1 Merknader frå Kommunal- og distriktsdepartementet til Datatilsynets årsrapport

Datatilsynet er eit uavhengig forvaltningsorgan som ikkje kan instruerast om behandlinga av einskildsaker eller den faglege verksemda elles.1 Kommunal- og distriktsdepartementet har det administrative ansvaret for Datatilsynet og kvart år skal tilsynet sende sin årsrapport til departementet, som skal leggje rapporten fram for Stortinget.2

Datatilsynets hovudmål er å arbeide for eit godt personvern for alle. For å nå dette målet, og for å prioritere sine oppgåver, har tilsynet laga ein strategi3 med seks delmål som er styrande for arbeidet. Dei prioriteringane Datatilsynet har gjort i 2022, er basert på følgjande tre delmål frå tilsynets strategi:

• Å arbeide for ein meir rettferdig maktbalanse mellom individet og kommersielle/offentlege aktørar.

• Å fremje personvernvenleg digitalisering, innovasjon og utvikling.

• Å vere eit kompetent, fleksibelt og framtidsretta tilsyn.

Meir konkret har Datatilsynet i rapporteringsåret særleg prioritert arbeid med saksbehandling og kontroll (sjå omtale i pkt. 3.1), regulatorisk sandkasse, internasjonalt samarbeid og personverntematikk knytt til skule, born og unge. I tillegg har Datatilsynet hatt andre vesentlege aktivitetar i 2022, som arbeid med personvernproblemstillingar i arbeidslivet og justissektoren.

Datatilsynet skriv òg i årsrapporten at dei har prioritert personverntematikk oppstått som følgje av krigen i Ukraina. Tilsynet har mellom anna oppmoda selskap som overfører personopplysningar til Ukraina og Russland om å gjere nye risikovurderingar, og formidle viktigheita av god informasjonstryggleik som følgje av ein forventa auke i nettverksangrep. I tillegg har Datatilsynet gitt høyringssvar om mellombelse endringar i ulike regelverk på grunn av krigen.

1.1 Datatilsynets regulatoriske sandkasse

Hausten 2020 blei den regulatoriske sandkassa for personvern og kunstig intelligens (KI) oppretta i Datatilsynet, og 2022 var det andre året sandkassa var fullt operativ.

I rapporteringsåret avslutta Datatilsynet seks påbegynte prosjekt, og gjennomførte ein søknadsrunde til sandkassa. Totalt kom det inn 11 søknader. Dette var færre enn i 2021 da det, i løpet av to søknadsrundar, kom inn 46 søknader. I tillegg til at det berre var ein søknadsrunde i 2022, kjem nedgangen truleg av at Datatilsynet ikkje gjekk like breitt ut med informasjon og var spissare i presiseringa av kva for prosjekt tilsynet ynskte å ha med. Tre prosjekt blei valde ut, med oppstart i 2022 (mot sju i 2021). For å vurdere samfunnsnytta til prosjekta, og sikre brei forankring av arbeidet, bidrog Innovasjon Norge, Norsk Regnesentral, Likestillings- og diskrimineringsombodet og Tekna i val av prosjekt. Til liks med tidlegare år, inkluderte dei tre utvalde prosjekta aktørar frå både offentleg og privat sektor. Dei gjaldt utvikling av ein algoritme for å predikere hjartesvikt, bruk av KI for å tilby persontilpassa tenester innan kollektivtransport, og utvikling av personvernvenleg intelligent videoanalyse.

Datatilsynet har sett tre overordna mål for sandkassa. For det første skal sandkassa medverke til at verksemder betre forstår dei regulatoriske krava og kva for innverknad personvernreglane får for nye forretningsmodellar. For det andre skal sandkassa medverke til at Datatilsynet får økt forståing og kunnskap om nye teknologiske løysingar. For det tredje skal sandkassa medverke til å byggje tillit til ansvarleg utvikling av innovative løysningar, som tek vare på dei grunnleggande rettene og fridomane til den einskilde. Det er òg eit mål at sandkassa skal vere nyttig for andre verksemder enn dei konkrete deltakarane. For å nå måla blir det praktisert stor grad av openheit, mellom anna ved at rapportar frå alle prosjekta blir publisert på heimesidene til Datatilsynet. I rapporteringsåret publiserte tilsynet òg ein generell rapport om openheit ved bruk av KI, basert på erfaringane frå sandkassa.

