Alla inlägg under september 2023
Medietilsynet viser til Kommunal- og distriktsdepartementets høringsbrev av 11. november 2022 om NOU 2022:11 Ditt personvern – vårt felles ansvar, og sender med dette vårt høringssvar.
Høringsinnspill til NOU 202211 Ditt personvern – vårt ansvar – Medietilsynets høringsuttalelse
Medietilsynet er statens forvaltningsorgan på medieområdet. Det følger av samfunnsoppdraget at Medietilsynet skal medvirke til å oppfylle de overordnede mediepolitiske målene om ytringsfrihet og demokrati gjennom en åpen og opplyst offentlig samtale, jf. Grunnloven § 100. Medietilsynet medvirker til å fremme de mediepolitiske målene ved å legge til rette for mediemangfold og kritisk medieforståelse i befolkningen.
Personvernkommisjonen skriver i sin utredning at et godt personvern legger grunnlaget for ytringsfrihet, informasjonsfrihet og meningsdannelse. Medietilsynet er enig i dette. Personvernet og ytringsfriheten står noen ganger i et motsetningsforhold, eksempelvis kan personvernhensyn hindre innsyn i informasjon som har allmenn interesse. I den digitale forretningsmodellen er personvernet og ytringsfriheten sammenvevd. En ukontrollert sporing og innsamling av data på tvers av internett og digitale tjenester gir risiko for nedkjølingseffekter, som kan føre til at enkeltpersoner avstår fra å søke etter informasjon på nett, oppsøke nettsider eller å ta del i den offentlige debatten, på bakgrunn av bekymringer for at aktiviteten spores og dataene brukes. Et godt personvern bidrar følgelig til et godt ytringsklima og er relevant for Medietilsynets samfunnsoppdrag.
Teknologien griper stadig mer inn i våre liv og i grunnleggende menneskerettigheter, og skillet mellom den fysiske og digitale verden viskes ut. Barn introduseres for det digitale universet i ung alder, og smarttelefoner og annen skjermteknologi er blitt en integrert del av barns hverdag1 . Globale aktører innhenter store mengder persondata om brukerne som utnyttes til kommersielle formål. Medietilsynet mener derfor det er viktig at vi som samfunn har en helhetlig og proaktiv tilnærming til personvern som en grunnleggende menneskerett.
Etter Medietilsynets vurdering har Personvernkommisjonen levert en svært viktig og ambisiøs utredning, og vi støtter i all hovedsak kommisjonens anbefalinger. Medietilsynet vil særlig trekke fram arbeidet med å involvere barn og unge, og mener det er en styrke at kommisjonen har prioritert å få fram barn og unges perspektiv på spørsmål om personvern.
Medietilsynet har valgt å kommentere de anbefalingene der vi har utdypninger eller forslag til justeringer. Kommentarene under er knyttet til relevante kapitler i utredningen.
Oppsummering
• Medietilsynet støtter kommisjonens forslag om at det bør utarbeides en nasjonal personvernpolitikk, som særlig har oppmerksomhet rettet mot sårbare grupper, som barn og unge. Et mål bør være å gjøre regelverket mer forståelig og tilgjengelig for befolkningen, og at offentlige tiltak utformes slik at de når fram til målgruppene.
• Medietilsynet støtter forslaget om en nasjonal tjenestekatalog, og mener dette kan bidra til bedre samordning og kvalitetssikring av undervisningsoppleggene i skolen.
• Medietilsynet støtter at Utdanningsdirektoratet i større grad skal bistå kommuner med å ivareta sitt behandlingsansvar, men mener dette ansvaret må tydeliggjøres. Eventuelle rutiner og veiledere på personvernområdet bør som utgangspunkt forankres nasjonalt for å sikre en enhetlig og systematisk tilnærming.
• Medietilsynet støtter kommisjonens forslag til tiltak for å beskytte elever mot kommersiell utnyttelse av deres persondata og eksponering av reklame på skolens digitale verktøy. Det bør prioriteres offentlige forskningsmidler til å undersøke hvordan kommersielle aktørers bruk av barns persondata påvirker deres skolehverdag og privatliv.
1 Medietilsynets undersøkelse Barn og medier 2022 viser at 93 prosent av alle barn mellom ni og elleve år har egen mobiltelefon, og at 90 prosent av barn mellom 9 og 18 år bruker sosiale medier i 2022: https://www.medietilsynet.no/fakta/rapporter/barn-og-medier/
• Medietilsynet støtter forslaget om at skolen må styrke opplæringen i personvern som en grunnleggende menneskerettighet, og understreker at det er viktig å starte personvernopplæringen i tidlig barneskolealder.
• Medietilsynet støtter kommisjonens anbefaling om at kommunene bør legge til rette for reelle medvirkningsmuligheter for elever og foresatte i beslutninger som berører barns personvern, og mener dette er særlig viktig i en tid hvor bruk av digitale tjenester gjør at skillet mellom skole og fritid viskes mer og mer ut.
• Medietilsynet mener DSA vil styrke norske brukeres personvern, og anbefaler at det legges til rette for et effektivt tilsyn og håndheving av DSA i Norge.
• Medietilsynet er enig i at det er behov for et enhetlig regelverk for behandling av persondata, men mener det er viktig at regelverksendringer om bruk av informasjonskapsler ikke fører til en forskjellsbehandling av nasjonale og globale aktører.
• Medietilsynet støtter et forbud mot atferdsbasert markedsføring mot mindreårige, men vil påpeke at en aldersvurdering basert på sannsynlighet, slik det legges opp til i DSA, er lite presis og vanskelig å håndheve. Norge bør derfor prioritere arbeidet med å innføre endringsforslaget til eIDASforordningen etter at dette er vedtatt i EU. Når det gjelder flertallets forslag om å utrede et generelt forbud mot atferdsbasert markedsføring, stiller Medietilsynet spørsmål ved om en utredning er riktig virkemiddel, og mener at utfordringene med illegitim sporing og uønsket atferdsbasert markedsføring langt på vei kan løses gjennom en effektiv håndheving og god utnyttelse av europeiske regelverk.
• Medietilsynet støtter kommisjonens forslag om å nedsette et lovutvalg for å gjennomgå og foreslå endringer i regelverk for å beskytte barn og unge i digitale flater, og mener dette arbeidet bør prioriteres. Medietilsynet mener det er nødvendig med en helhetlig gjennomgang av alle sektorspesifikke lovverk som skal beskytte barn på nett, og at dette arbeidet må ses opp mot relevante lovgivningsprosesser i EU.
•Medietilsynet mener det er problematisk å overlate alle sider av regulering og beskyttelse av barn til foreldrene. Norge bør stille tydeligere krav til de store globale aktørene, slik at de tar ansvar for mindreårige brukere.
• Medietilsynet er enig i at det er viktig å øke kompetansen når det gjelder personvernutfordringer knyttet til innhold delt av foreldre og andre barn, men stiller spørsmål ved om en veileder er beste fremgangsmåte for å nå ut til målgruppene. Det er viktig at regelverket knyttet til barns samtykkekompetanse er klart og tydelig, og Medietilsynet mener regjeringen bør følge opp Barnelovsutvalgets forslag om å lovfeste barns rett til å nekte deling av personopplysninger.
• Medietilsynet støtter kommisjonens anbefaling om å styrke samarbeidet mellom norske tilsynsmyndigheter. Det bør etableres et formalisert norsk tilsynssamarbeid innen digitalfeltet, med et videre mandat enn forbrukerrettigheter og i tillegg til eksisterende samarbeid under de enkelte regelverkene.
Merknader til kapittel 1
Kapittel 1.2 En nasjonal personvernpolitikk
En av hovedanbefalingene til Personvernkommisjonen er at det skal utarbeides en nasjonal personvernpolitikk, som kan bidra til å sikre reell ivaretakelse av personvernet. Departementet ber særlig om høringsinstansenes merknader til dette forslaget, herunder behovet for og eventuelt forslag til elementer som kan inngå i en nasjonal personvernpolitikk.
Medietilsynet støtter kommisjonens forslag om å utarbeide en nasjonal personvernpolitikk som ser personvernet i et helhetlig perspektiv. Medietilsynet er enig med kommisjonen i at en nasjonal personvernpolitikk særlig bør ha oppmerksomhet rettet mot sårbare grupper, som barn og unge.
Det samles inn store mengder personopplysninger om barn på mange ulike plattformer. Samtidig har over halvparten av foreldrene til barn i aldersgruppen 9-10 år tatt i bruk teknologi som sporer eller viser hvor barnet er.2 Konsekvensene av dette er lite utforsket. Det bør prioriteres å innhente mer kunnskap om hvordan teknologiutviklingen påvirker barns grunnleggende rett til privatliv, og denne innsikten bør ligge til grunn for den nasjonale personvernpolitikken.
Barn lever i en digital verden, hvor retten til privatliv er under press, og det er vanskelig å ha kontroll på egne personopplysninger. I Medietilsynets nye undersøkelse Digitale dilemmaer3 om barns debut på mobil og sosiale medier, kommer det frem at flere foreldre føler seg alene om den digitale oppdragelsen, og at det kan være vanskelig å orientere seg når det gjelder anbefalinger. Et mål for en personvernpolitikk bør være at det offentlige bistår foreldre og barn i den digitale hverdagen gjennom tydelige og koordinerte anbefalinger og løsninger, og at offentlig sektors tjenester reflekterer den nye hverdagen barn og foreldre står i. Det er viktig at offentlige tiltak koordineres og utformes slik at de når fram til målgruppene, slik som ung.no, som er en viktig kanal for å nå barn og unge.
2 Medietilsynet: Foreldre og medier 2022
3 Medietilsynet: Digitale dilemmaer – en undersøkelse om barns debut på mobil og sosiale medier, 7. februar 2023; https://www.medietilsynet.no/globalassets/publikasjoner/barn-og-medierundersokelser/2022/230206_digitale-dilemmaer.pdf
Medietilsynet mener at beslutninger som kan få stor prinsipiell betydning for barns rett til privatliv, må bli gjenstand for en bred offentlig debatt. Et eksempel er strømming av kamper i ungdomsidretten, som reiser viktige prinsipielle spørsmål rundt barns rett til privatliv og deltagelse.
Etter Medietilsynets vurdering oppleves personvernregelverket i mange tilfeller som tungt og utilgjengelig. Medietilsynet støtter derfor kommisjonens forslag om å styrke kompetansen knyttet til personvern i offentlig sektor. I tillegg mener Medietilsynet at et mål for en nasjonal personvernpolitikk, bør være å gjøre regelverket mer forståelig og tilgjengelig både for befolkningen og behandlingsansvarlig. God veiledning og informasjon er etter Medietilsynets vurdering et sentralt virkemiddel for at regelverket overholdes, og for at forbrukernes rettigheter blir ivaretatt.
Merknader til kapittel 8
Kapittel 8.4.1 Nasjonale føringer
Kommisjonen skriver i sin utredning at det er et inntrykk at kommunene har behov for mer praktisk rettet veiledning fra nasjonale myndigheter, og foreslår blant annet at det opprettes en nasjonal tjenestekatalog for digitale læringsmidler.
