Utvalgte hurtiglenker

    Meldinger til Stortinget

    Meld. St. 32 (2011–2012)

    Datatilsynets og Personvernnemndas årsmeldinger for 2011

    Til innholdsfortegnelse
    Forrige kapittel

    2 Personvernnemndas årsmelding 2011

    2.1 Sammendrag

    Dette er Personvernnemndas ellevte årsmelding. I løpet av året er det kommet 13 klager. Totalt 14 saker er ferdigbehandlet i 2011; seks saker fra 2010 og åtte saker fra 2011. Datatilsynets vedtak er omgjort i seks av de 14 sakene.

    Saksmengden har vært normal sammenlignet med tidligere år, med unntak for 2009 hvor det kom inn et svært høyt antall saker. Det er mulig at antallet saker varierer med hvilke sektorer Datatilsynet gjennomfører tilsyn hos. Sammenlignet med det totale antall saker hos Datatilsynet, er klagemengden liten og gir dårlig grunnlag for å generalisere om Datatilsynets saksbehandling.

    Flere av sakene har vært prinsipielle. De største sakene, blant annet PVN-2010-09 Ung i Norden, PVN-2011-02 BP Norge, PVN-2011-04 Avfallsservice og PVN-2011-06 ConocoPhillips, har nemnda arbeidet med i en rekke nemndsmøter i 2011.

    Flere av sakene har i år dreiet seg om bruk av ny teknologi i forhold til arbeidstakere. Sakene illustrerer at det er viktig at man finner en korrekt balanse mellom de personvernbelastninger som økte kontrollmuligheter medfører og de hensyn man ønsker å oppnå. Det vises her særlig til sak PVN-2011-02 BP Norge og PVN-2011-04 Avfallsservice. Sistnevnte sak viser også hvordan bestemmelsene i arbeidsmiljøloven spiller sammen med bestemmelsene om personvern. Personvernnemnda registrerer at brudd på regelverket ikke alltid får konsekvenser for arbeidsgiver og uttalte i sistnevnte sak at nemnda støtter Datatilsynet i at sanksjonsapparatet bør vurderes brukt i slike saker.

    Personvernnemnda registrerer i øvrig at internasjonale forhold er aktuelle, noe som ikke er overraskende. Flere saker viser at man ofte må ta hensyn til ulike regelverk i vedtakene og at disse kan ha høyst ulike retningslinjer og hensyn. Eksempler på dette er PVN-2010-08 Fjellinjen og PVN-2010-07 E-18 Vestfold. På slike områder kan det være aktuelt med en mer overordnet rettspolitisk diskusjon.

    Personvernnemnda kan bare ta stilling til spørsmål i de foreliggende konkrete saker, men ser at klagesakene viser at det på flere områder er behov for en sektorovergripende rettspolitisk debatt i forhold til gjeldende lovverk.

    2.2 Innledning

    Personvernnemnda er opprettet med hjemmel i lov om behandling av personopplysninger (2000:31). Loven trådte i kraft 1.1.2001. Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven, helseregisterloven (2001:24) og helseforskningsloven (2008:44).

    Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Fornyings- og administrasjonsdepartementet (FAD).

    Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.

    Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.

    Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene.

    2.3 Medlemmer

    Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen. Første gangs oppnevning skjedde i 2001. I desember 2008 ble det oppnevnt ny leder og nestleder, samt to nye medlemmer, som startet sin funksjonstid 1.1.2009.

    Personvernnemnda besto i 2011 av følgende personer:

    Eva I. E. Jarbekk, leder

    Arve Føyen, nestleder

    Tom Bolstad

    Leikny Øgrim

    Jostein Halgunset

    Ørnulf Rasmussen

    Ann Rudinow Sætnan

    I tillegg har alle medlemmene personlige vararepresentanter:

    Olav Torvund (vara for leder)

    Ingvild Hanssen-Bauer (vara for nestleder)

    Gry Nergård

    Lars Erik Fjørtoft

    Svein Erik Ekeid

    Michal Wiik Johansen

    Gisle Hannemyr

    2.4 Andre organisatoriske forhold

    Sekretariatet til Personvernnemnda består av Tonje Røste Gulliksen. Hun ble ansatt som seniorrådgiver i Fornyingsdepartementet med tiltredelse 1. mars 2006 for å arbeide i Personvernnemndas sekretariat. Fra august 2009 har sekretæren leid kontor i Sandefjord der hun bor, men hun reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Dette har ikke skapt praktiske problemer for nemndas arbeid.

