Innstilling fra kommunal- og forvaltningskomiteen om Datatilsynets og Personvernnemndas årsmeldinger for 2013
Dette dokument
- Innst. 39 S (2014–2015)
- Kildedok: Meld. St. 23 (2013–2014)
- Dato: 11.11.2014
- Utgiver: kommunal- og forvaltningskomiteen
- Sidetall: 5
Tilhører sak
Alt om
Innhold
- 1. Sammendrag
- 2. Komiteens merknader
- 3. Komiteens tilråding
Til Stortinget
Det vises i meldingen til at 2013 var et år da personvernet i aller høyeste grad ble satt på dagsordenen, både i Norge og ellers i verden, jf. Edward Snowden-saken.
Det vises i meldingen til at overvåkning av nettaktivitet fra både myndigheter og kommersielle aktører er et omdiskutert tema, og at det ofte hevdes at økt grad av overvåkning kan føre til en nedkjølingseffekt («chilling effect»). Nedkjølingseffekten oppstår i situasjoner hvor utøvelse av legitime handlinger innskrenkes eller motvirkes gjennom trusselen om mulige sanksjoner. Datatilsynet gjennomførte i november 2013 en undersøkelse av nedkjøling i Norge. Undersøkelsen viser at forholdsvis mange oppgir å legge bånd på sine aktiviteter på nett fordi de er usikre på hvordan opplysningene kan bli brukt senere, yngre i større grad enn eldre. Det pekes i meldingen på at det ennå er for tidlig å si noe om hvor utviklingen går, men at dersom Datatilsynets undersøkelse viser tidlige tegn på en utvikling hvor innbyggerne begrenser sine ytringer som et resultat av svekket personvern, er dette noe som må tas alvorlig.
Det pekes i meldingen på at man også i forvaltningen kan komme til å se tegn til nedkjøling dersom innbyggerne ikke lenger har tillit til at personopplysningene deres blir behandlet som de forventer. I november 2013 fremla en arbeidsgruppe nedsatt av Juristforbundet en rapport om bekjempelse av organisert økonomisk kriminalitet gjennom etterforsknings- og påtalesamarbeid mellom politiet og statlige kontrolletater. Juristforbundet foreslår at enkelte forvaltningsorganer får myndighet til å etterforske og ta ut påtale for økonomisk kriminalitet innenfor egen sektor. Det vises i meldingen til at forslaget må ses i sammenheng med en økende tendens til at forvaltningsorganer gis egne hjemler til å etterforske lovbrudd, og videre at de gis hjemler til å dele informasjon med påtalemyndigheten som ligger utenfor straffeprosessloven. Dette er en tendens som blant annet Datatilsynet har stilt seg kritisk til. Mangel på involvering fra en objektiv tredjepart kan utfordre innbyggernes rettssikkerhet, og det kan også gi en nedkjølingseffekt ved at innbyggerne vegrer seg for å avgi opplysninger til forvaltningen. Økt informasjonsflyt mellom de aktuelle virksomhetene kan også svekke innbyggernes tillit til at personopplysningene deres blir brukt til de formålene de samles inn for. Det pekes i meldingen på at den høye graden av tillit som norske innbyggere har til forvaltningen, må opprettholdes for at velferdsstaten vår skal fungere. En av forutsetningene for dette er et godt personvern. Det vises i meldingen til at mulige personvernkonsekvenser av de tiltak Juristforbundet foreslår, derfor må drøftes inngående.
Personvern blir et stadig viktigere element i konsekvensutredninger som utføres av ulike aktører. En undersøkelse fra 2012/2013 av to masterstudenter fra Senter for rettsinformatikk ved Universitetet i Oslo konkluderte med at utredningsinstruksens krav til å utrede personvernkonsekvenser ikke blir fulgt i alle saker, og at personvernargumenter fremsatt av høringsinstansene sjelden blir tatt til følge av det ansvarlige departementet. Videre ble ikke personvernkonsekvenser evaluert som ledd i etterkontroll i noen av sakene studentene gjennomgikk.
I Datatilsynets årsmelding kommenteres det utredningsarbeidet som er gjort i forbindelse med tiltak innen helse- og omsorgssektoren. Det fremgår av årsmeldingen at Datatilsynet har hatt regelmessig dialog med både Helse- og omsorgsdepartementet og Helsedirektoratet om disse spørsmålene.
Utredningsinstruksen, og veilederen om utredning av personvernkonsekvenser, gir føringer for hvordan forvaltningen skal vurdere hva som må anses som vesentlige konsekvenser ved et forslag, og hvordan arbeidet med utredning av disse bør gjøres. Departementet arbeider i 2014 med å revidere utredningsinstruksen, og i revisjonen skal det også gjøres en ny vurdering av hvilke krav som bør stilles til konsekvensutredninger.