Medietilsynet støtter dette forslaget. Medietilsynet erfarer at det er lite samordning mellom offentlige aktører, også når det gjelder undervisningsopplegg produsert av det offentlige. En nasjonal tjenestekatalog kan bidra til å samordne feltet på en bedre måte, og sikre tilstrekkelige undervisningsressurser som er alderstilpasset de ulike risikoene barn og unge møter på nett. Videre kan en nasjonal tjenestekatalog bidra til bedre kvalitetssikring og oppdatert kunnskap i undervisningsoppleggene som distribueres i den norske skolen. Det er viktig at en nasjonal tjenestekatalog både sikrer kvalitet, oppdatert informasjon og ivaretar personvernet.
Kapittel 8.4.3 Ansvar og rutiner
Personvernkommisjonen skriver at kommunene og behandlingsansvarlige i større grad må utarbeide tilpassede rutiner og veiledning til skoleledelse og lærere. Videre mener kommisjonen at Utdanningsdirektoratet i større grad bør hjelpe og tilrettelegge for at kommunene kan ivareta sitt behandlingsansvar etter personvernregelverket.
Medietilsynet støtter at Utdanningsdirektoratet i større grad skal bistå kommunene, slik at de kan ivareta sitt behandlingsansvar etter personvernregelverket. Medietilsynet mener imidlertid at dette ansvaret bør tydeliggjøres. Etter Medietilsynets vurdering bør Utdanningsdirektoratet ha det koordinerende ansvaret for at kommuner, skoleledere og elever har nødvendige verktøy, kompetanse og ressurser for å ivareta elevenes personvern.
Behovet for samordning av offentlig innsats er blant annet vist til i nasjonal strategi for trygg digital oppvekst, Rett på nett (2021)4 . Strategien påpeker behovet for bedre organisering, slik at tiltak, planer og initiativ på ulike fagfelt blir bedre koordinert og mer målrettet. Medietilsynet mener det er en fordel at eventuelle rutiner og veiledere på personvernområdet i utgangspunktet forankres nasjonalt, for å sikre en enhetlig og systematisk tilnærming. I det minste bør eventuelle tilpassede rutiner og veiledning fra kommunen til skoleledelse og lærere ta utgangspunkt i nasjonale føringer. Her kan kommisjonens forslag om å utarbeide en personvernnorm for skoleog barnehagesektoren, være et godt utgangspunkt.
Kapittel 8.4.4 Bruk av elevers personopplysninger til kommersielle formål
I kapittel 8.4.4 trekker kommisjonen frem flere utfordringer knyttet til bruk av tjenester i skolen som leveres av kommersielle aktører, herunder bruk av elevers personopplysninger til kommersielle formål og eksponering for reklame.
Medietilsynet mener kommisjonen belyser viktige utfordringer, som det bør prioriteres å gjøre noe med. Medietilsynet støtter derfor kommisjons forslag til tiltak for å beskytte elever mot kommersiell utnyttelse av deres persondata og eksponering av reklame på skolens digitale verktøy. I dag er det liten kunnskap om hvordan barns data fra skoleplattformer brukes av kommersielle aktører, og hvordan dette påvirker barns skolehverdag og privatliv. Medietilsynet mener at offentlige forskningsmidler bør prioriteres til å undersøke dette, og at det trengs tiltak for å få kontroll over barns persondata i skolesammenheng.
Kapittel 8.4.7 Undervisning i personvern
Personvernkommisjonen mener skolen må styrke opplæringen om personvern som en grunnleggende menneskerettighet. Medietilsynet støtter forslaget, og understreker at det er viktig at personvernopplæringen starter i tidlig alder.
Medietilsynets nye undersøkelse Digitale dilemmaer5 viser at barneskolebarn har lav bevissthet om retten til privatliv. Barna ser det som naturlig at foreldrene bruker ulike sporingsapper som forteller hvor de er til enhver tid, og noen opplever det som en plikt å være digitalt synlig for vennene sine, for eksempel på Snapmap. For de fleste barn og unge er sosiale medier og digitale tjenester en viktig del av hverdagen. Det er derfor nødvendig at unge brukere forstår hvordan forretningsmodellen for kommersielle internettjenester fungerer, og hvordan persondata samles inn og kan brukes til å målrette innhold. Medietilsynet mener at kunnskap om barns rett til privatliv og personvern bør være en del av grunnopplæringen fra tidlig barneskolealder, fordi forståelsen av personvern er en viktig allmennkunnskap.
4 https://www.regjeringen.no/no/dokumenter/rett-pa-nett/id2870086/
5 Medietilsynet: Digitale dilemmaer – en undersøkelse om barns debut på mobil og sosiale medier, 7. februar 2023
Kapittel 8.4.8 Barn og foresattes rettigheter
Medietilsynet støtter Personvernkommisjonens anbefaling om at kommunene bør legge til rette for reelle medvirkningsmuligheter for elever og foresatte i beslutninger som berører barns personvern. I Medietilsynets kvalitative undersøkelse Digitale dilemmaer6 , om norske familiers digitale hverdagsliv, kommer det frem at mange barn og foreldre opplever skolenes teknologiske løsninger som problematiske. Teams-chatten ble trukket fram av flere. De pekte på at brukernavn og passord kommer fra skolen, og var laget på en så usikret måte at det var lett å gjette seg til de andres passord. I et konkret tilfelle hadde noen elever gjettet passordet til en gutt i klassen. De utga seg for å være ham og sendte stygge meldinger. Foreldrene i undersøkelsen ga også uttrykk for at skolen ikke tok deres bekymringer på alvor, og opplevde å stå alene om å håndtere utfordringene med skolens digitale løsninger
Medietilsynet mener elevers og foreldres medvirkning er særlig viktig i en tid hvor skillet mellom skole og fritid viskes mer og mer ut, noe som ble ytterligere forsterket med koronapandemien og digital hjemmeskole.
Merknader til kapittel 9
Kapittel 9.2.6 Forbrukernes muligheter til å ivareta eget personvern
Medietilsynet er enig i kommisjonens beskrivelse av personvernutfordringene forbrukerne står overfor på internett. Ansvaret for personvernet er langt på vei overlatt til den enkelte bruker, som har begrenset mulighet til å ha kontroll med egne personopplysninger og verne om sitt eget privatliv. Omfanget av samtykkeerklæringer kombinert med omfattende brukervilkår kan gi brukerne en avmaktsfølelse. Enkelte internettjenester har blitt en så viktig del av informasjonsinfrastrukturen, at det å velge bort tjenesten kan oppleves som et valg om å stå utenfor fellesskapet. Det kan stilles spørsmål ved om et samtykke til behandling av personopplysninger etter personvernforordningen er informert eller reelt. Dette er en systemisk utfordring, som ikke kan overlates til den enkelte bruker, og krever løsninger i form av regelverksendringer og effektiv håndheving av regelverket.
6 Medietilsynet: Digitale dilemmaer – en undersøkelse om barns debut på mobil og sosiale medier, 7. februar 2023
Kapittel 9.3.2: Kommende europeisk regulering
Personvernkommisjonen redegjør for europeiske reguleringer som berører personvernfeltet, blant annet Digital Services Act (DSA) og Digital Markets Act (DMA). Forordningene trådte i kraft etter at kommisjonen leverte sin utredning, og er EØS-relevante. Kommisjonen anbefaler at «norske myndigheter tar ansvar for å beskytte norske forbrukeres personvern ved å føre en offensiv personvernpolitikk opp mot EU».
Medietilsynet mener DSA styrker norske brukeres personvern. Blant annet innfører DSA et forbud mot atferdsbasert markedsføring rettet mot mindreårige, og mot manipulerende design som brukes til å styre brukerne til å ta valg som primært tilbyderen av tjenesten har fordelene av. De største plattformtjenestene pålegges etter DSA å gjøre vurderinger av systemisk risiko, blant annet om hvordan tjenestene negativt påvirker grunnleggende rettigheter som personvernet og ytringsfriheten, og mindreåriges fysiske og psykiske helse. 7
DSA introduserer en ny håndhevingsmodell. Europakommisjonen har håndhevingsansvaret for de største plattformene i DSA og DMA. På nasjonalt nivå skal det etableres en koordinator for digitale tjenester, som får ansvaret for å håndheve DSA nasjonalt og dokumentere brudd på bestemmelsene. DSA gir følgelig et handlingsrom for en reell norsk påvirkning av plattformer, inkludert de største globale plattformene.
Medietilsynet anbefaler at det legges til rette for et effektivt tilsyn og håndheving av DSA i Norge, og viser til Medietilsynets høringssvar til Ytringsfrihetskommisjonens utredning, NOU: 2022-9, for en mer detaljert anbefaling. 8
9.3.1.1 Særnorsk implementering av kommunikasjonsverndirektivet
Ekomloven er en særnorsk implementering av kommunikasjonsverndirektivet, som innebærer at regelverket for samtykke til bruk av informasjonskapsler etter ekomloven er annerledes enn i personvernforordningen. Personvernkommisjonen mener det er behov for en mer enhetlig forvaltning av personvernregelverket, og at bestemmelsene i personvernforordningen bør legges til grunn for reguleringen av sporingsteknologi.
Medietilsynet er enig med kommisjonen i at det er behov for et enhetlig regelverk for behandling av persondata, og har i høringssvaret til ny ekomlov, ny ekomforskrift og endringer i nummerforskriften, stilt seg positiv til endringer i regelverket, 9 begrunnet i behovet for å styrke brukernes personvern. Samtidig er det nødvendig å sørge for at eventuelle regelverksendringer ikke fører til å øke konkurranseforskjellene mellom nasjonale og globale aktører i det digitale annonsemarkeder.
7 https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022R2065&from=EN
Norske mediers bruk av informasjonskapsler etter ekomloven har vært viktig i konkurransen med globale plattformselskaper i det digitale annonsemarkedet. Globale plattformselskaper opererer i et lite regulert marked, brudd på personvernreglene har i liten grad fått konsekvenser, og selskapene har lavere skattesats enn norske medievirksomheter. Globale innholdsplattformer har samtidig opparbeidet rike datasett på egne plattformer og på tvers av internett, og har tatt en stor andel av det digitale annonsemarkedet på bekostning av norske redaktørstyrte medier. At dette ikke har gått utover mediemangfoldet skyldes blant annet stor omstillingsevne hos medievirksomhetene, kombinert med et generelt voksende annonsemarked.10 I en økonomisk nedgangstid forventes det at mediebedriftene blir enda mer sårbare for konkurransen i annonsemarkedet.
Medietilsynet mener det er viktig å sikre like konkurransevilkår, og at ikke personvernregelverket og håndhevingen av ekomloven og GDPR i realiteten gir en fordel til globale plattformer sammenlignet med redaktørstyrte medier og andre norske virksomheter.
Kapittel 9.4.2 Illegitim sporing og profilering
Medietilsynet deler Personvernkommisjonens bekymring for at store deler av det digitale annonsesystemet er ute av kontroll. Rike datasett og atferdsbasert målretting er fundamentet i plattformøkonomien og det kommersielle internettet. Forretningsmodellen gir et insentiv til å samle inn mest mulig data og kapitalisere på disse dataene overfor annonsører. Selskaper som Alphabet og Meta kontrollerer mye av annonseinfrastrukturen, og er blant verdens mest verdifulle selskaper. Forretningsmodellen som ble etablert av internettselskaper er attraktiv for andre bransjer. Telekomoperatørene Vodafone, Orange, Telefónica og Deutsche Telecom har varslet Europakommisjonen om at de vil etablere en europeisk annonseplattform,11 basert på innsamling av persondata og atferdsbasert markedsføring. Denne utviklingen synliggjør behovet for et tydelig regelverk for behandling av persondata, for å motvirke den illegitime sporingen.
