Kommunal- og moderniseringsdepartementets innledning

Innføringen av nytt personvernregelverk

Det vises i meldingen til at 2018 var et år med store endringer i både nasjonalt og internasjonalt personvernregelverk. Etter mange års arbeid og forberedelser, trådte EUs personvernforordning (GDPR, forordning 2016/679) i kraft i alle EUs medlemsstater 25. mai. Forordningen ble innlemmet i EØS-avtalen ved EØS-komiteens vedtak 6. juli 2018. Stortinget vedtok ny personopplysningslov som gjennomfører personvernforordningen i norsk rett ved sitt vedtak 22. mai 2018. Loven trådte i kraft 20. juli samme år.

Et bærende hensyn bak det nye felles europeiske personvernregelverket er regelverksharmonisering. Samtidig er de nye personvernreglene blitt omtalt som et rammeverk for tillit.

For ytterligere å styrke regelharmoniseringen, er det internasjonale personvernsamarbeidet styrket. For regjeringen har det vært viktig å bidra til at Datatilsynet skal få delta i samarbeidet for de europeiske personvernmyndighetene. Med unntak av stemmerett, deltar EFTA-landenes personvernmyndigheter nå i det europeiske samarbeidet på lik linje med EU-landenes tilsynsmyndigheter.

De grunnleggende personvernprinsippene er videreført i personvernforordningen og personopplysningsloven. Prinsippene om lovlighet, åpenhet, formålsbestemthet, dataminimalitet, riktighet, konfidensialitet og integritet er alle tydelig fremhevet i forordningen. De behandlingsansvarlige har dessuten fått et tydeligere ansvar for å kjenne til og etterleve reglene, samtidig som gjennomførte personvernvurderinger og iverksatte personverntiltak skal kunne dokumenteres. Brudd på regelverket kan sanksjoneres med overtredelsesgebyr som er betydelig høyere enn våre nasjonale regler tidligere åpnet for. Departementet vil med interesse følge med på hvilken betydning de strenge sanksjonene får for regeletterlevelsen.

De registrertes rettigheter er også noe styrket i den nye personopplysningsloven.

Personvernombudene har fått en sentral rolle i etterlevelse av personvernforordningen og personopplysningsloven.

Selv om de grunnleggende personvernprinsippene er uendret, innebærer personvernforordningen og personopplysningsloven store endringer i Datatilsynets arbeidsmåter og oppgaver. Konsesjonsplikten er opphevet. Samtidig har Datatilsynets plikt til å behandle saker i den europeiske samarbeidsmekanismen for personvernsaker gitt opphav til nye og krevende oppgaver. Fremover kan også forhåndsdrøftelser med de behandlingsansvarlige og gjennomgang og godkjenning av atferdsnormer bli arbeidskrevende oppgaver.

Personvernforordningen er detaljrik og omfattende. Rent lovgivningsmessig skiller det nye regelverket seg vesentlig fra det vi er vant til. Forordningen er språklig sett utfordrende, og inneholder en betydelig mengde henvisninger som kan gjøre at den oppfattes som uoversiktlig. Behovet for veiledning både fra Datatilsynet og andre personvernkyndige har derfor vært stort både i tiden før og, ikke minst, i tiden etter at det nye regelverket trådte i kraft. Samtidig er regelverkets internasjonale dimensjon med på å gjøre tolknings- og veiledningsarbeidet utfordrende. Med grunnlag i dette, er det ekstra viktig at Datatilsynet prioriterer deltakelse i det internasjonale personvernarbeidet.

Gjenbruk av personopplysninger

Personopplysninger kan bare samles inn og behandles til spesifikke og berettigede formål, og de skal være nødvendige for dette formålet. Opplysninger kan ikke viderebehandles på en måte som er uforenlig med innsamlingsformålet. Samtidig åpner regelverket for at det i nasjonal rett kan bestemmes at opplysningene skal kunne viderebehandles for andre formål enn innsamlingsformålet forutsatt at slik viderebehandling er nødvendig og forholdsmessig i et demokratisk samfunn.

I prinsippet «Kun én gang», omtalt i regjeringens Meld. St. 27 (2015–2016) Digital agenda for Norge, ligger det at forvaltningen skal gjenbruke opplysninger i stedet for å spørre brukerne på nytt om informasjon de allerede har gitt fra seg.

