Innstilling fra kommunal- og forvaltningskomiteen om Datatilsynets og Personvernnemndas årsmeldinger for 2017

Dette dokument

Til Stortinget

Sammendrag

Kommunal- og moderniseringsdepartementets innledning

I meldingen pekes det på at meldingene fra Datatilsynet og Personvernnemnda viser at personvern er blitt et tema som berører oss alle, og som stadig flere blir oppmerksomme på.

De siste årene har det vært betydelig oppmerksomhet om nye personvernregler som har vært under utarbeidelse både i EU og i Norge. Meldingsåret har naturlig nok vært sterkt preget av arbeidet med det nye personvernregelverket.

Det vises i meldingen til at samfunnet blir stadig mer avhengig av informasjon, herunder personopplysninger. Det er viktig at det gjøres gode konsekvensutredninger når det vurderes å sette i gang behandlinger av personopplysninger.

Presset mot personvernet

Det vises i meldingen til at vi lever i et samfunn i stadig og rask utvikling. Nye muligheter, men også nye utfordringer og trusler, dukker jevnlig opp. Stadig flere tjenester digitaliseres. Dette er effektivt og i mange sammenhenger praktisk for brukeren. Ikke sjelden er også digitale tjenester sikrere enn manuelle tjenester.

Svært mange av våre daglige gjøremål etterlater elektroniske spor. I meldingen vises det til eksempler som smarte, digitale strømmålere og abonnement på digitale aviser.

Det har vært antydet at dataanalyse, særlig basert på brukernes Facebook-profiler, ble brukt til å påvirke både Brexit-avstemningen i Storbritannia og valget i USA i 2016. Bruken av personopplysninger kan på denne måten få store konsekvenser både for den enkelte og for samfunnet.

Det vises i meldingen til at på den annen side åpner avansert dataanalyse for utvikling av tjenester som ikke var mulig for få år siden. Maskinlæring og kunstig intelligens er basert på analyse av enorme mengder personopplysninger.

Personopplysninger er blitt verdifulle. Selv om behandling av personopplysninger oppleves som nærgående, og til tider ubehagelig, er betalingsvilligheten for å få bedre beskyttelse av egne opplysninger relativt liten. Det er svært viktig at de som behandler personopplysninger, er åpne og gir brukerne informasjon om hvilke opplysninger de samler inn, og hva de brukes til, slik at alle i størst mulig grad kan ta egne, opplyste personvernvalg.

Nytt personvernregelverk – styrking av den enkeltes rettigheter

Det vises i meldingen til at et personvernregelverk som setter gode og trygge rammer for innsamling og behandling av personopplysninger både i privat og offentlig regi, er en av flere viktige forutsetninger for et velfungerende demokrati. Norge har hatt et generelt personvernregelverk i mange år.

Personvernforordningen, som trådte i kraft i EUs medlemsstater 25. mai 2018, ble gjennomført i norsk rett ved Stortingets vedtakelse av en ny personopplysningslov 28. mai 2018. Et bærende hensyn i EUs arbeid med nytt personvernregelverk har vært regelverksharmonisering i hele EØS-området.

Det vises i meldingen til at for regjeringen er det viktig at det nye personvernregelverket både vil videreføre og styrke borgernes personvernrettigheter. Det vil også bli mer åpenhet rundt bruk av personopplysninger. Departementet mener det er grunnleggende at den enkelte i størst mulig grad skal råde over egne personopplysninger. Åpenhet og informasjon er helt nødvendig for at de registrerte skal kunne benytte de rettighetene personvernregelverket gir.

Prinsippet om dataminimalitet styrkes i det nye regelverket. Det har stått sterkt i norsk rett også etter personopplysningsloven 2000. Personopplysninger skal være adekvate, relevante og nødvendige for innsamlingsformålet.

Det nye personvernregelverket innfører også nye rettigheter, som blant annet retten til dataportabilitet.

Offentlige og private virksomheter får et større ansvar for å ivareta de registrertes personvern når de samler inn og lagrer opplysninger.

Det nye regelverket skal gjøre det enklere for brukerne å velge de mest personvernvennlige alternativene og de mest personvernvennlige tjenestene. Innebygd personvern og personvern som standardinnstilling i applikasjoner og tjenester blir lovpålagt både i offentlig og privat sektor. For statlige virksomheter er bruk av innebygd personvern allerede lagt inn som et krav gjennom det årlige digitaliseringsrundskrivet fra Kommunal- og moderniseringsdepartementet.

Ordningen med personvernombud, som etter personopplysningsloven 2000 var en frivillig ordning, lovfestes i det nye personvernregelverket. Departementet har tiltro til at etablering av personvernombud i en rekke virksomheter vil gi bedre ivaretakelse av de registrertes rettigheter.

Det pekes i meldingen på at rettighetene og pliktene i personvernforordningen og den nye personopplysningsloven samlet sett vil utgjøre et viktig vern i den enkeltes møte med en digital hverdag i konstant utvikling.

