Inlägg publicerade under kategorin §
▲ Færre og færre saker vert oppklart av politiet, syner ny SSB-statistikk. Ikkje sidan starten av 90-talet har so få blitt sikta for kriminelle handlingar.
Oppklaringsprosenten, altso delen av politietterforskingar som endar med at nokon vert sikta, gjekk ned frå 49 til 43 prosent frå 2021 til 2022.
Nedgangen kjem mellom anna frå at langt fleire lovbrot er avgjort og lagt bort på grunn av manglande opplysningar om gjerningspersonar, og at færre lovbrot har enda med tiltale, skriv SSB.
Etterforskede lovbrudd (ssb.no)
Hittil i 2023 er oppklaringsprosenten på 36 prosent, og med det på omtrent same nivå som for to år sidan, da andelen låg på 35,3 prosent.
Låg oppklaringsandel
I 2022 blei berre 44 prosent av alle påtaleavgjorde saker oppklarte i Noreg, noko som var historisk lågt, og ei utvikling politiet sjølv, i sin eigen rapport, omtalte som «bekymringsfull».
https://www.nrk.no/norge/dette-havner-pa-spesialenhetens-bord-1.16411115
▲ I bare tre prosent av fjorårets behandlede anmeldelser, konkluderte Spesialenheten med at noen burde straffes.
Hvert år siden 2008 har Spesialenheten publisert rapporter med årsstatistikk. Den nyeste viser tall fra i fjor. Der står det at Spesialenheten behandlet 974 anmeldelser, og kun 29 av disse førte til det de kaller for en positiv påtaleavgjørelse. Det kan enten være forelegg, tiltale eller påtaleunnlatelse.
Det var med andre ord kun tre prosent av de behandlede anmeldelsene som førte til at Spesialenheten innstilte til straff.
Men hvilke typer saker er det Spesialenheten ender opp med å etterforske? Og hvorfor er det så få saker som fører til straff?
Skal etterforske straffbare handlinger begått i tjenesten
Spesialenheten for politisaker er organisert utenfor politiet og den ordinære påtalemyndigheten. Enheten er administrativt underlagt Justis- og beredskapsdepartementet og faglig underlagt Riksadvokaten.
Spesialenheten etterforsker og påtaleavgjør saker, og tar saker for retten der ansatte i politiet eller påtalemyndigheten er tiltalt for å ha begått en straffbar handling i tjeneste.
Rutinemessig blir det også satt i gang etterforskning ved dødsfall eller alvorlige skader som følge av politiets tjenestehandling. Det skjer selv om det ikke er mistanke om at det har skjedd noe kriminelt.
I Riksadvokatens rundskriv 3/2006 står det at Spesialenheten bare skal etterforske handlinger som er begått i tjenesten. Det avgjørende er at det skjer innenfor rammene av det som regnes som en tjenestehandling. Det kan være forhold som underslag av beslag, seksuell trakassering, falsk forklaring i forbindelse med tjenesten eller overlevering av taushetsbelagte opplysninger til utenforstående.
I politiinstruksen §6–2 står det at en politimann i noen tilfeller har tjenesteplikt på fritiden. Blant annet når «omstendighetene krever at det gripes inn uten opphold for å verne liv, helse eller vesentlige samfunnsverdier».
Skjer det straffbare forhold i disse tilfellene, faller også etterforskningen under Spesialenheten.
Samme regler for bevisvurdering og avgjørelser som i andre straffesaker
Spesialenhetens saksbehandling er styrt av straffeprosessloven, og når Spesialenheten iverksetter etterforskning, gjelder de samme reglene som for all annen etterforskning.
https://www.faktisk.no/artikler/jeppw/de-fleste-anmeldelsene-til-spesialenheten-legges-bort
▼
"I bare tre prosent av fjorårets behandlede anmeldelser, konkluderte Spesialenheten med at noen burde straffes."
Gjøres undersøkelser i saker som blir lagt bort
Spesialenheten oppgir at 64 prosent av anmeldelsene som kom inn i fjor, ble lagt bort uten å bli etterforsket. I 2021 var det 59 prosent av meldingene som ikke var rimelig grunn til å etterforske.
I 2009 ble det satt ned et utvalg som skulle evaluere Spesialenheten. I rapporten «Et ansvarlig politi – Åpenhet, kontroll og læring», står det at også saker som henlegges uten etterforskning, blir undersøkt. De fornærmede ble avhørt i 19 prosent av sakene der det ikke ble satt i gang etterforskning, ifølge rapporten. I åtte prosent av sakene ble vitner avhørt, mens det ble tatt avhør av anmeldte i fem prosent av sakene.
Det gjøres altså undersøkelser, selv om det ikke registreres som en etterforskning.
https://www.regjeringen.no/no/dokumenter/nou-2009-12/id560793/?ch=6
▲ "Et ansvarlig politi— Åpenhet, kontroll og læring"
▼
POLITIETS BEREDSKAPSSYSTEM DEL I
Retningslinjer for politiets beredskap
▒
https://pf.no/temaomrader/varsling
▲
"Gi beskjed om uønskede hendelser og kritikkverdige forhold!"
https://www.nrk.no/emne/varslersakene-i-politiet-1.12425858
▲
"Varslersakene i politiet"
https://www.politiforum.no/kronikk-unn-alma-skatvold-varsling/fortsatt-ikke-trygt-a-varsle-i-norsk-politi/226047
▲
"Fortsatt ikke trygt å varsle i norsk politi"
https://www.dagbladet.no/nyheter/kan-ikke-leve-med-det/76100310
▲
"Kan ikke leve med det"
▲
"et karrieremessig selvmord"
https://pf.no/assets/docs/Interne-varslingsrutiner-for-tillitsvalgte-i-Politiets-Fellesforbund.pdf
▲
"interne varslingsrutiner"
https://pf.no/assets/docs/Varsling-veileder-for-tillitsvalgte.pdf
▲
"veileder for varsling"
https://www.politiforum.no/kronikk/tillitskrise-vi-ma-jobbe-med-losninger/250751
Tillitskrise? Vi må jobbe med løsninger!
Et gammelt ordtak sier at det er bedre å tenne et lys enn å forbanne mørket. Politiforums utgave nummer 4 kan gjøre at noen og enhver i politiet kan oppleve seg som del av et mørke. Det settes søkelys på temaet tillit og især tillit til ledere.
Anonymt varsel i politiet: Frykter for folks sikkerhet
Et varsel som Politiforum omtaler beskriver en ekstremt presset situasjon ved operasjonssentralen i Øst politidistrikt. Nå undersøkes arbeidsmiljøet i hele landet.
I et anonymt varsel fra oktober i år, som Politiforum nå omtaler, peker den eller de som står bak brevet på det som skal være flere kritikkverdige forhold ved operasjonssentralen i Øst politidistrikt:
- Publikums sikkerhet skal ha blitt satt i fare.
- Det skal over lengre tid ha pågått systematiske HMS-brudd som gjør at ansatte blir syke.
- Tidligere varslingssaker skal ha blitt ignorert og bevisst trenert.
- Arbeidsgiver beskyldes for manglende evne og vilje til å gjøre noe med arbeidsmiljøproblemene.
Punktene over er basert på en større sak som Politiforum publiserte fredag.
Gjennomgår varselet
NRK har foreløpig ikke fått innsyn i varselet som omtales, men får bekreftet fra Kristin Aga at politiet har mottatt varselet.
Aga er sjef for Felles enhet for operativ tjeneste (FOT). Hun sier de tar varselet på største alvor.
De har nå satt i gang en undersøkelse med eksterne for å gjennomgå påstandene som er fremsatt.
– Jeg er derfor forhindret fra å kommentere dette ytterligere, opplyser Aga.
– Ethvert varsel som blir meldt skal bli behandlet seriøst og på en god måte, sier Per Otto Kolsvik.
Han er nestleder i Politiets Fellesforbund i Øst politidistrikt.
Kolsvik har ikke selv lest varselet som Politiforum omtaler, men sier til NRK at han forventer at saken blir godt belyst.
https://www.politiforum.no/ansatte-blir-syke-pa-operasjonssentralen/253551
«Prosessene rundt både utvelgelse av deltakere og resultater fremstår kamuflerte. Flere av tiltakene arbeidsgiver har «iverksatt» er direkte løgn.
https://www.dagbladet.no/nyheter/fryktkultur-i-politiet-ingenting-har-skjedd/80219005
▲ I fjor lovet justisminister Emilie Enger Mehl (Sp) å ta tak i fryktkulturen i politiet.
Bakgrunnen var blant annet en rekke avsløringer i VG om dårlig håndtering av varslingssaker og politivarslere som ble fryst ut.
Resultatene fra Politiforums nye spørreundersøkelse antyder at Mehl fortsatt har en lang vei å gå:
Av 3000 politiansatte som svarte, mener 6 av 10 at politietaten er preget av fryktkultur når det kommer til å ytre sin mening internt eller eksternt.
– Vi må våkne opp før det er for sent (politiforum.no)
Hun mener imidlertid det er urovekkende at så mange som seks av ti politiansatte opplyser at de har unnlatt å ytre seg fritt internt av frykt for at det skal få konsekvenser for egen karriere.
Som en ansatt i Møre og Romsdal politidistrikt uttrykker det i Politiforums undersøkelse:
«Klok av skade har jeg valgt å være taus ved svært mange anledninger. Jeg har tidligere valgt å si klart fra om uforsvarlig arbeidsmiljø og fått oppleve gjengjeldelse og utestengelse.»
– Vi må få inn en langtidsplan for norsk politi, men før vi gjør det, må vi vite hva vi planlegger for. Det gamle politirolleutvalget kom med sin utredning i 1981. Vi må ha en fullstendig gjennomgang av hva politiets rolle skal være nå og framover. Ut ifra de utfordringene vi ser for beredskapen framover, kan det hende at rollen til norsk politi har endret seg.
Seks av ti politiansatte mener politiet er preget av en fryktkultur (politiforum.no)
Undersøkelsen ble besvart av nærmere 3000 politiansatte fra både politidistrikter, særorganer og andre enheter i politiet – hvorav omtrent 2400 av dem har politiutdanning og nærmere 500 er sivilt ansatte.