Det vises i meldingen til at et annet prosjekt som er viktig for regjeringen i 2014, er det store arbeidet med digitalisering av tjenester fra forvaltningen. En del av Norges digitale agenda er å etablere rammevilkår som stimulerer til nye og innovative digitale tjenester og digitale forretningsmodeller. Målet er at offentlige data og offentlig finansiert innhold i størst mulig grad skal være praktisk tilgjengelig for viderebruk og verdiskaping. Personvernhensyn kan være et hensyn som setter grenser for hvilke data som kan deles og utnyttes til nye formål. Ikke alle datasett egner seg like godt til viderebruk, særlig ikke om de inneholder personopplysninger eller på annen måte er egnet til å krenke enkeltpersoners personvern. Det må også tas hensyn til eventuelle personvernmessige konsekvenser av sammenstilling av flere datasett.
Det vises i meldingen til at Datatilsynet i 2013 har vært en aktiv bidragsyter i samfunnsdebatten om personvern. Tilsynet har utarbeidet en rapport om Big Data, gjort seg bemerket i flere viktige høringer, og holdt foredrag om personvernrelevante tema i forskjellige fora. Datatilsynet har særlig satt søkelys på innebygd personvern, og hvordan man kan jobbe for å bygge best mulig personvern inn i løsninger fra starten av. Dette er noe også regjeringen er svært opptatt av, og det pekes i meldingen på at det er positivt at prinsippet om innebygd personvern får oppmerksomhet.
Datatilsynet har i 2013 prioritert å arbeide med personvern innenfor følgende områder: helse og velferd, justissektoren, offentlig sektor, skole, barn og unge samt arbeidsliv.
Både barnehager, grunnskoler og videregående skoler behandler store mengder opplysninger om barn og unge. Opplysningene behandles i stadig større grad digitalt. Utviklingen går i retning av digitale læringsplattformer, innloggingssystemer og saksbehandlingssystemer, og det pekes i meldingen på at det er viktig at personvernhensyn blir ivaretatt fra et tidlig stadium i utviklingen av disse. I 2012 fikk personopplysningsloven § 11 et nytt ledd, som sier at personopplysninger som gjelder barn ikke skal behandles på en måte som er uforsvarlig av hensyn til barnets beste.
Det vises i meldingen til at departementet også er opptatt av personvernutfordringer i skolen, og ser behov for et kunnskapsløft om personvern i sektoren. Stadig flere skoler tar i bruk IKT til nye formål. Det er alltid en viss fare for at standardiserte systemer legger til rette for en behandling av personopplysninger som brukeren ikke trenger. En annen utfordring kan være at det er relativt stor avstand mellom den behandlingsansvarlige (rådmann eller fylkesrådmann) og de som faktisk behandler personopplysninger, nemlig skolene. Det er viktig at krav til kunnskap om personvern formidles i alle ledd, fra departementene og fylkesmannen, til administrasjonen i kommuner og fylkeskommuner, skoleadministrasjon og lærere, og selvsagt også til elevene selv.
Flere aktører, deriblant Datatilsynet, driver utstrakt informasjonsvirksomhet om personvern for skoler, barn og unge. Du Bestemmer består av to undervisningsopplegg for barn i aldersgruppene 9–13 år og 13–17 år, og har hatt jevne tall både for nettsidebesøk og bestillinger av materiell de siste årene. Det pekes i meldingen på at det er positivt at alle skoler har et tilbud om undervisningsmateriell om personvern. Kommunal- og moderniseringsdepartementet ser behovet for og vurderer ulike tiltak for å løfte personvernet i utdanningssektoren, både på lærernivå og i administrasjonene. Det er viktig at de som behandler elevopplysninger er kjent med hvilke plikter de har, og hvilke rettigheter elevene har når det gjelder personvern. Det er også viktig at skolene og kommunene har høy bestillerkompetanse, slik at de IKT-systemene som anskaffes til bruk i skolene, er tilstrekkelig personvernvennlige.
Datatilsynet har gjennomført tilsyn hos flere skoleeiere i 2013, og funnet at skolene gjennomgående ikke har tilfredsstillende rutiner for internkontroll og informasjonssikkerhet. Departementet vil se nærmere på hvilke mulige tiltak som kan igangsettes for å bedre situasjonen. Det ble i Meld. St. 11 (2012–2013) Personvern – utsikter og utfordringar varslet en veileder om internkontroll etter personopplysningsloven. Departementet arbeider med en slik veileder, som også vil ta for seg pliktene til informasjonssikkerhet etter loven.
