Meld. St. 17 (2021–2022)

Datatilsynets og Personvernnemndas årsrapportar for 2021

Til innhaldsliste

1 Merknader frå Kommunal- og distriktsdepartementet til Datatilsynets årsrapport

I meldingsåret har Datatilsynet særleg prioritert arbeid med saksbehandling og kontroll (nærmare omtalt i pkt. 3.1), personvernproblemstillingar knytt til pandemisituasjonen, regulatorisk sandkasse for kunstig intelligens, internasjonalt samarbeid og personverntematikk knytt til skole, barn og unge. I tillegg har Datatilsynet hatt andre vesentlege aktivitetar i 2021, slik som arbeid med informasjonssamfunstenester og annonseindustrien («ad tech»).

Prioriteringane er mellom anna basert på følgande frå tilsynets hovudstrategi:

  • Å arbeide for ein meir rettferdig maktbalanse mellom individet og kommersielle/offentlege aktørar.

  • Å fremme personvernvennleg digitalisering, innovasjon og utvikling.

  • Å vere eit kompetent, fleksibelt og framtidsretta tilsyn.

1.1 Koronapandemiens påverknad på verksemda i Datatilsynet

Koronapandemien påverka i stor grad drifta av Datatilsynet også i 2021. Ved inngang til året valde tilsynet å ha personvern og korona som eit av dei prioriterte områda sine, og meiner i ettertid at dette var ei riktig avgjerd. Tilsynet peiker i årsrapporten på at det har vore ein auke i koronarelaterte klagar. Dette omfattar mellom anna klagar knytt til overvaking på heimekontor. Tilsynet har lagt stor vekt på å prioritere koronarelaterte problemstillingar, både som rådgjevar og som tilsynsmyndigheit. Pandemisituasjonen har påverka saksbehandlingstida i tilsynet, og denne har til tider vore noko lenger enn normalt. Dei meiner likevel at dette ikkje har hatt store negative konsekvensar. Mellom anna har færre foredrag og eksterne møte bidratt til å frigjere tid som har vore brukt på saksbehandling.

Datatilsynet peiker i årsrapporten på at det i løpet av pandemien er sett i gang tiltak som ikkje ville vore akseptable i eit normalår. Dette gjeld mellom anna lovgjevingstiltak som ikkje har vore tilfredsstillande utgreidd, og det gjeld gjennomføring av kontrolltiltak i arbeidslivet. Tilsynet meiner derfor det er viktig at vi raskt kjem attende til slik det var før pandemien. Personvernkonsekvensane ved ulike tiltak må greiast ut, og tiltak som ikkje tilfredsstiller lovkrava må avsluttast. Dessutan peiker tilsynet på at ein må ta seg betre tid i regelverksarbeid, slik at det er nok tid til å gjere gode utgreiingar.

Eit viktig mål for Datatilsynet er at den einskilde skal vere i stand til å ta vare på sitt eige personvern, og at verksemder skal kjenne pliktene sine. Dette har også vore viktig under pandemien. Datatilsynet har derfor oppretta ei eiga temaside på datatilsynet.no der dei har samle ulik pandemirelatert informasjon. Her har dei mellom anna publisert informasjon om koronasertifikat, registrering av gjester på utestader, digital undervisning og videokonsultasjonar i helsevesenet. Eit viktig tema har også vore kontrolltiltak og overvaking på arbeidsplassen som følge av meir heimekontor og digitalt arbeid.

Departementet meiner det er bra at tilsynet har jobba med nettsidene sine for å nå breitt ut med informasjon om koronasituasjonen og personvern. Gode nettsider kan vere ein viktig avlasting for tilsynet si rettleiingsteneste i enkle saker, slik at saksbehandlarane kan bruke tida si på dei meir komplekse sakene.

Pandemien har også påverka interne tilhøve i Datatilsynet gjennom færre faglege og sosiale møteplassar, noko som mellom anna kan påverke trivselen til dei tilsette. Tilsynet meiner likevel dei har klart å halde produksjonen på eit høgt nivå, noko departementet tolkar som eit teikn på at dei har evna å ta vare på dei tilsette i ein krevjande situasjon.

