Alla inlägg den 27 augusti 2023
1. Innledning
Vi viser til høringsbrevet av 11. november 2022, med invitasjon til å komme med høringsuttalelse til Personvernkommisjonens utredning, NOU 2022:11 Ditt personvern – vårt felles ansvar.
Personvernkommisjonen har levert en grundig, god og viktig utredning. Vi håper derfor at NOU-en vil bli fulgt opp med konkrete tiltak som kan styrke personvernet, både for enkeltindividet og for samfunnet i sin helhet.
Datatilsynet syns det er svært positivt at NOU-en setter personvern på dagsordenen og ønsker spesielt å vise til at kommisjonen etterlyser en nasjonal personvernpolitikk. Vi har også merket oss at kommisjonen trekker frem den gjennomgående tendensen til at digitaliseringen skjer på bekostning av personvernet, noe som etter tilsynets oppfatning underbygger viktigheten av et styrket datatilsyn i Norge.
I tillegg til behovet for en nasjonal personvernpolitikk, ønsker vi spesielt å trekke frem tre områder hvor vi mener det er særlig viktig med snarlig oppfølging og handling:
• Personvern i skolene og barnehagene
• Utredning av et forbud mot atferdsbasert markedsføring
• Styrking av Datatilsynet
Godt personvern er viktig i alle sektorer. I dette høringssvaret har vi først og fremst valgt å kommentere de anbefalingene i NOU-en vi mener kan ha størst positiv effekt for personvernet.
Vi tillater oss å peke på at viktige områder innen forsvars- og justissektoren dessverre ikke har blitt innfortolket som en del av Personvernkommisjonens mandat. Dette gjør at vi nå ikke får en nødvendig diskusjon om for eksempel overvåkningstiltak i regi av de hemmelige tjenestene, tilrettelagt innhenting av kommunikasjonsdata, lagring av IP-adresser, overvåking av flypassasjerer og innhenting av personinformasjon fra åpne kilder.
De seneste årene har vi sett en rekke ulike initiativer som har skullet legge til rette for innhenting og lagring av personopplysninger fra digitale kilder i stor skala. Det dreier seg om tiltak som kan virke svært inngripende, og som kan ha stor innvirkning på personvernet til folk flest. Vi har flere ganger pekt på at tiltakene som er foreslått har vært i strid med grunnleggende menneskerettigheter, og at konsekvensene ved å innføre tiltakene er mangelfullt utredet. Internasjonale domstoler har også konkludert med det samme i lignende saker i andre land vi normalt sammenligner oss med.
Vi mener at en analyse av den samlede situasjonen for vårt kollektive personvern blir ufullstendig uten en gjennomgang av de initiativene som er tatt i forsvars- og justissektoren.
2. Datatilsynets merknader
2.1 Hva er personvern, rettslig rammeverk og teknologiske drivkrefter – en nasjonal personvernpolitikk
Utredningens innledende kapittel og første del tegner et bilde av en digitaliseringsprosess som i stor grad har skjedd på bekostning av personvernet. Kommisjonen foreslår en nasjonal personvernpolitikk for å legge føringer for digitaliseringen av samfunnet, i tillegg til det som følger av lovgivningen. En slik politikk vil kreve at personvern i større grad løftes ut av ekspertsirklene og gjøres til et relevant og viktig spørsmål i samfunnsdebatten, i kommunestyrer og på Stortinget. Kommisjonen forslår at regjeringen legger frem en personvernpolitisk redegjørelse for Stortinget årlig, forankret i gjeldende personvernpolitikk. Vi mener at en nasjonal personvernpolitikk er nødvendig, og vi støtter anbefalingen.