Personvern og forbrukerpolitikk

Det vises i meldingen til at digitale tjenester gir nye muligheter, men skaper også nye utfordringer for forbrukerne. I den digitale økonomien bygger forretningsmodellen ofte på kommersiell utnyttelse av personopplysninger. Før en tjeneste tas i bruk, må forbrukeren gjerne samtykke til en lang rekke vilkår. Mange synes det er vanskelig å forstå disse vilkårene.

Datatilsynet skriver i sin årsmelding at de i meldingsåret har hatt et tett samarbeid med forbrukermyndighetene. Departementet ønsker å understreke viktigheten av et godt samarbeid mellom Datatilsynet og forbrukermyndighetene. Ivaretakelse av forbrukeres personvern krever koordinert innsats både nasjonalt og internasjonalt.

Personvernforordningen og den nye personopplysningsloven vil være et viktig virkemiddel for å fremme samarbeid. For forbrukerne antar departementet at særlig forordningens klargjøring av kravet til gyldig samtykke er viktig.

Forbrukernes rettigheter og personvernet i den digitale økonomien vil vies særlig oppmerksomhet i stortingsmeldingen om forbrukerpolitikk som skal legges frem i 2019.

Personvern for barn og unge

Det går frem av meldingen at barnehager og skoler innhenter, lagrer og behandler stadig større mengder opplysninger om barna. Det er viktig at denne informasjonen behandles på en god og sikker måte. Departementet er opptatt av at barns personvern vektlegges i barnehager og på skoler.

Barn og unge skal være trygge på at informasjon ikke deles uten at barnet og/eller de foresatte har samtykket. Videre har barnet, med økende alder, krav på privatliv også overfor egne foresatte.

Tingenes internett («Internet of things») har gjort sitt inntog også hos barna. Dette innebærer at også produsenter av leketøy må sette personvern på agendaen. Flere funn Forbrukerrådet har gjort de siste par årene, har imidlertid vist at det er alvorlige brister her. Departementet ser at det fokuset som disse sakene har satt på personvernet, har virket positivt inn på bransjen. Det er likevel fortsatt en jobb å gjøre.

De nye personvernreglene inneholder også særbestemmelser som skal beskytte barn.

Regjeringen har i sin politiske plattform fastsatt at den vil sette ned en personvernkommisjon for å vurdere personvernets stilling i Norge. Stortinget har i anmodningsvedtak nr. 588 (2017–2018) anmodet om at mandatet til den varslede personvernkommisjonen inkluderer et særlig oppdrag om å vurdere status for personvernet til barn, og om å komme med tiltak for å styrke dette.

Merknader fra Kommunal- og moderniseringsdepartementet til Datatilsynets årsmelding

Det vises i meldingen til at Datatilsynet i 2017 har vært en aktiv bidragsyter i samfunnsdebatten, og tilsynet har medvirket til god kunnskap om personvern generelt, og særlig om EUs personvernforordning. Datatilsynet har i tillegg fortsatt arbeidet sitt i sentrale EU-organ og vært en aktiv deltaker på en rekke nordiske og internasjonale samarbeidsarenaer.

Datatilsynet har i 2017 særlig arbeidet med personvern innenfor følgende områder:

  • Nytt personvernregelverk.

  • Innebygd personvern og teknologi som kan være personvernfremmende.

  • Helse og velferd.

  • Kunstig intelligens, roboter og personvern i algoritmenes tid.

I tillegg har Datatilsynet brukt mye tid på å forberede både egen organisasjon og andre på gjennomføringen av EUs personvernforordning i norsk rett. Det går frem av meldingen at departementet er opptatt av at både innbyggere og virksomheter som behandler personopplysninger, skal kjenne til og forstå hva de nye personvernreglene betyr for dem, og mener det er viktig at tilsynet har medvirket til å spre slik kunnskap.

Nytt personvernregelverk

Den store regelverksendringen som EUs personvernforordning og ny norsk personopplysningslov fører med seg, har vært en betydelig og prioritert oppgave for Datatilsynet i 2017, og vil også være det i årene som kommer. Den nye personopplysningsloven blir Datatilsynets viktigste arbeidsverktøy i mange år framover.

For å være best mulig forberedt når det nye personvernregelverket trer i kraft, har Datatilsynet påtatt seg oppgaver i regi av EU. Samarbeidet med de nordiske datatilsynsmyndighetene har også vært intensivert. I meldingsåret har Datatilsynet tilegnet seg mer kunnskap om de nye reglene og hvilke endringer dette regelverket vil medføre for virksomheter som behandler personopplysninger, de registrertes rettigheter og Datatilsynet som forvaltningsorgan. Departementet er tilfreds med at tilsynet er godt forberedt på å ivareta samfunnsoppgaven og sitt mandat når det nye regelverket trer i kraft.