Datatilsynet gjer mykje for å promotere arbeidet i den regulatoriske sandkassa, og har til dømes laga ein podcast-serie om sandkassa. I rapporteringsåret har tilsynet òg hatt seks arrangement om sandkassa, deltatt på omtrent 25 arrangement i inn- og utland om sandkasse som metode, og delt erfaringar med masterstudentar, doktorgradsstipendiatar og eitt forskingsprosjekt. Tilsynet har òg arrangert koordineringsmøte med Arkivverket, Finanstilsynet, Digitaliseringsdirektoratet og Helsedirektoratet, som alle har sandkasser for sine sektorar. Vidare har Datatilsynet, til liks med tidlegare år, vore ansvarleg for eit europeisk nettverk for personvernmyndigheiter med eigne regulatoriske sandkasser.

I 2022 har Datatilsynet gjort ein evaluering av alle dei avslutta prosjekta frå sandkassa. Evalueringa viser at sandkassa har stor nytteverdi for både deltakarane og Datatilsynet. Ein ekstern evaluering av sandkassa starta opp i 2023.

Kommunal- og distriktsdepartementet opplev at Datatilsynet når breitt ut og får mykje merksemd om den regulatoriske sandkassa, både nasjonalt og internasjonalt. Sandkassa har mellom anna blitt nominert til ulike prisar. At interessa for å delta i sandkassa er stor frå både offentleg og privat sektor, viser at denne måten å arbeide på er nyttig. Det er òg positivt at Datatilsynet sjølv meiner at arbeidsforma gir verdi, utover tradisjonell rettleiingsverksemd.

I 2021 og 2022 var sandkassa eit prøveprosjekt, finansiert gjennom eit tverrdepartementalt samarbeid der fleire departement bidrog. Fordi interessa har vore betydeleg, og sandkassa har vist å vera eit godt verkemiddel for å fremje ansvarleg bruk av innovativ teknologi, har regjeringa sikra varig finansiering av sandkassa frå 2023. Sandkassa har òg blitt utvida til å romme meir enn berre KI, og omfattar i dag personvernvenleg innovasjon og digitalisering i breitt.

1.2 Skule, born og unge

Born og unge i omsorgs- og utdanningsløp blir i omfattande og stadig aukande grad registrert i digitale løysingar. Borns personvern er gitt eit særskilt vern i regelverket. Dette kjem av at det ofte er andre enn barnet sjølv som tek avgjerder om korleis opplysningane deira skal brukast. Der dei sjølv kan bestemme, er det ofte vanskeleg for born å forstå og vurdere konsekvensane av behandlingane av personopplysningane deira. Datatilsynet har derfor i fleire år prioritert arbeid med personvernutfordringar knytt til born og unge.

Datatilsynet meiner at utfordringsbilete innanfor sektoren svarar til tidlegare år. Tilsynet mottar framleis mange meldingar om brot på personopplysningstryggleiken i skulen, som følgje av manglande kunnskap og risikoforståing om digitale verktøy.

Samtidig meiner Datatilsynet at det kjem fleire gode initiativ frå sentrale aktørar med føremål om å betre personvernet for born og unge. Tilsynet ser positivt på slike initiativ og har i rapporteringsåret prioritert å delta på arbeid og arrangement som dei har blitt invitert til. Datatilsynet har mellom anna hatt jamleg kontakt med prosjektet «SkoleSec»4 og levert innspel til ekspertgruppa for digital læringsanalyse,5 nedsett av Kunnskapsdepartementet. I tillegg deltar Datatilsynet i ein direktoratsgruppe i regi av Medietilsynet, som mellom anna arbeider med ein handlingsplan for trygg digital oppvekst.