Et flertall av respondentene – nesten 60 prosent – oppfatter at politiet er preget av en fryktkultur, mens halvparten mener det ikke er rom for dem å uttale seg fritt i offentligheten om jobbrelaterte temaer som ikke er omfattet av taushetsplikt eller annen form for konfidensialitet.
«Toppledelsen og HR har nærmest innført en totalitær ledelse. Kritiske synspunkter blir ofte tolket som illojalitet og blir møtt med argumenter som uønsket eller ukultur», hevder en ansatt i Oslo politidistrikt i undersøkelsen.
De siste årene har politiet stått i en rekke profilerte mediesaker hvor politiets innsats har fått kritikk. I Politiforums undersøkelse fikk respondentene spørsmål om hvordan de på generelt grunnlag opplever du at toppledelsen støtter opp om politimannskapene i offentligheten i slike hendelser.
Kun 4,3 prosent svarer at ledelsen gir god og tydelig støtte, mens 55,8 prosent mener ledelsen gir liten eller ingen støtte.
Tillitskrise på verst tenkelig tidspunkt (politiforum.no)
▼
Funnene i Politiforums undersøkelse er, for å bruke et kjent uttrykk, «skakende». For i fravær av tillit, blomstrer misnøye, mistillit og demotivasjon. Det er problemer innad i politiet –
https://www.dagbladet.no/nyheter/politivarsleren-blir-ikke-hort/80127721
▼
Anmeldelser, varsler, henleggelser og fryktkultur. Ansatte i det norske politiet tør ikke å si fra, viser nye undersøkelser.
"Mer rettigheter for mindre ansvar"
● Psykisk helse og rus har vært budsjettvinnere gjennom en årrekke i Norge. Pengene burde heller benyttes til å verne samfunnet mot de uheldige konsekvenser diagnosene til personer innen segmentet psykisk helse og rus påfører samfunnet.
— Hvis du gir for mye menneskerettigheter til én gruppe personer kan det gå ut over menneskerettighetene til andre personer i samfunnet. Denne gruppen innen det populære segmentet mental helse og rus har gjennom lovendringer de siste årene fått betydelige menneskerettigheter som de ikke klarer å ivareta.
Mange av de dikter seg historier om diverse traumer og opplevelser i barndom/oppvekst for å skaffe seg tilgang til trygd. Fordi trygd gir de mer penger å sitte på nettet å plage andre for, enn det slike ellers ville ha fått på sosialhjelp.
Enkelte dikter seg historier om diverse traumer og "opplevelser i barndommen" for å skaffe ryggdekning til trygdemisbruk, salg av narkotika/piller og for å innta ulike former for falske offerroller til å tekkes egne utilstrekkeligheter med.
Det er et ikke ubetydelig problem i Norge at personer med psykiatriske diagnoser får ferdes fritt på nett uten at de har ansvar for sin nettvandel — Slike som hemper sitt kriminelle virke over på visse typer "skjulte diagnoser" for å slippe ansvar og skyldfølelse for det, og som til stadighet er de som skriker høyest om mer rettigheter for mindre ansvar — Det har aldri vært mer rettigheter for mindre ansvar i Norge og kriminalitetsstatistikkene tyder på at visse grupper mennesker i Norge begår mer kriminalitet desto flere rettigheter og frynsegoder de får —
"Skjultheten" i diagnosene de mener de har er oftest bare et skalkeskjul for deres skjulte dagsorden for deres kriminelle virke. Diagnosene opprettes for å forhindre innsyn i hva de egentlig driver med i sin fritid betalt av det offentlige.
Mange av de skriker om behandlingsplasser og mange av de har hatt et enormt høyt antall innleggelser og tjenestetilbud uten at de ser nytten av å oppføre seg ute i samfunnet eller har et ønske selve om å tvungent bytte vennekrets/miljø for å kunne bli friskere og uføretrygdefriere av den grunn.
Hva alle disse "behandlinger" uten formålstjenlige resultat koster samfunnet er det for lite forsket på. Mange såkalte "rusbehandlinger" har ingen nytte fordi hensiktene til ruskokkokasusene er å få "tørke opp litt" og å bo gratis på behandling slik at de sparer mer av trygden å ruse seg på når behandlingene avbrytes.
La oss tørre å se på hvor mange muligheter denne gruppe mennesker får fra samfunnet uten at de selve viser nok takknemlighet og ansvar for sine handlinger!
Det er godt mulig noen av de har hatt det "tøft" i livet, men det er da ingen PLIKT å bli verken rusmisbruker eller mentalt søppel for sine omgivelser av den grunn.
Psykisk helse og rus tror nærmest de har eneretten på motgang og lidelser i samfunnet, men analyserer man hva mange uføre innen segmentet psykisk helse og rus driver med på nettet i sin fritid betalt av det offentlige, er det ingenting som tyder på at de verken trenger mer "forståelse" eller mer midler for sine søppelfaktespill og ruskokkopaktepill. Tvert i mot!
Mange av de er i grunn og bunn underernærte på både tvang og disiplin både hjemmefra og fra det offentlige. Det er DET som er hele "skjulte lidelsen" hos de!!
For må man ikke regne med at de til syvende og sist ER et resultat av sine påklistrede diagnoser for penger og trygden sin skyld, og det staten tross alt betaler de for å være ute blant sine omgivelser?
La det offentlige komme med troverdige statistikker som viser hva mange kasus innen psykisk helse og rus koster samfunnet i kroner og øre, sett opp mot reell nødvendighet av pengebruken ut fra kasusenes eget ønske om å bli trygdefrie og ansvarsfullere individer.
Men kan man egentlig stole på at slikes "egenfølelser" er så veldig mye annet enn hva slikes diagnoser innebærer?
Diagnostiserte nettkriminelle har nærmest frikort til kriminalitet.
https://www.nettavisen.no/nyheter/pod-oppdragsmengden-knyttet-til-psykiatrien-er-en-utfordring-for-politiet-i-hele-norge/s/12-95-3424192946
I 2017 ble det vanskeligere å underlegge pasienter tvungen psykisk helsehjelp. Det kan ha gjort samfunnet mer utrygt, mener beredskapsdirektøren i POD.
– Det er en lovendring med de beste intensjoner, men kan den ha ført til en reduksjon i tryggheten i samfunnet? Vi har ikke svar på det, men det er grunnlag for å ta debatten, sier beredskapsdirektør Tone Vangen i Politidirektoratet (POD) til VG.
Etter dette har politiet opplevd en markant økning i antall oppdrag knyttet til psykiatri. I 2016 hadde politiet 37.130 slike oppdrag, mot 53.219 i fjor. Det tilsvarer en økning på drøye 43 prosent.
– Økningen i psykiatrioppdrag oppleves som en utfordring i hele Politi-Norge. Bildet som tegner seg nå, er så markant negativt med tanke på utviklingen at vi er nødt til å ta opp denne debatten, sier beredskapsdirektøren.
https://www.ba.no/politiets-psykiatrioppdrag-doblet-pa-fem-ar-vi-har-stadig-flere-vapnede-oppdrag/s/5-8-1822735
Politiets psykiatrioppdrag doblet på fem år: – Vi har stadig flere væpnede oppdrag
I fjor måtte politiet rykke ut på 4000 oppdrag knyttet til personer med psykisk sykdom. Det er en dobling på fem år.
– Disse tallene understreker at det har blitt stadig flere farlige oppdrag. Vi opplever at det er flere personer som utgjør en risiko vi rett og slett ikke har kontroll på og oversikt over, sier leder for felles enhet for operativ tjeneste i Vest politidistrikt, Gunnar Fløystad.
Da 2022 var et faktum hadde politiet passert 4000 oppdrag knyttet til psykiatri.
– Det betyr flere oppdrag for dagen, sier Fløystad.
I 2017 måtte politiet rykke ut på 1941 psykiatrioppdrag. Da politiet denne uken presenterte tallene for 2021, hadde antallet oppdrag bare økt.
https://tidsskriftet.no/2021/11/leder/tvang-kan-vaere-god-omsorg
https://www.nettavisen.no/nyheter/tvang-kan-sikre-den-beste-behandlingen/s/12-95-3423690993
https://www.aftenposten.no/norge/i/Mgb9m/flere-tiaar-med-utredninger-men-ingen-loesning-for-kriminelle-med-frikort
Flere tiår med utredninger, men ingen løsning for kriminelle med «frikort»
Problemet er blitt utredet i nesten 40 år. Mens syke kriminelle fremdeles får gå fritt rundt i samfunnet, har politikerne nå satt i gang en ny utredning.
Flere tiår med utredninger.
— Likevel har ikke politikerne funnet en løsning på problemet.
Siden 1970-tallet har myndighetene satt i gang minst åtte offentlige utredninger og levert minst tre stortingsinnstillinger og to stortingsproposisjoner som har berørt gruppen. Til tross for dette er gruppen blitt større det siste tiåret, ifølge en av utredningene (Mæland 2008).
https://www.politiforum.no/psykiatri-psykiatrioppdrag/markant-okning-i-psykiatrioppdrag/212372
Markant økning i psykiatrioppdrag
Bare fra 2016 til 2020 har antallet politioppdrag som er knyttet til psykiatri og bistand til helsevesenet økt med cirka 44 prosent.
https://www.politiforum.no/psykiatri-psykisk-helse/antall-politioppdrag-med-psykiatri-oker---et-kraftig-varsko/209027
Flere oppdrag knyttet til psykiatri
https://www.stortinget.no/no/Saker-og-publikasjoner/Sporsmal/Skriftlige-sporsmal-og-svar/Skriftlig-sporsmal/?qid=82739
Det har siden 2014 vært en stor økning i antall oppdrag for politiet som er knyttet til psykiatri og helsevesen.
