Innstilling fra kommunal- og forvaltningskomiteen om Datatilsynets og Personvernnemndas årsrapporter for 2019

Dette dokument

Til Stortinget

1. Sammendrag

1.1 Kommunal- og moderniseringsdepartementets innledning

Det vises i meldingen til at ny personopplysningslov, som gjennomfører EUs personvernforordning (forordning 2016/679) i norsk rett, trådte i kraft i 2018. Både de som behandler personopplysninger og de som er registrert, er betydelig mer opptatt av rettigheter og plikter på dette området enn for bare noen år siden.

Det vises i meldingen til at personvernvurderinger skal gis nødvendig oppmerksomhet i alt utredningsarbeid der slike vurderinger er relevante.

1.1.1 Personvernutfordringer i kommunal sektor

Det vises i meldingen til at kommunal sektor behandler store mengder personopplysninger om innbyggerne sine. Mange av de tjenestene kommunene tilbyr innbyggerne, forutsetter behandling av sensitive personopplysninger. Riktig behandling av slike opplysninger krever god oppmerksomhet om og forståelse for både personvern og informasjonssikkerhet.

Digitalisering av offentlig sektor skal gi en enklere hverdag for innbyggere, næringsliv og frivillig sektor gjennom bedre tjenester, mer effektiv ressursbruk og tilrettelegging for produktivitetsøkning i samfunnet (Én digital offentlig sektor, Digitaliseringsstrategi for offentlig sektor 2019–2025).

Når kommunene skal ta i bruk nye digitale løsninger, må de foreta en vurdering av den risikoen tjenesten eller løsningen kan medføre.

Datatilsynets tilsynsvirksomhet har over flere år vist at det er betydelige utfordringer knyttet til etterlevelse av personvernregelverket, inkludert reglene om informasjonssikkerhet, i mange norske kommuner. Feil skjer både i små og store kommuner.

Ifølge Datatilsynet mangler kommunene ofte bestillerkompetanse. Videre mangler det ofte tilfredsstillende vurderinger av hvilke opplysninger som er nødvendige for hvilke formål, og hvem som bør ha tilgang til disse opplysningene. Det er også i mange kommuner store utfordringer knyttet til ivaretakelse av informasjonssikkerheten generelt. God regeletterlevelse forutsetter både kompetanse og ressurser. Datatilsynet bidrar med både råd og veiledning for at kommunene bedre skal kunne ivareta sine oppgaver. Også Digitaliseringsdirektoratet skal målrette sin veiledningsvirksomhet på informasjonssikkerhetsområdet mot kommunene. Men det er den enkelte kommune som bærer ansvaret for etterlevelse av regelverket.

For mange kommuner vil det være god støtte i å samarbeide med andre kommuner; utveksle erfaringer og gi hverandre råd. Departementet støtter og oppmuntrer derfor til slikt samarbeid mellom kommuner.

1.1.2 Sosiale medier, elektroniske spor og digital markedsføring

Det pekes i meldingen på at en betydelig del av nordmenns liv leves digitalt. De færreste er bevisste hvilke elektroniske spor som genereres når de bruker digitale tjenester.

De aller fleste digitale tjenester benytter informasjonskapsler. Markedsførere kan skape en detaljert profil av brukeren. Analyser og profiler kjøpes og selges i stor skala.

I januar 2020 la Forbrukerrådet frem en rapport (Out of control, 14. januar 2020) om hvordan blant annet bruk av mobiltelefoner etterlater store mengder opplysninger, og hvordan disse opplysningene gjøres tilgjengelige for virksomheter som er helt fremmede for brukerne. Dette foregår med grunnlag i omfattende brukeravtaler som de fleste brukere har svært begrensede forutsetninger for å forstå. Forbrukerrådet peker også på at deres undersøkelser tyder på at mye av den delingen og bruken trolig er ulovlig etter det europeiske personvernregelverket. Personvernmyndighetene i flere europeiske land, inkludert det norske Datatilsynet, arbeider nå med disse problemstillingene.

De siste årene har vi også sett at opplysninger som brukerne gir fra seg på sosiale medier, brukes til helt andre formål, og på en helt annen måte, enn brukerne er forespeilet og har samtykket til. Analyser av personopplysninger benyttes til å målrette budskap, alt fra markedsføring til politiske budskap. Over tid kan det utgjøre en trussel mot demokratiet.

Regjeringen er opptatt av at den enkelte skal settes i stand til å ivareta eget personvern best mulig. Dette forutsetter åpenhet og informasjon om hvordan personopplysninger samles inn og behandles. Mange tjenester som i dag er basert på behandling av personopplysninger, kan tilbys basert på analyser av anonyme data. Det er grunn til å tro at flere vil velge denne type personvernvennlige løsninger hvis de kjenner mulighetene og alternativene. Personvern kan på denne måten bli et konkurransefortrinn.

De siste årene har personvernmyndighetene i Europa samarbeidet med både konkurranse- og forbrukermyndighetene om problemstillinger i grenseland mellom konkurranserett, forbrukerrett og personvern. Også norske myndigheter har deltatt i dette samarbeidet. Nasjonalt har også Datatilsynet og forbrukermyndighetene (Forbrukertilsynet og Forbrukerrådet) et godt samarbeid. Departementet støtter dette samarbeidet. Samtidig er det viktig at det arbeides internasjonalt med denne type utfordringer.

