Del 3
Andre områder kommisjonen har arbeidet med

10 Regelkompleksitet og nasjonalt handlingsrom

10.1 Innledning

Et felles europeisk regelverk om personvern er viktig og verdifullt. Personvernkommisjonen konstaterer at europeisk og internasjonal regulering er en forutsetning for effektiv regulering av personopplysninger i en global økonomi. Den sosiale, økonomiske, forvaltningsmessige, kulturelle og politiske integrasjonen i Europa gjør felles regelverk for vern av personopplysninger og personlig integritet spesielt viktig. Det er imidlertid også utfordringer ved regelverket, særlig knyttet til kompleksitet.

I dette kapitlet gir Personvernkommisjonen oppmerksomhet til utfordringer regelverkskompleksitet skaper. Hovedtemaet er hvordan problemene kan reduseres ved å bruke norsk, nasjonal lovgivning for å tydeliggjøre og supplere de felles europeiske bestemmelsene («nasjonalt handlingsrom»).

10.2 Et viktig, men vanskelig regelverk

Forståelige personvernregler har betydning på alle samfunnsområder. Det handler om regelverk som skal sikre grunnleggende rettigheter og friheter, blant annet ved å gi rettigheter til det enkelte menneske. Personvernregelverket er stort og komplisert, og er for en stor del skrevet på et språk som er vanskelig å forstå – ikke bare for innbyggere flest, men også for eksperter. Omfattende og vanskelig forståelige regelverk er ikke noe nytt fenomen, hverken innen EØS-retten eller i norsk, nasjonal rett. Personvernkommisjonen mener likevel utfordringene slike regler skaper bør få oppmerksomhet.

Det er flere forhold som gjør personvernregelverket vanskelig å få oversikt over og forstå. Her vil Personvernkommisjonen nøye seg med å nevne noen viktige, utvalgte forklaringer.

Finne riktig regelverk

En fordel med personvernforordningen er at den har et meget bredt virkeområde. En kan derfor ofte gå ut ifra at dette regelverket gjelder. Samtidig gjelder ikke forordningen alltid, og det kan være vanskelig å avgjøre når det er annet regelverk som får anvendelse. Dette gjelder særlig grensegangen mellom personvernforordningen og direktivet om beskyttelse av fysiske personer ved behandling av personopplysninger for å forebygge, etterforske, avdekke eller strafforfølge lovbrudd eller gjennomføring av straffereaksjoner om fri utveksling av slike opplysninger («politidirektivet»), samt forholdet mellom personvernforordningen og EU-regulering av personvern på særskilte områder. Videre er det innen helseområdet flere særnorske lover som gjelder behandling av helseopplysninger, der det kan være vanskelig å forstå hvilken lov som kommer til anvendelse.

Forstå forholdet mellom regelverk

Ofte gjelder flere regelverk om personvern samtidig. Dette gjelder både EU-rettslig regelverk og nasjonal lovgivning. I mange tilfeller må en forstå sammenhengene mellom generelt og særskilt EU-regelverk og én eller flere norske, nasjonale lover og forskrifter. Selv om rettsreglene ikke kommer i strid med hverandre, vil det i mange tilfeller herske usikkerhet om hvordan regelverkene skal forstås i sammenheng. Et aktuelt eksempel er forslaget til forordning om kunstig intelligens (KI).1 KI-systemer vil meget ofte innebære behandling av personopplysninger. I tillegg vil resultatene slike systemer gir, kunne ha stor betydning for personvernet. Selv om forholdet mellom forslaget til KI-forordning og personvernforordningen er meget nært, har EU i sitt utkast til forordning unnlatt å avklare mange av spørsmålene som oppstår om hvordan regelverkene henger sammen. Lignende situasjoner oppstår når en skal prøve å forstå sammenhengen mellom personvernforordningen og norsk nasjonal lovgivning, for eksempel helselovgivningen.

Omfang og intern struktur

Personvernregelverket er meget omfattende. Personvernforordningen alene består av 99 artikler som skal leses i lys av 173 fortalepunkter, uten at det er klare henvisninger, hverken mellom artiklene eller fortalepunktene. Den vage og skjønnsmessige formuleringen mange av bestemmelsene har, gjør dessuten at det oppstår mange mulige sammenhenger mellom dem. Det krever derfor stor grad av profesjonalitet å se de sammenhenger og muligheter regelverket gir. Jo bedre en kjenner bestemmelsene, dess mer kan en derfor få ut av dem.

Kompleksiteten og de vage, skjønnsmessige formuleringene som preger mange bestemmelser skaper et sterkt behov for god veiledning. Dette blir gjort nærmere rede for i avsnitt 10.3.2.

For behandlingsansvarlige og den enkelte registrerte person, er det således kapitlene 1–5 i personvernforordningen, samt enkelte bestemmelser i øvrige kapitler, som har størst betydning. Andre deler av de ti kapitlene i forordningen, har mest betydning for tilsynsmyndigheter og nasjonale lovgivere.

Bestemmelser om registrertes rettigheter er samlet i personvernforordningens kapittel 3. Det kan imidlertid være vanskelig å forstå hva rettighetene spesifikt går ut på. Ønsker man for eksempel å finne ut av hvilke krav som stilles til samtykke, innebærer fraværet av klare strukturer og henvisninger at man må lete seg frem til artiklene 4 nr. 11, 6 nr. 1, 7, 8 og 9 nr. 2 bokstav a, og forstå den nærmere relasjonen mellom disse bestemmelsene. I mange tilfeller må den som anvender bestemmelsene dessuten være klar over at samtykke også kan gjelde annet enn i personvernforordningen. Å samtykke til behandling av personopplysninger skiller seg eksempelvis fra å samtykke til unntak fra taushetsplikt etter forvaltningsloven eller å samtykke til medisinsk behandling etter pasient- og brukerrettighetsloven.

I andre tilfeller gir personvernforordningen en enkel hovedregel, kombinert med unntaksregler det nesten er umulig å være sikker på betydningen av. En hovedregel om sletting av personopplysninger er for eksempel at opplysningene «ikke lenger er nødvendige for formålet som de ble samlet inn eller behandlet for».2 Det blir imidlertid atskillig vanskeligere når en skal ta stilling til betydningen av unntakene fra denne hovedregelen. Det kan for eksempel gjøres unntak fra hovedregelen om sletting dersom fortsatt behandling av personopplysningene er nødvendig for «arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 i den grad rettigheten nevnt i nr. 1 sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås».3 Slike sterkt skjønnsmessige bestemmelser gir god mulighet for argumentasjon, men sjelden grunnlag for sikre konklusjoner. Det er mange slike krevende skjønnstemaer i personvernregelverket.

Språk

Hver bestemmelse (artikkel) i personvernforordningen er ofte ordrik og skrevet i lange og komplekse setningsstrukturer på opptil 50 ord i én setning.4 Regelstrukturen er ofte kompleks, for eksempel slik at en hovedregel er etterfulgt av flere unntak, hvoretter det er stilt opp vilkår for å gjøre unntak fra unntakene.5

Språket i personvernforordningen er preget av en rekke begreper der meningsinnholdet er fastlagt i egne regler (legaldefinisjoner). Begrepsinnholdet er ofte komplekst og vagt/skjønnsmessig. Det er nødvendig å huske definisjonene når de aktuelle ordene forekommer i regelteksten. Når en leser regler om «profilering» må man for eksempel vite at ordet er definert og gitt meningsinnholdet «enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser».6

Personvernkommisjonen mener norske myndigheter ikke må slå seg til ro med og akseptere en situasjon der det er vanskelig å finne ut av hvilke regler som gjelder og hvordan disse skal forstås. Både hensynet til rettsbeskyttelsen av den enkelte, og rettssikkerheten for behandlingsansvarlige og databehandlere tilsier et kontinuerlig arbeid for å gjøre rettsreglene så forståelige som mulig.

I en situasjon med stort behov for europeisk og global regulering av personvern, er det etter Personvernkommisjonens syn ikke realistisk å stille krav om en ideell rettslig regulering. De positive virkningene av det europeiske personvernregelverket er langt på vei viktigere enn hvor godt regelverket er utformet og hvor lette reglene er å forstå.

Bedre regelverk på personvernrettens område er i stor grad avhengig av rettslige og politiske prosesser i EU. Personvernkommisjonen vil understreke betydningen av at Regjeringen deltar aktivt i disse prosessene.

Personvernkommisjonen anbefaler at det bygges kompetanse innen EU- og EØS-rett i forvaltningen, for å sikre solide prosesser i lovarbeid.

10.3 Behov for å regulere personvern på nasjonalt nivå

I det følgende vil kommisjonen begrense seg til å drøfte hva norske myndigheter kan gjøre med virkning for behandling av personopplysninger i Norge. Bakgrunnen for drøftelsen er ønsket om å benytte det nasjonale handlingsrommet som personvernforordningen og EØS-avtalen gir. Formålet er både å legge til rette for lojal etterlevelse av europeisk og annet internasjonalt regelverk, og å imøtekomme særlige norske behov for klarhet og sammenheng i den rettslige reguleringen.

10.3.1 Lovgivningspolitiske utgangspunkter

Personvernforordningen gjelder i utgangspunktet likt, «ord for ord», i alle EØS-land. Fordelen med slike felles regler er blant annet at det kan skape grunnlag for rettsenhet. Dessuten kan de mange aktørene som opptrer på tvers av landegrensene innen EØS, lettere få oversikt over hvilke regler som gjelder. Felles europeiske regler begrenser handlingsrommet for nasjonale lovgivere. Således er det ikke adgang til å gi nasjonale bestemmelser som strider mot forordningen. Fordi forordningens bestemmelser er meget vidtfavnende og har virkning for de aller fleste lov- og samfunnsområder, innebærer dette en betydelig begrensning i nasjonal lovgivningsmyndighet.

Ambisjonen om felles europeiske regler er ikke gjennomført fullt ut i personvernforordningen. I forordningen finnes mer enn 30 bestemmelser som gjelder nasjonal regulering. Flere av disse bestemmelsene har mer enn ett element med slikt innhold, noe som innebærer at antallet mulige nasjonale typer av enkeltbestemmelser overstiger 30. Flere av hjemlene har begrenset betydning. Personvernkommisjonen har derfor ikke funnet det hensiktsmessig å drøfte alle hjemlene nærmere, men har valgt ut noen viktige typer hjemler og eksempler på disse.

Personvernkommisjonen vil understreke at personvernforordningen ikke er til hinder for aktiv utøvelse av norsk lovgivningsmyndighet for å ivareta personvern. Kommisjonen vil særlig peke på behovet for norsk lovgivning i situasjoner der:

• personvernforordningen inneholder pålegg om å gi nasjonale regler;

• bestemmelser i personvernforordningen stiller vilkår om nasjonal lovgivning med et visst innhold for at behandling av personopplysninger skal være lovlig; og

• det ellers kan sies å være behov for ytterligere nasjonal lovgivning som bro mellom eksisterende nasjonal lovgivning og personvernforordningen.

Videre er det enkelte saksområder som ikke faller inn under personvernforordningen. Noen av disse saksområdene vil komme inn under annen EU-lovgivning, for eksempel politidirektivet som er omtalt i kapittel 7 om justissektoren. I det følgende forholder Personvernkommisjonen seg til personvernforordningen.

Personvernkommisjonen mener Regjeringen må føre en aktiv lovgivningspolitikk for å fremme personvern. Det bør alltid være en ambisjon å bruke det norske, nasjonale handlingsrommet som EØS-lovgivningen gir, både for å supplere de europeiske reglene, støtte opp under og for å styrke gjeldende EØS-lovgivning som norske myndigheter ser som spesielt viktig. Eventuelt bør norske myndigheter vedta avvikende norske regler dersom det er adgang og tilstrekkelig grunn til det.

10.3.2 Klarere og mer utfyllende regulering av adgangen til å behandle personopplysninger

Personvernforordningen regulerer ikke bare behandlingsansvarlige, databehandlere, registrerte og tilsynsmyndigheter, den stiller på noen punkter også krav til nasjonale lovgivere. Dette gjelder for det første i tilknytning til behandlingsgrunnlag, det vil si krav som må være oppfylt for at det skal være lovlig å samle inn og behandle opplysninger om enkeltpersoner. Visse krav til behandlingsgrunnlag gjelder alle personopplysninger, og det er disse kravene som er omhandlet i dette avsnittet.7 Det stilles ytterligere krav for å kunne behandle særlige kategorier personopplysninger, det vil si opplysninger som anses å være spesielt sensitive.8

De generelle kravene til regulering av behandlingsgrunnlag i nasjonal lovgivning er særlig knyttet til behandling av opplysninger i regi av offentlige myndigheter. Dette kan for eksempel gjelde lovpålegg om å samle inn og utlevere opplysninger til det offentlige, for eksempel plikt for arbeidsgivere om å rapportere opplysninger til Skatteetaten, Arbeids- og velferdsetaten og Statistisk Sentralbyrå i samsvar med a-opplysningsloven.9 Personvernforordningen stiller også krav til lovgivning når adgangen til å behandle personopplysninger er begrunnet i at behandlingen er «nødvendig for å utføre en oppgave av allmennhetens interesse», for eksempel dersom det skal gjennomføres undersøkelser av samfunnsforhold og sosiale forhold (trafikkforhold, forurensing, prestasjoner i skolen). Det stilles også krav til nasjonal lovgivning når begrunnelsen for å behandle personopplysninger er at behandlingen er «nødvendig for utøvelse av offentlig myndighet…».10 Dette gjelder både enkeltvedtak og generelle vedtak (herunder forskrifter), men enkeltvedtak er det mest praktiske.

Når det blir behandlet personopplysninger med henvisning til de nevnte rettslige grunnlagene, fastsetter personvernforordningen at grunnlaget skal «fastsettes i … medlemsstatenes nasjonale rett». Formålet med behandlingen, altså årsaken til at personopplysningene blir behandlet, skal i nevnte tilfeller fastsettes i nasjonal rett. I tillegg åpnes det for at en rekke andre spørsmål kan undergis nasjonal regulering.11

Etterlevelse av skal-kravet er en selvfølge. Personvernkommisjonen mener i tillegg norske myndigheter bør benytte anledningen forordningen gir til mer utfyllende regulering. Slik utfyllende regulering kan for eksempel gjelde generelle vilkår for at en bestemt behandling av personopplysninger skal være lovlig, hvilken type opplysninger som kan behandles og hvem personopplysninger kan utleveres til. På den måten kan det utformes bestemmelser som blir mer konkrete enn bestemmelsene i personvernforordningen, og som dermed blir lettere å forstå og etterleve.

I samsvar med norsk rettstradisjon, legger kommisjonen til grunn at slike nærmere bestemmelser om behandlingsgrunnlag blir fastsatt i lov og forskrift. Nevnte regler må etter Personvernkommisjonens syn ikke bare gis for å kompensere for inngrep i personvernet som lovgiver ønsker å gjøre. Personvernkommisjonen mener det er generelt behov for å klargjøre det rettslige grunnlaget for behandling av personopplysninger knyttet til offentlig sektor. Kommisjonen mener slik rettslig klargjøring er i tråd med grunnleggende rettsstatlige prinsipper, fordi det bidrar til større grad av forutberegnelighet og etterprøvbarhet. Dessuten innebærer en lovregulering at mulige fremtidige ønsker om endret og utvidet adgang til å behandle personopplysninger krever nye politiske vedtak. Dermed blir viktige spørsmål om personvern også del av det politiske, demokratiske meningsskiftet, noe kommisjonen ser som en verdi i seg selv.

10.3.3 Klarere og mer utfyllende regulering av adgangen til å behandle særlige kategorier personopplysninger

Det er i utgangspunktet forbudt å behandle særlige kategorier personopplysninger, altså opplysninger som er angitt i personvernforordningen artikkel 9 nr. 1. Slike opplysninger anses generelt å være sensitive. Dette gjelder opplysninger om «rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering». Forbudet er imidlertid mest et regelteknisk utgangspunkt. Det er likevel lov å behandle de nevnte opplysningstypene dersom bestemte vilkår i forordningen er oppfylt. Noen av vilkårene er knyttet til konkrete vurderinger av det enkelte tilfellet. Andre vilkår er av generell karakter og stiller krav til nasjonal lovgivning. Formelt sett er det ikke pålegg i forordningen om å gi nasjonal lovgivning. Siden et velfungerende samfunn er avhengig av å behandle særlige kategorier personopplysningstyper, er det i praksis likevel nødvendig å ha nasjonal lovgivning slik at behandling av nevnte opplysninger i visse tilfeller blir tillatt.

Fem av ti alternativer i artikkel 9 nr. 2 gjør behandling av særlige kategorier personopplysninger lovlig under forutsetning av at visse krav til nasjonal rett er oppfylt. Behovet for nasjonale bestemmelser i tråd med forordningens krav, bør vurderes for disse alternativene:

• behandlingen er nødvendig for å oppfylle forpliktelser og utøve rettigheter på området arbeidsrett, trygderett og sosialrett (jf. bokstav b);

• behandlingen er nødvendig av hensyn til viktige allmenne interesser (jf. bokstav g);

• behandlingen er nødvendig i forbindelse med forebyggende medisin, arbeidsmedisin, medisinsk diagnostikk, og yting av helse- og sosialtjenester og -systemer mv. (jf. bokstav h);

• behandlingen er nødvendig av allmenne folkehelsehensyn eller for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester, legemidler og medisinsk utstyr (jf. bokstav i);

• behandlingen er nødvendig for arkivformål i allmennhetens interesse, og formål knyttet til vitenskapelig og historisk forskning og statistiske formål (jf. bokstav j).

I flere av alternativene nevnt ovenfor gjelder også andre, samtidige krav, men her avgrenses det til kravene til nasjonal rett. Det grunnleggende kravet som stilles i nevnte bestemmelser er at spørsmål om behandling av særlige kategorier personopplysninger skal være regulert. I samsvar med norsk rettstradisjon vil regulering i lov og forskrift være de viktigste reguleringsformene. Forordningen nevner imidlertid også tariffavtale (se artikkel 9 nr. 2 bokstav b) og avtale med helsepersonell (se bokstav h).

Opplysninger om blant annet etnisitet, religion, helse og seksuelle forhold er blant de aller mest sensitive personopplysningene, der misbruk lett kan innebære vesentlige krenkelser av den enkeltes personvern.

Når det gjelder behandling av genetiske opplysninger, biometriske opplysninger og helseopplysninger, mener Personvernkommisjonen det må vurderes om det skal gis nasjonale regler som opprettholder, eventuelt innfører nye vilkår for behandling av slike opplysninger.12

10.3.4 Særlig om lovregulering av helt automatiserte, individuelle avgjørelser

Personvernforordningen artikkel 22 inneholder en rett for den enkelte til ikke å være gjenstand for helt automatiserte avgjørelser med rettslige konsekvenser, eller som på tilsvarende måte påvirker den enkelte, herunder profilering. Slike avgjørelser er aktuelle i både privat og offentlig sektor. Graden av automatisering ved behandling av personopplysninger i det norske samfunnet er økende. Helt automatisert behandling, uten noen form for involvering fra et menneske, blir stadig mer praktisk. Kredittvurdering og e-rekruttering uten menneskelig inngripen er for eksempel ofte helt automatisert, og kun styrt av forhåndsprogrammerte kriterier. Innen offentlig forvaltning er skatteberegning av personlige skattytere ett av flere eksempler på helt automatiserte enkeltvedtak, som beskrevet i kapittel 6.

Bestemmelsen i artikkel 22 er formulert som en rettighet, men har av norske og andre lands myndigheter vært fortolket som et forbud mot helt automatisert behandling av personopplysninger. Forordningen åpner uansett for å gi nasjonale regler som tillater slik helt automatisert behandling. I Norge var det våren 2022 gitt minst 16 lov- og forskriftshjemler om dette. Disse var spesielt knyttet til pensjonslovgivning, covid-19-ordninger og utlendingsforvaltningen. I de fleste tilfeller har denne standardformuleringen vært anvendt:

«[Forvaltningsorgan] kan treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10. Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. Avgjørelsen kan ikke bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom. Den registrerte har rett til manuell overprøving av avgjørelsen.»

De to siste setningene i bestemmelsen sier neppe mer enn det som følger av alminnelige forvaltningsrettslige prinsipper og lovgivning. Formuleringene er derfor kun en påminnelse om vern som parter uansett skal ha, og representerer ikke særlige garantier begrunnet i høy automatiseringsgrad.

For å tillate helt automatiserte avgjørelser, forutsetter personvernforordningen at det er «fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser».13 Dette må særlig forstås som krav til konkrete tiltak i lov og forskrift. I tilknytning til de nevnte hjemlene i norsk lov er det imidlertid ikke gitt nærmere regler for å sikre folks rettigheter og friheter.

Personvernkommisjonen anser det som nødvendig at man gjør grundige vurderinger ved helt automatiserte avgjørelser.

Etter Personvernkommisjonens syn må man gi et spesielt vern for personer som utsettes for automatiserte avgjørelser i tråd med forordningens regler. Aktuelle garantier kan for eksempel være skjerpede krav til begrunnelse for de avgjørelser maskinen genererer. Også dokumentasjon av systemet kan være en hensiktsmessig garanti, eventuelt i kombinasjon med ordninger for manuell vurdering og overprøving av innholdet i selve systemløsningen.

Personvernkommisjonen ser et behov for regler som sikrer tilstrekkelig dokumentasjon og gjennomsiktighet i automatiserte avgjørelsesprosesser. Dokumentasjon er en forutsetning for at den enkelte part, eventuelt med hjelp fra en ideell organisasjon eller advokat, reelt sett skal være i stand til å motsi resultater fra automatiserte vedtak og ha grunnlag for å klage på avgjørelsen.

Nasjonale regler om hvem som skal regnes som behandlingsansvarlig

Den behandlingsansvarlige er den virksomhet eller person som bestemmer hva personopplysninger skal brukes til og hvilke hjelpemidler som skal benyttes. Når en legger definisjonen til grunn, vil det i mange tilfeller være tvil om hvem som skal regnes som behandlingsansvarlig. Det gjelder særlig i komplekse organisasjoner, for eksempel i større hierarkier innen stat og kommune og innen konsern med komplekse selskapsstrukturer. I visse tilfeller åpner personvernforordningen imidlertid for at nasjonale myndigheter direkte fastsetter hvem som skal ha behandlingsansvar for konkrete behandlinger, eller de særlige kriteriene for plasseringen av ansvaret, jf. artikkel 4 nr. 7.