Kommisjonen skriver at en nasjonal personvernpolitikk må se personvernet i et helhetlig perspektiv. Kommisjonen peker også på at det i dag ikke finnes noen offentlig virksomhet med et overordnet ansvar for å vurdere den samlede bruken av personopplysninger i offentlig forvaltning. Dette fører, ifølge kommisjonen, til at det er svært vanskelig å vurdere den samlede effekten av potensielt inngripende tjenester, tiltak eller lovendringer. Dette er utfordringer Datatilsynet har pekt på i flere sammenhenger og vi er enige i at utfordringen fortjener å løftes opp på det rikspolitiske nivået.
Videre peker kommisjonen på at en nasjonal personvernpolitikk må fremme personvernvennlig innovasjon. Datatilsynet har gjennom flere år arbeidet strategisk for dette, blant annet gjennom den regulatoriske sandkassen for kunstig intelligens og med veiledningen vår om programvareutvikling med innebygd personvern. Vi støtter derfor opp under forslaget. At offentlig sektor bør gå foran, blant annet ved å bruke sin betydelige innkjøpsmakt for å stimulere til fremveksten av personvernvennlige produkter og tjenester, er likeledes et forslag vi stiller oss bak.
I kapittel 5 redegjør kommisjonen for teknologiske utviklingstrekk med betydning for personvernet. Kommisjonen støtter et generelt forbud mot biometrisk fjernidentifikasjon i det offentlige rom, for eksempel ansiktsgjenkjenningsteknologi. Et slikt forbud er tatt inn i forslaget til forordning om harmoniserte regler for kunstig intelligens i EU («AI Act»).
Vi anbefaler et generelt forbud, og vi støtter også Personvernkommisjonens anbefaling om at norske myndigheter bør arbeide opp mot EU for å få gjennomført et forbud.
Vi støtter også den mer generelle anbefalingen i kapittel 5 om at føre-var-prinsippet bør gjelde når «teknologi med særlig høy risiko for personvernet vurderes innført".
2.2 Personvern i den digitale forvaltningen
I kapittel 6 gjennomgår kommisjonen personvernets stilling i den digitale forvaltningen. Datatilsynet mener kommisjonen trekker frem viktige forhold knyttet til digitaliseringen av offentlig sektor og utfordringer dette kan medføre for personvernet.
Vi støtter anbefalingene kommisjonen foreslår. Under vil vi komme med noen utdypende kommentarer.
Offentlige myndigheters behandling av personopplysninger – deling og viderebruk Kommisjonen gir en grundig gjennomgang av de menneskerettslige og personvernrettslige kravene til offentlige myndigheters behandling av personopplysninger.
Vi mener det er viktig å løfte frem disse overordnede perspektivene i diskusjoner om personvern i det offentlige Norge.
Kommisjonen angir at det er behov for sterkere parlamentarisk kontroll med ny lovgivning som påvirker innbyggernes personvern. Dette forutsetter at Stortinget settes i stand til å gjøre gode vurderinger, blant annet ved at personvernkonsekvensene av lovforslag er synliggjort på en grundigere og mer balansert måte. På den måten vil Stortinget få best mulig forutsetninger for å gjøre gode avveininger og verdivalg. Vi støtter også målsettingen om økt personvernkompetanse i forvaltningen, særlig i forbindelse med regelverksarbeid.
Videre legger kommisjonen til grunn at en ordinær høringsrunde i forbindelse med utarbeidelse av lovgivning ikke er tilstrekkelig til å ivareta rådføringsplikten som fremgår av personvernforordningen artikkel 36 nr. 4. Ikke bare er det et lovfestet krav, det vil også være formålstjenlig og fornuftig å involvere Datatilsynet tidligere i mange regelverksprosesser. Vi er derfor helt enige i anbefalingen om at det bør utredes om rådføringsplikten etterleves i tilstrekkelig grad i dag.
Kommisjonen anbefaler å etablere et frittstående og rådgivende organ som har overordnet ansvar for å se offentlige digitaliseringstiltak og lovgivningen i sammenheng på tvers av sektorer. Vi mener at en slik koordinering vil kunne være et godt tiltak for å sikre helhetlig ivaretakelse av personvernet i offentlig sektor. Vi stiller oss også bak forslaget om større grad av sentraliserte anbefalinger og krav til IKT-sikkerheten i det offentlige.