1.2 Datatilsynets regulatoriske sandkasse for personvern og kunstig intelligens

Som eit av tiltaka foreslått i den nasjonale strategien for kunstig intelligens (KI) frå januar 2020, blei den regulatoriske sandkassa for personvern og kunstig intelligens oppretta i Datatilsynet hausten 2020. 2021 var det første året sandkassa var fullt operativ. Målet med sandkassa er å stimulere til innovasjon av det som, frå eit personvernperspektiv, er etisk og ansvarleg KI. I sandkassa kan einskilde aktørar frå både offentleg og privat sektor få hjelp til å følge personvernregelverket og utvikle personvernvennlege løysingar basert på KI.

Sandkassa er finansiert gjennom eit tverrdepartementalt samarbeid der fleire departement bidreg i tillegg til Kommunal- og distriktsdepartementet. I åra 2021 og 2022 er sandkassa eit prøveprosjekt. Den vidare drifta vil bli vurdert av departementa innan utløpet av prøveperioden.

I 2021 var det to søknadsrundar til den regulatoriske sandkassa. Totalt kom det inn 46 søknader som femna om eit breitt utval sektorar og personvernproblemstillingar knytt til utvikling og bruk av KI. Tema som gjekk att i søknadene var transparens, rettferd, dataminimering, anonymisering og rettsleg grunnlag for behandling av personopplysningar. Kriterium for val av prosjekt var mellom anna at dei involverte bruk av KI og at verksemda ønskte hjelp til å løyse konkrete personvernproblemstillingar. Totalt blei sju prosjekt tatt opp i sandkassa i løpet av rapporteringsåret, fire med oppstart på våren og tre med oppstart mot slutten av året. Dei dekte områda helse, velferd, opplæring, arkivering, arbeidsliv og finans, og inkluderte aktørar frå både offentleg og privat sektor. I val av prosjekt har Datatilsynet hatt bistand frå Innovasjon Norge, Norsk Regnesentral, Likestillings- og diskrimineringsombodet og Tekna, noko som sikrar brei forankring av arbeidet.

Datatilsynet har sett tre overordna mål for arbeidet i den regulatoriske sandkassa. For det første skal sandkassa bidra til at verksemdene betre forstår dei regulatoriske krava, og kva for innverknad personvernreglane får for nye forretningsmodellar. For det andre skal sandkassa bidra til at Datatilsynet får økt forståing og kunnskap om nye teknologiske løysingar. For det tredje er det eit viktig mål at arbeidet i sandkassa skal vere nyttig for andre verksemder enn dei konkrete deltakarane, at det tek vare på dei grunnleggande rettene og fridomane til enkelpersonar og gjev verdi for heile samfunnet. For å nå desse måla blir det praktisert stor grad av openheit. Planar for og rapportar frå alle prosjekta blir publiserte på nettsidene til Datatilsynet. Datatilsynet har også laga ein podcast-serie, halde fleire opne møte om tematikk som har vore tilbakevendande i søknadene og arrangert faste møte på tvers av deltakarprosjekta slik at dei kan dele erfaringar. I tillegg har dei arrangert koordineringsmøte med Arkivverket og Finanstilsynet, som også har sandkasser for sine sektorar, og vore ansvarleg for eit europeisk nettverk for personvernmyndigheiter som har regulatoriske sandkasser. Sist, men ikkje minst, har Datatilsynet delt erfaringane sine med både masterstudentar og doktorgradsstipendiatar ved Universitetet i Oslo.

