Alla inlägg den 3 september 2023
Innledning
Det vises til Kommunal- og distriktsdepartementets høringsbrev 14. november 2022 vedrørende Personvernkommisjonens utredning, NOU 2022:11 "Ditt personvern – vårt felles ansvar". Riksadvokaten har fått forlenget høringsfrist til 24. februar d.å
Personvernkommisjonens utredning gir et helhelhetlig og dekkende bilde av sentrale utviklingstrekk i samfunnet, og løfter relevante problemstillinger og utfordringer innen digitalisering og personvern. Det er utvilsomt slik at det må være oppmerksomhet om retten til personvern ved digitaliseringsprosesser på sentrale samfunnsområder.
Utredningen gir en rekke anbefalinger, 140 til sammen. Riksadvokatens merknader er begrenset til anbefalingene som er omhandlet i kapittel 7, Personvern i justissektoren, og særlig temaer som er relevante for politiet og påtalemyndigheten.
Riksadvokaten vil trekke frem to grunnleggende forutsetninger for et godt personvern. For det første må regelverket være tilstrekkelig presist og tydelig (og det må være god kompetanse om regelverket), og for det andre må det være bevissthet om viktigheten av personvern i dagens samfunn. Etter riksadvokatens syn vil en forenkling av regelverket og et kontinuerlig fokus på opplæring og kulturbygging være de mest effektive tiltakene for å ivareta personvernet samtidig som hensynet til en effektiv kriminalitetsbekjempelse iakttas.
Personvern i justissektoren – en rettssikkerhetsgaranti
Et overordnet mål er å finne en god balanse mellom personvern på den ene siden og samfunnets behov for effektiv kriminalitetsbekjempelse på den andre. Når kriminalitetsbekjempelse og forebygging løses på en ansvarlig måte slik lovgiver har forutsatt, er det riksadvokatens syn at grunnleggende personvernhensyn allerede skal være ivaretatt. Denne ansvarligheten er synliggjort i proporsjonalitetsprinsippet, hvor de ulike legitime hensyn veies opp mot hverandre.
Personvernkommisjonen uttaler at den ikke er enig i betraktningen i forarbeidene til politiregisterloven § 1 (Ot.Prp.nr. 108 (2008-2009)), hvor de angis at personvernet må vike for kriminalitetsbekjempelse der disse to hensyn ikke kan forenes. Etter riksadvokatens syn kan det ikke være riktig eller ønskelig generelt å gi enten hensynet til personvern eller hensynet til kriminalitetsbekjempelse forrang. Disse hensynene må balanseres konkret ved det enkelte inngrepet, og må blant annet vurderes ut fra kriminalitetstype og alvorlighet, samt hvilke personverninteresser som berøres.
Personvern i lovarbeid, implementering av politidirektivet i politiregisterloven og forenkling av regelverket
Riksadvokaten er enig i kommisjonens uttalelser (pkt. 7.4.1) om at personvernkonsekvenser må belyses grundig og eventuelt utredes som del av lovforarbeider. Ved enkelte lovforslag kan det antakelig være hensiktsmessig om Datatilsynet involveres tidlig i lovarbeidsprosessen.
Kommisjonen foreslår i pkt. 7.4.2.1 å implementere politidirektivet (Direktiv 2016/680) i politiregisterloven, og forenkle og forbedre regelverket.
Riksadvokaten er enig i at dagens regelverk er omfattende, komplisert og vanskelig tilgjengelig for samtlige brukere, og en støtter derfor kommisjonens anbefaling om at politiregisterloven bør forenkles og forbedres. Forslaget om en ytterligere harmonisering mellom politidirektivet og politiregisterloven fremstår fornuftig.
Riksadvokaten kan også slutte seg til høringsuttalelsen fra Kontrollutvalget for kommunikasjonskontroll om at det er lite hensiktsmessig at reglene om håndtering av informasjon fra skjult metodebruk er plassert i to ulike lover; straffeprosessloven og politiregisterloven. Det er særlig viktig at regelverket er klart og lett tilgjengelig på dette området.