Sidan 2020 har Datatilsynet mottatt eit aukande tal førespurnader til rettleiingstenesta om strøyming av idrettsarrangement der born deltar, og denne trenden har halde fram i 2022. Førespurnadene kjem frå føresette, frivillige og kommunar som arenaeigarar. I 2022 har Datatilsynet deltatt på fleire møte med ulike idrettsforbund og gjort greie for regelverket for strøyming av borneidrett. Tilsynet deltok òg på eit møte som Barne- og familiedepartementet inviterte til om korleis ein kan arbeide for at born ikkje blir ekskludert på grunn av at fleire fritidsaktivitetar blir strøyma. Bekymringa er at born som lever under strengt vern, som hemmeleg adresse, ikkje kan delta på idrettsaktivitetar fordi dei blir strøyma. I desember 2022 blei det stor mediemerksemd knytt til denne problemstillinga. Datatilsynet har fortsett å ha merksemd om problemstillinga, og publiserte i juni 2023 ein rettleiar om strøyming av borneidrett.

I 2022 kom det danske datatilsynet med ein avgjerd om at ein kommune hadde tatt i bruk Googles skuleverktøy utan at personvernet var vurdert godt nok. Kommunen hadde mellom anna ikkje gjort tilstrekkelege risikovurderingar, og det var derfor risiko for at elevanes personopplysningar blei vidarebrukt til kommersielle føremål. Fordi personvernregelverket skal praktiserast likt i alle EØS-statar, vil Datatilsynet følgje avgjerda vidare med interesse og vurdere om den kan ha betydning for norske skular.

Datatilsynet skriv i årsrapporten at det framleis er varierande kompetanse mellom tilsette i stat, kommune og fylkeskommune om korleis personopplysningar skal bli behandla etter personvernregelverket. Personvernkommisjonen gir utrykk for det same i sin rapport.6 Kommisjonen meiner at manglande og varierande kompetanse og ressursar innanfor personvern i kommunane er ei utfordring for personvernet i skule- og barnehagesektoren. Kommunal- og distriktsdepartementet er derfor positive til at Datatilsynet prioriterer å fremje eit godt personvern for born og unge og at tilsynet er oppteke av å gi rettleiing til behandlingsansvarlege i skule- og barnehagesektoren. Samtidig har Datatilsynet eit klart inntrykk av at sektoren er på rett veg, mellom anna på grunn av initiativ og arbeid for å setje personvern i skulen på dagsorden. Departementet støtter denne vurderinga.

1.3 Internasjonalt samarbeid

Internasjonalt samarbeid er viktig fordi personvernforordninga skal tolkast likt i EØS-området. I Datatilsynets strategi er det derfor nedfelt at tilsynet skal påverke og ta ei leiarrolle i nokre utvalde internasjonale prosessar for å fremje personvernet.

Sidan gjennomføringa av personvernforordninga i norsk rett, har Datatilsynet tatt ei aktiv rolle i Det europeiske personvernrådet (Personvernrådet).7 Dette gjer at Datatilsynet kan påverke rådets retningslinjer og utsegner om korleis regelverket skal tolkast og nyttast. Til liks med tidlegare år, har Datatilsynet i 2022 prioritert deltaking i Personvernrådet høgt. Tilsynet deltar på rådets månadlege plenumsmøte, og i alle dei tolv ekspertgruppene. Vidare har Datatilsynet tatt ei leiande og/eller koordinerande rolle i fleire samanhengar, mellom anna som hovudrapportør for rådets retningslinjer om teknologi for å avsløre og rapportere om overgrepsmateriale mot born på nett.

