Det vises i meldingen til at personvernet utfordres
i stadig økende grad av den teknologiske utviklingen og at det offentliges
arbeid med personvern blir stadig viktigere. Det vises i meldingen
til at det er nødvendig å sørge for gode rammer og et velfungerende
regelverk som ivaretar borgernes personvern, men at vel så viktig
er også god veiledning og bidrag til grunnleggende kunnskap i befolkningen.
Det vises i meldingen til at personvern er en ideell
verdi og en grunnleggende menneskerettighet. Rettigheten er bredt
vernet. I 2014 ble også retten til privatliv slått fast i Grunnloven,
ved en ny bestemmelse i Grunnloven § 102. Bestemmelsen skal blant
annet bidra til å løfte de internasjonale menneskerettighetsprinsipper
om «right to privacy» inn i en norsk kontekst ved en generell forankring
i Grunnloven.
Også internasjonalt arbeides det aktivt med
nye regler til sikring av personvernet. I EU er arbeidet med en
revidering av personverndirektivet, som forventes erstattet av en
ny forordning, i sluttfasen. Likeledes pågår et arbeid med modernisering
av Europarådets personvernkonvensjon.
Det vises i meldingen til at for at overføring
av personopplysninger til databehandlere i tredjeland skal kunne
skje så smidig som mulig, samtidig som personvernhensyn ivaretas,
har regjeringen vedtatt en forenkling i personopplysningsforskriftens
prosedyrekrav for slike overføringer.
Den såkalte «retten til å bli glemt», det vil
si rett til å få slettet, sperret eller på annen måte gjort utilgjengelig
for allmennheten personopplysninger om seg selv, har lenge vært
en viktig verdi på personvernområdet. Ved en avgjørelse i EU-domstolen
i 2014 (Google-dommen, sak C-131/12) ble denne retten styrket. Dersom
søkemotoren ikke etterlever et krav om fjerning av søketreff, kan
borgeren bringe saken inn for domstolene eller nasjonale personvernmyndigheter.
Som en følge av dette har Datatilsynet mottatt elleve klager på
området i 2014.
Det vises i meldingen til at departementet følger den
internasjonale utviklingen rundt «retten til å bli glemt» tett og
vil løpende vurdere de signaler og innspill som kommer.
Det vises i meldingen til at man i dag bruker
stadig mer tid på digitale medier. Det pekes i meldingen på at ulike
overvåkningssaker, urettmessig tilgang til personopplysninger og
nettmobbing også dessverre er blitt en del av dette. Det er viktig
å beskytte seg mot slike uønskede konsekvenser så langt det er mulig.
Barn og unge er særlig utsatt.
Det pekes også i meldingen på at det er viktig
at barn og unges personvern sikres tilstrekkelig i barnehage og
skole. Det er viktig at opplæringssektoren har gode rutiner for
sin behandling av personopplysninger og bruk av digitale medier.
Det vises i meldingen til at regjeringen arbeider kontinuerlig
for at digitalisering av offentlig sektor skal skje på en god måte.
IKT-politikken skal legge til rette for forenkling og effektivisering
i offentlig sektor, samt fremme innovasjon og verdiskaping i næringslivet.
En av forutsetningene for digitaliseringen av offentlig sektor er
digital kompetanse hos innbyggerne.
Det vises i meldingen til at godt personvern
er svært viktig i utviklingen av digitale løsninger. Teknologien
kan åpne nye muligheter for bedre ivaretakelse av personvernet,
for eksempel gjennom logging av oppslag i registre. Slike løsninger
for innebygd personvern bør benyttes i den grad de vurderes å være
hensiktsmessige. Datatilsynet arbeider kontinuerlig med å fremme prinsippene
for innebygd personvern, i tett dialog med myndighetsutøvere. Departementet
deler Datatilsynets vurdering av at dette er et viktig samspill
for å sikre fullgode resultater.
En annen utfordring ved digitalisering i staten
er tilrettelegging for god informasjonsflyt mellom virksomheter,
samtidig som personopplysninger sikres. Det pekes i meldingen på
at Datatilsynet her er en viktig bidragsyter i debatten. Et gjennomgående
tema er sikring av dataenes kvalitet og god tilgangskontroll. Det
er også viktig å påse at borgerne er informert om eventuell gjenbruk og/eller
annen deling av informasjon.
Departementet er opptatt av at arbeidet med
innebygd personvern videreføres og at personvern blir en naturlig
del av utredning og utvikling i all offentlig digitalisering.