    Personvernnemnda holder sine møter i Oslo. Personvernnemnda har egen hjemmeside, www.personvernnemnda.no , hvor blant annet vedtakene er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata hvor det er lenket til det øvrige materialet.

    2.5 Møter og konferanser 2011

    Personvernnemnda har i 2011 hatt i alt 10 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold er blitt behandlet.

    I tillegg til nemndsmøter har det vært forberedende møter med sekretariatet og leder.

    Personvernnemnda valgte å ikke delta på den internasjonale personvernkonferansen i 2011, som var i Mexico.

    Personvernnemnda arrangerte et internseminar 1. desember 2011 for medlemmer og varamedlemmer, med inviterte deltakere fra Datatilsynet og Fornyings- og administrasjonsdepartementet. Nemnda hadde invitert både eksterne og interne foredragsholdere. Tema for konferansen var personvern og sikkerhet ved tjenester «i skyen (cloud)» og digital agenda for EU. Sakene i nemnda gjenspeiler ofte den teknologiske utviklingen i samfunnet og det er verdifullt for nemndas medlemmer å få innspill på saksforhold og trender som er personvernrelevante.

    Personvernnemnda ytet økonomisk støtte til «Personvernkonferansen 2011», som ble arrangert av Senter for rettsinformatikk (SERI), Universitetet i Oslo, 2. desember 2011, med tema «Personvern i arbeidslivet».

    2.6 Klagesaksbehandling

    Personvernnemnda mottok i 2011 totalt 13 klagesaker. Av disse var åtte ferdigbehandlet ved utgangen av året. I tillegg ble seks saker fra 2010 ferdigbehandlet i 2011. Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene som nevnt publisert i egen database hos Lovdata.

    Saksmengden har normalisert seg i forhold til i fjor og er på linje med 2007 og 2008. Flere av sakene har vært prinsipielle. Også i 2011 har omfangsrike saker medført arbeid for medlemmene ut over de tilmålte fire timers forberedelse til hvert møte.

    Flere av sakene har i år dreiet seg om bruk av ny teknologi i forhold til arbeidstakere. Sakene illustrerer at det er viktig at man finner en korrekt balanse mellom de personvernbelastninger som økte kontrollmuligheter medfører og de hensyn man ønsker å oppnå. Det vises her særlig til sak PVN-2011-02 BP Norge og PVN-2011-04 Avfallsservice. Sistnevnte sak viser også hvordan bestemmelsene i arbeidsmiljøloven spiller sammen med bestemmelsene om personvern. Personvernnemnda registrerer at brudd på regelverket ikke alltid får konsekvenser for arbeidsgiver og uttalte i sistnevnte sak at nemnda støtter Datatilsynet i at sanksjonsapparatet bør vurderes brukt i slike saker.

    Personvernnemnda registrerer i øvrig at internasjonale forhold er aktuelle, noe som ikke er overraskende. Et eksempel er PVN-2011-06 ConocoPhillips.

    Flere saker viser at man ofte må ta hensyn til ulike regelverk i vedtakene og at disse kan ha høyst ulike retningslinjer og hensyn. Eksempler på dette er PVN-2010-08 Fjellinjen og PVN-2010-07 E-18 Vestfold. På slike områder kan det være aktuelt med en mer overordnet rettspolitisk diskusjon.

