1 Innleiinga til Kommunal- og moderniseringsdepartementet
Vi lever i ei tid med rivande teknologisk utvikling. Den teknologiske utviklinga gjev i mange tilfelle betre høve til å ta vare på personvernet, mellom anna ved at ein kan bygge personvern inn i dei nye teknologiske løysingane. Samstundes gjer den teknologiske utviklinga det enklare og billegare å samle inn, lagre og stille saman store mengder informasjon om oss. For innbyggarane er det nærast umogleg å ha oversyn over alle elektroniske spor ein til ei kvar tid etterlèt seg, eller kva for høve desse gjev for kontroll av alt frå opplysningar om helse og forbrukarvaner til privatøkonomi. Det er viktig at det blir sett klåre grenser for kor mykje informasjon verksemder og styresmakter kan samle inn om innbyggarane, når teknologien ikkje lenger gjev oss desse grensene av seg sjølv.
Personvern har vore eit hyppig tema i den offentlege debatten det siste året. Mykje av debatten har handla om arbeidet i EU med den nye personvernforordninga og kva for konsekvensar forordninga får for norske verksemder og innbyggarar. Safe Harbor og overføring av personopplysningar til tredjeland er også tema som har blitt gjeve stor merksemd. At personvern har vore så mykje framme i media i meldingsåret, kan tyde på at mange oppfattar temaet som viktig. Debatten bidreg forhåpentlegvis også til auka medvit om viktigheita av å ivareta eit godt personvern i ei tid der personvernet blir utfordra frå fleire kantar.
1.1 Internasjonalt personvernarbeid
Dei siste åra har det vore arbeidd med utvikling og modernisering av personvernregelverk i mange internasjonale fora. Både OECD, Europarådet og EU har gått gjennom sine reglar med mål om å fornye. Det arbeidet som naturleg nok får dei største konsekvensane for norsk personvernrett, er revisjonen av EU sitt personvernregelverk.
EU starta opp dette arbeidet i januar 2012, då EU-kommisjonen la fram utkast til ny generell forordning om behandling av personopplysningar. Noreg har deltatt i diskusjonane i Det europeiske rådet (Rådet) si arbeidsgruppe for personvern, der utkastet blei drøfta fram til sommaren 2015. Noreg har også deltatt i arbeidsgruppa under dei såkalla trilogforhandlingane mellom EU-kommisjonen, Europaparlamentet og Det europeiske råd hausten 2015. Samstundes har det vore arbeidd med eit direktiv om behandling av personopplysningar i justissektoren. Dette direktivet er Schengen-relevant, og Noreg har også deltatt i dette arbeidet.
I desember 2015 blei det nådd politisk semje både om utkastet til ny generell personvernforordning og utkastet til direktiv om behandling av personopplysningar i justissektoren. Rådet, EU-parlamentet og EU-kommisjonen vedtok regelverka ved formelle avgjerder i april 2016. 14. april var regelverkspakka endeleg vedtatt. Noreg vil måtte gjennomføre både forordninga og direktivet i kraft av EØS-avtalen og Schengen-avtalen. Forordninga inneber at det må gjerast store endringar i norsk rett, både av den generelle personopplysningslova frå 2000, og i sektorspesifikt regelverk som inneheld reglar om behandling av personopplysningar. Det vil gjelde ein to års gjennomføringsfrist for EU-medlemslanda etter at forordninga er formelt vedtatt i EU. Same fristen vil også gjelde for Noreg om ikkje noko anna blir fastsett ved innlemming av forordninga i EØS-avtalen.