Datatilsynet har i meldingsåret deltatt i en tverrdepartemental arbeidsgruppe ledet av Justis- og beredskapsdepartementet, som har arbeidet med implementering av forordningen i norsk rett. I tillegg samarbeider tilsynet med departementet om den formelle innlemmingen av forordningen i EØS-avtalen. I høringen om den nye personopplysningsloven leverte Datatilsynet en omfattende og grundig høringsuttalelse og ga viktige innspill til lovarbeidet.

I meldingsåret har Datatilsynet prioritert veiledning rettet mot virksomhetene.

Det går frem av meldingen at departementet er tilfreds med at tilsynet tar veiledningsoppgaven på stort alvor, og mener det er svært verdifullt at tilsynet når ut til virksomheter gjennom foredrag og deltakelse på seminarer. Departementet trekker også frem de gode veiledningene om personvernombud og innebygd personvern som Datatilsynet har utarbeidet.

Som Datatilsynet peker på, er det viktig at kommunene setter personvern på agendaen. Departementet merker seg utfordringene Datatilsynet peker på, og vil fortsette å støtte Datatilsynets innsats for et bedre personvern i norske kommuner.

Internt har Datatilsynet gjennomført opplæring om sentrale bestemmelser i forordningen for de ansatte.

Datatilsynet viser til at de gjør en betydelig innsats for å forberede alle berørte på det kommende regelverket. Det er imidlertid virksomhetene, både private og offentlige, som skal etterleve det nye regelverket. Departementet mener det er viktig å ansvarliggjøre virksomhetene.

Datatilsynet peker på at endringer i regelverket, nye rutiner for håndtering av ulike typer saker, og ikke minst økt samarbeid med andre lands datatilsynsmyndigheter, vil stille høye krav til organisasjon og gjennomføring.

Med ikrafttredelse av personvernforordningen etableres et nytt organ i EU, European Data Protection Board. Datatilsynet skriver i årsmeldingen at de mener de er godt posisjonert for innflytelse også i European Data Protection Board, og håper å kunne fortsette å bidra inn i det viktige europeiske personvernsamarbeidet. For regjeringen har det vært sentralt å sikre det norske Datatilsynet så god deltakelse som mulig i EUs personvernarbeid når forordningen innlemmes i EØS-avtalen og inkorporeres i norsk rett.

Datatilsynet viser til at forordningen stiller tydelige krav til vurdering av personvernkonsekvenser med sikte på å identifisere risikotilpassede tiltak for å ivareta personvernet til de registrerte. Departementet er enig med Datatilsynet i at det er viktig å sikre at lovhjemler for behandling av personopplysninger tar høyde for kravene som følger av forordningen, og at de er tilstrekkelig detaljerte til å oppfylle sitt formål. Datatilsynet er en viktig aktør i arbeidet med å gi god veiledning til alle som er involvert i vurdering av personvernkonsekvenser.

Innebygd personvern og personvernfremmende teknologi

Det pekes i meldingen på at innebygd personvern er et viktig tiltak for å sikre at brukere av nettbaserte tjenester har tillit til at løsningene både er sikre og ivaretar personopplysningene på en god måte. I Meld. St. 27 (2015–2016), Digital agenda for Norge. IKT for en enklere hverdag og økt produktivitet, går det frem at regjeringen vil arbeide for at IKT-systemer i offentlig forvaltning skal ivareta prinsipper for innebygd personvern, herunder personvernvennlige standardinnstillinger.

Datatilsynet har anbefalt innebygd personvern siden 2012. Et av kravene i den nye personvernforordningen er at alle virksomheter skal jobbe etter prinsippene for innebygd personvern. Dette følger også av Kommunal- og moderniseringsdepartementets digitaliseringsrundskriv fra 2017.

Med personvernforordningen kommer også personvern som standardinnstilling for fullt. Departementet er positive til at dette nedfelles så klart i regelverket, og mener det kan hjelpe brukerne til å ta de gode personvernvalgene. Kravet om innebygd personvern innebærer at virksomheter skal gjennomføre organisatoriske og tekniske tiltak som ivaretar personvernprinsippene og de registrertes rettigheter ved etablering av løsninger, systemer, apper og lignende.

Flere virksomheter har gitt uttrykk for at det er vanskelig å forstå omfanget av kravet om innebygd personvern. Datatilsynet utarbeidet derfor en veileder om innebygd personvern.

Det vises i meldingen til at en utfordring Datatilsynet trekker frem, er gamle systemer som ikke bygger på prinsippene om innebygd personvern. Som Datatilsynet peker på i årsmeldingen, er det viktig at de behandlingsansvarlige planlegger utfasing av systemer som ikke i tilstrekkelig grad ivaretar personvern og informasjonssikkerhet. Departementet vil fortsette å støtte innsatsen til Datatilsynet for å bevisstgjøre myndigheter og virksomheter om kravene til innebygd personvern.