    Saker som ble behandlet i 2011 er:

    PVN-2010-06 Forsikringsselskaps bruk av kredittopplysninger

    Anmodning om omgjøring av vedtak

    Anmodning om omgjøring av konsesjonsvilkår som er omhandlet i PVN-2004-08 pkt 6.4, som gjelder for behandling av personopplysninger i forsikringsvirksomhet, slik at det blir tillatt å foreta kredittvurdering som ledd i risikovurderingen. Etter en grundig analyse av aktuarrapporten er nemnda ikke enig i at dette beviser selskapenes påstand om at data om betalingsanmerkninger ville gi signifikant bedring av risikomodellen til selskapene. Klagernes påstand viser dessuten en misforståelse av KLP- og Utleiermegleren-sakene. Personvernnemnda kan ikke se at rettstilstanden er endret slik klager anfører. Etter nemndas syn er dette dessuten en annen bruk av kredittopplysninger – ikke for kredittvurdering som i KLP-saken og Utleiemegleren-saken, men for å prise en tjeneste. Nemnda har tatt saken til vurdering, men kan ikke se at det gjør seg gjeldende hensyn som burde tilsi en omgjøring av vedtaket.

    PVN-2010-07 E-18 Vestfold

    Klage på Datatilsynets pålegg om å slette data om bompasseringer for innehavere av forskuddsbetalt konto

    Klage på Datatilsynets pålegg om sletting av passeringsdata. Saken gjelder spørsmålet om hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som har forskuddsbetalt konto. Datatilsynet har pålagt klager å slette slike passeringsdata innen en måned etter passeringstidspunktet, jf personopplysningsloven § 28. Skattedirektoratet har avgitt en uttalelse i saken og konkluderer med at passeringsdata (angivelse av parter, tid og sted for levering, vederlag etc) skal oppbevares i 10 år med henvisning til bokføringsregelverket. Personvernnemnda sluttet seg til Skattedirektoratets konklusjon og begrunnelsen for denne.

    PVN-2010-08 Fjellinjen

    Klage på Datatilsynets vedtak om sletting av passeringsdata ved etterskuddsbasert fakturering

    Klage på Datatilsynets pålegg om sletting av passeringsdata. Saken gjelder spørsmålet om hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som med etterskuddsbasert fakturering. Datatilsynet har pålagt klager å slette slike passeringsdata innen fem måneder etter passeringstidspunktet, jf personopplysningsloven § 28. Skattedirektoratet har avgitt en uttalelse i saken og konkluderer med at passeringsdata (angivelse av parter, tid og sted for levering, vederlag etc) skal oppbevares i 10 år med henvisning til bokføringsregelverket. Personvernnemnda sluttet seg til Skattedirektoratets konklusjon og begrunnelsen for denne.

    PVN-2010-09 Ung i Norden

    Klage på Datatilsynets delvise avslag på søknad om konsesjon til å behandle personopplysninger i forskning

    Klage på Datatilsynets delvise avslag på søknad om konsesjon i forbindelse med prosjektet «Nordisk omfangsundersøkelse – Ung i Norden 2009». Datatilsynet har satt som vilkår at foreldrene må samtykke til ungdommenes deltakelse i prosjektet og dessuten har Datatilsynet vurdert at informasjonssikkerheten ikke var tilstrekkelig ivaretatt i løsningen slik det var søkt om, jf personopplysningsloven § 13, jf personopplysningsforskriften kapittel 2. Personvernnemnda mener at det ikke foreligger hjemmel for en 15 årings egensamtykke til behandling av sensitive personopplysninger i personopplysningsloven, og heller ikke i barneloven. Det kreves derfor samtykke fra foresatte for å delta i en slik undersøkelse som ikke er anonym. Foreldresamtykket må være aktivt. Når kravet til samtykke er at det skal være «utrykkelig» er det bare det aktive samtykket som kan godtas, jf personopplysningsloven § 2 nr 7. Personvernnemnda har også vurdert informasjonssikkerhetsspørsmålet, og finner ikke grunnlag for å endre på Datatilsynets vedtak.

