2 Merknader frå Kommunal- og moderniseringsdepartementet til Datatilsynet si årsmelding
Datatilsynet har i 2015 arbeidd målretta for å betre personvernet i samfunnet. Tilsynet har medverka til god kunnskap på personvernområdet, inkludert om EU si nye personvernforordning. Dei har mellom anna halde foredrag, gjeve høyringsfråsegner, hatt dialog og møte med ulike aktørar, og dessutan gjeve råd og rettleiing. Vidare har tilsynet ved behandling av konsesjonar, tilsyn, kontrollar og vedtak i enkeltsaker medverka til ei positiv utvikling for personvernet.
Datatilsynet har i 2015 særleg arbeidd med personvern innanfor følgjande område:
Justissektoren
Barn, skule og utdanning
Helse og velferd
Digitalisering i offentleg sektor
I tillegg har Datatilsynet hatt to prioriterte prosjekt i 2015; å førebu seg på vedtakinga av EU si nye personvernforordning og å kartlegge korleis personopplysningar blir brukte kommersielt. Som ledd i sistnemnte prosjekt, publiserte tilsynet i november 2015 rapporten «Det store datakappløpet. Rapport om hvordan kommersiell utnyttelse av personopplysninger utfordrer personvernet». Rapporten peiker på nokre av dei største utfordringane ved dagens digitale annonsemarknad. I rapporten legg dei fram anbefalingar og tiltak som Datatilsynet vil jobbe vidare med i 2016. Departementet er opptatt av å sikre personsonvernet til forbrukarar som bruker digitale tenester, og er glad for at Datatilsynet sett kommersiell bruk av personopplysningar på dagsordenen. Det er departementet si oppfatning at Datatilsynet er godt budd på det omfattande arbeidet som skal gjerast med å gjennomføre den nye personvernforordninga i norsk rett i åra som kjem.
2.1 Barn, skule og utdanning
Datatilsynet har over ein treårsperiode sett nærare på behandlinga av personopplysningar om barn og unge i barnehagar, grunnskular og vidaregåande skular. Gjennom møte med aktørar i opplæringssektoren, tilsyn og kontrollar har tilsynet skaffa seg eit visst oversyn over kva for opplysningar som blir registrerte om barn og unge i sektoren, og korleis desse opplysningane blir behandla og sikra.
Både barnehagar og skular behandlar store mengder personopplysningar om barn og unge. Samla gjev alle registreringar om eit barn gjennom heile utdanninga eit omfattande og detaljert bilete av barnet si utvikling, og faglege og sosiale åtferd. At opplysningane i stadig større grad blir behandla digitalt, inneber i tillegg at spreiingspotensialet blir større. Utan tekniske sperrer og gode rutinar er det lettare at opplysningane blir brukte til andre formål enn dei var planlagde for, og opplysningane kan med få tastetrykk bli spreidde til mange.
Datatilsynet har dei siste åra avdekt at rutinane for å sikre barn sitt personvern i barnehagar og skular gjennomgåande er mangelfulle. Samstundes veit vi at bruken av elektroniske og nettbaserte tenester i opplæringssektoren vil auke ytterlegare i åra som kjem. Barn og unge er slik sett ei ekstra sårbar gruppe, sidan dei ikkje kan samtykke til all registreringa sjølve.
Departementet er opptatt av at barn og unge blir sikra eit godt personvern og ser behovet for eit kunnskapsløft om personvern i opplæringssektoren, både blant barnehage- og skuleeigarar og blant dei tilsette. Departementet er difor positiv til Datatilsynet sitt arbeid for ei bevisstgjering om personvern i barnehagar, grunnskular og vidaregåande skular. Det er særleg viktig at personvernomsyn blir tatt hand om i ein tidleg fase i utviklinga av nye digitale læringsplattformer, innloggingssystem og saksbehandlingsrutinar og i barnehagen sitt arbeid med dokumentasjon og vurdering.
2.2 Digitaliseringa i offentleg sektor
Digitaliseringa i offentleg sektor er kome langt, og stadig nye tenester blir tilbydd i digital form. Samstundes er det fleire sentrale digitaliseringsprosessar som står att. Datatilsynet merker at det framleis er viktig å følgje arbeidet med digitalisering tett, slik at tilsynet kan påverke dei riktige aktørane og sjå til at personvernet blir tatt vare på.