Personvernkommisjonen mener det er viktig å unngå tvil om hvem som er ansvarlig for etterlevelse av personvernforordningen og personopplysningsloven. Kommisjonen anbefaler at den nasjonale adgangen til å skape klarhet i denne plasseringen av ansvar må brukes aktivt. Når det kan være tvil om hvem som er behandlingsansvarlig, bør en derfor om mulig fastsette bestemmelser om dette i lov eller forskrift, slik forordningen åpner for. I kapittel 6 tar kommisjonen til orde for at departementene i større grad bør lov- eller forskriftsfeste ansvarsfordelingen der deling av personopplysninger inngår som en del av et større samarbeid mellom forvaltningsorganer og hvor dette kan medføre alvorlige personvernkonsekvenser.

10.3.5 Ideelle organisasjoners rett til å opptre på vegne av registrerte

Personvernkommisjonen mener det kollektive elementet i arbeidet med personvern bør styrkes og gjøres tydelig. I tillegg til at det må legges til rette for at den enkelte selv kan hevde sin rett og beskytte sine friheter, bør det legges til rette for at enkeltindivider kan organisere seg slik at de i fellesskap kan arbeide for å styrke personvernet.

Personvernforordningen åpner for at ideelle organisasjoner som har som allment formål å fremme personvern, kan opptre etter fullmakt fra registrerte personer.14 I Norge er det mulig at Elektronisk Forpost Norge (EFN) er et eksempel på en slik organisasjon.15 Etter gjeldende regler kan slike ideelle organisasjoner blant annet klage til Datatilsynet på registrerte personers vegne, og bringe en sak inn for domstolene. Forordningen åpner dessuten for at ideelle organisasjoner kan opptre på vegne av registrerte personer av eget initiativ, uten fullmakt fra de registrerte. En slik selvstendig, aktiv rolle er betinget av at ordningen er fastsatt i nasjonal rett.16

Personvernkommisjonen mener Regjeringen bør legge til rette for etablering av ideelle organisasjoner med allmenne formål om å arbeide for personvern. Det er viktig at det gis nasjonale regler som klargjør hvilke krav som gjelder for opprettelse av og arbeidet i slike organisasjoner. Et slikt nasjonalt regelverk bør også klargjøre om, og eventuelt i hvilken grad og på hvilken måte, ideelle organisasjoner kan opptre på vegne av registrerte personer uten deres fullmakt. Dette vil stille spesielt strenge krav til forsvarlig organisering og drift av slike foreninger, noe som vil kreve nærmere rettslig avklaring.

10.3.6 Betydningen av tvil og fravær av regler i personvernforordningen

Bestemmelser i personvernforordningen går i tilfelle konflikt foran andre nasjonale bestemmelser.17 En rekke norske lover gjelder behandling av personopplysninger. Det er da avgjørende at slik norsk lovgivning utformes i harmoni med forordningen. Det kan skape utfordringer når forordningen etterlater tolkningstvil som må løses for å utforme nasjonal lovgivning. Et eksempel er forståelsen av arkivformål i allmennhetens interesse. Forståelsen av dette begrepet har avgjørende betydning for om personopplysninger må slettes eller om de kan tas vare på for ettertiden. Spørsmålet ble diskutert av Arkivlovutvalget i NOU 2019: 9. Resultatet var forslag til bestemmelser om personvern på arkivområdet, se §§ 22–25 i forslaget.

En lignende situasjon gjelder spørsmålet om hvordan personvernforordningen skal anvendes på personer under 18 år, altså barn og ungdom. Det er for eksempel uklart i hvilken grad personer under 18 år kan kreve innsyn i egne opplysninger, kreve retting og sletting av opplysninger og for øvrig bruke rettighetene i personvernforordningen kapittel 3. I Ingvild Sciøll Ericsons utredning som ligger ved Personvernkommisjonens utredning, drøfter hun disse spørsmålene.18 Fravær av klare regler på dette området, skaper utilfredsstillende forutberegnelighet for barn, foreldre og behandlingsansvarlige.

Et tredje eksempel gjelder adgangen til å benytte maskinlæring og andre metoder for kunstig intelligens. Om dette er personvernforordningen taus, og spørsmålene er heller ikke avklart i forslaget til forordning om kunstig intelligens. Dette kan skape usikkerhet og frykt for å velge ulovlig praksis. Videre kan dette ha nedkjølende effekt for anvendelse av maskinlæring for å styrke personvernet, eksempelvis for å sikre opplysningskvalitet eller analysere sikkerhetstrusler. Personvernkommisjonen viser i denne sammenheng til kapittel 11 om innebygd personvern og andre teknologianvendelser i personvernets tjeneste.

Personvernkommisjonen mener det er meget uheldig når fravær av EU-rettslig regulering skaper rettslig usikkerhet uten at nasjonale regler vedtas for å regulere spørsmålene. Dette gjelder særlig spørsmål med stor betydning for personvern, som i eksemplene ovenfor. Etter kommisjonens mening bør Regjeringen føre en aktiv politikk for felles europeiske regler. Når dette ikke er mulig eller realistisk innen rimelig tid, bør Regjeringen fremme forslag til nasjonale bestemmelser. Slike regler bør fortrinnsvis foreslås etter konsultasjon med andre land i EØS.

10.3.7 Tiltak for å forbedre lovtekster uten å gjøre innholdsmessige endringer

Avsnitt 8 i fortalen til personvernforordningen inneholder en retningslinje for utforming av nasjonal lovgivning:

«Når det i denne forordning fastsettes at det kan innføres presiseringer eller begrensninger av dens regler gjennom medlemsstatenes nasjonale rett, kan medlemsstatene, i den grad det er nødvendig av hensyn til sammenhengen og for å gjøre nasjonale bestemmelser forståelige for de personer de får anvendelse på, innarbeide elementer fra denne forordning i sin nasjonale rett.»

Utgangspunktet er at nasjonal lovgivning ikke skal gjenta forordningens ordlyd, men kun utfylle eller presisere i den grad dette ligger innenfor det nasjonale handlingsrommet som bestemmelsene i forordningen gir. Den siterte retningslinjen innebærer en viss oppmykning av dette, og gir muligheter for å lage broer mellom nasjonal lovgivning på personvernrettens område og personvernforordningen. Dette kan gi bedre språklig og innholdsmessig sammenheng mellom personvernforordningen og norsk, nasjonal lovgivning. Det er trolig mest aktuelt å ta inn legaldefinisjoner fra forordningen i norske lovtekster, slik at forståelsen av bærende begreper fremgår direkte av den nasjonale lovgivningen. Også andre tekstelementer kan være aktuelle å gjenta i norsk lov, for eksempel personvernforordningen artikkel 9 nr. 1 som lister opp hvilke personopplysninger som generelt anses å være spesielt sensitive («særlige kategorier personopplysninger»).

Lov- og forskriftsbestemmelser har som regel innhold med selvstendig rettslig betydning. I tillegg kan en tenke seg bestemmelser som kun har som funksjon å opplyse leseren om viktige aspekter ved regelverket og således bidra til riktig lovforståelse. Slike «informasjonsbestemmelser» kan særlig være nyttig for brukere av lovtekster som ikke har juridisk bakgrunn. Personopplysningsloven av 2000 inneholdt for eksempel en bestemmelse i § 8 første ledd om at «Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for…». Frem til «eller behandlingen er nødvendig for…» innebar denne teksten kun en tydeliggjøring av hvordan de foregående bestemmelsene skulle forstås, og hadde ingen selvstendig rettslig betydning.

Personvernkommisjonen mener at, brukt på forsiktig måte, kan informasjonsbestemmelser i norsk, nasjonal lovgivning, være ett av flere virkemidler for å skape bedre sammenheng mellom personvernforordningen og annet relevant regelverk. Særlig kan det være grunn til å bruke denne metoden innen lovgivning som gjelder individuelle rettigheter og som det derfor er en forutsetning at et stort antall mennesker uten juridisk skolering skal kunne forstå. Fremgangsmåten kan også vurderes i sammenheng med regler som gjelder plikter som et stort antall små og mellomstore virksomheter må kunne etterleve.

10.4 Personvernkommisjonens anbefalinger oppsummert

• Personvernkommisjonen mener norske myndigheter ikke bør akseptere en situasjon der det er vanskelig å finne ut av hvilke regler som gjelder og hvordan disse skal forstås. Både hensynet til rettsbeskyttelsen av den enkelte, og rettssikkerheten for behandlingsansvarlige og databehandlere tilsier et kontinuerlig arbeid for å gjøre rettsreglene så forståelige som mulig.

• Personvernkommisjonen mener Regjeringen bør delta aktivt i rettslige og politiske prosesser i EU for å arbeide for bedre personvernregelverk.

• Personvernkommisjonen anbefaler at det bygges kompetanse innen EU- og EØS-rett i forvaltningen, for å sikre solide prosesser i lovarbeid.

• Personvernkommisjonen mener Regjeringen må føre en aktiv lovgivningspolitikk for å fremme personvern. Det bør alltid være en ambisjon å bruke det norske, nasjonale handlingsrommet som EØS-lovgivningen gir, både for å supplere de europeiske reglene, støtte opp under og for å styrke gjeldende EØS-lovgivning som norske myndigheter ser som spesielt viktig. Eventuelt bør norske myndigheter vedta avvikende norske regler dersom det er adgang og tilstrekkelig grunn til det.

• Personvernkommisjonen mener det er generelt behov for å klargjøre det rettslige grunnlaget for behandling av personopplysninger knyttet til offentlig sektor. Rettslig klargjøring er i tråd med grunnleggende rettsstatlige prinsipper, fordi det bidrar til større grad av forutberegnelighet og etterprøvbarhet. Dessuten innebærer en lovregulering at mulige fremtidige ønsker om endret og utvidet adgang til å behandle personopplysninger krever nye politiske vedtak. Dermed blir viktige spørsmål om personvern også del av det politiske, demokratiske meningsskiftet, noe kommisjonen ser som en verdi i seg selv.

• Personvernkommisjonen mener det må vurderes om det skal gis nasjonale regler som opprettholder, eventuelt innfører nye vilkår for behandling av genetiske, biometriske og helserelaterte opplysninger.

• Personvernkommisjonen mener det må gis et spesielt vern for personer som utsettes for helt automatiserte avgjørelser i tråd med forordningens regler. Aktuelle garantier kan for eksempel være skjerpede krav til begrunnelse for de avgjørelser maskinen genererer. Også dokumentasjon av systemet kan være en hensiktsmessig garanti, eventuelt i kombinasjon med ordninger for manuell vurdering og overprøving av innholdet i selve systemløsningen.

• Personvernkommisjonen ser et behov for regler som sikrer tilstrekkelig dokumentasjon og gjennomsiktighet i automatiserte avgjørelsesprosesser. Dokumentasjon er en forutsetning for at den enkelte part, eventuelt med hjelp fra ideell organisasjon eller advokat, reelt sett skal være i stand til å motsi resultater fra automatiserte vedtak og ha grunnlag for å klage på avgjørelsen.

• Personvernkommisjonen anbefaler at den nasjonale adgangen til å skape klarhet i hvem som er ansvarlig for etterlevelse av personvernregelverket, må brukes aktivt. Når det kan være tvil om hvem som er behandlingsansvarlig, bør en derfor om mulig fastsette bestemmelser om dette i lov eller forskrift, slik forordningen åpner for.

• Personvernkommisjonen mener Regjeringen bør legge til rette for etablering av ideelle organisasjoner med allmenne formål om å arbeide for personvern. Det er viktig at det gis nasjonale regler som klargjør hvilke krav som gjelder for opprettelse av og arbeidet i slike organisasjoner. Et slikt nasjonalt regelverk bør også klargjøre om, og eventuelt i hvilken grad og på hvilken måte, ideelle organisasjoner kan opptre på vegne av registrerte personer uten deres fullmakt. Dette vil stille spesielt strenge krav til forsvarlig organisering og drift av slike foreninger, noe som vil kreve nærmere rettslig avklaring.

• Personvernkommisjonen mener Regjeringen bør føre en aktiv politikk for felles europeiske regler. Når dette ikke er mulig eller realistisk innen rimelig tid, bør Regjeringen fremme forslag til nasjonale bestemmelser. Slike regler bør fortrinnsvis foreslås etter konsultasjon med andre land i EØS.

• Personvernkommisjonen mener at, brukt på forsiktig måte, kan informasjonsbestemmelser i norsk, nasjonal lovgivning, være ett av flere virkemidler for å skape bedre sammenheng mellom personvernforordningen og annet relevant regelverk. Særlig kan det være grunn til å bruke denne metoden innen lovgivning som gjelder individuelle rettigheter og som det derfor er en forutsetning at et stort antall mennesker uten juridisk skolering skal kunne forstå. Fremgangsmåten kan også vurderes i sammenheng med regler som gjelder plikter som et stort antall små og mellomstore virksomheter må kunne etterleve.

11 Teknologi i personvernets tjeneste

11.1 Teknologi som problem og løsning

Til grunn for dette kapittelet ligger en forutsetning om at teknologi ikke bare kan anvendes på måter som krenker personvernet, men også kan brukes bevisst for å oppnå et bedre personvern. Teknologiske hjelpemidler kan for eksempel hjelpe folk til både å forstå hvilke rettigheter de har, og hjelpe dem med å bruke dem. En rutine for å gi og trekke tilbake samtykke til å behandle personopplysninger kan sikre at reglene for samtykke blir fulgt, forutsatt at rutinen har et kvalitetssikret innhold som er i samsvar med de rettslige kravene. En innsynsrutine kan på lignende måte legge til rette for at det i praksis blir enklere for registrerte personer å be om å få se hvilke opplysninger en virksomhet har om dem. Samtidig kan rutinen sikre at den som krever innsyn gir de nødvendige opplysningene som viser at den som spør er rett person. Personvernkommisjonen mener slike teknologiske muligheter til nå ikke er brukt i tilstrekkelig grad.

11.2 Grunnleggende om personvernteknologi

Tanken om at teknologi kan fremme personvern er ikke ny. I 1980-årene ble begrepet «Privacy Enhancing Technologies» («PETs») lansert for å beskrive slike muligheter. Særlig ble det lagt vekt på teknologi som kunne ivareta hensynet til konfidensialitet og anonymitet. Denne tilnærmingen ble senere videreutviklet, og i siste halvdel av 1990-årene ble den bredere tilnærmingen «Privacy by Design» introdusert. Norsk betegnelse er innebygd personvern. Innebygd personvern, slik det ble lansert, bygger på syv prinsipper.19 Prinsippene gjelder primært utvikling av datasystemer, men er også ment å ha betydning for utforming av organisasjoner og forretningsstrategier.

«Privacy by Design» er viktig bakgrunn for artikkel 25 i personvernforordningen. Bestemmelsen stiller krav til «data protection by design and by default» (innebygd personvern og personvern som standardinnstilling).20 I fortsettelsen bruker kommisjonen «innebygd personvern», og lar dette både omfatte «privacy by design» og «data protection by default».

De sju prinsippene for innebygd personvern er ikke del av den rettslige reguleringen av spørsmålet i personvernforordningen artikkel 25, men kan ha indirekte betydning for forståelsen av de rettslige kravene. Artikkel 25 pålegger behandlingsansvarlige plikt til å iverksette tekniske og organisatoriske tiltak for å sikre effektiv gjennomføring av personvernprinsippene og verne rettighetene til de personene det er registrert opplysninger om. Denne bestemmelsen blir nærmere gjennomgått i avsnitt 11.4.2.

Det å bruke digital teknologi på måter som gagner personvernet, kan omfatte mer enn det som er vanlig å betegne som innebygd personvern. Ovennevnte bestemmelse om innebygd personvern er bare rettet mot behandlingsansvarlige. Personvernkommisjonen bruker også begrepet personvernteknologi for generelt å betegne teknologi som er begrunnet i en ambisjon om å ivareta og fremme personvern, uansett hvem som står for utviklingen, hva teknologien gjør, og hvem som er brukere. Begrepet dekker et stort spektrum av teknologi; alt fra beslutningsstøtte, altså systemer som hjelper personer å huske og handle slik personvernregelverket krever, til helt automatiserte rutiner som sikrer etterlevelse av personvernregler i samsvar med forhåndsprogrammerte regler. Automatisk etterlevelse kan for eksempel innebære sletting av opplysninger når det er registrert at et samtykke er trukket tilbake. Personvernteknologi kan være mindre, enkeltstående tiltak (slik som slette-eksempelet), men det kan også være moduler i et IT-system med en rekke sammenhengende funksjoner. I avsnitt 11.4.3 illustreres hvordan flere muligheter for å gi teknologisk støtte til registrerte personer kan kombineres i en «rettighetsplattform».

Alle relevante aktører kan tenkes å ha nytte av personvernteknologi, i det minste som beslutningsstøtte. Dette gjelder for det første sentrale aktører i personvernregelverket som behandlingsansvarlige, registrerte personer, databehandlere og personvernombud. Aktører som sertifiseringsorganer, bransjeorganisasjoner og ideelle organisasjoner kan også ha nytte av teknologisk støtte innen sine arbeidsområder. Videre er teknologisk støtte en forutsetning for at tilsynsmyndigheter kan løse sine oppgaver på effektiv og hensiktsmessig måte.

Aktører kan tenkes å anskaffe personvernteknologi på det kommersielle markedet, men tilbudet av slike produkter er til nå begrenset. Det er også mulig å utvikle personvernteknologi til eget bruk, eventuelt i samarbeid mellom flere, som felles systemkomponent til bruk innen en bransje eller i offentlig sektor. Det er for eksempel mulig å etterleve krav til behandlingsprotokoller (jf. personvernforordningen artikkel 30) og legge til rette for forsvarlig behandling av klager fra registrerte personer (jf. artikkel 12 nr. 2), ved å utvikle felles systemkomponenter som den enkelte behandlingsansvarlige kan tilpasse sine datasystemer.

I tilfeller der behandlingsansvarlige har engasjert en eller flere databehandlere, er det praktisk at databehandleravtalen eller instruksen fra behandlingsansvarlige til databehandler fastsetter at databehandler skal bruke bestemte innebygde løsninger eller annen personvernteknologi.21 Dette kan for eksempel være tilsvarende løsninger som de behandlingsansvarlige selv bruker, eller ville ha brukt dersom de hadde behandlet personopplysningene selv uten bistand fra databehandler.

Produsenter av programvare har ingen rettslige forpliktelser etter personvernforordningen til å bygge personvern inn i produktene sine. Det er derfor viktig å spørre om produsenter i større grad enn i dag kan påvirkes til å lage løsninger som støtter opp under personvern.

Heller ikke personvernombud,22 bransjeorganisasjoner, sertifiseringsorganer eller ideelle organisasjoner som arbeider med personvern, har rettslig forpliktelse til å anskaffe og bruke personvernteknologi. Slik teknologibruk vil likevel ofte være hensiktsmessig. Ideelle organisasjoner kan for eksempel utvikle eller videreformidle verktøy for å hindre sporing av nettaktivitet. For eksempel tilbyr organisasjonen Electronic Frontier Foundation (EFF) verktøyet «Privacy Badger» som er et programvaretillegg til nettleseren som automatisk blokkerer skjult sporing.23

Personvernteknologi kan også utvikles av tilsynsmyndigheter, eller etter initiativ fra tilsynsmyndigheter. Dersom Datatilsynet vil øke sannsynligheten for at personvernombudene gjør en best mulig jobb, kan én mulig strategi være at tilsynet selv utvikler, eller ber andre om å utvikle, en systemløsning som hjelper personvernombudene å få oversikt over relevante aktiviteter i organisasjonen. En annen løsning er at Datatilsynet utarbeider en standard, funksjonell kravspesifikasjon for systemer som kommersielle programvareprodusenter kan bruke.

Det må stilles strenge krav til kvaliteten av personvernteknologi. Teknologien må være basert på en riktig forståelse av det aktuelle regelverket. Personvernteknologi må dessuten være forsvarlig og hensiktsmessig å benytte.

Personvernteknologi som behandlingsansvarlige selv bruker eller tilbyr registrerte og databehandlere, kommer inn under behandlingsansvarliges plikt til å sikre at personvernregelverket blir fulgt. Personvernforordningen åpner dessuten opp for sertifisering av behandling av personopplysninger som behandlingsansvarlige og databehandlere gjennomfører, se artikkel 42 og 43. Også for produsenter av personvernteknologi, kan det være behov for en sertifiseringsordning som angir tilstrekkelig kvalitet på slike produkter som tilbys på markedet.

Personvernkommisjonen er kjent med, og anerkjenner, Datatilsynets satsing på innebygd personvern. Av særlig betydning er Datatilsynets veiledere «Innebygd personvern og personvern som standard»24 og «Programvareutvikling med innebygd personvern».25 Sist nevnte retter seg primært mot teknologer som deltar i utvikling av programvare som behandler personopplysninger. I tillegg har Datatilsynet siden 2017 arrangert årlig konkurranse om «Innebygd personvern i praksis» der de har kåret beste innebygde løsning blant innsendte kandidater.26

Personvernkommisjonen vil understreke at teknologi kan være hensiktsmessig virkemiddel for å bedre personvern for alle aktører og i ulike situasjoner. Kommisjonen oppfordrer til et positivt og offensivt syn på teknologi i personvernets tjeneste. Dette betyr ikke at Personvernkommisjonen mener alle problemer kan elimineres ved hjelp av teknologiske tiltak. Teknologi kan imidlertid ofte dempe og forbedre situasjoner der det ellers ville oppstått mer alvorlige trusler mot personvernet.

For å oppnå god effekt av selve teknologien, er det etter Personvernkommisjonens syn neppe alltid avgjørende at systemløsningene er særlig avanserte. Personvernteknologi kan være alt fra apper på mobilen med begrenset funksjonalitet, til avanserte systemer til bruk for forvaltning av store datamengder i tråd med reglene i personvernregelverket. Slik teknologi kan være integrerte deler av digitale løsninger som brukes til blant annet kommersielle formål eller myndighetsformål, eller enkeltstående løsninger med eneste formål å understøtte personvern. Kommisjonen mener det er stort rom for innovasjon med mange ubrukte muligheter på dette feltet.

11.3 Beskyttelse mot å bli registrert eller være registrert

For mange mennesker kan det være viktig å unngå registrering, og dermed unngå at opplysninger om dem blir behandlet av andre. Teknologi som kan gi anonymitet og annen sterk beskyttelse av identiteter (for eksempel ved hjelp av kryptering og pseudonymisering), er eksempler på personvernteknologi ved at den bidrar til å unngå registrering eller reduserer antall datapunkter.27 Sporingsfri modus i nettlesere og etui for å beskytte mot uberettiget avlesing av digitalt pass eller ID-kort («skimming») er eksempler på enkle antisporingstiltak.