Det er fleire grunnar til at EU no har revidert personvernregelverket sitt. For det første er det gjeldande personverndirektivet, direktiv 95/46/EC, som personopplysningslova bygger på, meir enn 20 år gamalt. På desse 20 åra har det vore ei rivande teknologisk utvikling, som gjev opphav til problemstillingar som det gamle direktivet ikkje er eigna til å handtere. Samstundes har EU-kommisjonen sett at direktivet har vore gjennomført på svært ulikt vis i dei 28 medlemslanda i EU. For å legge betre til rette for konkurranse i den indre marknaden, har Kommisjonen ønska ei harmonisert gjennomføring og einsarta personvernreglar i heile EØS-området. Samstundes fastslår forordninga at dei europeiske reglane om behandling av personopplysningar også skal gjelde for verksemder som er etablerte utanfor EØS-området, men som tilbyr varer og tenester til EØS-borgarar, og for verksemder som overvaker åtferda til borgarar i EØS-området. Dette utvidar det geografiske området for regelverket jamført med gjeldande rett, og inneber at borgarane skal vere sikra det same personvernet uansett kvar tenestetilbydaren er etablert. Det kan også få innverknad på konkurransen mellom dei europeiske tenestetilbydarane og til dømes dei store amerikanske tilbydarane.
Regjeringa meiner den nye forordninga om behandling av personopplysningar er eit regelverk som gjev eit godt personvern. På mange område er forordninga ei vidareføring av gjeldande norsk regelverk og ei regelfesting av norsk praksis. På andre område vil vi få nye reglar. Dette gjeld til dømes retten til å kunne ta med seg personopplysningane sine frå ein tenestetilbydar til ein annan, og krav om samtykke frå dei føresette for behandling av opplysningar om barn som bruker tenester i informasjonssamfunnet. Dei behandlingsansvarlege får også utvida plikt til å varsle dei registrerte dersom dei behandlar personopplysningar i strid med regelverket.
Ordninga med melde- og konsesjonsplikt for behandling av personopplysningar, slik vi kjenner frå personopplysningslova, blir i hovudsak ikkje vidareført i forordninga. I staden må dei som skal behandle personopplysningar vurdere personvernkonsekvensar, identifisere truslar mot personvernet og sette i verk risikoreduserande tiltak. Berre i tilfelle der denne vurderinga viser at behandlinga vil føre til høg risiko, må dei søke godkjenning frå det nasjonale datatilsynet.
Det kjem også nye reglar om svært strenge administrative sanksjonar for brot på personvernreglane, og det kjem reglar om formalisert samarbeid mellom dei europeiske datatilsyna i saker som rører ved verksemder eller borgarar i fleire EØS-land. Det blir oppretta eit samarbeidsorgan for dei europeiske datatilsyna, European Data Protection Board (EDPB). Dette felleseuropeiske tilsynsorganet vil kunne fatte bindande vedtak i ein del enkeltsaker, og gi fråsegn om tolking av forordninga som dei nasjonale datatilsyna må legge til grunn i si saksbehandling. Det er viktig at det norske Datatilsynet får delta i dette europeiske samarbeidet, og det vil bli lagt stor vekt på å sikre så god deltaking som råd er.
Etter EØS-avtalen blir forordningar gjennomførte i norsk rett ord for ord. Innanfor ein del område opnar personvernforordninga likevel for nasjonal tilpassing og nasjonale særreglar. Regjeringa tek sikte på å utvikle eit norsk personvernregelverk som er lett tilgjengeleg for borgarane og som sikrar eit sterkt personvern. Samtidig vil handlingsrommet i EØS-retten og Schengen-reglane bli nytta for å finne løysingar som sikrar norske interesser der dette er naudsynt.
I fjor fekk vi også ei viktig avgjerd i EU-domstolen, den såkalla Safe Harbor-avgjerda. Domstolen avgjorde at EU-kommisjonen si avgjerd om Safe Harbor-ordninga frå 2000 var ugyldig. Dommen innebar at personopplysningar ikkje lenger kan overførast mellom EU/EØS-land og USA med grunnlag i Safe Harbor-avtalen. Selskap som ønsker å overføre opplysningar til USA må etter dommen basere overføringar av personopplysningar på eit anna lovleg grunnlag, noko som kan vere meir tungvint. Etter dommen har EU-kommisjonen forhandla frem eit nytt utkast til avtale med USA – det såkalla EU US Privacy Shield. Privacy Shield skal erstatte den enklare ordninga for overføring av personopplysningar, som den tidlegare Safe Harbor-avtalen ga, samtidig som personopplysningar blir betre sikra og i tråd med krava EU-domstolen sette.
