Høringssvar fra Datatilsynet

Dato: 16.12.2020

Datatilsynet viser til høringsbrev- og notat av 15.12.2020 med høringssvar 16.12.2020.

Tatt i betraktning den svært korte fristen, vil vårt svar avvike fra den formen vi normalt skriver høringssvar i. Vi ber om at vi blir kontaktet dersom det er konkrete problemstillinger sett fra et personvern- eller informasjonssikkerhetsperspektiv dere har behov for å drøfte.

Personvernforordningen artikkel 5 angir noen grunnleggende prinsipper med krav som må være oppfylt dersom man skal behandle personopplysninger. Datatilsynet har ikke hatt tid til å gjennomgå alle prinsippene så nøye som vi ønsker, men knytter noen umiddelbare kommentarer til forslaget:

Om forslaget

Det foreslås hjemmel for å registrere personer som ankommer Norge fra et område som medfører karanteneplikt. Registreringen skal blant annet omfatte identifikasjonsopplysninger, reiseinformasjon (transportmiddel) reiserute, reisefølge og oppholdssted i karantenetiden.

Formålene med registreringssystemet er angitt i forskriftsforslagets § 5b, første ledd: sikre etterlevelse av karanteneplikten, styrke smittevernarbeidet og bidra til bedre smitteoppsporing. I forslagets 4. ledd, og er det angitt hvilke formål det kan utleveres opplysninger til: a) sikre etterlevelse av karanteneplikten, b) smitteoppsporing og c) for vurdering av risiko for smittespredning og statistikk og analyse. 5. ledd sier at utlevering kan skje i form av direkte søk.

Hvilke data som skal inkluderes i registeret er positivt angitt, og det er også gitt en rekke unntak fra registreringsplikten for nærmere definerte personer og persongrupper. Data skal slettes etter 20 dager.

Datatilsynets innspill

Datatilsynet legger til grunn at det er et legitimt behov for å registrere personer som ankommer landet i det omfanget forslaget dekker. Vi anser det positivt at dataene som skal registreres er positivt angitt, og at det samtidig innføres en sletteplikt etter 20 dager fra innreisetidspunktet. I tillegg ser vi også positivt på at mennesker med særskilt behov for beskyttelse er unntatt fra registreringsplikten.

Vi har imidlertid noen kommentarer knyttet til formålsangivelsen, og til metoden for utlevering av data fra registeret.

1) Formålet med registeret

Formålet er angitt delvis i første ledd, men det går også frem av femte ledd som angir hva data fra registeret skal kunne brukes til.

Datatilsynet støtter ikke at data fra registeret skal kunne brukes til statistikk og analyse i identifiserbar form. Det presiseres riktignok i notatet at dette i hovedsak kan skje gjennom data som ikke er direkte identifiserbare, men Datatilsynet stiller spørsmål ved om dette vil være en praktisk gjennomførbar løsning. Utlevering av data skal kunne gis gjennom direkte søk, noe som vil innebære en behandling av personopplysninger. I tillegg er det kort «levetid» på dataene i registeret, noe som vil gjøre det vanskelig å gjennomføre anonymiseringsprosesser før utlevering til analyse og statistikk og innenfor slettefristen. En pandemisituasjon kan hjemle og legitimere behandling av personopplysninger, men hjemler som er opprettet som hastevedtak som i dette tilfellet, bør begrenses til å omfatte helt nødvendige behandlinger av personopplysninger.

Slik vi forstår forslaget, er det selve smittesporingen og mulighet for kontroll av etterlevelse av karanteneplikten som er de sentrale formålene. De mer uklare formålene som «statistikk og analyse» omfatter, bør ikke hjemles gjennom slike tidskritiske arbeid som dette forskriftsarbeidet. Det er forskjell på hvilken personvernrisiko man må tåle som følge av nødvendig smittevernarbeid og hvilken personvernrisiko man skal tåle for mer sekundære formål som analyse og statistikk må anses å være.

Og i alle tilfeller bør ikke slike sekundære formål hjemle en direkte tilgang til databasen, men bør utleveres på alminnelig måte etter konkrete vurderinger av det aktuelle behandlingsformålet sett opp mot de grunnleggende kravene og prinsippene i personvernregelverket. Vi anser at det er stor risiko for at en slik løsning vil kunne være i direkte strid med personvernregelverket, men på grunn av kort frist er det ikke mulig for Datatilsynet å utrede dette fullt ut.

I tillegg bør en sletteplikt på 20 dager gjelde for dataene som sådan, uavhengig av hvor de er utlevert. Dersom det er vid adgang til å bruke data til forskning og analyse uten at det medfølger tilsvarende sletteplikt, vil den personverngarantien som ligger i slettefristen være uten innhold.

Totalt sett vil disse formålene kunne innebære en betydelig høyere konsekvens for de registrertes personvern. Datatilsynets klare anbefaling er derfor at tilgang til opplysninger for statistikk- og analyseformål kun bør tillates på anonyme utleverte data, og ikke gjennom mulighet for direkte søk i registeret.

2) Tilgang til registeret

Datatilsynet leser forslaget slik at det skal være en lav terskel for tilgang til registeret, og at det skal gjøres på en enkel og praktisk gjennomførbar måte gjennom mulighet for direkte søk. Det er angitt en rekke eksempler på interessenter, og vi ser at det er en klar risiko for at det mange gis tilgang til personopplysningene i registeret.

Vi presiserer at DSB som behandlingsansvarlig må ha nødvendig system for å sikre at registeret kun brukes i tråd med det angitte formålet. I tillegg vil pliktene til personopplysningssikkerhet som følger av personvernregelverket måtte etterleves. Vi stiller derfor spørsmål ved om muligheten for direkte søk kan være i samsvar med plikten til å begrense tilgang til det som anses som nødvendig og relevant for et konkret angitt formål. Forslaget inneholder ingen beskrivelse av de tekniske løsningene for registeret, men vi presiserer at plikten til å ha tilfredsstillende sikkerhet rundt de personopplysningene man behandler også vil gjelde for dette foreslåtte reiseregistreringsregisteret.

Muligheten for direkte søk skaper også en rekke personvernutfordringer, vi ser en åpenbar risiko for at tilgang til registeret vil gjelde hele registeret, og ikke kun begrenset til det den enkelte aktør har faktisk behov for.

Det uttales konkret i forslaget at det kan gis tilgang til hele eller deler av registeret ut fra det enkelte organs behov. Videre anses det ikke nødvendig å regulere hvilke organer som kan gis direkte tilgang, slik at dette vil være avhengig av det konkrete behovet.

Forslaget inneholder ikke opplysninger om dette, og Datatilsynet må derfor begrense denne uttalelsen til potensielle personvernrisikoer og potensielle avvik fra personvernregelverket.

3) Unntak fra registrering

Løsningen skal baseres på egenregistrering, men med unntak for flere persongrupper. Unntaket gjelder blant annet for personer med særskilt beskyttelsesbehov. Forslaget identifiserer risiko for at noen med registreringsplikt ikke registrerer seg. Datatilsynet ser en klar risiko for også det motsatte tilfellet, at personer som ikke har registreringsplikt registrerer seg. Sett hen til premisset om lav terskel for og vide tilganger til registeret, ser vi en stor risiko for at beskyttelsesverdige opplysninger kan bli tilgjengeliggjort gjennom søk i registeret. Dette er en risiko som det er helt nødvendig at avhjelpes før registreringen iverksettes.