Bruk av åpne kilder
Personvernkommisjonen fremholder at den er bekymret for "nedkjølingseffekter" som følge av politiets bruk av åpne kilder på nett, og at dette perspektivet må vektlegges ved utarbeidelse av interne instrukser og lignende, jfr. pkt. 7.4.2.2
Det er riksadvokatens oppfatning at så lenge politiregisterlovens krav om blant annet nødvendighet, formålsbestemthet og forholdsmessighet blir overholdt, er personvernperspektivet ved politiets innhenting av åpne kilder på nett tilstrekkelig ivaretatt
Åpenhet om politiets metodebruk og ny teknologi
Personvernkommisjonen anbefaler i pkt. 7.4.3 at det nedsettes et utvalg for å utrede metodebruk i justissektoren, og at utredningen bør omfatte personvernkonsekvenser av politiets metoder, særlig sett opp mot formålsprinsippet og proporsjonalitetsprinsippet.
Personvernkommisjonen legger videre til grunn at det er begrenset tilgjengelig informasjon om hvilke verktøy politiet anvender og hvordan personvernet ivaretas i praksis, noe en oppfatter som en del av bakgrunnen for utvalgets forslag om en utredning.
Etter riksadvokatens syn er det noe uklart om kommisjonens ønske om utredning gjelder politiets metodebruk ved bruk av åpne og skjulte tvangsmidler, eller politiets metoder ved bruk av ny teknologi (herunder bruk av analyseverktøy o.l.)
Dersom det siktes til politiets bruk av åpne og skjulte tvangsmidler, er riksadvokaten usikker på om det er et reelt behov for en ny gjennomgang av politiets metodebruk nå. Politiets metodebruk i etterforsking er i stor grad lovregulert og godt kjent i samfunnet. Det vises også til gjennomgangen og vurderingene som ble gjort i Prop.68 L (2015–2016) Endringer i straffeprosessloven mv. (skjulte tvangsmidler). Spaning, infiltrasjon og provokasjon er ikke lovregulert. Metodene er omhandlet og foreslått lovregulert i NOU 2016:24.1
Riksadvokaten er også usikker på om det er behov for en utredning om politiets mer generelle bruk av ny teknologi, dersom det er dette kommisjonen foreslår. Hva gjelder åpenhet og muligheter for kontroll ved politiets anskaffelser av verktøy og bruk av ny teknologi, vises det til høringsuttalelsen fra Kripos pkt. 7.4.5.1
Effektiv domstolskontroll
Kommisjonen foreslår i pkt. 7.4.4 å innføre et tillegg i straffeprosessloven § 170 a for å sikre at den samlede bruken av ulike etterforskingsmetoder ikke utgjør et uforholdsmessig inngrep.
Allerede i dag er det et krav om at forholdsmessigheten må vurderes i lys av den samlede metodebruken. Dette er kommet til uttrykk blant annet i flere av riksadvokatens pålegg og retningslinjer de senere år, senest i Midlertidige retningslinjer for bruk av mobilt kamera (drone mv.) i etterforsking 10. februar 2023 pkt. 4, hvor det fremkommer følgende: "Benyttes andre skjulte etterforskingsmetoder i kombinasjon, skal det ses hen til det samlede inngrepet". En kodifisering av prinsippet i straffeprosessloven § 170 a er etter riksadvokatens syn hensiktsmessig.
Anskaffelse av ny teknologi
Personvernkommisjonen anbefaler i pkt. 7.4.5.3 et generelt forbud mot bruk av ansiktsgjenkjenning og annen biometrisk fjernidentifikasjon i offentlige rom.
Riksadvokaten støtter ikke forslaget om et generelt forbud, og mener spørsmålet om virkemiddelet kan være aktuelt i enkelte tilfeller – i praksis for å avverge eller etterforske den alvorligste kriminaliteten – må utredes ytterligere.
Utlevering av straffesaksdokumenter til advokater
Riksadvokaten deler bekymringen som kommer til uttrykk i pkt. 7.4.7.2, om faren for spredning av straffesaksopplysninger etter at disse er utlevert til sakens parter.