Det vises i meldingen til at Datatilsynet i
2014 har arbeidet målrettet for å bedre personvernet i samfunnet.
Tilsynet har i 2014 særlig arbeidet med personvern
på følgende områder: helsesektoren, skole- og utdanningssektoren,
justissektoren og digitalisering av offentlig sektor.
Datatilsynet har i 2014 fortsatt sin fokusering
på barn og unge.
På det internasjonale området har Datatilsynet fortsatt
sitt aktive arbeid med Big Data og vært i front i arbeidet med å
fremme, og fått vedtatt, en resolusjon om temaet på den internasjonale
personvernkonferansen.
Det pekes i meldingen på at en av hovedutfordringene
for helsesektoren er at den er gjenstand for store forandringer
i et raskt tempo. Videre at det er utfordrende at sektoren er preget av
mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar
og beslutningsmyndighet. Datatilsynet viser til ny lovgivning som
trådte i kraft 1. januar 2015 og som åpner for økt informasjonsutveksling
mellom virksomheter.
Datatilsynet gjennomførte i 2014 tilsyn med
tre sykehus og hvordan de styrer tilgangen til pasientopplysninger
i elektroniske pasientjournaler. Inntrykket var at sektoren er blitt
bedre på dette. Tilsynet avdekket likevel alvorlige brudd på bestemmelsene
om tilgangsstyring. På denne bakgrunn stiller Datatilsynet seg spørrende
til om sektoren er klar for å ivareta de kravene som er nødvendige
for å åpne for slike tilganger. Departementet merker seg de utfordringene
Datatilsynet peker på og vil arbeide kontinuerlig for å fremme gode
personvernløsninger.
Datatilsynet ser at det fortsatt er store personvernutfordringer
på området velferdsteknologi. Utfordringene knytter seg blant annet
til krav til sikkerhet, dokumentasjon og praktiske utfordringer
ved bruk.
Det vises i meldingen til at barnehager og skoler behandler
store mengder personopplysninger og med større bruk av digitale
læringsplattformer. Datatilsynet påpeker blant annet at det er mange aktører
som tilbyr digitale løsninger, og at det er varierende kunnskap
om personvern hos de ansatte i skoler og barnehager.
Datatilsynet prioriterte derfor å se nærmere
på personvern i barnehager og skoler i 2013 og 2014.
Funnene ble oppsummert i en rapport i 2014 og viste
at det er et gjennomgående problem at skolene og barnehagene ikke
har tilfredsstillende rutiner for å oppfylle pliktene i personopplysingsloven
med forskrifter. Det var særlig uklarheter omkring hva personopplysninger
er, hvem som er ansvarlig for behandlingen og hvilket ansvar som
følger med. Overordnede rutiner var enten lite kjent eller dårlig
tilpasset virksomhetene. I den grad virksomheten hadde skrevne rutiner
om behandlingen av personopplysninger, handlet de gjerne om informasjonssikkerhet.
Datatilsynets inntrykk var at mange hadde en oppfatning av at informasjonssikkerhet
var det samme som konfidensialitet, slik at tilgjengelighet og integritet ikke
ble like mye vektlagt.
Datatilsynet har sett at utfordringene og behovet for
veiledning er felles for alle skole- og barnehageeiere, og mener
det er svært viktig at det tas et samlet og koordinert tak i hele
opplæringssektoren. Det er satt i gang et arbeid med sentrale aktører
i sektoren.
Det vises i meldingen til at departementet også
er opptatt av at barn og unge sikres et godt personvern og støtter
Datatilsynets arbeid for en bevisstgjøring på dette feltet.
Datatilsynets arbeid har også fått oppmerksomhet
i internasjonale fora som Norge deltar i.
Det vises i meldingen til at Datatilsynet følger digitaliseringen
av offentlig sektor tett. Selv om det har skjedd en stor utvikling,
peker tilsynet på at mye arbeid gjenstår og det er viktig å fortsatt følge
arbeidet nøye.
Ved deling og gjenbruk av personopplysninger utfordres
prinsippet om formålsbestemthet i personvernlovgivningen. Det er
viktig med klare ansvarsforhold. Innbyggerne må få god informasjon
blant annet om hvilke instanser som behandler og utveksler opplysninger
om dem, samt til hvilket formål dette skjer. Datatilsynet fremhever
også at det er viktig å skape forståelse, også innenfor offentlig
sektor, for nytten av godt personvern og å bidra til regeletterlevelse.
Datatilsynet reviderte i 2014 sin «Strategi for personvern i digitalisering
av offentlig sektor».