Kombinasjonen av brukernes manglende kontroll over egne persondata, illegitim sporing og atferdsbasert markedsføring, utgjør en utfordring for det digitale privatlivet, ytringsfriheten og demokratiet. Medietilsynet mener det er viktig å møte utfordringene med en strengere håndheving av personvernforordningen (GDPR), og at nye regelverk som DSA, DMA og rettsakten for kunstig intelligens, brukes aktivt for å sikre brukernes rettigheter. Medietilsynet anbefaler at norske myndigheter aktivt utnytter mulighetene som ligger i disse regelverkene for å stanse en illegitim sporing og profilering.
11 https://ec.europa.eu/competition/mergers/cases1/202302/M_10815_8844242_215_3.pdf
Forbud mot atferdsbasert markedsføring mot mindreårige: Ni av ti 9-18-åringer i Norge er på sosiale medier. De aller fleste har en konto på YouTube, Snapchat og TikTok,12 som er attraktive markedsføringskanaler mot denne gruppen. Barn og unge er sårbare for målrettet markedsføring og har et særlig behov for beskyttelse mot skadelig innhold og atferdsbasert markedsføring. DSA innfører et forbud mot atferdsbasert markedsføring rettet mot brukere som «etter all sannsynlighet» (with reasonable certainty) er mindreårige. Medietilsynet støtter et forbud mot atferdsbasert markedsføring mot mindreårige, men vil påpeke at en aldersvurdering basert på sannsynlighet er lite presis og vanskelig å håndheve. Hvis tilbyderne som et svar på forbudet utvikler egne løsninger for verifisering av alder, for eksempel ved bruk av ansiktsgjenkjenning eller andre identifikatorer, er det i seg selv en uønsket personvernrisiko.
Medietilsynet mener derfor det er behov for en offentlig standardisering av elektronisk ID på europeisk nivå, som muliggjør aldersverifisering for de globale tjenestene. Endringsbestemmelsen til eIDAS-forordningen13 tar sikte på å innføre en slik elektronisk ID, en digital lommebok som kan brukes til aldersverifisering. Europakommisjonens forslag er nå til behandling i EU, og personvernhensyn er en sentral del av vurderingen. Det er lagt opp til at mindreårige brukere vil kunne bruke den digitale lommeboken. Innføringen av eID er ikke uten dilemmaer. Det er blant annet viktig å forsikre seg om at brukere ikke ekskluderes, eksempelvis på bakgrunn av at barna eller deres foresatte ikke har tilstrekkelig digital kompetanse. Medietilsynet mener likevel at en offentlig godkjent elektronisk id-løsning er et viktig virkemiddel for å skjerme mindreårige mot atferdsbasert markedsføring, og at en felles standard vil gjøre det enklere for tilbydere av digitale tjenester å overholde aldersgrensene på egne plattformer. En identifisering gjør det i tillegg enklere å håndheve forbudet i DSA. Medietilsynet mener derfor at arbeidet med en norsk innføring av endringene i eIDAS-forordningen bør prioriteres etter at regelverket er vedtatt i EU.
Generelt forbud mot atferdsbasert markedsføring: Flertallet i Personvernkommisjonen mener et generelt forbud mot atferdsbasert markedsføring er nødvendig for å beskytte norske og europeiske forbrukere, og bør utredes. Mindretallet mener at atferdsbasert markedsføring kan gjøres på en ansvarlig og legitim måte, og at et forbud vil ramme finansieringen av mediene, og støtter derfor ikke forslaget om en utredning på de premissene som flertallet legger til grunn.
12 https://www.medietilsynet.no/nyheter/aktuelt/farre-av-de-yngste-er-pa-snapchat-og-tiktok-enn-for-toar-siden/
13 https://www.regjeringen.no/no/sub/eos-notatbasen/notatene/2021/des/endringsbestemmelser-ieidas-forordningen/id2905581/
Medietilsynet er enig i at innhenting og bruk av data er ute av kontroll, og at det er behov for å styrke håndhevingen av regelverket. Brukerne har begrenset mulighet til å velge bort sporing, og det er vanskelig å forstå rekkevidden av hva et samtykke egentlig innebærer. Dette gjør brukerne sårbare for en forretningsmodell som er bygget på målrettet markedsføring.
Et effektivt forbud mot atferdsbasert markedsføring, særlig overfor de globale plattformene, forutsettes å forankres i et europeisk regelverk. Forbud mot atferdsbasert markedsføring ble grundig diskutert i Europaparlamentet og Ministerrådet under behandlingen av DSA, men oppnådde ikke et flertall. Medietilsynet er enig med kommisjonen i at det er viktig med et godt faktagrunnlag for å vurdere målrettingens positive og negative sider, men stiller spørsmål ved om en utredning er riktig virkemiddel, og om det er realistisk at en utredning vil føre til endringer i nylig vedtatte europeiske regelverk.
Medietilsynet mener det er behov for mer forskning om målrettingens positive og negative sider, både fra brukernes perspektiv og fra et samfunnsperspektiv. Det er da viktig å skille mellom legitim og illegitim sporing, målrettet markedsføring og målrettet innhold, behandling av førstepartsdata samlet inn på egne tjenester og tredjepartsdata samlet inn på tvers av internett. Medietilsynet mener det bør vurderes å innføre et forbud mot omsetning og bruk av tredjepartsdata. Dette vil være et treffsikkert tiltak mot den ukontrollerte omsetningen av persondata, men vil ha begrenset effekt på globale plattformers bruk av persondata høstet inn på egne plattformer og på internett over mange år.
Tilgangen til persondata har gitt globale aktører en konkurransefordel i annonsemarkedet. Dette har ført til at mange annonsører foretrekker globale plattformer for digital annonsering, 14 som igjen har gått ut over finansieringen av redaktørstyrte medier. Flere medievirksomheter har møtt konkurransen ved å tilby nasjonale løsninger for atferdsbasert markedsføring. Et generelt forbud mot atferdsbasert markedsføring vil kunne ha negative konsekvenser for norske mediers inntekter og for mediemangfoldet.
Medietilsynets oppfatning er at utfordringene på globale plattformer langt på vei kan løses gjennom effektiv håndheving og god utnyttelse av europeiske regelverk, som GDPR, DSA og Digital Markets Act (DMA). DMA vil pålegge teknologigigantene å avstå fra å utveksle persondata mellom egne tjenester eller med persondata tilbudt av tredjeparter, etter artikkel 5.15 Artificial Intelligence Act er under behandling i EU, og kan også kunne anvendes for å styrke personvernet. De nye regelverkene stiller strengere krav til store plattformer og tjenester der risikoen er høy, nettopp for å unngå at regelverket utilsiktet rammer mindre tjenester. En tilsvarende differensiering er ikke en del av GDPR. Håndhevingsmodellen, der det irske datatilsynet har tilsynsansvar for flere av verdens største teknologiselskaper, har ført til et betydelig etterslep av saker og en svak rettspraksis.16 Dette innebærer en forskjellsbehandling mellom store globale aktører og små og mellomstore nasjonale aktører, som har negative konsekvenser for norske virksomheter og norske forbrukere.
15 https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52020PC0842&from=en
En bedre håndheving av GDPR er derfor et viktig tiltak mot illegitim sporing og uønsket atferdsbasert markedsføring. Det europeiske personvernrådet (EDPB) har sørget for en mer aktiv håndhevingspolitikk, som har styrket brukernes personvern og bidratt til å etablere en rettspraksis for globale plattformer.17 I DSA og DMA er Europakommisjonen tildelt tilsynsansvaret for de største globale tjenestene og tilbyderne, for å sikre tilstrekkelig ressurser til håndhevingen av regelverkene. Medietilsynet mener at en ytterligere forsterkning av håndhevingen av GDPR kan oppnås ved at Europakommisjonen tildeles håndhevingskompetanse for de største virksomhetene, slik som i DSA og DMA.
Medietilsynet deler Personvernkommisjonskommisjonens vurdering av at det er behov for omfattende tiltak for å verne forbrukerne mot illegitim sporing og uønsket atferdsbasert markedsføring, men mener bedre utnyttelse og håndheving av eksisterende og nye europeiske regelverk er viktige tiltak. Selv om Medietilsynet støtter mindretallets posisjon, vil vi samtidig bemerke at avstanden mellom flertallet og mindretallet ikke virker stor, og at kommisjonen fremstår samlet i anbefalingen om å iverksette tiltak mot illegitim sporing på internett.
Kapittel 9.4.3 Manipulerende design
Medietilsynet er enig med Personvernkommisjonen i at det foreslåtte forbudet mot manipulerende design i forordningen for digitale tjenester (Digital Services Act - DSA) styrker forbrukernes muligheter til å ivareta eget personvern på nett.
Medietilsynet vil understreke at DSA gir et norsk handlingsrom for å sikre at manipulerende design blir sanksjonert, og at dette forutsetter en grundig dokumentasjon av regelverksbrudd i Norge. En norsk koordinator for digitale tjenester får ansvar for å håndheve DSA i Norge. DSAs artikkel 53 åpner for at norske brukere og organisasjoner kan melde inn dokumenterte brudd på forordningen til koordinator. En koordinator som har tilstrekkelige ressurser, kombinert med et sivilsamfunn som aktivt bidrar til å dokumentere ulovlig bruk av manipulerende design i Norge, vil etter Medietilsynets syn både styrke håndhevingen av DSA og bidra til å styrke personvernet for norske brukere.
16 https://www.techcentral.ie/data-protection-commissioner-fails-to-resolve-98-of-big-tech-gdpr-cases/
17 https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/overtredelsesgebyr-til-facebook-oginstagram/
Høringsinnspill til NOU 202211 Ditt personvern – vårt ansvar
Google vil takke for muligheten til å delta i høringen av NOU 2022:11 - Ditt personvern - vårt felles ansvar. Våre kommentarer knytter seg primært til områdene i utredningen som omhandler adferdsbasert markedsføring, Chromebooks og Google Workspace for Education - vår samling digitale tjenester for skoleelever.
Generelt om adferdsbasert markedsføring
Annonser har i over 100 år finansiert innholdsproduksjon. Fra aviser og blader, til TV og radio, til internett. I dag er 66 prosent av verdens befolkning på nett, og det annonsefinansierte nettet har blitt en uvurderlig ressurs for menneskeheten. I løpet av bare de siste 25 årene har vi opplevd en eksplosjon i tilgang til informasjon, verktøy, og ressurser.
Samtidig, og i tråd med at vi lever en stadig større del av livene våre på nett, ser vi en økende bekymring for hvordan vår personlige informasjon samles, brukes og deles. Denne bekymringen omfatter selvsagt også bruk av personlig informasjon i tilknytning til annonsevirksomhet.
Når Google lager tjenester og produkter, er tre prinsipper styrende for utviklingen: Vi skal holde informasjon trygg og sikker, vi skal behandle den ansvarlig, og vi skal gi brukerne av våre tjenester kontroll. Disse prinsippene danner en visjon som vi kontinuerlig jobber mot.
