1. Sammendrag
- 1.1 Kommunal- og moderniseringsdepartementets innledning
- 1.2 Kommunal- og moderniseringsdepartementets merknader til Datatilsynets årsmelding for 2014
- 1.3 Kommunal- og moderniseringsdepartementets merknader til Personvernnemndas årsmelding for 2014
- 1.4 Administrasjon og ressurser
Det vises i meldingen til at personvernet utfordres i stadig økende grad av den teknologiske utviklingen og at det offentliges arbeid med personvern blir stadig viktigere. Det vises i meldingen til at det er nødvendig å sørge for gode rammer og et velfungerende regelverk som ivaretar borgernes personvern, men at vel så viktig er også god veiledning og bidrag til grunnleggende kunnskap i befolkningen.
Det vises i meldingen til at personvern er en ideell verdi og en grunnleggende menneskerettighet. Rettigheten er bredt vernet. I 2014 ble også retten til privatliv slått fast i Grunnloven, ved en ny bestemmelse i Grunnloven § 102. Bestemmelsen skal blant annet bidra til å løfte de internasjonale menneskerettighetsprinsipper om «right to privacy» inn i en norsk kontekst ved en generell forankring i Grunnloven.
Også internasjonalt arbeides det aktivt med nye regler til sikring av personvernet. I EU er arbeidet med en revidering av personverndirektivet, som forventes erstattet av en ny forordning, i sluttfasen. Likeledes pågår et arbeid med modernisering av Europarådets personvernkonvensjon.
Det vises i meldingen til at for at overføring av personopplysninger til databehandlere i tredjeland skal kunne skje så smidig som mulig, samtidig som personvernhensyn ivaretas, har regjeringen vedtatt en forenkling i personopplysningsforskriftens prosedyrekrav for slike overføringer.
Den såkalte «retten til å bli glemt», det vil si rett til å få slettet, sperret eller på annen måte gjort utilgjengelig for allmennheten personopplysninger om seg selv, har lenge vært en viktig verdi på personvernområdet. Ved en avgjørelse i EU-domstolen i 2014 (Google-dommen, sak C-131/12) ble denne retten styrket. Dersom søkemotoren ikke etterlever et krav om fjerning av søketreff, kan borgeren bringe saken inn for domstolene eller nasjonale personvernmyndigheter. Som en følge av dette har Datatilsynet mottatt elleve klager på området i 2014.
Det vises i meldingen til at departementet følger den internasjonale utviklingen rundt «retten til å bli glemt» tett og vil løpende vurdere de signaler og innspill som kommer.
Det vises i meldingen til at man i dag bruker stadig mer tid på digitale medier. Det pekes i meldingen på at ulike overvåkningssaker, urettmessig tilgang til personopplysninger og nettmobbing også dessverre er blitt en del av dette. Det er viktig å beskytte seg mot slike uønskede konsekvenser så langt det er mulig. Barn og unge er særlig utsatt.
Det pekes også i meldingen på at det er viktig at barn og unges personvern sikres tilstrekkelig i barnehage og skole. Det er viktig at opplæringssektoren har gode rutiner for sin behandling av personopplysninger og bruk av digitale medier.
Det vises i meldingen til at regjeringen arbeider kontinuerlig for at digitalisering av offentlig sektor skal skje på en god måte. IKT-politikken skal legge til rette for forenkling og effektivisering i offentlig sektor, samt fremme innovasjon og verdiskaping i næringslivet. En av forutsetningene for digitaliseringen av offentlig sektor er digital kompetanse hos innbyggerne.
Det vises i meldingen til at godt personvern er svært viktig i utviklingen av digitale løsninger. Teknologien kan åpne nye muligheter for bedre ivaretakelse av personvernet, for eksempel gjennom logging av oppslag i registre. Slike løsninger for innebygd personvern bør benyttes i den grad de vurderes å være hensiktsmessige. Datatilsynet arbeider kontinuerlig med å fremme prinsippene for innebygd personvern, i tett dialog med myndighetsutøvere. Departementet deler Datatilsynets vurdering av at dette er et viktig samspill for å sikre fullgode resultater.
En annen utfordring ved digitalisering i staten er tilrettelegging for god informasjonsflyt mellom virksomheter, samtidig som personopplysninger sikres. Det pekes i meldingen på at Datatilsynet her er en viktig bidragsyter i debatten. Et gjennomgående tema er sikring av dataenes kvalitet og god tilgangskontroll. Det er også viktig å påse at borgerne er informert om eventuell gjenbruk og/eller annen deling av informasjon.
Departementet er opptatt av at arbeidet med innebygd personvern videreføres og at personvern blir en naturlig del av utredning og utvikling i all offentlig digitalisering.
Det vises i meldingen til at Datatilsynet i 2014 har arbeidet målrettet for å bedre personvernet i samfunnet.