    PVN-2010-10 SATK

    Klage på Datatilsynets vedtak vedrørende strekningsvis automatisk trafikkontroll

    Klage på Datatilsynets vedtak vedrørende strekningsvis automatisk trafikkontroll (SATK). Personvernnemnda måtte vurdere behandlingsgrunnlag og kom til at SATK har hjemmel i lov, jf vegtrafikkloven § 5, tredje ledd, jf § 10. Nemnda kom til at registreringen som foretas i den løsningen som er valgt synes saklig begrunnet og formålstjenlig. Valget av løsning ligger innenfor handlingsrommet til behandlingsansvarlig. Nemnda konkluderte med at klager har rettslig grunnlag for fotografering av biler som passerer punkt A og B, men at lagring og videre behandling av data kun skjer for kjøretøy som kjører for fort.

    PVN-2010-11 Sletting av informasjon om beredskapshjem

    Klage på Datatilsynets vedtak om sletting av personopplysninger på internett

    Klage vedrørende sletting av informasjon om beredskapshjem. Saken dreier seg om et internettforum med diskusjon av og informasjon om ulike barnevernssaker. En av innleggerne har oppgitt kontaktopplysninger om såkalt skjermet beredskapshjem (med sperret adresse). Datatilsynet fant at man er utenfor vernet ytringsfriheten gir når man legger ut opplysninger om et beredskapshjem, som er ment å være en skjermet adresse av hensyn til de som befinner seg der. Personvernnemnda kom til klager må gis medhold fordi ytringene på nettstedet omfattes av ytringsfriheten slik som angitt i Grunnloven § 100 og personopplysningsloven § 7.

    PVN-2011-01 Arbeidsgivers innsyn i e-post

    Klage på Datatilsynets vedtak om å avslutte sak om arbeidsgivers innsyn i e-post uten ileggelse av overtredelsesgebyr

    Klage på Datatilsynets vedtak om å avslutte sak om arbeidsgivers innsyn i e-post uten ileggelse av overtredelsesgebyr. Klager anfører at bruddene på personopplysningsforskriften er såpass alvorlige at det burde utløse en reaksjon fra Datatilsynets side, jf personopplysningsloven § 46. Datatilsynet vurderte å ilegge overtredelsesgebyr og har deretter konkludert med at en sanksjon i form av et overtredelsesgebyr vil være en for streng reaksjon i denne saken sett i sammenheng med tidligere saker som Datatilsynet har vurdert som alvorligere. Etter nemndas syn har ikke Datatilsynet særlig vurdert de momenter som loven pålegger tilsynet å legge vekt på, jf § 46 annet ledd. Lovgiver synes å ha foretatt et bevisst valg av en spesiell lovgivningsteknikk – dette «skal» vurderes – og nemnda oppfatter at dette binder Datatilsynet i kriteriene for vurdering. Tilsynets vurdering er ikke i samsvar med den nevnte lovgivningsteknikk og nemnda kan ikke gjennomføre den etterprøving som forutsettes i en klagesak. Saken sendes tilbake til Datatilsynet som mangelfullt begrunnet.

    PVN-2011-02 BP Norge

    Klage på Datatilsynets vedtak om bruk av døgnkontinuerlig videokonferanseutstyr på installasjoner offshore og på land

    Klage på Datatilsynets vedtak om bruk av døgnkontinuerlig videokonferanseutstyr på installasjoner offshore og på land. Datatilsynet la opprinnelig til grunn at det ikke var nødvendig med kontinuerlig overføring av lyd og bilder for å oppnå de angitte formålene. Etter befaringen på Forus finner tilsynet det imidlertid godtgjort at lyd og bildeoverføringen er egnet til å optimalisere driften og sikkerheten. Det legges til grunn at det må være en fordel at støttefunksjoner på land lettere vil kunne bistå med sin ekspertise. Det legges også vekt på at tiltaket så langt har hatt en positiv effekt og Datatilsynet konkluderte med at for å oppnå full integrering av kontrollrommene, slik hensikten er, må bildeoverføringen være kontinuerlig. Personvernnemnda var enig med Datatilsynet. Begrunnelsen for kameraovervåkningen er sikkerhet. Ved at to uavhengige miljøer kan se det samme, vil en hendelse som oppstår bli enklere å jobbe med for de to uavhengige miljøene. Nemnda har også oppfattet at de som arbeider på de to kontrollrommene er komplementære kompetansemessig, men likestilte kolleger. Etter nemndas syn vil det være mindre krenkende med kameraovervåkning som går begge veier, altså at offshore også ser kontrollrommet på land, enn enveis overvåkning. Nemnda kan forstå at de ansatte kan oppleve også toveis overvåkning stressende og ubehagelig. Nemnda finner imidlertid at de hensyn som er anført ikke er tungtveiende.