Det fremgår i meldingen at et annet fokusområde i 2013 har vært personvern i arbeidslivet. Datatilsynet melder at rundt én av fire henvendelser fra innbyggere og virksomheter dreier seg om personvern i arbeidslivet. Dette gir en god indikasjon på at personvernutfordringer i arbeidslivet bør gis høy prioritet fremover. Det har vært flere profilerte saker på arbeidslivsområdet i 2013, og Datatilsynet har i noen tilfeller også ilagt overtredelsesgebyr til virksomheter som har behandlet opplysninger om ansatte i strid med personopplysningsloven.
Arbeids- og sosialdepartementet leder en arbeidsgruppe (KMD er representert) som ser på overvåkning og kontroll i arbeidslivet. Regjeringen er opptatt av problemstillinger knyttet til personvern i arbeidslivet, og vil vurdere mulige tiltak når arbeidsgruppens endelige rapport foreligger.
Under behandlingen av Datatilsynets årsmelding for 2012 diskuterte Stortinget Datatilsynets praksis ved ileggelse av overtredelsesgebyr. Det ble stilt spørsmål ved om det ikke er behov for i større grad å ilegge overtredelsesgebyr i saker der sammenstilling og gjenbruk av data skjer i strid med lovverket. Spørsmålet kan sees i lys av Høyesteretts uttalelser i dommen om Avfallsservice fra 31. januar 2013 (se omtale i meldingen).
Departementet understreker at Datatilsynet har en uavhengig myndighet til å ilegge overtredelsesgebyr. Dette følger av personopplysningsloven § 46. Tilsynet har ikke benyttet seg av denne muligheten særlig ofte, blant annet fordi sanksjoner i form av gebyr er ment å være forbeholdt særlig grove brudd på bestemmelsene i personopplysningsloven. Tall viser at overtredelsesgebyrene har økt betraktelig i størrelse bare de siste to årene. I 2011 ble det ilagt overtredelsesgebyrer for til sammen 270 000 kroner, mens for 2013 var den samlede summen 1 975 000 kroner. Det pekes i meldingen på at det ikke er utenkelig at overtredelsesgebyrer fremover ilegges i større grad enn tidligere, som en naturlig følge av at behandlingsansvarlige har større muligheter for misbruk av personopplysninger enn de tidligere har hatt.
Det vises i meldingen til at den teknologiske utviklingen har et enormt forsprang på den rettspolitiske utviklingen, og også på det generelle kunnskapsnivået i befolkningen.
Datatilsynet antar at bruken av såkalt kroppsnær teknologi, eller wearable computing, vil øke kraftig i årene fremover. Google Glass, smarte klokker og GPS-sendere er eksempler. Felles for de kroppsnære teknologiene er at de kan kommunisere med andre enheter. De kan lagre og dele opplysninger som forteller mye om bærerens (eller andre i nærheten) bevegelsesmønster, helsetilstand eller vaner. For det første kan dette få konsekvenser for bærerens personvern. For det andre kan det få konsekvenser for personvernet til de ofte uvitende tredjepersoner som befinner seg i nærheten av bæreren. Det at informasjon kan kommuniseres fra kroppsnær teknologi til andre enheter, gjør at det potensielt er svært mange som kan få tilgang til opplysningene, som for eksempel private næringsdrivende og politi- og etterretningstjenester.
Det pekes i meldingen på at Datatilsynet har høy teknologisk og juridisk kompetanse på personvern. Det er positivt og nødvendig at Datatilsynet holder seg oppdatert på utviklingen av ny teknologi, og at de har den nødvendige kompetansen til å se hvilke konsekvenser teknologien kan føre med seg. Datatilsynet evner å arbeide i grenselandet mellom juss og teknologi. Dette er en viktig forutsetning for at problemstillinger knyttet til personvern oppdages før det er for sent å gjøre noe aktivt for å forebygge negative konsekvenser.
Det vises i meldingen til at Personvernnemnda i 2013 har behandlet 14 saker av de i alt 28 som ble mottatt i nemnda i løpet av året.
