senere fant de også at for en av klokkene lå talebeskjeder som foreldre hadde sendt barna åpent på nett. Forbrukerrådet vurderte at feilene var så graverende at de kunne utgjøre en fare for barna. Funnene ble klaget inn til Datatilsynet, som senere fattet vedtak om stans i behandlingen av personopplysninger knyttet til klokkene. Departementet ser at det fokuset som disse sakene har satt på personvernet har virket positivt inn på bransjen. Bransjen har tatt til seg de signaler som er kommet både fra Datatilsynet og forbrukermyndighetene, og vist villighet og initiativ til å ordne opp. Det er likevel fortsatt en jobb å gjøre, og videre godt samarbeid mellom forbrukermyndigheter, Datatilsynet og bransjen er viktig for å sikre trygge leker for barna.
De nye personvernreglene inneholder også særbestemmelser som skal beskytte barn. Barn kan være særlig utsatt ved bruk av informasjonssamfunnstjenester. De har ofte ikke nødvendig kunnskap og erfaringsgrunnlag for å forstå konsekvenser av et samtykke. Den nye personopplysningsloven setter derfor en 13 års aldersgrense for at samtykke skal kunne utgjøre behandlingsgrunnlag når informasjonssamfunnstjenester tilbys direkte til et barn.
Departementet er opptatt av at barn og unges personvern må gis et særlig fokus. Regjeringen har i sin politiske plattform fastsatt at den vil sette ned en personvernkommisjon for å vurdere personvernets stilling i Norge. Stortinget har i anmodningsvedtak nr. 588 (2017–2018) anmodet om at mandatet til den varslede personvernkommisjonen inkluderer et særlig oppdrag om å vurdere status for personvernet til barn, og å komme med tiltak for å styrke dette.