Som Oslo statsadvokatembeter, støtter vi kommisjonens anbefaling om at Justis- og beredskapsdepartementet bør etablere en samhandlingsplattform for å få bedre kontroll på tilgjengeliggjøring av straffesaksdokumenter. Se også for eksempel årsrapporten for 2021 s. 16 fra Kontrollutvalget for kommunikasjonskontroll om politiets utfordringer med å inndrive materiale fra forsvarer.2
Tilsyn og kontroll med behandlingen av personopplysninger
Riksadvokaten er enig i at det bør vurderes om mandatet til Kontrollutvalget for kommunikasjonskontroll bør utvides til å omfatte kontroll med andre av politiets metoder enn kommunikasjonskontroll, romavlytting og dataavlesning, jf. pkt. 7.4.8 Kontrollutvalget utøver utvilsomt en viktig kontroll av politiets skjulte metodebruk, og deres ressurser og kompetanse bør brukes der behovet for kontroll er størst.
Det bør i så fall også utredes om behandlingen av begjæringer om skjulte metoder fra politiet til domstolene kan behandles digitalt i domstolene slik at hensyn til personvern og informasjonssikkerhet ivaretas på en bedre måte enn i dag.
LES RESTEN på ► https://www.regjeringen.no/contentassets/eedca48374fe43b9bda52674db66edeb/riksadvokaten.pdf?uid=Riksadvokaten
2.5 Forbrukernes personvern
Datatilsynet støtter samtlige av Personvernkommisjonens anbefalinger knyttet til forbrukernes personvern i kapittel 9, og det er positivt at kommisjonen kommenterer forbrukerbegrepet innledningsvis i kapittelet. Vi ønsker samtidig å kommentere enkelte av punktene.
Tilsyn og håndheving
Vi ønsker velkommen Personvernkommisjonens anbefalinger om regulering av, og tilsyn med, informasjonskapsler og liknende sporingsteknologier. Vi viser i den forbindelse til Datatilsynets og Forbrukertilsynets felles høringsuttalelse til forslaget om ny ekomlov.
Lovprosesser i EU
Vi er enige i at regjeringen bør påvirke personvernrelaterte lovprosesser i EU for å sikre interessene til norske forbrukere og virksomheter. Dette fordrer at regjeringen engasjerer seg tidlig nok i prosessene og at Norges handlingsrom til å komme med innspill utnyttes godt.
Atferdsbasert målretting av både kommersielle og ikke-kommersielle budskap kan medføre særlige utfordringer. Illustrerende og reelle eksempler inkluderer politisk mikromålretting, målretting av reklame for ugunstige kredittløsninger mot personer man antar har betalingsproblemer, og målretting av brukerinnhold som fremmer spiseforstyrrelser mot tenåringer som har vist interesse for kosthold og trening. Algoritmene og anbefalingssystemene bruker kunstig intelligens. Vi mener derfor at regjeringen bør argumentere for strengere regulering av slike algoritmer i EUs «AI Act». Tilsvarende bør regjeringen engasjere seg i EUs lovforslag om politisk markedsføring, også når det gjelder åpenhet.
Når det gjelder det lovtekniske, mener vi det er viktig med klare regler som levner minst mulig rom for tolkningstvil for å sikre like spilleregler mellom markedsaktørene. Der forbud og begrensninger er aktuelt, bør man unngå at reglene kan fravikes ved samtykke, siden dette kan føre til «dulting» av forbrukere og samtykketretthet. På den annen side bør lovgivningen gi innbyggerne reelle og meningsfulle valgmuligheter der dette er passende.
Atferdsbasert markedsføring
Kommisjonen nevner at forordningen om digitale tjenester («Digital Services Act», DSA) skal bidra til større demokratisk kontroll med internettbaserte tjenester og plattformer. Vi gjør oppmerksom på at ikke alle typer aktører i de digitale økosystemene vil måtte følge kravene i DSA. Regjeringen bør derfor vurdere om enkelte av reglene i DSA kan og bør gjelde mer generelt, for eksempel reglene om markedsføring, manipulerende design og anbefalingsalgoritmer.