Kommisjonen anbefaler at man i større grad gjør bruk av muligheten til å lov- eller forskriftsfeste ansvarsforholdene der opplysninger skal deles på tvers av offentlige myndigheter. Datatilsynet deler kommisjonens oppfatning. Økt bruk av lov- og forskriftshjemler for å plassere ansvar vil være et viktig tiltak for å sikre ivaretakelse av de registrertes rettigheter og forhindre ansvarspulverisering.
Vi ser positivt på kommisjonens anbefaling om å utforske hvorvidt tekniske løsninger for deling av informasjon mellom offentlige organer også kan benyttes til å øke graden av samtykkebasert deling. En slik tilnærming vil styrke innbyggernes kontroll over egne personopplysninger. Samtidig vil offentlige myndigheters behov for tilgang til informasjon om den enkelte innbygger ivaretas.
Kommisjonen har pekt på «kun én gang»-prinsippet, som ligger til grunn for digitaliseringen av offentlig sektor. Det er en forventning hos mange innbyggere at personopplysninger man har delt med det offentlige er tilgjengelige for relevante myndigheter. Dette er et viktig hensyn bak dagens digitaliseringsstrategi.
En slik tilnærming forutsetter likevel gode mekanismer for å kunne følge opp opplysningenes korrekthet. Deling og bruk av feilaktige opplysninger kan få alvorlige konsekvenser for enkeltpersoner. Det har vi erfart i vårt tilsynsarbeid, for eksempel gjennom saker der personer feilaktig har blitt registrert som døde i Folkeregisteret.
Vi ser positivt på at kommisjonen har løftet frem underretningsplikten den behandlingsansvarlige har etter personvernforordningen artikkel 19. En riktig praktisert underretningsplikt vil være et viktig virkemiddel for å hindre at ikke-korrekte personopplysninger spres og brukes videre til nye formål.
Automatisering av beslutningsprosesser Datatilsynet stiller seg bak kommisjonens vurderinger av fordelene og ulempene ved automatiserte beslutningsprosesser og beslutningsstøtteverktøy. Hensynet til likebehandling, transparens, forutberegnelighet og effektivitet kan bli bedre ivaretatt, mens bruk av feilaktig informasjon, feiltolking av lovverket og manglende forvaltningsskjønn i automatiserte prosesser kan få store konsekvenser. Særlig vil menneskelig inngripen være et viktig tiltak for å unngå disse fallgruvene.
Datatilsynet mener det er gode grunner til å følge tett med på utviklingen når stadig mer komplekse avgjørelser forventes å skulle fattes ved hjelp av, eller i sin helhet av, automatiserte beslutningssystemer. Vi støtter kommisjonens anbefaling om størst mulig grad av lovregulering av offentlige automatiseringstiltak.
Profilering Datatilsynet deler kommisjonens vurdering av at profilering til kontrollformål alltid bør anses som en inngripende behandling av personopplysninger. Selv om profilering av innbyggere kan medvirke til målrettet og effektiv utøvelse av forvaltningens oppgaver, medfører det samtidig en iboende stor risiko for urimelig forskjellsbehandling eller diskriminering. Det er 5 liten tvil om at dette på lengre sikt kan føre til nedkjølingseffekter i befolkningen, slik også kommisjonen peker på.
2.3 Personvern i justissektoren
Datatilsynet mener kommisjonen trekker frem sentrale utfordringer i justissektoren og støtter i all hovedsak de foreslåtte anbefalingene i utredningens kapittel 7. Vi vil nedenfor kommentere enkelte utfordringer og anbefalinger.
Datatilsynet merker seg at kommisjonen har hatt utfordringer med å få innsikt i politiets metodebruk og verktøy. Kommisjonen ser det som problematisk at det er begrenset offentlig informasjon tilgjengelig om hvilke verktøy politiet anvender i dag eller vurderer å anvende i fremtiden. Dette gjør det vanskelig å vurdere personvernkonsekvenser ved metodebruken. Datatilsynet slutter seg til dette.