Vi gir brukerne av våre tjenester kontroll over sine egne data
Vi har allerede investert betydelig i å sørge for at alle som bruker våre tjenester har effektive, substansielle og tilgjengelige måter å håndtere sitt personvern - også knyttet til hvilke annonser de ser. Dette er bare noen eksempler på hvordan vi gir folk kontrollen over hva de deler og hvordan det brukes på en enkel og grei måte:
● Vi innhenter alltid samtykke fra brukere før vi viser dem annonser basert på den informasjonen de deler, og vi krever det samme fra kundene våre som bruker våre annonseplattformer.
● I fjor lanserte vi «Mitt annonsesenter», og utvidet våre eksisterende kontrollpaneler for annonseinnstillinger ytterligere. Mitt annonsesenter gir brukere ett felles sted hvor de kan kontrollere hvilke typer annonser de blir vist, enten det er når de bruker Google Søk, YouTube eller Discover - og de kan velge hvilke temaer de er interessert i å se annonser for, hva de vil se mer av og hva de ikke er interessert i. De kan også så klart skru av personaliserte annonser helt.
● I fjor sjekket over 300 millioner mennesker annonseinnstillingene sine.
● Google Konto er et felles sted hvor man finner informasjon og kan justere innstillinger for personvern og sikkerhet på tvers av våre tjenester. Vi har utviklet brukervennlige tjenester som lar folk se gjennom sin aktivitet, hvilke data de deler, hva slags informasjon vi har lagret og hvordan personvernet og sikkerheten deres blir ivaretatt. Her kan man søke på temaer, datoer, steder og produkter for å få bedre oversikt. Brukere kan permanent slette spesifikke aktiviteter eller temaer som de ikke vil at skal knyttes til deres konto.
● Personvernsjekken er et verktøy som årlig brukes av over 100 millioner. Google-brukere. Dette er et verktøy vi har laget for å øke folks forståelse av hvordan data man deler blir brukt, hvor man også kan endre hva slags data man deler.
● Autosletting: Denne tjenesten gjør at man kan permanent og automatisk slette data etter en viss tid (fra 3-18 måneder), inkludert fra YouTube, Google Maps, eller andre aktiviteter mens man bruker en Google-konto. For alle nyopprettede kontoer er autosletting automatisk skrudd på og satt til tre måneder - et eksempel på innebygget personvern i praksis.
Forbud mot markedsføring med bruk av sensitive adferdsbaserte data
Sikkerheten til de som bruker våre tjenester er førsteprioritet når vi tar beslutninger rundt annonser og annonsefinansiert innhold på våre plattformer. Vi har omfattende retningslinjer og teknologi for håndheving på plass som beskytter både brukere og annonsører mot skadelig innhold og aktører. For eksempel tillater vi ikke annonser i tilknytning til innhold som oppfordrer til vold eller diskriminering, ulovlige aktiviteter eller seksuelt innhold.
Vi oppdaterer kontinuerlig våre retningslinjer i tråd med at nye utfordringer vokser frem som truer det digitale annonse-økosystemet. Det kan være saker som desinformasjon eller skadelige påstander som ble fremsatt i forbindelse med COVID 19-pandemien.
Vi tillater ikke at annonsører bruker våre tjenester til å bygge brukerprofiler rundt sensitive temaer. I vår policy står det at ingen skal bruke Googles plattform eller produkter til å drive adferdsbasert markedsføring, eller å samle inn eller anvende brukerdata som cookie-lister, basert på sensitive data. Dette kan være helseinformasjon, informasjon om personers finansielle situasjon, etniske opprinnelse, religiøse overbevisninger eller politiske preferanser (en full liste er tilgjengelig her)
Vi har gjort en rekke endringer de siste årene for å styrke personvern ytterligere i forbindelse med adferdsbasert markedsføring. Dette innebærer blant annet at:
● Vi krever at mediehus vi samarbeider med innhenter samtykke for å vise adferdsbaserte annonser innenfor EØS-området.
● Vi anvender prinsipper for dataminimering på informasjon som deles i auksjonene hvor annonseplassering kjøpes og selges. Det gjør vi blant annet gjennom å anonymisere IP-adresser, og vi benytter kun bruker-ID-er som kan tilbakestilles.
● Vi har utviklet retningslinjer og krav som begrenser hvordan data kan kombineres og deles.
Begrensninger i adferdsbasert markedsføring mot brukere vi mener er under 18
Det er viktig at annonser som vises når man bruker Googles produkter er relevante, informative og, først og fremst, ikke kan være skadelige for de som bruker våre tjenester. Barn og unge under 18 er spesielt sårbare. Derfor gjør vi mye for å sørge for at annonser som vises når barn og unge bruker våre produkter ikke kan skade dem. Google viser ikke adferdsbaserte annonser til personer under 18. Det betyr at vi blokkerer alle annonser som målrettes etter alder, kjønn eller interesser for disse brukerne. Målet vårt er at vi alltid skal levere gode beskyttelsesmekanismer og annonser som er passende for ulike aldersgrupper når de bruker Googles tjenester1.
Adferdsbasert markedsføring skaper verdier
Det er blitt foreslått å forby adferdsbasert markedsføring, og at «kontekstbaserte» annonser kan være en fullgod erstatning. Det vil dessverre ikke være tilstrekkelig for å betale for det internett de fleste av oss vil ha. Vår kartlegging av temaet viser at hvis vi går over til kontekstbaserte annonser, vil mediehus tape 62 prosent av omsetningen. Ifølge UK Competition and Markets Authority (CMA) Digital Advertising Market Study vil mediehus miste 70 prosent av sin omsetning.
Ny forskning viser at dersom man begrenser annonsørers tilgang til data om publikums interesser og demografi, vil det ramme små mediehus og små annonsører aller hardest. Tapet i omsetning vil true det økonomiske grunnlaget for gratistjenestene på nett, som har en anslått årlig verdi på cirka 300 000 kroner for den gjengse forbruker. I Tyskland har Foreningen for den digitale økonomien (BVDW) pekt på at hvis man går over til kontekstbaserte annonser, vil små utgivere, små nettaviser og nettsteder med spesialisert innhold tape mest, og både mangfold og innovasjon på nett vil svekkes.
Vi ønsker også å gjøre oppmerksom på en IAB-rapport som anslår at dersom adferdsbasert markedsføring forsvinner, så kan verdiskaping i størrelsesorden 32-39 milliarder dollar forsvinne fra aktører som baserer seg på åpne standarder på nett. Dette vil være svært uheldig
1 How we’re helping kids and families safely learn, grow and play online.
i en tid hvor tilgang til god og verifisert informasjon aldri har vært viktigere. En studie gjennomført av Center for Data Innovation viser at dersom man forbyr adferdsbasert markedsføring, står cirka seks milliarder kroner i omsetning i fare for den europeiske app-økonomien, som på tvers av EU sysselsetter 1,5 millioner mennesker.
Privatliv på nett burde ikke bare være for de med penger
Det har blitt foreslått at man i stedet for annonser bare burde betale for alle tjenestene man bruker på nettet. Det kan være en god løsning for de som har penger til det, men å betale for eksempel 99 kroner i måneden for hver tjeneste som per i dag finansieres av annonser vil være mye mer enn hva mange har mulighet til. Det vil føre til at en del personer må slutte å bruke tjenester vi i dag tar for gitt, og sette dem på sidelinjen av den digitale delen av livet. Det vil være et stort skritt bakover hvis vi forbyr annonser, og slik gjør helt grunnleggende internett-tjenester til en luksusvare bare et mindretall av verdens befolkning har tilgang til. Et fritt og åpent internett bør være noe alle i hele verden har tilgang til på like vilkår. Forskning fra IAB Europe viser også at 75 prosent av europeere foretrekker dagens løsning, fremfor et internett uten annonser hvor man må betale for tilgang til nettsider, innhold og apper.
Hvordan styrke digitalt personvern og samtidig holde internett fritt og åpent?
Google har utviklet en «Privacy Sandbox». Dette er en måte å jobbe frem løsninger som kan styrke personvernet samtidig som bedrifter som bruker våre annonseløsninger (mediehus, apputviklere etc.) får økonomiske vilkår som gjør dem i stand til å produsere godt og interessant innhold. Dette initiativet vil redusere datainnsamling på tvers av nettsider og apper, samtidig som vi fortsatt kan tilby annonsører relevante måter å målrette sine annonser på. Slik håper vi å bidra til å sikre det åpne og frie internett for alle.
Løsningene vi foreslår her innebærer tryggere alternativer til dagens teknologi ved at de begrenser i hvilken grad individer kan spores på nett, og gir brukere bedre kontroll og innsyn.
For å få til dette, investerer vi i og tar i bruk ny teknologi som styrker personvernet (såkalt Privacy Enhancing Technologies, PET). Slik teknologi gjør oss i stand til å balansere hensynet mellom individets personvern og den betydelige samfunnsnytten som kommer fra økt tilgang til data. For eksempel gjør Topics API-et det mulig å målrette annonser basert på interesser uten at man trenger å spore nettsteder eller apper en person bruker. FLEDGE API-et er en ny måte å drive remarketing, som ikke krever bruk av tredjeparts cookies eller identifikatorer som følger brukeren på tvers av apper. Attribution Reporting API-et gjør annonsører i stand til å måle hvor effektive annonsene deres er, uten at man trenger å spore brukere på tvers av apper og nettsteder.
Sammen med våre brukere og partnere har vi begynt å rulle ut disse nye konseptene. I første kvartal 2022 begynte vi testingen av Privacy Sandbox. I løpet av tredje kvartal 2023 tar vi sikte på å gjøre API-ene tilgjengelig for alle i Chrome. Og i tråd med at utviklere tar i bruk disse API-ene, er vår intensjon å begynne utfasingen av tredjeparts cookies i Chrome i andre halvdel av 2024.
I arbeidet med Privacy Sandbox har vi vært i tett og løpende dialog med bransjen, interessegrupper som jobber med personvern, og myndigheter, for å lytte til deres tilbakemeldinger. Vi har også jobbet tett med Storbritannias Competition and Markets Authority (CMA) og Information Commissioner’s Office (ICO), blant annet for å bli enige om et sett rettslig bindende forpliktelser som ivaretar CMAs konkurransemessige innvendinger rundt Privacy Sandbox. Disse vil styre hvordan vi designer og ruller ut dette initiativet.
Målet vårt er at alle involverte aktører skal stole på at Privacy Sandbox faktisk vil sikre brukernes personvern og samtidig understøtte annonsefinansierte tjenester på en transparent måte som ikke favoriserer Google. Vi kommer til å gjøre forpliktelsene vi inngår med CMA gjeldende i alle markeder vi opererer i, fordi vi mener de danner et godt veikart for hvordan vi kan adressere både personvern og konkurransehensyn i en sektor som er i rask utvikling. Vi har også jobbet tett med det irske datatilsynet og andre datatilsyn gjennom European Data Protection Board (EDPB).
En rekke andre PET-nyvinninger bidrar ytterligere til å styrke vår tro på at personvernhensyn kan bli godt ivaretatt og balansert med hensynet til ønsket om å bevare et fritt og åpent annonsefinansiert internett. Dette inkluderer blant annet Federated Learning 2 , Differential Privacy, on-device processing 3 og Secure Multi-Party Computing 4 . Vi håper flere, både selskaper, myndigheter, politikere og andre organisasjoner engasjerer seg i den videre utviklingen av personvern-drevet innovasjon.
