Innstilling fra kommunal- og forvaltningskomiteen om Datatilsynets og Personvernnemndas årsmeldinger for 2014
Dette dokument
- Innst. 28 S (2015–2016)
- Kildedok: Meld. St. 34 (2014–2015)
- Dato: 20.10.2015
- Utgiver: kommunal- og forvaltningskomiteen
- Sidetall: 5
Tilhører sak
Alt om
Innhold
- 1. Sammendrag
- 2. Komiteens merknader
- 3. Komiteens tilråding
Til Stortinget
Det vises i meldingen til at personvernet utfordres i stadig økende grad av den teknologiske utviklingen og at det offentliges arbeid med personvern blir stadig viktigere. Det vises i meldingen til at det er nødvendig å sørge for gode rammer og et velfungerende regelverk som ivaretar borgernes personvern, men at vel så viktig er også god veiledning og bidrag til grunnleggende kunnskap i befolkningen.
Det vises i meldingen til at personvern er en ideell verdi og en grunnleggende menneskerettighet. Rettigheten er bredt vernet. I 2014 ble også retten til privatliv slått fast i Grunnloven, ved en ny bestemmelse i Grunnloven § 102. Bestemmelsen skal blant annet bidra til å løfte de internasjonale menneskerettighetsprinsipper om «right to privacy» inn i en norsk kontekst ved en generell forankring i Grunnloven.
Også internasjonalt arbeides det aktivt med nye regler til sikring av personvernet. I EU er arbeidet med en revidering av personverndirektivet, som forventes erstattet av en ny forordning, i sluttfasen. Likeledes pågår et arbeid med modernisering av Europarådets personvernkonvensjon.
Det vises i meldingen til at for at overføring av personopplysninger til databehandlere i tredjeland skal kunne skje så smidig som mulig, samtidig som personvernhensyn ivaretas, har regjeringen vedtatt en forenkling i personopplysningsforskriftens prosedyrekrav for slike overføringer.
Den såkalte «retten til å bli glemt», det vil si rett til å få slettet, sperret eller på annen måte gjort utilgjengelig for allmennheten personopplysninger om seg selv, har lenge vært en viktig verdi på personvernområdet. Ved en avgjørelse i EU-domstolen i 2014 (Google-dommen, sak C-131/12) ble denne retten styrket. Dersom søkemotoren ikke etterlever et krav om fjerning av søketreff, kan borgeren bringe saken inn for domstolene eller nasjonale personvernmyndigheter. Som en følge av dette har Datatilsynet mottatt elleve klager på området i 2014.
Det vises i meldingen til at departementet følger den internasjonale utviklingen rundt «retten til å bli glemt» tett og vil løpende vurdere de signaler og innspill som kommer.
Det vises i meldingen til at man i dag bruker stadig mer tid på digitale medier. Det pekes i meldingen på at ulike overvåkningssaker, urettmessig tilgang til personopplysninger og nettmobbing også dessverre er blitt en del av dette. Det er viktig å beskytte seg mot slike uønskede konsekvenser så langt det er mulig. Barn og unge er særlig utsatt.
Det pekes også i meldingen på at det er viktig at barn og unges personvern sikres tilstrekkelig i barnehage og skole. Det er viktig at opplæringssektoren har gode rutiner for sin behandling av personopplysninger og bruk av digitale medier.
Det vises i meldingen til at regjeringen arbeider kontinuerlig for at digitalisering av offentlig sektor skal skje på en god måte. IKT-politikken skal legge til rette for forenkling og effektivisering i offentlig sektor, samt fremme innovasjon og verdiskaping i næringslivet. En av forutsetningene for digitaliseringen av offentlig sektor er digital kompetanse hos innbyggerne.
Det vises i meldingen til at godt personvern er svært viktig i utviklingen av digitale løsninger. Teknologien kan åpne nye muligheter for bedre ivaretakelse av personvernet, for eksempel gjennom logging av oppslag i registre. Slike løsninger for innebygd personvern bør benyttes i den grad de vurderes å være hensiktsmessige. Datatilsynet arbeider kontinuerlig med å fremme prinsippene for innebygd personvern, i tett dialog med myndighetsutøvere. Departementet deler Datatilsynets vurdering av at dette er et viktig samspill for å sikre fullgode resultater.