Datatilsynet deler for øvrig Personvernkommisjonens syn knyttet til et føre var-prinsipp når det gjelder atferdsbasert markedsføring mot barn. Vi frykter at digitale plattformer vil tillate atferdsbasert markedsføring mot barn under henvisning til at de ikke med rimelig sikkerhet vet hvilke brukere som er mindreårige.
Barn er imidlertid ikke den eneste sårbare gruppen på nett. Vi støtter Personvernkommisjonens flertall i at et generelt forbud mot atferdsbasert markedsføring må utredes.
Atferdsbasert markedsføring kan ha skadevirkninger både for individer og for demokratiet vårt.
Kommisjonens mindretall argumenterer mot utredning fordi et forbud etter mindretallets oppfatning vil være uforholdsmessig når atferdsbasert markedsføring kan gjøres forsvarlig. Datatilsynet er av den oppfatning at denne argumentasjonen ikke står seg, av flere grunner. Vi mener for det første at en utredning må komme før en konklusjon, og ikke omvendt. For det andre vil en utredning gi oss et bedre beslutningsgrunnlag. For det tredje er problemet at store deler av markedet ikke kan eller vil opptre forsvarlig. For det fjerde er en overlappende utredning allerede besluttet av Stortinget, se Stortingsvedtak 196 (2022–2023).
Vi ber om at omfanget av en utredning ikke defineres for snevert – digitale tjenester medfører beslektede utfordringer som kan kreve ulike løsninger. For eksempel bør man ikke begrense seg til atferdsbasert markedsføring, selv om dette bør være kjernen i utredningen. Også atferdsbasert målretting av ikke-kommersielt innhold, som rangering og forsterkning av brukerinnhold på sosiale medier, kan innebære inngripende sporing og profilering eller true rettigheter, friheter og demokrati. En fremtidig utredning bør derfor også ta for seg slik målretting av ikke-kommersielt innhold.
Vi mener det er mulig med effektiv regulering, også på nasjonalt nivå. Selv om Norge har begrenset handlingsrom til å særregulere behandling av personopplysninger innenfor rammene av EØS-avtalen, har vi trolig handlingsrom til å regulere en rekke forretningspraksiser og teknologier som forutsetter personopplysninger. Utredningen må ta stilling til hvilken innretning slik regulering kan og bør ha. Mulige handlingsrom kan være:
• Å forby eller begrense visse former for markedsføring, som atferdsbasert markedsføring. Her ligger også en mulighet til å utrede videre hvordan «atferdsbasert markedsføring» bør defineres, altså hvilke praksiser man ønsker å forby.
• Å regulere atferdsbasert målretting av kommersielle og ikke-kommersielle budskap på bestemte samfunnsområder eller i bestemte kommunikasjonskanaler, på samme måte som politisk markedsføring på TV er særregulert.
• Å regulere teknologier som utnytter brukernes underbevissthet for å foreta valg, fange deres oppmerksomhet eller manipulere dem.
• Å regulere enkelte algoritmiske beslutningsprosesser.
• Å regulere i kontekst av diskrimineringslovgivningen.
• Adtech-økosystemet kan føre til at sensitive opplysninger deles med fremmede makter. Norge kan ha handlingsrom til regulering i kontekst av lovgivning om nasjonal sikkerhet.
Særlig om barn og unges personvern
Vi er i likhet med Personvernkommisjonen særlig bekymret for barns og unges personvern på nett. Vi mener det er stort behov for å utrede hvordan barns rettigheter og friheter kan ivaretas på digitale flater. Dette gjelder både når barn selv deler sine personopplysninger, og tilfeller hvor barns personopplysninger blir delt av andre, for eksempel foreldre.
Datatilsynet ser særlig utfordringer knyttet til foreldres og tredjeparters eksponering av barns personopplysninger åpent på nett. Konsekvensene av dette er at foreldre selv gjennom sin digitale atferd risikerer å krenke barns rett til personvern. Det kan for eksempel være foreldre som gjennom egne kanaler deler privat informasjon om barnet på nett i forbindelse med konflikt med barnevernet, eller at foreldre samtykker til at en tredjepart får dele personopplysninger om barnet gjennom sine kanaler.