Datatilsynet peiker på at digitalisering av offentlege tenester skaper nye personvernutfordringar, samstundes som det gjev moglegheiter for å bygge personvern inn i løysingane. Departementet er opptatt av at arbeidet med innebygd personvern blir ført vidare, og at personvern blir ein naturleg del av utvikling i all offentleg digitalisering.
Vidare peiker Datatilsynet på at ei utfordring ved digitaliseringa i offentleg sektor er tilrettelegging for god informasjonsflyt mellom verksemder, samstundes som personopplysningar blir trygga. For å sikre eit godt personvern ved utveksling og deling av personopplysningar mellom ulike offentlege instansar, og mellom offentlege og private aktørar, er det viktig at ansvarsforholda er tydeleg avklarte. I tillegg må innbyggarane få god informasjon mellom anna om kva for instansar som behandlar og utvekslar opplysningar om dei, og dessutan til kva føremål dette skjer, slik at dei blir sette i stand til å trygge sitt eige personvern.
I meldingsåret gjennomførte Datatilsynet kontrollar med 15 ulike offentlege verksemder. Sjølv om det var store variasjonar, fann tilsynet, som i føregåande år, at det var eit gjennomgåande problem at mange offentlege verksemder ikkje har tilfredsstillande rutinar for å oppfylle pliktene i personopplysningslova. Datatilsynet kunne ikkje fastslå signifikante forskjellar mellom stat og kommune, regionale forskjellar eller forskjellar på grunn av storleiken til verksemdene. Likevel meiner tilsynet å kunne sjå at verksemder med personvernombod gjennomgåande tok betre vare på personvernet og pliktene i personopplysningslova (sjå meir om dette i punkt 2.4). Departementet merker seg utfordringane Datatilsynet peiker på og vil arbeide for å fremme gode personvernløysingar og -rutinar i offentleg sektor.
2.3 Helse og velferd
Helse- og velferdssektoren er ein sektor som behandlar mykje personintensiv informasjon. Helsepersonell treng tilgang til nødvendig informasjon for å kunne gje den einskilde god og rett helsehjelp. Helseopplysningar er sensitive opplysningar, og det er viktig at innbyggarane har tillit til at opplysningane blir behandla på ein trygg og sikker måte som tek vare på personvernet. Datatilsynet peiker på at opplysningane ikkje berre blir nytta innan helse- og omsorgstenesta og NAV, men også i helseregister og i helse- og samfunnsforsking.
I årsmeldinga viser Datatilsynet til at ei av dei største utfordringane for personvernet innan helse- og omsorgstenesta er at sektoren er gjenstand for store forandringar, og at desse skjer i eit raskt tempo. Vidare er det ei utfordring at helse- og omsorgstenesta er prega av mange aktørar og fleire ulikt organiserte verksemder med forvaltningsansvar og avgjerdsmyndigheit. For å sikre at helseføretaka overheld pliktene sine etter lova og tek vare på personvernet, er det viktig at ansvarsforholda mellom dei ulike verksemdene er tydeleg avklarte.
Ei anna aktuell utfordring Datatilsynet trekker fram er den auka utvekslinga av helseopplysningar som følgje av helse- og omsorgsreforma. Departementet meiner at informasjonsdeling til beste for den enkelte pasient utvilsamt er eit gode, men er samstundes einige med Datatilsynet i at det er ei utfordring å sjå til at slik informasjonsdeling ikkje fører til utilsikta spreiing av sensitive opplysningar. Departementet vil halde fram arbeidet med å fremme gode personvernløysingar i helse- og velferdssektoren.
2.4 Personvernombodsordninga
Personvernombodsordninga er eit viktig verkemiddel for å auke verksemders kjennskap til rettar og plikter på personvernområdet. Den noverande personvernombodsordninga er frivillig og gjev verksemder som vel å ha ombod, fritak frå meldeplikta etter personopplysningslova § 31. Som tilsynet framhevar i årsmeldinga, skal ombodet fungere som ein ressursperson med spesialkompetanse på personvern i verksemda og ha oversyn over kva for personopplysningar som blir behandla til ulike føremål. Personvernombodet vil difor kunne hjelpe verksemda til å handtere personvernutfordringar som oppstår. Departementet synest såleis det er positivt at talet på personvernombod i Noreg kontinuerleg aukar, og likeins at det blei oppretta 38 nye personvernombod i løpet av meldingsåret.