For å sikre ei harmonisert forståing og praktisering av personvernforordninga, skal saker som vedkjem fleire EØS-land behandlast etter ein særskild samarbeidsmekanisme. I 2022 blei Datatilsynet i 178 grenseoverskridande saker identifisert som eit av datatilsyna desse sakene vedkom, og i 16 slike saker var dei den leiande tilsynsmyndigheita. I dei fleste tilfella er datatilsynsmyndigheitene samde om utfallet i grenseoverskridande saker. Andre gonger kan det vere utfordrande å semjast, noko som spesielt gjeld saker om dei store, internasjonale teknologiselskapa. I 2022 kom Datatilsynet med innvendingar i to slike saker, mot tre i 2021. I slike tilfelle må det leiande datatilsynet enten følgje innvendinga frå dei andre tilsyna, eller så må saka behandlast i Personvernrådet. I rapporteringsåret blei fleire av Datatilsynets innvendingar frå 2021 og 2022 behandla av rådet, og Datatilsynet skriv i årsrapporten at dei er svært nøgde med utfallet av behandlinga. Datatilsynet meiner at det i 2022 blei enda tydelegare enn før at arbeidet deira i Personvernrådet har vist resultat.

Datatilsynet deltar òg i ei rekkje andre internasjonale personvernsamarbeid og -forum, som Global Privacy Assembly (GPA). Dette er den største internasjonale samanslutninga av datatilsynsmyndigheiter. Ei av arbeidsgruppene i GPA ser særleg på utfordringar i kryssingspunktet mellom personvern-, forbrukarvern- og konkurranserett. Dette er ein tematikk som har fått meir merksemd i seinare år, med framveksten av den datadrivne økonomien. Datatilsynet har dessutan ei sentral rolle i arbeidet til Personvernrådet og det tilsvarande forumet for forbrukartilsynsmyndigheiter, Consumer Protection Cooperation Network, om å få til eit tettare samarbeid mellom datatilsyns- og forbrukartilsynsmyndigheiter. Arbeidet er inspirert av gode eksempel i ulike EØS-land, der det norske Datatilsynet sitt nære samarbeid med Forbrukartilsynet har blitt framheva.

Vidare er Datatilsynet tilsynsorgan for den nasjonale behandlinga av personopplysningar i Schengen informasjonssystem (SIS) og i visuminformasjonssystemet (VIS). Dette er digitale register som blir brukt av alle Schengen-statane, mellom anna i samband med grensekontroll, anna politisamarbeid og vurdering av visumsøknader. I rapporteringsåret fekk Datatilsynet òg nye oppgåver etter Eurodac II-forordninga.8 Datatilsynets oppgåver knytt til den norske delen av desse systema består mellom anna i å føre tilsyn, behandle klagesaker frå einskildpersonar, gi rettleiing og delta i samarbeidsforum på europeisk nivå. I tillegg deltar Datatilsynet i evalueringar av om andre medlemsstatar etterlever Schengen-regelverket på personvernområdet. For å handtere oppgåvene på ein god måte, har Datatilsynet oppretta ei tverrfagleg intern gruppe for å koordinere og gjennomføre arbeidet. I årsrapporten skriv Datatilsynet vidare at Schengen-systema vil bli utvida i åra som kjem, noko som vil gi dei fleire tilsyns- og rapporteringsoppgåver.

For å sikre at Schengen-regelverket blir nytta effektivt og einskapleg, blir det regelmessig gjennomført evalueringar av korleis medlemsstatane etterlever regelverket. I 2022 blei det gjort ei slik evaluering av Noreg på personvernområdet. Delegasjonen som gjennomførte evalueringa bestod av representantar frå ulike EØS-land og frå Europakommisjonen. I tillegg til Datatilsynet, besøkte delegasjonen Utlendingsdirektoratet og Politiet. Endeleg rapport om Noregs etterleving av Schengen-regelverket på personvernområdet ligg per 20. juni 2023 ikkje føre.