1.1.3 Kunstig intelligens og personvern

Det vises i meldingen til at den teknologiske utviklingen går raskt. Mange løsninger som tar i bruk kunstig intelligens, er basert på innsamling og bruk av store mengder personopplysninger. Dette reiser mange og krevende personvernspørsmål.

I meldingen gis en omtale av ansiktsgjenkjenningsteknologi og av kunstig intelligens, herunder hva metodene brukes til og forhold knyttet til samtykke og manglende samtykke fra den registrerte. Det pekes på at behandling av personopplysninger uten at de registrerte får informasjon om det, i de fleste sammenhenger er problematisk.

Bruk av kunstig intelligens reiser en rekke personvernspørsmål. Regelverket er detaljert og komplisert. Det pekes i meldingen på at det likevel er viktig å utforske de mulighetene som ligger i bruk av personopplysninger og ny teknologi. I regjeringens strategi for bruk av kunstig intelligens fra januar 2020 legger regjeringen vekt på at utvikling og bruk av kunstig intelligens i Norge skal bygge på etiske prinsipper og respektere menneskerettighetene og demokratiet. Bruk av regulatoriske sandkasser er et av virkemidlene som foreslås. Departementet sørger derfor for at Datatilsynet kan etablere en regulatorisk sandkasse for personvern og kunstig intelligens der teknologi og innovative løsninger kan utvikles og prøves ut innenfor trygge rammer.

1.1.4 Utvidelse av personopplysningslovens anvendelsesområde

Personopplysningsloven 2018 skal fra 1. juli 2020 også gjelde på Svalbard med de unntak som følger av forskrift om behandling av personopplysninger.

1.2 Merknader fra Kommunal- og moderniseringsdepartementet til Datatilsynets årsrapport

Det vises i meldingen til at 2019 innebar utvikling som førte til store endringer i Datatilsynets oppgaver, arbeidsform og organisering. Det er departementets erfaring at Datatilsynet, på en god måte, har evnet å tilpasse seg nytt regelverk og nye utfordringer.

I meldingsåret har Datatilsynet valgt å prioritere arbeid med personvernspørsmål innenfor områdene barn, unge og utdanning, helse og velferd, og internasjonalt personvernsamarbeid. I arbeidet har de særlig valgt å se på bruken av virkemidlene kommunikasjon og veiledning, samt personvernombudsordningen.

1.2.1 Barn, unge og utdanning

Personvern for barn og unge har også i dette rapporteringsåret vært et prioritert tema. Stadig flere barnehager og skoler tar i bruk digitale verktøy både i læringssituasjonen og i kommunikasjon mellom skole og hjem.

Det behandles opplysninger om selve arbeidet elevene gjør, og om når og hvor eleven gjorde arbeidet. Dette medfører en omfattende samling av informasjon om barnet/eleven. Det kan også gi betydelig informasjon om hjemmet og organisering av hverdagen og gjennomføring av skolearbeidet. Skolen har en viktig oppgave i å bevisstgjøre elever og foresatte på ulike sider ved bruk av digitale verktøy både i skolearbeidet og ellers. Alle berørte må dessuten få god informasjon om hvem som kan få tilgang til opplysningene i den tiden de lagres. Datatilsynet er opptatt av at barns personvern vektlegges i barnehager og på skoler, og at skole- og barnehageeiere har et bevisst forhold til anskaffelse og bruk av digitale løsninger.

En særskilt problemstilling Datatilsynet peker på, er bruken av gratis applikasjoner. Barnas personopplysninger er motytelsen.

Datatilsynet peker på at 11 pst. av alle avviksmeldingene tilsynet mottok i løpet av meldingsåret, gjaldt behandling av personopplysninger om barn og unge. Tilsynets erfaring er at mange kommuner er mer opptatt av å digitalisere enn å digitalisere riktig. Mange kommuner mangler kompetanse til å gjøre gode anskaffelser og bruke anskaffede systemer på en god måte.

I meldingsåret har Datatilsynet behandlet flere store avvikssaker i skolesektoren. De to største gjaldt avvik ved bruk av systemer for kommunikasjon mellom hjem og skole. Både i 2019 og 2020 inviterte Datatilsynet relevante aktører til rundebordsmøte om personvern og informasjonssikkerhet i skolen. Datatilsynet erfarer at kommunene har et stort behov for informasjon og støtte i sitt arbeid med personvern og informasjonssikkerhet. Tilsynet påpeker viktigheten av at sentrale myndigheter bidrar i dette arbeidet.

Departementet er enig med Datatilsynet i at det er viktig å bidra til at kommunene kan gjøre gode anskaffelser og velge systemer og løsninger som på en god måte ivaretar barnas personvern. Både Datatilsynet og Digitaliseringsdirektoratet kan bidra med råd og veiledning for å realisere dette målet. Også kommunenes organisasjoner kan spille en viktig rolle. Samtidig er departementet opptatt av at det er den enkelte kommune som har ansvaret for å etterleve personvernregelverket.

1.2.2 Helse og velferd

Datatilsynet viser i sin årsrapport til at det pågår flere store prosesser med nasjonale løsninger for behandling av helsedata. Endringer i måten man gir helsehjelp på, stiller nye krav til systemenes evne til å ivareta informasjonssikkerheten knyttet til konfidensialitet, tilgjengelighet og integritet. Det er samtidig en klart uttalt forventning om effektivisering. Felles for høringssaker Datatilsynet har kommentert i løpet av 2019, er at de mener sikkerhetsrisiko og personvernkonsekvenser ved forslagene ikke er tilfredsstillende utredet i høringsforslagene.