Alle kan ha behov for å skjerme seg. Men varslere, undertrykte og diskriminerte grupper, og personer som blir forfulgt («stalking») har spesielt sterke grunner til å unngå registrering og sporing. Journalister og personer som er kilder for pressen kan også ha sterke grunner til å skjerme seg. På den annen side kan samme teknologiske verktøy brukes til å skjule alvorlige forbrytelser, og bruken kan ha til hensikt å skjerme seg mot politi og tilsynsmyndigheter.

Personvernkommisjonen går ikke nærmere inn på en diskusjon om en rett til ikke å være registrert og til redusert deltakelse i det digitale samfunnet. Bruk av teknologi som gir vern mot registrering, vil imidlertid ofte være legitimt.

Lovgivningen skaper plikter og rettigheter, og regulerer blant annet når registrering av personopplysninger er lovlig. Er registrering lovlig, må innbyggerne normalt tåle det, og bruken av verktøy for å skjule identitet og registrering vil i så fall ikke uten videre være legitimt. Hvis en forutsetter lojal regeletterlevelse og effektiv rettshåndhevelse, vil det være mindre behov for den enkelte å selv beskytte seg mot registrering. En slik idealsituasjon er imidlertid åpenbart ikke realistisk.

Personvernkommisjonen mener det alltid vil være behov for at innbyggerne beskytter seg selv mot registrering ved hjelp av teknologi, i tillegg til den beskyttelsen tilsynsmyndigheter og politi kan gi dem. Muligheten for at folk selv kan bruke teknologi for å beskytte seg mot ulovlig eller uønsket behandling, må ikke gjøre at offentlige myndigheter nedprioriterer beskyttelsen av innbyggerne. Realistisk sett vil beskyttelsesbehovet alltid være større enn det myndigheter kan sørge for. Tilsynsmyndigheter bør derfor gi råd til privatpersoner om hvordan de kan innrette seg i størst mulig grad for å beskytte seg selv, herunder gi konkret anvisning på aktuelle verktøy.

11.4 Særskilt om innebygd personvern

11.4.1 Overordnet presentasjon

Personvernforordningens artikkel 25 handler om krav til innebygd personvern og personvern som standardinnstilling. Her velger Personvernkommisjonen å konsentrere seg om innebygd personvern, og ser spørsmål om standardinnstillinger som del av det først nevnte elementet. Det grunnleggende poenget med bestemmelsen er at den behandlingsansvarlige skal treffe tiltak for å sikre at personvernprinsippene og øvrige bestemmelser i forordningen – særlig rettighetsbestemmelsene – blir effektivt etterlevet.

Bestemmelsen forutsetter spesielt iverksettelse av tekniske og organisatoriske tiltak. Innbefattet i tekniske tiltak er teknologiske tiltak, typisk utforming og funksjoner i digitale systemer som kan sies å fremme personvern. For eksempel kan en utforme systemrutiner som varsler om at personopplysninger er lagret så lenge at sletting bør vurderes, at det er uoverensstemmelse mellom innholdet av samme opplysning i system A og system B, eller som legger til rette for å kreve retting eller sletting av opplysninger.

En bakenforliggende tanke ved innebygd personvern er at behandlingsansvarlige kan utforme systemløsninger som brukes til å behandle personopplysninger på en måte som gjør at systemet jobber for personvernet. Bestemmelsen forutsetter at det er den behandlingsansvarlige som skal sørge for dette. Imidlertid vil mange behandlingsansvarlige ha begrenset mulighet for å realisere ideen om innbygging, da det ikke er mange behandlingsansvarlige som utvikler systemene sine selv. I stedet kjøper de hyllevare, eller anskaffer kommersielt tilgjengelige systemløsninger som blir tilpasset den behandlingsansvarliges bruk.

Programvareprodusentene som tilbyr datasystemer som utfører behandling av personopplysninger, er som tidligere nevnt ikke omfattet av kravene om innebygd personvern. Om disse har personvernforordningen kun en uttalelse i fortalen, der produsentene henstilles om å bidra til at innbygging kan skje:

«Ved utvikling, utforming, valg og bruk av programmer, tjenester og produkter som er basert på behandling av personopplysninger, eller når personopplysninger behandles for å oppfylle disses funksjon, bør produsenter av nevnte produkter, tjenester og programmer oppmuntres til å ta hensyn til retten til vern av personopplysninger ved utvikling og utforming av nevnte produkter, tjenester og programmer og, idet det tas behørig hensyn til den tekniske utviklingen, sikre at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger.»28

Sitatet illustrerer forskjellen mellom tilnærmingen i personvernforordningen og EUs forslag til forordning om kunstig intelligens (AI Act).29 I forslaget til forordning om kunstig intelligens stiller lovgiver krav til utvalgte produkter som gjør bruk av slik teknologi, og krav til blant annet produsenter, i stedet for (bare) krav til de behandlingsansvarlige som anvender produktene.

Innebygd personvern handler ikke bare om tekniske tiltak og teknologi, men omfatter som nevnt også organisatoriske tiltak. I utgangspunktet kan alle organisatoriske tiltak som gir bidrag til etterlevelse av personvernprinsippene og rettighetsbestemmelser i forordningen være relevante. Det er imidlertid flere bestemmelser i personvernforordningen som krever iverksettelse av tekniske og organisatoriske tiltak.30

En systematisk og hensiktsmessig forståelse av bestemmelsen om innebygd personvern i artikkel 25 og andre bestemmelser med nært beslektet innhold, taler for å se organisatoriske tiltak i artikkel 25 i sammenheng med de tekniske tiltakene. For eksempel kan en understøtte dataminimeringsprinsippet ved å ha en maskinell rutine som videreformidler personopplysninger fra ett forvaltningsorgan til et annet på en måte som kun gir tilgang til de opplysninger mottakeren faktisk har rett til å se (teknisk tiltak). Uten et slikt skreddersydd opplegg ville overføringen av opplysninger i stedet kunne skje ved at den som skulle ha opplysninger selv forsynte seg med de opplysninger de mente å ha rett til. En arkitektur som på ekstrem måte bryter med dataminimeringsprinsippet er «Real time bidding» (RTB-systemer). Dette er en teknologi der personopplysninger kringkastes til et nettverk av annonsører og andre aktører som selv kan velge hva de skal gjøre med opplysningene.31

Teknisk opplegg for dataminimert overføring av opplysninger gir redusert tilgang til personopplysninger for mottakeren. I tillegg kan en la én fast instans i avgiverorganet ha ansvar for all utvikling, bruk og vedlikehold av den tekniske løsningen (organisatoriske tiltak). På den måten kan en både sikre at overføringen skjer innenfor den best mulig tekniske løsningen og i regi av de best kvalifiserte individene.

Tekniske løsninger kan nettopp bli tilfredsstillende fordi løsningene eksisterer innenfor en bestemt organisatorisk ramme, med blant annet avklarte ansvarsforhold. Til sammen kan dette gi informasjonsflyt som gir mottakere av opplysninger det de lovlig har krav på ut ifra rettsgrunnlaget – hverken mer eller mindre. Forskjellen er stor fra løsninger der et stort antall opplysninger er gjort tilgjengelig, og de behandlingsansvarlige selv kan avgjøre hvilke opplysninger de vil behandle.

Som antydet ovenfor er det ikke en skarp grense mellom kravene til «innbygging» i artikkel 25 og andre krav i forordningen til tekniske og organisatoriske tiltak. Dette gjelder særlig forholdet til artikkel 32 om «sikkerhet ved behandlingen», en bestemmelse om informasjonssikkerhet. Systematisk og logisk sett ligger denne bestemmelsen innenfor de forpliktelsene som stilles opp i artikkel 25. Artikkel 25 har imidlertid en videre betydning. Bestemmelsen kan derfor sies også å innbefatte kravene i artikkel 32. Dersom en har teknologisk bakgrunn og er vant med tekniske og organisatoriske sikkerhetstiltak, kan det være lett å sette likhetstegn mellom «innebygd sikkerhet» og «innebygd personvern». Slik er det imidlertid ikke. Innebygd personvern må først og fremst anses å handle om andre aspekter ved personvernet enn sikkerhet.

11.4.2 Rettslige krav til innebygd personvern

Personvernforordningen inneholder ingen klare og ufravikelige krav om å bygge personvern inn i tekniske og organisatoriske løsninger. Plikten til innbygging avhenger av en rekke vurderinger som til dels har skjønnsmessig innhold, se teksten i boks 11.4. For det første er plikten basert på resultatene av risikovurderinger, altså av en vurdering av sannsynligheten for at enkeltpersoners rettigheter og friheter skal bli krenket på alvorlige måter. Jo mer sannsynlig en alvorlig krenkelse er, desto større rettslig påtrykk blir det i retning av innebygd personvern.

En rekke andre momenter skal også tas hensyn til; blant annet kostnader, den tekniske utviklingen, hvor mange personopplysninger som blir behandlet, hva opplysningene skal brukes til og hvilke opplysningstyper det er tale om. Behandling av personopplysninger kan som nevnt for eksempel anses å innebære stor risiko fordi det blir planlagt å behandle særlige kategorier (sensitive) personopplysninger til inngripende formål, slik som helseopplysninger for å gjennomføre kontroll. Dersom det samtidig er teknisk enkelt og billig å iverksette tiltak for å bygge personvern inn i systemløsningen, for på den måten å redusere risikoen, vil det foreligge plikt til slik innbygging.

Selv om bestemmelsen er meget vurderingspreget og kan være vanskelig å forstå, vil det i mange tilfeller foreligge plikt til å bygge personvern inn i teknologi og tilknyttet organisering. I mange tilfeller vil det for eksempel trolig være en rettslig forpliktelse til å ha en digital innsynsrutine, samtykkerutine, rutine for krav om retting og sletting av opplysninger og annet.

Personvernkommisjonen har ikke gjort undersøkelser av graden av etterlevelse av bestemmelsene om innebygd personvern, men har generelt inntrykk av at bestemmelsen i personvernforordningen artikkel 25 blir utilstrekkelig fulgt og håndhevet. I alle tilfelle kan en ut ifra bestemmelsens ordlyd fastslå at det lett vil oppstå stor usikkerhet om hvordan bestemmelsen skal forstås. For å illustrere poenget har kommisjonen satt inn teksten i første avsnitt av artikkel 25 i tekstboks 11.4.32

Artikkel 25 er et tydelig eksempel på en bestemmelse som gir stort behov for veiledning, både generelt og konkret, som omtalt i kapittel 13. Dette er en bestemmelse som alle behandlingsansvarlig selv må fortolke og gjøre seg opp en mening om hvordan de vil følge. Konklusjonen kan innebære store investeringer og endrede arbeidsmåter i den behandlingsansvarliges virksomhet. For virksomheter med råd til å kjøpe seg juridisk og teknologisk kompetanse, kan dette være en håndterbar situasjon. For andre, for eksempel små kommuner og små virksomheter med begrensede ressurser, kan forsøket på å avklare betydningen artikkel 25 har for dem være langt vanskeligere å håndtere.

11.4.3 Eksempel på helhetlig innbygging av personvern

I figuren nedenfor blir det illustrert hvordan det kan være mulig å bygge inn bestemmelser som gir registrerte personer rettigheter i en «rettighetsplattform», som er spesielt utformet for å gjøre det enklest mulig for registrerte personer å bruke rettighetene sine. I tråd med det Personvernkommisjonen skriver i kapittel 12, er utgangspunktet at registrerte personer kan ha tilgang til de fleste av sine opplysninger uten å måtte kreve innsyn, altså på en slags «min side»-portal. Slik kan personer logge seg inn på en sikker måte og få tilgang til informasjon om seg selv som finnes hos den behandlingsansvarlige. Tilgjengeliggjorte opplysninger kan også omfatte opplysninger om det generelle behandlingsopplegget, jf. artikkel 13 og 14 (om blant annet formål, behandlingsgrunnlag, kilder for og mottakere av personopplysninger). I skissen er muligheten holdt åpen for at enkelte opplysninger ikke er tilgjengeliggjort, men vil kreve begjæring om innsyn (jf. «andre personopplysninger» nederst til venstre i figuren).

Med kunnskap om disse opplysningene kan Rettighetsplattformen også være til hjelp for bruk av andre rettigheter. Registrerte personer kan for eksempel få tilgang til rutiner for å kreve retting, supplering, sletting, begrenset behandling av opplysninger om seg selv – og andre rettigheter slik det fremgår av figuren. Den behandlingsansvarlige må ta stilling til kravene fra de registrerte. Enten blir krav etterkommet eller så nekter den behandlingsansvarlige helt eller delvis å følge den registrertes ønske. Blir det nektet, kan de registrerte bringe uenigheten inn for Datatilsynet for avgjørelse. Datatilsynet kan på sin side ha et digitalt klagesystem som er integrert i og tilgjengelig fra Rettighetsplattformen, som drøftet i kapittel 13.

Forstørr bilde

Plattformen må inneholde veiledende og forklarende tekster som setter de registrerte i stand til å forstå rettighetene sine. De samme eller lignende støttefunksjoner kan være tilgjengelig for behandlingsansvarlige som skal ta stilling til den registrertes krav. Støttefunksjonene vil bidra til å dempe betydningen av at personvernregelverket er komplekst og vanskelig å forstå, som omtalt i avsnitt 10.2.

En rettighetsplattform som skissert kan være en felles komponent for blant annet bransjer, statlig forvaltning og kommunal forvaltning, og kun trenge å tilpasses den enkelte behandlingsansvarlige innen vedkommende bransje, forvaltningsnivå eller lignende. Slik bruk av felles løsninger vil spare utviklingskostnader og gjøre at registrerte personer kjenner seg igjen, uansett bransje eller del av den offentlige forvaltningen.

11.4.4 Personvernkommisjonens vurderinger av innebygd personvern

Personvernkommisjonen mener det bør treffes tiltak for å skape tydeligere plikter til å bygge personvern inn i tekniske og organisatoriske løsninger. Kommisjonen er i tvil om i hvilken grad det er adgang til slik klargjøring innenfor rammene av personvernforordningen. Imidlertid mener kommisjonen at plikten kan gjøres tydeligere og mer konkret når grunnlaget for behandlingen av personopplysninger er «rettslig forpliktelse», «oppgave i allmennhetens interesse» og «utøve offentlig myndighet», jf. personvernforordningen artikkel 6 nr. 1 bokstavene c og e.

Personvernkommisjonen mener det er viktig å konkretisere plikter til å bygge inn personvern på måter som fremmer åpenhet knyttet til behandling av personopplysninger.

Det er viktig at det offentlige går foran og aktivt bruker personvernteknologi. Derfor mener Personvernkommisjonen at bestemmelser som inneholder klare plikter for innebygd personvern bør inngå i ny forvaltningslov. For eksempel bør myndigheter som treffer bebyrdende enkeltvedtak få rettsplikt til å tilgjengeliggjøre personopplysninger for parten, og til å ha en innsynsrutine til bruk for registrerte personer/parter.

Personvernkommisjonen mener det også bør etableres plikt for undervisningsinstitusjoner til å ha innsyns- og informasjonsrutiner til bruk for elever og studenter. Kommisjonen viser i denne sammenheng til drøftelsen i kapittel 8 av personvern i skolen og barnehagen. Slike plikter kan for eksempel fastsettes i opplæringslova og universitets- og høgskoleloven.

For forbrukere ønsker Personvernkommisjonen å fremheve plikten til å bygge inn bestemmelsene om registrertes rett til å protestere mot direkte markedsføring, jf. personvernforordningen artikkel 21 nr. 2 flg. I artikkel 21 nr. 5 er det gitt en rett for registrerte til å bruke automatiserte midler når slik protest fremsettes i forbindelse med bruk av informasjonssamfunnstjenester.33 For de som er behandlingsansvarlige for slik direkte markedsføring, gir dette en tilsvarende plikt til å tilby slike automatiserte rutiner. Slik plikt følger direkte av forordningen artikkel 21 nr. 5. De tekniske løsningene skal sikre at protestene automatisk får effekt ved at markedsføringen opphører.

Den rettslige reguleringen pålegger behandlingsansvarlige å bygge personvern inn i teknologi og organiseringen av systemløsningene sine. Det er programvareprodusentene som primært har innflytelse på at slik innbygging faktisk skjer. Personvernkommisjonen ser det ikke som hensiktsmessig å stille rettslige krav til norske produsenter av programvare om at programvaren skal understøtte personvern. Kommisjonen vil imidlertid peke på muligheten for at offentlig sektor stiller krav om at programvare de gjør bruk av skal tilfredsstille visse standard krav om innebygd personvern. Ved å publisere slike standard krav og la kravene bli et konkurranseelement ved offentlige anskaffelser, vil en trolig kunne påvirke kommersiell sektor – både innlands og utenlands.

En standard kravspesifikasjon for personvern i offentlig sektor vil også være til hjelp for ulike behandlingsansvarlige i offentlig sektor, fordi det vil kunne forenkle prosessen med å spesifisere konkrete systemløsninger som skal anskaffes. Standard kravspesifikasjoner er etter hva kommisjonen forstår en vanlig og akseptert styringsmåte på IT-området. Således har KS blant annet utformet Nasjonal produktspesifikasjon – Fagsystem for digital byggesaksbehandling (eByggeSak) med siktemål å gi standard krav til digitalisering av byggesaksbehandling i norske kommuner.34 Også Norsk arkivstandard (NOARK) har i mange år har vært normerende for arkivsystemer i offentlig sektor.35

Personvernkommisjonen anbefaler at norske myndigheter stimulerer til utvikling av norsk personvernteknologi. Tiltak kan inkludere blant annet anskaffelseskrav i offentlig sektor, forskningsmidler for å fremme personvernfremmende teknologi, og midler gjennom forskjellige bevilgningsordninger.

11.5 Personvernkommisjonens anbefalinger oppsummert

• Personvernkommisjonen mener tilsynsmyndigheter bør gi råd til privatpersoner om hvordan de kan bruke teknologi for å beskytte seg mot ulovlig eller uønsket behandling, herunder gi konkret anvisning på aktuelle verktøy.

• Personvernkommisjonen mener det bør treffes tiltak for å skape tydeligere plikter til å bygge personvern inn i tekniske og organisatoriske løsninger. Kommisjonen er i tvil om i hvilken grad det er adgang til slik klargjøring innenfor rammene av personvernforordningen. Imidlertid mener kommisjonen at plikten kan gjøres tydeligere og mer konkret når grunnlaget for behandlingen av personopplysninger er «rettslig forpliktelse», «oppgave i allmennhetens interesse» og «utøve offentlig myndighet», jf. personvernforordningen artikkel 6 nr. 1 bokstavene c og e.

• Personvernkommisjonen mener det er viktig å konkretisere plikter til å bygge inn personvern på måter som fremmer åpenhet om behandling av personopplysninger.

• Personvernkommisjonen mener bestemmelser som inneholder klare plikter for innebygd personvern bør inngå i ny forvaltningslov.

• Personvernkommisjonen mener det bør etableres plikt for undervisningsinstitusjoner til å ha innsyns- og informasjonsrutiner for elever og studenter. Slike plikter kan for eksempel fastsettes i opplæringslova og universitets- og høgskoleloven.

• Personvernkommisjonen anbefaler at norske myndigheter stimulerer til utvikling av norsk personvernteknologi. Tiltak kan inkludere blant annet anskaffelseskrav i offentlig sektor, forskningsmidler for å fremme personvernfremmende teknologi, og midler gjennom forskjellige bevilgningsordninger.

12 Åpenhet

12.1 Innledning

Åpenhet om hvordan personopplysninger behandles i informasjonssamfunnet er en grunnforutsetning for realisering av viktige idealer i et digitalt moderne demokrati. Derfor mener Personvernkommisjonen at åpenhet er en forutsetning for tilfredsstillende demokratisk deltakelse, personvern og rettssikkerhet. Trolig er åpenhet en forutsetning for enhver av de «grunnleggende rettigheter og friheter» som personvernforordningen har som formål å sikre, jf. formålsbestemmelsen i artikkel 1 nr. 2.

Digital teknologi, og særlig internett og sosiale medier, har i stor grad vært anvendt som en åpenhetsteknologi som har gjort det mulig å effektivisere gammeldagse innsynsordninger, tilgjengeliggjøre kolossale mengder informasjon, og gi målrettet informasjon til individer, grupper og allmennheten, for eksempel på bakgrunn av personopplysninger som indikerer informasjonsbehov.

Digital teknologi brukes også for å generere dokumentasjon. For eksempel vil det ofte skje logging av hvordan et datasystem blir anvendt. Slik automatisk generert dokumentasjon og dokumentasjon utformet for å bli brukt av maskiner er for øvrig ikke nødvendigvis egnet som kunnskap for mennesker. Bare de færreste kan nyttiggjøre seg av utskrift av en programkode som styrer distribusjon av personopplysninger og maskinlæringsmodeller som brukes for å profilere enkeltpersoner. Reell åpenhet krever derfor mer enn eksistensen av dokumentasjon og formell tilgang til denne.

Personvernkommisjonen mener at man i et demokrati som respekterer innbyggernes personvern, alltid må kunne forklare resultater som har direkte betydning for innbyggernes plikter, rettigheter, friheter og muligheter. Det er for eksempel ikke tilstrekkelig å kunne observere at noen får banklån og andre ikke, og at noen får 50 dagers samfunnsstraff og andre 30 dagers ubetinget fengselsstraff for tilsynelatende samme lovovertredelse.

Det er også spørsmål knyttet til hvor inngående og detaljert det må være mulig å forklare resultatene. I Norge har vi en solid rettslig forankring for åpenhet og dokumentasjon både som følge av offentleglova og de forvaltningsrettslige prinsippene om begrunnelse, veiledning og innsyn. Personvernkommisjonen mener likevel at åpenhet er en så sentral forutsetning at kommisjonen understreker at full forklarbarhet må være det klare utgangspunktet, og lavere standarder kun bør aksepteres når effektene antas å være ubetydelige.

På denne bakgrunn mener Personvernkommisjonen at myndigheter og andre innflytelsesrike samfunnsaktører kontinuerlig må ha som en av sine viktigste oppgaver å styrke åpenheten knyttet til anvendelser av digital teknologi med direkte betydning for innbyggernes plikter, rettigheter, friheter og muligheter.

Personvernkommisjonen mener de behandlingsansvarlige i langt større grad enn i dag bør tilgjengeliggjøre informasjon knyttet til behandling av personopplysninger. Det bør med andre ord være et mål at registrerte personer og andre interesserte skal kunne skaffe seg tilgang til informasjon uavhengig av andre, ved at informasjonen finnes tilgjengelig på nett, uten at dette krever at den enkelte må be den behandlingsansvarlige om innsyn, eller at den behandlingsansvarlige informerer den enkelte registrerte spesielt. Tilgjengeliggjøring bør være hovedregelen, og innsyn og informering bør være supplerende tilnærminger.