En annen utfordring ved digitalisering i staten er tilrettelegging for god informasjonsflyt mellom virksomheter, samtidig som personopplysninger sikres. Det pekes i meldingen på at Datatilsynet her er en viktig bidragsyter i debatten. Et gjennomgående tema er sikring av dataenes kvalitet og god tilgangskontroll. Det er også viktig å påse at borgerne er informert om eventuell gjenbruk og/eller annen deling av informasjon.
Departementet er opptatt av at arbeidet med innebygd personvern videreføres og at personvern blir en naturlig del av utredning og utvikling i all offentlig digitalisering.
Det vises i meldingen til at Datatilsynet i 2014 har arbeidet målrettet for å bedre personvernet i samfunnet.
Tilsynet har i 2014 særlig arbeidet med personvern på følgende områder: helsesektoren, skole- og utdanningssektoren, justissektoren og digitalisering av offentlig sektor.
Datatilsynet har i 2014 fortsatt sin fokusering på barn og unge.
På det internasjonale området har Datatilsynet fortsatt sitt aktive arbeid med Big Data og vært i front i arbeidet med å fremme, og fått vedtatt, en resolusjon om temaet på den internasjonale personvernkonferansen.
Det pekes i meldingen på at en av hovedutfordringene for helsesektoren er at den er gjenstand for store forandringer i et raskt tempo. Videre at det er utfordrende at sektoren er preget av mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar og beslutningsmyndighet. Datatilsynet viser til ny lovgivning som trådte i kraft 1. januar 2015 og som åpner for økt informasjonsutveksling mellom virksomheter.
Datatilsynet gjennomførte i 2014 tilsyn med tre sykehus og hvordan de styrer tilgangen til pasientopplysninger i elektroniske pasientjournaler. Inntrykket var at sektoren er blitt bedre på dette. Tilsynet avdekket likevel alvorlige brudd på bestemmelsene om tilgangsstyring. På denne bakgrunn stiller Datatilsynet seg spørrende til om sektoren er klar for å ivareta de kravene som er nødvendige for å åpne for slike tilganger. Departementet merker seg de utfordringene Datatilsynet peker på og vil arbeide kontinuerlig for å fremme gode personvernløsninger.
Datatilsynet ser at det fortsatt er store personvernutfordringer på området velferdsteknologi. Utfordringene knytter seg blant annet til krav til sikkerhet, dokumentasjon og praktiske utfordringer ved bruk.
Det vises i meldingen til at barnehager og skoler behandler store mengder personopplysninger og med større bruk av digitale læringsplattformer. Datatilsynet påpeker blant annet at det er mange aktører som tilbyr digitale løsninger, og at det er varierende kunnskap om personvern hos de ansatte i skoler og barnehager.
Datatilsynet prioriterte derfor å se nærmere på personvern i barnehager og skoler i 2013 og 2014.
Funnene ble oppsummert i en rapport i 2014 og viste at det er et gjennomgående problem at skolene og barnehagene ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysingsloven med forskrifter. Det var særlig uklarheter omkring hva personopplysninger er, hvem som er ansvarlig for behandlingen og hvilket ansvar som følger med. Overordnede rutiner var enten lite kjent eller dårlig tilpasset virksomhetene. I den grad virksomheten hadde skrevne rutiner om behandlingen av personopplysninger, handlet de gjerne om informasjonssikkerhet. Datatilsynets inntrykk var at mange hadde en oppfatning av at informasjonssikkerhet var det samme som konfidensialitet, slik at tilgjengelighet og integritet ikke ble like mye vektlagt.
Datatilsynet har sett at utfordringene og behovet for veiledning er felles for alle skole- og barnehageeiere, og mener det er svært viktig at det tas et samlet og koordinert tak i hele opplæringssektoren. Det er satt i gang et arbeid med sentrale aktører i sektoren.
Det vises i meldingen til at departementet også er opptatt av at barn og unge sikres et godt personvern og støtter Datatilsynets arbeid for en bevisstgjøring på dette feltet.
Datatilsynets arbeid har også fått oppmerksomhet i internasjonale fora som Norge deltar i.
Det vises i meldingen til at Datatilsynet følger digitaliseringen av offentlig sektor tett. Selv om det har skjedd en stor utvikling, peker tilsynet på at mye arbeid gjenstår og det er viktig å fortsatt følge arbeidet nøye.