Tilsynet har i 2014 særlig arbeidet med personvern på følgende områder: helsesektoren, skole- og utdanningssektoren, justissektoren og digitalisering av offentlig sektor.
Datatilsynet har i 2014 fortsatt sin fokusering på barn og unge.
På det internasjonale området har Datatilsynet fortsatt sitt aktive arbeid med Big Data og vært i front i arbeidet med å fremme, og fått vedtatt, en resolusjon om temaet på den internasjonale personvernkonferansen.
Det pekes i meldingen på at en av hovedutfordringene for helsesektoren er at den er gjenstand for store forandringer i et raskt tempo. Videre at det er utfordrende at sektoren er preget av mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar og beslutningsmyndighet. Datatilsynet viser til ny lovgivning som trådte i kraft 1. januar 2015 og som åpner for økt informasjonsutveksling mellom virksomheter.
Datatilsynet gjennomførte i 2014 tilsyn med tre sykehus og hvordan de styrer tilgangen til pasientopplysninger i elektroniske pasientjournaler. Inntrykket var at sektoren er blitt bedre på dette. Tilsynet avdekket likevel alvorlige brudd på bestemmelsene om tilgangsstyring. På denne bakgrunn stiller Datatilsynet seg spørrende til om sektoren er klar for å ivareta de kravene som er nødvendige for å åpne for slike tilganger. Departementet merker seg de utfordringene Datatilsynet peker på og vil arbeide kontinuerlig for å fremme gode personvernløsninger.
Datatilsynet ser at det fortsatt er store personvernutfordringer på området velferdsteknologi. Utfordringene knytter seg blant annet til krav til sikkerhet, dokumentasjon og praktiske utfordringer ved bruk.
Det vises i meldingen til at barnehager og skoler behandler store mengder personopplysninger og med større bruk av digitale læringsplattformer. Datatilsynet påpeker blant annet at det er mange aktører som tilbyr digitale løsninger, og at det er varierende kunnskap om personvern hos de ansatte i skoler og barnehager.
Datatilsynet prioriterte derfor å se nærmere på personvern i barnehager og skoler i 2013 og 2014.
Funnene ble oppsummert i en rapport i 2014 og viste at det er et gjennomgående problem at skolene og barnehagene ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysingsloven med forskrifter. Det var særlig uklarheter omkring hva personopplysninger er, hvem som er ansvarlig for behandlingen og hvilket ansvar som følger med. Overordnede rutiner var enten lite kjent eller dårlig tilpasset virksomhetene. I den grad virksomheten hadde skrevne rutiner om behandlingen av personopplysninger, handlet de gjerne om informasjonssikkerhet. Datatilsynets inntrykk var at mange hadde en oppfatning av at informasjonssikkerhet var det samme som konfidensialitet, slik at tilgjengelighet og integritet ikke ble like mye vektlagt.
Datatilsynet har sett at utfordringene og behovet for veiledning er felles for alle skole- og barnehageeiere, og mener det er svært viktig at det tas et samlet og koordinert tak i hele opplæringssektoren. Det er satt i gang et arbeid med sentrale aktører i sektoren.
Det vises i meldingen til at departementet også er opptatt av at barn og unge sikres et godt personvern og støtter Datatilsynets arbeid for en bevisstgjøring på dette feltet.
Datatilsynets arbeid har også fått oppmerksomhet i internasjonale fora som Norge deltar i.
Det vises i meldingen til at Datatilsynet følger digitaliseringen av offentlig sektor tett. Selv om det har skjedd en stor utvikling, peker tilsynet på at mye arbeid gjenstår og det er viktig å fortsatt følge arbeidet nøye.
Ved deling og gjenbruk av personopplysninger utfordres prinsippet om formålsbestemthet i personvernlovgivningen. Det er viktig med klare ansvarsforhold. Innbyggerne må få god informasjon blant annet om hvilke instanser som behandler og utveksler opplysninger om dem, samt til hvilket formål dette skjer. Datatilsynet fremhever også at det er viktig å skape forståelse, også innenfor offentlig sektor, for nytten av godt personvern og å bidra til regeletterlevelse. Datatilsynet reviderte i 2014 sin «Strategi for personvern i digitalisering av offentlig sektor».
Gjennom kontroller fant tilsynet at det var et gjennomgående trekk at mange offentlige virksomheter ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysningsloven. De kunne ikke fastslå signifikante forskjeller mellom stat og kommune, regionale forskjeller eller forskjeller knyttet til størrelse. Imidlertid mener tilsynet å kunne se at virksomheter som har personvernombud, gjennomgående hadde en bedre ivaretakelse av personvernet og oppfyllelse av pliktene i loven. Det fremgår av meldingen at departementet synes dette er en spennende iakttagelse. Ordningen med personvernombud er foreslått videreført i forslaget til ny personvernforordning i EU.