Rettslig regulering av personvern i justissektoren – Kriminalomsorgen Personvernkommisjonen mener Justis- og beredskapsdepartementet i arbeidet med ny lovregulering knyttet til straffegjennomføring bør tydeliggjøre behandlingsansvaret i kriminalomsorgen og anbefaler å legge ansvaret til den virksomheten som utfører den faktiske behandlingen av personopplysninger.
Datatilsynet er enig i at plasseringen av behandlingsansvaret i Kriminalomsorgen har vært uklar. I 2022 gjennomførte vi et tilsyn med kriminalomsorgen ved Kriminalomsorgsdirektoratet (KDI) og tre underliggende enheter. Gjennom tilsynet ble det funnet avvik fra regelverkets krav til ansvarsplassering og styringssystem for personvern og informasjonssikkerhet. I løpet av tilsynsperioden utarbeidet KDI en instruks som plasserer behandlingsansvaret hos direktoratet. Datatilsynet mener dette er en god løsning.
Vi støtter derfor ikke kommisjonens anbefaling på dette punktet. Kommisjonens anbefaling er heller ikke nærmere begrunnet. I etterkant av det nevnte tilsynet har Datatilsynet også tatt opp behovet for å få på plass nytt regelverk i brev til Justis- og beredskapsdepartementet. Vi mener det er uheldig at dette arbeidet har tatt tid.
Utviklingstrekk som påvirker personvernet – økt internasjonalt samarbeid Datatilsynet bemerker at Schengen-samarbeidet ikke er omtalt i rapporten. Etter vårt syn er dette temaet helt sentralt når det gjelder personvern innen justissektoren og utlendingsforvaltningen.
Avtalen om Schengen-samarbeidet gir Norge rett og plikt til å anvende hele Schengenregelverket, herunder bestemmelser om informasjonsutveksling og bruk av felleseuropeiske systemer. Som nasjonal tilsynsmyndighet har Datatilsynet tilsyns- og kontrolloppgaver knyttet til norske myndigheters bruk av de felleseuropeiske informasjonssystemene Schengen informasjonssystem (SIS), Visuminformasjonssystemet VIS og fingeravtrykksregisteret Eurodac.
Videreutviklingen av Schengen-samarbeidet har store personvernmessige konsekvenser. For å styrke Schengen-samarbeidet er det vedtatt en rekke nye rettsakter som vil tre i kraft i tiden fremover. Dette innebærer at det gjøres endringer i eksisterende informasjonssystemer og at det innføres nye informasjonssystemer. En gjennomgående trend er at det legges opp til å behandle flere personopplysninger for flere formål, med en tettere integrasjon mellom systemer. Det åpnes også for tilgang til rettshåndhevende myndigheter for politimessige formål (sekundærbruk). Dette er en utvikling Datatilsynet er opptatt av å følge med på.
Personvernutfordringer i justissektoren – personvern i lovarbeid Kommisjonen påpeker at det ved innføring av nye tiltak er avgjørende at eventuelle personvernkonsekvenser blir tilstrekkelig belyst og vurdert i forkant. Kommisjonen har observert at lovgivers vurderinger av personvernkonsekvenser kan være begrensede og mangelfulle i forbindelse med lov- og forskriftsforslag. Datatilsynet er av samme oppfatning. Vi viser i den forbindelse til bestemmelsene om forhåndskonsultasjon i personvernforordningen art. 36 nr. 4 og tilsvarende bestemmelse i direktiv (EU) 2016/680 om beskyttelse av fysiske personer ved behandling av personopplysninger for å forebygge, etterforske, avdekke eller straffeforfølge lovbrudd eller gjennomføring av straffereaksjoner, og om fri utveksling av slike opplysninger (LED) artikkel 28 nr. 2.