Reguleringen knyttet til lovligheten av en slik type eksponering er krevende. Det oppstår blant annet et spenningsfelt i forholdet mellom barnets rett til personvern og foreldrenes eller tredjepartens ytringsfrihet. Slike saker reiser også kompliserte spørsmål om foreldres samtykkekompteanse på vegne av barnet.
Vi ser positivt på at det i forslaget til ny barnelov er tatt inn en bestemmelse som vil gi foreldrene en plikt til å ta hensyn til barnets rettigheter når de samtykker på vegne av barn. Det er imidlertid uklart hvordan bestemmelsen i barneloven skal håndheves og virke sammen med øvrig regulering i personvernregleverket. Dette gjelder blant annet spørsmål om behandlingsgrunnlag og den avveiningen som må gjøres mellom ytringsfrihet og personvern i medhold av personopplysningsloven § 3. Vi mener derfor det er behov for en nærmere utredning av hvorvidt lovreguleringen på området ivaretar barnas rett til personvern på en god nok måte.
Datatilsynet støtter videre personvernkommisjonens anbefaling om å forebygge personvernutfordringer i forbindelse med deling av innhold på nett gjennom bevisstgjøring og kompetanseheving. Dette kan for eksempel skje gjennom obligatorisk veiledning på helsestasjon, i barnehage og på skole.
2.6 Regelkompleksitet og nasjonalt handlingsrom
Datatilsynet støtter de fleste av Personvernkommisjonens anbefalinger knyttet til regelkompleksitet og nasjonalt handlingsrom i kapittel 10, men ønsker å knytte særskilte merknader til to av dem.
Ideelle organisasjoners rett til å opptre på vegne av registrerte
Kommisjonen foreslår å gi ideelle organisasjoner rett til å klage til Datatilsynet uten fullmakt fra én eller flere registrerte, slik regelverket krever i dag.
Vi kan ikke se at det er noe dokumentert behov for å endre den ordningen som allerede følger av gjeldende rett. Vi viser til personvernforordningen artikkel 77, som gir enkeltindividet en slik klagerett, og til artikkel 80, som bestemmer at ideelle organisasjoner kan klage på den registrertes vegne. Innføringen av personvernforordningen innebar en betydelig styrking av individets klagerett, samtidig som forordningen presiserte at ideelle organisasjoner også kan representere klager overfor tilsynsmyndighetene. Vi mener denne ordningen virker etter sin hensikt, både nasjonalt og internasjonalt. Forbrukerrådet – som har gjennomført gode utredninger som har avdekket systematiske feil og prinsipielle personvernproblemstillinger, i tillegg til uheldig eller ulovlig forretningspraksis – er et godt eksempel på organisasjoner som bruker dette handlingsrommet allerede.
Dersom det vurderes å gå videre med et slikt forslag, må konsekvensene for Datatilsynet utredes. Vår kapasitet til å behandle slike klagesaker er allerede i dag svært presset. Kommisjonen ser ikke ut til å ha forutsatt dette i kapittel 14.
Tiltak for å forbedre lovtekster uten å gjøre innholdsmessige endringer
Datatilsynet stiller seg spørrende til kommisjonens utgreiing på dette punktet. For eksempel har man i ny ekomlov foreslått å kopiere definisjonen av samtykke i personvernforordningen artikkel 4 nr. 11, i stedet for å henvise til personvernforordningen. Problemet er at samtykke i forordningen også må forsås i lys av fortalen og andre bestemmelser, slik som artikkel 6, 7 og 8. Ved å kopiere definisjonen går dette tapt. Det er videre høyst uklart hva slags informasjonsbestemmelser kommisjonen ser for seg og hvorvidt en justering av dem faktisk vil redusere eller øke graden av uklarhet i regelverket.