1.2 Kommersiell bruk av personopplysningar
Personopplysningar og annan informasjon om forbrukarar er ei raskt veksande handelsvare, og kommersiell innsamling av personopplysningar i Noreg er aukande. Vi ser det særleg i relasjon til bruk av digitale tenester, sosiale medium og ulike applikasjonar. Selskap tener pengar på å tilby tenester som i utgangspunktet er gratis, men der brukaren i staden «betalar» med dei personopplysningane som kontinuerleg blir henta ut om til dømes kontaktar, vener, preferansar, posisjonsdata og brukarvanar. Desse opplysningane har ein betydeleg kommersiell verdi sidan dei kan seljast vidare til tredjepartar, som annonsørar. Kombinasjonen av dei enorme mengdene data som blir samla inn av kommersielle aktørar, og brukarane sitt antatt låge medvit om kva som blir registrert, og kva informasjonen blir brukt til, utfordrar personvernet.
Kjennskap til behandling av personopplysningar er ein viktig føresetnad for at brukarane skal kunne sikre sitt eige personvern. Det er til dømes umogleg å ta vare på retten til retting eller sletting av opplysningar utan at du veit om, og korleis, verksemder behandlar personopplysningane dine og kvafor opplysningar som blir registrerte. Den behandlingsansvarlege verksemda har plikt til å informere brukarane om vilkåra for behandling av personopplysningar. Likevel er det ei utfordring at desse vilkåra ofte er utilgjengelege og uklare. Til dømes inneheld ofte brukaravtalar mange juridiske og tekniske omgrep, samstundes som dei er lange, detaljerte og dårleg tilpassa forbrukarane. Problemet blir forsterka av at mange forbrukarar har gjeve opp å les dei tallause, lange brukaravtalane. Dette gjer at svært mange forbrukarar samtykker i avtalar dei faktisk ikkje har forstått og som dei ikkje ser rekkevidda av, og at dei i realiteten ikkje er informerte om kva tenestetilbydarane gjer med personopplysningane deira. Personopplysningslova set krav om at eit samtykke skal være informert for at behandling av personopplysningar skal vere tillate. Det er problematisk at ein gjev frå seg stadig fleire og meir inngripande opplysningar utan å vere seg bevisst kva for ein krets desse opplysningane blir spreidde til, og korleis dei blir nytta.
I november 2015 gav Datatilsynet ut ein rapport om korleis kommersiell bruk av personopplysningar utfordrar personvernet. Mellom anna skriv dei om kva for ein informasjon brukarane får.1 I rapporten peiker Datatilsynet på at annonse- og medieindustrien framstår som lukka, og at enkeltindivid har avgrensa moglegheit til å utøve dei grunnleggande personvernrettane sine i møte med denne bransjen. Når forbrukarane ikkje har kjennskap til kva som går føre seg, kan dei heller ikkje krevje tenester som gjev betre personvern. Datatilsynet peiker også på at annonse- og medieindustrien er prega av at det i liten grad er mogleg å seie nei til innsamling av personopplysningar dersom ein ønsker å ta imot dei aktuelle tenestene.
Kommersiell bruk av personopplysningar var tema i Meld. St. 27 Digital agenda for Norge. IKT for en enklere hverdag og økt produktivitet, som regjeringa la fram i april 2016. I meldinga gjev regjeringa mellom anna uttrykk for at offentlege styresmakter må vere tydelege på dei krava som blir stilte for å sikre personvernet til brukarane, og at det offentlege må gå føre med gode døme på korleis desse krava kan bli innfridde. Regjeringa meiner at personvernet til forbrukarar som bruker digitale tenester, må sikrast på ein betre måte, og vil arbeide for å styrke personvernet deira. For å finne gode løysingar er det naudsynt med eit samarbeid mellom personvern- og forbrukarstyresmaktene, og det er naudsynt å vurdere både regulerande og tekniske tiltak. Fordi tenesteleverandørane kryssar grenser, må det også arbeidast med internasjonale løysingar.
1.3 Justissektoren
I justissektoren skjer det ei omfattande behandling av personopplysningar. Politiet behandlar ei stor mengd personopplysningar i eigne register. Samstundes har dei tilgang til og innsyn i ei rekke databasar og register hos andre. I samband med både førebygging og etterforsking av brotsverk kan det bli samla inn betydelege mengder personopplysningar.