For å videreføre grunnlaget for norske borgeres tillit til forvaltningen, er regjeringen opptatt av at det gjennomføres og dokumenteres gode vurderinger av personvernkonsekvenser når det utarbeides forslag som skal legge til rette for deling av personopplysninger, særlig i kontrolløyemed. Det må også legges til rette for at de registrerte i størst mulig grad skal kunne skaffe seg informasjon om flyten av egne opplysninger.

Personvern for barn og unge

Barn og unge lever store deler av livene sine digitalt. Det pekes i meldingen på at det er viktig å lære barna nettvett.

Stadig flere barnehager og skoler tar i bruk digitale verktøy i læringen som innhenter, lagrer og behandler betydelige mengder opplysninger om barna. Skolen har en viktig oppgave i å bevisstgjøre elevene på ulike sider ved bruk av digitale verktøy både i skolearbeidet og ellers. Departementet er opptatt av at barns personvern vektlegges i barnehager og på skoler. Samtidig må skoleeiere, administratorer og lærere være bevisste når de anskaffer og bruker digitale læringsverktøy.

Datatilsynet har i mange år deltatt i utviklingen av nettressursen «Du bestemmer», som skal gi barn og unge mellom 9 og 18 år kunnskap om personvern, digital dømmekraft og nettvett.

Barn og unge kan være særlig utsatt ved bruk av informasjonssamfunnstjenester, for eksempel nettbaserte spill eller sosiale medier. Personvernforordningen setter en aldersgrense for at samtykke skal kunne utgjøre behandlingsgrunnlag når informasjonssamfunnstjenester tilbys direkte til et barn. I Norge er denne grensen satt til 13 år.

Informasjonssikkerhet og avviksmeldinger

Det er den behandlingsansvarlige som er ansvarlig for at personopplysninger sikres på en god måte. Personvernregelverket forutsetter at sikringstiltakene er tilpasset opplysningenes art, omfang, behandlingsformål og behandlingskontekst.

Mange virksomheter velger å benytte eksterne databehandlere med teknisk kompetanse for å behandle personopplysninger. Det følger nå av personvernforordningen at den behandlingsansvarlige må sørge for at den eller de databehandlerne som velges gir tilfredsstillende garantier for at de vil gjennomføre egnede og tilpassede tekniske og organisatoriske tiltak for etterlevelse av personvernregelverket og ivaretakelse av de registrertes rettigheter.

I meldingen går det frem at man i meldingsperioden har sett flere eksempler på valg av databehandlere som ikke i tilfredsstillende grad ivaretar informasjonssikkerhet og personvern. Sakene med utkontraktering av ikt-tjenester i ni helseforetak i Helse Sør-Øst er ett eksempel.

Personopplysningsloven og personvernforordningen, som trådte i kraft i Norge i juli 2018, pålegger behandlingsansvarlige og databehandlere som opplever avvik i behandlingen av personopplysninger en plikt til å melde avvikene til Datatilsynet. Datatilsynet har opplevd en enorm økning i antall avviksmeldinger etter at det nye regelverket trådte i kraft. Dette betyr ikke nødvendigvis at det skjer flere brudd nå enn tidligere. Departementet mener bevisstheten er et viktig skritt i retning av bedre regeletterlevelse og bedre personvern for den enkelte.

Merknader fra Kommunal- og moderniseringsdepartementet til Datatilsynets årsrapport

Datatilsynet har i 2018 særlig arbeidet med personvern innenfor følgende områder:

Innføring av nytt personvernregelverk

Arbeidet med det nye personvernregelverket har vært den høyeste prioriterte oppgaven til Datatilsynet i meldingsåret.

Departementet er tilfreds med at tilsynet har forberedt de ansatte på innføringen av det nye regelverket ved å heve deres fagkompetanse.

Departementet er fornøyd med at tilsynet fortsetter å ta veiledningsoppgaven til eksterne virksomheter på alvor, og mener det er svært verdifullt at tilsynet når ut til virksomheter gjennom foredrag og deltakelse på ulike arrangementer. Departementet har merket seg Datatilsynets gode veiledere som er publisert på dets nettsider, og mener dette er en hensiktsmessig og ressurseffektiv måte å spre informasjon om regelverket på.