2.7 Teknologi i personvernets tjeneste
Datatilsynet stiller seg bak anbefalingene kommisjonen gir i kapittel 11, og kommer med innspill til hvordan anbefalingene kan implementeres i avsnittene under.
Personvernkommisjonen mener tilsynsmyndigheter bør gi råd til privatpersoner om hvordan de kan bruke teknologi for å beskytte seg mot ulovlig eller uønsket behandling, og gi konkret anvisning på aktuelle verktøy. Datatilsynet gir allerede i dag privatpersoner veiledning knyttet til enkeltindividets rettigheter og friheter, både via nettsidene, vår veiledningstjeneste og i saksbehandlingen. Slik situasjonen er i dag, har imidlertid ikke Datatilsynet ressurser til å gi konkrete anvisninger på bruk av ulike verktøy.
Personvernkommisjonen mener det bør treffes tiltak for å skape tydeligere plikter til å bygge personvern inn i tekniske og organisatoriske løsninger. Kommisjonen er i tvil om i hvilken grad det er adgang til slik klargjøring innenfor rammene av personvernforordningen. Vi tror at adgangen til å gjøre nasjonale tilpasninger her er begrenset.
Personvernkommisjonen uttaler at det er viktig å konkretisere plikten til å bygge inn personvern på måter som fremmer åpenhet om behandling av personopplysninger. Kommisjonen argumenterer for eksempel for at de registrerte bør gis direkte tilgang til egne personopplysninger, uten å måtte kreve innsyn først. Vi er enige med kommisjonen på dette punktet, og alle virksomheter som behandler personopplysninger i en viss utstrekning kan med fordel sørge for å få på plass slike løsninger.
Reglene om innebygd personvern, åpenhet og ansvar må gjerne synliggjøres i opplæringsloven og i universitets- og høgskoleloven, slik kommisjonen foreslår. Vi vil i så fall anbefale at det samtidig vurderes inntatt relevante henvisninger til det generelle regelverket i personopplysningsloven og personvernforordningen.
Personvernkommisjonen anbefaler at norske myndigheter stimulerer til utvikling av norsk personvernteknologi. Tiltak kan inkludere anskaffelseskrav i offentlig sektor, forskningsmidler for å utvikle personvernfremmende teknologi, og forskjellige 13 bevilgningsordninger. Datatilsynet har tro på at dette kan fremme både innovasjon og digitalisering innenfor de rammene vi ønsker i Norge og Europa. Vi ser også for oss at Datatilsynet kan spille en viktig rolle i en slik sammenheng, på grunn av erfaringene våre med den regulatoriske sandkassen, som nettopp har som formål å fremme innovasjon og ansvarlig bruk av kunstig intelligens.
2.8 Åpenhet
Kommisjonen mener at åpenhet er spesielt viktig når det skal tas beslutninger som har direkte betydning for innbyggernes plikter, rettigheter, friheter og muligheter. Dette kan for eksempel dreie seg om hvorvidt man får innvilget et lån eller barnetrygd. Kommisjonen anbefaler at full forklarbarhet må være det klare utgangspunktet, og at lavere standarder kun bør aksepteres når effektene antas å være ubetydelige.
I tillegg anbefaler kommisjonen at offentlige myndigheter og andre innflytelsesrike samfunnsaktører kontinuerlig må ha som en av sine viktigste oppgaver å styrke åpenheten knyttet til anvendelse av digital teknologi med direkte betydning for innbyggernes plikter, rettigheter, friheter og muligheter.
Vi støtter begge disse standpunktene, og vi mener at åpenhet blir spesielt viktig i årene som kommer, når samfunnsfunksjoner og tjenester digitaliseres og algoritmer i økende grad brukes til å analysere oss, og til å ta avgjørelser om oss.
2.9 Veiledning, tilsyn, klager og Datatilsynets organisasjon
I utredningens kapittel 13 går kommisjonen blant annet inn på Datatilsynets rolle, oppgaveutføring og budsjett. Vi mener det er positivt at kommisjonen tar opp disse temaene på eget initiativ.