Tilgjengeliggjøring bør som hovedregel både gjelde på individnivå og på kollektivt nivå. Det betyr at enkeltpersoner bør, i så stor grad som personvernforordningen tillater det, ha direkte tilgang til opplysninger om egen person gjennom sikre påloggingsrutiner. Sikring av opplysningenes konfidensialitet, integritet og tilgjengelighet er i denne sammenheng i seg selv en utfordring for personvernet. Personvernkommisjonen mener imidlertid at de samme typer sikkerhetstiltak som i dag for eksempel gjelder for innlogging i banktjenester, Altinn og kjernejournal også vil være sikkert nok for de aller fleste andre tjenester med tilhørende personopplysninger.

12.2 Forholdet til ytringsfriheten

Personvernkommisjonen ser særlig fire viktige berøringspunkter mellom hensynet til personvern på den ene siden og hensynet til informasjons- og ytringsfrihet på den annen.

• For det første vil personvern ofte begrunne begrensninger i bruk og spredning av opplysninger om enkeltmennesker. Særlig når slike begrensninger får anvendelse på personer i mektige posisjoner innen for eksempel politikk, forvaltning, næringsliv og interesseorganisasjoner, vil personvernet kunne begrense mulighetene for å fremføre berettiget kritikk mot enkeltpersoner det er viktig å stille til ansvar.

• For det andre kan hets og krasse angrep på personer som ytrer seg i det offentlige rom skape frykt og gi en nedkjølende effekt på lysten til å ytre seg fritt i offentlige rom. Manglende personvern i sosiale medier og andre plattformer som benyttes for å ytre seg, kan i seg selv ha en nedkjølende effekt fordi det kan skape en generell usikkerhet om konsekvensene av å ytre seg.

• Et tredje berøringspunkt mellom personvern og informasjons- og ytringsfrihet gjelder behovet den enkelte registrerte har for kunnskap om hvordan egne opplysninger blir behandlet. Slik kunnskap kan for eksempel være avgjørende for om personer gir eller trekker tilbake samtykke til å behandle personopplysninger, eller for bruk av de rettigheter som lovgivningen gir.

• For det fjerde er det vesentlig at det finnes åpen og offentlig informasjon om hvordan det digitale samfunnet er satt sammen og fungerer. Digital behandling kan bare i meget begrenset grad observeres. Derfor er det av avgjørende betydning at det finnes tilgjengelig informasjon som beskriver det digitale samfunnet, særlig det som direkte gjelder den enkelte innbygger. Dermed begrunner personvern både at det eksisterer informasjon i en form som den enkelte kan tilegne seg, og at det er reell informasjonsfrihet og rett til å bruke denne informasjonen.

I februar 2020 oppnevnte Solberg-regjeringen Ytringsfrihetskommisjonen, som har arbeidet parallelt med Personvernkommisjonen.36Personvernkommisjonen har funnet det mest tjenlig å konsentrere sine diskusjoner av forholdet mellom personvern og informasjons- og ytringsfrihet til spørsmål der det langt på vei kan sies å være sammenfall mellom de to grunnleggende rettighetene.

Tilfredsstillende personvern er etter Personvernkommisjonens syn avhengig av både informasjonsfrihet og ytringsfrihet. Her vil Personvernkommisjonen legge størst vekt på spørsmål om informasjonsfrihet. Nærmere bestemt vil kommisjonen diskutere i hvilken grad og på hvilken måte det er tilstrekkelig åpenhet om den behandlingen av personopplysninger som skjer i samfunnet.

12.3 Nedkjølende effekt av manglende åpenhet

Som beskrevet i kapittel 3, kan nedkjølingseffekter forekomme dersom individer føler at noen «kikker dem over skuldrene». Hvis en føler seg overvåket, vil dette kunne føre til at en endrer oppførsel deretter. Det er problematisk dersom innbyggere vegrer seg fra å ytre seg eller innhente informasjon fordi de er bekymret for at det de gjør registreres og kan brukes mot dem i andre sammenhenger.

I utgangspunktet kan nedkjølingseffekter oppstå uten at det faktisk forekommer overvåkning – så lenge individet tror at de er under overvåkning vil dette kunne føre til endret adferd. Dersom aktører som samler inn og behandler personopplysninger ikke er åpne om hva de samler inn og hva de bruker informasjonen til, vil dette kunne skape usikkerhet og en oppfatning om overvåkning, som kan føre til generell mistillit til aktørene. Åpenhet om behandling av personopplysninger kan dermed være et viktig tillitsbevarende virkemiddel for å motvirke uheldige nedkjølingseffekter.

12.4 Den menneskelige faktoren

Digitaliseringen av samfunnet medfører at behandlingen av personopplysninger i stadig større grad skjer i komplekse digitale økosystem og med stadig større grad av automatisering. Hensynet til bedret konkurransekraft, effektiv tjenesteproduksjon og utøvelse av myndighet er blant argumentene for en slik utvikling. Personvernkommisjonen bestrider ikke at dette er gyldige begrunnelser. På den annen side finner kommisjonen grunn til å understreke at det også er andre hensyn som bør styre digitaliseringen av samfunnet. Dette gjelder særlig hensynet til innbyggerne.

Ifølge Kompetanse Norge var det i 2020 ca. 600.000 innbyggere som var «ikke-digitale», dvs. ikke deltar aktivt i det digitale samfunnet. Dette gjelder blant annet deler av den eldre befolkningen og unge arbeidsledige:

«Noen grupper i befolkningen står i større fare enn andre for å bli digitalt utestengt fra samfunnet. Høy alder, lavt utdanningsnivå, lav husholdningsinntekt, mindre sentralt bosted og svak tilknytning til arbeidsmarkedet øker sannsynligheten for å ha svake grunnleggende digitale ferdigheter.»37

På den ene side unngår disse personene at det blir registrert visse opplysninger om dem. På den annen side vil de ikke ha tilgang til en rekke tjenester som finnes i digitale kanaler, blant annet hos offentlige myndigheter. Det viktigste er trolig likevel at manglende digital deltakelse lett vil kunne oppleves som utestengelse fra tjenester, beslutningsprosesser og samfunnsarenaer der digitaliseringen har kommet langt. Dette inkluderer også tjenester som skal sikre at innbyggerne skal kunne ivareta sitt personvern.

Det kan diskuteres om digitalt utenforskap, som beskrevet ovenfor, bør ses som en del av personvernet. Slikt utenforskap handler ikke primært om personopplysningsvern eller privatliv. Spørsmålet gjelder imidlertid muligheten til selvbestemmelse i det digitale samfunnet.

Personvernkommisjonen konstaterer at personvernforordningen artikkel 12 nr. 2 krever at behandlingsansvarlige skal «legge til rette for at den registrerte kan utøve sine rettigheter» etter forordningen. Denne forpliktelsen er ikke begrenset til mennesker som er aktive deltakere i det digitale samfunnet, men gjelder alle personer det er registrert personopplysninger om. For den sistnevnte gruppen er de organisatoriske tiltakene trolig viktigst, herunder tiltak som sikrer muligheten for å komme i kontakt med personer som kan gi tilstrekkelig informasjon.

For at det skal være mulig å forstå hvordan behandling av personopplysninger i det digitale samfunnet skjer, er det nødvendig at informasjonen er utformet slik at den som søker informasjonen faktisk er i stand til å tilegne seg denne. Forståelighet handler også om språk. Personvernforordningen artikkel 12 nr. 1 stiller krav om at behandlingsansvarliges kommunikasjon til registrerte personer vedrørende rettigheter skal være «kortfattet, åpen, forståelig og lett tilgjengelig […] og på et klart og enkelt språk». Personvernkommisjonen understreker at kravet til klarspråk må gjelde generelt for alle relevante aktører, og for all informasjon som har betydning for ivaretakelsen av folks personvern. Viktig informasjon bør dessuten være tilgjengelig for alle, uansett om de er aktive deltakere i det digitale samfunnet eller ikke.

Det alvorligste problemet vedrørende forståelighet, er trolig muligheten til å forstå innholdet. Selv om det eksisterer dokumentasjon skrevet i godt språk betyr det ikke at innholdet automatisk blir forståelig. For de mest avanserte behandlingene av personopplysninger, som for eksempel det som skjer ved bruk av maskinlæring, vil det kreves stor fagkunnskap og arbeidsinnsats for å forstå hvordan behandlingen skjer.

Personvernkommisjonen vil påpeke at samfunnet trolig står ovenfor en situasjon der det blir stadig større strekk i laget, og at mange ikke har tilstrekkelig kunnskap til å forstå de digitale omgivelsene når de blir mer komplekse. Samtidig har mange forutsetninger for å forstå noe om hvordan teknologi brukes til å behandle personopplysninger.

12.5 Medvirkning

Lydhørhet handler om at behandlingsansvarlige skal lytte og ta hensyn til registrertes synspunkter og behov, og er i seg selv en form for åpenhet. Samtidig kan lydhørhet bidra til bedre systemer og rutiner som tilfredsstiller flere av de registrertes behov. Etter Personvernkommisjonens syn bør lydhørhet i så stor grad som mulig utvikles til å bli reell medvirkning. Registrerte personer eller representanter for disse bør aktivt inviteres til å delta i prosesser som har direkte betydning for hvordan personopplysninger blir behandlet.

I personvernkonsekvensvurderinger er krav om medvirkning tatt inn. Etter personvernforordningen art. 35 nr. 9 «skal den behandlingsansvarlige innhente synspunkter på den planlagte behandlingen fra de registrerte eller deres representanter». Her er medvirkningsretten betinget av at det er relevant å høre de registrertes syn. Personvernkommisjonen antar imidlertid at det ikke kan stilles strenge krav til relevans her, og at medvirkningsretten dermed ofte er relevant.

Moderne prinsipper for design, inklusive tjenestedesign, innebærer lydhørhet ovenfor brukerne.38 Forutsatt at personvern er satt på agendaen som et element som skal ivaretas i den inkluderende prosessen, og at nødvendig kompetanse er til stede, er det etter Personvernkommisjonens syn høy grad av sammenfall mellom brukerorienteringen i moderne prinsipper for design og behovet for lydhørhet i utviklingen av løsninger som behandler personopplysninger.

12.6 Åpenhet om håndheving av personvernregelverket

Personvernforordningen gir vid myndighet til Datatilsynet for å håndheve personvernregelverket. Et særpreg ved denne myndigheten er regler som gir adgang til å ilegge meget høye overtredelsesgebyr. De svært høye gebyrnivåene begrunnes blant annet med den avskrekkende effekten dette kan ha.39 Mulige avskrekkende virkninger forutsetter imidlertid at det faktisk er kjent hvilke gebyrer som ilegges. Hverken i Norge eller i de fleste andre land i EU/EØS finnes det systematiske oversikter som gir informasjon om saker der det er ilagt gebyr og grunnlaget for fastsettelse av størrelsen på gebyret.40

Åpenhet rundt håndhevelse er etter Personvernkommisjonens syn viktig av flere grunner. Åpenhet gir samfunnet innsyn og mulighet for kontroll med hvordan tilsynet løser sine kontrolloppgaver, det gir andre behandlingsansvarlige kunnskap om hvordan regelverkets skal forstås, og ikke minst skaper det åpenhet rundt hvordan personopplysninger blir behandlet i ulike virksomheter og de utfordringene dette medfører.

Personvernkommisjonen mener det bør etableres en oversikt over forvaltningsvedtakene knyttet til håndheving av personvernregelverket. Ved etableringen av en slik oversikt bør en vurdere belastningen dette har for kontrollerte virksomheter, og hvordan dette eventuelt kan avhjelpes i formen oversikten etableres, for eksempel gjennom hindre mot indeksering, eller at virksomheters navn i enkelte tilfeller kan utelates i publiserte oversikter. Et slikt behov kan være særlig aktuelt der enkeltvirksomheter kontrolleres som representative i en sektor, og funn kan hefte disproporsjonalt negativt ved virksomheten over tid. Dette må ikke ses som en begrensing av offentligheten i enkeltsakene etter offentleglova.

Personvernkommisjonen mener derfor det bør tilgjengeliggjøres oppdaterte og systematiske fortegnelser med informasjon om i hvilken grad og på hvilken måte Datatilsynet bruker sin myndighet. Dette gjelder enkeltvedtak generelt; særlig saker om irettesettelser (jf. artikkel 58 nr. 2 bokstav b), overtredelsesgebyrer og vedtak om tvangsmulkt. I kapittel 13 diskuterer Personvernkommisjonen Datatilsynets myndighetsutøvelser ytterligere og påpeker der også viktigheten av å tilgjengeliggjøre alle høringsuttalelser tilsynet gir på en systematisk og oversiktlig måte.

12.7 Hvordan kan åpenheten bli bedre?

Utgangspunktet for vurderingen av hvordan åpenheten kan bli bedre er at det finnes dokumentasjon av systemene som behandler personopplysninger. Dersom slikt materiale ikke finnes, må det utarbeides i ettertid.

Åpenhet i personvernregelverket er i stor grad basert på informasjon til de registrerte og innsynsrettigheter. Personvernkommisjonen mener behandlingsansvarlige i større grad enn i dag bør tilgjengeliggjøre informasjon knyttet til behandling av personopplysninger. Det bør være et mål at registrerte personer og andre interesserte skal kunne skaffe seg tilgang til informasjon uavhengig av andre, ved at informasjonen finnes lett tilgjengelig og på en måte som er lett å forstå. Personvernkommisjonen mener videre at avanserte behandlinger av personopplysninger bør beskrives lagvis, slik at informasjonen er dekkende for innbyggere med ulik kompetanse og ulik interesse i detaljene i behandlingen.

Med en slik lagdelt informasjon vil den overordnede funksjonelle beskrivelsen være forståelig for de aller fleste. Den vil være korrekt, men samtidig representere ufullstendigheter og forenklinger. Jo lenger ned en kommer i lagene, dess mer dekkende og nøyaktig vil beskrivelsene bli. Samtidig vil krav til spesialisert kompetanse øke.

Det er flere offentlige utvalg som har vurdert og foreslått tiltak knyttet til dokumentasjon av behandlingen av personopplysninger. Personvernkommisjonen viser i den forbindelse til både Forvaltningslovutvalget41 og Arkivlovutvalget.42 Begge utredningene kommer med forslag om nye dokumentasjonsforpliktelser for offentlig sektor. Ingen av forslagene er foreløpig fulgt opp.

Digitaliseringsdirektoratet har utarbeidet en rapport som ble offentliggjort i juni 2022, som svarer på hvordan man kan gi innbyggere oversikt, innsyn og økt råderett over egne personopplysninger. 43 Rapporten er også omtalt i kapittel 6 om personvernet i offentlig forvaltning.

Utredningen identifiserer ti sentrale behov knyttet til innsyn i personopplysninger, både hos den enkelte innbygger og hos offentlige etater, bedrifter og organisasjoner. Utredningen behandler juridiske og teknologiske forutsetninger og foreslår tre sentrale innsatsområder med tilhørende tiltak for videre arbeid.

Personvernkommisjonen mener utredningens forslag til tiltak er så gode, og treffer behovene kommisjonen ser så godt, at kommisjonen viser til disse i sin helhet (se boks 12.1 og 12.2):

Personvernkommisjonen mener Digitaliseringsdirektoratet sin utredning bør inngå som en viktig del av den nasjonale personvernpolitikken kommisjonen har foreslått.

12.8 Personvernkommisjonens anbefalinger oppsummert

• Personvernkommisjonen mener åpenhet er en så sentral forutsetning at full forklarbarhet må være det klare utgangspunktet, og lavere standarder kun bør aksepteres når effektene antas å være ubetydelige.

• Personvernkommisjonen mener offentlige myndigheter og andre innflytelsesrike samfunnsaktører kontinuerlig må ha som en av sine viktigste oppgaver å styrke åpenheten knyttet til anvendelser av digital teknologi med direkte betydning for innbyggernes plikter, rettigheter, friheter og muligheter.

• Personvernkommisjonen mener behandlingsansvarlige i større grad enn i dag bør tilgjengeliggjøre informasjon knyttet til behandling av personopplysninger. Det bør være et mål at registrerte personer og andre interesserte skal kunne skaffe seg tilgang til informasjon uavhengig av andre, ved at informasjonen finnes tilgjengelig på nett, uten at dette krever at den enkelte må be den behandlingsansvarlige om innsyn, eller at den behandlingsansvarlige informerer den enkelte registrerte spesielt.

• Personvernkommisjonen mener tilgjengeliggjøring som hovedregel bør gjelde både på individnivå og på kollektivt nivå. Enkeltpersoner bør, i så stor grad som personvernforordningen tillater det, ha direkte tilgang til opplysninger om egen person gjennom sikre påloggingsrutiner. Sikring av opplysningenes konfidensialitet, integritet og tilgjengelighet er i denne sammenheng i seg selv en utfordring for personvernet. Personvernkommisjonen mener imidlertid at de samme typer sikkerhetstiltak som i dag for eksempel gjelder for innlogging i banktjenester, Altinn og kjernejournal vil være sikkert nok for de aller fleste andre tjenester med tilhørende personopplysninger.

• Personvernkommisjonen understreker at krav til klarspråk må gjelde generelt for alle relevante aktører, og for all informasjon som har betydning for ivaretakelsen av folks personvern. Viktig informasjon bør være tilgjengelig for alle, uansett om de er aktive deltakere i det digitale samfunnet.

• Personvernkommisjonen mener lydhørhet i så stor grad som mulig bør utvikles til å bli reell medvirkning. Med dette mener kommisjonen at registrerte personer, eller representanter for disse, aktivt bør inviteres til å delta i prosesser som har direkte betydning for hvordan personopplysninger blir behandlet.

• Personvernkommisjonen mener det bør etableres en oversikt over forvaltningsvedtakene knyttet til håndheving av personvernregelverket. Ved etableringen av en slik oversikt bør en vurdere belastningen dette har for kontrollerte virksomheter, og hvordan dette eventuelt kan avhjelpes i formen oversikten etableres, for eksempel gjennom hindre mot indeksering, eller at virksomheters navn i enkelte tilfeller kan utelates i publiserte oversikter. Dette må ikke ses som en begrensing av offentligheten i enkeltsakene etter offentleglova.

• Personvernkommisjonen mener det bør gjøres tilgjengelig oppdaterte og systematiske fortegnelser med informasjon om i hvilken grad og på hvilken måte Datatilsynet bruker sin myndighet. Dette gjelder enkeltvedtak generelt, overtredelsesgebyrer og vedtak om tvangsmulkt.

• Personvernkommisjonen mener behandlingsansvarlige bør tilgjengeliggjøre informasjon knyttet til behandling av personopplysninger. Det bør være et mål at registrerte personer og andre interesserte skal kunne skaffe seg tilgang til informasjon uavhengig av andre, ved at informasjonen finnes lett tilgjengelig og på en måte som er lett å forstå. Avanserte behandlinger av personopplysninger bør beskrives lagvis, slik at informasjonen er dekkende for innbyggere med ulik kompetanse og ulik interesse i detaljene i behandlingen.

• Personvernkommisjonen mener Digitaliseringsdirektoratet sin utredning treffer svært godt og bør inngå som en viktig del av den nasjonale personvernpolitikken kommisjonen har foreslått.

13 Veiledning, tilsyn og klage

13.1 Bakgrunn og premisser

Personvernkommisjonens mandat sier at kommisjonen skal «Drøfte andre tema som viser seg særlig relevante for å gi et helhetlig bilde på den samlede situasjonen for personvernet». For å svare ut dette mandatspunktet har kommisjonen valgt å se nærmere på myndighetenes veiledning, tilsyn og klagebehandling. Et velfungerende tilsynsorgan er et nødvendig premiss for å sikre innbyggernes personvern.

En kjede av faktorer virker inn på hva slags personvern vi får. Det begynner med bevissthet om personvernet som verdi, og ender med spørsmål om tilsyn, etterlevelse og håndhevelse av rettsregler og andre normer om personvern. En rekke virkemidler kan anvendes for å sikre god etterlevelse. Tidligere i denne utredningen har Personvernkommisjonen drøftet og foreslått en rekke tiltak som kan bidra til forbedret etterlevelse innen bestemte problemområder. De viktigste virkemidlene er blant annet utforming av en personvernpolitikk i staten, bruk av bransjenormer, standardisering, sertifisering og bruk av IT-verktøy for å støtte etterlevelse av personvernregelverket. I dette kapitlet blir det rettet oppmerksomhet mot utvalgte spørsmål om rettsregler og myndighetenes veiledning, tilsyn og klagesaksbehandling, noe som i praksis har stor betydning for ivaretakelsen av personvern.

Personvernet er i dag regulert av et omfattende europeisk regelverk der personvernforordningen har sentral betydning. I tillegg kommer en rekke norske, nasjonale lover. I kapittel 10 er det kort beskrevet hvor stort og komplekst dette regelverket er. Forutsetningen for etterlevelse er at de som behandler personopplysninger har tilstrekkelig kunnskap om hvilke regler som gjelder. Dessuten må behandlingsansvarlige ha ferdigheter som gjør at de kan omsette kunnskapen til handling; de må for eksempel forstå hvordan personvernprinsipper kan bygges inn i tekniske løsninger.

Spørsmål om tolkning av regelverket settes ofte på spissen i situasjoner der anvendelse av regelverket også treffer andre fagområder og hensyn. Fagkompetanse på andre områder kan være avgjørende når personvernregelverket skal anvendes. Det kan handle om skole, helse, finans eller ulike digitale tjenester. I noen tilfeller er personvernet i stor grad avhengig av hvordan norske, nasjonale lover skal fortolkes i sammenheng med personvernforordningen. Helseforskningsloven gir for eksempel en rekke bestemmelser som skal beskytte forskningsdeltakernes personvern og fysiske integritet. Da blir kompetanse innen dette regelverket av stor betydning for de samlede juridiske vurderingene. Dessuten foreskriver personvernregelverket ofte helhetlige og skjønnsmessige vurderinger der andre hensyn enn personvernet kan være tungtveiende. Et eksempel på dette er covid-19-pandemien og vurderingen av Smittestopp-appen, der gode vurderinger forutsatte både kompetanse om pandemien, smitteutvikling og -bekjempelse, samt personvernkompetanse.44

Personvernregelverket stiller størst krav til de behandlingsansvarlige. Det såkalte ansvarsprinsippet innebærer at de som behandler personopplysninger om andre må kunne påvise at de etterlever reglene i personvernforordningen. De må dessuten ta ansvar ved å treffe slike tiltak som er nødvendige for å sikre at reglene blir fulgt. I mange tilfeller innebærer dette at de må sette seg inn i vanskelige rettsspørsmål, som ofte har usikre konklusjoner.