Etter tilsynets erfaring har kommunesektoren hatt særlige utfordringer knyttet til risikovurderinger, internkontroll og oversikt over hvilke personopplysninger de har om sine innbyggere. Departementet er tilfreds med at Datatilsynet proaktivt har arbeidet for å forberede kommunesektoren på gjennomføringen av det nye regelverket, og poengterer samtidig at kommunene selv må være bevisst sitt ansvar og etablere gode systemer og rutiner for behandling av personopplysninger.

Etter gjennomføringen av det nye regelverket er personvernombudsordningen blitt vesentlig utvidet, og Datatilsynet har gjennomført flere tiltak for å gjøre ordningen kjent.

En annen prioritert oppgave for tilsynet i meldingsåret, var å avvikle saker etter det gamle regelverket før personopplysningsloven 2018 trådte i kraft.

Departementet er tilfreds med at Datatilsynet har fokus på å gjøre virksomheten mer digitalisert, noe som vil kunne forbedre publikumskontakten samt forenkle og effektivisere saksbehandlingen. Departementet har tiltro til at tilsynet vil ta i bruk personvernvennlige løsninger i digitaliseringsarbeidet.

Internasjonalt arbeid

Det europeiske personvernrådet (European Data Protection Board – EDPB) ble opprettet ved ikrafttredelse av personvernforordningen. Personvernrådet er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet, og har flere oppgaver og utvidet kompetanse enn forløperen, Artikkel 29-gruppen. Som EØS-stat er Norge fullverdig medlem, men har ikke stemmerett.

Datatilsynet har fått særskilt ansvar for arbeidet med felles europeiske retningslinjer om innebygd personvern og personvern som standardinnstillinger.

I tillegg til det formaliserte personvernsamarbeidet i EU og EØS, deltar Datatilsynet i flere andre internasjonale samarbeidsfora.

Departementet mener det er svært positivt at Datatilsynet er aktiv på mange internasjonale arenaer. Et sentralt hensyn bak EUs personvernforordning er regelverksharmonisering. Aktiv deltakelse gir mulighet til å påvirke regelverksforståelsen, og Datatilsynets internasjonale arbeid er derfor blitt enda viktigere og mer omfattende enn tidligere. Departementet er trygg på at Datatilsynet vil være en tydelig deltaker i det europeiske personvernsamarbeidet også i fremtiden, herunder tilkjennegi sitt syn i diskusjoner og behandling av aktuelle saker.

Videre medfører stadig økt handel og internasjonal samhandling flyt av personopplysninger også utenfor EU- og EØS-området. Departementet er generelt tilfreds med den synlige rollen Datatilsynet har tatt i det internasjonale personvernarbeidet i meldingsåret, og særlig i det europeiske samarbeidet.

Helse og velferd

Som følge av nytt personvernregelverk, har Datatilsynet måttet arbeide annerledes inn mot helsesektoren i 2018. Konsesjonsordningen ble avviklet og kontroll med sekundærbruk av data i helsesektoren er nå overlatt virksomhetene. Samtidig er det nye regelverket mer sammensatt og krevende, blant annet hva gjelder rettslig grunnlag ved sekundærbruk av data. Departementet er tilfreds med at Datatilsynet har drevet utstrakt veiledningsvirksomhet inn mot sektoren og mener at dette har vært viktig.

Videre har Datatilsynet i 2018 gjennomført enkelte brevlige tilsyn og arbeidet med høringssaker.

I 2017 varslet Datatilsynet ni helseforetak i Helse Sør-Øst RHF om ileggelse av overtredelsesgebyr på til sammen kr 7 200 000. I 2018 fattet Datatilsynet vedtak i samsvar med dette. Departementet mener det er positivt at Datatilsynet aktivt bidrar til økt bevissthet om personvernutfordringer ved utkontraktering av IKT-tjenester.

Datatilsynets arbeid i meldingsåret har også vært preget av de store nasjonale prosessene innen helsesektoren: Helsedataprogrammet, Helseplattformen, Helsenorge.no og prosjektet «En innbygger, en journal».