Datatilsynet peiker i årsrapporten på at evalueringa etter den første runden i sandkassa viser stor nytteverdi både for dei deltakande verksemdene og for tilsynet sjølv. Moglegheita for å gå djupare inn i problemstillingar og forstå korleis dei blir oppfatta i verksemdene er verdifullt for Datatilsynet og bidreg til å bygge kompetanse og innsikt dei elles vanskeleg kan få. Denne kompetansen er viktig for at dei skal kunne gje god rettleiing i framtidige saker. Datatilsynet peiker vidare på at erfaringane har vist det er viktig å velje nøye kva for spørsmål ein skal arbeide med i dei ulike prosjekta, slik at ein klarer å behandle dei på ein god måte. Ressursbruken i prosjekta inneber også at dei vil vurdere formatet på sluttrapportane frå prosjekta, som har vist seg svært ressurskrevjande.

På tampen av 2021 blei den regulatoriske sandkassa i Datatilsynet nominert til Bedre stat-prisen 2022.

Gjennom arbeidet har Datatilsynet, slik departementet ser det, nådd breitt ut og fått mykje merksemd om den regulatoriske sandkassa både nasjonalt og internasjonalt. Det er stor interesse for å delta i sandkassa frå både offentleg og privat sektor. Dette viser at denne måten å arbeide på blir oppfatta som nyttig ute i verksemdene. Det er også bra at Datatilsynet sjølv meiner denne arbeidsforma gjev verdi på ein annan måte enn meir tradisjonell rettleiingsverksemd.

1.3 Skole, barn og unge

Barn nyt eit særleg vern etter personvernregelverket, mellom anna fordi det ofte er andre enn barna sjølve som bestemmer korleis opplysningane deira skal brukast. Og der barn sjølve samtykker til bruk av personopplysningar, har dei i mindre grad enn vaksne føresetnadene som trengst for å forstå dei fulle konsekvensane av samtykket. Datatilsynet har derfor også i 2021 sett søkelyset på personvernet til barn og unge.

Personopplysningane til barn og unge blir i aukande grad registrerte og brukte i ulike digitale løysingar, både på helsestasjonen, i barnehagen og på skolen. Digitale verktøy blir mellom anna brukt i læringssituasjonen og i kommunikasjon med føresette. Trygg bruk av slike verktøy føreset god kunnskap om personvern og informasjonssikkerheit. Slik kunnskap må ligge i alle ledd, både hos leverandørane som utviklar løysingane, hos kommunane som kjøper inn løysingane, og hos lærarar, elevar og føresette som tar løysingane i bruk.

Til liks med føregåande år, har Datatilsynet i 2021 fått fleire avviksmeldingar om brot på personopplysningssikkerheita i skolen. Avvika har oppstått som følge av både tekniske og menneskelege feil. Basert på sakene Datatilsynet har behandla i meldingsåret, meiner tilsynet at det framleis er manglande kompetanse i skolesektoren om personvern og informasjonssikkerheit. Datatilsynet har derfor brukt mykje ressursar på å gi rettleiing til sektoren. Denne prioriteringa er forankra i tilsynets strategiske mål om å arbeida for at verksemder skal forstå viktigheita av godt personvern og av å etterleve regelverket.

I 2021 har Datatilsynet vidare gitt høyringssvar i to sentrale lovforslag som påverkar barn og unge. I høyringssvaret til ny barnelov støtta Datatilsynet mellom anna behovet for å gjera tydeleg forholdet mellom barns rett til personvern og plikta dei føresette har til å vareta barnets beste. I høyringssvaret til ny opplæringslov peika Datatilsynet mellom anna på at personvernregelverket gir ei rekke rettar til elevane og deira føresette, og at det er viktig at skolesektoren har system for å vareta desse rettane på ein god måte.

Dei siste åra har Datatilsynet arrangert rundebordskonferansar om personvern og informasjonssikkerheit i skolen. Dette ble også gjort i 2021. Hovudtema var behovet for auka samarbeid mellom kommunar, interesseorganisasjonar og myndigheiter. Datatilsynet vil i åra som kjem fortsette å arbeide med tematikken og samarbeide med relevante aktørar, slik som KS (Kommunesektorens Organisasjon) og KiNS (Foreininga for kommunal informasjonssikkerheit).