Det er begrensede muligheter for behandlingsansvarlige til å få bekreftet eller avkreftet at de har forstått regelverket riktig. Noen behandlingsansvarlige kan betale for tjenester fra advokater og konsulenter. Andre kan ikke eller vil ikke gjøre slike investeringer, eller kjenner ikke sine forpliktelser etter loven.

Problemer med etterlevelse av personvernregelverket kan bli forsterket dersom behandlingsansvarlig er en global aktør som, til tross for store ressurser, ikke er tilstrekkelig motivert til å følge europeisk og norsk lovgivning. For enkelte store aktører, kan et stort og komplekst europeisk regelverk kombinert med god tilgang på juridisk ekspertise, gi muligheter for å unnvike de regler som gjelder. Dermed kan også tilsyn og håndhevelse av reglene bli ekstra krevende.

Behandlingsansvarlige er med andre ord ikke én homogen gruppe, men spenner fra globale, mektige aktører til lokale enkeltpersonsforetak. Gruppen omfatter både seriøse virksomheter som legger mye arbeid i god etterlevelse av gjeldende regler, og virksomheter som ikke tillegger personvern stor vekt og gjør lite for å følge regler. Alle er imidlertid omfattet av det samme ansvarsprinsippet, og alle risikerer å måtte betale betydelige gebyrer dersom de bryter reglene.

Det store og komplekse regelverket kan også være et problem for de det er registrert opplysninger om. For det første, mangler de fleste innbyggere tilstrekkelig kunnskap til å kunne slå fast om en praksis er lovlig eller ikke. For det andre, vil mange ikke være klar over hvilke rettigheter de har til å kreve innsyn, retting, sletting, og til å begrense og protestere mot behandlingen av egne opplysninger. Selv om en er klar over rettighetene sine, kan det være vanskelig å vite hvordan en skal gå frem for å bruke rettighetene. Det kan også være vanskelig å vite hva en konkret kan gjøre dersom den behandlingsansvarlige ikke svarer eller ikke vil gjøre slik den registrerte har bedt om.

Nedenfor har Personvernkommisjonen særlig valgt å diskutere behovet for veiledning av behandlingsansvarlige, herunder spørsmålet om hvem som bør gi veiledning og på hvilken måte. Formålet er å gjøre situasjonen mer forutberegnelig og sørge for størst mulig grad av rettssikkerhet for behandlingsansvarlige som ønsker å følge personvernregelverket så godt som mulig.

Personvernkommisjonen ser også på situasjonen for registrerte personer og deres mulighet til å få veiledning og ha kunnskap om rettighetene sine. For de fleste innbyggere er rettigheter noe de gjør bruk av i spesielle situasjoner, særlig når det oppstår uenighet med den behandlingsansvarlige. Da er det viktig at registrerte personer vet hvordan de kan bruke rettighetene sine på effektiv måte. Dersom uenigheter mellom registrerte og behandlingsansvarlige ikke blir løst, er det avgjørende at registrerte personer vet hvordan saken kan bli avgjort på balansert måte.

13.2 Datatilsynet – myndighet, oppgaver og organisering

Som norsk nasjonal myndighet etter personopplysningsloven og personvernforordningen, står Datatilsynet sentralt i alle diskusjoner som gjelder forutsetninger for etterlevelse av personvernregelverket. Det er et avgjørende premiss for de følgende drøftelsene at en ikke gjennomfører endringer som på noen måte kan svekke Datatilsynet.

Etter Personvernkommisjonens syn er det grunn til å styrke Datatilsynet. Kommisjonen legger imidlertid til grunn at de oppgaver som pålegges Datatilsynet er så store at behovene ikke kan bli dekket fullt ut, selv med betydelig styrking av bemanningen i Datatilsynet. Dette gjelder ikke minst behovet for veiledning om forståelsen av personvernregelverket og sammenhengen med norsk, nasjonal lovgivning.

Personvernkommisjonen mener altså at det både er grunn til å styrke Datatilsynet og behov for å styrke arbeidet med personvern hos andre myndigheter og viktige samfunnsaktører. Et annet premiss for den følgende diskusjonen er at det vil kunne oppstå uenigheter om hvordan personvernregelverket skal forstås. Regelverket er i seg selv så komplekst og vanskelig å anvende, at det nødvendigvis vil oppstå berettiget usikkerhet og uenighet som vanskelig kan avklares. Ekspertise innen det sentrale personvernregelverket, gjør ikke at en kan være sikker på hva som kan anses å være riktige og forsvarlige løsninger, uten at det bringes inn for domstolene til endelig avgjørelse.

Datatilsynet er, og bør være, den fremste fagmyndigheten på personvern og personvernregelverket. Selv om Datatilsynets fortolkninger og avveininger mellom motstridende hensyn ofte vil være velbegrunnede og gode, vil det alltid være rom for berettigede og legitime meningsforskjeller. Et overordnet mål må være både å sikre at Datatilsynets avgjørelser er så gode og balanserte som mulig, og samtidig sikre en reell adgang til å overprøve slike avgjørelser i Personvernnemnda, og i ytterste instans ved domstolene.

13.2.1 Myndighet og oppgaver

Datatilsynet ble opprettet i 1980. Fra ikrafttredelsen av personvernforordningen har hjemmelen for Datatilsynets organisering og oppgaver vært å finne i personopplysningsloven (kapittel 6 og 7).

Datatilsynet er et uavhengig forvaltningsorgan, men er administrativt underlagt Kongen og Kommunal- og distriktsdepartementet (KDD). Kongen og departementet har ingen instruksjons- eller omgjøringsmyndighet når det gjelder enkeltsaker som avgjøres av Datatilsynet.

Datatilsynet fører tilsyn med, og har vedtakskompetanse ved, behandling av personopplysninger som skjer i medhold av personopplysningsloven, politiregisterloven, helseregisterloven, pasientjournalloven, helseforskningsloven og SIS-loven. Forskrifter tilknyttet disse og forskrifter om kameraovervåkning og arbeidsgivers innsyn i elektronisk lagret materiale, er også omfattet av Datatilsynets kompetanse. Vedtak fattet av Datatilsynet med hjemmel i disse lovene kan klages inn for Personvernnemnda. Datatilsynet skal årlig orientere Kongen om sitt virke gjennom en årsmelding.

Bestemmelser om Datatilsynets oppgaver og myndighet finnes i personvernforordningen (artikkel 57 og 58). Artikkel 57 inneholder en ikke uttømmende liste på 22 punkter med tilsynets oppgaver. Sammenfattet består Datatilsynets oppgaver i hovedsak av:

• Saksbehandling av klagesaker

• Tilsyns og kontrollvirksomhet

• Informasjons- og veiledningsvirksomhet

• Aktiv deltagelse i den offentlige debatt om spørsmål knyttet til personvern, blant annet gjennom høringsuttalelser til nye lovforslag og utredningsarbeid

• Faglig virksomhet, herunder samarbeid med andre norske og internasjonale myndigheter

Datatilsynet har etter artikkel 58 flere typer myndighet. Undersøkelsesmyndigheten innebærer blant annet at tilsynet kan pålegge behandlingsansvarlige å fremlegge informasjon, underrette behandlingsansvarlige eller databehandler om påståtte overtredelser, eller få tilgang til all relevant informasjon for å kunne utføre sine oppgaver. Datatilsynet har i tillegg blant annet myndighet til å gi ulike pålegg til behandlingsansvarlige eller databehandler, innføre forbud mot behandling av personopplysninger, pålegge retting eller sletting av personopplysninger eller ilegge overtredelsesgebyrer.

Datatilsynet har myndighet til å godkjenne ulike behandlinger, bindende virksomhetsregler og adferdsnormer. I tillegg har tilsynet en rådgivende myndighet og kan gi råd til behandlingsansvarlige og avgi uttalelser til nasjonale myndigheter, andre institusjoner, samt allmennheten om spørsmål knyttet til vern av personopplysninger.

Datatilsynet har utstrakt kontakt med andre norske myndigheter. Ifølge Datatilsynets årsrapport fra 2021 deltar tilsynet i flere nasjonale fora og har et stort antall kontaktmøter med statlige aktører.45 Datatilsynet har også avtaler om faglig samarbeid med flere sentrale statlige virksomheter.

13.2.2 Ledelse, budsjett og årsverk

Datatilsynets direktør utnevnes av Kongen for perioder på seks år om gangen. Tilsynet har 72 ansatte, hvorav syv tilhører administrasjonsavdelingen. De resterende er fordelt på fagavdelingene, og har ansvar for de ulike delene av den faglige virksomheten. Datatilsynet har en svært omfattende veiledningsvirksomhet, og har som ledd i denne ansatt 10 studenter i 25 % stillinger for å bemanne den publikumsrettede veiledningstjenesten.

Etter at personvernforordningen ble implementert i 2018 har både saksmengde, budsjett og antall ansatte i Datatilsynet steget kraftig. Fra 40 faste stillinger i 2017 har staben økt til 72 i 2021. Av disse er 56 stillinger faste. De midlertidige stillingene er prosjektstillinger knyttet til etablering av sandkassen (6 stykker) og studenter (10 stykker) som betjener Datatilsynets veiledningstjeneste. Antallet innmeldte avvik steg fra 349 i 2017 til 1275 i 2018.46

13.2.3 Europeisk samarbeid i saksbehandlingen

13.2.3.1 Personvernrådet

Personvernforordningen skal tolkes likt i alle medlemsstatene, noe som nødvendiggjør et forpliktende, internasjonalt samarbeid mellom datatilsynsmyndighetene. Nasjonale datatilsynsmyndigheter har en plikt til å samarbeide og utveksle informasjon med hverandre i grenseoverskridende saker.

Datatilsynet deltar først og fremst i det europeiske databeskyttelsessamarbeidet gjennom Personvernrådet (European Data Protection Board (EDPB)). Personvernrådet er opprettet i medhold av personvernforordningen. Det består av datatilsynsmyndighetene i EØS, samt datatilsynsmyndigheten for EU-organene (European Data Protection Supervisor (EDPS)). Europakommisjonen og EFTAs overvåkingsorgan (ESA) deltar også i møtene med talerett. Siden Norge ikke er et EU-land, har ikke Datatilsynet stemmerett, og tilsynet kan heller ikke stille som leder eller nestleder av Personvernrådet. Ut over dette deltar Datatilsynet i Personvernrådets arbeid uten begrensninger. Rådet har flere oppgaver, blant annet å gi retningslinjer og veiledende uttalelser om hvordan personvernforordningen skal tolkes.

Datatilsynet oppgir på hjemmesiden sin at de har som strategisk målsatsning å påvirke og lede an i utvalgte prosesser i Personvernrådet. Tilsynet deltar derfor aktivt i Personvernrådet og dets ekspertundergrupper.47 Datatilsynet har for eksempel vært hovedrapportør for Personvernrådets retningslinjer om avtale som behandlingsgrunnlag for online-tjenester og Personvernrådets retningslinjer om innebygd personvern.48

13.2.3.2 Samarbeid i saksbehandlingen

For å sikre at personvernreglene tolkes likt, skal datatilsynsmyndighetene i mange sammenhenger samarbeide om å behandle saker som påvirker personvernet i flere EØS-land. Dette kalles samarbeidsmekanismen eller «One Stop Shop»-mekanismen.

Samarbeidsmekanismen sikrer at reglene tolkes likt i EØS. Fordi datatilsynsmyndighetene koordinerer seg imellom, behøver enkeltpersoner og selskaper bare å forholde seg til én tilsynsmyndighet i slike saker. Samtidig gir det Datatilsynet i Norge mulighet til å påvirke andre lands vedtak når behandlingen av personopplysninger i stor grad påvirker personer i Norge. Saksbehandlingstiden er ofte lengre for slike saker siden de krever europeisk koordinering.

For at datatilsynsmyndighetene skal kunne samarbeide i saksbehandlingen, må det aktuelle selskapet som innklages ha en såkalt hovedetablering i EØS, altså en filial, kontor eller liknende som bestemmer over hvordan selskapet behandler personopplysninger i EØS. Dessuten må saken være grenseoverskridende. Hva som er grenseoverskridende er definert i personvernforordningen artikkel 4 nr. 23.

En rekke av de store globale plattformselskapene har sitt europeiske hovedsete i Irland. Dette, kombinert med krevende irske prosessregler, har ført til at mange klagesaker har hopet seg opp hos irske datatilsynsmyndigheter. I tillegg har irske datatilsynsmyndigheter i praksis har fått svært stor makt over håndhevelsen av det europeiske personvernregelverket. Dette har blitt beskrevet som en regulatorisk flaskehals som har forsinket eller hindret håndheving av personvernforordningen mot de største teknologiselskapene.49

I forbindelse med diskusjonen rundt og den eventuelle innføringen av Digital Markets Act50 er det foreslått at tilsyn med de største globale aktørene kan gjøres på et overnasjonalt nivå, drevet frem av Europakommisjonen. Europakommisjonen har allerede lang erfaring med å håndheve konkurransesaker på et overnasjonalt nivå. Forslaget innebærer at kommisjonen skal ha myndighet til å bidra til og eventuelt overta tilsynssaker som gjelder de største aktørene.51 Et slik overnasjonalt tilsyn kan være en mulig vei videre for å styrke håndhevingen mot de største selskapene når personvernforordningen skal revideres. Datatilsynet har også tatt til orde for en styrking av rollen til det Europeiske Personvernrådet (EDPB) i enkeltsaker for å få fortgang i spesielle saker.52

Personvernkommisjonen anbefaler at regjeringen arbeider for opprettelse av tilsynsmyndigheter på europeisk nivå med myndighet og ansvar for å sørge for effektiv håndhevelse av personvernregelverket overfor de globale plattformaktørene, tilsvarende bestemmelsene som er inntatt i Digital Markets Act.

13.2.4 Personvernnemnda

Personvernnemnda er et uavhengig kollegialt forvaltningsorgan administrativt underlagt Kongen og Kommunal- og distriktsdepartementet (KDD). Nemnda ble etablert 1. januar 2001, med hjemmel i lov om behandling av personopplysninger (14. april 2000 nr. 31) og er, etter ikrafttredelsen av personopplysningsloven 2018, regulert av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) § 22. Personvernnemnda er et særnorsk forvaltningsorgan, og er ikke del av de europeiske tilsynsmyndighetene. Personvernnemnda har sju faste medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Hvert medlem har sin personlige vara. Nemndas medlemmer og deres vararepresentanter er oppnevnt av Kongen.

Nemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt. Nemnda behandler ikke klager over Datatilsynets vedtak i saker som berører behandlingsansvarlige eller registrerte i flere EU-/EØS-land og som skal behandles etter de særlige reglene i personvernforordningen artikkel 60 til 66.

Nemnda treffer sine vedtak ved alminnelig flertall og er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar. Nemndas vedtak er endelige forvaltningsvedtak og kan ikke overprøves gjennom forvaltningsklage. Spørsmål om gyldigheten av Personvernnemndas vedtak kan bringes inn for domstolene, jf. personopplysningsloven § 25 annet ledd. Søksmål rettes mot staten ved Personvernnemnda.

Siden 2018, da det nåværende personvernregelverket trådte i kraft, har Personvernnemnda avgjort 78 saker. Av disse har én sak blitt brakt inn for domstolene (Legelisten53), og personvernnemnda er stevnet i mars 2022 i sakene, PVN-2020-16, PVN-2020-17, PVN-2020-18 og PVN-2020-22 (samme saksøker i alle fire sakene).54

Personvernkommisjonen mener det bør gjøres jevnlige evalueringer av Personvernnemda. Evalueringene bør se på om nemda utfører sin funksjon på tilstrekkelig vis, og om den er velfungerende.

13.3 Innledende vurderinger av forutsetninger for god etterlevelse av personvernregelverket

Personvernkommisjonen vil understreke at Datatilsynet er gitt et meget viktig og stort arbeids- og myndighetsområde. Personvern er en helt sentral menneskerettighet som settes under press av den teknologiske utviklingen i informasjonssamfunnet. Datatilsynet er således en meget viktig institusjon for beskyttelsen av Norge som demokratisk rettsstat med mennesker som har stor grad av selvbestemmelse og beskyttelse mot manipulering og krenkelse av private forhold. Datatilsynets ansvars- og arbeidsområde dekker nær sagt alle deler av det norske samfunnet. Oppgavene er mangfoldige: Datatilsynet skal informere og veilede, føre tilsyn og slå ned på manglende etterlevelse, og de skal være rådgivere for politiske myndigheter i personvernspørsmål.

Selv om Datatilsynet de siste årene har fått styrket sitt budsjett og økt antall ansatte, er tilsynets kapasitet likevel begrenset sett i forhold til ansvar og oppgaver. Det er derfor behov for fortsatt å styrke Datatilsynets kapasitet og ressurser. Personvernkommisjonen har imidlertid ikke tilstrekkelige forutsetninger for å ha konkrete oppfatninger om behov og tempo i en fortsatt styrking av Datatilsynets stilling.

Det er et utbredt problem i flere europeiske land at nasjonale datatilsyn mangler ressurser og kompetanse til å gjennomføre teknisk krevende tilsyn. En rapport fra 2021 publisert av den ideelle organisasjonen Irish Council for Civil Liberties viste at selv om budsjettene til datatilsynene i EUs medlemsstater hadde økt ved innføringen av personvernforordningen, har budsjettene sunket i tiden etter.55 Rapporten viste også at det er begrenset spesialistkompetanse hos tilsynene. For eksempel hadde kun fem av tilsynene mer enn ti teknologer i staben, mens over halvparten hadde fire eller færre. Det norske Datatilsynet har syv teknologer ansatt.

Denne situasjonen skaper store utfordringer for håndheving i saker som krever spesialistkompetanse, og vil kunne føre til at innbyggere ikke får beskyttelsen de har krav på. Behandlingsløp i klagesaker kan ta uforholdsmessig lang tid på grunn av manglende ressurser, som i praksis kan føre til at klager nedprioriteres.

Personvernkommisjonen ser nødvendigheten i at tilsynsmyndigheter kan gjøre egne prioriteringer for å håndtere prinsipielt viktige saker, også i tilfeller hvor vedtak vil ha effekter utenfor Norges grenser. Likevel er det viktig for innbyggernes rettsikkerhet og tillit til myndighetene at klager kan håndteres på en forsvarlig måte.

Samtidig som det er klart behov for å styrke Datatilsynet, er det Personvernkommisjonens oppfatning at personvernet ikke bare kan sikres ved en sterk, sentral tilsynsmyndighet. Hovedstrategien for god etterlevelse av personvernregelverket, må være at en gjør bred og kraftfull innsats for å styrke kompetansen om personvern og sikre tilgang til slik kompetanse på alle samfunnsområder. Dette gjelder virksomheter og myndighetsorganer som selv behandler personopplysninger, andre tilsynsorganer med ansvarsområde som direkte har med personopplysninger å gjøre, og generelt i befolkningen.

God etterlevelse av personvernregelverket krever laginnsats der mange samfunnsaktører deltar og hensyntar personvernet som en integrert del av sin virksomhet, med Datatilsynet som lagleder. Personvernkommisjonen mener derfor det må skje en samtidig styrking av Datatilsynets og andre viktige samfunnsaktørers forutsetninger for å bidra til et godt personvern.

13.3.1 Samarbeid mellom tilsyn

For å sikre ansvarlig ivaretagelse av personvernet, er det avgjørende at relevante tilsynsmyndigheter har god dialog og samarbeid. Saker kan i mange tilfeller overlappe mellom forskjellige tilsyn, og da er det særlig viktig at disse utveksler kompetanse og erfaring.

På europeisk nivå ble initiativet Digital Clearing House lansert i 2016 som en felleseuropeisk møteplass for tilsynsmyndigheter som arbeider innenfor digitalsektoren. Dette initiativet skal legge grunnlaget for bedre og mer konsekvent tilsynsarbeid på tvers av sektorer og landegrenser. Norske tilsynsmyndigheter er også en del av dette initiativet.

Tverrsektorielt tilsynssamarbeid er også på agendaen i Norge. I Meld. St. 25 (2018–2019) står det at Solberg-regjeringen ville «etablere eit nasjonalt samarbeidsforum for å styrkje tilsynet på digitalområdet, etter modell av det europeiske Digital Clearinghouse».56

Personvernkommisjonen er kjent med at dette samarbeidsforumet er etablert som en del av Forbrukertilsynets samfunnsoppdrag, og inkluderer Forbrukertilsynet, Datatilsynet og Konkurransetilsynet. Samarbeidsforumet skal sikre mest mulig koordinert og effektiv ivaretakelse av personvernet, forbrukervernet og fri konkurranse i den digitale økonomien, gjennom samarbeid, diskusjoner og informasjonsutveksling.

Datatilsynet og Forbrukertilsynet har også sampublisert en veileder for hvordan digitale tjenesteleverandører skal behandle forbrukeres personopplysninger.57Personvernkommisjonen erfarer at Norge er en foregangsnasjon på dette området, og at samarbeidet blant de norske tilsynene har vært en inspirasjon for tilsyn i andre europeiske land.

I forbindelse med innføringen av forordning for kunstig intelligens vil det komme nye regler for tilsyn med KI-systemer. Det vil innebære at nasjonale tilsynsmyndigheter skal føre tilsyn med maskinlæringssystemer for å blant annet kontrollere at disse opererer i tråd med lovverket. Det er i skrivende stund ikke avklart hvilke sektortilsyn som vil få ansvar for å føre tilsyn med KI-systemer, og hvordan dette vil samspille med Datatilsynets myndighet under personvernforordningen, men det er nærliggende å tro at tilsyn med KI-systemer vil berøre flere sektortilsyn.58 En slik tilsynsoppgave vil kreve ytterligere samarbeid og spesialkompetanse, da KI-systemer som regel er svært teknisk kompliserte.

Personvernkommisjonen mener det er svært positivt at norske tilsyn samarbeider for å beskytte forbrukernes rettigheter. Dette samarbeidet bør sikres for fremtiden.

Det norske samfunnet trenger teknologer med gode kunnskaper om sikring av personopplysninger og personvernfremmende teknologi, jurister som kjenner personvernregelverket og sammenhengen med nasjonalt regelverk innen blant annet forvaltningsrett, forbrukerrett og skolelovgivning, og ikke minst samfunnsvitere som forstår mekanismene som gir personvernkrenkelser og konsekvensene dette har. Det er behov for både spesialister og personer der kunnskap om personvern er en integrert del av en bredere kompetanse. Med den sentrale rollen personvern har innen et stort antall rettsområder, er det for eksempel overraskende at personvernrett ikke er et obligatorisk fag ved de juridiske utdanningene.