Vår erfaring så langt er at forhåndskonsultasjon i liten grad har blitt benyttet innen justissektoren og at våre synspunkter i hovedsak innhentes gjennom etterfølgende høringer. Datatilsynet ønsker å bli involvert tidligere i regelverksprosesser.
Vi støtter derfor anbefalingen om at departementene i større grad bør rådføre seg med Datatilsynet i forbindelse med lov- og forskriftsarbeid. Vi vil understreke at vi i kraft av vår ombudsrolle er opptatt av å ivareta personvernhensyn innenfor hele justissektoren, også på områder som er unntatt fra vår tilsynsmyndighet etter politiregisterloven.
Vi har for øvrig merket oss kommisjonens uttalelser i utredningens avsnitt 7.1.2:
«I en god rettsstat må verdier og kryssende hensyn veies mot hverandre. Hvordan og hvor grundig man utfører en slik interesseavveining, på både systemnivå og i hver enkelt sak, sier noe om rettsstatens kvalitet. I merknadene til politiregisterloven § 1 (lovens formål) heter det: «I de tilfellene der hensynet til personvern og hensynet til kriminalitetsbekjempelsen ikke kan forenes, er utgangspunktet at hensynet til personvernet må vike.»
Denne betraktningen, om at bekjempelse av kriminalitet har forrang ved en konflikt med personvernet – selv om det i forarbeidene gis anvisning på en forholdsmessighetsvurdering – er kommisjonen ikke enig i. Hvordan ulike interesser vektes, vil være avgjørende for hvilken løsning som velges. Når interesser står mot hverandre, kan ikke utgangspunktet være at personvernet alltid må vike. Dersom personvernkrenkelsen som følge av et tiltak er tilstrekkelig alvorlig, må konklusjonen etter Personvernkommisjonens oppfatning være den motsatte; kriminalitetsbekjempelsen skal vike.»
Disse uttalelsene er viktige og klargjørende, og vil kunne bidra til mer nyanserte avveininger i tiden som kommer, både i enkeltsaker og i forbindelse med lovarbeid. Vi vil særlig fremheve 7 betydningen av at lovgivningen utformes slik at den sikrer en god balanse mellom personvern og kriminalitetsbekjempelse.
Vurdering av personvern i myndighetsutøvelse – implementering av LED i politiregisterloven Personvernkommisjonen mener det er behov for vurderinger av politiregisterlovens harmonisering med EU-retten og viser til at LED inneholder flere krav som ikke eksplisitt er gjennomført i politiregisterloven. Dette gjelder blant annet bestemmelsene om personvernprinsipper, vurderinger av automatiserte beslutningsprosesser og innebygd personvern. Kommisjonen peker også på at politiets rammer for og adgang til å benytte informasjon fra åpne kilder ikke er utredet og avklart som følge av manglende implementering av LED art. 10 bokstav c.
Datatilsynet støtter kommisjonens anbefaling om at Justis- og beredskapsdepartementet må vurdere om alle bestemmelsene i LED skal implementeres i politiregisterloven. Det vil i den sammenheng også være naturlig å vurdere om det er behov for regulering av utvikling og bruk av kunstig intelligens i justissektoren. Vi vil fremheve behovet for tydeligere rammer for politiets og påtalemyndighetens behandling av personopplysninger. Vi stiller oss positive til å bidra med innspill i et slikt arbeid.
Datatilsynet støtter også kommisjonens vurdering av at politiregisterloven bør forenkles og forbedres.
Tilsyn og kontroll Datatilsynet mener i likhet med kommisjonen at tilsyn og kontroll er nødvendige kontrollmekanismer for å sikre forsvarlig og lovlig behandling av personopplysninger. Dette gjelder ikke minst innen justissektoren, der det ofte vil gjelde unntak og begrensinger i innbyggernes rett til informasjon og innsyn. Personvernkommisjonen mener at Datatilsynet og politiet bør føre statistikk over antallet personer som årlig benytter seg av retten til å klage inn politiets behandling av personopplysninger. Det vises til at offentliggjøring av slik statistikk kan bidra til å løfte bevisstheten om retten til å klage.