Et tema Personvernnemnda trekker frem som særlig aktuelt, er overføring av personopplysninger til utlandet. I det nye, internasjonale landskapet, hvor store internasjonale aktører tilbyr forskjellige typer databehandlertjenester, kan det være vanskelig for de behandlingsansvarlige å se rekkevidden av sitt ansvar for opplysninger som lagres i en nettsky tilbudt av for eksempel Google eller Microsoft. Den behandlingsansvarlige skal alltid vurdere mulige konsekvenser for personvernet ved overføring av personopplysninger til utlandet, og bestemme seg for hva som er akseptabelt risikonivå for egen virksomhet, før de inngår databehandleravtaler med tredjeparter. Dersom personopplysninger havner på avveie, eller på andre måter behandles i strid med personopplysningslovens regler, er det den behandlingsansvarlige som er ansvarlig overfor de registrerte, ikke databehandleren.
I enkelte saker har det oppstått usikkerhet rundt hvilke plikter den behandlingsansvarlige har dersom personopplysninger kommer på avveie. Det gis i meldingen en omtale av de såkalte GE-sakene. Nemnda kom under dissens til at man kan foreta en utvidende tolkning av personopplysningslovens regler, slik at det påligger en informasjonsplikt for den behandlingsansvarlige, også der denne ikke er klar over den urettmessige overføringen. Dette innebærer at behandlingsansvarlige må gjennomføre gode risikovurderinger og forvisse seg om at databehandlers behandling av personopplysninger er i samsvar med akseptabelt risikonivå.
Det vises i meldingen til at Personvernnemnda i 2013 har hatt en uvanlig stor saksmengde, og de har også hatt flere komplekse saker til vurdering i løpet av året. Med den raske utviklingen som skjer på personvernområdet, får Personvernnemnda en særlig viktig rolle. Nemnda er bredt sammensatt med kunnskapsrike medlemmer fra forskjellige fagmiljøer, noe som åpner for grundige diskusjoner av sakene som kommer inn. Avgjørelsene fra Personvernnemnda fungerer som en rettesnor for Datatilsynets videre arbeid, både når avgjørelsene innebærer omgjøring av tilsynets vedtak, og når de ikke gjør det.
Datatilsynet hadde i 2013 en budsjettramme på 37 753 000 kroner, noe som innebærer en økning på 2 738 000 kroner fra 2012. I tillegg ble 1 292 000 kroner overført fra 2012, midler som var oppspart og øremerket påbegynte IKT-investeringer. Av tilsynets utgifter i 2013 utgjorde 71 prosent lønnsutgifter, fordelt på 41 faste stillinger. Det vises i meldingen til at selv om tilsynets ledergruppe består av fire menn og en kvinne (direktør er Bjørn Erik Thon), var det i rapporteringsåret jevn kjønnsfordeling i Datatilsynet sett under ett.
Det er i 2013 gjennomført 76 tilsyn, en økning på 21 tilsyn fra 2012. I alt 30 klagesaker ble oversendt til Personvernnemnda i rapporteringsperioden, noe som kan tyde på at tilsynet har hatt flere tunge og prinsipielle saker enn tidligere år. Datatilsynet har også bidratt med 81 høringsuttalelser på forskjellige felt. Aktivitetsnivået i Datatilsynet har altså vært forholdsvis høyt i 2013.
Datatilsynet har i rapporteringsperioden brukt mye ressurser på planlegging og implementering av ny IKT-infrastruktur, samt oppgradering av arkiv- og saksbehandlersystem. Kompetanseutvikling har også vært et satsingsområde i 2013. Også deltakelse i internasjonale fora er prioritert i 2013.
Departementet er tilfreds med Datatilsynets prioriteringer og ressursutnyttelse med hensyn til de oppgavene de skal ivareta. Det er positivt at Datatilsynet tar på seg oppgaver i internasjonale fora.
Personvernnemnda hadde i 2013 en budsjettramme på 1 833 000 kroner, og har i meldingsåret brukt 1 676 98 kroner. Bevilgningene er brukt på innkjøp av litteratur og tjenester, deltakelse på seminar, arbeids- og reisegodtgjørelse til nemndas medlemmer, leie av lokaler og lønn til sekretariatet. I tillegg bidro Personvernnemnda i 2013, som tidligere år, med økonomisk støtte til Personvernkonferansen.
Nemnda har i rapporteringsperioden avholdt tolv møter, i tillegg til forberedende møter mellom sekretariatet og leder. Av de 28 sakene som ble mottatt i nemnda i 2013, var 14 ferdigbehandlet ved utgangen av året, og 14 fortsatt ubehandlet. Saksmengden har i rapporteringsperioden vært stor, og det har kommet inn flere omfangsrike og kompliserte saker som det har tatt tid å behandle.
Det fremgår av meldingen at det synes å være godt samarbeid mellom nemndas leder og sekretariatet, og kommunikasjonen med departementet fungerer også godt. Departementet vurderer at Personvernnemnda i 2013 har ivaretatt sine oppgaver og brukt de bevilgede midler på en god måte.