Auka global samhandling, og framveksten av dei store teknologiselskapa, har ført til flyt av betydelege mengder personopplysningar over landegrensene. Mange personvernutfordringar må derfor løysast gjennom internasjonalt samarbeid. Kommunal- og distriktsdepartementet er nøgd med den framskotne rolla Datatilsynet har tatt internasjonalt, og særleg i det europeiske personvernsamarbeidet. Aktiv deltaking i Personvernrådet er spesielt viktig for at Datatilsynet skal kunne påverke den felleseuropeiske lovtolkinga og halde seg oppdatert om rettsutviklinga i EØS. Departementet meiner det er positivt at det norske Datatilsynet har påverka utfallet i fleire store og viktige saker på EU-nivå og gjort seg merka i den internasjonale politiske diskusjonen om handhevinga av personvernforordninga.

1.4 Personvern i arbeidslivet

Tilsette har rett til privatliv og personvern, òg når dei er på jobb. I årsrapporten beskriv Datatilsynet at dei har hatt vesentleg aktivitet innanfor arbeidsliv og at dei ser alvorleg på lovbrot i slike saker, mellom anna grunna det ujamne styrkeforholdet mellom arbeidstakar og arbeidsgivar.

Datatilsynet har i fleire år motteke mange førespurnader som gjeld personvern i arbeidslivet. I rapporteringsåret handla 27 prosent av førespurnadene til Datatilsynets rettleiingsteneste om personvern i arbeidslivet. Problemstillingar knytt til arbeidsliv er òg eit gjentakande tema i presseførespurnader og førespurnader om føredrag eller rettleiingsmøte. Datatilsynet opplever mellom anna ei auka interesse for grensene for overvaking av digitale arbeidsverktøy. Tilsynet trur at denne tendensen til ei viss grad kan kome av den auka bruken av heimekontor i samband med koronapandemien, og at verksemder opplever eit auka behov for tryggingstiltak for å sikre intern informasjon og interne system.

Vidare har Datatilsynet opplevd ein større auke i talet på klager om behandling av personopplysningar på arbeidsplassen. I 2022 fekk tilsynet 598 klager frå einskildpersonar på moglege brot på regelverket. 104 av desse gjaldt arbeidsliv, til forskjell frå 2019, 2020 og 2021 der dei fekk høvesvis 70, 75 og 77 klager. Datatilsynet opplever at klagesakene ofte er prega av høgt konfliktnivå og stor kompleksitet. I tillegg får Datatilsynet mange anonyme tips om personvern og arbeidsliv. Av dei 17 gebyra for brot på regelverket tilsynet ila i rapporteringsåret, gjaldt tre av sakene arbeidsliv.

Personvernregelverket og reglane i arbeidsmiljølova heng tett saman når det gjeld reguleringa av personvern i arbeidslivet. Datatilsynet har derfor jamleg kontakt med Arbeidstilsynet, som fører tilsyn med arbeidsmiljølova, for utveksling av erfaringar og fagkunnskap.

Datatilsynet har òg hatt dialog med Arbeids- og inkluderingsdepartementet om oppdatering av den såkalla e-postforskrifta.9 Forskrifta regulerer kva for ein rett arbeidsgjevar har til å gjennomføre innsyn i arbeidstakar sin e-postkasse og anna elektronisk utstyr arbeidsgivar har stilt til disposisjon for arbeidstakar. Datatilsynet ser behov for oppdateringar og tydeleggjering av regelverket.

Som i tidlegare år, har Datatilsynet hatt fokus på å gi rettleiing om rettar og pliktar etter reglane om personvern i arbeidslivet. Dei har mellom anna arbeida med å oppdatere eksisterande rettleiarar og kome med nye rettleiarar om personvern i arbeidslivet. Dette inkluderer rettleiarar om e-postforskrifta, innhenting av politiattest og kredittvurdering og behandling av personopplysningar i samband med varslingssaker. Tilsynet har dessutan sett i gang eit arbeid med ein rettleiar om forbodet mot overvaking av arbeidstakar sin bruk av elektronisk utstyr, som etter planen vil ferdigstillast og publiserast i 2023. Tilsynet har òg gjennomført rettleiingsmøte med fleire verksemder.