Personvernkommisjonen mener at god etterlevelse av personvernregelverket i stor grad avhenger av at Datatilsynet, andre tilsynsorganer og virksomheter i privat og offentlig sektor som behandler personopplysninger, kan ansette eksperter og andre personer med grunnleggende kompetanse innen personvern. Et generelt høyere kompetansenivå blant behandlingsansvarlige, vil trolig gjøre at flere har forutsetninger for å forstå regelverket, noe som vil lette Datatilsynets arbeid med å sikre etterlevelse.

Personvernkommisjonen mener andre tilsynsmyndigheter med ansvarsområder som har stor og direkte betydning for ivaretakelse av personvern kan spille en større rolle for personvernet enn de gjør i dag. Dette viderefører samarbeidsforhold som allerede er etablert. Alle aktuelle tilsynsmyndigheter har stor belastning, og det er derfor ikke ledig kapasitet som kan flyttes over til arbeid med personvern. Samtidig som økt ressurstilgang for Datatilsynet må prioriteres, vil det derfor være behov for økt ressurstilgang også for enkelte av disse tilsynene. Slike nye personalressurser bør normalt ikke låses til «rene personvernspørsmål», men generelt bidra til å ivareta personvernspørsmål som er en del av vedkommende tilsynsorgans ansvarsområde. For eksempel må Arbeidstilsynet både kunne føre tilsyn med arbeidsgivers kontroll med ansatte etter bestemmelsene i arbeidsmiljøloven, og samtidig anvende de generelle reglene i personvernforordningen som aktualiseres av kontrolltiltaket.

13.4 Spesielt om behov for veiledning

13.4.1 Datatilsynets veiledningsvirksomhet

Datatilsynet driver utstrakt veiledningsvirksomhet, på mange ulike flater og i ulike former, rettet mot både enkeltindividet, virksomheter og andre interesserte. Tilsynet skriver i årsmeldingen for 2020 at de har som strategisk satsing å bidra til økt kunnskap om og interesse for personvern.59

Hjemmesiden er Datatilsynets viktigste verktøy for veiledningsarbeid og kommunikasjon med ulike målgrupper. Tilsynet produserer og publiserer fortløpende veiledning til ulike deler av personvernregelverket for å kunne hjelpe virksomheter med å tolke og bruke regelverket. Tilsynet driver også informasjon og veiledningsarbeid gjennom å være synlige i samfunnsdebatten. I 2020 etablerte de en podcast som tar opp dagsaktuelle personvernproblemstillinger.60 Tilsynet driver i tillegg utstrakt foredragsvirksomhet.

Datatilsynet har en veiledningstjeneste rettet mot publikum og virksomheter. I løpet av 2021 mottok veiledningstjenesten i overkant av 5 900 henvendelser.61 Veiledningstjenesten hadde i 2020 opptil ti deltidsansatte studenter. I tillegg til studentene bidrar jurister, teknologer og samfunnsvitere fra fagseksjonene i den daglige veiledningen på telefon. Statistikken viser at nær halvparten av de som tar kontakt med tjenesten er representanter for virksomheter, og nær halvparten er privatpersoner.

13.4.2 Forhåndsdrøftelser

Dersom den behandlingsansvarlige skal gjennomføre behandlinger av personopplysninger som kan medføre høy risiko for de registrertes rettigheter og friheter, må det gjennomføres en vurdering av personvernkonsekvenser (data protection impact assessment).62 Dersom den behandlingsansvarlige, etter en vurdering av personvernkonsekvenser, kommer frem til at behandlingen vil medføre høy risiko for de registrertes rettigheter og friheter, må det iverksettes tilstrekkelige tiltak for å begrense risikoen til et akseptabelt nivå. I tilfeller der den behandlingsansvarlige ikke klarer å redusere denne risikoen (det vil si at restrisikoen fremdeles er høy), er det krav om forhåndsdrøftelse med tilsynsmyndigheten. Forhåndsdrøftelser er i svært liten grad benyttet. Dels kan dette henge sammen med forberedelsene den behandlingsansvarlige må gjøre i tilknytning til forhåndsdrøftelser. Disse forberedelsene er så omfattende at et initiativ typisk vil ha kommet langt når den behandlingsansvarlige er i stand til å redegjøre for de punktene konsultasjonen omfatter. På et slikt sent stadium kan det være vanskelig for den behandlingsansvarlige å tilpasse seg og ta veiledning i betraktning, for eksempel i tilknytning til anskaffelse og utvikling av IT-systemer. Normalt er det mye enklere for en behandlingsansvarlig å ta hensyn til råd gitt i veiledning på et tidlig stadium. Dette tilsier at behandlingsansvarlige bør ha tilgang til veiledning på et tidlig, heller enn et sent, stadium, og gjerne flere ganger, uavhengig av plikten til forhåndsdrøftelse.

13.4.3 Om behovet for veiledning

Personvernregelverket er, som omtalt i kapittel 10, stort og komplisert, med mange vage og skjønnsmessige formuleringer. Reglene må ofte anvendes sammen med andre nasjonale regler, slik at det lett oppstår uklarhet om hva som er riktig samlet forståelse. Dette skaper et sterkt behov for god veiledning for alle som har plikter og rettigheter etter personvernregelverket.

Gjennom innspillsmøter og samtaler med ulike aktører, har Personvernkommisjonen erfart at virksomheter som behandler personopplysninger har et stort behov for informasjon og veiledning om personvernregelverket for å kunne forstå og anvende dette.

Behandlingsansvarlige har ansvaret for behandling av personopplysninger. Dette kan for eksempel være en publisist som samler inn data på sine nettsider og bestemmer hvordan disse skal brukes. Som behandlingsansvarlig må selskapet kjenne til hvilke plikter de har etter regelverket. Normalt er behandlingsansvarlige virksomheter, men det kan også være enkeltpersoner. Gruppen er derfor lite homogen og spenner fra enkeltpersonsforetak til store internasjonale konserner. Veiledningsbehovet avhenger av hvilke interne ressurser den behandlingsansvarlige rår over eller kan kjøpe seg tilgang til. For mange virksomheter vil behovet for veiledning være stort, mens andre har tilstrekkelig tilgang på ekspertise.

Databehandlere, virksomheter som behandler personopplysninger etter avtale med behandlingsansvarlige, som for eksempel tilbydere av lagringstjenester, har relativt få plikter etter regelverket. Men med hensyn til de plikter de har, ligner situasjonen den for behandlingsansvarlige. I det følgende vil ikke databehandlers behov for veiledning bli vurdert spesielt.

Behandlingsansvarlige behøver veiledning både i forbindelse med anskaffelse av datasystemer og ved drift og bruk av disse. Spesielt viktig er anskaffelsessituasjonen, fordi uheldige valg av systemer vil kunne føre til anskaffelser og investeringer som det kan være vanskelig eller dyrt å korrigere senere. Personvernregelverket gjelder ikke direkte for produsenter av programvaren som brukes til å behandle personopplysninger. Behandlingsansvarlige kan derfor ikke stole på at produsentene har tatt hensyn til regelverket, eller at det er hensiktsmessig og mulig å bruke programvaren på en måte som er i tråd med gjeldende rettsregler.

Enkeltindivider har behov for veiledning som er forskjellig fra behandlingsansvarliges og databehandleres behov. Noen vil ønske å sette seg inn i reglene før opplysninger om dem blir registrert. For eksempel kan personer ønske å vite hvilke regler som gjelder for de mange opplysningene som blir samlet inn av en moderne, tilkoblet bil, blant annet hvilke regler som gjelder for lydopptak i bilen, eller for overføring av opplysninger til produsentens hjemland. Andre vil vite hvilke regler som gjelder for bruk av helseopplysninger i forskningsprosjekter, før de eventuelt deltar i et slikt prosjekt.

I andre situasjoner vil registrerte personer ønske å finne ut om det behandlingsansvarlige eller databehandler gjør med opplysningene deres er lovlig eller ikke. De kan for eksempel lure på om bilprodusenten har lov til å ta opptak av lyd uten at det er gitt uttrykkelig samtykke til dette. Tilsvarende vil elever og foreldre kunne ønske å vite om læreren har lov til å pålegge elever å bruke en spesiell sporingsapp.

Enkeltindivider kan også trenge veiledning dersom de ønsker å finne ut hvilke rettigheter de har og hvordan de skal gå frem for å bruke dem. For eksempel kan en person være klar over at barnevernet har opplysninger om tidligere problemer med rus, og lure på om det finnes regler som kan motvirke at disse opplysningene spres til andre. Spørsmålet vil ikke bare være avhengig av det sentrale personvernregelverket, men også av nasjonale regler om blant annet taushetsplikt og opplysningsplikt.

God veiledning betyr ikke det samme som å få sikre svar. Selv om det finnes mange rettsspørsmål vedrørende personvern som er tydelige, er det i en rekke situasjoner umulig å være sikker på hva som er riktig lovforståelse eller forsvarlig utøvelse av skjønn. Derfor kan veiledning både bringe klarhet i hva reglene går ut på, men kan også tydeliggjøre rettslig usikkerhet.

For behandlingsansvarlige kan manglende forutberegnelighet gjøre at veiledning uansett er utilstrekkelig. De vil derfor kunne ønske forhåndsuttalelser fra Datatilsynet som gjør dem sikrere på hva Datatilsynets vurdering er. I slike situasjoner kan grensen mellom veiledning og vedtak bli uklar. Utgangspunktet er at den behandlingsansvarlige selv må finne ut av hvilke regler som gjelder, og innrette seg etter dette uten noen forhåndsgodkjenning fra Datatilsynet.

Jo mer Datatilsynet gir veiledning på grunnlag av informasjon om en konkret løsning, desto mer vil veiledningen få preg av en avgjørelse. Når Datatilsynet skal treffe vedtak må det imidlertid opplyse alle relevante saksforhold på grundig måte i henhold til prosedyrereglene for tilsyn. Personvernkommisjonen mener det er svært viktig at det etableres tydelige rammer for henholdsvis veiledning og tilsyn.

13.4.4 Forholdet mellom Datatilsynets veiledning og tilsyns-/ kontrollvirksomhet

Datatilsynets oppgaver inkluderer både veiledning og tilsyns-/kontrollvirksomhet. Personvernkommisjonen ser, basert på henvendelser som kommisjonen har mottatt, at det kan være uheldig at samme organ både skal gi veiledning, fatte avgjørelser, utføre tilsyn og kontrollvirksomhet. Noen virksomheter kan være reserverte når det gjelder å søke veiledning, herunder spesielt ved å gi uttrykk for usikkerhet knyttet til riktig forståelse av personvernregelverket, når de vet at det er det samme organet som senere kan føre tilsyn og eventuelt ilegge sanksjoner. Ut fra innspillene Personvernkommisjonen har mottatt, er disse utfordringene større for privat enn for offentlig sektor.

Det har stor verdi å kunne konsultere Datatilsynet for veiledning. I praksis er det imidlertid vanskelig å eliminere eventuelle uheldige sider av dette, da Datatilsynet i henhold til personvernregelverket både skal gi veiledning, fatte avgjørelsen og utføre tilsyn.

Personvernkommisjonen ser at det kan være positivt at Datatilsynet benytter innsikt og kunnskap tilsynet opparbeider seg på tvers av veilednings- og tilsyns-/kontrollvirksomhet. Dette kan bidra til at Datatilsynet både er mer kompetent og arbeider mer effektivt.

Tilsvarende dilemmaer finnes på andre myndighetsområder. Nasjonal Sikkerhetsmyndighet (NSM) har for eksempel valgt å inndele sin virksomhet internt, slik at en avdeling gir veiledning mens en annen avdeling utøver kontroll. En ulempe med dette er at det kan gjøre ressursbruken internt suboptimal. En fordel er at det kan styrke tilliten hos publikum og gjøre det lettere å søke råd og være åpen om eventuell usikkerhet.

Personvernkommisjonen konstaterer at problemstillingene knyttet til Datatilsynets veilednings- og tilsynsfunksjon kan se ganske ulike ut avhengig av hvilket perspektiv man tar. Slik kommisjonen ser det, kan det være hensiktsmessig at Datatilsynet organiserer seg slik at en behandlingsansvarlig ikke risikerer å få tilsyn basert på informasjon som stammer fra dialog knyttet til Datatilsynets veiledning av virksomheten.

13.4.5 Regulatoriske sandkasser

Kunstig intelligens (KI), særlig maskinlæring, har fått mye oppmerksomhet de siste årene; ikke minst i tilknytning til profilering.63 Opprettelse av regulatoriske sandkasser for kunstig intelligens er en trend i tiden. Information Commissioner’s Office (ICO) i Storbritannia og datatilsynene i Frankrike, Sverige, Estland og Island har slike sandkasser eller planlegger å innføre ordningen. I regjeringens nasjonale strategi for kunstig intelligens, er et av tiltakene å etablere en regulatorisk sandkasse for ansvarlig kunstig intelligens.64 Som en oppfølging av strategien, har Kommunal- og distriktsdepartementet bevilget midler til en regulatorisk sandkasse i regi av Datatilsynet for årene 2021 og 2022.

Målet med sandkassen er å stimulere til innovasjon og utvikling av etisk og ansvarlig KI, og hjelpe enkeltaktører med å følge regelverket og utvikle personvernvennlige KI-løsninger.65 Datatilsynet har som mål å bruke eksempler og læring fra de ulike prosjektene til å lage veiledning som kan hjelpe andre å ta i bruk kunstig intelligens på en personvernvennlig måte. Datatilsynet vil bruke KI-sandkassen som en pilot for å vurdere om sandkassemetoden kan være et nyttig virkemiddel på mer permanent basis for å hjelpe virksomheter å operasjonalisere personvernet på en god måte.

Datatilsynets sandkasse har stor pågang av søkere, og fyller behovet for veiledning og hjelp til å fortolke personvernregelverket i møte med nye problemstillinger som bruk av kunstig intelligens reiser. Det er en sentral forutsetning for sandkassen at resultatet av prosessen er veiledning og ikke forhåndsgodkjenning eller vedtak.

Siden sandkassen startet opp i januar 2021 er 12 prosjekter plukket ut for veiledning. Prosjektene tas med etter søknad. Selv om sandkassen legger beslag på relativt mye arbeidskapasitet hos Datatilsynet, er primærfunksjonen bemannet med personer i midlertidige stillinger som betales av øremerkede midler.

Datatilsynets sandkasse er, etter hva Personvernkommisjonen kan forstå, annerledes enn «AI regulatory sandboxes» som er beskrevet i artikkel 53 i forslaget til forordning om kunstig intelligens. Regulatoriske sandkasser for KI skal ifølge forslaget til forordning være et kontrollert miljø som skal legge til rette for utvikling, testing og validering av KI-systemer. Tilbudet skal være tidsbegrenset, og er aktuelt forut for planlagt lansering av KI-systemer. Slike KI-systemer vil ofte, men ikke alltid, behandle personopplysninger. Uansett vil effektene ikke bare ha betydning for personvern, men også blant annet for diskrimineringsvern og ytringsfrihet. Slike sandkasser vil med andre ord i stor grad gjelde Datatilsynets arbeidsområde, men vil også ha klar relevans for andre myndigheter.

Forslaget til forordning fastsetter at sandkassene ikke skal virke inn på den aktuelle myndighetens tilsynsvirksomhet og myndighet til å kreve endring av løsningene. Det er altså foreslått et klart skille mellom utvikling, testing og validering på den ene side, og myndighetsutøvelse på den annen side.

Formelt treffes det ikke avgjørelser i Datatilsynets sandkasse. Rapportene som gjelder hvert enkelt prosjekt kan likevel reelt sett fungere som forhåndsavgjørelser med prinsipiell betydning. I rapporten om NAVs prosjekt om bruk av maskinlæring for å forutse hvilke sykmeldte brukere som vil ha behov for oppfølging to måneder frem i tid, tar en for eksempel stilling til vanskelige rettsspørsmål uten motstemmer, og uten formell mulighet for å klage konklusjonene inn for Personvernnemnda.

Personvernkommisjonen mener det er positivt at produsenter og distributører av KI-systemer som behandler personopplysninger har tilgang til et forum med mulighet til å diskutere utvikling, testing og validering av KI-løsninger. Kommisjonen ser det ikke som et problem at en foreløpig nasjonal ordning med regulatoriske sandkasser legger særlig vekt på personvern. Når forordning for kunstig intelligens tas inn i EØS-avtalen, vil det imidlertid være nødvendig også å vurdere andre aspekter ved slike systemer, spesielt andre friheter og rettigheter som er nært knyttet til personvernet.

Personvernkommisjonen vil bemerke at en ordning med regulatorisk sandkasse innebærer at noen få virksomheter får tilgang til Datatilsynets ekspertise som andre ikke får del i, annet enn gjennom sluttrapportene fra hvert prosjekt. Deltakerne i sandkassen trenger ikke være behandlingsansvarlige, men kan for eksempel være fremtidige produsenter og tilbydere av tjenester. Slike aktører er ikke omfattet av personvernregelverket (men vil komme inn under forordning for kunstig intelligens). Ordningen reiser etter Personvernkommisjonens syn noen prinsipielle spørsmål om hvordan begrensede ressurser til tidlig veiledning av behandlingsansvarlige skal fordeles. Selv om tiltaket finansieres av øremerkede midler, bør allokering og prioritering av ressurser til veiledning skje etter en samlet vurdering av hva som gir størst effekt for ivaretakelsen av personvernet.

I en senere ordning med regulatorisk sandkasse for KI i samsvar med forordning for kunstig intelligens, vil hensyn og prioriteringer være annerledes enn i dagens ordning. For eksempel skal en da også vektlegge et bredere spektrum av friheter og rettigheter. I tillegg vil en kunne legge vekt på innovasjon og næringspolitikk. Blant annet vil en kunne prioritere tilbud til små og mellomstore bedrifter, herunder oppstartsbedrifter.

Personvernkommisjonen har ikke noen nærmere oppfatning om hvordan en norsk sandkasse i samsvar med forordning for kunstig intelligens bør organiseres.

Personvernkommisjonen mener at dersom Datatilsynets sandkasse skal videreføres, bør spørsmålene som en tar stilling til i hvert prosjekt legges åpent frem for mulige merknader før konklusjonene treffes. I konklusjonene bør en i tillegg legge stor vekt på å få frem forutsetninger og eventuell tvil knyttet til konklusjonene. Generelt bør rapportene legges opp slik at de i minst mulig grad blir oppfattet som forhåndsavgjørelser.

13.4.6 Behov for veiledning fra andre myndigheter

Behandling av personopplysninger skjer i alle samfunnssektorer. Personvernregelverket har derfor et meget bredt virkeområde, og Datatilsynets arbeidsområde er tilsvarende vidt. Samtidig er det en rekke statlige myndigheter som er tilsyn eller har tilsynsfunksjoner på samfunnsområder der personopplysninger spiller en stor rolle. Arbeidstilsynet, Forbrukertilsynet og Nasjonal kommunikasjonsmyndighet er eksempler på sektortilsyn. Slike tilsyn har det til felles med Datatilsynet at tilsynsoppgavene er knyttet til ivaretakelse av den enkeltes friheter og rettigheter, for eksempel sikre forsvarlig arbeidsmiljø, helsevern, forbrukervern, vern av elektronisk kommunikasjon, og vern av dokumentasjon, herunder personopplysninger. En rekke ulike hensyn på de aktuelle områdene kan stå i et komplekst forhold til det personvernet som Datatilsynet er satt til å ivareta.

I noen tilfeller er det stor grad av sammenfall mellom verneinteressene. For eksempel vil det være delvis sammenfall mellom personvern på den ene siden, og vern mot overdreven overvåking av arbeidstakere, vern mot informasjonskapsler (cookies), sikker lagring av helseopplysninger og arkivalia, på den annen side. I andre tilfeller er det motstrid mellom personvern og annet vern av individet; for eksempel kan hensynet til arbeidsmiljø, helsehjelp og effektive kommunikasjonstjenester, begrunne mer omfattende og langvarig lagring av personopplysninger enn det som vil være ønskelig dersom det kun tas hensyn til personvern.

Datatilsynet er spesialisert på personvern. Retten til vern av personopplysninger er ikke en absolutt rettighet. Derfor skal Datatilsynet også ta hensyn til andre grunnleggende rettigheter og friheter. Flere slike rettigheter og friheter hører til andre tilsynsmyndigheters arbeidsområde, for eksempel «tanke-, tros- og religionsfrihet, ytrings- og informasjonsfrihet, frihet til å drive næringsvirksomhet, retten til effektiv prøving og rettferdig rettergang».66 Dette fremgår blant annet av formålsbestemmelsen i personvernforordningen.

Datatilsynet har i dag samarbeid med en rekke andre offentlige tilsyn. Personvernkommisjonen ser positivt på slikt samarbeid. Denne typen samarbeid er blant annet verdifullt fordi tilsynsvirksomheten kan bli mer effektiv når tilsynene er enige. I tillegg er det etter Personvernkommisjonens syn stor verdi i at ulike tilsynsmyndigheter utveksler synspunkter om ulike aspekter ved vern av individet. En slik dialog vil etter Personvernkommisjonens syn gjensidig kunne styrke kunnskapen og bevisstheten om de mange komplekse avveiningene som er knyttet til behandling av personopplysninger innenfor eksempel helsevern og arbeidstakervern.

Andre myndigheter har særlig fagkompetanse på sine områder, men har i varierende grad kompetanse innen personvernrett. Etter Personvernkommisjonens syn, er behandling av personopplysninger en så integrert del av flere andre tilsynsoppgaver, at det ikke kan konstrueres noe klart skille mellom tilsynet med etterlevelsen av sektorregelverket og det generelle personvernregelverket.

Arbeidsgivers kontrolltiltak vil for eksempel innebære behandling av personopplysninger som gjør at hele personvernforordningen kommer til anvendelse samtidig med bestemmelsene om kontrolltiltak i arbeidsmiljøloven. Det vil da være paradoksalt om Arbeidstilsynet kun skal gi veiledning om særlige bestemmelsene i «sin lov» (arbeidsmiljøloven), samtidig som de ikke gir veiledning om andre personvernspørsmål som er del av ett og samme problemkompleks. Et kontrolltiltak kan for eksempel være lovlig ut fra arbeidsmiljølovens bestemmelser fordi tiltaket er saklig begrunnet og ikke gir uforholdsmessig belastning på arbeidstakerne, men likevel være klart ulovlig fordi kontrolltiltaket mangler behandlingsgrunnlag og bryter med formålsbestemthetsprinsippet i personvernforordningen.