    PVN-2011-03 Arbeidsgivers attest

    Klage på Datatilsynets vedtak om sletting av opplysninger i personalmappe

    Saken dreier seg om et åtte år gammelt skjema i en personalmappe hos Nordea kalt «Grunnlag for utarbeidelse av attest». Notatet inneholder negative karakteristikker av klager. Klager ønsker notatet slettet. Nordea ønsker å beholde notatet hele ansettelsestiden, jf attestplikten i arbeidsmiljøloven § 15-15. Personvernnemnda bemerket at skjemaet ikke skal oppbevares lenger enn formålet for innsamlingen tilsier. Formålet er attestgrunnlag. Stillingen er fratrådt og klager har åpenbart en annen stilling i samme konsern. Personvernnemnda er av den oppfatning at åtte år gamle opplysninger fra en fratrådt stilling neppe er relevante opplysninger nå i relasjon til den påberopte attestplikten etter arbeidsmiljøloven § 15-15. Nemnda var enig med Datatilsynet i at dokumentet skal slettes.

    PVN-2011-04 Avfallsservice

    Klage på Datatilsynets vedtak om at sammenstilling av personopplysninger fra GPS-systemet i Avfallsservice AS’ biler med sjåførenes timelister var uforenlig med det opprinnelige formålet og manglet behandlingsgrunnlag

    Klage på Datatilsynets vedtak om at sammenstilling av personopplysninger fra GPS-systemet i Avfallsservice AS’ biler med sjåførenes timelister var uforenlig med det opprinnelige formålet og manglet behandlingsgrunnlag. Personvernnemnda var enig i Datatilsynets resonnement og konklusjon, nemnda kunne derfor tiltre Datatilsynets vurderinger og begrunnelse. Dette sammenfalt også med lagmannsrettens vurdering av spørsmålet. Personvernnemnda stadfestet Datatilsynets vedtak. Nemnda støttet også Datatilsynet i at sanksjonsapparatet bør vurderes brukt i slike tilfeller.

    PVN-2011-05 Antidopingprogram – konsesjon

    Klage på Datatilsynets standardkonsesjon for å behandle personopplysninger i antidopingprogram ved treningssentre

    Klage på Datatilsynets standardkonsesjon for å behandle personopplysninger i antidopingprogram ved treningssentre. Klagen er begrunnet i at konsesjonen i praksis godkjenner avtalevilkårene om dopingtest, som er vurdert av Markedsrådet/Forbrukerombudet til å være i strid med markedsføringsloven og at en slik vurdering av vilkårene faller utenfor Datatilsynets ansvarsområde. Klager anfører videre at han som fastlege kan komme i den situasjon at han må skrive legeerklæringer vedrørende medikamentbruk for at pasienten skal kunne opprettholde sitt kundeforhold til treningssenteret. Personvernnemnda kommenterte at selve avtalevilkårenes rimelighet hører under Forbrukerombudet og Markedsrådet, og kan eventuelt påklages dit. Etter Personvernnemndas oppfatning var dette ikke sakens tvistepunkt. Saken gjaldt en klage på Datatilsynets standardkonsesjon utstedt med hjemmel i personopplysningsloven § 46 fjerde ledd, jf § 9 tredje ledd. Personvernnemnda var etter en totalvurdering av saken enig i Datatilsynets vurdering og vedtak. Personvernnemnda la vekt på at dopingbruk har store både samfunnsmessige og individmessige konsekvenser og at viktige samfunnsinteresser tilsier at antidopingarbeid ivaretas også på alminnelige treningssentre. Det er frivillig å bli medlem på et treningssenter og det finnes alternative treningsmuligheter. Klager hadde anført ulike klagegrunner, men nemnda fant ikke at disse veide tyngre enn de samfunnsinteressene som gjør seg gjeldende i denne saken.