Helse og velferd

Det pekes i meldingen på at det er en utfordring i helsesektoren at det er betydelig press om teknologisk utvikling og nye løsninger, og at utviklingen skjer i et raskt tempo. Pasientoppfølging forventes å bli mer og mer digitalisert. Endringer i form av digitalisering av journalopplysninger stiller nye krav til systemenes evne til å ivareta informasjonens konfidensialitet, tilgjengelighet og integritet. Denne digitaliseringen kan medføre både fordeler og utfordringer for personvernet.

Helse- og omsorgssektoren var tidlig ute med å ta i bruk elektroniske journalsystemer for behandling av helseopplysninger, og arbeidet med personvern og informasjonssikkerhet er høyt prioritert. Sektorens hovedutfordringer fremover vil være å løfte dagens IKT-systemer for bedre å utnytte mulighetsrommet som digitalisering gir for bedre ressursutnyttelse, samhandling og effektivitet.

Helse- og velferdsområdet omfatter primær og sekundær bruk av opplysninger. Opplysningene som behandles i sektoren, er blant de mest sensitive som finnes. Dette gjør at området har vært en prioritet for Datatilsynet også i 2017.

Både Datatilsynet og departementet ser at det er et økende ønske om og påtrykk for gjenbruk av helseopplysninger til nye formål innen forskning og kvalitetssikring, såkalt sekundærbruk av data.

Datatilsynet peker på at personvernforordningen vil medføre store endringer for sekundærbruk av data. Blant annet vil avskaffelse av konsesjonsplikten føre til at aktørene selv må ta større ansvar for vurderingene som ligger til grunn for behandling av data til forskning og kvalitetssikring. Dette er en omlegging av en langvarig praksis og vil kunne medføre et stort behov for veiledning fra Datatilsynet.

Datatilsynet har i årsmeldingen omtalt flere av tiltakene de har arbeidet med på helse- og velferdsområdet i 2017. De har gjennomført flere tilsyn, hatt dialog og møter med ulike aktører og gitt utstrakt rådgivning og veiledning. I tillegg har tilsynet avgitt flere høringsuttalelser.

Datatilsynet sendte i oktober 2017 varsel til ni helseforetak i Helse Sør-Øst RHF om ileggelse av overtredelsesgebyr på til sammen 7,2 mill. kroner. Gebyrene ble gitt som følge av avvik knyttet til sikkerhetsledelse og manglende risikovurderinger i forbindelse med beslutningen om tjenesteutsetting av IKT-drift til utlandet. Datatilsynet har hatt god dialog med Helse Sør-Øst i etterkant, og virksomheten arbeider med å rette opp manglene som Datatilsynet påpekte. Det er planlagt aktiviteter for oppfølging av saken i 2018.

I ettertid har Datatilsynet samarbeidet med andre tilsynsmyndigheter som NSM, Finanstilsynet og Helsetilsynet, og det har også vært møter med Difi og Direktoratet for e-helse. Formålet med dette samarbeidet har vært å etablere en felles strategi rundt temaet utsetting av IKT-tjenester, både i helsesektoren og andre deler av offentlig sektor. Departementet mener Datatilsynet er en svært viktig bidragsyter.

Datatilsynet har deltatt i arbeidet med Norm for informasjonssikkerhet i helsesektoren (Normen).

Datatilsynet har i 2017 arbeidet med problemstillinger knyttet til velferdsteknologi. Velferdsteknologi benyttes i økende grad av befolkningen på eget initiativ og i regi av det offentlige. Disse nye tjenestene genererer data og gir utfordringer med tanke på hva som skal lagres, og hvor lenge. Datatilsynet peker på at utviklingen på dette området i stor grad styres av leverandører. Departementet er enig med Datatilsynet i at det fremdeles er sentrale problemstillinger som bør avklares, slik som for eksempel plassering av behandlingsansvar, krav til databehandleravtaler og sikkerhet for at løsningene bygger på prinsippene for innebygd personvern.

I årsmeldingen trekker Datatilsynet frem en positiv personverntrend innen helsetjenesten; at innbyggerne i størst mulig grad skal kunne bestemme over egne personopplysninger. Datatilsynet peker på en tendens til å gå bort fra samtykke fra de registrerte som grunnlag for sekundærbruk av helseopplysninger.

Datatilsynet peker videre på flere fremtidige utfordringer, som bruk av stordata og kunstig intelligens, persontilpasset medisin og sekundærbruk av data.

Departementet merker seg de utfordringene tilsynet trekker frem, og vil fortsette å fremme gode personvernløsninger som sikrer den enkelte størst mulig råderett over egne personopplysninger og setter den enkelte i stand til å forstå både risikoer, muligheter og konsekvenser ved sekundærbruk av opplysninger.

Kunstig intelligens, roboter og personvern i algoritmenes tid

Det går frem av meldingen at Datatilsynet viser til at utviklingen av kunstig intelligens og automatiserte systemer har gjort store fremskritt de siste årene. Slik Datatilsynet ser det, er mulighetene lovende: en bedre og mer effektiv offentlig sektor, nye metoder for klima- og miljøvern og bedre og billigere helsetjenester. Det er likevel slik at de intelligente og automatiserte tjenestene ofte inneholder store mengder data, inkludert personopplysninger.

