1 Innleiing frå Kommunal- og moderniseringsdepartementet

Til liks med for resten av verda var 2020 eit spesielt år for Datatilsynet og Personvernnemnda. Koronapandemien har prega begge verksemdene, om enn i ulik grad. Nedstenginga av samfunnet våren 2020 påverka i hovudsak arbeidsforma til Personvernnemnda, ved at nemnda måtte gjennomføre møta sine digitalt. For Datatilsynet har konsekvensane av pandemien hatt svært mykje å seie for det faglege arbeidet til tilsynet og prioriteringane det har måtta gjere i meldingsåret, fordi det oppstod ulike personvernproblemstillingar som følgje av pandemien.

Overgangen til personopplysningsloven 2018, som gjennomførte EUs personvernforordning (forordning 2016/679) i norsk rett, pregar framleis verksemda til Datatilsynet og Personvernnemnda. Generelt er det større merksemd i samfunnet om personvernrettar og -plikter enn det var for berre nokre år sidan. Dette viser seg mellom anna ved at både Datatilsynet og Personvernnemnda i meldingsåret har opplevd ein auke i saksomfanget, og at fleire av sakene er blitt meir komplekse.

1.1 Personvern i ein pandemisituasjon

Koronapandemien er den største krisa som har ramma landet sidan den andre verdskrigen. Nedstenginga av Noreg 12. mars 2020 kravde at vi som samfunn måtte tenkje nytt rundt korleis vi skulle handtere ulike oppgåver. Digitale verktøy vart tekne i bruk i mykje større grad enn tidlegare og omfatta mellom anna løysingar for heimekontor, videomøte og -konferansar, fjernundervisning og digitale legekonsultasjonar. Det er positivt at samfunnet klarte å omstille seg raskt. Høg grad av internettilgang og breibandsdekning til norske heimar, digital modnad og høg kompetanse i det norske folk har vore sentralt. Samtidig har den raske digitaliseringa medført utfordringar for personvernet (sjå også omtale i pkt. 2.1).

Personopplysningsvernet gjeld i krisetider òg, og personvernforordninga er meint å vere fleksibel nok til å fungere i unntakssituasjonar. I personvernregelverket står for eksempel vurderinga av nødvendigheit og samhøve sentralt. Forutan at det bestemte tiltaket må vere nødvendig for å oppnå eit legitimt formål, må behovet for tiltaket vegast opp mot dei negative konsekvensane det kan få for personvernet til den enkelte. Ein slik balansetest vil kunne få ulikt utfall avhengig av om ein er i ein normalsituasjon eller ein krisesituasjon.

Sjølv om personvernregelverket tek høgd for ei fleksibel tilnærming, kan det i praksis vere utfordrande å vurdere personvernkonsekvensar og samhøve. Særleg vil dette vere tilfelle når det dreier seg om nybrottsarbeid, som i tillegg må gjerast i eit raskt tempo. I ein krisesituasjon må slike vurderingar ofte gjerast betydeleg raskare enn kva som elles ville ha vore ideelt.

Tidsnød som følgje av pandemisituasjonen kan ha ført til at fleire ikkje har rokke å gjere tilstrekkelege risikovurderingar knytte til personvern og informasjonssikkerheit før ulike digitale løysingar er tekne i bruk. Der vurderingane ikkje har vore grundige nok, er det viktig at desse blir gjorde etter kvart som samfunnet går tilbake til normalen. Blir det konkludert med at personvernulempene er uakseptabelt høge i ein normalsituasjon, må bruken av personopplysningar avsluttast. Slike vurderingar er ikkje berre nødvendige for å oppfylle krava etter personvernregelverket, men også for å ta i vare den tilliten brukarane har til digitale løysingar i tida framover.

1.2 Ansvarleg bruk av personopplysningar

Samfunnet blir stadig meir avhengig av at det blir utvikla digitale tenester, og mange slike tenester føreset behandling av personopplysningar. I lys av dette er regjeringa oppteken av å leggje til rette for ansvarleg bruk av personopplysningar.