Datatilsynet meiner å kunne sjå at verksemder i både offentleg og privat sektor som har personvernombod, gjennomgåande både tek betre vare på personvernet og etterlever pliktene i lova betre enn andre. Datatilsynet hevdar at dette viser at personvernombodsordninga og opplæringa av omboda har ein positiv personverneffekt. Departementet synest dette er ein interessant observasjon, særleg i lys av at ordninga med personvernombod blir ført vidare, og jamvel blir utvida, i EU si nye personvernforordning.
Som Datatilsynet peiker på, vil den nye personvernforordninga medføre at fleire verksemder enn i dag pliktar å opprette personvernombod. Ordninga blir mellom anna obligatorisk for offentlege verksemder og for verksemder som handsamar sensitive personopplysningar i stor skala. Landa kan dessutan bestemme at også andre verksemder skal ha personvernombod. Døme på verksemder som kan bli omfatta av den nye obligatoriske ordninga, er forsikringsselskap og helseføretak.
Departementet er positiv til den komande utvidinga av personvernombodsordninga og vil støtte innsatsen til Datatilsynet for eit betre personvern i norske verksemder.
2.5 Internasjonalt arbeid
I 2015 har Datatilsynet halde fram arbeidet sitt i sentrale EU-organ, både som observatør og aktiv deltakar. Datatilsynet har mellom anna vore representert på alle møta i Artikkel 29-gruppa1 og undergruppene Technology Subgroup og Future of Privacy Subgroup. Arbeidet i undergruppene gjev grunnlaget for mange av utsegnene frå Artikkel 29-gruppa. Datatilsynet si deltaking i desse gruppene har gjeve gode moglegheiter til å fremme norske synspunkt om aktuelle personvernspørsmål i EU, inkludert om arbeidet med det nye felleseuropeiske personvernregelverket, bruken av skytenester og følgjene av EU-domstolen si avgjerd i Safe Harbor-saka.
Datatilsynet har også vore ein aktiv deltakar på ei rekke andre nordiske og internasjonale samarbeidsarenaer, inkludert i Schengen-samarbeidet, den internasjonale personvernkonferansen og andre samarbeidsforum for personvernmyndigheiter. Det er positivt at tilsynet har fått ansvar for å arrangere vårmøtet til Berlingruppa2 i 2016 i Oslo, og at tilsynet har halde foredrag om rapporten «Det store datakappløpet – hvordan kommersiell utnyttelse av personopplysninger utfordrer personvernet» på fleire internasjonale konferansar. Datatilsynet har dessutan halde fram samarbeidet med og den faglege støtta til personvernstyresmakta i Makedonia.
Departementet er tilfreds med at Datatilsynet markerer seg på den internasjonale arenaen og bidreg til internasjonale løysningar for eit godt personvern. Tilsynet synest å nytte dei moglegheitene som finst til å påverke viktige internasjonale prosessar for personvernet. Som Datatilsynet peiker på, har tilsynet si internasjonale verksemd også vist seg verdifull på andre måtar. Mellom anna har Datatilsynet evna å vere ein god samtalepartnar for norske styresmakter i spørsmål om den nye EU-forordninga. Gjennom å halde seg orientert om kva som er på dagsordenen internasjonalt, er tilsynet i stand til raskt å informere om og førebu norske verksemder på internasjonal regelutvikling, slik tilsynet gjorde etter Safe Harbor-avgjerda hausten 2015.
Fotnotar
Artikkel 29-gruppa er oppretta i medhald av personverndirektivet og er den øverste rådgjevande forsamlinga for EU-kommisjonen i spørsmål om personvern og informasjonstryggleik. Her møter alle leiarane for EU-landas datatilsynsmyndigheiter. Noreg har observatørstatus som EØS-land, og møter med ein representant for leiinga i Datatilsynet.
Berlingruppa arbeider med personvern innan elektronisk kommunikasjon. Gruppa består primært av personvernmyndigheiter, og gjev vurderingar (working papers) om aktuelle personvernspørsmål.