Kommunal- og distriktsdepartementet støtter Datatilsynets prioritering av personvern i arbeidslivet. Departementet har òg i gjennomgangen av høyringssvar til rapporten frå Personvernkommisjonen10 opplevd ei stor interesse for personvernproblemstillingar innan arbeidslivet, og fleire gav utrykk for at dette er eit område som bør prioriterast. Departementet er derfor nøgd med Datatilsynets aktivitet.

1.5 Personvernutfordringar i justissektoren

Dei siste åra har Datatilsynet hatt fleire tilsyn med justissektoren. I 2021 og 2022 gjorde dei eit omfattande tilsyn med Kriminalomsorgsdirektoratet og tre av direktoratet sine underliggjande einingar. Datatilsynet avdekte at det var uklar plassering av behandlingsansvar og manglar ved internkontrollen i kriminalomsorga, og påla Kriminalomsorgsdirektoratet å rette forholda. Som følgje av tilsynet, meiner Datatilsynet det er grunn til å tru at eit komplekst og fragmentert regelverk kan ha gjort det vanskeleg for etaten å forstå og etterleve personvernreglane. Datatilsynet har derfor spelt inn til Justis- og beredskapsdepartementet eit behov for å revidere reglane for behandling av personopplysningar ved gjennomføring av straffereaksjonar.

Datatilsynet gjennomførte òg eit tilsyn med Politiets IT-eining i rapporteringsåret. Føremålet var å kontrollere behandlinga av personopplysningar i saksbehandlingssystemet Remedy Smart IT. Saksbehandlingssystemet blir brukt til å behandle IKT-relaterte førespurnader frå heile politietaten. Tilsynet avdekte manglande etterleving av krava til sporing og sletterutinar.

I 2021 fekk Datatilsynet ei avviksmelding frå Trøndelag politidistrikt. Politidistriktet hadde avdekt at personopplysningar frå registera til politiet jamleg var blitt utlevert til Trondheim fengsel via e-post og telefon, utan at det var anvist til heimel, gjort dokumenterte vurderingar eller journalføring. Dei utleverte opplysningane skulle brukast ved behandling av søknader om overføring til fengsel med lågare tryggingsnivå, besøk til innsette mv. Datatilsynet meinte at praksisen var i strid med grunnleggjande krav til behandling av personopplysningar, som til dømes kravet om at all behandling må være nødvendig og forholdsmessig. Slike manglande vurderingar kan ha ført til utlevering av opplysningar i større utstrekking enn det politiregisterlova11 opnar for. Praksisen hadde gått føre over mange år og omfatta eit betydeleg tal personar. Datatilsynet avslutta saken i 2022, og konkluderte med at forholdet var alvorleg og kritikkverdig. Samtidig meinte Datatilsynet at avviket hadde blitt tilfredsstillande følgt opp av politiet, som raskt sette i verk tiltak for å lukke avviket og sikre at framtidige utleveringar skjer i tråd med regelverket.

Vidare skriv Datatilsynet i årsrapporten at masseinnsamling av teledata og personopplysningar frå internett er verktøy som etterretningstenesta og politiet i aukande grad tar eller ynskjer å ta i bruk. Datatilsynet har i rapporteringsåret gitt høyringssvar til framlegget om endringar i etterretningstenestelova, og framlegget om å lovfeste PSTs etterretningsoppdrag og tilgang til å behandle open tilgjengeleg informasjon. I tillegg har Datatilsynet medverka i den offentlege debatten om lovframlegga ved å gjere sitt syn kjent via media.

Kommunal- og distriktsdepartementet meiner det er positivt at Datatilsynet dei siste åra har hatt fokus på varetaking av personvernet i justissektoren, ved at dei har hatt ulike tilsyn med politiet og kriminalomsorga. Vidare viser departementet til at Personvernkommisjonen12 har trekt fram at det kan vere utfordrande å vega omsynet til nedkjemping av kriminalitet mot omsynet til personvern. Som ombod for personvernet, er det svært nyttig med bidrag frå Datatilsynet i samfunnsdebatten om saker der slike omsyn må vegast mot kvarandre.