Analyse av personopplysningar kan brukast til å forenkle og automatisere tenester. Brukt rett er dette eit gode som kan medverke til å spare både tid og pengar. Samtidig kan dataanalysar gjorde av ukjende aktørar i det skjulte bli brukte til å manipulere enkeltindivid, for eksempel til å kjøpe eit produkt eller til å ha ei bestemt politisk oppfatning. Bruk av personopplysningar til å påverke demokratiske val viskar ut skiljet mellom person- og forbrukarvern og grunnleggjande borgarrettar, og kan på denne måten utgjere ein trugsel mot demokratiet. Forretningsmodellar som byggjer på persontilpassa digitale tenester, der både aktørar og metodar er ukjende og ugjennomtrengjelege for dei fleste, kan påverke rammevilkåra for meiningsbryting òg. Når individ på eit einsidig vis blir eksponerte for meiningar som samsvarer med deira eigne, blir det skapt digitale ekkokammer. Dette har danna grobotn for fenomen som «falske nyheiter» og «alternative fakta», som over tid kan svekkje tilliten til etablerte medium. Ekkokammer kan òg leggje ein dempar på open meiningsbryting, som er ein viktig føresetnad for eit fritt, demokratisk samfunn. Slik kan analysar og automatisert behandling av personopplysningar få store konsekvensar for samfunnsutviklinga.

Aktørar som behandlar personopplysningar, har plikt til å sikre at opplysningane er korrekte. Særleg når analysar baserer seg på data innsamla frå fleire kjelder, kan dette vere utfordrande. Tilsynelatande likeverdige opplysningar kan bety forskjellig ting i ulike samanhengar. Skilnader og skeivskapar kan forsterkast av algoritmar i automatiserte løysingar. Feilaktige faktagrunnlag kan få negative konsekvensar for dei som desse vedkjem. Er det feil i datasetta som inngår i ein analyse, kan dette føre til uriktige avgjerder. Sjølv der dataa isolert sett er korrekte, kan dei gje eit urettferdig eller diskriminerande resultat, for eksempel fordi algoritmane inneheld historiske skeivskapar. Feila kan vere vanskelege å oppdage.

Kunstig intelligens (KI) er ein sentral del av dataøkonomien og kan hjelpe oss med å løyse kompliserte utfordringar. I bruken av KI er det mellom anna viktig å vurdere om algoritmen kan føre til diskriminering, og eventuelt setje i verk tiltak for å redusere risikoen for dette. Etiske vurderingar i forkant vil òg kunne få betydning for om KI-løysingar medverkar til å oppfylle FNs berekraftsmål.

Profilering, basert på algoritmar og KI, kan gje betre persontilpassa tenester. Samtidig kan det auke risikoen for utilsikta og ulovleg forskjellsbehandling. Når tenester i større grad blir individualiserte, står forbrukarane i fare for å bli utsette for ulike former for diskriminering. Algoritmebaserte annonseringssystem kan innrettast på måtar som gjer at annonsar, for eksempel jobbannonsar, berre blir viste for visse persongrupper, slik at andre reelt sett blir ekskluderte og potensielt utsette for diskriminering. Gode datasett og å vere open om korleis algoritmar fungerer, er viktig for å unngå denne typen usakleg forskjellsbehandling.

I januar 2020 la regjeringa fram Nasjonal strategi for kunstig intelligens, der regjeringa fremjar prinsipp for ansvarleg utvikling og bruk av KI. Vidare var eit av tiltaka i strategien å etablere ein regulatorisk sandkasse for personvern og KI i Datatilsynet. Ein regulatorisk sandkasse er eit lukka miljø der moglegheiter kan utforskast og løysingar kan utviklast og testast med kunnig rettleiing frå ei tilsynsmyndigheit. I desember 2020 opna den regulatoriske sandkassen for ansvarleg og etisk bruk av KI i Datatilsynet. Her skal verksemdene bli rettleidde i å handtere krava som følgjer av personvernregelverket. Datatilsynet skal få auka forståing for nye teknologiske løysingar og medverke til å identifisere moglege risikoar tidleg i utviklingsprosessar. Målet er at dei endelege løysingane tek i vare personvernet på ein god måte. Både enkeltindivid og samfunnet tener på at innovative løysingar blir utvikla innanfor ansvarlege rammer. Arbeidet med å etablere den regulatoriske sandkassen i Datatilsynet er nærmare omtalt i punkt 2.2.