Nedenfor følger en del lenker - ALLE med psykiatri som tema for kriminelle handlinger utført av personer med diagnoser innen det mentale lytelandskapet.
https://www.vg.no/nyheter/i/WjoawG/kjerkol-helsetjenesten-ikke-god-nok-til-aa-fange-opp-syke-som-kan-vaere-farlige
https://www.vg.no/nyheter/i/bGqa1l/helsevesenet-faar-kritikk-etter-kongsberg-angrepet-en-illusjon-at-vi-kan-ha-et-risikofritt-samfunn
https://www.dagbladet.no/nyheter/dystre-tall---bekymret-for-utviklingen/74607975
https://www.politiforum.no/plivo/gjennomgang-av-samarbeid-mellom-helse-og-politi/220135
https://www.vg.no/nyheter/innenriks/i/8QRKGW/beredskapsdirektoer-om-alvorlig-psykisk-syke-en-utfordring-i-hele-politi-norge
https://www.vg.no/nyheter/innenriks/i/7dRoo3/politiet-ropte-varsku-psykisk-syke-vil-utgjoere-en-alvorlig-trussel
Oslo statsadvokatembeter ut mot personvernkommisjonens utredning.
https://www.politiforum.no/oslo-statsadvokatembeter-ut-mot-personvernkommisjon/235340
Oslo statsadvokatembeter ut mot personvernkommisjonens utredning. De mener det kan virke som at man prioriterer personvern fremfor ivaretakelsen av fellesskapets interesser og interessene til dem som er ofre for straffbare handlinger.
I et høringssvar til kommisjonens utredning «Ditt personvern - vårt felles ansvar», kommenterer Oslo statsadvokatembeter flere synspunkter de håper kan bidra til en bedre balanse mellom hensynet til folks personvern og samfunnets behov for kriminalitetsbekjempelse.
Innledning
Som påpekt av Personvernkommisjonen i innledningen til utredningens kapittel 7, er personvern i justissektoren et tema som kunne vært behandlet i en egen spesifikk utredning. Siden kommisjonen ikke har hatt anledning til å gå grundig inn i alle de temaene som behandles i kapitlet, konkluderes det for mange av forholdene som omtales med at det er behov for å foreta nærmere vurderinger.
Kommisjonen har likevel kommet med en del viktige synspunkter og forslag som Oslo statsadvokatembeter finner grunn til å kommentere. Med vår høringsuttalelse håper vi å bidra til man finner en god balanse mellom på den ene siden hensynet til personvernet og på det andre siden samfunnets behov for en effektiv kriminalitetsbekjempelse. Kommisjonen poengterer at de to hensynene ikke alltid står i et motsetningsforhold. Kommisjonen peker derfor i pkt. 7.1.2 på at i flere sammenhenger vil en tilstrekkelig kriminalitetsbekjempelse være en forutsetning for godt personvern. En av strafferettspleiens hovedoppgaver er jo nettopp å verne personer mot integritetskrenkelser, og slik sett bidra til personvern. Men også materielle goder skal vernes gjennom strafforfølgning. Kommisjonen påpeker at det å begrense kriminelles aktørers tilgang på opplysninger, bidrar til å forhindre svindel og identitetstyverier.
Størsteparten av drøftelsene i kapitlet knyttes til politiet. For fullstendighetens skyld vil vi imidlertid påpeke at også i Den høyere påtalemyndighet er det etablert en ordning med personvernrådgiver. Personvernrådgiveren fungerer ifølge instruksen for Riksadvokatembetet, Det nasjonale statsadvokatembetet og de ti regionale statsadvokatembetene, jf. Grunnlagsdokument for sikkerhet, internkontrollsystem for personvern og informasjonssikkerhet ved Riksadvokatembetet.
Kort om utvikling i kriminalitetsbildet
Kommisjonen påpeker at økning i antall saker som gjelder digital kriminalitet krever økte ressurser og spesialkompetanse i politiet. Både ved Kripos og i politidistriktene er det etablert – slik vi erfarer det – høyst kompetente fagmiljøer. Men det kan være grunn til å minne om at bruken av datateknologi også har utviklet seg blant de kriminelle. De senere årene har utenlandsk politi klart å hente ut informasjon fra servere som benyttes for formidling av krypterte meldinger mellom kriminelle, jf. meldingstjenestene EncroChat og SkyECC. Nye tilsvarende meldingstjenester vil sikkert bli brukt av organiserte kriminelle grupper i fremtiden. Kommisjonens anbefaling om at politiets håndtering av alvorlig kriminalitet bør "skje med minst mulig inngrep i muligheten for fri og sikker kommunikasjon", synes ikke å ta inn over seg den virkelighet som politiet møter i bekjempelsen av alvorlig kriminalitet. De kriminelles bruk av ny teknologi skaper et behov for at også politiet må bruke ny teknologi og nye metoder.
Personvern i lovarbeid
I pkt. 7.4.1 skriver kommisjonen at rådføringsplikten etter personvernforordningen artikkel 36 nr. 4 ikke kan ansees å være etterlevet når Datatilsynet som nasjonal tilsynsmyndighet får anledning til å komme med synspunkter på lovforslag først når det gjennomføres en ordinær høringsprosess. For enkelte lovforslag kan det sikkert være hensiktsmessig å koble inn Datatilsynet på et tidligere tidspunkt, men den praksis som følges i Norge – hvor Datatilsynet som oftest gir innspill først i høringsrunden – må antas å være i tråd med de krav personvernforordningen stiller. Nytteverdien av innspillene fra Datatilsynet kan nok variere. I den forbindelse viser vi til eksempelet nevnt i utredningen hvor Datatilsynet i 2016 hadde innvendinger til at politiet skulle ha tilgang til motorvognregisteret og førerkortregisteret.
Politiregisterloven og personverndirektivet
Kommisjonen tar i pkt. 7.4.2 til orde for å forenkle og forbedre politiregisterloven. For oss brukere av loven og forskriften ville det være en stor gevinst om loven kunne forenkles. Det er ofte vanskelig å finne frem til de rette bestemmelsene når enkeltsaker behandles. Men om det lar seg gjøre å forenkle loven og forskriften, er slettes ikke så sikkert. Hvis man som kommisjonen foreslår tar med flere av bestemmelsene i Direktiv 2016/680 (politidirektivet) i loven, vil regelverket trolig bli enda vanskeligere å finne frem i. I utredningen vises det til at politidirektivets artikkel 10 bokstav c ikke er implementert i politiregisterloven. Bestemmelsen tillater politiets bruk av særlige kategorier personopplysninger som den registrerte selv har offentliggjort, med andre ord at politiet henter informasjonen fra åpne kilder. Det må bero på en misforståelse når kommisjonen mener at bruk av personopplysninger offentliggjort av den registrerte krever en særskilt hjemmel i norsk lovgivning. Den aktuelle artikkelen i politidirektivet gir anvisning på at alternativet opplysninger offentliggjort av den registrerte er et selvstendig alternativ som ikke gjør det nødvendig med regulering i den enkelte lands nasjonale rett, jf. bestemmelsens bokstav a og bruken av ordet "eller" mellom de forskjellige alternativene. Nødvendighetskriteriet ("strengt nødvendigt" i den danske oversettelsen av direktivet) gjelder uansett, og er allerede lovfestet i politiregisterloven § 7.
Nærmere om politiets bruk av åpne kilder
Ifølge utredningen kan informasjonsinnhenting fra åpne kilder på internett gripe inn i vernet etter EMK artikkel 8 og derfor kreve hjemmel i lov for å være lovlig. Etter vår oppfatning faller innhenting av informasjon fra åpne kilder innenfor den alminnelige handlefrihet og krever derfor ikke hjemmel i lov. Men dersom det innhentes og behandles store mengder informasjon om en bestemt person, kan det nok være behov for å regulere behandlingen av informasjonen fordi den kan sies å utgjøre et inngrep overfor vedkommende. Men selv en slik regulering krever neppe lovregulering. Det fremgår av avsnittene 26 og 33 i politidirektivet at det ikke er krav om formell lov. Behandling av opplysninger som er inntatt i en straffesak, er allerede regulert i politiregisterforskriften kapittel 25 og behandling av opplysninger i kriminaletterretningsregisteret ("Indicia") er regulert i samme forskrifts kapittel 47. Noe behov for å lovregulere politiets informasjonsinnhenting fra åpne kilder kan vi følgelig ikke se at det er behov for.
Oslo statsadvokatembeter vil dessuten fremholde at problemstillingen knyttet til politiets bruk av åpne kilder synes å basere seg på en litt uforståelig holdning til politiets arbeid. Som vi fremholdt i vår høringsuttalelse til NOU 2016: 24 Ny straffeprosesslov i tilknytning til spørsmålet om lovfesting av spaning, kan observasjon på offentlig sted finne sted uten lovhjemmel i kraft av den alminnelige handlefrihet. Den som oppholder seg på offentlig sted, har ikke krav på vern mot å bli observert. De fleste ser det som ønskelig at politiet patruljerer på gater, plasser og andre offentlige steder hvor folk ferdes. Som Personvernkommisjonen skriver i pkt. 7.3.1, har kriminaliteten i mange tilfeller flyttet seg over på digitale flater. Internett er å anse som et "offentlig sted" når det som skrives eller på annen måte ytres når et visst antall personer, jf. legaldefinisjonen i straffeloven § 10 og tilhørende rettspraksis. At politiet skal følge med på åpne kilder på internett, er etter vår oppfatning like naturlig som at politiet patruljerer i fysiske omgivelser der folk ferdes på offentlig sted. Verken politiets vanlige patruljer eller politiets såkalte "nettpatruljer" trenger noen lovhjemmel for å følge med på hva som skjer.
Personvernkommisjonen har – i likhet med Ytringsfrihetskommisjonen i NOU 2022: 9 – vært opptatt av den såkalte "nedkjølingseffekten" som kan inntre hvis politiet innhenter opplysninger fra åpne kilder. Ifølge Personvernkommisjonen kan selve muligheten politiet har til å bruke opplysninger innhentet fra internett gi en "nedkjølingseffekt i form av at personer legger bånd på hva de gjør og sier i frykt for at dette kan få negative konsekvenser". Slik vi ser det, er politiets tilstedeværelse på nett et effektivt kriminalitetsforebyggende tiltak på lik linje med politiets fysiske tilstedeværelse i kriminelt belastede områder. Det bør ikke være slik at internett skal være et fristed for kriminell virksomhet.