Googles produkter og tjenester for elever og lærere
Google bygger verktøy og tjenester som beskytter personvernet til både elever og lærere, med ledende sikkerhetsløsninger. I lys av Personvernkommisjonens kommentarer knyttet til det som tidligere het G Suite for Education, nå Google Workspace for Education, ønsker vi å understreke at:
4 Secure Multi-Party Computing bruker teknologi for å la to eller flere parter kryptere datasett og så dele og kombinere resultatene.
3 Differential privacy er en teknikk hvor man bruker matematiske prinsipper for å samle innsikt på et aggregert nivå fra data samtidig som man garanterer at ingens individuelle data kan skilles ut eller identifiseres.
2 Federated Learning er en teknologi hvor man trener maskinlæring-modeller uten å flytte rådata fra enhetene de genereres på. 5 1.
1. De som kjøper disse produktene av oss - kommuner, skoler etc. - eier sin egen data.
2. Google Workspace for Education benytter ikke data om skoleelever i grunnskolen eller videregående til å vise annonser eller bygge brukerprofiler.
Google behandler kun brukerdata i tråd med de kontraktene som er inngått med kundene våre. Vi skriver helt klart og tydelig i Google Workspace for Education Terms of Service at Google ikke behandler data til annonseformål, og vi viser ikke annonser i Google Workspace for Education-tjenestene.
Hvis en elev er logget inn med skole-kontoen sin og velger å bruke «tilleggstjenester» fra Google, det vil si de som ikke er en del av Google Workspace for Education (for eksempel YouTube eller Søk, kan de bli vist annonser. Men - for brukere i grunnskolen og videregående vil ikke dette være adferdsbasert markedsføring. Vi gjør det også mulig for administratorer å skru av disse tilleggstjenestene, eller justere tilgangen på andre måter.
Vi stiller oss bak Personvernkommisjonens kommentarer om at brukere av tredjeparts-teknologi må gjennomføre grundige risiko- og sårbarhetsanalyser knyttet til databeskyttelse når behandling av opplysninger kan medføre en økt personvernrisiko. Vi bistår jevnlig våre kunder - inkludert i utdanningssektoren - med å gjennomføre slike analyser. Vi bidrar med nødvendig informasjon og transparens i hvordan data behandles for at de skal kunne gjøre gode vurderinger.
Chromebooks
Chromebooks kan sende enhetsinformasjon eller kontoinformasjon til Google, sammen med bruksstatistikk og krasj-rapporter for å gjøre oss i stand til å rette feil og forbedre tjenestene. Den dataen som deles av elever i disse tilfellene blir aldri brukt til annonseformål. Når for eksempel en krasj-rapport genereres, knyttes den ikke til informasjon som kan brukes til å identifisere enkeltindivider. Brukere og administratorer styrer hva slags data som sendes til Google via Chrome-innstillingene. De kan skru av Chrome Sync, eller velge å ikke sende krasj-rapporter og brukerstatistikk i det hele tatt.
Vi takker igjen for muligheten til å gi innspill til den videre behandlingen av personvernkommisjonens rapport, og står selvsagt til deres disposisjon dersom dere ønsker mer informasjon.
Innspill til høring om NOU 2022:11 Ditt personvern - vårt felles ansvar. Personvernkommisjonens rapport
Personvern og nettsikkerhet har aldri vært viktigere. I vår stadig mer digitaliserte verden ser vi at nordmenn sin persondata har blitt valuta som organisasjoner, selskaper og stater gjerne vil ha tak i. Det omfatter alt fra informasjon til bruk i markedsføring til mer sensitiv informasjon som handlingsmønstre, vaner og generell aktivitet. Det forplikter at myndighetene er våkne og sørger for et regelverk som sikrer innbyggerne på nett. Derfor støtter innsenderne kommisjonens mandat og viktige arbeid.
Personvern og annonsering
I rapporten tar kommisjonen opp en rekke problemstillinger knyttet til digital annonsering. På verdensbasis brukes det over 600 milliarder dollar årlig ifølge tall fra Statista, og beløpet er stigende. Hovedandelen av dette går til selskaper som Meta (Facebook) og Alphabet (Google). Dette er store internasjonale pengemaskiner som unytter og selger persondata for å tjene egen virksomhet. Denne aktiviteten er noe både norske bedrifter, etater, direktorater og kommuner støtter opp under gjennom å bruke disse annonseløsningene. Det er problematisk av flere grunner, men spesielt med tanke på personvernet.
Et flertall av kommisjonens medlemmer foreslår å utrede et forbud mot adferdsbasert annonsering. Det er et tiltak innsenderne støtter. Europaparlamentet har allerede vedtatt et forbud mot profilering og adferdsbasert annonsering rettet mot barn, og innsenderne ser det som positivt at et flertall ønsker å gå lenger ved at forbudet også skal gjelde den øvrige befolkningen. Unge og voksne blir i like stor grad, om ikke større, eksponert for mekanismene bak adferdsbasert annonsering.
I rapporten sier kommisjonen at:
«En nasjonal personvernpolitikk må innebære at offentlig sektor går foran. Det innebærer at offentlige myndigheter må gjøre grundige personvernvurderinger og ta i bruk verktøy som respekterer innbyggernes personvern.»
Innsenderne er enig med kommisjonen at det offentlige har et særskilt ansvar for å gå foran, og slutte med en annonseringspraksis som bryter med personvernet. I den sammenheng oppfordrer innsenderne kommisjonen til å gå inn for at fra neste års mediebudsjetter skal en ikke lenger bruke adferdsbasert annonsering i offentlig sektor. Det behøver ikke å bli sett i sammenheng med et generelt forbud, og bør gjøres uavhengig av konklusjonen og utfallet i utredningen.
Politikk, media og samfunn
Dagens digitale annonsemarked er dypt integrert i flere samfunnsstrukturer, både kommersielt, i media og politisk. Det skaper utfordringer og krever omstilling. Slik kommisjonen påpeker henter flere mediehus deler av sine annonseinntekter fra dagens praksis. Innsenderne ønsker i den sammenheng å vise til at det allerede eksisterer alternativer til dagens ordning som ikke utnytter persondata. Gjennom kontekstuell annonsering kan mediene i samme grad hente inn inntekter, uten at det bryter med personvernet. Ved å rette annonsene etter innholdet i nyhetssaker kan aktører nå ut til forbrukere og innbyggere uten at persondata har vært involvert. Mediene tilbyr også andre annonseprodukter som ikke baserer seg på bruk av persondata, og flere vil kunne utvikles om de får økonomiske insentiver som det innsenderne foreslår.
Personvernkommisjonen tar også opp viktige problemstillinger knyttet til segmentering og målretting av annonser og politiske budskap. I 2018 avdekket Cambridge Analytica-skandalen at 50 millioner Facebook-brukeres persondata ble brukt til å påvirke demokratiske valg. Det amerikanske, og russiske, forsvaret investerer tungt i å sikre seg folks persondata, og flere medier har vist at man gjennom kjøp av persondata kan kartlegge bevegelsesmønsteret til norske politikere. Summen av dette er at man svekker individets rettigheter og legger demokratiske avgjørelser ut for salg. Meta ble igjen i januar 2023 dømt til å betale en bot på 390 millioner euro som følge på brudd på behandling av personopplysninger. Innsenderne støtter derfor kommisjonens ønske om å stille strenge informasjons- og åpenhetskrav til hvordan politiske aktører benytter seg av slike tjenester, og ikke minst hvordan informasjonen blir brukt.
Oppsummering
Innsenderne ønsker å takke personvernskommisjonens medlemmer og embetsverket for et grundig og godt arbeid. Vi stiller oss bak flere av forslagene i rapporten, men ønsker likevel å legge til noen innspill.
På bakgrunn av dette oppfordrer innsenderne til å:
- gjennomføre en utredning av forbud mot adferdsbasert annonsering
- innstille på at offentlige og statlige direktorater, etater og kommuner slutter å bruke annonseløsninger som misbruker persondata fra 1. januar 2024
- følge EU og stille strengere krav til informasjon og åpenhet til politiske aktører som benytter seg av målretting og segmentering i annonseringen
si vis pacem, para iustitiam
interrobangit
☼
http://interrobangit.bloggplatsen.se/presentation
http://interrobangit.bloggplatsen.se/2024/04/27/11817408/
http://interrobangit.bloggplatsen.se/2024/04/21/11817099/
http://interrobangit.bloggplatsen.se/2024/04/20/11817030/
http://interrobangit.bloggplatsen.se/2024/04/14/11816691/
http://interrobangit.bloggplatsen.se/2024/04/13/11816630/
http://interrobangit.bloggplatsen.se/2024/04/07/11816298/
http://interrobangit.bloggplatsen.se/2024/04/06/11816229/
http://interrobangit.bloggplatsen.se/2024/03/31/11815835/
http://interrobangit.bloggplatsen.se/2024/03/30/11815777/
http://interrobangit.bloggplatsen.se/2024/03/24/11815431/
http://interrobangit.bloggplatsen.se/2024/03/23/11815377/
http://interrobangit.bloggplatsen.se/2024/03/17/11815023/
http://interrobangit.bloggplatsen.se/2024/03/16/11814964/
http://interrobangit.bloggplatsen.se/2024/03/10/11814616/
http://interrobangit.bloggplatsen.se/2024/03/09/11814550/
http://interrobangit.bloggplatsen.se/2024/03/03/11814215/
http://interrobangit.bloggplatsen.se/2024/03/02/11812481/
http://interrobangit.bloggplatsen.se/2024/02/25/11812482/
http://interrobangit.bloggplatsen.se/2024/02/24/11812483/
http://interrobangit.bloggplatsen.se/2024/02/18/11812484/
http://interrobangit.bloggplatsen.se/2024/02/17/11812485/
http://interrobangit.bloggplatsen.se/2024/02/11/11812486/
http://interrobangit.bloggplatsen.se/2024/02/10/11812487/
http://interrobangit.bloggplatsen.se/2024/02/04/11812488/
http://interrobangit.bloggplatsen.se/2024/02/03/11812471/
http://interrobangit.bloggplatsen.se/2024/01/28/11812472/
http://interrobangit.bloggplatsen.se/2024/01/27/11812473/
http://interrobangit.bloggplatsen.se/2024/01/21/11812474/
http://interrobangit.bloggplatsen.se/2024/01/20/11812475/
http://interrobangit.bloggplatsen.se/2024/01/14/11812476/
http://interrobangit.bloggplatsen.se/2024/01/13/11812477/
http://interrobangit.bloggplatsen.se/2024/01/07/11809673/
http://interrobangit.bloggplatsen.se/2023/12/31/11809080/
http://interrobangit.bloggplatsen.se/2023/12/24/11808436/
http://interrobangit.bloggplatsen.se/2023/12/17/11807843/
http://interrobangit.bloggplatsen.se/2023/12/10/11807032/
http://interrobangit.bloggplatsen.se/2023/12/03/11806437/
http://interrobangit.bloggplatsen.se/2023/11/26/11805948/
http://interrobangit.bloggplatsen.se/2023/11/19/11805462/
http://interrobangit.bloggplatsen.se/2023/11/12/11804748/
http://interrobangit.bloggplatsen.se/2023/11/05/11803843/
http://interrobangit.bloggplatsen.se/2023/10/29/11802910/
http://interrobangit.bloggplatsen.se/2023/10/22/11801623/
http://interrobangit.bloggplatsen.se/2023/10/15/11800702/
http://interrobangit.bloggplatsen.se/2023/10/08/11799349/
http://interrobangit.bloggplatsen.se/2023/10/01/11797103/
http://interrobangit.bloggplatsen.se/2023/09/24/11795905/
http://interrobangit.bloggplatsen.se/2023/09/17/11795095/
http://interrobangit.bloggplatsen.se/2023/09/10/11794600/
http://interrobangit.bloggplatsen.se/2023/09/03/11794088/
http://interrobangit.bloggplatsen.se/2023/08/27/11793398/
http://interrobangit.bloggplatsen.se/2023/08/20/11792985/
http://interrobangit.bloggplatsen.se/2023/08/13/11792494/
http://interrobangit.bloggplatsen.se/2023/08/06/11791981/
http://interrobangit.bloggplatsen.se/2023/07/30/11791456/
http://interrobangit.bloggplatsen.se/2023/07/23/11790886/
http://interrobangit.bloggplatsen.se/2023/07/16/11790435/
http://interrobangit.bloggplatsen.se/2023/07/09/11789982/
http://interrobangit.bloggplatsen.se/2023/07/02/11789494/
http://interrobangit.bloggplatsen.se/2023/06/25/11788958/
http://interrobangit.bloggplatsen.se/2023/06/18/11788358/
http://interrobangit.bloggplatsen.se/2023/06/11/11787767/
http://interrobangit.bloggplatsen.se/2023/06/04/11787315/
http://interrobangit.bloggplatsen.se/2023/05/28/11786823/
http://interrobangit.bloggplatsen.se/2023/05/21/11786357/
http://interrobangit.bloggplatsen.se/2023/05/14/11785856/
http://interrobangit.bloggplatsen.se/2023/05/07/11785348/
http://interrobangit.bloggplatsen.se/2023/04/30/11784837/
http://interrobangit.bloggplatsen.se/2023/04/23/11783864/
http://interrobangit.bloggplatsen.se/2023/04/16/11782994/
http://interrobangit.bloggplatsen.se/2023/04/09/11782445/
http://interrobangit.bloggplatsen.se/2023/04/02/11810271/
http://interrobangit.bloggplatsen.se/2023/03/26/11811111/
http://interrobangit.bloggplatsen.se/2023/03/19/11811112/
http://interrobangit.bloggplatsen.se/2023/03/12/11811113/
http://interrobangit.bloggplatsen.se/2023/03/05/11811114/
http://interrobangit.bloggplatsen.se/2023/02/26/11811115/
http://interrobangit.bloggplatsen.se/2023/02/19/11811116/
Innledning
Det vises til Kommunal- og distriktsdepartementets høringsbrev 14. november 2022 vedrørende Personvernkommisjonens utredning, NOU 2022:11 "Ditt personvern – vårt felles ansvar". Riksadvokaten har fått forlenget høringsfrist til 24. februar d.å
Personvernkommisjonens utredning gir et helhelhetlig og dekkende bilde av sentrale utviklingstrekk i samfunnet, og løfter relevante problemstillinger og utfordringer innen digitalisering og personvern. Det er utvilsomt slik at det må være oppmerksomhet om retten til personvern ved digitaliseringsprosesser på sentrale samfunnsområder.