Det vises i meldingen til at saksmengden i Personvernnemnda har vært stor. Flere av sakene har vært prinsipielle. Personvernnemnda påpeker at den ser at personvernet griper inn i stadig flere samfunnsområder, og at problemstillingene er komplekse og har stor betydning for både privatliv og kommersiell og offentlig virksomhet. Nemnda har i 2014 forlenget sine møter for å håndtere den store saksmengden og har også avholdt ekstra møter. Samfunnets økende fokus på personvern er positivt, men medfører også et økt press på både Datatilsynet og Personvernnemnda. Det pekes i meldingen på at det er viktig at departementet følger utviklingen.
I sin rapport peker Personvernnemnda på flere tendenser. Blant annet ser nemnda at personvernet i økende grad blir internasjonalisert. Videre peker nemnda på at ileggelse av overtredelsesgebyr har fått økt aktualitet. Det er derfor ikke overraskende at det kommer flere klagesaker. Nemnda spår at denne utviklingen antakelig vil fortsette.
Personvernnemnda fremhever også at mange av sakene som har vært prinsipielle angår plassering av behandlingsansvar.
Kameraovervåking er også et tilbakevendende tema. Nemnda viser til en nylig dom fra EU-domstolen hvor domstolen, i relasjon til kameraovervåking, har tolket «rent personlige formål» innskrenkende.
Datatilsynet hadde i 2014 en budsjettramme på 38 264 000 kroner, en økning på 1,4 pst. fra 2013. Med overføringer fra 2013 og tilleggsbevilgninger hadde Datatilsynet 40 526 000 kroner til disposisjon i 2014. Av tilsynets utgifter utgjorde 69 pst. lønnsutgifter og 31 pst. driftsutgifter. Datatilsynet hadde i meldingsåret 41 faste stillinger, samt to praksisplasser og to studentarbeidsplasser. Tilsynet har vært ledet av Bjørn Erik Thon. Ledergruppen besto i meldingsåret av fire menn og én kvinne. I tilsynet sett under ett er det 54 pst. kvinner og 46 pst. menn.
Datatilsynet foretok i september 2014 en omorganisering. Tilsynet gikk over fra en profesjonsbasert organisasjonsmodell til en organisering basert i større grad på tverrfaglig sammensatte grupper.
Datatilsynet gjennomførte 68 tilsyn i meldingsåret, noe færre enn i 2013. Tilsynet begrunner nedgangen med at omorganiseringen tok ressurser på kort sikt, samt at flere hendelser i løpet av året medførte behov for endringer i planlagte tilsyn. I 2014 kontrollerte tilsynet virksomheter innen skole og utdanning, helse og velferd og justissektoren, samt gjennomførte tilsyn med internkontroll og informasjonssikkerhet i offentlig sektor.
Det ble i 2014 registrert 1 468 nye saker inn hos Datatilsynet, en økning på 4,5 pst. fra 2013. Størst økning har det vært i antallet registrerte dokumenter inn til tilsynet, med 23 pst. fra foregående år. Antallet fattede vedtak har også økt, og i meldingsåret fattet Datatilsynet 525 vedtak. Saksbehandlingstiden er likevel relativt rask, og andelen restanser har gått noe ned fra 2013, på tross av det økende antallet dokumenter.
Departementet er tilfreds med at aktivitetsnivået i Datatilsynet er høyt og mener tilsynets prioriteringer og ressursutnyttelse er god. Tilsynet tilpasser seg godt de endringer som skjer i samfunnet. Det er også positivt at tilsynet markerer seg på den internasjonale arenaen, og bidrar til internasjonale løsninger for å sikre et godt personvern.
Personvernnemnda hadde i 2014 en budsjettramme på 1 858 000 kroner, og brukte 1 728 738 kroner. Bevilgningen er brukt på innkjøp av litteratur og tjenester, deltakelse på seminar, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler, samt økonomisk støtte til Personvernkonferansen.
Nemnda har avholdt 13 møter i rapporteringsperioden, i tillegg til forberedende møter. Personvernnemnda mottok 25 klagesaker i 2014. 12 var ferdigbehandlet ved utgangen av året, og én sak ble trukket av klager. I tillegg avgjorde nemnda 14 saker fra 2013. Gjennomsnittlig saksbehandlingstid er 4–5 måneder. Personvernnemnda hadde 12 uferdige saker ved årets slutt.
Det vises i meldingen til at det synes å være et godt samarbeid mellom nemndas leder og sekretariat, og kommunikasjonen med departementet fungerer godt. Departementet registrerer at Personvernnemnda, i likhet med i fjor, har en relativt høy restanse, men ser at nemnda jobber godt for å redusere denne, særlig ved at de har behandlet nesten dobbelt så mange saker som i 2013. Departementet vurderer at Personvernnemnda har brukt de bevilgede midlene på en god måte og ivaretatt sine oppgaver godt i 2014.