Datatilsynet har i rapporteringsåret deltatt i offentlig debatt om personvernrettens rolle og gjennomslagskraft i helsesektoren. Det gis en omtale av debatten i meldingen. I lys av debatten utarbeidet Helse- og omsorgsdepartementet et rundskriv om informasjonshåndtering i spesialisthelsetjenesten. Datatilsynet bidro dessuten i et arbeid med en veileder om personvern og forskning sammen med forskningsmiljøet ved Oslo Universitetssykehus. Departementet mener det er bra at de ulike fagmiljøene arbeider sammen for å finne løsninger på denne type utfordringer i en polarisert debatt.

God ivaretakelse av pasientenes personvern er grunnleggende for en god helsetjeneste. Ofte sidestilles godt personvern med god informasjonssikkerhet. Departementet påpeker at god informasjonssikkerhet er en forutsetning, men ikke tilstrekkelig til å ivareta pasientenes personvern. Samtidig er det viktig å legge til rette for at helseopplysninger, på en trygg og god måte, kan brukes til sekundærformål som forskning og utvikling.

Departementet mener det er positivt at Datatilsynet deltar i den offentlige debatten om personvern og informasjonssikkerhet i helsesektoren. Det følger av personopplysningsregelverket at det skal foretas utredning og vurdering av personvernkonsekvenser i alle saker der dette er relevant. Det er derfor viktig at vanskelige dilemmaer og avveininger mellom personvern og helsehjelp løftes frem og synliggjøres.

1.2.3 Personvernombudsordningen

Da personopplysningsloven 2018 trådte i kraft, ble ordningen med personvernombud obligatorisk for alle offentlige myndigheter og offentlige organer som behandler personopplysninger. Også en rekke private behandlingsansvarlige som behandler personopplysninger på en måte som kan være spesielt inngripende for de registrerte, skal ha personvernombud. Ved utgangen av rapporteringsåret hadde Datatilsynet registrert 1 852 virksomheter med personvernombud.

Personvernombudet har en viktig funksjon som rådgiver og veileder både internt i virksomheten og utad. Ombudet kan på mange måter avlaste Datatilsynet gjennom å være en ressursperson i egen virksomhet.

Datatilsynet har tidligere drevet utstrakt veiledning rettet mot personvernombudene. Med den store økningen i antall ombud som er kommet de siste årene, er det ikke mulig for tilsynet å gi alle nødvendig opplæring og oppfølging. Flere høyskoler har imidlertid etablert utdanningstilbud rettet mot personvernombud.

Departementet ser på personvernombudene som en stor ressurs som bidrar til godt personvernarbeid i både offentlig og privat sektor. Departementet støtter likevel Datatilsynets nedprioritering av opplæring av ombudene til fordel for andre oppgaver. Dette har samtidig gitt grobunn for private utdanningstilbud på området, noe departementet ser på som positivt. Det er også positivt at tilsynet har ressurser til å bidra med kompetanse i disse utdanningsoppleggene.

1.2.4 Avvikssaker

I og med at sanksjonene for brudd på personopplysningsloven og personvernforordningen nå er svært strenge, opplever Datatilsynet at plikten til å rapportere avvik etterleves i en helt annen grad enn tidligere.

I 2019 mottok Datatilsynet 1916 avviksmeldinger og peker på at det er ressurskrevende å håndtere alle meldingene. Tilsynet har derfor utviklet et system der de fleste avviksmeldingene underlegges en forenklet behandling, mens bare de aller mest alvorlige sakene (16 pst.) følges opp gjennom ordinær forvaltningsbehandling. Samtidig påpeker tilsynet at avviksmeldingene er en kilde til nyttig informasjon om de store personvernutfordringene.

Avviksrapporteringen omfatter alt fra store, målrettede hackerangrep der mange tusen registrerte kan være berørt, ned til små saker som har konsekvenser bare for et fåtall registrerte. Den vanligste årsaken til en avviksmelding er at personopplysninger sendes til feil mottaker. Datatilsynet deler avvikene inn i fire hovedkategorier, der noen er interne hendelser, mens andre skyldes forhold utenfor virksomheten. Hele 83 pst. av avvikene gjelder det Datatilsynet kaller interne utilsiktede hendelser. Svært mange av avvikene kunne, ifølge Datatilsynet, vært unngått med bedre interne rutiner eller opplæring.

Fordelt på sektorer viser Datatilsynets rapportering at hele 30 pst. av avvikene rapporteres fra finanssektoren. 23 pst. av avvikene rapporteres fra kommunal sektor, både fra store og mindre kommuner. Ca. 11 pst. av avviksmeldingene omfatter behandling av personopplysninger om barn.

Departementet bemerker at det svært høye antallet rapporterte avvik vel så mye kan være et uttrykk for økt kjennskap til personvernregelverket generelt, og plikten til avviksrapportering spesielt. Tilsvarende er det høye antallet avviksmeldinger fra finanssektoren neppe et uttrykk for at personopplysningssikkerheten i den sektoren er dårligere enn i andre sektorer.