Datatilsynet peker på at med smarte byer og smarte hjem vil det bli samlet inn en omfattende mengde personopplysninger, siden flere og flere sensorer blir koblet til nettet.

I 2017 har Datatilsynet arbeidet både nasjonalt og internasjonalt for å gi råd om hvordan man skal unngå ulovlig innhenting av stordata i forbindelse med smarte byer, hjem og biler. Departementet er enig med Datatilsynet i at klar regulering er sentralt for å sikre at det ikke samles inn flere personopplysninger enn nødvendig.

Selvkjørende biler vil samle inn store mengder personopplysninger om både sjåføren, passasjerer og omgivelsene. Departementet er enig med Datatilsynet i at dette kan være et gode i trafikken. Det er likevel nødvendig å drøfte personvernmessige utfordringer og samfunnsetiske problemstillinger ved bruk av kunstig intelligens både i trafikken og ellers i samfunnet. Datatilsynet publiserte en rapport om kunstig intelligens og personvern i januar 2018. Departementet mener rapporten gir et godt grunnlag for videre diskusjon om utfordringer på dette området.

Det norske dronemarkedet har utviklet seg raskt og er spådd en eksplosiv vekst de neste årene – særlig knyttet til nærings- og nyttevirksomhet. Tilsynet har merket en stadig økende interesse for å ta i bruk droner hos offentlige myndigheter, inkludert i politiet.

Departementet viser til regjeringens dronestrategi som ble lagt frem i mars 2018, hvor blant annet personvern og privatlivets fred er temaer. Departementet er positive til at Datatilsynet fortsetter å være synlige og tilgjengelige for å sikre at aktørene som benytter seg av droner, har kunnskap om personvernregelverket og benytter personvernvennlig teknologi.

Internasjonalt arbeid

Det pekes i meldingen på at departementet og tilsynet i flere år har hatt god dialog om verdien av å delta i internasjonalt arbeid, og særlig det europeiske personvernsamarbeidet. I meldingsåret har Datatilsynet på en god måte evnet å prioritere deltakelse i det europeiske personvernsamarbeidet.

De europeiske datatilsynene møtes flere ganger i året i Artikkel 29-gruppen, der Datatilsynet har møte- og talerett. I 2017 har Datatilsynet vært representert i alle de fem plenumsmøtene gruppen har avholdt, og i flere av undergruppene.

I tillegg til det formaliserte personvernsamarbeidet i EU deltar Datatilsynet i flere andre internasjonale samarbeidsfora.

Det går frem av meldingen at departementet er tilfreds med den aktive rollen Datatilsynet har tatt i det internasjonale personvernarbeidet generelt og i det europeiske samarbeidet spesielt.

Merknader fra Kommunal- og moderniseringsdepartementet til Personvernnemndas årsmelding

Det vises i meldingen til at Personvernnemnda i 2017 mottok 19 klagesaker fra Datatilsynet. 14 av sakene ble ferdigbehandlet innen utgangen av året. I tillegg behandlet nemnda 5 saker som ble oversendt i 2016.

Sakene som ble behandlet i 2017, gjaldt blant annet kameraovervåking, spørsmål om innsyn i opplysninger hos arbeidsgiver og avindeksering på nett. Et tema som nemnda fortsatt ser at har økende aktualitet, er ileggelse av overtredelsesgebyr.

Nemnda endret i meldingsåret praksis i en prinsipiell sak om profesjonelle utleieres kredittvurdering av leietakere. Nemnda kom til at klager hadde saklig behov for å innhente kredittopplysninger om potensielle leietakere i situasjoner hvor leietaker stiller depositum som sikkerhet. Avgjørelsen innebar en endring av praksis i forhold til tidligere saker.

Det pekes i meldingen på at et tilbakevendende forhold er Datatilsynets manglende realitetsbehandling av saker samt bortprioritering uten vedtak eller avvisningsvedtak. Nemnda har påpekt at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om en aktuell behandling av personopplysninger i en sak er lovlig eller ikke, og at det derfor er misvisende å kalle disse beslutningene avvisning av en sak. Nemnda legger likevel til grunn at Datatilsynet har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig.

En annen tendens Personvernnemnda har merket seg, er klager på Googles avslag på anmodning om å få slettet søketreff på internett, såkalt avindeksering.

I årsmeldingen påpeker Personvernnemnda at personvernet griper inn i stadig flere samfunnsområder. Problemstillingene som reises, er komplekse og har stor betydning både for privatliv og kommersiell og offentlig virksomhet. Samtidig er det et gjentagende fenomen at personvernet må sees i sammenheng med andre rettsområder. Departementet deler også nemndas vurdering av at de krevende avveiningene for nemnda oppstår der personvern møter andre viktige samfunnsinteresser. Det er grunn til å anta at de avveiningene nemnda må foreta fremover, vil bli stadig mer komplekse og krevende og stille store krav til nemndas arbeid.