Forslag om tillegg i straffeprosessloven § 170 a
I utredningen foreslås det innført et tillegg i straffeprosessloven § 170 a som skal sikre at det gjøres en vurdering av at den samlede bruken av ulike etterforskningsmetoder ikke blir et uforholdsmessig inngrep. Det er uklart hva som menes med forslaget. Om det er bruken av ulike etterforskningsmetoder over tid eller om det er samtidig bruk av flere metoder det siktes til, er det ikke redegjort for i utredningen. Oslo statsadvokatembeter mener det ikke er behov for et slikt tillegg. Det følger allerede av loven at det for ethvert tvangsmiddel skal det være "tilstrekkelig grunn". Dette nødvendighetskravet innebærer både et minsteinngrepsprinsipp og et subsidiaritetsprinsipp. Det betyr at dersom etterforskningsformålet kan nås med mindre inngripende metoder, skal de velges. Forholdsmessigheten vil bero på en avveining mellom inngrepsbehovet og inngrepsintensiteten. For særlig inngripende metoder som for eksempel kommunikasjonskontroll og romavlytting, er det i tillegg krav om at slik metodebruk må være av "vesentlig betydning for å oppklare saken". Å innføre en slags kvantitativ begrensning bestående av antall tvangsmidler som brukes, anses som unødvendig og også som en begrensning som i gitte tilfeller kan virke svært uheldig for etterforskningen av den alvorligste kriminaliteten. Vi fraråder derfor et tillegg som det foreslåtte.
Personvernkompetanse
Både i politiet og i Den høyere påtalemyndighet kan det være grunn til å ha større oppmerksomhet rettet mot personvernspørsmål. I utredningen tas det til orde for en styrking av undervisningen i personvern ved Politihøgskolens bachelor-studie. I faget "Politi, samfunn og etikk" berøres temaet. Etikkundervisningen på Politihøgskolen henter imidlertid sitt faglige innhold først og fremst fra filosofi og kriminologi. Med de relativt kompliserte reglene i politiregisterloven kan det slås fast at personvern som fag ved Politihøgskolen i hovedsak er et juridisk fag. Vi slutter oss til forslaget om en styrking av undervisningen i rettsreglene som gjelder for personvern i politiet.
Utlevering av straffesaksdokumenter til advokater
Det er bra at kommisjonen i pkt. 7.4.7.2 retter oppmerksomhet mot personvernutfordringer knyttet til utlevering av straffesaksdokumenter til advokater. I straffesaker vi har behandlet ved Oslo statsadvokatembeter, har vi flere ganger erfart at straffesaksdokumenter har kommet på avveie, straffesaksdokumenter er f.eks blitt funnet under ransaking hos siktede.
Når straffesaksdokumentene nå er digitale, er risikoen for at de kommer på avveie blitt enda større. Vi støtter derfor kommisjonens anbefaling om at Justis- og beredskapsdepartementet bør etablere en samhandlingsplattform for å få bedre kontroll på utlevering og retur av straffesaksdokumenter. Parallelt med utviklingen av en slik løsning må departementet gjennomgå reglene i påtaleinstruksens kapittel 25 om dokumentforsendelser til advokater og om tiltalte og fornærmedes rett til dokumentinnsyn slik at reglene og den tekniske løsningen harmoniseres.
Innledning
Innledningsvis vil Økokrim bemerke at personvernkommisjonens rapport er en god og lesverdig rapport som tar opp viktige avveiningsspørsmål det er behov for å avklare og belyse. Mangel på gode avklaringer og regelverksutvikling gavner verken personvernet eller det samfunnsvernet Økokrim og andre aktører i forvaltningen og justissektoren skal sikre gjennom å bekjempe og forebygge kriminalitet mot samfunnet og enkeltpersoner. Det er behov for flere viktige avklaringer om informasjonsdeling slik kommisjonen blant annet har pekt på i punkt 7.4.2 Samtidig er ensartet og lovlig informasjonsdeling helt nødvendig for å ivareta samfunnsvernet og den enkeltes borgers tillit til at myndighetene er i stand til å bekjempe og forebygge kriminalitet. Oppbyggingen av en god personvernkultur og bevissthet om fare for formålsutvikling må skje i takt med forutsetningen som ligger til grunn for å møte utviklingen i kriminalitetsbildet; effektiv organisering av arbeidet i politiet, og tett samarbeid med andre relevante aktører i samfunnet i oppbygging av etterretning og avdekking, forebygging, metode- og regelverksutvikling, jf. rapportens pkt. 7.3
I det følgende vil vi kun gi merknader til enkelte punkter i rapporten som vi mener er relevant å trekke frem.
1. Til kapittel 5 Det teknologiske landskapet som påvirker personvernet
I kapittel 5 gjennomgår personvernkommisjonen det teknologiske landskapet som påvirker personvernet. Økokrim ser også at trusselbildet preges av den økte digitaliseringen i både økonomien og i samfunnet generelt. I Nasjonal risikovurdering om Hvitvasking og terrorfinansiering 2022 ( 1) ) er et av funnene som trekkes frem at også kriminalitet utført ved hjelp av digitale verktøy ventes å øke og generere større utbytte fremover, samt at digitalisering i kombinasjon med sosial manipulering ser ut til å være en spesielt stor trussel i dagens kriminalitetsbilde. Denne trusselsituasjonen kan også påvirket personvernet, både direkte og indirekte. Kriminalitetsbekjempelse og forebygging av denne type organisert kriminalitet er derfor viktig for å oppnå en best mulig samfunnsbeskyttelse. For å klare å oppnå best mulig kriminalitetsforebygging er deling av personopplysninger nødvendig og viktig for politi og andre kontrolletater.
2. Til kapittel 6. Personvern i den digitale forvaltningen
2.1 - 6.1.2 Viktigheten av tillitt til offentlig forvaltning
I fjerde avsnitt i dette punktet skriver kommisjonen at: "forvaltningsorganers holdninger til og rutiner for å behandle innbyggeres personopplysninger er med på å påvirke tilliten." Økokrim ønsker å trekke frem et annet aspekt når det gjelder tillit i samfunnet. Borgerne ønsker og forventer at offentlig forvaltning utfører de oppgaver de er satt til å gjøre. Borgerne forventer også en viss grad av samhandling etatene imellom. Hvis en etat har kjennskap til forhold som vil bidra til at en annen etat kan stanse eller avverge straffbare handlinger så er det en klar forventning til samhandling på tvers. Når offentlige etater i motsatt fall ikke samhandler kan det bidra til lavere tillit. Dette trekkes jevnlig frem i media, f.eks i artikler om forebygging av arbeidslivskriminalitet og bekjempelse av økonomisk kriminalitet ( 2) ).
2.2 - 6.4.3 Deling av personopplysninger mellom forvaltningsorganer
Kriminalitet går på tvers av inndelingen til forvaltningens etater, det betyr at etatene tidvis må gis anledning til å jobbe tett sammen og gis mulighet til å bistå hverandre for å løse sine samfunnsoppdrag, herunder når kriminalitetsbekjempelse er formålet. De ulike forvaltningsorganene kan her ha ulike, men tilgrensende oppgaver. Økokrim opplever det som svært viktig at det foreligger klar hjemmel til informasjonsdeling med og mellom etater som Skatteetaten, Tolletaten, NAV, Arbeidstilsynet, Miljødirektoratet, Mattilsynet etc. Denne utfordringen er også trukket fram i den nylig avgitte gjennomgangen utført av KMPG ( 3) ) om det tverretatlige samarbeidet for bekjempelse av arbeidslivskriminalitet.
2.3 - 6.5 Personvernkommisjonens anbefalinger oppsummert
Helhetlig tilnærming til personvern i offentlig forvaltning
Et av forslagene til personvernkommisjonen, strekpunkt 4 lyder "I personvernpolitikken bør regjeringen ha særlig oppmerksomhet på personvernkonsekvensene av mer utstrakt deling og viderebehandling av personopplysninger, og hvordan disse skal vurderes opp mot andre viktige hensyn som effektivisering og rettsikkerhet." Økokrim er enig i at personvernkonsekvenser ved mer utstrakt deling og viderebehandling må vurderes opp mot andre hensyn. Vi mener det er viktig å tilføye at dette også gjelder hensynet til målrettet kriminalitetsbekjempelse
Deling av personopplysninger mellom forvaltningsorganer
Personvernkommisjonen anbefaler i tredje strekpunkt at regjeringen utreder om en samtykkebasert gjennomføring av "kun-en-gang"-prinsippet. Økokrim viser til at samtykke likevel ikke bør være rettslig grunnlag for deling i kriminalitetsforebyggende arbeid. Vi viser til at samtykke heller ikke kan være rettslig grunnlag når informasjonsdeling gjøres etter GDPR Art. 6 1 c "behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige," eller e "behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utføre offentlig myndighet som den behandlingsvarlige er pålagt". Det følger av Art. 6 tredje ledd at grunnlaget for "behandling som nevnt i nr. 1 bokstav c) eller e) skal fastsettes i a) unionsretten eller b) medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt."
3. Kapittel 7 Personvern i justissektoren
3.1 - 7.2.2 Politiregisterloven
I tredje avsnitt refereres det til at Økokrim har behandlingsansvar for ett register, det riktige er to, hvitvaskingsregisteret og NTAES-registeret, jf. politiregisterforskriften kapittel 52 og 59.
3.2 - 7.3.1 Endringer i kriminalitetsbildet
Kriminalitetsbildet er også endret og blir stadig mer komplekst å etterforske og iretteføre når det gjelder økonomisk kriminalitet og miljøkriminalitet. I Nasjonal risikovurdering om Hvitvasking og terrorfinansiering 2022 ( 4) ) står det følgende om risiko for digitale bedragerier (nederst på side 17 og øverst på side 18) "I følge Finanstilsynet ble det innrapportert om lag en halv milliard kroner i tap som følge av svindel i 2021. I Sverige estimeres utbytte fra bedrageri å utgjøre over to milliarder svenske kroner årlig, tilsvarende utbyttet fra narkotikaomsetning på gateplan. Bedrageri regnes nå for å være den viktigste driveren til hvitvasking i USA ved at det genereres milliarder av dollar i utbytte årlig. I flere land anses investeringsbedrageri som den raskest voksende kriminalitetsutfordringen. I Norge har omfanget av investeringsbedrageri økt de senere år og det forventes at særlig investeringsbedrageri med kryptovaluta og falske handelsplattformer vil fortsette å øke. Politiet får daglig henvendelser fra personer som har investert, eller fått tilbud om å investere, i verdiløse eller tilnærmet verdiløse prosjekter. Privatpersoner utsettes fremdeles også for kjærlighetsbedrageri."