Når det gjelder kommunenes rapportering av avvik, vurderer Datatilsynet disse fra en litt annen innfallsvinkel. En god del av disse avvikene gjelder barn. Avvik som berører barn, er særlig alvorlige. Flere av avvikene i kommunal sektor i rapporteringsåret har utløst betydelige overtredelsesgebyrer fra Datatilsynet. Departementet er enig med Datatilsynet i at det er viktig å løfte kommunenes kompetanse på personvern generelt, og informasjonssikkerhet spesielt. Det er viktig at kommunene kjenner krav og plikter i regelverket når de skal anskaffe eller endre ikt-løsninger, og at de løpende foretar risikovurderinger av de løsningene som brukes. Datatilsynet har gjort et viktig veilednings- og informasjonsarbeid på dette området over flere år. Departementet mener dette er viktig arbeid for at befolkningen skal kunne føle seg trygg på at lokalforvaltningen behandler opplysninger om dem på en sikker og god måte.

1.2.5 Internasjonalt arbeid

Det vises i meldingen til at internasjonalt arbeid er viktig og prioriteres høyt av Datatilsynet. Hoveddelen av vårt nasjonale personvernregelverk er EU-regelverk som er gjennomført i norsk rett. Det er derfor viktig for norske personvernmyndigheter å ha tett og god dialog med personvernmyndigheter i andre europeiske land for å følge med på regelverkstolkningen der. Også samarbeidet i Det europeiske personvernrådet (Personvernrådet) er viktig for Datatilsynets regelverksanvendelse. Samarbeidet gir dessuten mulighet til å påvirke tolkning og anvendelse av regelverket.

Personvernrådets viktigste oppgave er å gi retningslinjer om hvordan personvernforordningen skal tolkes og anvendes. Som EØS-stat er Norge, ved Datatilsynet, fullverdig medlem av Personvernrådet, men uten stemmerett. Tilsynet er aktiv bidragsyter i arbeidet og har påtatt seg en lederrolle i flere større arbeider.

Saker som berører registrerte, behandlingsansvarlige og/eller tilsynsmyndigheter i flere land, skal behandles etter samarbeidsmekanismene i personvernforordningen. Dette er krevende saker med mye koordinering.

Datatilsynet har etablert en egen internasjonal enhet.

Departementet ser positivt på at Datatilsynet deltar aktivt på mange internasjonale arenaer.

Et sentralt hensyn bak EUs personvernforordning er regelverksharmonisering. Fortolkningen av regelverket skjer blant annet gjennom det europeiske samarbeidet, og særlig arbeidet som gjøres i Personvernrådet. Aktiv deltakelse gir mulighet til å påvirke regelverksforståelsen. Datatilsynets internasjonale arbeid er derfor blitt enda viktigere og mer omfattende enn tidligere. Departementet er trygg på at Datatilsynet også fremover vil være en tydelig bidragsyter i det europeiske personvernsamarbeidet, og at de vil tilkjennegi sitt syn i diskusjoner og behandling av aktuelle saker. Videre medfører stadig økt handel og internasjonal samhandling flyt av personopplysninger også til land utenfor EU- og EØS-området. Sentrale personvernutfordringer må derfor håndteres gjennom internasjonalt samarbeid og felles løsninger. Departementet er tilfreds med den synlige rollen Datatilsynet har tatt i det internasjonale personvernarbeidet, og i særdeleshet i det europeiske samarbeidet.

1.2.6 Kommunikasjon som virkemiddel, særlig om videreutvikling av veiledningstjenesten

I perioden med innføring av nytt personvernregelverk har kommunikasjon vært et svært viktig virkemiddel i Datatilsynets arbeid.

I 2019 ble den juridiske veiledningstjenesten innlemmet som en egen ressursenhet i kommunikasjonsavdelingen. Dette gir mulighet for god samordning mellom veiledningstjenestens erfaringsmateriale og andre kommunikasjonstiltak. Veiledning per e-post har over tid blitt uforholdsmessig ressurskrevende, og det har i perioder tatt lang tid å besvare henvendelsene. I rapporteringsåret ble derfor e-postbehandling på veiledningstjenesten faset ut midt i året, samtidig som det ble satset mer på telefonveiledning. Antall telefonhenvendelser til veiledningstjenesten økte i løpet av 2019. Som erstatning for e-postveiledningen legger tilsynet nå betydelige ressurser i å bygge ut veiledningsmaterialet på sine nettsider, slik at disse skal fungere som den primære kilden for informasjon om rettigheter og plikter.

Datatilsynet fører oversikt over tema for henvendelser til veiledningstjenesten. Denne oversikten gir en god indikasjon på hvilke problemstillinger både de registrerte og de behandlingsansvarlige strever med. I meldingsåret var ca. 25 pst. av henvendelsene registerrelaterte spørsmål. Litt over 20 pst. av henvendelsene gjaldt internkontroll og informasjonssikkerhet, 14 pst. gjaldt kameraovervåking, mens kategoriene «sporing og kontroll» og «definisjoner og tolkning av regelverket» sto for 10 pst. hver.

I tillegg til veiledningstjenesten benytter Datatilsynet både sin egen personvernblogg, sosiale medier og debattinnlegg.