Administrasjon og ressurser

Datatilsynets budsjett og rammevilkår

Det går frem av meldingen at Datatilsynet i 2017 hadde en budsjettramme på kr 50 639 000. Dette var en økning på drøyt 5 mill. kroner fra 2016, som i det vesentlige skyldtes kompensasjon for endrede regler om premieinnbetaling til Statens pensjonskasse. Etter at overføringer og tilleggsbevilgninger var lagt til, hadde Datatilsynet kr 52 805 000 til disposisjon i 2017. Av tilsynets utgifter utgjorde 71,5 pst. (37 808 000 kroner) utgifter til lønn og 28,5 pst. (15 017 000 kroner) utgifter til drift. Datatilsynet hadde i meldingsåret 40 faste stillinger. I tillegg er tilsynet de siste årene tilført ekstra midler for å sette virksomheten i stand til å holde normal drift samtidig som de har arbeidet med forberedelser til gjennomføring av EUs personvernforordning i norsk rett.

Datatilsynet ledes av direktør Bjørn Erik Thon, som ble tilsatt på åremål i 2010. Åremålet ble fornyet for seks nye år i august 2016. Ledergruppen bestod i hoveddelen av meldingsåret av fire menn og én kvinne. I tilsynet sett under ett var det likevel en relativt jevn kjønnsfordeling. Ved utgangen av meldingsåret sto stillingen som kommunikasjonsdirektør ledig. Denne er senere besatt av en kvinne, og da denne meldingen ble avgitt, besto ledergruppen av to kvinner og tre menn.

Datatilsynet nedskalerte sin tilsynsvirksomhet betydelig i 2017 og gjennomførte totalt 24 tilsyn og kontroller, mot 85 tilsyn i 2016. Årsaken til den markante nedgangen i antall tilsyn er prioritering av oppgaver knyttet til nytt personvernregelverk.

Datatilsynet journalførte 1 807 nye saker i meldingsåret. Dette er en liten økning fra 2016, da antallet nye saker var 1 745. Det ble fattet 683 vedtak, mot 564 året før. En del av denne økningen kan trolig forklares med at det ble fattet 234 vedtak om personvernombud i løpet av året. Av de 683 vedtakene ble 39 påklaget. Sett i forhold til antall vedtak har antall klager holdt seg relativt stabilt de siste årene.

Datatilsynet mottok søknad om 238 konsesjoner i 2017 og innvilget 183 konsesjoner for behandling av personopplysninger. Dette er en liten nedgang fra 2016, noe tilsynet mener skyldes naturlig variasjon fra år til år. Kun 15 av søknadene endte med fullt avslag.

Tilsynet viser i sin årsmelding til at de i meldingsåret mottok hele 349 avviksmeldinger. Dette er en betydelig økning sammenliknet med tidligere år. Økningen kan skyldes flere forhold, blant annet større bevissthet om plikten til å melde avvik, men også hvor godt virksomhetene fanger opp og håndterer avvik.

Det går frem av meldingen at det er departementets vurdering at Datatilsynet i meldingsåret har arbeidet godt innenfor det gjeldende regelverket og de tildelte ressursene. Tilsynet har evnet å tilpasse og justere virksomheten i samsvar med den økte oppmerksomheten som er om personvern i samfunnet og etterspørselen etter bistand fra Datatilsynet. Tilsynet har et bredt engasjement både nasjonalt og internasjonalt og bidrar på den måten til å gjøre personvern relevant og kjent og å arbeide frem løsninger som står seg i en internasjonal kontekst.

Personvernnemndas budsjett og rammevilkår

Det vises i meldingen til at Personvernnemnda i 2017 hadde en budsjettramme på 2 080 000 kroner og har i meldingsåret oppgitt å ha brukt 1 917 510 kroner. Det reelle forbruket i meldingsåret har vært 2 099 609 kroner. Differansen skyldes en feil som er rapportert i statsregnskapet. Bevilgningen er, som i tidligere år, brukt på innkjøp av litteratur og tjenester, deltakelse på kurs, arbeids- og reisegodtgjørelse til medlemmene i nemnda, lønn til sekretariatet og leie av kontor- og møtelokaler.

Stortinget utnevnte høsten 2016 ny leder og nestleder. Den lederen Stortinget hadde utnevnt, måtte trekke seg før hun hadde tiltrådt vervet. Hennes stedfortreder, tingrettsdommer Mats Wilhelm Ruland, fungerte som nemndas leder frem til august 2017. Da overtok tingrettsdommer Mari Bø Haugstad som nemndas faste leder.

Personvernnemnda har hatt 10 møter i meldingsåret. Nemnda mottok i alt 19 klagesaker i 2017. 14 av sakene ble ferdigbehandlet i meldingsåret. I tillegg har nemnda behandlet fem saker fra 2016. Datatilsynets vedtak ble opprettholdt i 11 av de behandlede sakene. Åtte av Datatilsynets vedtak ble helt eller delvis omgjort. Dette er en noe lavere omgjøringsprosent enn tidligere år. Antall klagesaker og omgjøringer er uansett svært lavt sett i forhold til at Datatilsynet fattet 683 vedtak i 2017.