Personvernkommisjonen mener at andre myndigheter enn Datatilsynet, bør veilede om alle personvernspørsmål som direkte er knyttet til deres myndighetsområde. Dette er avgjørende for å sikre at disse myndighetene hensyntar personvern i sin virksomhet. Kommisjonen understreker at slik veiledning vil komme på toppen av Datatilsynets veiledning. Videre vil Datatilsynet alltid ha tilsynskompetanse.

13.4.7 Betydningen av forvaltningens alminnelige veiledningsplikt

Innenfor sitt saksområde har forvaltningsorganer en alminnelig veiledningsplikt, se forvaltningsloven § 11. Veiledning skal gis for å sette parter og andre interesserte i stand til å vareta sine interesser i bestemte saker. Veiledningsplikten gjelder lover, forskrifter og praksis på vedkommende forvaltningsområde, og regler for saksbehandlingen. Omfanget av veiledningen kan tilpasses forvaltningsorgans situasjon og kapasitet til å påta seg slik virksomhet.

Når det gjelder andre myndigheters veiledningsplikt om personvern, er det i dag uklart om den generelle plikten til å veilede også omfatter personvernregelverket. Paragraf 11 i forvaltningsloven nevner spesielt plikt til å veilede om regler vedrørende saksbehandling i forvaltningsloven. Mange av bestemmelsene i personvernregelverket gjelder saksbehandling knyttet til behandling av personopplysninger, og er i realiteten like viktige rettslige krav til forvaltningens saksbehandling som bestemmelsene i forvaltningsloven.

Personvernkommisjonen mener at, i tillegg til veiledningsansvar om personvernregler for sektorvise tilsynsmyndigheter, bør alle forvaltningsorganer gis tydelig veiledningsansvar i forvaltningsloven § 11 for spørsmål som gjelder behandling av personopplysninger innenfor deres respektive myndighetsområder. Det er viktig at personvernkompetanse og -ressurser finnes i disse tilsynene, slik at de kan ta personvern i betraktning som en integrert del av sine avgjørelser. En utviding av veiledningsansvaret må for øvrig ikke gripe inn i Datatilsynets veiledningsansvar for personvern.

13.4.8 Veiledning i regi av bransjeorganisasjoner, fellesfunksjoner innen offentlig forvaltning med flere

Selv om en gjør maksimalt ut av Datatilsynets veiledningsplikt og utvider og tydeliggjør veiledningsplikten vedrørende personvern for sektorvise tilsynsmyndigheter og offentlige forvaltningsorganer, vil det gjenstå viktige behov for veiledning og tilgang til ekspertise.

Etter Personvernkommisjonens syn er det positivt for behandlingsansvarlige og databehandlere å kunne motta veiledning både på bakgrunn av kompetanse om personvern og spesiell sakkunnskap om det saksområdet de driver sin virksomhet. Således vil det for eksempel være hensiktsmessig at IKT-bransjen og mediebransjen søker veiledning og råd fra ekspertise innen egen bransje. Forholdet er tilsvarende innen en rekke andre bransjer, men det vil variere fra bransje til bransje hvor store behovene er. Et lignende behov finnes trolig i offentlig forvaltning.

Samarbeid mellom behandlingsansvarlige om oppbygging av kompetanse og tilbud om veiledningsvirksomhet kan etter Personvernkommisjonens syn være en god måte å løse ansvarsprinsippet på. Selv om behandlingsansvarlige får råd om forståelsen av personvernregelverket, er det fremdeles hver behandlingsansvarlig som har ansvaret i henhold til personvernforordningen. Slike samarbeid om veiledningstjenester vil kunne gi bedre etterlevelse av gjeldende regelverk.

En risiko med nevnte former for samarbeid, er at de behandlingsansvarlige kan komme til å opptre med større grad av selvtillit enn om de agerer hver for seg. Dette kan komme til å gi flere tilfeller av uenigheter mellom faglig sterke sammenslutninger på den ene side, og Datatilsynet og andre tilsynsmyndigheter på den annen side. Personvernkommisjonen mener det ikke er grunn til å unngå slike uenigheter. Tvert imot kan det være en fordel om uenigheter som er prinsipielt viktige, kommer frem og får autoritativ avgjørelse i Personvernnemnda eller i domstolene. Dersom saker der det er uenighet blir avgjort av Personvernnemnda eller domstolene, vil dette lede til rettskraftige avgjørelser og autoritativ avklaring av rettsspørsmålene og større forutberegnelighet.

Hvis slike samarbeidskonstellasjoner har dialog med Datatilsynet, vil det dessuten kunne skjerpe grundigheten og kvaliteten av Datatilsynets analyser. Dersom det ikke er mulig å nå frem til felles standpunkt, og det derfor skulle oppstå restanse av betydning ved Personvernnemda, mener Personvernkommisjonen en bør styrke denne nemndas kapasitet for å sikre akseptable saksbehandlingstider.

13.5 Behov for tilsyn fra andre tilsynsmyndigheter

Personvernkommisjonen har ikke gjort noen systematisk gjennomgang av myndighetsområdene for tilsyn som har særlig ansvar innenfor sektorer der behandling av personopplysninger og personvern spiller stor rolle. Arbeidstilsynet og Riksarkivet har imidlertid sin myndighet begrenset til hver sine særlover.67 Helsetilsynet er eksempel på en tilsynsmyndighet som generelt skal utøve myndighet «i samsvar med det som er bestemt i lover og forskrifter» (se helsetilsynsloven § 4).

Personvernkommisjonen vil peke på at den rollen andre tilsynsmyndigheter har ved håndhevelsen av personvernregelverket varierer fra tilsyn til tilsyn, og synes ikke å være basert på en prinsipiell holdning til spørsmål om myndighetsfordeling og -samarbeid.

Personvernkommisjonen anbefaler at det settes i gang et systematisk arbeid for å styrke sektortilsyns arbeid med personvernregelverket, og for å klargjøre hjemlene for slik utøvelse av myndighet.

Etter Personvernkommisjonens syn er det ikke grunn til å se på mulig uenighet mellom sektortilsyn og Datatilsynet som noe problem. Forutsetningen må være at alle tilsyn uansett gjør fullt forsvarlig rettsanvendelse og skjønnsutøvelse. Dessuten vil Datatilsynets praksis og veiledere, Personvernnemdas praksis og uttalelser fra Det europeiske personvernrådet måtte tillegges stor vekt også av sektortilsyn. Videre vil Datatilsynet alltid ha mulighet til å gjennomføre tilsyn. Eventuelle uenigheter på grunn av ulike avveininger av kryssende hensyn, må etter Personvernkommisjonens syn ses på som positivt for den helt nødvendige meningsutvekslingen om slike vanskelige spørsmål, og vil i tråd med rettssystemet eventuelt bli avgjort av domstolene.

13.6 Datatilsynets rolle ved utforming av lov og forskrifter

Datatilsynet har mange oppgaver. Tilsynet er ikke bare et myndighetsorgan, men er blant annet også gitt rollen som en slags rådgiver for blant annet regjeringen og Stortinget i spørsmål knyttet til nasjonal lovgivning og administrative tiltak. Slik rådgivning skal gis i samsvar med nasjonal lov. Datatilsynet vil ofte være relevant høringsinstans for lover og forskrifter, jf. henholdsvis utredningsinstruksen punkt 3-3 og forvaltningsloven § 37. I 2020 mottok Datatilsynet 198 høringssaker, og gav uttalelse i 50 av disse sakene.68

Personvernforordningen inneholder en regel om at nasjonale myndigheter skal rådføre seg med tilsynsmyndigheten ved utarbeiding av lov og forskrifter, se artikkel 36 nr. 4. I henhold til avsnitt 96 i fortalen til forordningen, er formålet med bestemmelsen blant annet å bidra til å redusere risikoen for registrerte personer. Slike risikoreduserende innspill kan best gis tidlig i lovgivningsprosessen, før fullstendig forslag til bestemmelser er utarbeidet og sendt på høring. I samtale med Datatilsynet har Personvernkommisjonen fått innspill om at tilsynet mener at artikkel 36 nr. 4 gir en plikt til å rådføre seg med Datatilsynet ved lovarbeid, ut over den formelle høringsrunden. Ifølge Datatilsynet forstår føderale tyske myndigheter artikkel 36 nr. 4 slik at alle lovarbeider som berører personvern, skal forelegges det tyske tilsynet. Datatilsynet ønsker at prosessen skal reserveres for tilfeller der personvern er et hovedtema og ellers når det er høy risiko etter artikkel 35.

Personvernkommisjonen mener artikkel 36 nr. 4 forutsetter en særskilt rådføringsplikt, slik tidligere kommentert i kapittel 6 og 7. Bestemmelsen kan ikke anses å være etterlevet ved å gi Datatilsynet anledning til å være høringsinstans på linje med den rett enhver virksomhet og borger har etter utredningsinstruksen. Uansett påligger det regjeringen å utrede lovgivning så omfattende og grundig som nødvendig, og på balansert, systematisk og helhetlig måte når spørsmålene er av prinsipiell karakter.69

Personvernkommisjonen mener Datatilsynet må gis adgang til tidlig involvering i lov- og forskriftssaker som reiser prinsipielle spørsmål om personvern og når det er høy risiko for grunnleggende rettigheter og friheter. Etter kommisjonens syn, vil det åpenbart gi mest forsvarlig saksutredning dersom Datatilsynets synspunkter blir kjent på et tidlig tidspunkt i lovarbeidet. Hvis argumenter knyttet til ivaretakelse av personvernet kommer tidlig i prosessen, vil det normalt være lettere å ta hensyn til dette enn når synspunktene blir kjent i høringsrunden.

Etter Personvernkommisjonens syn vil det normalt være langt mer effektiv bruk av Datatilsynets begrensende ressurser å involvere tilsynet på et tidlig stadium. Personvernforordningen stiller blant annet krav til utforming av nasjonal lovgivning. Tidlig involvering av Datatilsynet i lov- og forskriftsarbeid, kan forenkle saksbehandlingen i vedkommende departement, fordi risikoen for å gjøre feil som må rettes opp blir redusert.

Datatilsynets rolle som rådgiver i lov- og forskriftsprosessen og som høringsinstans, kan ha betydning for hvordan en bedømmer Datatilsynets rolle som tilsyn og myndighet i enkeltsaker. Samtidig som Personvernkommisjonen mener det er viktig at Datatilsynet blir tidlig involvert i samsvar med personvernforordningen artikkel 36 nr. 4, og opptrer som høringsinstans i samsvar med utredningsinstruksen og forvaltningsloven, mener kommisjonen det er viktig med åpenhet om slike prosesser. Etter Personvernkommisjonens syn bør alle Datatilsynets høringsuttalelser gjøres offentlig tilgjengelig på Datatilsynets nettsider. Selv om uttalelsene normalt vil være tilgjengelig på vedkommende departements høringssider, er det vesentlig at det til enhver tid finnes en samlet oppdatert tilgang til slike uttalelser.

13.7 Spesielt om behandling av klager fra registrerte

13.7.1 Oversikt

For enkeltindivider er det av stor betydning å kunne ta opp uenigheter og få avgjort spørsmål som har betydning for personvernet deres. Personvernforordningen inneholder flere ordninger som gir registrerte personer rett til å få spørsmål vurdert og overprøvet. Personvernkommisjonen er ikke kjent med at det er gitt samlet oversikt over mulighetene for anmodninger og klager. Spørsmålet er derfor relativt inngående behandlet nedenfor. Ordningene er illustrert i figur 13.1 ovenfor.

Den registrerte kan for det første hevde at en behandling av personopplysninger generelt er ulovlig, for eksempel fordi den mangler behandlingsgrunnlag, fordi formålet for behandlingen er upresist angitt, fordi det ikke er gitt tilstrekkelig informasjon til de registrerte, eller fordi opplysningene ikke er tilstrekkelig sikret. Slike innsigelser vil ha konsekvenser for alle registrerte det blir behandlet opplysninger om. Dersom det generelle behandlingsopplegget er ulovlig overfor én person, vil det sannsynlig også være ulovlig overfor alle personer som er omfattet av behandlingen.

Registrerte personer kan også påstå at opplysninger om dem selv er ukorrekte eller ufullstendige. De kan mene at behandlingsansvarlige ikke har lovlig tilgang til opplysningene om dem, for eksempel fordi det vil stride mot nasjonale bestemmelser om taushetsplikt. Slike påstander har kun direkte betydning for den registrerte som klager. Likevel kan problemstillingen ha indirekte konsekvenser for mange, fordi den konkrete saken kan være uttrykk for svikt i den behandlingsansvarliges systemer og rutiner.

Forstørr bilde

I tilfeller der det generelt eller konkret er påstand om ulovlig behandling, kan registrerte velge å først bringe saken inn for den behandlingsansvarlige i form av en «anmodning», og så eventuelt klage behandlingsansvarliges avgjørelse inn for Datatilsynet (jf. 1, 2 og 3 i figuren). De kan imidlertid også velge å bringe saken direkte inn for Datatilsynet med krav om at Datatilsynet skal avgjøre spørsmålet om lovlighet (jf. 3 i figuren).

En tredje situasjon oppstår når den registrerte retter en anmodning til den behandlingsansvarlige om bruk av sine rettigheter etter artikkel 15–22 (jf. 1 i figuren). Den registrerte ber for eksempel om innsyn, eller om at visse opplysninger blir slettet eller ikke blir behandlet. Behandlingsansvarlige skal normalt gi svar innen én måned fra anmodningen om bruk av rettigheter ble mottatt (jf. 2 i figuren). Dersom den registrertes ønske ikke etterkommes, skal den behandlingsansvarlige redegjøre for årsaken til nektelsen og opplyse om adgangen til å klage til Datatilsynet.

Datatilsynet plikter å ta stilling til klager fra den registrerte i alle tre nevnte sakstyper. Avgjørelsen blir et enkeltvedtak i forvaltningslovens forstand (jf. 4 i figuren). Før vedtak plikter Datatilsynet å sørge for at saken er utredet på forsvarlig måte.

Hvis behandlingsansvarlige eller den registrerte er misfornøyd med Datatilsynets enkeltvedtak, kan vedtaket klages inn for Personvernnemnda i samsvar med reglene om klage i personopplysningsloven og forvaltningsloven (jf. 5 i figuren). Spørsmål om gyldigheten av Personvernnemndas enkeltvedtak kan eventuelt bringes inn for domstolene (jf. 6 i figuren).

13.7.2 Synligheten av registrertes rett til å klage til Datatilsynet

Personvernforordningen artikkel 77 gir generell rett for registrerte personer til å klage til tilsynsmyndigheten og lyder:

«enhver registrert [skal] ha rett til å klage til en tilsynsmyndighet […] dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning.»

Denne bestemmelsen gir de registrerte en rett til direkte klage til Datatilsynet dersom de anser en behandling for å være ulovlig, uten først å ta saken opp med den behandlingsansvarlige. Den gir også rett til å klage avgjørelser behandlingsansvarlige har tatt om bruk av rettigheter, og eventuelt andre spørsmål, inn for Datatilsynet. Det fremgår av personvernforordningen artikkel 80 nr. 1 at den registrerte kan gi en ideell organisasjon fullmakt til å klage på sine vegne, herunder klage etter artikkel 77.

Personvernombud har ingen formell rolle i klagesaker. Riktignok kan registrerte personer kontakte personvernombudene for å få informasjon om behandling av personopplysninger i virksomheten og utøvelse av rettigheter. Personvernombudene skal imidlertid, verken formelt eller reelt, treffe avgjørelser ved uenighet mellom registrerte og den virksomhet de er personvernombud for. Imidlertid kan ombudene stille generelle spørsmål ved om den behandlingsansvarlige etterlever regler om klage på tilstrekkelig måte.

Kapittel 6 i personopplysningsloven har egne norske regler om klage. Bestemmelsen om klage på Datatilsynets enkeltvedtak fremgår av personopplysningsloven § 22 annet ledd. Dette er en klagebestemmelse som primært gir rettssikkerhet for behandlingsansvarlige, men gir også rettigheter for registrerte personer.

Reglene om den registrertes klagerett på avgjørelser som er truffet av behandlingsansvarlige vedrørende om en behandling er ulovlig, eller om bruk av rettigheter, er verken gjengitt eller vist til i personopplysningsloven. Dette til tross for at de er meget viktige for de registrertes personvern og rettssikkerhet. Bare spesialister vil reelt sett være i stand til å finne frem til reglene om registrertes rett til å klage i personvernforordningen artikkel 77.

Personvernkommisjonen mener det er uheldig at personopplysningsloven ikke på tydelig måte slår fast den retten registrerte personer har til å få spørsmål vurdert og overprøvet. Slik klargjøring er viktig for å styrke registrerte personers rettsstilling. Personvernforordningen er neppe til hinder for at reglene om registrertes rettigheter delvis blir gjentatt og vist til i kapitlet om klage i personopplysningsloven. Kommisjonen viser her til uttalelsen i avsnitt 8 i fortalen til forordningen, som åpner for at det kan innføres presiseringer eller begrensninger av regler i nasjonal rett for å gjøre nasjonale bestemmelser forståelige for de personer de får anvendelse på.

Personvernkommisjonen merker seg at Datatilsynet ikke har utformet rutine for å inngi klage fra registrerte personer.

Personvernkommisjonen slår fast at det er en stor utfordring for Datatilsynet at de mottar store mengder klager fra registrerte personer. Slike arbeidsoppgaver kan ses som mindre effektiv bruk av personalressurser enn saker som gjelder systemløsninger med virkning for et stort antall mennesker. Det er likevel uheldig for rettsbeskyttelsen dersom det ikke er lagt godt til rette for klage når det er uenighet mellom en registrert og en behandlingsansvarlig. På lignende måte som behandlingsansvarlige plikter å legge til rette for at registrerte kan utøve sine rettigheter, bør også Datatilsynet legge bedre til rette for bruk av retten til å klage til dem. Personvernkommisjonen ser derfor positivt på at Datatilsynet er i ferd med å utvikle et digitalt klageskjema.

Etter Personvernkommisjonens mening er det ikke tilfredsstillende med saksbehandlingstider på fra tre til seks måneder, eller mer, for behandling av klager fra enkeltpersoner som mener deres personvern er krenket. Slik lang saksbehandlingstid kan for eksempel føre til at en ulovlig behandling av personopplysninger får fortsette i lang tid, med mulige spredningseffekter, fordi opplysningene deles i en kjede av aktører. Kommisjonen mener en slik situasjon ikke gir forsvarlig saksbehandling, og gir plikt for Datatilsynet til å treffe effektive tiltak for å bedre situasjonen. Trolig vil et digitalt klageskjema gjøre det mulig å avgjøre enkle saker betydelig raskere enn i dag, innen den lovfastsatte fristen.

13.7.2.1 Registrertes klagerett og ansvarsprinsippet

Prinsippet om den behandlingsansvarliges ansvar er grunnleggende i personvernforordningen. Prinsippet innebærer at det er den behandlingsansvarlige som skal sørge for at personvernprinsippene blir overholdt, og at det blir truffet nødvendige tiltak for at bestemmelsene i personvernforordningen om blant annet behandlingsansvarliges plikter blir etterlevet.

Det er et grunnleggende personvernprinsipp at den behandlingsansvarlige skal treffe tiltak for å sikre rettferdighet og åpenhet. Dette betyr blant annet at behandlingsansvarlige må sikre at anmodninger de får fra registrerte personer, med påstand om ulovligheter og ønske om bruk av rettigheter, blir vurdert på saklig og balansert måte.

Behandlingsansvarlige skal legge til rette for bruk av rettighetene i personvernforordningen artikkel 15–22, og skal informere om rettighetene på en klar og forståelig måte. I tillegg gjelder det generelle bestemmelser om at behandlingsansvarlige blant annet skal bygge personvernprinsipper og rettigheter inn i tekniske løsninger, jf. «innebygd personvern» i artikkel 25 nr. 1. Dette gjelder også innbygging for å understøtte retten registrerte har til å be den behandlingsansvarlige om endring av ulovlige forhold, bruk av rettigheter, og retten til å klage behandlingsansvarliges avgjørelse inn til Datatilsynet. Løsningene må være tilgjengelige digitalt.

Krav til innebygd personvern er betinget av at tiltaket står i et rimelig forhold til kostnader, arten og omfanget av opplysningene som blir behandlet, og risikoen for krenkelse av personers rettigheter og friheter. Man skal dessuten ta hensyn til den tekniske utviklingen, og det er neppe grunnlag for å kreve annet enn standard teknologi.

Personvernkommisjonen har ikke gjennomført systematiske undersøkelser av innebygd personvern som nevnt ovenfor. Likevel er det klare, generelle inntrykket at slike tiltak forekommer meget sjelden. En slik tilstand er ikke i tråd med personvernforordningen.

13.7.2.2 Betydningen av Datatilsynets ansvar

Samtidig som det gjelder et strengt ansvarsprinsipp for behandlingsansvarlige, har Datatilsynet ansvar for å føre tilsyn med at bestemmelsene i forordningen, herunder reglene om registrertes rettigheter, blir etterlevet. Det er altså et viktig samspill mellom ansvarsprinsippet og Datatilsynets tilsyn og mulighet for å gi pålegg om å treffe tiltak for etterlevelse av forordningen.

Selv om ansvarsprinsippet tilsier at alle behandlingsansvarlige skal ha rutiner som understøtter registrertes rett til å sende anmodninger til behandlingsansvarlige, gir dette neppe tilstrekkelig virkning alene. I tillegg er det viktig at Datatilsynet arbeider aktivt for å bidra til at praksis er i samsvar med gjeldende regler.

Det er svært arbeidskrevende å føre tilsyn med at alle behandlingsansvarlige etterlever de aktuelle bestemmelsene. En alternativ tilnærming kan være at Datatilsynet bruker generelle virkemidler. For eksempel er det mulig å oppfordre bransjeorganisasjoner og andre til å utarbeide atferdsnormer der det blir stilt spesifikke krav til eksistensen av og innholdet i internettbaserte rutiner som skal understøtte registrertes rett til å sende anmodning til behandlingsansvarlige. Datatilsynet har myndighet til å godkjenne slike atferdsnormer, men det vil i stor grad være opp til bransjene selv å håndheve kravene. Også sertifiseringsordningen i forordningen kan gi lignende effekter.

Behandlingsansvarlige kan imøtekomme eller avslå registrertes anmodning om å rette ulovlige forhold og om bruk av rettigheter. Dette gir situasjoner med «bukken og havresekken», fordi den behandlingsansvarlige treffer avgjørelser om uenigheter de selv er part i. Selv om den behandlingsansvarlige har gode intensjoner, sier det seg selv at det vil være meget vanskelig å opptre helt nøytralt.

