1 Fornyings-, administrasjons- og kirkedepartementets innledning

Personvern er en grunnleggende rettighet for den enkelte. Rettigheten er vernet i FNs verdenserklæring fra 1948 og i Den europeiske menneskerettskonvensjon fra 1950. Disse internasjonale regelverkene, blant flere, er gjort til norsk rett gjennom lov om styrking av menneskerettighetenes stilling i norsk rett 21.05.1999 nr. 30 (menneskerettsloven). De internasjonale regelverkene er viktige fordi de statuerer retten til personvern som en grunnleggende rettighet. De angir likevel ikke mer enn rammene for personvernet, og angir hva som må være vurderingstema dersom statene mener det er nødvendig å foreta inngrep i borgernes personvern. Personvern henger nært sammen med andre viktige rettsstatsprinsipper, så som legalitetsprinsippet, rettssikkerhet og ikke minst ytringsfrihet.

Med grunnlag i de overordnede regelverkene må det foretas vurderinger av personvern i forhold til andre rettigheter borgerne har. De mer konkrete reglene for ivaretakelse av personvernet i Norge finnes i lov om behandling av personopplysninger 14.04.2000 nr. 31 (personopplysningsloven) med forskrifter, og i en mengde spesialregelverk. I personopplysningsloven med forskrifter fremgår generelle regler om behandling av personopplysninger og ivaretakelse av personvern. I spesialregelverk angis regler for ivaretakelse av personvern på et konkret område. På helseområdet vil blant annet lov om helseregistre og behandling av helseopplysninger 18.05.2001 nr. 24 (helseregisterloven) gi rammer for behandling av opplysninger om pasientene. Slike spesialbestemmelser er utslag av vurderinger og avveininger av personvernhensyn i forhold til andre hensyn som skal ivaretas. Dersom det skal gjøres inngrep i borgernes personvern, må dette være nødvendig, og inngrepet må være forholdsmessig. Dette innebærer at alternative tiltak for å nå det aktuelle målet må vurderes, og valg av tiltak som medfører personverninngrep må kunne begrunnes.

Men personvern er ikke bare en rettighet for enkeltindividet. Som samfunn har vi også interesse i et godt personvern. Samfunnet er avhengig av borgernes tillit for å fungere godt. Borgerne må stole på at informasjon de gir fra seg behandles i samsvar med lover og regler som bygger på anerkjente personvernprinsipper. De må oppleve trygghet for at opplysninger ikke brukes til andre formål enn innsamlingsformålet uten særskilt hjemmel, og de må ha trygghet for at det ikke samles inn og behandles flere opplysninger enn det faktisk er bruk for i den offentlige myndighetsutøvelsen. Det er et kjennetegn ved et demokratisk samfunn at det har et moderat overvåkingsnivå. Borgerne må dessuten oppleve en robust forvaltning. I en tid da borgernes kommunikasjon med forvaltningen i stadig økende grad foregår elektronisk, og stadig flere avgjørelser fattes av elektroniske systemer, må borgerne ha tillit til at systemene er stabile og pålitelige. Uten tillit vil borgerne kunne vegre seg mot den elektroniske samhandlingen med forvaltningen.

Det samme gjelder i næringslivssammenheng. Netthandelen har vokst betydelig de senere årene. Det er enkelt, praktisk og rimelig for de fleste å kjøpe og betale varer og tjenester på nett. De kommersielle aktørene er imidlertid avhengige av at kundene har tillit til teknologien for at de skal ønske å benytte den. De næringsdrivende må derfor se verdien av, og opparbeide denne tilliten. God ivaretakelse av personvern kan også være et konkurransefortrinn. I EUs utkast til forordning om personvern, fremlagt av EU Kommisjonen 25. januar 20121 er det foreslått en merkeordning som kan bidra til å rette større oppmerksomhet mot personvern, på samme måte som for eksempel svanemerket setter fokus på valg av miljøvennlige varer.

Internasjonalt personvernarbeid

Personvern er i dag, kanskje mer enn noen gang, et utpreget internasjonalt tema. I en tid med raskt økende teknologisk samhandling, også over landegrensene, er strømmen av personopplysninger enorm. Både private og næringsdrivende benytter i stadig større grad nettskytjenester for lagring av informasjon. Informasjonen kan befinne seg hvor som helst i verden, uten at den behandlingsansvarlige kjenner det nøyaktige lagringsstedet. Fordelen er at informasjonen alltid er tilgjengelig uten at brukeren selv trenger å gjøre store, teknologiske investeringer. Også bruk av sosiale nettverk medfører betydelig internasjonal flyt av personopplysninger. Facebook hadde i januar 2012 ca. 800 millioner brukere verden over, en vekst fra ca. 630 millioner i mars 20112. I januar 2012 ble det antydet at det lastes opp 60 timer video på YouTube hvert minutt. I mai 2011 var tallet 48 timer video per minutt3. Økningen i informasjon på nett er formidabel. Ofte lagres og brukes opplysningene på måter de registrerte ikke forstår.