Personopplysningar er ein viktig ressurs, og rett bruk kan gje vinstar både for den enkelte og for samfunnet som heilskap. Samtidig er personvern ein menneskerett, verna av den europeiske menneskerettskonvensjonen og Grunnlova. I Meld. St. 22 (2020–2021) Data som ressurs – Datadrevet økonomi og innovasjon la regjeringa fram nasjonale prinsipp for deling og bruk av data. Eitt av prinsippa er at deling og bruk av data skal skje slik at grunnleggjande rettar og fridommar blir respekterte og norske samfunnsverdiar bevarte. Det er viktig at bruken av personopplysningar skjer innanfor rammene av lovverket og det som er etisk forsvarleg. Dette er dessutan ein føresetnad for å skape den tilliten som er nødvendig for at den enkelte skal vere villig til å dele opplysningar om seg sjølv – tillit både offentleg og privat sektor er avhengig av. Forbrukarane kan få styrkt tillit til næringslivsaktørar som viser at dei tek i vare personvern og informasjonssikkerheit, og at dataa blir behandla innanfor ansvarlege rammer. Slik kan ivaretaking av personvern utgjere eit konkurransefortrinn i den datadrivne økonomien.

1.3 Gjenbruk av personopplysningar i forvaltninga

Personopplysningar skal berre samlast inn for spesifikke, uttrykkjeleg angjevne og rettkomne formål og ikkje vidarebehandlast på ein måte som ikkje samsvarer1 med desse innsamlingsformåla. Dette blir kalla prinsippet om formålsavgrensing og er nedfelt i personvernforordninga. Samtidig opnar regelverket for unntak. Ein bruk av personopplysningar til nye formål som ikkje samsvarer med dei opphavlege, kan mellom anna følgje av nasjonal rett, føresett at den nye bruken er nødvendig og samhøvande for å sikre nærmare bestemte samfunnsomsyn.2 Dei siste åra har det komme stadig fleire ønske frå forvaltninga om å dele og nytte personopplysningar til nye formål, i tillegg får lovverket stadig nye heimlar som opnar for utveksling av teiepliktige personopplysningar mellom forvaltningsorgan.

Ofte er gjenbruk av personopplysningar ikkje berre praktisk for oppgåveløysinga til forvaltninga, men for dei registrerte sjølve òg. «Berre éin gong»-prinsippet vart fastslått i Meld. St. 27 (2015–2016) Digital agenda for Norge – IKT for en enklere hverdag og økt produktivitet. Prinsippet står også sentralt i digitaliseringsstrategien til regjeringa, Én digital offentlig sektor 2019–2025. I prinsippet ligg at forvaltninga skal bruke opplysningar om att i staden for å spørje brukarane på nytt om informasjon dei allereie har gjeve frå seg. Prinsippet vil kunne medverke til å utvikle ein meir effektiv og brukarretta offentleg sektor, mellom anna i samband med behandlinga av enkeltsaker. Det vil òg kunne medverke til betre og meir samanhengande innbyggjartenester.

I fleire tilfelle er formålet med deling av opplysningar knytt til kontrollen forvaltninga har med bruken av offentlege tilbod eller tenester. Etter folketrygdloven har for eksempel Arbeids- og velferdsetaten omfattande tilgang til informasjon frå både offentlege og private register, utan hinder av teieplikt, til bruk i kontrollarbeidet sitt. Etaten kan gjennomføre stadlege kontrollar for å innhente informasjon og har samtidig heimel til å masseinnhente opplysningar i kontrollaugneméd. Tolletaten òg har vide heimlar til å innhente og behandle personopplysningar, irekna helseopplysningar, for kontrollformål. Det same gjeld skatteetaten. Samla opnar lovverket ein relativt omfattande tilgang til å utveksle personopplysningar mellom forvaltningsorgan til bruk i kontrollaugneméd. Dette er ikkje berre praktisk, men ofte den einaste måten forvaltninga kan gjennomføre ein reell og effektiv kontroll.

