2 Kommunal- og moderniseringsdepartementets merknader til Datatilsynets årsmelding for 2013

Datatilsynet har i 2013 vært en aktiv bidragsyter i samfunnsdebatten om personvern. Tilsynet har utarbeidet en rapport om Big Data, gjort seg bemerket i flere viktige høringer, og holdt foredrag om personvernrelevante tema i forskjellige fora. Datatilsynet har særlig satt søkelys på innebygd personvern, og hvordan man kan jobbe for å bygge best mulig personvern inn i løsninger fra starten av. Dette er noe også regjeringen er svært opptatt av, og det er positivt at prinsippet om innebygd personvern får oppmerksomhet.

Datatilsynet har i 2013 prioritert å arbeide med personvern innenfor følgende områder:

• Helse og velferd

• Justissektoren

• Offentlig sektor

• Skole, barn og unge

• Arbeidsliv

Helse- og velferdssektorene og justissektoren er områder som Datatilsynet jobber mye med, og som krever kontinuerlig oppmerksomhet. Offentlig sektor er også et prioritert område. I disse sektorene planlegges det ofte tiltak som har personvernkonsekvenser, og det er nødvendig med jevnlig dialog og oppfølging av sektorene. Skole, barn og unge er sammen med arbeidsliv nye satsingsområder i 2013.

2.1 Skole, barn og unge

Både barnehager, grunnskoler og videregående skoler behandler store mengder opplysninger om barn og unge. Opplysningene behandles i stadig større grad digitalt. Utviklingen går i retning av digitale læringsplattformer, innloggingssystemer og saksbehandlingssystemer, og det er viktig at personvernhensyn blir ivaretatt fra et tidlig stadium i utviklingen av disse. Valget av skole, barn og unge som et fokusområde for 2013 må også sees i lys av at personopplysningsloven § 11 i 2012 fikk et nytt ledd, som sier at personopplysninger som gjelder barn ikke skal behandles på en måte som er uforsvarlig av hensyn til barnets beste. Det kan tenkes at Datatilsynet vil få flere saker til vurdering fremover hvor den nye bestemmelsen i § 11 vil være relevant.

Departementet er også opptatt av personvernutfordringer i skolen, og ser behov for et kunnskapsløft om personvern i sektoren. Stadig flere skoler tar i bruk IKT til nye formål. Ofte kjøpes det inn standardiserte produkter, «hyllevarer», som skolene ikke kan stille særlige spesifikasjonskrav til. Det er alltid en viss fare for at slike standardiserte systemer legger til rette for en behandling av personopplysninger som brukeren ikke trenger. En annen utfordring, kanskje særlig på fylkeskommunenivå og i større kommuner, kan være at det er relativt stor avstand mellom den behandlingsansvarlige (rådmann eller fylkesrådmann) og de som faktisk behandler personopplysninger, nemlig skolene. Det er viktig at krav til kunnskap om personvern formidles i alle ledd, fra departementene og fylkesmannen, til administrasjonen i kommuner og fylkeskommuner, skoleadministrasjon og lærere, og selvsagt også til elevene selv.

Flere aktører, deriblant Datatilsynet, driver utstrakt informasjonsvirksomhet om personvern for skoler, barn og unge. Du Bestemmer består av to undervisningsopplegg for barn i aldersgruppene 9–13 år og 13–17 år. Opplegget er et samarbeid mellom Datatilsynet, Senter for IKT i utdanningen og Teknologirådet, og har hatt jevne tall både for nettsidebesøk og bestillinger av materiell de siste årene. Det er positivt at alle skoler har et tilbud om undervisningsmateriell om personvern. Dette er ikke et område der lærerne nødvendigvis har god kompetanse, og dermed er det desto viktigere at de har tilgang til et ordentlig undervisningsopplegg. Kommunal- og moderniseringsdepartementet ser behovet for å løfte personvernet i utdanningssektoren, både på lærernivå og i administrasjonene. Det er viktig at de som behandler elevopplysninger er kjent med hvilke plikter de har, og hvilke rettigheter elevene har når det gjelder personvern. Det er også viktig at skolene og kommunene har høy bestillerkompetanse, slik at de IKT-systemene som anskaffes til bruk i skolene, er tilstrekkelig personvernvennlige. Departementet har oppmerksomhet rettet mot dette temaet, og vurderer ulike tiltak for å heve kompetansenivået om personvern i skolesektoren.