Departementet mener det er positivt at Datatilsynet har en aktiv holdning til kommunikasjonsarbeid og benytter ulike kanaler for å nå ut med ulike budskap til forskjellige mottakergrupper. Det er et mål for regjeringen at den enkelte i størst mulig grad skal råde over egne personopplysninger og ivareta eget personvern. God informasjon i kanaler som treffer mottakerne, er avgjørende for å nå dette målet, og Datatilsynet er en svært viktig informasjonsformidler. Etter departementets vurdering har Datatilsynet gjort gode vurderinger og prioriteringer i sitt kommunikasjonsarbeid for å støtte opp under regjeringens mål på personvernområdet.

1.3 Merknader fra Kommunal- og moderniseringsdepartementet til Personvernnemndas årsmelding

I meldingsåret mottok Personvernnemnda i alt 16 klagesaker fra Datatilsynet. Som følge av en restanse fra 2018 har nemnda hatt totalt 25 saker til behandling i 2019. To ble trukket, tre var ubehandlet ved utgangen av 2019. Totalt ble det fattet realitetsvedtak i 20 saker i løpet av året. Kun ett vedtak er fattet med dissens. Datatilsynets vedtak ble endret i fem av de 20 sakene. Dette er en lavere omgjøringsandel enn tidligere år. Sett i forhold til at Datatilsynet fattet 285 vedtak, er antall omgjøringer i nemnda også svært lavt.

Nemnda avholdt ti møter i meldingsåret. De fleste av sakene ble behandlet og endelig avgjort i løpet av ett nemndsmøte. Likevel har den gjennomsnittlige saksbehandlingstiden i løpet av året økt i 2019.

Personvernnemnda har i meldingsåret hatt fokus på kvalitet. Departementet deler Personvernnemndas vurdering av at gode og pedagogiske vedtak skrevet slik at de egner seg som fremtidig veiledning i liknende saker, er viktig. Departementet vurderer derfor at det er en riktig prioritering å fokusere på kvalitet i vedtakene fremfor reduksjon i saksbehandlingstiden.

De fleste sakene som Datatilsynet har behandlet etter personopplysningsloven 2000, og som er blitt klaget inn for Personvernnemnda, er blitt behandlet etter den nye personopplysningsloven.

På bakgrunn av dette påpeker nemndas leder i årsmeldingen at Personvernnemnda også i 2019 har måttet forholde seg til ny og delvis «upløyd mark» i flere saker. En konsekvens av dette er blant annet at Personvernnemnda har måttet foreta selvstendig utredning av de juridiske spørsmålene sakene reiser. I lys av dette finner departementet det forståelig at saksbehandlingstiden har gått noe opp. Nemndas vedtak er viktige for den nasjonale tolkningen og forståelsen av personvernforordningen. Departementet mener derfor det har stor betydning at sakene er godt utredet, og at vedtakene er skrevet på en måte som gjør at både Datatilsynet, de behandlingsansvarlige og de registrerte kan forstå dem.

To problemstillinger har vært tilbakevendende i sakene som Personvernnemnda behandlet i 2019. Dette var for det første saker om avindeksering på nett (tre saker), og dernest krav om sletting av opplysninger i personalmapper eller andre saker knyttet til arbeidsgiver/arbeidstakerforhold (fem saker). Flere av sakene har vært sammensatte og reist prinsipielle spørsmål.

Personvernnemnda har i løpet av året fattet flere avgjørelser som gjaldt klage på Datatilsynets vedtak om avslag på begjæring om sletting av personopplysninger i personalmappe. I disse sakene har nemnda, som Datatilsynet, lagt seg på en linje som innebærer at det skal mye til før den ansatte får medhold i sitt slettekrav. Gjennomgående legger både Datatilsynet og nemnda stor vekt på arbeidsgivers berettigede behov for å behandle opplysninger i den hensikt å ivareta sine interesser i pågående eller langvarige arbeidskonflikter.

Nemnda har i rapporteringsperioden behandlet tre klager i saker som gjelder Googles avslag på anmodning om å få slettet søketreff på internett, såkalt avindeksering. Tendensen viser at saker hvor interesseavveiningen mellom ytringsfrihet og personvern står sentralt, er svært aktuelle. Problemstillingen var blant annet sentral i saken om Legelisten.no, som nemnda fattet vedtak om i 2019 og som er videre i domstolssystemet. Se meldingen for nærmere omtale av saken.

Personvernnemnda peker på at den raske teknologiske utviklingen kan sette den enkeltes personvern under press. Ivaretakelse av personvernhensyn forutsetter et godt håndhevingsapparat, herunder en velfungerende klageordning med tilstrekkelige ressurser.

Nemnda viser til at personvernforordningen gir den enkelte registrerte styrkede rettigheter samtidig som pliktene for de behandlingsansvarlige og databehandlerne skjerpes. Det er for tidlig å si noe om hvilken effekt dette over tid vil få for saksmengden i Personvernnemnda. Nemnda peker likevel på at det er en generelt økende bevissthet om rettigheter og plikter i samfunnet, og at nye og komplekse regler også vil kunne påvirke nemndas saksmengde. Videre viser Personvernnemnda til at stadig flere av klagerne lar seg bistå av advokat i klageprosessen. Dette kan i sin tur føre til flere krav om dekning av sakskostnader etter forvaltningsloven § 36. Departementet påpeker at det er tatt hensyn til en viss økning i saksomkostningskrav i de siste års budsjetter.