Sjølv om deling og gjenbruk av personopplysningar har fleire fordelar, kan det òg føre til at borgarane får mindre oversikt over kva etatar som behandlar opplysningar om dei, og til kva formål. Opplysningane kan bli brukte på måtar den enkelte ikkje hadde førestilt seg da opplysningane vart innsamla.

Eit sentralt omsyn bak personvernregelverket, og teiepliktsreglane, er ivaretakinga av tillit. Tradisjonelt har norske innbyggjarar hatt stor tillit til det offentlege. Tillit er viktig for at borgarane skal vere villige til å gje frå seg nødvendig informasjon i møte med forvaltninga. I arbeidet med å utvikle ei meir effektiv og digital forvaltning er det svært viktig å byggje opp under den eksisterande tilliten. Regjeringa er mellom anna oppteken av at det blir gjennomført, og dokumentert, gode vurderingar av personvernkonsekvensar ved utarbeidinga av lovforslag om auka deling av personopplysningar, særleg til kontrollformål.

Det må leggjast til rette for at borgarane i størst mogleg grad har informasjon om behandlinga av eigne personopplysningar. Det er viktig at borgarane har tilgang til informasjon om flyten av opplysningar og, i den grad regelverket opnar opp for det, moglegheita til å utøve kontroll over bruken av eigne opplysningar. I Meld. St. 22 (2020–2021) Data som ressurs – Datadrevet økonomi og innovasjon går regjeringa inn for å greie ut ei løysing der borgarane kan få innsyn i eigne personopplysningar i fleire offentlege system via éi felles innlogging. Om det går an å integrere utvalde private aktørar i løysinga, skal vurderast òg. Ei slik løysing vil kunne gjere det lettare for den enkelte å få meir samla oversikt over korleis personopplysningar om ein blir brukte. Ho vil òg kunne gjere det enklare å administrere bruken av eigne personopplysningar, som å samtykkje til vidare bruk av opplysningane til nye formål. Utgreiinga vil støtte opp under målsetjinga til regjeringa om at den enkelte skal ha størst mogleg råderett over eigne personopplysningar.

1.4 Personvernkommisjonen

Ivaretaking av personvernet til innbyggjarane er relevant på svært mange samfunnsområde. For å vite kvar dei store utfordringane er, og kvar det er behov for tiltak for sikre ivaretaking av personvernet, er det nødvendig å ha eit godt kunnskapsgrunnlag. I 2009 leverte Personvernkommisjonen utgreiinga si NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet. Rapporten peikte på ei rekkje utfordringar som er følgde opp på ulike vis.

Den teknologiske utviklinga har gått raskt sidan den førre personvernkommisjonen leverte utgreiinga si. Innsamlinga og bruken av personopplysningar har auka i takt med digitaliseringa, noko som har endra personvernutfordringane betydeleg. Det er behov for eit oppdatert kunnskapsgrunnlag for ein opplyst og god debatt om ivaretaking av personvernet i det digitale samfunnet.

For å leggje til rette dette kunnskapsgrunnlaget vart ein ny Personvernkommisjon oppnemnd i statsråd 23. juni 2020. Kommisjonen skal etter planen levere utgreiinga si til regjeringa innan 1. juni 2022. Kommisjonen har eit breitt mandat, der den overordna oppgåva er å kartleggje situasjonen for personvernet i Noreg og trekkje fram dei viktigaste utviklingstrekka og utfordringane. Sentrale punkt i mandatet3 er å

• kartleggje gjenbruken av personopplysningar til andre formål enn innsamlingsformålet i offentleg sektor

• vurdere utviklinga for personvernet i justissektoren

• kartleggje den reelle moglegheita forbrukarane har til å ta i vare eige personvern, og vurdere ordningar for å styrkje personvernet i forbrukarsamanheng