Datatilsynet har gjennomført tilsyn hos flere skoleeiere i 2013, og funnet at skolene gjennomgående ikke har tilfredsstillende rutiner for internkontroll og informasjonssikkerhet. Tilsynet fant i flere tilfeller mangler ved databehandleravtaler og risikovurderinger. Dette kan tyde på at forståelsen for hva internkontroll og informasjonssikkerhet innebærer, er for dårlig. Departementet vil se nærmere på hvilke mulige tiltak som kan igangsettes for å bedre situasjonen. Det ble i Meld. St. 11 (2012–2013) Personvern – utsikter og utfordringar varslet en veileder om internkontroll etter personopplysningsloven. Departementet arbeider med en slik veileder, som også vil ta for seg pliktene til informasjonssikkerhet etter loven. Veilederen er ment å være til hjelp for behandlingsansvarlige i alle sektorer, og bør også kommuniseres til skoleeiere og skoleadministrasjoner rundt om i landet.

2.2 Arbeidsliv

Et annet fokusområde i 2013 har vært personvern i arbeidslivet. Datatilsynet melder at rundt en av fire henvendelser fra innbyggere og virksomheter dreier seg om personvern i arbeidslivet. Dette gir en god indikasjon på at personvernutfordringer i arbeidslivet bør gis høy prioritet fremover. Det har vært flere profilerte saker på arbeidslivsområdet i 2013, og Datatilsynet har i noen tilfeller også ilagt overtredelsesgebyr til virksomheter som har behandlet opplysninger om ansatte i strid med personopplysningsloven.

Arbeids- og sosialdepartementet leder en arbeidsgruppe som ser på overvåkning og kontroll i arbeidslivet, og Kommunal- og moderniseringsdepartementet er også representert i denne gruppen. Arbeidsgruppen skal vurdere konsekvenser av kontroll og overvåkning for personvern og arbeidsmiljø. Gruppen skal også identifisere eventuelle kunnskapsmangler på området, og vurdere behov for et informasjons- og kunnskapsløft. I tillegg skal gruppen identifisere mulige mangler i regelverket. Regjeringen er opptatt av problemstillinger knyttet til personvern i arbeidslivet, og vil vurdere mulige tiltak når arbeidsgruppens endelige rapport foreligger.

Under behandlingen av Datatilsynets årsmelding for 2012 diskuterte Stortinget Datatilsynets praksis ved ileggelse av overtredelsesgebyr. Det ble stilt spørsmål ved om det ikke er behov for i større grad å ilegge overtredelsesgebyr i saker der sammenstilling og gjenbruk av data skjer i strid med lovverket. Spørsmålet kan sees i lys av Høyesteretts uttalelser i dommen om Avfallsservice fra 31. januar 2013. Saken gjaldt krav om oppreisning etter personopplysningsloven § 49 fra en arbeidstaker som var blitt oppsagt etter at arbeidsgiver på ulovlig vis hadde sammenlignet timelistene hans med opplysninger fra GPS installert i tjenestebilen hans. Sammenstillingen viste at arbeidstakeren hadde tatt urettmessige pauser fra arbeidet. Høyesterett tilkjente ikke erstatning i saken, ettersom retten ikke anså overtredelsen fra arbeidsgivers side å utgjøre en tilstrekkelig grov krenkelse av den ansattes personvern. Samtidig mente Høyesterett det kunne virke urimelig om en arbeidstaker som hadde opptrådt svikaktig overfor arbeidsgiver skulle få erstatning som følge av at arbeidsgiver hadde samlet og behandlet opplysninger i strid med personopplysningsregelverket. Retten uttalte imidlertid at «Datatilsynet kan blant annet ilegge overtredelsesgebyr til statskassen dersom vilkårene i personopplysningsloven § 46 ikke er oppfylt. Det må antas at denne muligheten – hvis den benyttes – vil ha en avskrekkende effekt. At Datatilsynet – uvisst av hvilken grunn – ikke har ilagt slikt gebyr i denne saken, kan ikke være avgjørende for det krav vår sak gjelder». Datatilsynet har i ettertid ilagt gebyr på kr 100 000 for lovovertredelse i en tilsvarende sak1.