Utredningen gir en rekke anbefalinger, 140 til sammen. Riksadvokatens merknader er begrenset til anbefalingene som er omhandlet i kapittel 7, Personvern i justissektoren, og særlig temaer som er relevante for politiet og påtalemyndigheten.
Riksadvokaten vil trekke frem to grunnleggende forutsetninger for et godt personvern. For det første må regelverket være tilstrekkelig presist og tydelig (og det må være god kompetanse om regelverket), og for det andre må det være bevissthet om viktigheten av personvern i dagens samfunn. Etter riksadvokatens syn vil en forenkling av regelverket og et kontinuerlig fokus på opplæring og kulturbygging være de mest effektive tiltakene for å ivareta personvernet samtidig som hensynet til en effektiv kriminalitetsbekjempelse iakttas.
Personvern i justissektoren – en rettssikkerhetsgaranti
Et overordnet mål er å finne en god balanse mellom personvern på den ene siden og samfunnets behov for effektiv kriminalitetsbekjempelse på den andre. Når kriminalitetsbekjempelse og forebygging løses på en ansvarlig måte slik lovgiver har forutsatt, er det riksadvokatens syn at grunnleggende personvernhensyn allerede skal være ivaretatt. Denne ansvarligheten er synliggjort i proporsjonalitetsprinsippet, hvor de ulike legitime hensyn veies opp mot hverandre.
Personvernkommisjonen uttaler at den ikke er enig i betraktningen i forarbeidene til politiregisterloven § 1 (Ot.Prp.nr. 108 (2008-2009)), hvor de angis at personvernet må vike for kriminalitetsbekjempelse der disse to hensyn ikke kan forenes. Etter riksadvokatens syn kan det ikke være riktig eller ønskelig generelt å gi enten hensynet til personvern eller hensynet til kriminalitetsbekjempelse forrang. Disse hensynene må balanseres konkret ved det enkelte inngrepet, og må blant annet vurderes ut fra kriminalitetstype og alvorlighet, samt hvilke personverninteresser som berøres.
Personvern i lovarbeid, implementering av politidirektivet i politiregisterloven og forenkling av regelverket
Riksadvokaten er enig i kommisjonens uttalelser (pkt. 7.4.1) om at personvernkonsekvenser må belyses grundig og eventuelt utredes som del av lovforarbeider. Ved enkelte lovforslag kan det antakelig være hensiktsmessig om Datatilsynet involveres tidlig i lovarbeidsprosessen.
Kommisjonen foreslår i pkt. 7.4.2.1 å implementere politidirektivet (Direktiv 2016/680) i politiregisterloven, og forenkle og forbedre regelverket.
Riksadvokaten er enig i at dagens regelverk er omfattende, komplisert og vanskelig tilgjengelig for samtlige brukere, og en støtter derfor kommisjonens anbefaling om at politiregisterloven bør forenkles og forbedres. Forslaget om en ytterligere harmonisering mellom politidirektivet og politiregisterloven fremstår fornuftig.
Riksadvokaten kan også slutte seg til høringsuttalelsen fra Kontrollutvalget for kommunikasjonskontroll om at det er lite hensiktsmessig at reglene om håndtering av informasjon fra skjult metodebruk er plassert i to ulike lover; straffeprosessloven og politiregisterloven. Det er særlig viktig at regelverket er klart og lett tilgjengelig på dette området.
Bruk av åpne kilder
Personvernkommisjonen fremholder at den er bekymret for "nedkjølingseffekter" som følge av politiets bruk av åpne kilder på nett, og at dette perspektivet må vektlegges ved utarbeidelse av interne instrukser og lignende, jfr. pkt. 7.4.2.2
Det er riksadvokatens oppfatning at så lenge politiregisterlovens krav om blant annet nødvendighet, formålsbestemthet og forholdsmessighet blir overholdt, er personvernperspektivet ved politiets innhenting av åpne kilder på nett tilstrekkelig ivaretatt
Åpenhet om politiets metodebruk og ny teknologi
Personvernkommisjonen anbefaler i pkt. 7.4.3 at det nedsettes et utvalg for å utrede metodebruk i justissektoren, og at utredningen bør omfatte personvernkonsekvenser av politiets metoder, særlig sett opp mot formålsprinsippet og proporsjonalitetsprinsippet.
Personvernkommisjonen legger videre til grunn at det er begrenset tilgjengelig informasjon om hvilke verktøy politiet anvender og hvordan personvernet ivaretas i praksis, noe en oppfatter som en del av bakgrunnen for utvalgets forslag om en utredning.
Etter riksadvokatens syn er det noe uklart om kommisjonens ønske om utredning gjelder politiets metodebruk ved bruk av åpne og skjulte tvangsmidler, eller politiets metoder ved bruk av ny teknologi (herunder bruk av analyseverktøy o.l.)
Dersom det siktes til politiets bruk av åpne og skjulte tvangsmidler, er riksadvokaten usikker på om det er et reelt behov for en ny gjennomgang av politiets metodebruk nå. Politiets metodebruk i etterforsking er i stor grad lovregulert og godt kjent i samfunnet. Det vises også til gjennomgangen og vurderingene som ble gjort i Prop.68 L (2015–2016) Endringer i straffeprosessloven mv. (skjulte tvangsmidler). Spaning, infiltrasjon og provokasjon er ikke lovregulert. Metodene er omhandlet og foreslått lovregulert i NOU 2016:24.1
Riksadvokaten er også usikker på om det er behov for en utredning om politiets mer generelle bruk av ny teknologi, dersom det er dette kommisjonen foreslår. Hva gjelder åpenhet og muligheter for kontroll ved politiets anskaffelser av verktøy og bruk av ny teknologi, vises det til høringsuttalelsen fra Kripos pkt. 7.4.5.1
Effektiv domstolskontroll
Kommisjonen foreslår i pkt. 7.4.4 å innføre et tillegg i straffeprosessloven § 170 a for å sikre at den samlede bruken av ulike etterforskingsmetoder ikke utgjør et uforholdsmessig inngrep.
Allerede i dag er det et krav om at forholdsmessigheten må vurderes i lys av den samlede metodebruken. Dette er kommet til uttrykk blant annet i flere av riksadvokatens pålegg og retningslinjer de senere år, senest i Midlertidige retningslinjer for bruk av mobilt kamera (drone mv.) i etterforsking 10. februar 2023 pkt. 4, hvor det fremkommer følgende: "Benyttes andre skjulte etterforskingsmetoder i kombinasjon, skal det ses hen til det samlede inngrepet". En kodifisering av prinsippet i straffeprosessloven § 170 a er etter riksadvokatens syn hensiktsmessig.
Anskaffelse av ny teknologi
Personvernkommisjonen anbefaler i pkt. 7.4.5.3 et generelt forbud mot bruk av ansiktsgjenkjenning og annen biometrisk fjernidentifikasjon i offentlige rom.
Riksadvokaten støtter ikke forslaget om et generelt forbud, og mener spørsmålet om virkemiddelet kan være aktuelt i enkelte tilfeller – i praksis for å avverge eller etterforske den alvorligste kriminaliteten – må utredes ytterligere.
Utlevering av straffesaksdokumenter til advokater
Riksadvokaten deler bekymringen som kommer til uttrykk i pkt. 7.4.7.2, om faren for spredning av straffesaksopplysninger etter at disse er utlevert til sakens parter.
Som Oslo statsadvokatembeter, støtter vi kommisjonens anbefaling om at Justis- og beredskapsdepartementet bør etablere en samhandlingsplattform for å få bedre kontroll på tilgjengeliggjøring av straffesaksdokumenter. Se også for eksempel årsrapporten for 2021 s. 16 fra Kontrollutvalget for kommunikasjonskontroll om politiets utfordringer med å inndrive materiale fra forsvarer.2
Tilsyn og kontroll med behandlingen av personopplysninger
Riksadvokaten er enig i at det bør vurderes om mandatet til Kontrollutvalget for kommunikasjonskontroll bør utvides til å omfatte kontroll med andre av politiets metoder enn kommunikasjonskontroll, romavlytting og dataavlesning, jf. pkt. 7.4.8 Kontrollutvalget utøver utvilsomt en viktig kontroll av politiets skjulte metodebruk, og deres ressurser og kompetanse bør brukes der behovet for kontroll er størst.