Komiteen, medlemmene fra Arbeiderpartiet, Jan Bøhler, Stine Renate Håheim, Stein Erik Lauvås, Helga Pedersen og Eirik Sivertsen, fra Høyre, Frank J. Jenssen, Mudassar Kapur, Bjørn Lødemel og Ingjerd Schou, fra Fremskrittspartiet, Mazyar Keshvari og lederen Helge André Njåstad, fra Kristelig Folkeparti, Geir S. Toskedal, fra Senterpartiet, Heidi Greni, fra Venstre, André N. Skjelstad, og fra Sosialistisk Venstreparti, Karin Andersen, mener Datatilsynets og Personvernnemndas årsmeldinger gir en god oversikt over virksomheten i 2013 og de sentrale problemstillinger som preger arbeidet, også ut over meldingsperioden.
Komiteen mener det er positivt at bevisstheten om og oppmerksomheten på personvernsutfordringene har blitt større i 2013. Komiteen viser til Datatilsynets undersøkelse i november 2013 som viser at en stor andel, særlig av unge, legger bånd på sine aktiviteter på nett, siden de ikke vet hvordan opplysningene deres forvaltes. Komiteen deler Datatilsynets og regjeringens bekymring for at dette kan være en trend der innbyggerne begrenser sine ytringer som et resultat av svekket personvern.
Komiteens flertall, alle unntatt medlemmet fra Venstre, viser til at Stortinget i forbindelse med kampen mot organisert og økonomisk kriminalitet, overgrep og vold i nære relasjoner, forebygging av voldelig ekstremisme, m.m. har lagt vekt på at rutinene for samarbeid og informasjonsdeling mellom offentlige etater og virksomheter må forbedres. Det vil ofte oppstå dilemmaer mellom hvor langt taushetsplikten skal gå opp mot informasjonsplikten i og mellom etatene. Det har vært mange eksempler på dette blant annet når det gjelder manglende deling av informasjon om mulig vold og overgrep mot barn mellom skole, barnehager, helsesøstre, barnevern, BUP, PPT og politiet. Det er viktig at lovfestet informasjons- og meldeplikt ivaretas, og at all informasjon som deles, uansett område, må registreres og behandles i henhold til lover og regler om personvern. Dersom opplysningene skal brukes i etterforskning og påtale i straffesaker, er det uansett bare politi og påtalemyndighet som har kompetanse til dette.
Et annet flertall, alle unntatt medlemmene fra Arbeiderpartiet, mener det er avgjørende at forvaltningen har tillit i befolkningen, og at denne tilliten ikke begrenses. Dette flertallet presiserer at økt etterforskningsmyndighet ikke gis til andre etater enn politiet uten stortingsbehandling.
Komiteen viser til at stadig flere offentlige virksomheter lagrer dokumenter i skytjenester. Dette kan innebære en risiko for hvordan personvernet ivaretas. Komiteen mener det vil være naturlig å gjennomføre tilsyn hos offentlige virksomheter som lagrer i skytjenester.
Komiteen mener det er positivt at Datatilsynet fra og med 2013 har prioritert skole, barn og unge som satsingsområde. Komiteen ser at det er behov for økt kompetanse og bevissthet i skolesektoren om barns personvern.
Komiteens flertall, alle unntatt medlemmene fra Arbeiderpartiet, viser til at Datatilsynet peker på at skolene i økende grad lagrer personopplysninger og deler personopplysninger med tredjepart. Samtidig peker tilsynet på at det er uoversiktlig informasjonsflyt, uklare ansvarsforhold og at leverandøren er den som setter standarden for personvernet.
Komiteen forventer at kommunene og fylkeskommunene, i samarbeid med departementet utvikler økt bestillerkompetanse, slik at IKT-verktøy som brukes i skolene ivaretar de krav til personvern som barnet skal ha.
Komiteen er svært bekymret over at Datatilsynet ser at utredning av personvernkonsekvenser i lovprosesser ofte er mangelfulle eller helt fraværende. Komiteen forventer at regjeringen vil følge opp utredningsinstruksen og sørger for at personvernet blir ivaretatt fra begynnelsen av i lovprosesser.
Komiteen har for øvrig ingen merknader, viser til meldingen og rår Stortinget til å gjøre slikt
vedtak:
Meld. St. 23 (2013–2014) – om Datatilsynets og Personvernnemndas årsmeldinger for 2013 – vedlegges protokollen.
Oslo, i kommunal- og forvaltningskomiteen, den 11. november 2014
Helge André Njåstad | André N. Skjelstad |
leder | ordfører |