Det skjeve maktforholdet innebærer ikke at alle avgjørelser som går i den registrertes disfavør, er uriktige eller urimelige. Imidlertid kan det skjeve forholdet gi grunnlag for stor skepsis fra registrerte personer til behandlingsansvarliges avgjørelse. Dermed kan det oppstå et større behov for å bringe saken inn for avgjørelse i Datatilsynet enn dersom tilliten hadde vært større. Større tillit til avgjørelser truffet av behandlingsansvarlige vil med andre ord kunne dempe behovet for å klage til Datatilsynet.

I internettbaserte rutiner, som nevnt ovenfor, må det derfor være mekanismer som bidrar til at saker som behandlingsansvarlige avgjør (om for eksempel påstått ulovlig behandling, innsyn, sletting eller behandlingsgrunnlag) blir tatt stilling til på mest mulig balansert måte. Et eksempel på tiltak som kan virke i retning av balanserte avgjørelser, er dersom den behandlingsansvarlige har en fast person som behandler anmodninger fra registrerte. Dette vil både kunne innebære tilstrekkelig kompetanse og profesjonalisering, og sikre at personen(e) har god oversikt over praksis. Det kan også tydeliggjøres at det primært er den behandlingsansvarlige som skal utrede saker som registrerte personer reiser, og dermed har ansvar for at saken er opplyst fra begge sider. Eventuelt kan det gis en eksplisitt plikt til å la den registrerte komme til orde på bestemte måter, for eksempel med bistand fra fullmektig eller en ideell organisasjon.

Et ytterligere element i rutiner for tilfredsstillende behandling av anmodninger fra registrerte personer, kan være å stille krav til dokumentasjon av behandlingsansvarliges praksis i slike saker. Dokumentasjonen kan blant annet vise i hvilken grad saker blir klaget inn til Datatilsynet og omgjort. Innrapporterte tall kan i sin tur gi grunnlag for Datatilsynets prioriteringer av hvor de skal utføre tilsyn. Mekanismer som gjør at de behandlingsansvarliges avgjørelser blir monitorert, med mulige konsekvenser for tilsyn og kontroll, kan tenkes å være sterkt motiverende for den behandlingsansvarliges noenlunde balanserte behandling av krav fra den registrerte.

Etter personvernforordningen kan hvert land fastsette myndighet i nasjonal lov ut over det som gjelder etter personvernforordningen, se artikkel 58 nr. 6. Det vil derfor trolig være adgang til å fastsette enkelte norske bestemmelser om Datatilsynets myndighetsutøvelse i saker der det er uenighet mellom registrerte personer og behandlingsansvarlige.

Personvernkommisjonen antar at atferdsnormer, standarder og IT-verktøy med innebygde løsninger, kombinert med nasjonale lov- og forskriftsbestemmelser, kan gjøre registrertes rett til å anmode den behandlingsansvarlige om å vurdere lovlighet og bruke rettigheter, vesentlig mer effektiv enn i dag. Kommisjonen antar at summen av slike virkemidler kan gjøre at færre uenigheter mellom registrerte og behandlingsansvarlige ender opp som klagesaker hos Datatilsynet.

13.8 Personvernkommisjonens anbefalinger oppsummert

• Personvernkommisjonen anbefaler at regjeringen arbeider for å opprette tilsynsmyndigheter på europeisk nivå med myndighet og ansvar for å sørge for effektiv håndhevelse av personvernregelverket overfor de globale plattformaktørene, tilsvarende bestemmelsene som er inntatt i Digital Markets Act.

• Personvernkommisjonen mener det bør gjøres jevnlige evalueringer av Personvernnemda. Evalueringene bør se på om nemda utfører sin funksjon på tilstrekkelig vis, og at den er velfungerende.

• Personvernkommisjonen mener det er et klart behov for å styrke Datatilsynet. Personvernet kan imidlertid ikke kun sikres ved en sterk, sentral tilsynsmyndighet. Personvernkommisjonen mener derfor det må skje en samtidig styrking av andre viktige samfunnsaktørers forutsetninger for å bidra til et godt personvern.

• Personvernkommisjonen mener det er svært positivt at norske tilsyn samarbeider for å beskytte forbrukernes rettigheter. Dette samarbeidet bør sikres for fremtiden.

• Personvernkommisjonen mener andre tilsynsmyndigheter med ansvarsområder som har stor og direkte betydning for ivaretakelse av personvern kan spille en større rolle for personvernet enn de gjør i dag. For eksempel må Arbeidstilsynet både kunne føre tilsyn med arbeidsgivers kontrolltiltak etter bestemmelsene i arbeidsmiljøloven, og samtidig anvende de generelle reglene i personvernforordningen som aktualiseres av kontrolltiltaket.

• Personvernkommisjonen mener det er viktig at det etableres tydelige rammer for henholdsvis veiledning og tilsyn i Datatilsynet. Kommisjonen mener det kan være hensiktsmessig at tilsynet organiserer seg slik at en behandlingsansvarlig ikke risikerer å få tilsyn basert på informasjon som stammer fra dialog knyttet til Datatilsynets veiledning av virksomheten.

• Personvernkommisjonen mener at dersom Datatilsynets sandkasse skal videreføres, bør spørsmålene som en tar stilling til i hvert prosjekt legges åpent frem for mulige merknader før konklusjonene treffes. I konklusjonene bør en i tillegg legge stor vekt på å få frem forutsetninger og eventuell tvil knyttet til konklusjonene. Generelt bør rapportene legges opp slik at de i minst mulig grad blir oppfattet som forhåndsavgjørelser.

• Personvernkommisjonen mener andre myndigheter enn Datatilsynet bør veilede om personvernspørsmål som direkte er knyttet til deres myndighetsområde. Dette er avgjørende for å sikre at disse myndighetene hensyntar personvern i sin virksomhet. Kommisjonen understreker at slik veiledning vil komme på toppen av Datatilsynets veiledning. Videre vil Datatilsynet alltid ha tilsynskompetanse.

• Personvernkommisjonen mener alle forvaltningsorganer bør gis tydelig veiledningsansvar i forvaltningsloven § 11 for spørsmål som gjelder behandling av personopplysninger innenfor deres respektive myndighetsområder. En utviding av veiledningsansvaret må ikke gripe inn i Datatilsynets lovbestemte veiledningsansvar.

• Personvernkommisjonen anbefaler at det settes i gang et systematisk arbeid for å styrke sektortilsynenes arbeid med personvernregelverket, og for å klargjøre hjemlene for slik utøvelse av myndighet.

• Personvernkommisjonen mener artikkel 36 nr. 4 forutsetter en særskilt rådføringsplikt. Bestemmelsen kan ikke anses å være etterlevet ved å gi Datatilsynet anledning til å være høringsinstans på linje med den rett enhver virksomhet og borger har etter utredningsinstruksen. Uansett påligger det regjeringen å utrede lovgivning så omfattende og grundig som nødvendig, og på en balansert, systematisk og helhetlig måte når spørsmålene er av prinsipiell karakter.

• Personvernkommisjonen mener Datatilsynet må gis adgang til tidlig involvering i lov- og forskriftssaker som reiser prinsipielle spørsmål om personvern og når det er høy risiko for grunnleggende rettigheter og friheter. Etter Personvernkommisjonens syn, vil det åpenbart gi mest forsvarlig saksutredning dersom Datatilsynets synspunkter blir kjent på et tidlig tidspunkt i lovarbeidet. Hvis argumenter knyttet til ivaretakelse av personvernet kommer tidlig i prosessen, vil det normalt være lettere å ta hensyn til dette enn når synspunktene blir kjent i høringsrunden.

• Personvernkommisjonen anbefaler at alle Datatilsynets høringsuttalelser bli gjort offentlig tilgjengelig på Datatilsynets nettsider. Selv om uttalelsene normalt vil være tilgjengelig på vedkommende departements høringssider, er det et vesentlig at det til enhver tid finnes en samlet oppdatert tilgang til slike uttalelser.

• Personvernkommisjonen mener det er uheldig at personopplysningsloven ikke tydelig slår fast den retten registrerte personer har til å få spørsmål vurdert og overprøvet. Slik klargjøring er viktig for å styrke registrerte personers rettsstilling.

14 Økonomiske og administrative konsekvenser

14.1 Innledning

Det følger av mandatet at økonomiske, administrative og andre vesentlige konsekvenser av utvalgets forslag skal utredes og fremgå av utredningen i samsvar med utredningsinstruksen.

Svært mange av Personvernkommisjonens anbefalinger dreier seg om å etablere rutiner og prosesser for å etterleve personvernregelverket på en mer effektiv måte enn i dag. Flere forslag dreier seg om å tydeliggjøre og forsterke det behandlingsansvaret ledelsen i virksomhetene allerede har. Spesielt gjennom å prioritere og følge opp rutiner og prosesser for å ivareta de registrertes personvern. Disse anbefalingene innebærer ikke ny virksomhet – de handler om å følge eksisterende regelverk. Etterlevelse vil fordre en tydeligere prioritering internt. Hvilke prioriteringer som må gjøres, og hvilke økonomiske og administrative konsekvenser dette eventuelt vil kunne få, har ikke kommisjonen hatt grunnlag for å vurdere.

Noen av kommisjonens tiltak dreier seg om ny virksomhet, og disse tiltakene vil ha økonomiske og administrative konsekvenser. De fleste av disse forslagene må imidlertid utredes nærmere. De økonomiske og administrative konsekvensene av forslagene vil avhenge av utforming og omfang av de tiltakene som blir besluttet gjennomført. Noen av tiltakene innebærer endringer i administrative prosesser uten vesentlig økonomisk merkostnad, andre tiltak forutsettes å kunne iverksettes ved omprioriteringer innenfor gjeldende budsjetter, mens noen større tiltak vil kreve betydelig økte budsjettrammer. Da det ikke har vært mulig innenfor kommisjonens funksjonstid å utrede alle tiltakene, må derfor departementet foreta nødvendige konsekvensvurderinger i forbindelse med en eventuell oppfølging av de ulike tiltakene.

Tiltakene Personvernkommisjonen foreslår vil i hovedsak kreve midler til drift, prosjektgjennomføring eller utredning. Andre tiltak vil kreve at det bevilges midler til kompetanseheving, eller at det gjennomføres administrative grep. Selv om flere av tiltakene vil kreve tilføring av ekstra midler, vil også flere av tiltakene ha en samfunnsmessig og økonomisk gevinst. For eksempel vil mer grundige vurderinger av personvernkonsekvenser og styrking av kompetanse og ressurser ha en kostnadsside, men tiltak for å bedre personvernet vil også ha en samfunnsøkonomisk gevinst, blant annet i form av effektivisering og tillit til løsningene som utvikles, i et lengre perspektiv. Anbefalinger om å profesjonalisere og sentralisere personvernkompetanse vil medføre kostander med å bygge opp eller styrke eksisterende strukturer, men på lengre sikt vil bedre koordinering av personvernarbeidet medføre samfunnsøkonomiske gevinster, blant annet i form av at mer effektive prosesser.

14.2 Den digitale forvaltningen

• Opprettelse av et rådgivende og frittstående organ for forvaltningen som skal vurdere og drøfte prinsipielle og generelle spørsmål knyttet til bruk av personopplysninger i offentlig forvaltning, vil innebære utgifter til etablering og drift. Det vil også medføre administrative konsekvenser i form av etablering av rutiner og retningslinjer for organet.

• Anbefalingen om at tiltaket «Felles sikkerhet i forvaltningen» gis prioritet som et sentralt finansiert tiltak, og at virksomheter med tilgrensende ansvarsområder gis oppdrag i tildelingsbrev om å bidra inn i dette arbeidet, vil medføre omprioriteringer hos disse virksomhetene og potensielt en økning i utgiftene.

• Videreutvikling av standarder for deling av personopplysninger vil medføre kostnader. I et lengre perspektiv vil imidlertid eksistensen av standarder bidra til mer effektiv ressursbruk. Det samme gjelder kommisjonens forslag om at virksomhetene i forvaltningen må få tydeligere anbefalinger (eller «norm») for styringsaktiviteter. Det vil medføre utgifter å få en norm på plass, men en norm vil bidra til å effektivisere prosesser og tilhørende ressursbruk, samt redusere personvernrisiko ved å øke kvaliteten på prosessene.

• Utredning av om en samtykkebasert gjennomføring av «kun-én-gang»-prinsippet vil avhjelpe personvernulemper som oppstår ved deling av personopplysningen mellom offentlige etater. Dette vil kreve prosjektmidler.

• Oppdatering av veilederen om lovteknikk og -lovforberedelse («lovteknikkheftet») vil kreve prosjektmidler.

• Styrking av personvernkompetansen til ledere, saksbehandlere og andre ansatte som har behov for slik kompetanse i offentlig forvaltning, vil kreve at forvaltningen omprioriterer ressurser eller får tilført økte ressurser.

• Forslag om at departementene i større grad rådfører seg med Datatilsynet ved lovarbeider vil kreve tilføring av mer ressurser til Datatilsynet for å kunne prioritere arbeidet. Samtidig vil forslaget bidra til at lovarbeider utredes bedre på et tidlig stadium, som vil effektivisere de videre prosessene.

14.3 Justissektoren

• Forskning på samfunnsmessige konsekvenser av overvåkningstiltak i justissektoren vil kreve tilføring av forskningsmidler gjennom statsbudsjettet.

• Anbefalingen om å nedsette et utvalg for å utrede metodebruken i justissektoren vil innebære kostnader ved å oppnevne og honorere utvalget samt kostnader til sekretariat.

• Styrking og endring av Kommunikasjonskontrollutvalgets mandat vil innebære tilføring av ekstra budsjettmidler i form av opprettelse av ekstra stillinger og kompetansebygging, og administrative konsekvenser i form av endrede rutiner som følge av endring i mandatet. Det vil også innebære kostnader å utrede hvilken konkret kompetanse utvalget behøver, samt hvordan arbeidet med et utvidet mandat bør gjennomføres.

• Styrking av personvernkompetansen i politiet vil kreve ressurser til kompetansebygging og økning eller omprioritering av politiets opplæringsressurser.

• Styrking av undervisningen i personvern ved Politihøgskolen vil medføre at Politihøgskolen må utarbeide nye undervisningsplaner og få tilført ekstra budsjettmidler, eventuelt omdisponere eksisterende midler.

• En utredning av en mulig ny ordning for filtrering av overskuddsinformasjon ved beslag av digitale lagringsmidler, vil kreve utredningsmidler. Dersom en ordning skal etableres, vil det kreve ressurser til etablering og opprettholdelse av ordningen.

• Etablering av en samhandlingsplattform for dokumentutlevering i justissektoren, vil kreve tilføring av budsjettmidler. Plattformen vil imidlertid kunne skape gevinster og besparelser på sikt ved å bidra til mer effektiv samhandling.

• Etableringen av en norm for IKT-sikkerhet vil medføre etableringskostnader, men vil være besparende på sikt ved å forebygge sikkerhetsbrudd.

• Prioritering av IKT-sikkerhet og innebygd personvern ved bestilling og utvikling av løsninger vil øke kostnaden ved enkelte anskaffelser, men vil på sikt føre til besparelser i form av reduksjon av sårbarheter som kan medføre kostbare sikkerhets- og personvernbrudd.

• Anbefalingen om at det bør vurderes om dagens domstolskontroll av politiets tiltak bør utvides til å omfatte flere tiltak enn i dag, vil innebære utredningskostnader.

• Forslag om vurderinger av å implementere bestemmelser fra politidirektivet i politiregisterloven, samt forslaget om å innføre et tillegg i straffeprosessloven § 170a, vil medføre utredningskostnader.

14.4 Skole- og barnehagesektoren

• Utarbeidelse av en personvernnorm for skole- og barnehagesektoren vil medføre kostnader for normarbeid. Det vil imidlertid være kostnadsbesparende over tid ved å bidra til mer effektive og samkjørte rutiner, samt redusere risikoen for kostbare personvernbrudd.

• Etableringen eller videreutviklingen av et nasjonalt test- og kompetansemiljø vil innebære kostnader knyttet til etablering og drift av miljøet, eller bemannings- og kompetansebyggingskostnader dersom det legges til eksisterende strukturer.

• Opplæring av lærere og barnehagelærere i personvern vil medføre utgifter til opplæring, men vil medføre lavere risiko for kostbare personvernbrudd.

• En utredning av digitale verktøy som er i bruk i norsk skole i dag, og hvordan det påvirker personvernet, vil medføre utredningskostnader. En personvernvennlig anskaffelsespolitikk vil medføre økonomiske konsekvenser ved at skole- og barnehagesektoren i mindre grad vil kunne ta i bruk digitale «gratisløsninger» eller rimeligere alternativer hvor personopplysninger samles inn.

• Eventuelle statlige investeringer i utviklingen av personvernvennlige løsninger for skole- og barnehagesektoren vil medføre investeringskostnader.

• Innføringen av krav til personvern og informasjonssikkerhet i den planlagte nasjonale tjenestekatalogen for digitale læringsmidler vil medføre kostnader for kompetansebygging i Utdanningsdirektoratet, samt kostnader knyttet til testing av løsninger både ved etablering og på løpende basis.

• Opplæring i personvern som grunnleggende menneskerettighet vil medføre administrative konsekvenser ved endring i læreplaner.

14.5 Forbrukerområdet

• Å legge ansvaret for håndheving av informasjonskapsler og lignende sporingsteknologi til Datatilsynet vil kreve økte midler til tilsynet.

• Informasjon og kontrollrutiner hos importører, forhandlere og bransjeorganisasjoner for å sikre personvernet i tilkoblede forbrukerprodukter, vil medføre økonomiske og administrative konsekvenser for bransjeaktørene. Bransjestandarder og merkeordninger vil ha en etableringskostnad, men kan medføre lavere kostnader for enkeltaktører.

• En utredning av konsekvensene ved et forbud mot atferdsbasert markedsføring vil medføre utredningskostnader. Et eventuelt forbud mot atferdsbasert markedsføring mot barn vil ha økonomiske konsekvenser for aktører som selger annonser og som ellers benytter seg av slik teknologi.

• Strenge informasjons- og åpenhetskrav rettet mot plattformer vil medføre kostnader for plattformene det gjelder, for å utvikle, implementere og drifte løsningene.

• Krav om at virksomheter som bruker maskinlæringssystemer for å profilere og segmentere forbrukere, må rapportere om tiltak for å motvirke diskriminering, vil medføre økonomiske og administrative konsekvenser for virksomhetene det gjelder.

• Nye krav for Oljefondets investeringer for å ivareta personvernet, vil medføre økonomiske konsekvenser for Oljefondet. Utarbeidelse av nye forventningsdokumenter vil ha administrative konsekvenser.

• Arbeid for å utrede hvordan konkurranseloven kan anvendes for å forhindre negative personvernkonsekvenser ved oppkjøp og fusjoner, vil medføre utredningskostnader.

• Nedsettelsen av et lovutvalg for å gjennomgå og forslå endringer i regelverk for å beskytte barn og unge i digitale flater vil medføre økonomiske og administrative konsekvenser i nedsettelsen, gjennomføringen og oppfølgingen av lovutvalget.

• Kompetansehevende tiltak knyttet til deling av innhold på nett rettet mot barn og foreldre vil medføre kostnader ved at ressurser må bevilges til for eksempel Datatilsynet og Utdanningsdirektoratet.

• Utvikling av en veileder for barn og foreldre for å styrke forståelsen av barns rett til personvern i familiære forhold, vil medføre prosjektkostnader for Barneombudet.

14.6 Andre områder

• Innføring av nye bestemmelser i ny forvaltningslov som inneholder klare plikter for innebygd personvern, vil medføre kostnader knyttet til lovarbeid.

• Etablering av plikter for undervisningsinstitusjoner til å ha innsyns- og informasjonsrutiner for elever og studenter, for eksempel gjennom opplæringslova og universitets- og høgskoleloven, vil ha økonomiske kostnader ved innarbeiding av rutiner og systemer, samt administrative kostnader for institusjonene og knyttet til lovarbeid.

• Stimulering til utvikling av norsk personvernteknologi vil medføre kostnader for myndighetene. Anskaffelseskrav i offentlig sektor vil føre til økte kostnader i anskaffelser, men vil kunne være kostnadsbesparende på sikt ved å redusere risikoen for kostbare personvernbrudd. Økte forskningsmidler for å fremme personvernfremmende teknologi og midler gjennom forskjellige bevilgningsordninger, vil også ha økonomiske kostnader.

• Innføring av et spesielt vern for personer som utsettes for helt automatiserte avgjørelser i tråd med forordningens regler, inkludert dokumentasjon av systemer og ordninger med manuell vurdering og overprøving, vil medføre administrative konsekvenser i form av etablering av nye rutiner, samt økonomiske konsekvenser knyttet til kompetanseheving og utarbeiding av plikter.

• Innføring av tiltakene fra Digitaliseringsdirektoratets utredning om tilgjengeliggjøring av informasjon om behandling av personopplysninger vil medføre økonomiske kostnader knyttet til etablering og vedlikehold av systemet, samt administrative konsekvenser ved å implementere og iverksette systemet.

• En generell styrking av Datatilsynet vil medføre økonomiske kostnader.

• Utvidet ansvar for personvern hos forskjellige sektortilsyn vil ha administrative konsekvenser ved å omorganisere tilsynenes arbeid, samt økonomiske kostnader ved å bygge kompetanse på personvern i sektortilsynene.

• Klargjøring av hjemler for at sektortilsyn kan utøve myndighet på personvern, vil ha administrative konsekvenser ved utforming av hjemler.

• Endringer ved Datatilsynets sandkasse for kunstig intelligens, vil medføre administrative konsekvenser ved utarbeidelse av nye rutiner i Datatilsynet.

• Kompetansebygging på EU- og EØS-rett i forvaltningen vil ha økonomiske konsekvenser i forbindelse med opplæring av ansatte, men vil kunne føre til besparelser på sikt, ved at lovarbeidsprosesser blir mer solide og effektive.

• En vurdering av om det skal gis nasjonale regler som opprettholder, eventuelt innfører nye vilkår for behandling av genetiske, biometriske og helseopplysninger, vil medføre økonomiske og administrative konsekvenser knyttet til utredningsarbeid.

• Tiltaket om at regjeringen bør legge til rette for etablering av ideelle organisasjoner med allmenne formål å arbeide for personvern, vil ha økonomiske og administrative konsekvenser ved at det må utredes hvordan nasjonalt regelverk kan legge til rette for at ideelle organisasjoner blant annet kan opptre på vegne av registrerte personer, og hvilke krav som bør stilles til organisering og drift av slike foreninger.