Ved deling og gjenbruk av personopplysninger utfordres prinsippet om formålsbestemthet i personvernlovgivningen. Det er viktig med klare ansvarsforhold. Innbyggerne må få god informasjon blant annet om hvilke instanser som behandler og utveksler opplysninger om dem, samt til hvilket formål dette skjer. Datatilsynet fremhever også at det er viktig å skape forståelse, også innenfor offentlig sektor, for nytten av godt personvern og å bidra til regeletterlevelse. Datatilsynet reviderte i 2014 sin «Strategi for personvern i digitalisering av offentlig sektor».
Gjennom kontroller fant tilsynet at det var et gjennomgående trekk at mange offentlige virksomheter ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysningsloven. De kunne ikke fastslå signifikante forskjeller mellom stat og kommune, regionale forskjeller eller forskjeller knyttet til størrelse. Imidlertid mener tilsynet å kunne se at virksomheter som har personvernombud, gjennomgående hadde en bedre ivaretakelse av personvernet og oppfyllelse av pliktene i loven. Det fremgår av meldingen at departementet synes dette er en spennende iakttagelse. Ordningen med personvernombud er foreslått videreført i forslaget til ny personvernforordning i EU.
Det vises i meldingen til at saksmengden i Personvernnemnda har vært stor. Flere av sakene har vært prinsipielle. Personvernnemnda påpeker at den ser at personvernet griper inn i stadig flere samfunnsområder, og at problemstillingene er komplekse og har stor betydning for både privatliv og kommersiell og offentlig virksomhet. Nemnda har i 2014 forlenget sine møter for å håndtere den store saksmengden og har også avholdt ekstra møter. Samfunnets økende fokus på personvern er positivt, men medfører også et økt press på både Datatilsynet og Personvernnemnda. Det pekes i meldingen på at det er viktig at departementet følger utviklingen.
I sin rapport peker Personvernnemnda på flere tendenser. Blant annet ser nemnda at personvernet i økende grad blir internasjonalisert. Videre peker nemnda på at ileggelse av overtredelsesgebyr har fått økt aktualitet. Det er derfor ikke overraskende at det kommer flere klagesaker. Nemnda spår at denne utviklingen antakelig vil fortsette.
Personvernnemnda fremhever også at mange av sakene som har vært prinsipielle angår plassering av behandlingsansvar.
Kameraovervåking er også et tilbakevendende tema. Nemnda viser til en nylig dom fra EU-domstolen hvor domstolen, i relasjon til kameraovervåking, har tolket «rent personlige formål» innskrenkende.
Datatilsynet hadde i 2014 en budsjettramme på 38 264 000 kroner, en økning på 1,4 pst. fra 2013. Med overføringer fra 2013 og tilleggsbevilgninger hadde Datatilsynet 40 526 000 kroner til disposisjon i 2014. Av tilsynets utgifter utgjorde 69 pst. lønnsutgifter og 31 pst. driftsutgifter. Datatilsynet hadde i meldingsåret 41 faste stillinger, samt to praksisplasser og to studentarbeidsplasser. Tilsynet har vært ledet av Bjørn Erik Thon. Ledergruppen besto i meldingsåret av fire menn og én kvinne. I tilsynet sett under ett er det 54 pst. kvinner og 46 pst. menn.
Datatilsynet foretok i september 2014 en omorganisering. Tilsynet gikk over fra en profesjonsbasert organisasjonsmodell til en organisering basert i større grad på tverrfaglig sammensatte grupper.
Datatilsynet gjennomførte 68 tilsyn i meldingsåret, noe færre enn i 2013. Tilsynet begrunner nedgangen med at omorganiseringen tok ressurser på kort sikt, samt at flere hendelser i løpet av året medførte behov for endringer i planlagte tilsyn. I 2014 kontrollerte tilsynet virksomheter innen skole og utdanning, helse og velferd og justissektoren, samt gjennomførte tilsyn med internkontroll og informasjonssikkerhet i offentlig sektor.
Det ble i 2014 registrert 1 468 nye saker inn hos Datatilsynet, en økning på 4,5 pst. fra 2013. Størst økning har det vært i antallet registrerte dokumenter inn til tilsynet, med 23 pst. fra foregående år. Antallet fattede vedtak har også økt, og i meldingsåret fattet Datatilsynet 525 vedtak. Saksbehandlingstiden er likevel relativt rask, og andelen restanser har gått noe ned fra 2013, på tross av det økende antallet dokumenter.