Sakene har de siste årene tilsynelatende blitt mer komplekse og krevende. Samtidig har nemnda for en stor del utredet de juridiske spørsmålene i sakene fra bunnen av som følge av at Datatilsynet har behandlet sakene etter personopplysningsloven 2000, mens nemnda har behandlet dem etter personopplysningsloven 2018. Departementet er derfor tilfreds med at saksbehandlingstiden i nemnda ikke har økt urovekkende i rapporteringsperioden, og at restansene er svært lave. Departementet vurderer at nemnda, samlet sett, gjør meget godt arbeid innenfor de tildelte ressursene.

1.4 Administrasjon og ressurser

1.4.1 Datatilsynets budsjett og rammevilkår

Datatilsynet hadde i 2019 en budsjettramme på 57 672 000 kroner, en økning på drøyt 3 231 000 kroner fra 2018. Med overføringer og tilleggsbevilgninger hadde Datatilsynet 61 180 000 kroner til disposisjon i 2019. Av tilsynets utgifter utgjorde 68,5 pst. utgifter til lønn og 31,5 pst. utgifter til drift. Datatilsynet hadde i meldingsåret 43 faste og to midlertidige stillinger, i tillegg til én lærling og seks studenter.

Tilsynet ledes av direktør Bjørn Erik Thon, som ble tilsatt på åremål i 2010 og fornyet i 2016. Ledergruppen bestod i meldingsåret av tre menn og to kvinner. I Datatilsynet sett under ett var det 61,5 pst. kvinner og 38,5 pst. menn. Virksomheten ble omorganisert i løpet av året, og ny organisasjon var på plass i september.

2019 var det første hele året med nytt personopplysningsregelverk. Dette har medført store endringer i Datatilsynets arbeidshverdag. Oppmerksomheten om de meget høye overtredelsesgebyrene som kan ilegges ved brudd på personvernforordningen, har ført til et betydelig antall avviksmeldinger til Datatilsynet. I 2019 mottok Datatilsynet 1 916 avviksmeldinger, mot 1 275 i 2018, og bare 206 i 2016. En ikke ubetydelig andel av meldingene gjelder mindre alvorlige avvik. Tilsynet har arbeidet for å finne egnede måter å utkvittere den store mengden avviksmeldinger på, samtidig som de skulle nyttiggjøre seg informasjonen i meldingene.

Internasjonalt har arbeidet økt betydelig i omfang og viktighet. Datatilsynet opplyser i årsrapporten at de har prioritert deltakelse og engasjement i EUs personvernarbeid, blant annet deltakelse i Det europeiske personvernrådet.

Datatilsynet registrerte et rekordhøyt antall nye saker i meldingsåret, totalt 3 118, mot 2 654 nye saker i 2018. Økningen skyldes trolig større interesse og oppmerksomhet for både personvernrettigheter og -plikter. Datatilsynet fattet 285 vedtak i 2019, noe som er en liten økning fra 2018, da det ble fattet 246 enkeltvedtak. Selv om antall enkeltvedtak gikk noe opp i 2019 sammenliknet med 2018, ble det fattet vesentlig færre enkeltvedtak enn i årene før personvernforordningen trådte i kraft. Dette er blant annet en direkte konsekvens av at konsesjonsplikten i hovedsak ble avviklet da det nye personvernregelverket trådte i kraft. Datatilsynet forklarer også nedgangen med at de nye reglene ikke krever at Datatilsynet gir forhåndsgodkjenning når personopplysninger skal overføres til tredjestater i medhold av EU-kommisjonens standardkontrakter.

23 av de 285 vedtakene Datatilsynet fattet i meldingsåret, ble påklaget. Antall mottatte klagesaker er det laveste på flere år. I 16 av sakene var klagende part en privatperson og i sju saker en virksomhet eller organisasjon. Datatilsynet omgjorde sitt vedtak i to av klagesakene. Ved utgangen av meldingsåret var fremdeles ni av klagesakene til behandling i Datatilsynet. De resterende var oversendt til Personvernnemnda eller Kommunal- og moderniseringsdepartementet (én innsynsklage) for behandling.

Departementet er tilfreds med det arbeidet Datatilsynet har utført i meldingsåret innenfor de tildelte ressursene og øvrige rammevilkår. Datatilsynet har evnet å tilpasse og justere virksomheten i samsvar med sakstilfanget og sakstyper etter nytt personvernregelverk. Dette innebærer blant annet at de har omorganisert virksomheten slik at den er bedre rustet til å håndtere de utfordringene tilsynet stilles overfor. Videre har Datatilsynet vist et bredt engasjement på en rekke arenaer og fagområder i meldingsåret. De har bidratt til å sette personvern på dagsorden i en rekke sammenhenger, både nasjonalt og internasjonalt.

1.4.2 Personvernnemndas budsjett og rammevilkår

Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet. Nemnda har sju medlemmer. Den sittende nemnda er oppnevnt for perioden januar 2017 til desember 2020 og ledes av sorenskriver Mari Bø Haugstad.

Personvernnemnda hadde i 2019 en budsjettramme på 2 325 000 kroner og har i meldingsåret brukt 1 959 000 kroner. Dette ga et mindreforbruk på 366 000 kroner. Det skyldes i det vesentlige lavere utgifter til møtegodtgjørelse/honorarer enn budsjettert, samt at en del utgifter knyttet til nemndas internseminar i desember først forfalt til betaling i 2020. Dessuten er husleiekostnaden bortfalt ved at nemnda fra høsten 2018 både disponerer kontorplass til sekretariatet og avholder sine møter i departementsfellesskapet.