• greie ut konsekvensar av innsamlinga, analyse og vidarebruk av personopplysningar i sosiale medium

• kartleggje korleis personvernet til barn og unge blir teke i vare, mellom anna i skole og barnehage, og foreslå tiltak for å styrkje den digitale forbrukarkompetansen til barn og unge

• kartleggje korleis vidtrekkande eksponering av barn og unge i sosiale medium påverkar personvernet deira

Til grunn for mandatet ligg ei erkjenning av at potensialet i, men også presset på, innsamling og bruk av personopplysningar stadig utviklar seg. Noreg er eit land med høg digital modnad i både befolkninga og næringslivet. Digitaliseringa medverkar til auka velferd, auka produktivitet og økonomisk vekst i så å seie alle samfunnssektorar. Det blir skapt nye næringar, og forbrukarane endrar vanar og behov i raskt tempo, noko vi særleg har sett etter utbrottet av koronapandemien tidleg i 2020.

Digitaliseringa av tenester inneber at det blir generert, registrert og behandla langt fleire personopplysningar om den enkelte innbyggjaren enn tidlegare. Dette er mellom anna informasjon om geografisk rørslemønster, kontaktnett, helse, økonomi og interesser. Opplysningane kan stillast saman og analyserast. Det kan byggjast profilar om kvar enkelt som kan fortelje svært mykje om oss. Dette kan utfordre personvernet.

Samtidig gjev personopplysningar, samla inn via digitale tenester, eit unikt potensial for analyse og tenesteutvikling. Både offentlege og private verksemder kan bli meir effektive og yte betre tenester. Kvar bur dei som søkjer etter informasjon om influensavaksine eller behandling av omgangssykje? Analysar av slike søk på nett kan hjelpe helsemyndigheitene med å forstå helsesituasjonen til befolkninga raskare og betre. Datatrafikkanalysar er viktige for at tilbydarar av elektronisk kommunikasjon skal kunne planleggje digital infrastruktur som vi er avhengige av. Transportselskap kan analysere reisemønster for å planleggje kapasitet i kollektivtrafikken. Og finansinstitusjonar kan analysere handlemønstera til kundane og bruken deira av ulike betalingsmiddel for å utvikle tenestetilbodet. Myndigheitene kan setje saman og bruke data til beste for innbyggjarane. Personopplysningar kan òg brukast til tenesteutvikling og optimalisering i den enkelte verksemda, og dei har derfor ein betydeleg marknadsverdi. Det er heilt nødvendig å ta i vare ein god balanse mellom personvernet til innbyggjarane, behovet dei har for gode og framtidsretta tenester, og bruken av personopplysningar i teneste- og næringsutviklinga både i næringslivet og i offentleg sektor.

Med dette som bakteppe skal Personvernkommisjonen kartleggje og greie ut status, og foreslå tiltak, for å ta i vare personvernet på best mogleg måte innanfor gjeldande regelverk i tida framover. Oppgåva er stor, og regjeringa har lagt vekt på å setje saman ein kommisjon med variert og brei kompetanse. Både offentleg og privat sektor er representerte, og kommisjonen har kompetanse frå både næringsliv, akademia og forvaltninga. Regjeringa har store forventningar til at arbeidet kommisjonen gjer, kan medverke til ein god og opplyst debatt om ivaretakinga av personvernet til innbyggjarane i åra framover.

1.5 Utvida verkeområde for personopplysningsloven

Personvernforordninga og personopplysningsloven med forskrift vart gjort gjeldande for Svalbard og Jan Mayen 1. juli 2020. For Svalbard gjeld ikkje personvernforordninga artikkel 56 og kapittel VII. Datatilsynet kan ved enkeltvedtak gi fritak frå dei enkelte reglane i personvernforordninga og personopplysningsloven viss dei stadlege tilhøva på Svalbard gjer det nødvendig. Sjå også omtale i Meld. St. 26 (2019–2020) pkt. 1.4.