Gjennom kontroller fant tilsynet at det var
et gjennomgående trekk at mange offentlige virksomheter ikke har
tilfredsstillende rutiner for å oppfylle pliktene i personopplysningsloven.
De kunne ikke fastslå signifikante forskjeller mellom stat og kommune,
regionale forskjeller eller forskjeller knyttet til størrelse. Imidlertid
mener tilsynet å kunne se at virksomheter som har personvernombud,
gjennomgående hadde en bedre ivaretakelse av personvernet og oppfyllelse
av pliktene i loven. Det fremgår av meldingen at departementet synes
dette er en spennende iakttagelse. Ordningen med personvernombud
er foreslått videreført i forslaget til ny personvernforordning
i EU.
Det vises i meldingen til at saksmengden i Personvernnemnda
har vært stor. Flere av sakene har vært prinsipielle. Personvernnemnda
påpeker at den ser at personvernet griper inn i stadig flere samfunnsområder,
og at problemstillingene er komplekse og har stor betydning for
både privatliv og kommersiell og offentlig virksomhet. Nemnda har
i 2014 forlenget sine møter for å håndtere den store saksmengden og
har også avholdt ekstra møter. Samfunnets økende fokus på personvern
er positivt, men medfører også et økt press på både Datatilsynet og
Personvernnemnda. Det pekes i meldingen på at det er viktig at departementet
følger utviklingen.
I sin rapport peker Personvernnemnda på flere tendenser.
Blant annet ser nemnda at personvernet i økende grad blir internasjonalisert.
Videre peker nemnda på at ileggelse av overtredelsesgebyr har fått
økt aktualitet. Det er derfor ikke overraskende at det kommer flere
klagesaker. Nemnda spår at denne utviklingen antakelig vil fortsette.
Personvernnemnda fremhever også at mange av sakene
som har vært prinsipielle angår plassering av behandlingsansvar.
Kameraovervåking er også et tilbakevendende tema.
Nemnda viser til en nylig dom fra EU-domstolen hvor domstolen, i
relasjon til kameraovervåking, har tolket «rent personlige formål» innskrenkende.
Datatilsynet hadde i 2014 en budsjettramme på 38 264 000
kroner, en økning på 1,4 pst. fra 2013. Med overføringer fra 2013
og tilleggsbevilgninger hadde Datatilsynet 40 526 000 kroner til
disposisjon i 2014. Av tilsynets utgifter utgjorde 69 pst. lønnsutgifter
og 31 pst. driftsutgifter. Datatilsynet hadde i meldingsåret 41
faste stillinger, samt to praksisplasser og to studentarbeidsplasser.
Tilsynet har vært ledet av Bjørn Erik Thon. Ledergruppen besto i
meldingsåret av fire menn og én kvinne. I tilsynet sett under ett
er det 54 pst. kvinner og 46 pst. menn.
Datatilsynet foretok i september 2014 en omorganisering.
Tilsynet gikk over fra en profesjonsbasert organisasjonsmodell til
en organisering basert i større grad på tverrfaglig sammensatte grupper.
Datatilsynet gjennomførte 68 tilsyn i meldingsåret,
noe færre enn i 2013. Tilsynet begrunner nedgangen med at omorganiseringen
tok ressurser på kort sikt, samt at flere hendelser i løpet av året
medførte behov for endringer i planlagte tilsyn. I 2014 kontrollerte
tilsynet virksomheter innen skole og utdanning, helse og velferd
og justissektoren, samt gjennomførte tilsyn med internkontroll og
informasjonssikkerhet i offentlig sektor.
Det ble i 2014 registrert 1 468 nye saker inn
hos Datatilsynet, en økning på 4,5 pst. fra 2013. Størst økning
har det vært i antallet registrerte dokumenter inn til tilsynet,
med 23 pst. fra foregående år. Antallet fattede vedtak har også økt,
og i meldingsåret fattet Datatilsynet 525 vedtak. Saksbehandlingstiden
er likevel relativt rask, og andelen restanser har gått noe ned
fra 2013, på tross av det økende antallet dokumenter.
Departementet er tilfreds med at aktivitetsnivået i
Datatilsynet er høyt og mener tilsynets prioriteringer og ressursutnyttelse
er god. Tilsynet tilpasser seg godt de endringer som skjer i samfunnet.
Det er også positivt at tilsynet markerer seg på den internasjonale
arenaen, og bidrar til internasjonale løsninger for å sikre et godt personvern.