Datatilsynet bemerker at vi mottar få klager på politiets behandling av personopplysninger. Behov for mer informasjon om Datatilsynets rolle er derfor noe vi ser nærmere på. I den forbindelse vil vi også se på tilgjengeliggjøring av statistikk.
2.4 Personvern i skolen og barnehagen
Datatilsynet mener kapittel 8 i utredningen gir en god situasjonsbeskrivelse av barns og unges personvern. Vi er enige med kommisjonen i at det er avgjørende at personvernet ivaretas i barnehagene og i skolene.
I barnehagene og skolene brukes det digitale verktøy for både oppfølgings- og undervisningsformål. Det er gjerne store internasjonale teknologiselskaper som leverer disse verktøyene. Skoleadministrasjonene har liten mulighet til å påvirke den behandlingen av opplysninger som disse digitale verktøyene legger opp til. I tillegg er utdanningssektoren et attraktivt marked, og kommisjonen trekker frem mulighetene for å skape tidlige 8 forbrukerrelasjoner med elevene. En sentral utfordring er at det er store forskjeller i kommunenes kompetanse til å vurdere disse digitale verktøyene før de kjøpes inn og tas i bruk.
Politiske føringer for personvern i skolen og barnehagen Datatilsynet støtter kommisjonens anbefaling om sterkere nasjonale føringer for sektoren, og etablering av en nasjonal personvernpolitikk fremstår som nødvendig og hensiktsmessig. Datatilsynet har også erfart at sektoren selv ønsker dette. Etablering og vedlikehold av en nasjonal felles tjenestekatalog er et tiltak som etter vår oppfatning vil kunne gi store personverngevinster, spesielt for små kommuner med begrensede personvernressurser.
Datatilsynet er også enig i at tilstrekkelig kompetanse og ressurser er nødvendig for at kommunene skal kunne ivareta personvernet i sektoren.
Vi støtter derfor anbefalingen om å etablere et nasjonalt kompetansemiljø, som det tidligere Senter for IKT i utdanningen, som ble nedlagt i 2019. Senteret skulle bidra til økt kvalitet i opplæringen med bruk av informasjons- og kommunikasjonsteknologi for barn i barnehagene, elever i grunnopplæringen og studenter i lærer- og barnehagelærerutdanningen.
Kommisjonen påpeker også behovet for tilpassede rutiner og veiledning fra kommunene til skoleledelse og lærere. Vi mener at dette er en nødvendig forutsetning for kommunens ivaretakelse av behandlingsansvaret sitt, og for å sikre praktisk etterlevelse av personvernregelverket i underordnede organer og etater.
Kompetanse og digitale løsninger i skolen
Det er positivt at kommisjonen foreslår at det bør gjennomføres en bred utredning om digitale verktøy som er i bruk i skolen og hvordan de påvirker barns personvern. Vi mener at det er uomtvistet at innsamling av elevers personopplysninger, og etterfølgende profilering og bruk av dataene til kommersielle formål, går på bekostning av elevenes grunnleggende rettigheter. Slike behandlinger utgjør en kontinuerlig krenkelse av elevenes personvern. Konkrete tiltak som for eksempel annonseblokkeringsverktøy på skolens utstyr vil kunne ha en positiv effekt, og etter vår mening bør slike verktøy introduseres og tas i bruk umiddelbart.
Vi mener lovgiver snarest bør ta stilling til om det skal innføres konkrete forbud i lovs form.
Datatilsynet er enig i kommisjonens forslag om sentralisering og samarbeid ved innkjøp og forhandlinger for skole- og barnehagesektoren. Samarbeid med andre land vil kunne gi en bedre posisjon overfor store leverandører.
Barn og unges kunnskap om personvern bør styrkes, og vi gir vår tilslutning til kommisjonens anbefalinger om å styrke opplæringen i undervisningen.