Departementet understreker at Datatilsynet har en uavhengig myndighet til å ilegge overtredelsesgebyr. Dette følger av personopplysningsloven § 46. Tilsynet har ikke benyttet seg av denne muligheten særlig ofte, blant annet fordi sanksjoner i form av gebyr er ment å være forbeholdt særlig grove brudd på bestemmelsene i personopplysningsloven. Tall viser at overtredelsesgebyrene har økt betraktelig i størrelse bare de siste to årene. I 2011 ble det ilagt overtredelsesgebyrer for til sammen kr 270 000, mens for 2013 var den samlede summen kr 1 975 000. Det er ikke utenkelig at overtredelsesgebyrer fremover ilegges i større grad enn tidligere, som en naturlig følge av at behandlingsansvarlige har større muligheter for misbruk av personopplysninger enn de tidligere har hatt.

2.3 Ny teknologi

Det lanseres stadig nye teknologier for å gjøre hverdagen enklere eller mer effektiv for oss. Utviklingen går fort, og den teknologiske utviklingen har et enormt forsprang på den rettspolitiske utviklingen, og også på det generelle kunnskapsnivået i befolkningen. Datatilsynet er opptatt av å utrede personvernkonsekvenser av ny teknologi, og er ofte oppdatert på teknologiske løsninger før de kommer på markedet. Datatilsynet er for eksempel blant de få som har fått teste ut Google Glass før produktet kommer på markedet.

Datatilsynet antar at bruken av såkalt kroppsnær teknologi, eller wearable computing, vil øke kraftig i årene fremover. Google Glass er ett eksempel på kroppsnær teknologi. Smarte klokker og GPS-sendere er andre eksempler. Felles for de kroppsnære teknologiene er at de kan kommunisere med andre enheter. De kan lagre og dele opplysninger som forteller mye om bærerens (eller andre i nærheten) bevegelsesmønster, helsetilstand eller vaner. For det første kan dette få konsekvenser for bærerens personvern. For det andre kan det få konsekvenser for personvernet til de ofte uvitende tredjepersoner som befinner seg i nærheten av bæreren. Det at informasjon kan kommuniseres fra kroppsnær teknologi til andre enheter, gjør at det potensielt er svært mange som kan få tilgang til opplysningene, som for eksempel private næringsdrivende og politi- og etterretningstjenester.

I Datatilsynets årsmelding for 2013 spørres det om vi kan få en utvikling der vi ikke lenger har en storebror i staten eller i store bedrifter som overvåker innbyggerne, men hvor alle småbrødrene også vil få muligheten til å overvåke hverandre. Det er viktig at disse spørsmålene blir stilt, og at det gjøres vurderinger av hvilke personvernkonsekvenser nye teknologier kan ha. Datatilsynet har høy teknologisk og juridisk kompetanse på personvern. Det er positivt og nødvendig at Datatilsynet holder seg oppdatert på utviklingen av ny teknologi, og at de har den nødvendige kompetansen til å se hvilke konsekvenser teknologien kan føre med seg. Datatilsynet evner å arbeide i grenselandet mellom juss og teknologi. Dette er en viktig forutsetning for at problemstillinger knyttet til personvern oppdages før det er for sent å gjøre noe aktivt for å forebygge negative konsekvenser.