Personvernnemnda hadde i 2014 en budsjettramme
på 1 858 000 kroner, og brukte 1 728 738 kroner. Bevilgningen er
brukt på innkjøp av litteratur og tjenester, deltakelse på seminar,
arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer,
lønn til sekretariat og leie av lokaler, samt økonomisk støtte til
Personvernkonferansen.
Nemnda har avholdt 13 møter i rapporteringsperioden,
i tillegg til forberedende møter. Personvernnemnda mottok 25 klagesaker
i 2014. 12 var ferdigbehandlet ved utgangen av året, og én sak ble
trukket av klager. I tillegg avgjorde nemnda 14 saker fra 2013.
Gjennomsnittlig saksbehandlingstid er 4–5 måneder. Personvernnemnda hadde
12 uferdige saker ved årets slutt.
Det vises i meldingen til at det synes å være
et godt samarbeid mellom nemndas leder og sekretariat, og kommunikasjonen
med departementet fungerer godt. Departementet registrerer at Personvernnemnda,
i likhet med i fjor, har en relativt høy restanse, men ser at nemnda
jobber godt for å redusere denne, særlig ved at de har behandlet
nesten dobbelt så mange saker som i 2013. Departementet vurderer
at Personvernnemnda har brukt de bevilgede midlene på en god måte og
ivaretatt sine oppgaver godt i 2014.
Komiteen, medlemmene fra Arbeiderpartiet,
Jan Bøhler, Stine Renate Håheim, Stein Erik Lauvås, Helga Pedersen
og Eirin Sund, fra Høyre, Mudassar Kapur, Bjørn Lødemel, Ingjerd
Schou og Torhild Aarbergsbotten, fra Fremskrittspartiet, Mazyar Keshvari
og lederen Helge André Njåstad, fra Kristelig Folkeparti, Geir Sigurd
Toskedal, fra Senterpartiet, Heidi Greni, fra Venstre, André N.
Skjelstad, og fra Sosialistisk Venstreparti, Karin Andersen,
understreker at personvern handler om retten til et privatliv og
retten til å bestemme over egne personopplysninger. Dette er retten
til privatlivets fred.
Komiteen viser til at alle mennesker
har en ukrenkelig egenverdi. Enkeltmennesket har rett på en privat
sfære som man selv kontrollerer, hvor den enkelte kan handle fritt
uten tvang eller innblanding fra staten eller andre mennesker.
Komiteen minner om prinsippet
som er forankret i Den europeiske menneskerettighetskonvensjonen
artikkel 8, hvor det heter:
«Enhver har rett til respekt for sitt privatliv og familieliv,
sitt hjem og sin korrespondanse.»
Komiteen minner om at Stortinget
den 13. mai 2014 vedtok å styrke vernet om den personlige integritet,
ved å ta bestemmelsen om personvern inn i Grunnloven.
Hva Datatilsynet angår, viser komiteen til
at det skal medvirke til at den enkelte ikke skal bli krenket gjennom
bruk av opplysninger som kan knyttes til han eller henne.
Datatilsynet ble etablert 1. januar 1980, og
er et uavhengig forvaltningsorgan administrativt underlagt Kommunal-
og moderniseringsdepartementet. Etaten er både tilsyn og ombud i personvernsaker.
Komiteen mener Datatilsynets
og Personvernnemdas årsmeldinger gir en god oversikt over virksomheten
i 2014 og de prioriteringene og de problemstillinger som har preget
arbeidet.
Komiteen viser til at Datatilsynet
i tillegg til de lovpålagte oppgavene som konsesjoner, kontroll og
tilsyn også driver en utstrakt informasjons- og veiledningsvirksomhet.
Komiteen viser til at Datatilsynet
i tillegg har valgt å arbeide mer inngående med noen temaer som
stiller samfunnet overfor noen særskilte utfordringer og som går
ut over meldingsperioden. Her nevner meldingen personvernutfordringer
i helsesektoren, skole- og utdanningssektoren, justissektoren og
digitalisering av offentlig sektor.
Komiteen mener det er positivt
at det arbeides langsiktig med disse områdene.
Komiteen vil særlig peke på det
viktige arbeidet som gjøres for å øke kunnskapen om personvern i
barnehager og skoler. Dette handler ikke bare om å sikre gode rutiner
for hvordan personopplysninger skal behandles, men også om å øke
kunnskapen om nettvett og personvern blant barn og unge som tilbringer
mye tid i sosiale medier.
Komiteen viser til at EU nå er
i sluttfasen med å vedta en ny forordning om personvern. Dette er et
viktig arbeid som også vil påvirke Norge. Det vil i tiden som kommer
være viktig at norske personvernmyndigheter prioriterer både iverksetting,
bygging av nødvendig kompetanse og utadrettet informasjon høyt.
