1 Innleiinga til Kommunal- og moderniseringsdepartementet

Årsmeldingane til Datatilsynet og Personvernnemnda for 2016 gir eit bilete av situasjonen her og no. I tillegg forsøker ein å sjå litt framover i tid. Meldingane viser at personvern har vore gjenstand for stor merksemd og debatt i løpet av meldingsåret, og at temaet truleg berre vil bli meir aktuelt i tida som kjem.

Ein stor del av debatten har omhandla samspelet mellom ny teknologi og personvern. Ny teknologi er eit viktig verktøy for å skape ein enklare kvardag for folk flest, forenkle offentleg administrasjon og styrke norske arbeidsplassar. I mange tilfelle gjev den teknologiske utviklinga også betre høve til å ta vare på personvernet, mellom anna ved at ein kan bygge personvern inn i dei teknologiske løysingane. Samstundes blir stadig fleire merksame på dei store moglegheitene ny teknologi gir for utstrakt kartlegging av alt frå bevegelsar og handlemønster til personlege eigenskapar og preferansar. Mange ønsker større kontroll over eigne personopplysningar. Mykje av den offentlege debatten har også i 2016 handla om arbeidet i EU med den nye personvernforordninga og kva konsekvensar forordninga får for norske verksemder og innbyggarar. Forslaget om oppretting av eit digitalt grenseforsvar har òg vore hyppig debattert, i tillegg til nye avgjerder frå EU-domstolen.

Debattane viser at personvern ikkje eksisterer i eit vakuum, men alltid må vegast mot andre interesser og behov. Avveginga mellom personvern og andre viktige samfunnsomsyn kan vere krevjande. Ut frå ei rekke gode formål er det ikkje vanskeleg å argumentere for behovet for å nytte personopplysningar i ulike samanhengar. Det kan derimot vere vanskeleg å vurdere verdien av eit godt personvern både for samfunnet og for den enkelte. Derfor er det viktig at det alltid blir gjort grundige konsekvensvurderingar før innføring av personverninngripande lovgiving eller tiltak. Dette vil kunne bidra til å sette personvernet inn i ein større samanheng. Ein må vurdere den samla effekten av ulike personverninngrep i samband med nye tiltak, og vege den mot fordelane tiltaket vil føre med seg. Kravet om å gjere grundige konsekvensvurderingar før innføring av nye lover og tiltak følger òg av den nye personvernforordninga. Slike vurderingar blir derfor ikkje mindre viktige i framtida.

1.1 Regelverksarbeid og internasjonal utvikling på personvernområdet

Dei seinare åra har det skjedd mykje med dei internasjonale reglane om behandling og vern av personopplysningar. Merksemda om personvern har òg auka merkbart. «Alle» snakkar om EU si personvernforordning og kva ho vil føre med seg av endringar for personvernet både i Europa og i resten av verda. Merksemd om personvern er bra. Det fører til betre kunnskap om regelverket, og gjennom det også til betre personvern. Regjeringa følger med på og deltar i internasjonalt personvernarbeid.

1.1.1 Gjennomføring av EU si personvernforordning

Etter å ha arbeidd med regelverket i over fire år, vedtok EU den nye forordninga om personvern, forordning 2016/679, i april 2016. Den tek til å gjelde i alle EU sine medlemsstatar 25. mai 2018, og vil erstatte det nogjeldande personverndirektivet, direktiv 95/46/EC. Fordi reglane er vedtekne som ei forordning, gjeld dei direkte som nasjonal rett i EU-landa. Det er ikkje nødvendig med nasjonal gjennomføring. Samstundes med forordninga blei det vedteke eit direktiv om behandling av personopplysningar i justissektoren. Forordninga er EØS-relevant og direktivet er Schengen-relevant. Begge delar vil derfor bli gjennomførte i norsk rett.