Både Datatilsynet og departementet har de siste årene sett et økende påtrykk for gjenbruk av helseopplysninger, såkalt sekundærbruk av data, til nye formål innen forskning og kvalitetssikring. Det opprettes stadig nye helseregistre, og mange av disse er omfangsrike og har som formål å være permanente. Samtidig pågår utredningsarbeid for å finne nye måter å gjøre data tilgjengelig på en mer effektiv måte enn tidligere, eksempelvis i Helsedataprogrammet under ledelse av Direktoratet for e-helse. I slike prosesser er det essensielt at personvernhensyn ivaretas på en god måte.

I årsrapporten trekker Datatilsynet frem en positiv personverntrend innen helsetjenesten; at borgere i størst mulig grad gis selvbestemmelse over egne personopplysninger. Departementet mener at dette er en styrking av den enkeltes rett til personvern, samtidig som det innebærer utfordringer. Det er en betydelig pedagogisk utfordring å forklare de registrerte hvordan deres personopplysninger kan bli brukt og delt, på en slik måte at de forstår hva de egentlig samtykker til.

Videre peker Datatilsynet på flere fremtidige utfordringer innen helsesektoren, som økt bruk av stordata, kunstig intelligens og velferdsteknologi.

Departementet merker seg de utfordringene tilsynet trekker frem i årsrapporten, og mener det er viktig at Datatilsynet fortsetter å være engasjert i personvernspørsmål knyttet til helse- og velferdssektoren. Departementet vil fortsette å støtte Datatilsynets arbeid med å fremme gode personvernløsninger som sikrer den enkelte størst mulig råderett over egne personopplysninger.

Skole, barn og unge

I årsrapporten påpeker Datatilsynet at livet til dagens barn og unge i stor grad er gjennomregistrert.

Departementet er opptatt av at barn og unge sikres et godt personvern, og viser til at følgende er fremhevet i fortalen til personvernforordningen:

«Barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier, samt på de rettigheter de har når det gjelder behandling av personopplysninger.»

Departementet er derfor tilfreds med at Datatilsynet også i 2018 har hatt særskilt fokus på ivaretakelse av personvernet til barn og unge.

Videre påpeker departementet at alle barn og unge skal kunne ha tillit til at deres personlige informasjon ikke kommer på avveie. Det er derfor essensielt at behandlingsansvarlige, som eksempelvis skoleeiere, har kontinuerlig fokus på ivaretakelse av informasjonssikkerhet. Tilsynet mottok i 2018 en rekke avviksmeldinger knyttet til skolesektoren.

Én av sakene Datatilsynet viser til, var en hendelse i Bergen kommune hvor brukernavn og passord til over 35 000 brukere lå tilgjengelig for elever og ansatte. Se meldingen for nærmere beskrivelse.

Departementet er tilfreds med at tilsynet har gitt utstrakt veiledning til virksomheter som behandler personopplysninger om mindreårige.

I meldingsåret har Datatilsynet fortsatt samarbeidet med Utdanningsdirektoratet om nettressursen dubestemmer.no, som nå har eksistert i over ti år.

Datatilsynet opplyser også at de i 2018 var involvert i de innledende fasene av to lovarbeider. Tilsynet har gitt innspill til arbeidet med nye læreplaner for grunnskolen. I tillegg har Datatilsynet gitt innspill til Opplæringsutvalget om hvilke personvernrettslige problemstillinger som er aktuelle innen skolesektoren. Departementet synes det er positivt at Datatilsynet aktivt engasjerer seg i å fremme gode personvernløsninger innen skolesektoren.

Personvernombudsordningen

Personvernombudsordningen er blitt styrket som følge av gjennomføringen av det nye regelverket. Nå er det obligatorisk å ha personvernombud for statlige og kommunale virksomheter, samt for en rekke private virksomheter og organisasjoner. Det nye regelverket stiller tydeligere krav til personvernombudenes kvalifikasjoner, uavhengighet og rammebetingelser. Tilsynet melder at antallet virksomheter med personvernombud nærmest er doblet sammenliknet med i 2017.

Departementet er tilfreds med at tilsynet har etablert en god digital løsning for innrapportering av personvernombud, samt en lett tilgjengelig oversikt over personvernombud på tilsynets nettsider.