Det bør i så fall også utredes om behandlingen av begjæringer om skjulte metoder fra politiet til domstolene kan behandles digitalt i domstolene slik at hensyn til personvern og informasjonssikkerhet ivaretas på en bedre måte enn i dag.
LES RESTEN på ► https://www.regjeringen.no/contentassets/eedca48374fe43b9bda52674db66edeb/riksadvokaten.pdf?uid=Riksadvokaten
2.5 Forbrukernes personvern
Datatilsynet støtter samtlige av Personvernkommisjonens anbefalinger knyttet til forbrukernes personvern i kapittel 9, og det er positivt at kommisjonen kommenterer forbrukerbegrepet innledningsvis i kapittelet. Vi ønsker samtidig å kommentere enkelte av punktene.
Tilsyn og håndheving
Vi ønsker velkommen Personvernkommisjonens anbefalinger om regulering av, og tilsyn med, informasjonskapsler og liknende sporingsteknologier. Vi viser i den forbindelse til Datatilsynets og Forbrukertilsynets felles høringsuttalelse til forslaget om ny ekomlov.
Lovprosesser i EU
Vi er enige i at regjeringen bør påvirke personvernrelaterte lovprosesser i EU for å sikre interessene til norske forbrukere og virksomheter. Dette fordrer at regjeringen engasjerer seg tidlig nok i prosessene og at Norges handlingsrom til å komme med innspill utnyttes godt.
Atferdsbasert målretting av både kommersielle og ikke-kommersielle budskap kan medføre særlige utfordringer. Illustrerende og reelle eksempler inkluderer politisk mikromålretting, målretting av reklame for ugunstige kredittløsninger mot personer man antar har betalingsproblemer, og målretting av brukerinnhold som fremmer spiseforstyrrelser mot tenåringer som har vist interesse for kosthold og trening. Algoritmene og anbefalingssystemene bruker kunstig intelligens. Vi mener derfor at regjeringen bør argumentere for strengere regulering av slike algoritmer i EUs «AI Act». Tilsvarende bør regjeringen engasjere seg i EUs lovforslag om politisk markedsføring, også når det gjelder åpenhet.
Når det gjelder det lovtekniske, mener vi det er viktig med klare regler som levner minst mulig rom for tolkningstvil for å sikre like spilleregler mellom markedsaktørene. Der forbud og begrensninger er aktuelt, bør man unngå at reglene kan fravikes ved samtykke, siden dette kan føre til «dulting» av forbrukere og samtykketretthet. På den annen side bør lovgivningen gi innbyggerne reelle og meningsfulle valgmuligheter der dette er passende.
Atferdsbasert markedsføring
Kommisjonen nevner at forordningen om digitale tjenester («Digital Services Act», DSA) skal bidra til større demokratisk kontroll med internettbaserte tjenester og plattformer. Vi gjør oppmerksom på at ikke alle typer aktører i de digitale økosystemene vil måtte følge kravene i DSA. Regjeringen bør derfor vurdere om enkelte av reglene i DSA kan og bør gjelde mer generelt, for eksempel reglene om markedsføring, manipulerende design og anbefalingsalgoritmer.
Datatilsynet deler for øvrig Personvernkommisjonens syn knyttet til et føre var-prinsipp når det gjelder atferdsbasert markedsføring mot barn. Vi frykter at digitale plattformer vil tillate atferdsbasert markedsføring mot barn under henvisning til at de ikke med rimelig sikkerhet vet hvilke brukere som er mindreårige.
Barn er imidlertid ikke den eneste sårbare gruppen på nett. Vi støtter Personvernkommisjonens flertall i at et generelt forbud mot atferdsbasert markedsføring må utredes.
Atferdsbasert markedsføring kan ha skadevirkninger både for individer og for demokratiet vårt.
Kommisjonens mindretall argumenterer mot utredning fordi et forbud etter mindretallets oppfatning vil være uforholdsmessig når atferdsbasert markedsføring kan gjøres forsvarlig. Datatilsynet er av den oppfatning at denne argumentasjonen ikke står seg, av flere grunner. Vi mener for det første at en utredning må komme før en konklusjon, og ikke omvendt. For det andre vil en utredning gi oss et bedre beslutningsgrunnlag. For det tredje er problemet at store deler av markedet ikke kan eller vil opptre forsvarlig. For det fjerde er en overlappende utredning allerede besluttet av Stortinget, se Stortingsvedtak 196 (2022–2023).
Vi ber om at omfanget av en utredning ikke defineres for snevert – digitale tjenester medfører beslektede utfordringer som kan kreve ulike løsninger. For eksempel bør man ikke begrense seg til atferdsbasert markedsføring, selv om dette bør være kjernen i utredningen. Også atferdsbasert målretting av ikke-kommersielt innhold, som rangering og forsterkning av brukerinnhold på sosiale medier, kan innebære inngripende sporing og profilering eller true rettigheter, friheter og demokrati. En fremtidig utredning bør derfor også ta for seg slik målretting av ikke-kommersielt innhold.
Vi mener det er mulig med effektiv regulering, også på nasjonalt nivå. Selv om Norge har begrenset handlingsrom til å særregulere behandling av personopplysninger innenfor rammene av EØS-avtalen, har vi trolig handlingsrom til å regulere en rekke forretningspraksiser og teknologier som forutsetter personopplysninger. Utredningen må ta stilling til hvilken innretning slik regulering kan og bør ha. Mulige handlingsrom kan være:
• Å forby eller begrense visse former for markedsføring, som atferdsbasert markedsføring. Her ligger også en mulighet til å utrede videre hvordan «atferdsbasert markedsføring» bør defineres, altså hvilke praksiser man ønsker å forby.
• Å regulere atferdsbasert målretting av kommersielle og ikke-kommersielle budskap på bestemte samfunnsområder eller i bestemte kommunikasjonskanaler, på samme måte som politisk markedsføring på TV er særregulert.
• Å regulere teknologier som utnytter brukernes underbevissthet for å foreta valg, fange deres oppmerksomhet eller manipulere dem.
• Å regulere enkelte algoritmiske beslutningsprosesser.
• Å regulere i kontekst av diskrimineringslovgivningen.
• Adtech-økosystemet kan føre til at sensitive opplysninger deles med fremmede makter. Norge kan ha handlingsrom til regulering i kontekst av lovgivning om nasjonal sikkerhet.
Særlig om barn og unges personvern
Vi er i likhet med Personvernkommisjonen særlig bekymret for barns og unges personvern på nett. Vi mener det er stort behov for å utrede hvordan barns rettigheter og friheter kan ivaretas på digitale flater. Dette gjelder både når barn selv deler sine personopplysninger, og tilfeller hvor barns personopplysninger blir delt av andre, for eksempel foreldre.
Datatilsynet ser særlig utfordringer knyttet til foreldres og tredjeparters eksponering av barns personopplysninger åpent på nett. Konsekvensene av dette er at foreldre selv gjennom sin digitale atferd risikerer å krenke barns rett til personvern. Det kan for eksempel være foreldre som gjennom egne kanaler deler privat informasjon om barnet på nett i forbindelse med konflikt med barnevernet, eller at foreldre samtykker til at en tredjepart får dele personopplysninger om barnet gjennom sine kanaler.
Reguleringen knyttet til lovligheten av en slik type eksponering er krevende. Det oppstår blant annet et spenningsfelt i forholdet mellom barnets rett til personvern og foreldrenes eller tredjepartens ytringsfrihet. Slike saker reiser også kompliserte spørsmål om foreldres samtykkekompteanse på vegne av barnet.
Vi ser positivt på at det i forslaget til ny barnelov er tatt inn en bestemmelse som vil gi foreldrene en plikt til å ta hensyn til barnets rettigheter når de samtykker på vegne av barn. Det er imidlertid uklart hvordan bestemmelsen i barneloven skal håndheves og virke sammen med øvrig regulering i personvernregleverket. Dette gjelder blant annet spørsmål om behandlingsgrunnlag og den avveiningen som må gjøres mellom ytringsfrihet og personvern i medhold av personopplysningsloven § 3. Vi mener derfor det er behov for en nærmere utredning av hvorvidt lovreguleringen på området ivaretar barnas rett til personvern på en god nok måte.
Datatilsynet støtter videre personvernkommisjonens anbefaling om å forebygge personvernutfordringer i forbindelse med deling av innhold på nett gjennom bevisstgjøring og kompetanseheving. Dette kan for eksempel skje gjennom obligatorisk veiledning på helsestasjon, i barnehage og på skole.
2.6 Regelkompleksitet og nasjonalt handlingsrom
Datatilsynet støtter de fleste av Personvernkommisjonens anbefalinger knyttet til regelkompleksitet og nasjonalt handlingsrom i kapittel 10, men ønsker å knytte særskilte merknader til to av dem.
Ideelle organisasjoners rett til å opptre på vegne av registrerte
Kommisjonen foreslår å gi ideelle organisasjoner rett til å klage til Datatilsynet uten fullmakt fra én eller flere registrerte, slik regelverket krever i dag.
Vi kan ikke se at det er noe dokumentert behov for å endre den ordningen som allerede følger av gjeldende rett. Vi viser til personvernforordningen artikkel 77, som gir enkeltindividet en slik klagerett, og til artikkel 80, som bestemmer at ideelle organisasjoner kan klage på den registrertes vegne. Innføringen av personvernforordningen innebar en betydelig styrking av individets klagerett, samtidig som forordningen presiserte at ideelle organisasjoner også kan representere klager overfor tilsynsmyndighetene. Vi mener denne ordningen virker etter sin hensikt, både nasjonalt og internasjonalt. Forbrukerrådet – som har gjennomført gode utredninger som har avdekket systematiske feil og prinsipielle personvernproblemstillinger, i tillegg til uheldig eller ulovlig forretningspraksis – er et godt eksempel på organisasjoner som bruker dette handlingsrommet allerede.
Dersom det vurderes å gå videre med et slikt forslag, må konsekvensene for Datatilsynet utredes. Vår kapasitet til å behandle slike klagesaker er allerede i dag svært presset. Kommisjonen ser ikke ut til å ha forutsatt dette i kapittel 14.
Tiltak for å forbedre lovtekster uten å gjøre innholdsmessige endringer
Datatilsynet stiller seg spørrende til kommisjonens utgreiing på dette punktet. For eksempel har man i ny ekomlov foreslått å kopiere definisjonen av samtykke i personvernforordningen artikkel 4 nr. 11, i stedet for å henvise til personvernforordningen. Problemet er at samtykke i forordningen også må forsås i lys av fortalen og andre bestemmelser, slik som artikkel 6, 7 og 8. Ved å kopiere definisjonen går dette tapt. Det er videre høyst uklart hva slags informasjonsbestemmelser kommisjonen ser for seg og hvorvidt en justering av dem faktisk vil redusere eller øke graden av uklarhet i regelverket.
2.7 Teknologi i personvernets tjeneste
Datatilsynet stiller seg bak anbefalingene kommisjonen gir i kapittel 11, og kommer med innspill til hvordan anbefalingene kan implementeres i avsnittene under.
Personvernkommisjonen mener tilsynsmyndigheter bør gi råd til privatpersoner om hvordan de kan bruke teknologi for å beskytte seg mot ulovlig eller uønsket behandling, og gi konkret anvisning på aktuelle verktøy. Datatilsynet gir allerede i dag privatpersoner veiledning knyttet til enkeltindividets rettigheter og friheter, både via nettsidene, vår veiledningstjeneste og i saksbehandlingen. Slik situasjonen er i dag, har imidlertid ikke Datatilsynet ressurser til å gi konkrete anvisninger på bruk av ulike verktøy.