Personvernnemnda har i meldingsåret arbeidet for å redusere saksbehandlingstiden, samtidig som det har vært lagt ned et betydelig arbeid for å sikre vedtak av god kvalitet. Gjennomsnittlig saksbehandlingstid har vært ca. tre måneder, en markant reduksjon sammenliknet med tidligere år. For å lykkes med dette har nemnda i 2017 benyttet en vesentlig større andel av de tildelte midlene til møteforberedelse og etterarbeid med vedtakene enn i tidligere år. Komplekse saker behandles over flere møter. Det går frem av meldingen at departementet er tilfreds med at nemnda har klart å redusere saksbehandlingstiden samtidig som den har hatt oppmerksomhet rettet mot kvalitativt gode vedtak.

Personvernnemnda har bistand fra en sekretær i 80 pst. stilling. Prosess for å rekruttere ny sekretær var igangsatt i 2017.

Departementet har i meldingsåret hatt økt kontakt med nemnda om administrative spørsmål. Dette skyldes blant annet skifte av leder to ganger i løpet av perioden og arbeid for å tilrettelegge for bedre saksbehandlingssystemer i nemnda. Departementet opplever kommunikasjonen med nemnda som god. Det er departementets vurdering at Personvernnemnda har brukt den tildelte bevilgningen tilfredsstillende og gjennomført oppgavene sine på en god måte i 2017.

Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Masud Gharahkhani, Kjell-Idar Juvik, Stein Erik Lauvås og Siri Gåsemyr Staalesen, fra Høyre, Norunn Tveiten Benestad, Mari Holm Lønseth, Olemic Thommessen og Ove Trellevik, fra Fremskrittspartiet, Jon Engen-Helgheim og Kari Kjønaas Kjos, fra Senterpartiet, Kari Anne Bøkestad Andreassen og Heidi Greni, fra Sosialistisk Venstreparti, lederen Karin Andersen, og fra Kristelig Folkeparti, Torhild Bransdal, viser til stortingsmeldingen.

Komiteen understreker at personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.

Komiteen viser til at alle mennesker har en ukrenkelig egenverdi. Enkeltmennesker har rett til en privat sfære som man selv kontrollerer, hvor den enkelte kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker.

Komiteen peker på prinsippet som er forankret i Den europeiske menneskerettskonvensjon artikkel 8, hvor det står:

«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.»

Komiteen viser til at Datatilsynet ble etablert den 1. januar 1980 og er et uavhengig forvaltningsorgan administrativt underlagt Kommunal- og moderniseringsdepartementet. Komiteen viser til at Datatilsynet har fem ulike virkemidler til disposisjon for å sikre enkeltindividets personvern. Disse fem virkemidlene er saksbehandling, tilsynsvirksomhet, kommunikasjon og veiledning, organisatoriske virkemidler som deltakelse i råd og utvalg, samt forsknings-, utviklings- og utredningsarbeid.

Komiteen mener Datatilsynets og Personvernnemndas årsmeldinger for 2017 gir en god oversikt over virksomheten og aktuelle prioriteringer.

Komiteen viser til at det har vært betydelig oppmerksomhet om nye personvernregler i 2017. EUs personvernforordning ble gjennomført i norsk rett ved Stortingets vedtakelse av en ny personopplysningslov den 28. mai 2018. Komiteen peker på at dette regelverket bidrar til en styrking av den enkeltes personvern. For øvrig viser komiteen til sine respektive partiers merknader i Innst. 278 L (2017–2018). Komiteen viser til at Datatilsynet har utarbeidet en strategi for perioden 2018–2020 for å gjøre norske virksomheter i stand til å følge det nye regelverket. I meldingsåret har Datatilsynet prioritert veiledning av virksomhetene. Dette er positivt. Komiteen viser til at en vellykket innføring av nytt personvernregelverk krever ansvarliggjøring av virksomhetene.

Komiteen viser til at Datatilsynet i 2017 særlig har arbeidet med personvern innenfor fire områder: nytt personvernregelverk, innebygd personvern og teknologi som kan være personvernfremmende, helse og velferd og kunstig intelligens, samt roboter og personvern i algoritmenes tid. Komiteen er positiv til at det arbeides langsiktig med disse utfordringene, og peker på at personvernet er under press i møte med den raske teknologiske utviklingen. Samtidig gir den teknologiske utviklingen også nye muligheter for å ivareta innbyggernes grunnleggende rett til et godt personvern.