Dei siste åra har det blitt fremma ei rekke forslag i justissektoren som rører personvernet. Grunngjevinga for mange av forslaga er nedkjemping av terror. Mange av tiltaka grip inn i vernet av borgarane sin frie kommunikasjon. Det har mellom anna vore peikt på at tiltaka kan ha ein kjølande effekt («chilling effect») på denne kommunikasjonen. Likevel har det aldri blitt gjort nokon heilskapleg gjennomgang av den samla effekten av dei ulike inngrepa i personvernet i justissektoren, slik Personvernkommisjonen gjorde for dei fleste andre sektorar i 2009. Datatilsynet har fleire gonger fremma forslag om at det blir nedsett ein personvernkommisjon innanfor justissektoren. Etter framlegga er målet med ein personvernkommisjon å gjere ein samla gjennomgang av vilkåra til personvernet i sektoren. Dette kan bidra til å sette personvernet inn i ein større samanheng, og sjå nye inngrep i samanheng med eksisterande inngrep.
Det digitale sårbarhetsutvalget la i november 2015 fram utgreiinga si. I mandatet til utvalet var det gjeve klåre føringar om at personvern skulle trekkast inn i vurderingane, og utvalet har i stor grad lagt vekt på personvernomsyn i arbeidet sitt. Ikkje sidan rapporten til Personvernkommisjonen i 2009 har ei offentleg utgreiing innehalde ein så omfattande og god analyse av personvern opp mot andre samfunnsinteresser. Fleire stader i utgreiinga har utvalet peikt på at ein må sikre balansen mellom personvern og eit sikrare samfunn. Mellom anna peiker utvalet på ei rad utfordringar knytt til bruk av personopplysningar frå elektronisk kommunikasjon til andre formål enn dei blei samla inn for.
Det er viktig at politiet er i stand til å avdekke, motverke og iretteføre alvorleg kriminalitet. Personopplysningar kan vere eit av fleire nyttige verkemiddel i dette arbeidet. Samstundes er det viktig at det blir gjennomført grundige utgreiingar før innføring av personverninngripande lovgiving eller tiltak i justissektoren, slik at ein kan trygge personvernet i så stor grad som råd. Behovet til politiet for informasjon må vegast mot andre omsyn, som personvernet til borgarane. Å finne balansen mellom kva som er naudsynt for å vareta rettstryggleiken i samfunnet og kva som er naudsynt for å vareta borgarane sitt personvern, er i mange samanhengar vanskeleg. Personvern er ei ideell interesse og ein del av menneskerettane. Det kan vere vanskeleg å vurdere verdien av eit godt personvern både for samfunnet og for den einskilde. Det er avgjerande å gjere gode utgreiingar som peiker på fordelar og ulemper ved ulike tiltak, og som også gjer greie for alternative løysingar. På denne måten får samfunnet eit best mogleg grunnlag for å ta gode val. Naturleg nok ser vi ofte at omsynet til nedkjemping av kriminalitet veg tyngst. Men i somme tilfelle veg personvernsomsyn tyngre.
1.4 Behandling av personopplysningar i kommunane
Kvar dag behandlar norske kommunar store mengder personopplysningar om innbyggarane sine. Opplysningane er nødvendige for at kommunen skal kunne tilby gode tenester til dei som treng det, frå spedbarnsomsorg i den kommunale helsetenesta til eldreomsorg. Mange av dei kommunale tenestene bygger på at kommunen veit ein god del om mottakaren av tenesta, slik at kommunen kan tilby tilpassa tenester. Mykje av denne informasjonen er sensitiv informasjon om helsesituasjonen og er naudsynt for spesialtilpassa tilbod av ulike slag. Slike opplysningar treng strenge krav til vern. Personopplysningslova med forskrifter gjev eit godt grunnlag og utgangspunkt for dette vernet gjennom reglar om informasjonstryggleik og internkontroll.