Forordninga fører til at personvernreglane i Europa blir harmoniserte i større grad enn etter det gjeldande personverndirektivet. Personvern heng tett saman med digitalisering og IKT-politikk. Godt personvern er ein av fleire føresetnader for at innbyggarane skal kunne ta i bruk digitale tenester. Både i Noreg og i Europa har det dei siste åra vore stor merksemd om utvikling av digitale tenester. Eit einsarta personvernregelverk vil medverke til at ein får eit godt grunnlag for digitalisering av tenester som innbyggarane kan ta i bruk på tvers av landegrenser. Gjennomføring av forordninga er derfor eit viktig element i både den norske og den europeiske digitaliseringspolitikken.

Eit tilnærma einsarta personvernregelverk i heile EU-/EØS-området vil vere ein fordel både for dei registrerte og for verksemder som behandlar personopplysningar og skal etterleve reglane. Forordninga legg opp til fleire ordningar for å sikre einsarta tolking av reglane i alle EU-/EØS-landa. Samarbeidsordningane skal gjere det enklare for verksemder som behandlar personopplysningar i fleire land ved at dei kan halde seg til personvernmyndigheita i landet der dei er etablerte. Ordninga blir omtalt som «One Stop Shop».

Forordninga legg opp til eit utstrakt samarbeid mellom dei nasjonale datatilsyna, samstundes som det blir oppretta eit felleseuropeisk datatilsyn med eit overordna tilsynsansvar («European Data Protection Board»). Det felleseuropeiske tilsynsorganet vil kunne fatte bindande avgjerder i ein del enkeltsaker, og uttale seg om tolking av forordninga. Dei nasjonale datatilsyna må legge slike tolkingar til grunn i saksbehandlinga si. Regjeringa arbeider for at det norske Datatilsynet skal få delta i dette samarbeidet slik dei deltar i Artikkel 29-gruppa i dag.

Regjeringa meiner den nye forordninga gir eit sterkt vern for personopplysningar. Mange av dei grunnleggande personvernprinsippa og reglane som følger av det gjeldande direktivet og gjeldande norsk rett blir ført vidare i forordninga. Dette har vore viktig for Noreg under forhandlingane i EU. Samstundes innfører forordninga nye reglar på fleire område, og fører til endringar i norsk personvernrett.

EU-reglane er omfattande og dekker alle samfunnsområde. I utgangspunktet skal vi, på lik line med alle medlemsstatane i EU, gjennomføre forordninga i nasjonal rett slik ho lyder. Reglane vil derfor bli viktige for alle dei som behandlar personopplysningar i Noreg. Ei merkbar endring for både Datatilsynet og dei som behandlar personopplysningar vil vere at den ganske omfattande konsesjonsplikta vi kjenner i dag fell bort. Til erstatning blir det innført ei omfattande plikt for dei som skal behandle personopplysningar til å gjere grundige utgreiingar av personvernkonsekvensar før nye tiltak blir sette i verk. Med grunnlag i konsekvensvurderingane skal dei behandlingsansvarlege gjennomføre risikoreduserande tiltak. Som ledd i dette arbeidet kan dei søke råd hos Datatilsynet i samsvar med reglane om førehandsdrøftingar i forordninga. Dei som behandlar personopplysningar må på dette viset sjølve ta mykje større ansvar for at dei behandlar opplysningar i samsvar med reglane. Mindre førehandskontroll og meir ansvar på den som skal behandle opplysningar er noko av kjernen i det nye regelverket. Det finst likevel ei opning i forordninga for å fastsette nasjonale reglar om konsesjonsplikt i særskilte døme. Regjeringa vil vurdere om det er nødvendig med slike reglar for å sikre personvernet.

Forordninga inneheld ei rekke reglar som gir statane eit nasjonalt handlingsrom. I arbeidet med gjennomføring av forordninga vurderer regjeringa korleis dette handlingsrommet kan nyttast best mogleg for norske innbyggarar og verksemder. Det kan derfor bli aktuelt å vidareføre nokre av dei norske særreglane om behandling av personopplysningar. Dette vil til dømes kunne bli tilfellet i arbeidslivet, der forordninga opnar for at landa kan fastsette eigne reglar for å ta vare på personvernet til dei tilsette. Det er òg rom for nasjonale særreglar om behandling av opplysningar for forsking og vitskaplege formål.