Personvernnemndas sekretariat består av én medarbeider i 100 pst. stilling.

Det er departementets vurdering at Personvernnemnda har brukt den tildelte bevilgningen tilfredsstillende, og har gjennomført oppgavene sine på en god måte i 2019.

2. Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Masud Gharahkhani, Stein Erik Lauvås, Eirik Sivertsen og Siri Gåsemyr Staalesen, fra Høyre, Norunn Tveiten Benestad, Torill Eidsheim, Olemic Thommessen og Ove Trellevik, fra Fremskrittspartiet, Jon Engen-Helgheim og Helge André Njåstad, fra Senterpartiet, Heidi Greni og Willfred Nordlund, fra Sosialistisk Venstreparti, lederen Karin Andersen, og fra Kristelig Folkeparti, Torhild Bransdal, viser til at Datatilsynet ble etablert den 1. januar 1980 og er et uavhengig forvaltningsorgan administrativt underlagt Kommunal- og moderniseringsdepartementet. Komiteen viser videre til at Datatilsynet har fem ulike virkemidler til disposisjon for å sikre enkeltindividets personvern. Disse fem virkemidlene er saksbehandling, tilsynsvirksomhet, kommunikasjon og veiledning, organisatoriske virkemidler som deltakelse i råd og utvalg, samt forsknings-, utviklings- og utredningsarbeid.

Komiteen mener Datatilsynets og Personvernnemndas årsmeldinger for 2019 gir et godt bilde av tendenser og utviklingstrekk på personvernområdet i tillegg til å gi en god oversikt over virksomhet og de aktuelle prioriteringer.

Komiteen viser til at alle mennesker har en ukrenkelig egenverdi. Enkeltmennesker har rett til en privat sfære som man selv kontrollerer, hvor den enkelte kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker.

Komiteen peker på prinsippet som er forankret i Den europeiske menneskerettskonvensjon artikkel 8, hvor det står:

«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.»

I meldingen vises det til at en betydelig del av nordmenns liv leves digitalt, samt at store mengder personopplysninger tilflyter både det offentlige og andre aktører. Komiteen merker seg at det i meldingen vises til at de færreste er bevisste hvilke elektroniske spor som genereres når de bruker digitale tjenester. Riktig behandling av slike opplysninger krever god oppmerksomhet om og forståelse for både personvern og informasjonssikkerhet, men fordrer også økt bevissthet om eget personvern.

Komiteen merker seg at meldingen tar opp bruk av kunstig intelligens, som reiser en rekke personvernspørsmål. Det vises til at regelverket er detaljert og komplisert.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Senterpartiet og Kristelig Folkeparti, vil understreke at all bruk av personopplysninger må ha et rettslig grunnlag for å være lov. Flertallet er opptatt av, som det også pekes på i meldingen, at det likevel er viktig å utforske de mulighetene som ligger i bruk av personopplysninger og ny teknologi.

Komiteens medlemmer fra Senterpartiet viser til at det har vært flere saker med alvorlige brudd på personvernregelverket i skole- og helsevesenet de senere år. Disse medlemmer mener elever, pasienter og alle andre innbyggere i Norge skal være trygge på at deres personopplysninger blir ivaretatt og ikke kommer på avveie. Det påhviler det offentlige et særskilt ansvar å sikre personvernet og behandle de opplysninger man besitter fordi man er offentlig myndighet med stor aktsomhet. Dette gjelder både opplysninger som finnes i digitale og ikke-digitale systemer. Disse medlemmer mener arbeidet med ivaretakelse av personvern må ha et særlig fokus i all digitalisering i offentlig sektor. Dette er viktig både i bruken av eksisterende datasystemer og i utvikling og innføring av nye systemer i takt med at offentlig sektor blir mer digitalisert. Disse medlemmer vil understreke at regjeringen har ansvaret for ivaretakelse av personvernet. Det forutsettes at det arbeides med å rydde opp i saker om personopplysninger på avveie fra skole og helseinstitusjoner, og sørges for at lignende hendelser ikke gjentar seg.

Komiteens medlem fra Sosialistisk Venstreparti påpeker at bruken av personopplysninger må sikres slik at den ikke bryter personvernet, og det må også klargjøres framover hvordan slike opplysninger skal kunne brukes kommersielt. Dette er store verdier som i dag på mange måter fungerer som et fritt gode og som det kan være grunn til å regulere mye sterkere framover. Videre er det viktig at staten ivaretar at den kunstige intelligensen som utvikles, brukes til samfunnsnyttige formål, og at interessene til ulike befolkningsgrupper blir ivaretatt. Videre teknologisering av ulike samfunnssektorer må ikke bidra til økende forskjeller økonomisk eller sosialt.

Komiteen merker seg at behandling av avviksmeldinger har økt kraftig. Da nytt personvernregelverk trådte i kraft juli 2018, ble kravet om å melde avvik skjerpet. For inneværende år melder Datatilsynet om 1 916 avviksmeldinger, mot 84 i 2015. Komiteen merker seg at det i årets høye tall for avviksmeldinger ligger et spenn fra mindre alvorlig til svært alvorlig, og at Datatilsynet viser til at de mest alvorlige sakene som har vært til behandling det siste året, har sitt utspring i avviksmeldinger.