Datatilsynet har i mange år arbeidd med informasjonstryggleik i kommunane. Erfaring tyder på at dette er eit område mange finn svært vanskeleg. Reglane i personopplysningsregelverket er kompliserte. God informasjonstryggleik og internkontroll er grunnleggande for å kunne verne om dei personopplysningane kommunen behandlar. Skal ein få eit godt grep om dette arbeidet, må det ha forankring i leiinga i kommunen og vere ein del av det daglege arbeidet.
For kommunar som ikkje har nok ressursar sjølve, kan det vere ei løysing å sette IKT-tenester ut til ein ekstern leverandør, til dømes ei skyteneste. Ressurssterke tilbydarar av skytenester kan i mange tilfelle gi betre tryggleik enn det verksemdene kan greie sjølve.2 Kommunen må vurdere om det er lovleg å leggje opplysningane i skya, og vege konsekvensane og risikoen opp mot fordelane med skytenesta.
Kommunal- og moderniseringsdepartementet la i april 2016 fram ein nasjonal strategi for bruk av skytenester som mellom anna drøftar korleis det offentlege kan utnytte slike tenester.3 Også Datatilsynet kan gi gode råd til kommunar som ønsker å bruke skytenester.
Det er også viktig å vere merksam på at god informasjonstryggleik ikkje berre krev tekniske tiltak. Folka som bruker systema må ha opplæring slik at dei blir i stand til å bruke systema på ein trygg og god måte. Dei må ha grunnleggande opplæring i regelverket, i bruk av systema og i dei interne reglane og rutinane som gjeld i den einskilde kommunen. Desse reglane og rutinane som er utvikla i kommunen, blir gjerne kalla for internkontroll. Internkontrollen skal seie noko om korleis kommunen skal etterleve reglar på eit særskilt område, som til dømes personvernreglane eller regelverk om HMS. Personopplysningslova og forskriftene til lova stiller krav om at dei som behandlar personopplysningar skal ha eit slikt internkontrollsystem. Internkontrollsystemet skal vere dokumentert, og dokumentasjonen skal vere tilgjengeleg for dei som skal bruke systema og behandle personopplysningar.
Datatilsynet sitt arbeid over fleire år har avdekt at det er store manglar i både informasjonstryggleiken og internkontrollsystema i norske kommunar. Dei manglar mellom anna oversikt over kva for behandlingar av opplysningar dei har, og dei har ikkje system for å gi informasjon om og innsyn i behandling av personopplysningar til innbyggarane. Datatilsynet har nytta ulike verkemiddel i arbeidet for å betre etterlevinga av reglane. Mellom anna har dei satsa på målretta informasjonsarbeid, rettleiarar, saksbehandling og kontrollverksemd. Likevel er det framleis mange kommunar som slit med å utarbeide og gjennomføre gode rutinar for behandling av personopplysningar.
Datatilsynet har innleidd eit samarbeid med KS, kommunane sin interesseorganisasjon, for å styrke kunnskapen om og kompetansen på arbeid med informasjonstryggleik i kommunane. I arbeidet skal dei mellom anna sjå på kva for verkemiddel som er mest eigna til å betre arbeidet med informasjonstryggleik i kommunane. Datatilsynet ønsker å vere ein god rådgivar for kommunane i dette arbeidet. Men det er mange kommunar i Noreg, og berre eitt Datatilsyn. Kommunane må difor sjølve ta ansvar og gjere den viktige jobben med å etablere betre system og rutinar for behandling av personopplysningar. KS kan vere ein nyttig medspelar i arbeidet. Innbyggarane må kunne stole på at det offentlege set i verk nødvendige tiltak og har gode rutinar for trygg behandling av dei opplysningane som innbyggarane i god tru gjev frå seg. Departementet støtter difor Datatilsynet og kommunane i det viktige arbeidet for å betre informasjonstryggleiken og internkontrollen i norske kommunar.
Fotnotar
Det store datakappløpet. Rapport om hvordan kommersiell utnyttelse av personopplysninger utfordrer personvernet, november 2015. Datatilsynet. 2015.
NOU 2015: 13 Digital sårbarhet - sikkert samfunn.
Kommunal- og moderniseringsdepartementet (2016): Nasjonal strategi for bruk av skytenester.