Personvernkommisjonen mener det bør treffes tiltak for å skape tydeligere plikter til å bygge personvern inn i tekniske og organisatoriske løsninger. Kommisjonen er i tvil om i hvilken grad det er adgang til slik klargjøring innenfor rammene av personvernforordningen. Vi tror at adgangen til å gjøre nasjonale tilpasninger her er begrenset.
Personvernkommisjonen uttaler at det er viktig å konkretisere plikten til å bygge inn personvern på måter som fremmer åpenhet om behandling av personopplysninger. Kommisjonen argumenterer for eksempel for at de registrerte bør gis direkte tilgang til egne personopplysninger, uten å måtte kreve innsyn først. Vi er enige med kommisjonen på dette punktet, og alle virksomheter som behandler personopplysninger i en viss utstrekning kan med fordel sørge for å få på plass slike løsninger.
Reglene om innebygd personvern, åpenhet og ansvar må gjerne synliggjøres i opplæringsloven og i universitets- og høgskoleloven, slik kommisjonen foreslår. Vi vil i så fall anbefale at det samtidig vurderes inntatt relevante henvisninger til det generelle regelverket i personopplysningsloven og personvernforordningen.
Personvernkommisjonen anbefaler at norske myndigheter stimulerer til utvikling av norsk personvernteknologi. Tiltak kan inkludere anskaffelseskrav i offentlig sektor, forskningsmidler for å utvikle personvernfremmende teknologi, og forskjellige 13 bevilgningsordninger. Datatilsynet har tro på at dette kan fremme både innovasjon og digitalisering innenfor de rammene vi ønsker i Norge og Europa. Vi ser også for oss at Datatilsynet kan spille en viktig rolle i en slik sammenheng, på grunn av erfaringene våre med den regulatoriske sandkassen, som nettopp har som formål å fremme innovasjon og ansvarlig bruk av kunstig intelligens.
2.8 Åpenhet
Kommisjonen mener at åpenhet er spesielt viktig når det skal tas beslutninger som har direkte betydning for innbyggernes plikter, rettigheter, friheter og muligheter. Dette kan for eksempel dreie seg om hvorvidt man får innvilget et lån eller barnetrygd. Kommisjonen anbefaler at full forklarbarhet må være det klare utgangspunktet, og at lavere standarder kun bør aksepteres når effektene antas å være ubetydelige.
I tillegg anbefaler kommisjonen at offentlige myndigheter og andre innflytelsesrike samfunnsaktører kontinuerlig må ha som en av sine viktigste oppgaver å styrke åpenheten knyttet til anvendelse av digital teknologi med direkte betydning for innbyggernes plikter, rettigheter, friheter og muligheter.
Vi støtter begge disse standpunktene, og vi mener at åpenhet blir spesielt viktig i årene som kommer, når samfunnsfunksjoner og tjenester digitaliseres og algoritmer i økende grad brukes til å analysere oss, og til å ta avgjørelser om oss.
2.9 Veiledning, tilsyn, klager og Datatilsynets organisasjon
I utredningens kapittel 13 går kommisjonen blant annet inn på Datatilsynets rolle, oppgaveutføring og budsjett. Vi mener det er positivt at kommisjonen tar opp disse temaene på eget initiativ.
Kommisjonen understreker at et «velfungerende tilsynsorgan er et nødvendig premiss for å sikre innbyggernes personvern», og at tilstrekkelige ressurser er en forutsetning for et velfungerende tilsynsorgan. Vi stiller oss bak kommisjonens uttalelser, og vi viser til omtalen nedenfor i pkt. 2.10, hvor konsekvensene av mangelfulle ressurser i tilsynet er nærmere beskrevet.
Det er også statens rettslige forpliktelse å sikre et slikt velfungerende tilsynsorgan, se personvernforordningen artikkel 52 nr. 4, jf. fortalepunkt 120.
For øvrig hadde vi gjerne sett at Datatilsynets uavhengighet, jf. artikkel 52, var blitt gjort til gjenstand for en noe grundigere omtale. Etter vår mening har tilsynets uavhengighet betydning for flere av spørsmålene kommisjonen tar opp i kapittel 13.
Spesielt om behovet for veiledning
Kommisjonen trekker frem at det er et stort behov for informasjon og veiledning om personvernregelverket. Kommisjonen uttaler at den ser at det kan være uheldig at samme organ både skal gi veiledning, fatte avgjørelser, utføre tilsyn og drive med kontrollvirksomhet.
Vi viser til at Datatilsynets lovpålagte oppgaver er beskrevet i personvernforordningen artikkel 57. Her er det blant annet slått fast at tilsynsmyndigheten skal drive med ulike former for informasjons- og veiledningsarbeid, og at tilsynsmyndigheten også skal føre kontroll med og håndheve anvendelsen av regelverket.
Tilsynet opplever at det er et stort veiledningsbehov både hos virksomheter og enkeltpersoner. På grunn av ressurssituasjonen har vi dessverre måttet nedprioritere mange forespørsler om veiledningsmøter. Vi har også begrensede ressurser til å videreutvikle nettsidene våre, selv om de er oppdatert på innhold.
Kommisjonen foreslår at også andre myndigheter enn Datatilsynet bør veilede om «personvernspørsmål som direkte er knyttet til deres myndighetsområde». I så fall er det viktig å sikre at veiledning og tolkning av personvernregelverket er konsekvent på tvers av sektorer, og at det er bevissthet om Datatilsynets rolle som regelverksforvalter og -håndhever på personvernområdet.
Datatilsynets rolle ved utforming av lover og forskrifter
Det er svært positivt at Kommisjonens trekker frem Datatilsynets rolle i forbindelse med forberedelse av nasjonal lovgivning og andre administrative tiltak. Vi er enige i at Datatilsynet bør involveres i flere lov- eller forskriftsprosesser for å sikre at personvernhensyn blir ivaretatt på riktig tidspunkt i prosessen.
Etter vår vurdering er det klart at forordningens artikkel 36 nr. 4 forutsetter en annen type involvering enn alminnelige lov- eller forskriftshøringer. Andre europeiske tilsynsmyndigheter deler denne forståelsen, blant annet myndighetene i Tyskland (BfDi) og Storbritannia (ICO). ICO har i et brev til den skotske regjeringen vist til følgende:
«Consultation is directly with the ICO and is separate from any public consultation, which would not satisfy the [article 36(4)] requirements. Consultation should be undertaken during the formative stages of the developments of policy, to ensure that there is opportunity to give due consideration to input from the ICO before the outputs are finalised».
Vår forståelse er for øvrig at rådføringsplikten i artikkel 36 nr. 4 utløses ved arbeider med lover eller forskrifter som innebærer en høy risiko for personvernet, jf. også artikkel 35 nr. 1. Her er det ulike synspunkter blant øvrige europeiske tilsynsmyndigheter. I Tyskland er for eksempel den føderale myndigheten involvert i alle prosesser som berører behandling av personopplysninger. En slik ordning ville neppe være gjennomførbar i Norge, i alle fall ikke med dagens ressurssituasjon i Datatilsynet.
Uansett er det klart at økt involvering i arbeidet med å forberede lover og forskrifter, og eventuelt andre administrative tiltak, vil gi behov for økte ressurser til Datatilsynet.
2.10 Økonomiske og administrative konsekvenser
I kapittel 14 er det foreslått en rekke tiltak som krever oppfølging av andre aktører enn Datatilsynet. Datatilsynet mener det er naturlig at det må følge ressurser med tiltakene for at de skal være mulig å gjennomføre i praksis. I dette høringssvaret fokuserer vi på mulige administrative og økonomiske konsekvenser for Datatilsynet.
Kommisjonen anbefaler en generell styrking av Datatilsynet. Vi er selv av den oppfatning at det ikke lenger er samsvar mellom de oppgavene som vi er satt til å løse og de ressursene vi har. Det vi erfarer, etter å ha tilpasset oss ny lovgivning og ny oppgaveløsning, er at vårt mandat og samfunnsoppdrag suksessivt har økt i både omfang og kompleksitet. Statistikken over innkomne saker peker oppover på alle områder. Det er ingenting som tyder på at dette vil endre seg med det første.
Datatilsynet har hatt en stor økning av saker, både i volum og kompleksitet. Vi har blant annet erfart en særlig økning i antall avviksaker og klagesaker og oppgaver som er knyttet til harmonisering og samordning mellom EUs datatilsynsmyndigheter. Mange virksomheter etterlyser nå også flere stedlige tilsyn fra Datatilsynet
Den lovpålagte behandlingen av klager fra enkeltindivider binder opp svært mye ressurser hos Datatilsynet, og fører i dag til at vi har begrensede muligheter til å prioritere. Ofte må selvinitierte tilsynsaktiviteter vike for klagesakene, selv om førstnevnte kan fremstå som viktigere eller er egnet til å gi større effekt, både for enkeltindivider og for samfunnet.
Internasjonalt arbeid og samordning er også en kjerneoppgave og helt nødvendig ettersom mye av rettsdannelsen skjer i EU. Det er en rekke krav og frister som må overholdes i disse sakene og sakene er ofte komplekse og svært ressurskrevende. Ny lovgiving fra EU berører Datatilsynet og krever ressurser å følge opp.
Det gjeldende personvernregelverket er komplisert og oppleves av mange som vanskelig tilgjengelig. Det er fortsatt begrensede rettskilder, og det er en klar forventning fra både offentlige og private virksomheter at Datatilsynet skal gi informasjon, utvikle veiledningsmateriell og selvhjelpsverktøy slik at regelverket kan etterleves.
Mangel på ressurser er også noe våre nordiske tilsynskollegaer erfarer. Vi ser imidlertid at øvrige skandinaviske tilsyn styrkes for å møte utfordringene. Etter det vi erfarer, har for eksempel IMY, det svenske Datatilsynet, i den svenske regjeringens budsjettforslag 2022 fått en økt ramme på 56 millioner kroner de neste to årene, hvorav 48 millioner i 2023. Til sammenligning var det norske Datatilsynets totale budsjett for 2022 på ca. 71 millioner kroner.
I tillegg til våre eksisterende oppgaver kommer kommisjonen med en rekke forslag som vil kreve ressurser og ha økonomiske konsekvenser for oss. Her er noen eksempler på forslagene som utløser ressursbehov:
• Forslaget om at departementene i større grad skal rådføre seg med Datatilsynet i lovog forskriftsarbeider. 16
• Forslaget om utredning av forbud mot atferdsbasert markedsføring – behovet for økte midler til Datatilsynet må vurderes, ettersom et slikt forbud trolig vil medføre ekstra oppgaver.
• Forslaget om å legge ansvar for håndheving av informasjonskapsler og lignende sporingsteknologi til Datatilsynet.
• Forslaget om at flere myndigheter veileder om personvern vil kreve koordineringsarbeid og oppfølging fra Datatilsynet for å sikre enhetlig tolkning av regelverket på tvers av sektorer.
Norge trenger et effektivt og slagkraftig datatilsyn for å hjelpe norske virksomheter i privat og offentlig sektor å ivareta personvernet til innbyggerne. Vi støtter derfor kommisjonens anbefaling om en styrking av tilsynet.
3. Avslutning
