3 Kommunal- og moderniseringsdepartementets merknader til Personvernnemndas årsmelding for 2013

Personvernnemnda har i 2013 behandlet 14 saker av de i alt 28 som ble mottatt i nemnda i løpet av året. Ofte mottar nemnda saker av prinsipiell karakter, og det dukker derfor hvert år opp viktige rettspolitiske spørsmål som Personvernnemnda må ta stilling til.

Et tema Personvernnemnda trekker frem som særlig aktuelt, er overføring av personopplysninger til utlandet. Overføring av personopplysninger til utlandet blir stadig mer aktuelt ettersom flere virksomheter opererer over landegrensene, eller ønsker å lagre sine data i nettskyen eller hos databehandlere i utlandet. Det er den som bestemmer formålet med behandlingen av personopplysninger, som er den behandlingsansvarlige. Den behandlingsansvarlige skal sørge for at personopplysninger de har ansvaret for, blir behandlet på en forsvarlig måte, også hvis behandlingen skjer hos en databehandler. I det nye, internasjonale landskapet, hvor store internasjonale aktører tilbyr forskjellige typer databehandlertjenester, kan det være vanskelig for de behandlingsansvarlige å se rekkevidden av sitt ansvar for opplysninger som lagres i en nettsky tilbudt av for eksempel Google eller Microsoft. Den behandlingsansvarlige skal alltid vurdere mulige konsekvenser for personvernet ved overføring av personopplysninger til utlandet, og bestemme seg for hva som er akseptabelt risikonivå for egen virksomhet, før de inngår databehandleravtaler med tredjeparter. Dersom personopplysninger havner på avveie, eller på andre måter behandles i strid med personopplysningslovens regler, er det den behandlingsansvarlige som er ansvarlig overfor de registrerte, ikke databehandleren.

I enkelte saker har det oppstått usikkerhet rundt hvilke plikter den behandlingsansvarlige har dersom personopplysninger kommer på avveie. Et sett med saker som ble behandlet i Personvernnemnda i 2013, de såkalte GE-sakene, omhandlet dette spørsmålet. Sakene er omtalt i Personvernnemndas årsmelding. Flere behandlingsansvarlige sykehus mente de ikke hadde noen plikt etter personopplysningsloven til å underrette de registrerte pasientene om at deres personopplysninger ved en feil var blitt overført til et selskap i USA, ettersom en slik plikt ikke følger direkte av lovens ordlyd. Nemnda kom under dissens til at man kan foreta en utvidende tolkning av personopplysningslovens regler, slik at det påligger en informasjonsplikt for den behandlingsansvarlige også når denne ikke er klar over den urettmessige overføringen. Det er altså enkelte plikter som påhviler den behandlingsansvarlige dersom personopplysninger skulle komme på avveie, uavhengig av om de har skyld i hendelsen. Dette innebærer at behandlingsansvarlige må gjennomføre gode risikovurderinger og forvisse seg om at databehandlers behandling av personopplysninger er i samsvar med akseptabelt risikonivå.

Personvernnemnda har i 2013 hatt en uvanlig stor saksmengde, og de har også hatt flere komplekse saker til vurdering i løpet av året. Dette kan være et resultat av den teknologiske utviklingen, ettersom ny teknologi åpner for at et økt antall aktører kan behandle personopplysninger. Det kan også tenkes at sakene er mer komplekse enn tidligere, fordi man oftere beveger seg inn på saksområder som det ikke finnes særlig mye erfaring med. Med den raske utviklingen som skjer på personvernområdet får Personvernnemnda en særlig viktig rolle. Nemnda er bredt sammensatt med kunnskapsrike medlemmer fra forskjellige fagmiljøer, noe som åpner for grundige diskusjoner av sakene som kommer inn. Avgjørelsene fra Personvernnemnda fungerer som en rettesnor for Datatilsynets videre arbeid, både når avgjørelsene innebærer omgjøring av tilsynets vedtak, og når de ikke gjør det.