Komiteen merker seg også den innsatsen som legges ned for å avdekke utfordringer knyttet til personvern for barn og unge i utdanningen.

Komiteen ønsker å understreke at tillit må ligge til grunn for gode digitaliseringsprosesser, både i skolen og samfunnet for øvrig. Det forutsetter at personvern og informasjonssikkerhet må være på plass. Regelverket stiller høye krav til kunnskap og kompetanse om personvern. Komiteen finner det riktig å vise til at digitalisering av prosesser kan bedre informasjonssikkerhet og personvern. Personvernlovgivningen legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Lett tilgang til pålitelig informasjon og veiledning vil derfor være svært viktig.

Komiteen viser til at å ivareta barn og unges personvern i og utenfor skolen er helt grunnleggende viktig. Ansvaret kan ikke utelukkende overlates til den enkelte, men må også ivaretas gjennom statlige regelverk, opplæring og tiltak for å begrense risiko. Det er også helt avgjørende at barn får kunnskap om den digitale verden i skolen, og at det bygges opp kritisk sans hos barn og unge.

Vi er alle sårbare både for at andre får tilgang på informasjon som kan misbrukes, og at man kan utsettes for svindel eller blir feilinformert. Manglende digital forståelse gjør at man er særlig utsatt. Digitale flaters rekkevidde kan bidra til at feilinformasjon og såkalte «fake news» spres raskt og bredt, og kan ha til hensikt å rokke ved tryggheten i samfunnet og tilliten til vårt demokratiske system.

Komiteen mener at en sterk lovregulering er viktig. Det er svært uheldig dersom for mye av ansvaret for personvernet på nett blir overlatt til den enkelte. Rask utvikling av nye produkter og plattformer gjør det ganske uoverkommelig for en stor andel av befolkningen å overskue og forstå alle konsekvenser av egen nettbruk. Behovet for økt kunnskap om personvern må møtes på ulike nivå, både i skole, arbeidsliv og gjennom annen allmenn tilgjengelig skolering. I tillegg er komiteen opptatt av at det jobbes kontinuerlig med regelutvikling og sikkerhetsmekanismer.

Komiteen ønsker å understreke at digitalisering av prosesser også er en viktig bidragsyter til bedre informasjonssikkerhet og personvern.

Komiteen ser svært positivt på at Datatilsynet har som strategisk satsing å bidra til økt kunnskap om og interesse for personvern.

Komiteen merker seg Datatilsynets vektlegging av helse og Nav, der det vises til at endringer i måten man gir helsehjelp på, stiller nye krav til systemenes evne til å ivareta informasjonssikkerheten knyttet til konfidensialitet, tilgjengelighet og integritet.

Komiteen ser positivt på at Datatilsynet følger disse store nasjonale prosessene tett.

Komiteen registrerer at Datatilsynet trekker frem det forpliktende samarbeidet koordinert av Det europeiske personvernrådet (EDPB) som en av de viktigste pilarene i personregelverket. Komiteen ser det som særs viktig å opprettholde et godt samarbeid på tvers av landegrensene.

Komiteen registrerer også den omorganiseringen som Datatilsynet har gjennomført i lys av nytt personregelverk, og ser svært positivt på at organisasjonen nå står bedre rustet for å løse de oppgaver de er satt til å forvalte.

Komiteen ønsker å vise til at personvernregelverket fremdeles er relativt ferskt. Komiteen merker seg at prosedyrene som gjelder saker av grenseoverskridende art, kan fremstå kompliserte og utfordrende å følge i praksis. Komiteen ønsker å understreke at tilsynssamarbeid på tvers av landegrensene er både viktig og forpliktende, og merker seg ønsket om en harmonisert praktisering av regelverket på tvers av Europa.

I meldingen trekkes også de nasjonale samarbeidsrelasjonene frem, og komiteen merker seg at det er en utstrakt kontakt med andre aktører. Komiteen vil understreke at dette er svært viktig også ut over de eksisterende avtaler om faglig samarbeid med sentrale statlige virksomheter.

Komiteen viser til at Personvernnemnda er et uavhengig kollegialt forvaltningsorgan administrativt underlagt Kommunal- og moderniseringsdepartementet (KMD). Nemnda ble etablert 14. april 2000 og avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt, jf. personopplysningsloven § 22. Nemnda behandler ikke klager over Datatilsynets vedtak i saker som berører behandlingsansvarlige eller registrerte i flere EU-/EØS-land, og som skal behandles etter de særlige reglene i personvernforordningen artikkel 60 til 66.

Komiteen merker seg at Personvernnemnda hadde 25 saker til behandling i meldingsåret, hvorav 9 kom inn i 2018. Personvernnemnda fattet realitetsvedtak i 20 saker i løpet av 2019.

Ut over dette har ikke komiteen ytterligere merknader.

3. Komiteens tilråding

Komiteens tilråding fremmes av en samlet komité.

Komiteen har for øvrig ingen merknader, viser til meldingen og rår Stortinget til å gjøre følgende

vedtak:

Meld. St. 26 (2019–2020) – Datatilsynets og Personvernnemndas årsrapporter for 2019 – vedlegges protokollen.

Oslo, i kommunal- og forvaltningskomiteen, den 12. november 2020

Karin Andersen

Torill Eidsheim

leder

ordfører