Økokrim er enig i at etterforskning og iretteføring av denne type kriminalitet forutsetter tilstrekkelige ressurser, spisskompetanse, effektiv organisering og tett samarbeid med andre relevante aktører i samfunnet, som kommisjonen også skriver. Vi ser det i tillegg som viktig med enkle og forståelige hjemler for informasjonsdeling til politi- og påtalemyndighet slik at ikke regler om personvern står i veien for andre viktige verdier i samfunnet, som blant annet samarbeid knyttet til kriminalitetsbekjempelse i en svært kompleks virkelighet. Når vurderingskriterier i hjemler for informasjonsdeling skal utformes bør de gjøres så enkle som mulig å praktisere slik at de gir minst mulig rom for usikkerhet og ulik praktisering. Hvor informasjonsdeling er lovlig er det viktig at likebehandling og ensartet behandling av ellers like tilfelle over tid blir konsistent og forutsigbar.
1) https://www.okokrim.no/nasjonal-risikovurdering-2022.6567231-549350.html
2) Eksempel: https://www.aftenposten.no/norge/i/ve59Lw/1047-personer-herjet-i-norsk-arbeidsliv-myndighetene-hemmeligholder-hvem-de-er
4) Op. cit. pkt. 1: https://www.okokrim.no/nasjonal-risikovurdering-2022.6567231-549350.html
"Høringssvar"
Flere utvalgte høringssvar på lenkene nedenfor:
Kapittel 9.5.2 Barns rettigheter i digitale flater
Personvernskommisjonen anbefaler at regjeringen nedsetter et lovutvalg for å gjennomgå og foreslå endringer i regelverket for å beskytte barn og unge i digitale flater. Medietilsynet støtter forslaget, og mener dette bør prioriteres. I dag er forbrukerlovgivningen spredt over flere ulike lover, og ulike tilsynsmyndigheter har tilsynsansvar. Medietilsynet mener at et klart og oversiktlig forbrukerregelverk, som særlig hensyntar barns sårbarhet, er et viktig virkemiddel for å styrke barns forbrukerog personvern i møte med kommersiell utnyttelse og markedsføring på nett.
Medietilsynet mener imidlertid det er nødvendig med en helhetlig gjennomgang av alle sektorspesifikke lovverk som skal beskytte barn på nett for å avdekke mangler og handlingsrom. Det vises til at lovverket knyttet til beskyttelse av barn på nett er fragmentert og bærer preg av å være utformet i en tid før internett og sosiale medier var en integrert og viktig del av barns liv. Etter Medietilsynets vurdering adresserer ikke dagens lovverk de utfordringene som barn møter i dagens medievirkelighet. Dette gjelder både utfordringer knyttet til vern av privatliv og personvern, retten til ytringsfrihet og deltagelse, og retten til beskyttelse mot skadelig og/eller ulovlig innhold. Ettersom mange av utfordringene er globale og flere av de største aktørene er utenfor norsk jurisdiksjon, mener Medietilsynet det er hensiktsmessig å se et slikt arbeid opp mot lovgivningsprosesser i EU, herunder implementeringen av Digital Services Act (DSA), Digital Markets Act (DMA), regelverket for elektronisk ID (eIDAS) samt forslaget til forordning om kunstig intelligens (AI Act).
Kapittel 9.5.3.2 Barns personvern og andre rettigheter
Personvernkommisjonen uttaler at barns personvern må ivaretas i digitale tjenester slik at barna kan utøve andre rettigheter, som retten til meningsdannelse, sosialt samvær og informasjonssøk. Personvernet skal ikke være en hindring for disse rettighetene, men må være komplementært.
Medietilsynet er enig med kommisjonen i at barn ikke bør settes i situasjoner hvor de må gi opp retten til personvern for å kunne utøve øvrige rettigheter. Uttalelsen illustrerer imidlertid noen av de utfordringene foreldre og barn står i, blant annet når det gjelder spørsmål om barn og sosiale medier. Sosiale medier er i dag en integrert del av barns liv, og en viktig arena for utøvelse av retten til ytringsfrihet, tilgang til informasjon og sosial deltagelse. Samtidig er barn og unge en populær målgruppe for kommersielle aktører, og de store sosiale medieplattformenes forretningsmodell innebærer at barns personopplysninger samles inn og brukes til målrettet markedsføring. Et valg om barnet skal få være på sosiale medier eller ikke, blir dermed i realiteten et valg om man skal gi fra seg retten til personvern og utsette barnet for profilering og målrettet markedsføring, eller om man skal gi opp andre rettigheter som retten til deltagelse og ytrings- og informasjonsfrihet.
En særlig utfordring Medietilsynet ønsker å trekke frem i denne sammenheng, er foreldres dilemma knyttet til om barnet skal få lov til å være på sosiale medier før fylte 13 år. Etter personopplysningsloven18 kan barn selv samtykke til behandling av sine personopplysninger i sosiale medier fra de er fylte 13 år. Før dette må foreldrene samtykke for at tjenesten skal ha lov til å behandle personopplysninger om barnet. Nesten halvparten av norske niåringer og 56 prosent av tiåringene bruker sosiale medier.19 Dette til tross for at de fleste store sosiale medier-tjenestene opererer med 13-årsgrense. Ettersom få av de store plattformene tilbyr løsninger for foreldresamtykke, innebærer dette at et flertall oppgir feil alder for å sikre barna tilgang til tjenestene. Dette er det enkelt å få til, ettersom ingen av plattformene krever noen form for verifisering for å bekrefte alder. Noen av barna får tilgang til tjenestene med foreldrenes samtykke, andre etablerer en konto på egenhånd. Dette innebærer at mange barn, trolig også barn i sårbare livssituasjoner, mottar målrettet innhold som ikke er beregnet på dem. I Medietilsynets undersøkelse Digitale dilemmaer20 , kommer det frem at frykten for barnets utenforskap er en hovedmotivasjon for at mange foreldre tillater sosiale medier før barna har fylt 13 år. Mange opplever også aldersgrensene som forvirrende21 . I undersøkelsen fremkommer det videre at flere foreldre føler seg alene om den digitale oppdragelsen, og at det kan være vanskelig å orientere seg når det gjelder anbefalinger. Noen etterlyser også tydeligere råd og veiledning fra det offentlige.
Digitaliseringen medfører en gjennomgripende endring i samfunnsstrukturene, der det er vanskelig både for foreldre og regulerende myndigheter å få full oversikt over reelle utfordringer og risikoer. Når den teknologiske utviklingen drives av kommersielle aktører hvor valutaen er persondata, mener Medietilsynet det er problematisk å overlate alle sider av regulering og beskyttelse av barn til foreldrene.
Medietilsynet vurderer at det er nødvendig med tydeligere og mer koordinerte anbefalinger og løsninger fra det offentlige, for å kunne bistå foreldre med nødvendig støtte til å håndtere den digitale foreldrerollen. Kritisk medieforståelse er en viktig del av dette. Men Norge bør også stille tydeligere krav til de store globale aktørene, slik at de tar ansvar for sine mindreårige brukere. Medietilsynet mener det er et paradoks at 13-årsgrensen på sosiale medier, som opprinnelig har sitt utgangspunkt i en lov som skulle beskytte barn mot innsamling av persondata22, i realiteten «fritar» plattformene for ansvar for mindreårige brukere. Medietilsynet anbefaler norske myndigheter å utnytte handlingsrommet i DSA, slik at noe av ansvaret for å beskytte barn og unge flyttes fra foreldrene og over til plattformene. Videre mener Medietilsynet det er viktig at norske myndigheter prioriterer arbeidet med å gjennomføre endringene i regelverket for elektronisk ID (eIDAS), som skal gjøre det lettere å verifisere alder.
18 Lov av 15.06.2018 nr. 38 om behandling av personopplysninger § 5 jf. Personvernforordningen art. 6 nr. 1 jf. Personvernforordningen art. 8 nr. 1
19 Medietilsynet: Barn og medier 2022
20 Medietilsynet: Digitale dilemmaer – en undersøkelse om barns debut på mobil og sosiale medier, 7. februar 2023
21 Ibid
22 Den amerikanske loven The Children's Online Privacy Protection Act (COPPA) gjør det forbudt for internettplattformer å samle inn persondata om barn under 13 år for annonsemålretting og sporing
Kapittel 9.5.3.4 Foreldres deling av bilder av barn
En annen utfordring Personvernkommisjonen peker på, er barns personvernsutfordringer i møte med foreldre og andre barn, herunder uønsket bildedeling og bruk av digitale verktøy for å overvåke barn. Kommisjonen anbefaler at personvernutfordringer knyttet til innhold delt av foreldre og andre barn skal forebygges ved kompetanseheving, blant annet gjennom undervisning.
Medietilsynets undersøkelse Digitale dilemmaer tyder på at det både blant barn og foreldre er lav bevissthet om barns rett til privatliv i det digitale.23 Medietilsynet er derfor enig i at det er viktig å øke kompetansen når det gjelder personvernutfordringer knyttet til innhold delt av foreldre og andre barn. Samtidig er det etter Medietilsynets vurdering en utfordring at regelverket knyttet til spørsmål om barns samtykkekompetanse er uoversiktlig og til dels uklart. Det er viktig at regelverket knyttet til barns samtykkekompetanse er tilgjengelig for, og kan forstås av, barn. I denne forbindelse mener Medietilsynet at Barnelovsutvalgets forslag om å lovfeste barns rett til å nekte deling av personopplysninger bør følges opp.
Kapittel 9.5.3.5 Foreldres kommersielle eksponering av barn i sosiale medier
Personvernkommisjonen mener at foreldre ikke bør publisere barns personopplysninger, inkludert bilder, for kommersielle formål på nett. Etter Medietilsynets vurdering er dette en viktig problemstilling, og regelverket på feltet bør gjennomgås. Medietilsynet mener imidlertid at spørsmålet bør utredes nærmere før det tas stilling til et generelt forbud på dette området. Det er naturlig å se en slik utredning i sammenheng med kommisjonens forslag om å nedsette et lovutvalg for å gjennomgå og foreslå endringer i regelverk for å beskytte barn og unge i digitale flater. Eventuelle reguleringer på dette området må ses opp mot retten til ytringsfrihet, foreldreansvaret, hensynet til barnets beste og retten til privatliv og personvern.