Departementet er tilfreds med at aktivitetsnivået i Datatilsynet er høyt og mener tilsynets prioriteringer og ressursutnyttelse er god. Tilsynet tilpasser seg godt de endringer som skjer i samfunnet. Det er også positivt at tilsynet markerer seg på den internasjonale arenaen, og bidrar til internasjonale løsninger for å sikre et godt personvern.
Personvernnemnda hadde i 2014 en budsjettramme på 1 858 000 kroner, og brukte 1 728 738 kroner. Bevilgningen er brukt på innkjøp av litteratur og tjenester, deltakelse på seminar, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler, samt økonomisk støtte til Personvernkonferansen.
Nemnda har avholdt 13 møter i rapporteringsperioden, i tillegg til forberedende møter. Personvernnemnda mottok 25 klagesaker i 2014. 12 var ferdigbehandlet ved utgangen av året, og én sak ble trukket av klager. I tillegg avgjorde nemnda 14 saker fra 2013. Gjennomsnittlig saksbehandlingstid er 4–5 måneder. Personvernnemnda hadde 12 uferdige saker ved årets slutt.
Det vises i meldingen til at det synes å være et godt samarbeid mellom nemndas leder og sekretariat, og kommunikasjonen med departementet fungerer godt. Departementet registrerer at Personvernnemnda, i likhet med i fjor, har en relativt høy restanse, men ser at nemnda jobber godt for å redusere denne, særlig ved at de har behandlet nesten dobbelt så mange saker som i 2013. Departementet vurderer at Personvernnemnda har brukt de bevilgede midlene på en god måte og ivaretatt sine oppgaver godt i 2014.
Komiteen, medlemmene fra Arbeiderpartiet, Jan Bøhler, Stine Renate Håheim, Stein Erik Lauvås, Helga Pedersen og Eirin Sund, fra Høyre, Mudassar Kapur, Bjørn Lødemel, Ingjerd Schou og Torhild Aarbergsbotten, fra Fremskrittspartiet, Mazyar Keshvari og lederen Helge André Njåstad, fra Kristelig Folkeparti, Geir Sigurd Toskedal, fra Senterpartiet, Heidi Greni, fra Venstre, André N. Skjelstad, og fra Sosialistisk Venstreparti, Karin Andersen, understreker at personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Dette er retten til privatlivets fred.
Komiteen viser til at alle mennesker har en ukrenkelig egenverdi. Enkeltmennesket har rett på en privat sfære som man selv kontrollerer, hvor den enkelte kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker.
Komiteen minner om prinsippet som er forankret i Den europeiske menneskerettighetskonvensjonen artikkel 8, hvor det heter:
«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.»
Komiteen minner om at Stortinget den 13. mai 2014 vedtok å styrke vernet om den personlige integritet, ved å ta bestemmelsen om personvern inn i Grunnloven.
Hva Datatilsynet angår, viser komiteen til at det skal medvirke til at den enkelte ikke skal bli krenket gjennom bruk av opplysninger som kan knyttes til han eller henne.
Datatilsynet ble etablert 1. januar 1980, og er et uavhengig forvaltningsorgan administrativt underlagt Kommunal- og moderniseringsdepartementet. Etaten er både tilsyn og ombud i personvernsaker.
Komiteen mener Datatilsynets og Personvernnemdas årsmeldinger gir en god oversikt over virksomheten i 2014 og de prioriteringene og de problemstillinger som har preget arbeidet.
Komiteen viser til at Datatilsynet i tillegg til de lovpålagte oppgavene som konsesjoner, kontroll og tilsyn også driver en utstrakt informasjons- og veiledningsvirksomhet.
Komiteen viser til at Datatilsynet i tillegg har valgt å arbeide mer inngående med noen temaer som stiller samfunnet overfor noen særskilte utfordringer og som går ut over meldingsperioden. Her nevner meldingen personvernutfordringer i helsesektoren, skole- og utdanningssektoren, justissektoren og digitalisering av offentlig sektor.
Komiteen mener det er positivt at det arbeides langsiktig med disse områdene.
Komiteen vil særlig peke på det viktige arbeidet som gjøres for å øke kunnskapen om personvern i barnehager og skoler. Dette handler ikke bare om å sikre gode rutiner for hvordan personopplysninger skal behandles, men også om å øke kunnskapen om nettvett og personvern blant barn og unge som tilbringer mye tid i sosiale medier.