Komiteen viser til at datalagringsdirektivet som
ble vedtatt i EU i 2006 og vedtatt implementert i norsk rett av
Stortingets flertall i 2010, er kjent ugyldig av EU-domstolen i
2014. I henhold til utredningen for Samferdselsdepartementet og Justisdepartementet
av professor Hans Petter Graver ved UiO og advokat Henning Harborg fra
Advokatfirmaet Thommesen av 1. oktober 2015 lar norsk datalagringsregelverk,
som ikke har trådt i kraft, seg mest sannsynlig ikke forene med
Den europeiske menneskerettskonvensjonen.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre og Fremskrittspartiet, viser
til at det er prosesser på gang fra Den europeiske menneskerettighetsdomstolen (EMD)
og EU-domstolen som ventelig vil avklare rettstilstanden når det
gjelder datalagring og personvern. Flertallet mener
det er naturlig å vurdere det norske regelverket når en slik avklaring
har funnet sted.
Komiteens medlemmer fra Kristelig Folkeparti,
Senterpartiet, Venstre og Sosialistisk Venstreparti mener
det styrker personvernet at datalagringsdirektivet, og den norske
tilpassingen til det, ikke lenger er aktuelt å gjennomføre i Norge.
For komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Senterpartiet og
Sosialistisk Venstreparti, er det viktig å bekjempe alvorlig
kriminalitet på en effektiv måte, innenfor rammene av Den europeiske
menneskerettighetskonvensjonen og med respekt for personvernet.
Komiteen viser til
at den teknologiske utviklingen medfører stadig nye utfordringer
for personvernet, og mener derfor at det offentliges ansvar for
å ivareta borgernes personvern blir stadig viktigere. Datatilsynet
og Personvernnemnda er helt sentrale i dette arbeidet, og komiteen mener
årsmeldingene som er lagt frem viser at det er lagt ned en betydelig
innsats på en rekke områder. Komiteen vil fremheve
Datatilsynets ombudsrolle, herunder tilsynets evne og vilje til
å bidra med kunnskap på personvernområdet og delta i viktige debatter,
som etterretningens adgang til å drive mer generell overvåkning
på Internett og det internasjonale engasjementet knyttet til Big
Data.
Komiteens medlemmer fra Kristelig Folkeparti,
Senterpartiet, Venstre og Sosialistisk Venstreparti mener
det er grunn til bekymring over at styringen av tilgang til pasientopplysninger
i elektroniske pasientjournaler ikke er tilfredsstillende. Det vises
til at Datatilsynet i forbindelse med tilsyn av tre sykehus avdekket
alvorlige brudd på bestemmelser om tilgangsstyring. Disse
medlemmer mener det er bekymringsfullt når Datatilsynet
stiller seg spørrende til om helsesektoren er klar for å ivareta
kravene som er nødvendig for å åpne for tilgangene som ble gitt
i ny pasientjournallov.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Kristelig Folkeparti, Senterpartiet, Venstre
og Sosialistisk Venstreparti, er opptatt av barn og unge,
som ofte er storforbrukere av digitale medier og derfor er særlig
utsatt for overvåkning og urettmessig deling av personopplysninger
og annen sensitiv informasjon. Flertallet vil derfor fremheve
viktigheten av Datatilsynets arbeid overfor barn og unge, og ser
med bekymring på at barnehage og skoler ikke har tilfredsstillende rutiner
for å oppfylle pliktene i personopplysningsloven. Alle registreringer
om et barn gjennom et helt utdanningsløp utgjør til sammen et sett
med opplysninger som gir et omfattende og detaljert bilde av barnets
utvikling, samt faglige og sosiale atferd. Registreringene skjer
uten barnets samtykke, og opplysningene kan enkelt spres og misbrukes
til andre formål enn de var tiltenkt. Flertallet mener
at både skole- og barnehageeiere, ansatte, barn og foreldre må ha en
sterk bevissthet rundt personvern, og at Datatilsynets veiledningsarbeid
på området er svært viktig.
Komiteen har for øvrig
ingen merknader, viser til meldingen og rår Stortinget til å gjøre
slikt
vedtak:
Meld. St. 34 (2014–2015) – om Datatilsynets
og Personvernnemndas årsmeldinger for 2014 – vedlegges protokollen.
Oslo, i kommunal- og forvaltningskomiteen, den 20. oktober
2015
Helge André Njåstad | Ingjerd Schou |
leder | ordfører |