Kapittel 9.5.3.6 Foreldres overvåkning av barn
Personvernkommisjonen anbefaler at Barneombudet utvikler en veileder for barn og foreldre for å styrke forståelsen av barns rett til personvern i familiære forhold. Medietilsynet er enig i at det er viktig å styrke denne forståelsen, men stiller spørsmål ved om en veileder er beste fremgangsmåte. Medietilsynet viser til at det utvikles en rekke veiledere og lignende tiltak som skal nå ut til foreldre og barn, men som ser ut til å ha begrenset rekkevidde og effekt. Det er viktig at offentlige tiltak koordineres og utformes slik at de når målgruppene. Medietilsynet mener at det offentliges kommunikasjonskanaler bør gjennomgås med et systematisk og helhetlig blikk, og at behovet for nye kommunikasjonsformer/kanaler for å nå foreldre og barn bør vurderes.
23 Medietilsynet: Digitale dilemmaer – en undersøkelse om barns debut på mobil og sosiale medier, 7. februar 2023
Merknader til kapittel 13
13.3.1 Samarbeid mellom tilsyn
Medietilsynet støtter Personvernkommisjonens anbefaling om å styrke dialogen og samarbeidet mellom norske tilsynsmyndigheter på det digitale området. Kommisjonen viser til stortingsmelding 25 (2018-2019), hvor det ble foreslått å «etablere eit nasjonalt samarbeidsforum for å styrkje tilsynet på digitalområdet, etter modell av det europeiske Digital Clearinghouse».24 Formålet var å «effektivisere handsaminga av enkeltsaker, unngå dobbeltarbeid og samstundes sikre ei heilskapleg tilnærming til forbrukarutfordringane i den digitale økonomien»25 . Forbrukertilsynet fikk i 2021 i oppdrag å etablere et slikt tilsynsforum, og til å «vurdere hensiktsmessig innretning på samarbeidsforumet og utfordringer på digitalområdet». Forumet består i dag av Forbrukertilsynet, Konkurransetilsynet og Datatilsynet. For å lykkes med ambisjonen om en helhetlig tilnærming til forbrukerutfordringer i den digitale økonomien, bør flere tilsyn som arbeider innen det digitale feltet innlemmes i forumet, noe Medietilsynet tok initiativ til i 2022.
Medietilsynet anbefaler imidlertid at det etableres et formalisert norsk tilsynssamarbeid innenfor digitalområdet, med et mandat som går utover forbrukerrettighetene. Et slikt samarbeid kan bidra til å sikre norske interesser og en helhetlig tilnærming til utviklingen og håndhevingen av europeiske regelverk. Et tilsvarende tilsynsforum er blant annet etablert i Storbritannia26 og i Irland. Det irske forumet er opprettet som en oppfølging av myndighetenes digitale strategi.27
Teknologi og reguleringen av teknologi går på tvers av ulike tilsyns ansvarsområder. Dette har gitt et behov for tilsynssamarbeid innenfor de ulike regelverkene. Et eksempel er forordningen for digitale tjenester (DSA), som omfatter varer, tjenester og innhold. Siden regelverket dekker ulike tilsynsområder, skal det etableres nasjonale koordinatormekanismer i alle EU- og EFTA-land, der det legges opp til et samarbeid mellom nasjonale tilsynsmyndigheter innenfor rammene av DSA.
Et annet eksempel er DMA, et regelverk som berører flere sektorer. For å koordinere innsatsen vil det etableres en høynivågruppe som består av europeiske konkurransemyndigheter (ECN), mediemyndigheter (ERGA), telekommyndigheter (BEREC), datamyndigheter (EDPB) og forbrukermyndigheter (CPC),28 for å bistå Europakommisjonen i en effektiv håndheving av regelverket. Norske tilsynsmyndigheter deltar i de respektive europeiske organene, som gir et behov for koordinering mellom norske tilsynsmyndigheter.
Medietilsynet foreslår at et formalisert norsk tilsynssamarbeid har et videre mandat enn forbrukervernet og går utover eksisterende samarbeid under de enkelte bestemmelsene, slik som i DSA. Et formalisert samarbeid vil føre til en bedre koordinering og informasjonsutveksling om utvikling og håndheving av europeiske regelverk innen digitalfeltet. Medietilsynet anbefaler derfor at det etableres et formalisert tilsynssamarbeid i Norge, slik det er gjort i Storbritannia og Irland.
24 Meld. St. 25 (2018–2019) Framtidas forbrukar – grøn, smart og digital, kap 6.8
25 Ibid.
26 https://ico.org.uk/about-the-ico/what-we-do/digital-regulation-cooperation-forum/
27 https://www.comreg.ie/regulators-welcome-national-digital-strategy/
28 Body of European Regulators for Electronic Communications (BEREC), the European Data Protection Supervisor (EDPS), the European Data Protection Board (EDPB), the European Competition Network (ECN), the Consumer Protection Cooperation Network (CPC), og the European Regulators Group for Audiovisual Media Services (ERGA).
Medietilsynet viser til Kommunal- og distriktsdepartementets høringsbrev av 11. november 2022 om NOU 2022:11 Ditt personvern – vårt felles ansvar, og sender med dette vårt høringssvar.
Høringsinnspill til NOU 202211 Ditt personvern – vårt ansvar – Medietilsynets høringsuttalelse
Medietilsynet er statens forvaltningsorgan på medieområdet. Det følger av samfunnsoppdraget at Medietilsynet skal medvirke til å oppfylle de overordnede mediepolitiske målene om ytringsfrihet og demokrati gjennom en åpen og opplyst offentlig samtale, jf. Grunnloven § 100. Medietilsynet medvirker til å fremme de mediepolitiske målene ved å legge til rette for mediemangfold og kritisk medieforståelse i befolkningen.
Personvernkommisjonen skriver i sin utredning at et godt personvern legger grunnlaget for ytringsfrihet, informasjonsfrihet og meningsdannelse. Medietilsynet er enig i dette. Personvernet og ytringsfriheten står noen ganger i et motsetningsforhold, eksempelvis kan personvernhensyn hindre innsyn i informasjon som har allmenn interesse. I den digitale forretningsmodellen er personvernet og ytringsfriheten sammenvevd. En ukontrollert sporing og innsamling av data på tvers av internett og digitale tjenester gir risiko for nedkjølingseffekter, som kan føre til at enkeltpersoner avstår fra å søke etter informasjon på nett, oppsøke nettsider eller å ta del i den offentlige debatten, på bakgrunn av bekymringer for at aktiviteten spores og dataene brukes. Et godt personvern bidrar følgelig til et godt ytringsklima og er relevant for Medietilsynets samfunnsoppdrag.
Teknologien griper stadig mer inn i våre liv og i grunnleggende menneskerettigheter, og skillet mellom den fysiske og digitale verden viskes ut. Barn introduseres for det digitale universet i ung alder, og smarttelefoner og annen skjermteknologi er blitt en integrert del av barns hverdag1 . Globale aktører innhenter store mengder persondata om brukerne som utnyttes til kommersielle formål. Medietilsynet mener derfor det er viktig at vi som samfunn har en helhetlig og proaktiv tilnærming til personvern som en grunnleggende menneskerett.
Etter Medietilsynets vurdering har Personvernkommisjonen levert en svært viktig og ambisiøs utredning, og vi støtter i all hovedsak kommisjonens anbefalinger. Medietilsynet vil særlig trekke fram arbeidet med å involvere barn og unge, og mener det er en styrke at kommisjonen har prioritert å få fram barn og unges perspektiv på spørsmål om personvern.
Medietilsynet har valgt å kommentere de anbefalingene der vi har utdypninger eller forslag til justeringer. Kommentarene under er knyttet til relevante kapitler i utredningen.
Oppsummering
• Medietilsynet støtter kommisjonens forslag om at det bør utarbeides en nasjonal personvernpolitikk, som særlig har oppmerksomhet rettet mot sårbare grupper, som barn og unge. Et mål bør være å gjøre regelverket mer forståelig og tilgjengelig for befolkningen, og at offentlige tiltak utformes slik at de når fram til målgruppene.
• Medietilsynet støtter forslaget om en nasjonal tjenestekatalog, og mener dette kan bidra til bedre samordning og kvalitetssikring av undervisningsoppleggene i skolen.
• Medietilsynet støtter at Utdanningsdirektoratet i større grad skal bistå kommuner med å ivareta sitt behandlingsansvar, men mener dette ansvaret må tydeliggjøres. Eventuelle rutiner og veiledere på personvernområdet bør som utgangspunkt forankres nasjonalt for å sikre en enhetlig og systematisk tilnærming.
• Medietilsynet støtter kommisjonens forslag til tiltak for å beskytte elever mot kommersiell utnyttelse av deres persondata og eksponering av reklame på skolens digitale verktøy. Det bør prioriteres offentlige forskningsmidler til å undersøke hvordan kommersielle aktørers bruk av barns persondata påvirker deres skolehverdag og privatliv.
1 Medietilsynets undersøkelse Barn og medier 2022 viser at 93 prosent av alle barn mellom ni og elleve år har egen mobiltelefon, og at 90 prosent av barn mellom 9 og 18 år bruker sosiale medier i 2022: https://www.medietilsynet.no/fakta/rapporter/barn-og-medier/
• Medietilsynet støtter forslaget om at skolen må styrke opplæringen i personvern som en grunnleggende menneskerettighet, og understreker at det er viktig å starte personvernopplæringen i tidlig barneskolealder.
• Medietilsynet støtter kommisjonens anbefaling om at kommunene bør legge til rette for reelle medvirkningsmuligheter for elever og foresatte i beslutninger som berører barns personvern, og mener dette er særlig viktig i en tid hvor bruk av digitale tjenester gjør at skillet mellom skole og fritid viskes mer og mer ut.
• Medietilsynet mener DSA vil styrke norske brukeres personvern, og anbefaler at det legges til rette for et effektivt tilsyn og håndheving av DSA i Norge.
• Medietilsynet er enig i at det er behov for et enhetlig regelverk for behandling av persondata, men mener det er viktig at regelverksendringer om bruk av informasjonskapsler ikke fører til en forskjellsbehandling av nasjonale og globale aktører.