Komiteen viser til at EU nå er i sluttfasen med å vedta en ny forordning om personvern. Dette er et viktig arbeid som også vil påvirke Norge. Det vil i tiden som kommer være viktig at norske personvernmyndigheter prioriterer både iverksetting, bygging av nødvendig kompetanse og utadrettet informasjon høyt.
Komiteen viser til at datalagringsdirektivet som ble vedtatt i EU i 2006 og vedtatt implementert i norsk rett av Stortingets flertall i 2010, er kjent ugyldig av EU-domstolen i 2014. I henhold til utredningen for Samferdselsdepartementet og Justisdepartementet av professor Hans Petter Graver ved UiO og advokat Henning Harborg fra Advokatfirmaet Thommesen av 1. oktober 2015 lar norsk datalagringsregelverk, som ikke har trådt i kraft, seg mest sannsynlig ikke forene med Den europeiske menneskerettskonvensjonen.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre og Fremskrittspartiet, viser til at det er prosesser på gang fra Den europeiske menneskerettighetsdomstolen (EMD) og EU-domstolen som ventelig vil avklare rettstilstanden når det gjelder datalagring og personvern. Flertallet mener det er naturlig å vurdere det norske regelverket når en slik avklaring har funnet sted.
Komiteens medlemmer fra Kristelig Folkeparti, Senterpartiet, Venstre og Sosialistisk Venstreparti mener det styrker personvernet at datalagringsdirektivet, og den norske tilpassingen til det, ikke lenger er aktuelt å gjennomføre i Norge.
For komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Senterpartiet og Sosialistisk Venstreparti, er det viktig å bekjempe alvorlig kriminalitet på en effektiv måte, innenfor rammene av Den europeiske menneskerettighetskonvensjonen og med respekt for personvernet.
Komiteen viser til at den teknologiske utviklingen medfører stadig nye utfordringer for personvernet, og mener derfor at det offentliges ansvar for å ivareta borgernes personvern blir stadig viktigere. Datatilsynet og Personvernnemnda er helt sentrale i dette arbeidet, og komiteen mener årsmeldingene som er lagt frem viser at det er lagt ned en betydelig innsats på en rekke områder. Komiteen vil fremheve Datatilsynets ombudsrolle, herunder tilsynets evne og vilje til å bidra med kunnskap på personvernområdet og delta i viktige debatter, som etterretningens adgang til å drive mer generell overvåkning på Internett og det internasjonale engasjementet knyttet til Big Data.
Komiteens medlemmer fra Kristelig Folkeparti, Senterpartiet, Venstre og Sosialistisk Venstreparti mener det er grunn til bekymring over at styringen av tilgang til pasientopplysninger i elektroniske pasientjournaler ikke er tilfredsstillende. Det vises til at Datatilsynet i forbindelse med tilsyn av tre sykehus avdekket alvorlige brudd på bestemmelser om tilgangsstyring. Disse medlemmer mener det er bekymringsfullt når Datatilsynet stiller seg spørrende til om helsesektoren er klar for å ivareta kravene som er nødvendig for å åpne for tilgangene som ble gitt i ny pasientjournallov.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Kristelig Folkeparti, Senterpartiet, Venstre og Sosialistisk Venstreparti, er opptatt av barn og unge, som ofte er storforbrukere av digitale medier og derfor er særlig utsatt for overvåkning og urettmessig deling av personopplysninger og annen sensitiv informasjon. Flertallet vil derfor fremheve viktigheten av Datatilsynets arbeid overfor barn og unge, og ser med bekymring på at barnehage og skoler ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysningsloven. Alle registreringer om et barn gjennom et helt utdanningsløp utgjør til sammen et sett med opplysninger som gir et omfattende og detaljert bilde av barnets utvikling, samt faglige og sosiale atferd. Registreringene skjer uten barnets samtykke, og opplysningene kan enkelt spres og misbrukes til andre formål enn de var tiltenkt. Flertallet mener at både skole- og barnehageeiere, ansatte, barn og foreldre må ha en sterk bevissthet rundt personvern, og at Datatilsynets veiledningsarbeid på området er svært viktig.
Komiteen har for øvrig ingen merknader, viser til meldingen og rår Stortinget til å gjøre slikt
vedtak:
Meld. St. 34 (2014–2015) – om Datatilsynets og Personvernnemndas årsmeldinger for 2014 – vedlegges protokollen.
Oslo, i kommunal- og forvaltningskomiteen, den 20. oktober 2015
Helge André Njåstad | Ingjerd Schou |
leder | ordfører |