Som følge av internasjonaliseringen av personvernet og personvernutfordringer er internasjonalt personvernsamarbeid viktigere enn noen gang. De internasjonale og grenseoverskridende personvernutfordringene kan ikke løses av de enkelte land alene. Personvernutfordringer henger dessuten sammen med andre temaer som må håndteres på internasjonalt plan, som for eksempel håndtering av større dataangrep og tilrettelegging for nettbasert handel.

Både i EU, OECD og Europarådet pågår revisjon av de internasjonale personvernregelverkene. Særlig fremveksten av internett og den enorme betydningen denne teknologien etter hvert har fått for oss og våre daglige gjøremål, har medført behov for en viss oppdatering av de internasjonale regelverkene. Både Europarådets og OECDs regler er overordnede og i liten grad teknologiavhengige regelverk. En oppdatering vil likevel kunne gjøre at reglene fungerer bedre i den virkeligheten de settes opp mot. Når det gjelder EUs personverndirektiv fra 19954, er dette mer detaljert enn de to andre nevnte regelsettene. Mens Europarådets og OECDs retningslinjer angir prinsipper for flyt og behandling av personopplysninger, er EU-direktivet i større grad ment å detaljregulere behandling av personopplysninger i EU- og EØS-landene.

EU-kommisjonen har lagt frem forslag til en generell forordning om personvern som skal erstatte det gjeldende direktivet. Direktivet, som snart er 20 år gammelt, ble til i en tid da internett ennå ikke var en del av folks hverdag. Den teknologiske utviklingen nødvendiggjør en tilpasning av regelverket, slik at det bedre kan anvendes på den virkeligheten det eksisterer i. Retten til å bli glemt og retten til å ta med seg personopplysninger fra en tjenestetilbyder til en annen (særlig sosiale nettsamfunn) er typiske konsekvenser av slik tilpasning. Arbeid med denne type regler kan ikke skje nasjonalt, men krever internasjonalt samarbeid både om regelverk og håndheving. Nettopp for å sikre bedre håndhevingssamarbeid har EU-kommisjonen også foreslått en styrking av de nasjonale tilsynsmyndighetene, deres samarbeidsorgan og virkemiddelapparat. For å styrke personvernet har EU-kommisjonen også anbefalt at de nye reglene vedtas som forordning. Dette innebærer at de landene som forpliktes av regelverket, må gjennomføre reglene direkte i nasjonal lovgivning. Bruk av forordning vil derfor medføre større grad av harmonisering av personvernregelverket i Europa. Færre ulike regelverk å forholde seg til, kan lette etterlevelsen for behandlingsansvarlige som driver virksomhet i flere land, og dermed gi bedre personvern for de registrerte.

Samspill mellom teknologi og personvern

Teknologien preger svært mange av våre daglige gjøremål. Vi reiser med elektroniske billetter i kollektivtrafikken, vi passerer helautomatiske bomstasjoner, vi betaler den minste lille ting med kort, og vi har smarttelefonene med oss hele dagen. Samlet etterlater vi oss store mengder elektroniske spor som kan si mye om oss i form av bevegelser og aktiviteter. Det er viktig at tilbyderne av de ulike tjenestene tenker personvern når nye løsninger utvikles.

Personvernfremmende teknologi har lenge vært et kjent begrep. I dette ligger en idé om å bruke teknologien på en slik måte at den ivaretar og fremmer personvernhensyn. Et eksempel på personvernfremmende teknologi er kryptering, som gjør at identiteten til de registrerte ikke er åpent tilgjengelig for dem som behandler opplysninger. Et annet eksempel på personvernfremmende teknologi er søkemotorimmunisering, som gjør informasjon utilgjengelig for søk via de store søkemotorene på nett. Denne teknologien er tatt i bruk i forbindelse med Offentlig elektronisk postjournal i staten på en slik måte at informasjon ikke er søkbar på personnavn lenger enn i ett år.

Personvernfremmende teknologi er et sentralt element i innebygget personvern, som er i ferd med å få fotfeste også i Norge. Innebygget personvern, eller privacy by design som det også omtales som, innebærer at personvern bygges inn i nye teknologiske løsninger fra starten av. Teknologien må utvikles slik at den understøtter etterlevelse av personvernregelverket. De personvernvennlige alternativene ligger i teknologien som de forhåndsdefinerte valgene. Vil man ha mindre personvernvennlige alternativer må brukeren aktivt velge dette i stedet for omvendt. Men innebygget personvern er mer enn bare teknologi – det er et uttrykk for at den behandlingsansvarlige har kultur for og fokus på personvern i hele sitt arbeid. Det er et uttrykk for at personvern er en integrert del av alle prosesser, og hensyntas på linje med andre hensyn virksomheten må ivareta. Klarer virksomheten å tenke personvern tidlig i prosesser, kan personvernhensyn tas uten at det kreves store omarbeidinger og tilpasninger. Dette vil i de fleste sammenhenger også bety at ivaretakelse av personvernhensyn kan skje uten å bli en svært kostnadskrevende prosess. Det er et stort potensial for innebygget personvern i forbindelse med digitalisering av både offentlige og private tjenester.