• Medietilsynet støtter et forbud mot atferdsbasert markedsføring mot mindreårige, men vil påpeke at en aldersvurdering basert på sannsynlighet, slik det legges opp til i DSA, er lite presis og vanskelig å håndheve. Norge bør derfor prioritere arbeidet med å innføre endringsforslaget til eIDASforordningen etter at dette er vedtatt i EU. Når det gjelder flertallets forslag om å utrede et generelt forbud mot atferdsbasert markedsføring, stiller Medietilsynet spørsmål ved om en utredning er riktig virkemiddel, og mener at utfordringene med illegitim sporing og uønsket atferdsbasert markedsføring langt på vei kan løses gjennom en effektiv håndheving og god utnyttelse av europeiske regelverk.
• Medietilsynet støtter kommisjonens forslag om å nedsette et lovutvalg for å gjennomgå og foreslå endringer i regelverk for å beskytte barn og unge i digitale flater, og mener dette arbeidet bør prioriteres. Medietilsynet mener det er nødvendig med en helhetlig gjennomgang av alle sektorspesifikke lovverk som skal beskytte barn på nett, og at dette arbeidet må ses opp mot relevante lovgivningsprosesser i EU.
•Medietilsynet mener det er problematisk å overlate alle sider av regulering og beskyttelse av barn til foreldrene. Norge bør stille tydeligere krav til de store globale aktørene, slik at de tar ansvar for mindreårige brukere.
• Medietilsynet er enig i at det er viktig å øke kompetansen når det gjelder personvernutfordringer knyttet til innhold delt av foreldre og andre barn, men stiller spørsmål ved om en veileder er beste fremgangsmåte for å nå ut til målgruppene. Det er viktig at regelverket knyttet til barns samtykkekompetanse er klart og tydelig, og Medietilsynet mener regjeringen bør følge opp Barnelovsutvalgets forslag om å lovfeste barns rett til å nekte deling av personopplysninger.
• Medietilsynet støtter kommisjonens anbefaling om å styrke samarbeidet mellom norske tilsynsmyndigheter. Det bør etableres et formalisert norsk tilsynssamarbeid innen digitalfeltet, med et videre mandat enn forbrukerrettigheter og i tillegg til eksisterende samarbeid under de enkelte regelverkene.
Merknader til kapittel 1
Kapittel 1.2 En nasjonal personvernpolitikk
En av hovedanbefalingene til Personvernkommisjonen er at det skal utarbeides en nasjonal personvernpolitikk, som kan bidra til å sikre reell ivaretakelse av personvernet. Departementet ber særlig om høringsinstansenes merknader til dette forslaget, herunder behovet for og eventuelt forslag til elementer som kan inngå i en nasjonal personvernpolitikk.
Medietilsynet støtter kommisjonens forslag om å utarbeide en nasjonal personvernpolitikk som ser personvernet i et helhetlig perspektiv. Medietilsynet er enig med kommisjonen i at en nasjonal personvernpolitikk særlig bør ha oppmerksomhet rettet mot sårbare grupper, som barn og unge.
Det samles inn store mengder personopplysninger om barn på mange ulike plattformer. Samtidig har over halvparten av foreldrene til barn i aldersgruppen 9-10 år tatt i bruk teknologi som sporer eller viser hvor barnet er.2 Konsekvensene av dette er lite utforsket. Det bør prioriteres å innhente mer kunnskap om hvordan teknologiutviklingen påvirker barns grunnleggende rett til privatliv, og denne innsikten bør ligge til grunn for den nasjonale personvernpolitikken.
Barn lever i en digital verden, hvor retten til privatliv er under press, og det er vanskelig å ha kontroll på egne personopplysninger. I Medietilsynets nye undersøkelse Digitale dilemmaer3 om barns debut på mobil og sosiale medier, kommer det frem at flere foreldre føler seg alene om den digitale oppdragelsen, og at det kan være vanskelig å orientere seg når det gjelder anbefalinger. Et mål for en personvernpolitikk bør være at det offentlige bistår foreldre og barn i den digitale hverdagen gjennom tydelige og koordinerte anbefalinger og løsninger, og at offentlig sektors tjenester reflekterer den nye hverdagen barn og foreldre står i. Det er viktig at offentlige tiltak koordineres og utformes slik at de når fram til målgruppene, slik som ung.no, som er en viktig kanal for å nå barn og unge.
2 Medietilsynet: Foreldre og medier 2022
3 Medietilsynet: Digitale dilemmaer – en undersøkelse om barns debut på mobil og sosiale medier, 7. februar 2023; https://www.medietilsynet.no/globalassets/publikasjoner/barn-og-medierundersokelser/2022/230206_digitale-dilemmaer.pdf
Medietilsynet mener at beslutninger som kan få stor prinsipiell betydning for barns rett til privatliv, må bli gjenstand for en bred offentlig debatt. Et eksempel er strømming av kamper i ungdomsidretten, som reiser viktige prinsipielle spørsmål rundt barns rett til privatliv og deltagelse.
Etter Medietilsynets vurdering oppleves personvernregelverket i mange tilfeller som tungt og utilgjengelig. Medietilsynet støtter derfor kommisjonens forslag om å styrke kompetansen knyttet til personvern i offentlig sektor. I tillegg mener Medietilsynet at et mål for en nasjonal personvernpolitikk, bør være å gjøre regelverket mer forståelig og tilgjengelig både for befolkningen og behandlingsansvarlig. God veiledning og informasjon er etter Medietilsynets vurdering et sentralt virkemiddel for at regelverket overholdes, og for at forbrukernes rettigheter blir ivaretatt.
Merknader til kapittel 8
Kapittel 8.4.1 Nasjonale føringer
Kommisjonen skriver i sin utredning at det er et inntrykk at kommunene har behov for mer praktisk rettet veiledning fra nasjonale myndigheter, og foreslår blant annet at det opprettes en nasjonal tjenestekatalog for digitale læringsmidler.
Medietilsynet støtter dette forslaget. Medietilsynet erfarer at det er lite samordning mellom offentlige aktører, også når det gjelder undervisningsopplegg produsert av det offentlige. En nasjonal tjenestekatalog kan bidra til å samordne feltet på en bedre måte, og sikre tilstrekkelige undervisningsressurser som er alderstilpasset de ulike risikoene barn og unge møter på nett. Videre kan en nasjonal tjenestekatalog bidra til bedre kvalitetssikring og oppdatert kunnskap i undervisningsoppleggene som distribueres i den norske skolen. Det er viktig at en nasjonal tjenestekatalog både sikrer kvalitet, oppdatert informasjon og ivaretar personvernet.
Kapittel 8.4.3 Ansvar og rutiner
Personvernkommisjonen skriver at kommunene og behandlingsansvarlige i større grad må utarbeide tilpassede rutiner og veiledning til skoleledelse og lærere. Videre mener kommisjonen at Utdanningsdirektoratet i større grad bør hjelpe og tilrettelegge for at kommunene kan ivareta sitt behandlingsansvar etter personvernregelverket.
Medietilsynet støtter at Utdanningsdirektoratet i større grad skal bistå kommunene, slik at de kan ivareta sitt behandlingsansvar etter personvernregelverket. Medietilsynet mener imidlertid at dette ansvaret bør tydeliggjøres. Etter Medietilsynets vurdering bør Utdanningsdirektoratet ha det koordinerende ansvaret for at kommuner, skoleledere og elever har nødvendige verktøy, kompetanse og ressurser for å ivareta elevenes personvern.
Behovet for samordning av offentlig innsats er blant annet vist til i nasjonal strategi for trygg digital oppvekst, Rett på nett (2021)4 . Strategien påpeker behovet for bedre organisering, slik at tiltak, planer og initiativ på ulike fagfelt blir bedre koordinert og mer målrettet. Medietilsynet mener det er en fordel at eventuelle rutiner og veiledere på personvernområdet i utgangspunktet forankres nasjonalt, for å sikre en enhetlig og systematisk tilnærming. I det minste bør eventuelle tilpassede rutiner og veiledning fra kommunen til skoleledelse og lærere ta utgangspunkt i nasjonale føringer. Her kan kommisjonens forslag om å utarbeide en personvernnorm for skoleog barnehagesektoren, være et godt utgangspunkt.
Kapittel 8.4.4 Bruk av elevers personopplysninger til kommersielle formål
I kapittel 8.4.4 trekker kommisjonen frem flere utfordringer knyttet til bruk av tjenester i skolen som leveres av kommersielle aktører, herunder bruk av elevers personopplysninger til kommersielle formål og eksponering for reklame.
Medietilsynet mener kommisjonen belyser viktige utfordringer, som det bør prioriteres å gjøre noe med. Medietilsynet støtter derfor kommisjons forslag til tiltak for å beskytte elever mot kommersiell utnyttelse av deres persondata og eksponering av reklame på skolens digitale verktøy. I dag er det liten kunnskap om hvordan barns data fra skoleplattformer brukes av kommersielle aktører, og hvordan dette påvirker barns skolehverdag og privatliv. Medietilsynet mener at offentlige forskningsmidler bør prioriteres til å undersøke dette, og at det trengs tiltak for å få kontroll over barns persondata i skolesammenheng.
Kapittel 8.4.7 Undervisning i personvern
Personvernkommisjonen mener skolen må styrke opplæringen om personvern som en grunnleggende menneskerettighet. Medietilsynet støtter forslaget, og understreker at det er viktig at personvernopplæringen starter i tidlig alder.
Medietilsynets nye undersøkelse Digitale dilemmaer5 viser at barneskolebarn har lav bevissthet om retten til privatliv. Barna ser det som naturlig at foreldrene bruker ulike sporingsapper som forteller hvor de er til enhver tid, og noen opplever det som en plikt å være digitalt synlig for vennene sine, for eksempel på Snapmap. For de fleste barn og unge er sosiale medier og digitale tjenester en viktig del av hverdagen. Det er derfor nødvendig at unge brukere forstår hvordan forretningsmodellen for kommersielle internettjenester fungerer, og hvordan persondata samles inn og kan brukes til å målrette innhold. Medietilsynet mener at kunnskap om barns rett til privatliv og personvern bør være en del av grunnopplæringen fra tidlig barneskolealder, fordi forståelsen av personvern er en viktig allmennkunnskap.