Kommisjonen understreker at et «velfungerende tilsynsorgan er et nødvendig premiss for å sikre innbyggernes personvern», og at tilstrekkelige ressurser er en forutsetning for et velfungerende tilsynsorgan. Vi stiller oss bak kommisjonens uttalelser, og vi viser til omtalen nedenfor i pkt. 2.10, hvor konsekvensene av mangelfulle ressurser i tilsynet er nærmere beskrevet.
Det er også statens rettslige forpliktelse å sikre et slikt velfungerende tilsynsorgan, se personvernforordningen artikkel 52 nr. 4, jf. fortalepunkt 120.
For øvrig hadde vi gjerne sett at Datatilsynets uavhengighet, jf. artikkel 52, var blitt gjort til gjenstand for en noe grundigere omtale. Etter vår mening har tilsynets uavhengighet betydning for flere av spørsmålene kommisjonen tar opp i kapittel 13.
Spesielt om behovet for veiledning
Kommisjonen trekker frem at det er et stort behov for informasjon og veiledning om personvernregelverket. Kommisjonen uttaler at den ser at det kan være uheldig at samme organ både skal gi veiledning, fatte avgjørelser, utføre tilsyn og drive med kontrollvirksomhet.
Vi viser til at Datatilsynets lovpålagte oppgaver er beskrevet i personvernforordningen artikkel 57. Her er det blant annet slått fast at tilsynsmyndigheten skal drive med ulike former for informasjons- og veiledningsarbeid, og at tilsynsmyndigheten også skal føre kontroll med og håndheve anvendelsen av regelverket.
Tilsynet opplever at det er et stort veiledningsbehov både hos virksomheter og enkeltpersoner. På grunn av ressurssituasjonen har vi dessverre måttet nedprioritere mange forespørsler om veiledningsmøter. Vi har også begrensede ressurser til å videreutvikle nettsidene våre, selv om de er oppdatert på innhold.
Kommisjonen foreslår at også andre myndigheter enn Datatilsynet bør veilede om «personvernspørsmål som direkte er knyttet til deres myndighetsområde». I så fall er det viktig å sikre at veiledning og tolkning av personvernregelverket er konsekvent på tvers av sektorer, og at det er bevissthet om Datatilsynets rolle som regelverksforvalter og -håndhever på personvernområdet.
Datatilsynets rolle ved utforming av lover og forskrifter
Det er svært positivt at Kommisjonens trekker frem Datatilsynets rolle i forbindelse med forberedelse av nasjonal lovgivning og andre administrative tiltak. Vi er enige i at Datatilsynet bør involveres i flere lov- eller forskriftsprosesser for å sikre at personvernhensyn blir ivaretatt på riktig tidspunkt i prosessen.
Etter vår vurdering er det klart at forordningens artikkel 36 nr. 4 forutsetter en annen type involvering enn alminnelige lov- eller forskriftshøringer. Andre europeiske tilsynsmyndigheter deler denne forståelsen, blant annet myndighetene i Tyskland (BfDi) og Storbritannia (ICO). ICO har i et brev til den skotske regjeringen vist til følgende:
«Consultation is directly with the ICO and is separate from any public consultation, which would not satisfy the [article 36(4)] requirements. Consultation should be undertaken during the formative stages of the developments of policy, to ensure that there is opportunity to give due consideration to input from the ICO before the outputs are finalised».
Vår forståelse er for øvrig at rådføringsplikten i artikkel 36 nr. 4 utløses ved arbeider med lover eller forskrifter som innebærer en høy risiko for personvernet, jf. også artikkel 35 nr. 1. Her er det ulike synspunkter blant øvrige europeiske tilsynsmyndigheter. I Tyskland er for eksempel den føderale myndigheten involvert i alle prosesser som berører behandling av personopplysninger. En slik ordning ville neppe være gjennomførbar i Norge, i alle fall ikke med dagens ressurssituasjon i Datatilsynet.
Uansett er det klart at økt involvering i arbeidet med å forberede lover og forskrifter, og eventuelt andre administrative tiltak, vil gi behov for økte ressurser til Datatilsynet.