    PVN-2011-06 ConocoPhillips

    Klage på Datatilsynets vurdering av krav til behandlingsgrunnlag ved screening innen ConocoPhillips-konsernet

    Klage på Datatilsynets vedtak om manglende behandlingsgrunnlag for screening innen ConocoPhillips-konsernet. Personvernnemnda opphevet vedtaket. Etter nemndas syn er dette tale om lovlig innsamlede opplysninger i Norge, som lovlig overføres til USA med hjemmel i § 30 bokstavene c og f. Når de registrerte opplysningene er legalt overført til USA, er det deretter amerikansk lov som regulerer de krav som stilles til behandlingen der. Opplysningene kan i USA brukes til andre formål enn det de opprinnelig ble samlet inn for, dersom det finnes hjemmel for slik bruk etter amerikansk rett.

    PVN-2011-07 Gerica

    Klage på Datatilsynets vedtak om private tjenesteyteres tilgang til Oslo kommunes helseregistre

    Tilgang til fellesregister Gerica. Datatilsynet og klager er enige om helseregisterloven § 13 er til hinder for at Oslo kommune kan gi private virksomheter tilgang til kommunens helseregistre. Klager mener dog at Datatilsynets vedtak lider av saksbehandlingsfeil. Oslo kommune mener at alvorlighetsgraden av manglende etterkommelse av lovens bokstav i helseregisterloven § 13 ikke står i forhold til omfanget og alvorlighetsgraden av konsekvensene av vedtaket. Personvernnemnda har vurdert saken og er kommet til at helseregisterloven må legges til grunn. Nemnda har ingen hjemmel til å dispensere fra loven. Datatilsynets vedtak opprettholdes.

    PVN-2011-08 Tilsyn hos Arendal kommune

    Klage på Datatilsynets kontroll hos Arendal kommune

    Klage på Datatilsynets kontroll vedrørende opplysninger og karakteristikker om klager registrert i kommunalt register. Saken dreide seg opprinnelig om en påstand om at det var registrert feilaktige opplysninger om klageren i Arendal kommunes registre, at klager ikke hadde fått tilstrekkelig innsyn i dokumentene, at tilgangsstyringen til registeret ikke var tilstrekkelig og at kommunen ikke hadde beklaget forholdet på tilstrekkelig måte overfor klager. Personvernnemnda sendte saken tilbake til Datatilsynet slik at det kunne gjennomføres tilsyn hos kommunen. Tilsyn (stedlig kontroll) ble gjennomført. Klager har påklaget kontrollen. Personvernnemnda er av den oppfatning at tilsynet har avdekket at tilgangskontrollen er i samsvar med regelverk, samt at opplysninger og karakteristikker av klageren er blitt rettet ved supplering på adekvat måte. Personvernnemnda er kommet til at Datatilsynets behandling har vært utført i samsvar med forvaltningsloven § 17.

    2.7 Regnskap og budsjett for 2011

    Personvernnemnda hadde i 2011 en budsjettramme på kr 1 742 000, og fremkommer under kap 1500 Fornyings- og administrasjonsdepartementet i statsbudsjett for 2011.

    Totalt forbruk: kr 1 092 145.

    Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, arrangement av seminar, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler.

    Oslo, 10. februar 2012

    For Personvernnemnda

    Eva I E Jarbekk

    Leder

    Forrige kapittel
    Forrige kapittel
    Til forsiden
    Til toppen