Komiteen peker på at folk flest møter velferdstjenester i kommunene. Kommunene har derfor i stor utstrekning personopplysninger om folk. Det er derfor viktig at kommunene håndterer opplysninger i henhold til det til enhver tid gjeldende regelverk. Komiteen peker på merknadene i Innst. 171 S (2017–2018), hvor en samlet komité pekte på at arbeidet med å bevisstgjøre kommunene ikke var prioritert tilstrekkelig i samarbeidet med KS i 2016. Komiteen ser positivt på at Datatilsynet sendte informasjonsbrev til alle rådmenn og fylkesmenn i mars 2017, hvor Datatilsynet ga råd om hvordan kommunene bør starte arbeidet med ny personopplysningslov. Komiteen peker også på at Datatilsynet synes å ha drevet utstrakt virksomhet overfor kommunene i 2017. Komiteen ser positivt på at Datatilsynet fortsetter arbeidet rettet mot kommunesektoren.

Komiteen peker på at det er positivt at Personvernnemnda i 2017 har redusert saksbehandlingstiden, men samtidig sørget for å ha kvalitativt god behandling av sakene.

Komiteens medlemmer fra Høyre, Fremskrittspartiet og Kristelig Folkeparti viser til at et bærende hensyn i EUs arbeid med nytt personvernregelverk har vært regelverksharmonisering i hele EØS-området. Dette sikrer at næringsdrivende i EØS-området opplever like vilkår for behandling av personopplysninger uansett hvilken medlemsstat de opererer i. Samtidig nyter personene i EØS-området godt av et sterkt personvern. Meldingene fra Datatilsynet og Personvernnemnda viser klart en økende oppmerksomhet rundt godt personvern som følge av det nye regelverket. Disse medlemmer peker blant annet på at Personvernnemnda opplever økt aktivitet fra norske virksomheter for å forebygge bøter som følge av strengere regelverk i den nye personopplysningsloven. Disse medlemmer mener det er en styrke med internasjonalt samarbeid for å sikre et godt personvern.

Disse medlemmer viser til at vi med et felles europeisk personvernregelverk står langt sterkere i møte med multinasjonale selskaper når det gjelder å ivareta europeiske verdier og personvernprinsipper. For et lite land er det ofte vanskeligere å bli tatt hensyn til, mens det med felles europeiske regler settes en global standard for hva som er godt personvern.

Komiteens medlemmer fra Senterpartiet viser til innføringen av EUs personvernforordning i norsk regelverk. Omfanget av forordningen understrekes tydelig i Datatilsynets årsmelding, hvor det står:

«Mange saker vil fremdeles behandles nasjonalt som i dag, men praksisavklaringer og avgjørelser med presedensvirkning vil i stor utstrekning trolig måtte besluttes internasjonalt.»

Komiteens medlemmer fra Senterpartiet og Sosialistisk Venstreparti er kritiske til at forordningen inntas direkte i norsk lov, og mener Stortingets behandling av ny personopplysningslov burde tatt utgangspunkt i nasjonale behov. Disse medlemmer viser videre til de respektive partiers forslag ved behandlingen av ny personvernlov om å fremme et eget lovforslag som ivaretar en styrking av personvernet i Norge, uten tilknytningen til EUs forordning.

Komiteens medlemmer fra Senterpartiet viser til at Senterpartiets forslag nr. 2 i Innst. 278 L (2017–2018) innebar at lovutkastet skulle være identisk med de tekster som EU og EFTA folkerettslig har avtalt i EØS-komiteen.

Komiteens medlemmer fra Senterpartiet og Sosialistisk Venstreparti vil understreke at det er viktig å få på plass strengere regler for personvernet, og støtter denne hensikten med personvernforordningen. Disse medlemmer er likevel kritiske til den overføring av myndighet som er tiltenkt EUs personvernråd, og merker seg problematiske sider ved den foreslåtte ordningen. Disse medlemmer har forstått forslaget slik at norske domstoler skal kunne prøve Datatilsynets avgjørelser, men Datatilsynet skal også være bundet av avgjørelser fra Personvernrådet, samtidig som norske domstoler ikke indirekte skal kunne overprøve avgjørelser fra EUs personvernråd eller prøve gyldigheten av det underliggende vedtaket fra EUs personvernråd.

Disse medlemmer vil også påpeke at Personvernrådet skal kunne gjøre vedtak som er bindende også for Datatilsynet i Norge, uten at vedtaket går via overvåkingsorganet ESA. Dette bryter med EØS-avtalens topilarsystem, der EFTA-landene og EU skal være atskilt. Datatilsynet har vært et uavhengig tilsyn, som burde fortsette å være uavhengig fra instrukser fra myndighetene. Det er derfor paradoksalt at det skal underlegges et overnasjonalt byrå, men ikke være gjenstand for en nasjonal demokratisk styring.

Komiteens tilråding

Komiteens tilråding fremmes av en samlet komité.

Komiteen har for øvrig ingen merknader, viser til meldingen og rår Stortinget til å gjøre følgende

vedtak:

Meld. St. 16 (2017–2018) – Datatilsynets og Personvernnemndas årsmeldinger for 2017 – vedlegges protokollen.

Oslo, i kommunal- og forvaltningskomiteen, den 20. november 2018

Karin Andersen

Mari Holm Lønseth

leder

ordfører