Regjeringa arbeider med gjennomføring av forordning 2016/679 i norsk rett. Direktiv 2016/680 om behandling av personopplysningar i justissektoren er allereie foreslått gjennomført i norsk rett gjennom endringar i politiregisterlova, sjå Prop. 99 L (2016–2017).

1.1.2 Endringar i personopplysningsforskrifta

I meldingsåret blei det, som ledd i regjeringa sitt tidstjuvprosjekt, fastsett fleire endringar i reglane om melde- og konsesjonsplikt i personopplysningsforskrifta. Det blei gjort fire nye unntak frå meldeplikta og fem unntak frå både melde- og konsesjonsplikta ved behandling av personopplysningar. Mellom anna blei det fastsett unntak frå meldeplikta for behandling av personopplysningar ved bruk av elektronisk køyrebok og flåtestyring, og frå både melde- og konsesjonsplikta for behandling av personopplysningar i kvitvaskingsregister og i legemiddelovervaking. Felles for dei ulike behandlingane er at dei utgjer ein liten personverntrussel og at dei allereie er kjende for Datatilsynet.

Dei nye unntaka fjernar tidstjuvar for både Datatilsynet og verksemder som behandlar personopplysningar. Forskriftsendringane vil effektivisere Datatilsynet sitt arbeid, og tilsynet vil få frigitt tid til andre og meir presserande oppgåver. Framfor å måtte bruke ressursar på behandlingar som utgjer ein liten personverntrussel, kan tilsynet prioritere tilsynsverksemd og oppfølging av personverninngripande behandlingar. Dette vil samla gi eit betre personvern. Verksemdene vil på si side sleppe ressurskrevjande prosessar med søknader om konsesjon og innsending av meldingar. Dei vil i tillegg kunne starte behandling av personopplysningar straks, framfor å måtte vente på løyve frå Datatilsynet.

Regelendringane tok til å gjelde 1. januar 2017.

1.1.3 Overføring av personopplysningar til tredjeland

Ei viktig personvernhending i 2016 var avtalen mellom USA og EU om overføring av personopplysningar – den såkalla EU-US Privacy Shield-avtalen. Avtalen forenklar overføring av personopplysningar til USA, og erstattar den tidlegare Safe Harbor-avtalen, som blei kjent ugyldig av EU-domstolen i 2015.

Privacy Shield-avtalen skal sikre tilstrekkeleg vern av personopplysningar som blir overførte mellom EU-/EØS-landa og USA. På same måten som Safe Harbor, er Privacy Shield ei sjølvdeklarasjonsordning, der amerikanske selskap frivillig kan forplikte seg til å behandle personopplysningar med ein større grad av tryggleik og kontroll enn kva amerikansk lovverk elles legg opp til. Det er lagt opp til fleire tvisteløysingsmekanismar for europeiske innbyggarar som meiner at personopplysningane deira ikkje har vore tilstrekkeleg verna i USA. Ordninga omfattar opprettinga av ein «ombodsmann», som skal vere uavhengig av amerikanske etterretningstenester. Amerikanske myndigheiter har òg stengt for bruk av vilkårleg masseovervaking.

Avgjerda om Privacy Shield-avtalen har sitt grunnlag i det gjeldande personverndirektivet artikkel 25(6), som gir EU-kommisjonen fullmakt til å avgjere om eit tredjeland har tilstrekkeleg vernenivå for personopplysningar. Slike reglar finst òg i den nye personvernforordninga. Etter reglar i EØS-avtalen gjeld avgjerder frå kommisjonen om vernenivået i tredjeland frå same tidspunkt for Noreg som for EU-landa. Privacy Shield-avtalen tok dermed til å gjelde i juli 2016. Departementet meiner det er viktig med gode, felleseuropeiske reglar for overføring av personopplysningar over landegrensene. Reglane må ta omsyn både til personvernet til den enkelte og til ein effektiv og god handel.