Datatilsynet har i meldingsåret også vidareført samarbeidet med Utdanningsdirektoratet om å auka kompetansen til barn og unge om personvern, nettvett og digital dømmekraft. I dette arbeidet er nettressursen dubestemmer.no ein viktig kanal for å nå fram til både elevar og lærarar. I 2020 og 2021 blei nettsidene reviderte, og det blei lagt til mykje nytt innhald.

Det er Datatilsynets oppfatning at utviklinga i skolesektoren er på rett veg. Mange har no sett personvern på agendaen, mellom anna på bakgrunn av fleire store saker dei siste åra om brot på informasjonssikkerheita i skolen. Samtidig er det framleis ein jobb å gjere, mellom anna i form av kompetanseheving. Departementet meiner det er positivt at Datatilsynet er oppteke av å fremme eit godt personvern i skolesektoren. Bruk av digitale verktøy i skolen har fleire fordelar, og kan bidra til betre læringsutbyte for elevane. Samtidig er det viktig å sikre at digitaliseringa i skolen skjer på ein måte som varetar personvernet.

1.4 Internasjonalt samarbeid

Heilt sidan gjennomføringa av personvernforordninga i norsk rett i 2018, har Datatilsynet tatt ein aktiv rolle i Det europeiske personvernrådet (Personvernrådet). Rådet er eit uavhengig EU-organ, oppretta i samsvar med personvernforordninga. Det består av datatilsyna i EØS og Det europeiske datatilsynet (European Data Protection Supervisor) – datatilsynet for EU-organa. I tillegg deltek Europakommisjonen og EFTAs overvakingsorgan (ESA), med talerett. Som EØS-stat er Noreg fullverdig medlem, men utan røysterett.

Fordi personvernforordninga skal tolkast likt i heile EØS-området, er det viktig at Datatilsynet har tett og god dialog med dei andre europeiske datatilsynsmyndigheitene. Ved å delta aktivt i Personvernrådet kan Datatilsynet påverke rådets retningslinjer og utsegner om korleis regelverket skal tolkast og nyttast. Datatilsynet deltek på Personvernrådets månadlege plenumsmøte, og i alle dei tolv ekspertgruppene. Tilsynet har også tatt ei leiande og/eller koordinerande rolle i fleire samanhengar i Personvernrådet.

Saker som vedkjem fleire EØS-land skal behandlast etter samarbeidsmekanismen i personvernforordninga. Mekanismen er viktig for å sikre ei harmonisert forståing og praktisering av regelverket. I 2021 blei Datatilsynet i 281 grenseoverskridande saker identifisert som eit av datatilsyna desse sakene vedkom, og i 12 slike saker var dei den leiande tilsynsmyndigheita. I dei fleste tilfella er datatilsynsmyndigheitene samde om utfallet av sakene, men nokre saker kan vere særleg utfordrande. Dette gjeld spesielt saker som gjeld internasjonale teknologiselskap. I 2021 kom Datatilsynet med innvendingar i tre slike saker. I desse sakene må det leiande datatilsynet enten følge innvendinga eller så må saka behandlast i Personvernrådet.

I tillegg til å vere representert i Personvernrådet, deltek Datatilsynet i ei rekkje andre internasjonale personvernsamarbeid og -forum. Tilsynet deltek mellom anna i Global Privacy Assembly, som er den største internasjonale samanslutninga av datatilsynsmyndigheiter. Ei av arbeidsgruppene der ser særleg på utfordringar i kryssingspunktet mellom personvern, forbrukarvern og konkurranserett. Med framveksten av den datadrivne økonomien er dette ein tematikk som har fått meir merksemd dei seinare åra. Også Digital Clearinghouse er ein møtearena for datatilsyns-, forbrukar- og konkurransetilsynsmyndigheiter frå fleire land, der Datatilsynet deltek. Vidare arbeider Personvernrådet og det tilsvarande forumet for forbrukartilsynsmyndigheiter, Consumer Protection Cooperation Network, for eit tettare samarbeid mellom datatilsyns- og forbrukartilsynsmyndigheiter. Dette arbeidet er mellom anna inspirert av Datatilsynets nære samarbeid med Forbrukartilsynet.