2.10 Økonomiske og administrative konsekvenser
I kapittel 14 er det foreslått en rekke tiltak som krever oppfølging av andre aktører enn Datatilsynet. Datatilsynet mener det er naturlig at det må følge ressurser med tiltakene for at de skal være mulig å gjennomføre i praksis. I dette høringssvaret fokuserer vi på mulige administrative og økonomiske konsekvenser for Datatilsynet.
Kommisjonen anbefaler en generell styrking av Datatilsynet. Vi er selv av den oppfatning at det ikke lenger er samsvar mellom de oppgavene som vi er satt til å løse og de ressursene vi har. Det vi erfarer, etter å ha tilpasset oss ny lovgivning og ny oppgaveløsning, er at vårt mandat og samfunnsoppdrag suksessivt har økt i både omfang og kompleksitet. Statistikken over innkomne saker peker oppover på alle områder. Det er ingenting som tyder på at dette vil endre seg med det første.
Datatilsynet har hatt en stor økning av saker, både i volum og kompleksitet. Vi har blant annet erfart en særlig økning i antall avviksaker og klagesaker og oppgaver som er knyttet til harmonisering og samordning mellom EUs datatilsynsmyndigheter. Mange virksomheter etterlyser nå også flere stedlige tilsyn fra Datatilsynet
Den lovpålagte behandlingen av klager fra enkeltindivider binder opp svært mye ressurser hos Datatilsynet, og fører i dag til at vi har begrensede muligheter til å prioritere. Ofte må selvinitierte tilsynsaktiviteter vike for klagesakene, selv om førstnevnte kan fremstå som viktigere eller er egnet til å gi større effekt, både for enkeltindivider og for samfunnet.
Internasjonalt arbeid og samordning er også en kjerneoppgave og helt nødvendig ettersom mye av rettsdannelsen skjer i EU. Det er en rekke krav og frister som må overholdes i disse sakene og sakene er ofte komplekse og svært ressurskrevende. Ny lovgiving fra EU berører Datatilsynet og krever ressurser å følge opp.
Det gjeldende personvernregelverket er komplisert og oppleves av mange som vanskelig tilgjengelig. Det er fortsatt begrensede rettskilder, og det er en klar forventning fra både offentlige og private virksomheter at Datatilsynet skal gi informasjon, utvikle veiledningsmateriell og selvhjelpsverktøy slik at regelverket kan etterleves.
Mangel på ressurser er også noe våre nordiske tilsynskollegaer erfarer. Vi ser imidlertid at øvrige skandinaviske tilsyn styrkes for å møte utfordringene. Etter det vi erfarer, har for eksempel IMY, det svenske Datatilsynet, i den svenske regjeringens budsjettforslag 2022 fått en økt ramme på 56 millioner kroner de neste to årene, hvorav 48 millioner i 2023. Til sammenligning var det norske Datatilsynets totale budsjett for 2022 på ca. 71 millioner kroner.
I tillegg til våre eksisterende oppgaver kommer kommisjonen med en rekke forslag som vil kreve ressurser og ha økonomiske konsekvenser for oss. Her er noen eksempler på forslagene som utløser ressursbehov:
• Forslaget om at departementene i større grad skal rådføre seg med Datatilsynet i lovog forskriftsarbeider. 16
• Forslaget om utredning av forbud mot atferdsbasert markedsføring – behovet for økte midler til Datatilsynet må vurderes, ettersom et slikt forbud trolig vil medføre ekstra oppgaver.
• Forslaget om å legge ansvar for håndheving av informasjonskapsler og lignende sporingsteknologi til Datatilsynet.
• Forslaget om at flere myndigheter veileder om personvern vil kreve koordineringsarbeid og oppfølging fra Datatilsynet for å sikre enhetlig tolkning av regelverket på tvers av sektorer.
Norge trenger et effektivt og slagkraftig datatilsyn for å hjelpe norske virksomheter i privat og offentlig sektor å ivareta personvernet til innbyggerne. Vi støtter derfor kommisjonens anbefaling om en styrking av tilsynet.
3. Avslutning