1.1.4 Tele 2-dommen

Ei anna viktig hending i meldingsåret var den såkalla Tele 2-dommen frå EU-domstolen. Dommen omhandla lagringslovene i Sverige og Storbritannia som blei vedtekne for å sikre lagring av data etter at datalagringsdirektivet blei kjent ugyldig. Dommen konkluderte med at datalagringslovene i Sverige og Storbritannia ikkje var i tråd med retten til privatliv. Av dommen går det fram at det ikkje er i tråd med menneskerettane å masselagre data utan ei vurdering av behovet og av om lagringa er formålstenleg. Det må også gjerast ei avgrensing av kva opplysningane skal nyttast til. Dommen legg viktige premissar for datalagring og overvaking. Desse premissane vil vere sentrale for det vidare personvernarbeidet til departementet, særleg i justissektoren.

1.2 Barn og unge

Barn og unge er aktive brukarar av ny teknologi og nye kommunikasjonsformer, som ulike sosiale medium. Dette kan vere ein fordel for læring og utvikling, men det gjer òg dei unge meir utsette for personvernkrenkingar, særleg fordi dei sosiale media ofte er utanfor vaksenkontroll. Det kan òg vere slik at det er foreldra sjølve eller andre vaksne som deler informasjon om barna. Auka bruk av sosiale medium med deling av bilde og informasjon om barn kan svekke personvernet deira. Vaksne har eit særskilt ansvar for å ta vare på personvernet til barn. Mindre barn har ikkje i same grad som vaksne moglegheit til å samtykke til slik deling, eller til å sjå konsekvensane av å gi samtykke. Det er derfor viktig med rettleiing av både barna og dei vaksne som har ansvaret for dei, slik at kunnskapen om personvern er best mogleg. Departementet meiner det kan vere behov for eit meir målretta arbeid mot foreldra for å styrke personvernet til barn.

I skulen er det auka bruk av digitale verktøy for barn og unge i opplæringa. Opplæringssektoren må derfor kjenne til regelverket og ha gode rutinar for behandling av personopplysningar og bruk av digitale medium. Det er ikkje berre skuleeigarar og -administrasjonen som må kjenne reglane. Også den enkelte læraren må ha kompetanse om personvern. Datatilsynet har i meldingsåret følgt opp tidlegare arbeid med personvern for barn og unge. Saman med Utdanningsdirektoratet og Senter for IKT i utdanningen har Datatilsynet arbeidd med ei koordinering av eksisterande rettleiingsmateriale for eit godt personvern i opplæringssektoren. Prosjektet har resultert i nettressursen www.personvernskolen.no. Tilsynet har vidare halde fram samarbeidsprosjektet «Du bestemmer». Departementet er oppteke av at barn og unge blir sikra eit godt personvern, og støttar Datatilsynet sitt arbeid for god kunnskap om personvern og nettvett blant barn og unge.

I det pågåande arbeidet med å gjennomføre EU si personvernforordning blir det òg retta merksemd mot retten barn har til personvern. I forordninga blir det framheva at personopplysningar om barn fortener eit særskilt vern, sidan barn kan vere mindre medvitne om aktuelle risikoar og konsekvensar ved behandling av personopplysningar. Forordninga har fleire artiklar som skal sikre eit særskilt vern av personopplysningar om barn. Mellom anna inneheld forordninga ein eigen artikkel om når barn kan samtykke til behandling av personopplysningar i samband med informasjonssamfunnstenester, til dømes sosiale medium som Facebook og Instagram. Aldersgrensa for samtykke er i slike tilfelle sett til 16 år. Landa kan likevel i nasjonal lovgiving fastsette at barn allereie frå 13 år sjølve kan samtykke til behandling av sine eigne personopplysningar. Departementet meiner at ei nasjonal lovfesting av dette vil styrke personvernet til barn.