Til liks med tidlegare år er departementet nøgd med den framskotne rolla Datatilsynet har teke internasjonalt. Stadig aukande internasjonal handel og samhandling fører til stor flyt av personopplysningar over landegrensene, og mange personvernutfordringar må løysast gjennom internasjonalt samarbeid. Departementet og Datatilsynet har av den grunn i lang tid hatt god dialog om verdien av å delta aktiv i internasjonalt arbeid, og særleg i det europeiske personvernsamarbeidet. Dette er viktig for å påverke den felleseuropeiske lovtolkinga, og for at Datatilsynet skal kunne halde seg oppdatert om rettsutviklinga i EØS. Sidan vedtakinga av personvernforordninga i 2016 har departementet styrkt budsjettet til Datatilsynet betydeleg, mellom anna for å sette det i stand til å delta i det europeiske personvernsamarbeidet på ein god og effektiv måte. Departementet vurderer det slik at ressursane blir brukt godt.

1.5 Informasjonssamfunnstenester og annonseindustrien

Datatilsynet har behandla fleire saker om informasjonssamfunstenester i meldingsåret. Tilsynet har særleg retta seg mot annonseindustrien («ad tech»), som har vore eit prioritert område i 2021. Brukarar har ofte ikkje god nok kjennskap til korleis annonseindustrien behandlar personopplysningar. Mellom anna utleverer dei personopplysningar om brukarane sine til tredjepartar i marknaden, slik at dei kan tilby persontilpassa reklame. Vidare ser Datatilsynet at brukarane ofte ikkje er godt nok informerte om bruken av personopplysningane deira. Når bruken av personopplysningar skjer meir eller mindre i det skjulte, minskar det brukaren sin moglegheit til å ha reell kontroll over bruken av eigne personopplysningar. I rapporten nemner tilsynet særleg to saker frå meldingsåret, sakene mot Grindr og Disqus.

Grindr er ein datingapp som særleg rettar seg mot homofile og bifile menn, transpersonar og skeive. Saka blei opna i 2020 etter at Forbrukerrådet klaga verksemda inn for Datatilsynet, mellom anna fordi appen utleverte GPS-lokasjon og informasjon om at brukaren var Grindr-brukar, til fleire tredjepartsaktørar. Datatilsynet konkluderte i vedtaket med at Grindr i ein periode delte personopplysningar utan rettsleg grunnlag og at dei ulovleg har delt opplysningar om brukaranes seksuelle orientering. På bakgrunn av dette ila tilsynet eit gebyr på 65 mill. kroner. Dette er det høgaste gebyret Datatilsynet nokon gong har gitt. Grindr har klaga på vedtaket og saka er ikkje rettskraftig avgjort per august 2022.

Disqus er ei verksemd som mellom anna tilbyr kommentarfeltløysingar. Datatilsynet blei kjend med saka etter at NRK Beta avslørte at verksemda spora, profilerte og utleverte personopplysningar om besøkande på norske nettsider som nyttar Disqus sine kommentarfeltløysingar, utan at brukarane blei informerte om det. I 2021 varsla Datatilsynet selskapet om eit gebyr på 25 mill. kroner. Tilsynet meinte at Disqus ikkje hadde rettsleg grunnlag for å behandle personopplysningane og at krava til informasjon i personvernforordninga ikkje var oppfylte. Datatilsynet har per august 2022 ikkje fatta vedtak i saken.

I årsrapporten peiker Datatilsynet også på at dei i 2021 tok til orde for eit europeisk forbod mot overvakingsbasert marknadsføring. Dei har, i samarbeid med Forbrukarrådet og Amnesty International, vore i media og hatt møter med politikarar om dette synet. Tilsynet meiner teknologigigantanes forretningsmodell og omfattande kommersielle overvaking er i strid med grunnleggande menneskerettar, forbrukarrettar og retten til personvern. Eit forbod mot overvakingsbasert marknadsføring vil etter tilsynets meining vere eit viktig verkemiddel for å snevre inn makta til desse verksemdene.

Til forsida av dokumentet