Datatilsynet har også gjennomført flere tiltak for å spre informasjon om den nye ombudsordningen. Departementet anser det positivt at personvernombud finner sammen i nettverk for å bidra til hverandres kompetansebygging.

Til tross for stor interesse, har Datatilsynet valgt å ikke lenger tilby kurs for personvernombud. Departementet er enig med Datatilsynet i at grunnopplæring av personvernombud faller utenfor dets hovedoppgaver. Samtidig mener departementet at det er svært viktig at Datatilsynet fortsetter samarbeidet med private utdanningsaktører for å sikre at innholdet i kurstilbudene holder et godt faglig nivå også i fremtiden.

Merknader fra Kommunal- og moderniseringsdepartementet til Personvernnemndas årsmelding

Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet. I 2018 hadde nemnda 25 saker til behandling, hvorav 20 saker kom inn i 2018. Nemnda ferdigbehandlet 15 saker innen utgangen av meldingsåret.

På bakgrunn av dette påpeker nemndas leder i årsmeldingen at Personvernnemnda i 2018 har måttet forholde seg til ny og delvis «upløyd mark» i flere saker, noe som har ført til merarbeid. Både nemnda og departementet forventer at dette vil fortsette utover i 2019.

Sakene som Personvernnemnda behandlet i 2018 gjaldt blant annet avindeksering på nett, krav om sletting av personopplysninger, overtredelsesgebyr, samt Datatilsynets vedtak om avslutning av saker om innsynsbegjæringer. Flere av sakene har vært prinsipielle.

En tendens nemnda har merket seg er klager på Googles avslag på anmodning om å få slettet søketreff på Internett, såkalt avindeksering.

Vedrørende nemndas fremtidsutsikter skriver Personvernnemnda i årsmeldingen at gjennomføringen av GDPR i norsk rett har medført økt bevissthet om personvern hos så vel privatpersoner som private og offentlige virksomheter. Departementet deler nemndas vurdering av at flere fremtidige saker trolig vil bli mer komplekse og krevende, samt stille store krav til nemndas arbeid, noe som igjen vil få betydning for nemndas saks- og arbeidsomfang.

Administrasjon og ressurser

Datatilsynets budsjett og rammevilkår

Det gis i meldingskapitlet en gjennomgang av budsjett og øvrige rammevilkår. Det gis blant annet en omtale av antall ansatte, om økning i antall saker, reduksjon i antall tilsyn, antall fattede og påklagete vedtak, økning av antall avviksmeldinger.

Det er departementets vurdering at Datatilsynet i meldingsåret har arbeidet godt innenfor det gjeldende regelverket og de tildelte ressursene. Datatilsynet har evnet å tilpasse og justere virksomheten i samsvar med innføringen av nytt personvernregelverk, samt den økte oppmerksomheten rundt personvern i samfunnet og etterspørselen etter bistand fra tilsynet. Departementet ser at det har vært nødvendig å bruke større ressurser på å forberede både tilsynet og eksterne virksomheter på innføringen av det nye og omfattende personvernregelverket, og anser dette som hensiktsmessig ressursbruk, særlig i et langtidsperspektiv. Videre har Datatilsynet vist et bredt engasjement, både nasjonalt og internasjonalt, i meldingsåret. På denne måten har tilsynet bidratt til å gjøre personvern relevant og kjent, samt til å arbeide frem løsninger som står seg i en internasjonal kontekst.

Personvernnemndas budsjett og rammevilkår

Det gis i meldingskapitlet en gjennomgang av budsjett og øvrige rammevilkår. Det gis blant annet en omtale av endring i stillingsstørrelse for sekretær, antall møter, om klagesaker og omgjøringsprosent, om fokus på kvalitet i saksbehandlingen.

Departementet har hatt jevnlig kontakt med Personvernnemndas sekretariat og leder om administrative spørsmål. Som vanlig avholdt departementet ett kontaktmøte av formell karakter med Personvernnemndas leder og sekretær i løpet av rapporteringsperioden. Departementet opplever kommunikasjonen med nemnda som god. Det er departementets vurdering at Personvernnemnda har brukt den tildelte bevilgningen tilfredsstillende, og har gjennomført oppgavene sine på en god måte i 2018.