1.3 Kommersialisering av personopplysningar og personifisering av tenester

Ein stadig større del av liva våre finn stad digitalt. Vi bruker nettbaserte tenester når vi handlar, held oss oppdaterte, let oss underhalde og er sosiale. Heile tida legg vi att små elektroniske spor om kvar vi har vore, når vi var der, kven vi var saman med og kva vi gjorde. Vi er ofte ikkje klar over dette. Vi er vande med at både digitalt innhald og digitale tenester er gratis, men tenker sjeldan på at vi forbrukarar i staden «betaler» med dei personopplysningane som kontinuerleg blir henta ut om til dømes kontaktar, preferansar, brukarvanar og posisjonen vår. Kvar for seg er ikkje desse spora særleg interessante, men samanstilte kan dei teikne eit svært detaljert bilde av vanane, interessene, omgangskretsen og livsstilen vår.

Som Datatilsynet skriv i årsmeldinga si, er innsamling og analyse av forbrukardata viktig for å utvikle personifiserte tenester og løysingar basert på kunstig intelligens. Personopplysningar har blitt ei raskt veksande handelsvare. Ei rekke selskap spesialiserer seg på å selje profilar baserte på innsamla personopplysningar til annonsørar og andre som ønsker å målrette marknadsføring og tilbod. Jo meir data som blir samla inn, jo meir treffsikker blir reklamen. Dette aukar betalingsviljen hos dei kommersielle aktørane. I takt med at personopplysningar får større verdi, vil stadig fleire aktørar ha interesse av å samle mest mogleg data om oss.

Det er ei utfordring at mykje av innsamlinga av personopplysningar skjer i det skjulte, utan at vi har kjennskap til det og i mange tilfelle òg utan at vi har samtykka. I 2016 gjekk Forbrukerrådet gjennom 20 ulike applikasjonar for å sjå korleis dei tok hand om person- og forbrukarvern. Gjennomgangen viste mellom anna at applikasjonane sporar brukaren også når dei ikkje er i bruk, at personopplysningar blir delte og selde vidare i stort omfang. Enkelte applikasjonar krev å fritt kunne nytte brukarane sitt innhald til evig tid.

Mangelen på forståeleg informasjon gjer det vanskeleg å sette seg inn i kva som skjer, og å ta gode og bevisste personvernval. Brukaravtalene er ofte lange og detaljerte, og vilkåra er uklare. For ein gjennomsnittleg internettbrukar vil det årleg krevje heile 244 timar å lese personvernerklæringane til alle internettsidene dei besøker.1 I tillegg kjem brukaravtalene til alle mobilapplikasjonane. Det er ei uoverkommeleg oppgåve å handtere alle brukarvilkåra ein møter i den digitale verda. Ønsket om rask og enkel tilgang til tenester kan føre til samtykkeapati. Konsekvensen er at forbrukarane gir sitt samtykke utan å vite kva dei seier ja til. Det er vanskeleg å seie kva konsekvensar den aukande personrettinga har for den enkelte, både på kort og på lang sikt.

Regjeringa er oppteken av å styrke personvernet til forbrukarar som bruker digitale tenester. Regjeringa meiner at alle så langt det er mogleg skal kunne rå over sine eigne personopplysningar. For at råderetten skal vere reell, må den enkelte kunne seie nei til deling av personopplysningar og likevel få tilgang til digitale tenester.

Personvern- og forbrukarmyndigheitene samarbeider godt på dette området. Det er òg viktig at bransjen bidrar til utvikling av gode løysingar. Departementet synest det er positivt at bransjen sjølv i aukande grad tar initiativ til å utvikle meir personvernvenlege løysingar som er transparente og lar forbrukarane rå over eigne personopplysningar. Dette finn vi òg att i EU si nye personvernforordning, som legg opp til bruk av merkeordningar for godt personvern. Det er mykje som tyder på at godt person- og forbrukarvern i stadig større grad vil bli eit konkurransefortrinn. At brukarane har tillit til at rettane deira blir tekne vare på er òg ein føresetnad for innovasjon og vidare vekst i den digitale økonomien.