4 https://www.regjeringen.no/no/dokumenter/rett-pa-nett/id2870086/
5 Medietilsynet: Digitale dilemmaer – en undersøkelse om barns debut på mobil og sosiale medier, 7. februar 2023
Kapittel 8.4.8 Barn og foresattes rettigheter
Medietilsynet støtter Personvernkommisjonens anbefaling om at kommunene bør legge til rette for reelle medvirkningsmuligheter for elever og foresatte i beslutninger som berører barns personvern. I Medietilsynets kvalitative undersøkelse Digitale dilemmaer6 , om norske familiers digitale hverdagsliv, kommer det frem at mange barn og foreldre opplever skolenes teknologiske løsninger som problematiske. Teams-chatten ble trukket fram av flere. De pekte på at brukernavn og passord kommer fra skolen, og var laget på en så usikret måte at det var lett å gjette seg til de andres passord. I et konkret tilfelle hadde noen elever gjettet passordet til en gutt i klassen. De utga seg for å være ham og sendte stygge meldinger. Foreldrene i undersøkelsen ga også uttrykk for at skolen ikke tok deres bekymringer på alvor, og opplevde å stå alene om å håndtere utfordringene med skolens digitale løsninger
Medietilsynet mener elevers og foreldres medvirkning er særlig viktig i en tid hvor skillet mellom skole og fritid viskes mer og mer ut, noe som ble ytterligere forsterket med koronapandemien og digital hjemmeskole.
Merknader til kapittel 9
Kapittel 9.2.6 Forbrukernes muligheter til å ivareta eget personvern
Medietilsynet er enig i kommisjonens beskrivelse av personvernutfordringene forbrukerne står overfor på internett. Ansvaret for personvernet er langt på vei overlatt til den enkelte bruker, som har begrenset mulighet til å ha kontroll med egne personopplysninger og verne om sitt eget privatliv. Omfanget av samtykkeerklæringer kombinert med omfattende brukervilkår kan gi brukerne en avmaktsfølelse. Enkelte internettjenester har blitt en så viktig del av informasjonsinfrastrukturen, at det å velge bort tjenesten kan oppleves som et valg om å stå utenfor fellesskapet. Det kan stilles spørsmål ved om et samtykke til behandling av personopplysninger etter personvernforordningen er informert eller reelt. Dette er en systemisk utfordring, som ikke kan overlates til den enkelte bruker, og krever løsninger i form av regelverksendringer og effektiv håndheving av regelverket.
6 Medietilsynet: Digitale dilemmaer – en undersøkelse om barns debut på mobil og sosiale medier, 7. februar 2023
Kapittel 9.3.2: Kommende europeisk regulering
Personvernkommisjonen redegjør for europeiske reguleringer som berører personvernfeltet, blant annet Digital Services Act (DSA) og Digital Markets Act (DMA). Forordningene trådte i kraft etter at kommisjonen leverte sin utredning, og er EØS-relevante. Kommisjonen anbefaler at «norske myndigheter tar ansvar for å beskytte norske forbrukeres personvern ved å føre en offensiv personvernpolitikk opp mot EU».
Medietilsynet mener DSA styrker norske brukeres personvern. Blant annet innfører DSA et forbud mot atferdsbasert markedsføring rettet mot mindreårige, og mot manipulerende design som brukes til å styre brukerne til å ta valg som primært tilbyderen av tjenesten har fordelene av. De største plattformtjenestene pålegges etter DSA å gjøre vurderinger av systemisk risiko, blant annet om hvordan tjenestene negativt påvirker grunnleggende rettigheter som personvernet og ytringsfriheten, og mindreåriges fysiske og psykiske helse. 7
DSA introduserer en ny håndhevingsmodell. Europakommisjonen har håndhevingsansvaret for de største plattformene i DSA og DMA. På nasjonalt nivå skal det etableres en koordinator for digitale tjenester, som får ansvaret for å håndheve DSA nasjonalt og dokumentere brudd på bestemmelsene. DSA gir følgelig et handlingsrom for en reell norsk påvirkning av plattformer, inkludert de største globale plattformene.
Medietilsynet anbefaler at det legges til rette for et effektivt tilsyn og håndheving av DSA i Norge, og viser til Medietilsynets høringssvar til Ytringsfrihetskommisjonens utredning, NOU: 2022-9, for en mer detaljert anbefaling. 8
9.3.1.1 Særnorsk implementering av kommunikasjonsverndirektivet
Ekomloven er en særnorsk implementering av kommunikasjonsverndirektivet, som innebærer at regelverket for samtykke til bruk av informasjonskapsler etter ekomloven er annerledes enn i personvernforordningen. Personvernkommisjonen mener det er behov for en mer enhetlig forvaltning av personvernregelverket, og at bestemmelsene i personvernforordningen bør legges til grunn for reguleringen av sporingsteknologi.
Medietilsynet er enig med kommisjonen i at det er behov for et enhetlig regelverk for behandling av persondata, og har i høringssvaret til ny ekomlov, ny ekomforskrift og endringer i nummerforskriften, stilt seg positiv til endringer i regelverket, 9 begrunnet i behovet for å styrke brukernes personvern. Samtidig er det nødvendig å sørge for at eventuelle regelverksendringer ikke fører til å øke konkurranseforskjellene mellom nasjonale og globale aktører i det digitale annonsemarkeder.
7 https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022R2065&from=EN
Norske mediers bruk av informasjonskapsler etter ekomloven har vært viktig i konkurransen med globale plattformselskaper i det digitale annonsemarkedet. Globale plattformselskaper opererer i et lite regulert marked, brudd på personvernreglene har i liten grad fått konsekvenser, og selskapene har lavere skattesats enn norske medievirksomheter. Globale innholdsplattformer har samtidig opparbeidet rike datasett på egne plattformer og på tvers av internett, og har tatt en stor andel av det digitale annonsemarkedet på bekostning av norske redaktørstyrte medier. At dette ikke har gått utover mediemangfoldet skyldes blant annet stor omstillingsevne hos medievirksomhetene, kombinert med et generelt voksende annonsemarked.10 I en økonomisk nedgangstid forventes det at mediebedriftene blir enda mer sårbare for konkurransen i annonsemarkedet.
Medietilsynet mener det er viktig å sikre like konkurransevilkår, og at ikke personvernregelverket og håndhevingen av ekomloven og GDPR i realiteten gir en fordel til globale plattformer sammenlignet med redaktørstyrte medier og andre norske virksomheter.
Kapittel 9.4.2 Illegitim sporing og profilering
Medietilsynet deler Personvernkommisjonens bekymring for at store deler av det digitale annonsesystemet er ute av kontroll. Rike datasett og atferdsbasert målretting er fundamentet i plattformøkonomien og det kommersielle internettet. Forretningsmodellen gir et insentiv til å samle inn mest mulig data og kapitalisere på disse dataene overfor annonsører. Selskaper som Alphabet og Meta kontrollerer mye av annonseinfrastrukturen, og er blant verdens mest verdifulle selskaper. Forretningsmodellen som ble etablert av internettselskaper er attraktiv for andre bransjer. Telekomoperatørene Vodafone, Orange, Telefónica og Deutsche Telecom har varslet Europakommisjonen om at de vil etablere en europeisk annonseplattform,11 basert på innsamling av persondata og atferdsbasert markedsføring. Denne utviklingen synliggjør behovet for et tydelig regelverk for behandling av persondata, for å motvirke den illegitime sporingen.
Kombinasjonen av brukernes manglende kontroll over egne persondata, illegitim sporing og atferdsbasert markedsføring, utgjør en utfordring for det digitale privatlivet, ytringsfriheten og demokratiet. Medietilsynet mener det er viktig å møte utfordringene med en strengere håndheving av personvernforordningen (GDPR), og at nye regelverk som DSA, DMA og rettsakten for kunstig intelligens, brukes aktivt for å sikre brukernes rettigheter. Medietilsynet anbefaler at norske myndigheter aktivt utnytter mulighetene som ligger i disse regelverkene for å stanse en illegitim sporing og profilering.
11 https://ec.europa.eu/competition/mergers/cases1/202302/M_10815_8844242_215_3.pdf
Forbud mot atferdsbasert markedsføring mot mindreårige: Ni av ti 9-18-åringer i Norge er på sosiale medier. De aller fleste har en konto på YouTube, Snapchat og TikTok,12 som er attraktive markedsføringskanaler mot denne gruppen. Barn og unge er sårbare for målrettet markedsføring og har et særlig behov for beskyttelse mot skadelig innhold og atferdsbasert markedsføring. DSA innfører et forbud mot atferdsbasert markedsføring rettet mot brukere som «etter all sannsynlighet» (with reasonable certainty) er mindreårige. Medietilsynet støtter et forbud mot atferdsbasert markedsføring mot mindreårige, men vil påpeke at en aldersvurdering basert på sannsynlighet er lite presis og vanskelig å håndheve. Hvis tilbyderne som et svar på forbudet utvikler egne løsninger for verifisering av alder, for eksempel ved bruk av ansiktsgjenkjenning eller andre identifikatorer, er det i seg selv en uønsket personvernrisiko.
Medietilsynet mener derfor det er behov for en offentlig standardisering av elektronisk ID på europeisk nivå, som muliggjør aldersverifisering for de globale tjenestene. Endringsbestemmelsen til eIDAS-forordningen13 tar sikte på å innføre en slik elektronisk ID, en digital lommebok som kan brukes til aldersverifisering. Europakommisjonens forslag er nå til behandling i EU, og personvernhensyn er en sentral del av vurderingen. Det er lagt opp til at mindreårige brukere vil kunne bruke den digitale lommeboken. Innføringen av eID er ikke uten dilemmaer. Det er blant annet viktig å forsikre seg om at brukere ikke ekskluderes, eksempelvis på bakgrunn av at barna eller deres foresatte ikke har tilstrekkelig digital kompetanse. Medietilsynet mener likevel at en offentlig godkjent elektronisk id-løsning er et viktig virkemiddel for å skjerme mindreårige mot atferdsbasert markedsføring, og at en felles standard vil gjøre det enklere for tilbydere av digitale tjenester å overholde aldersgrensene på egne plattformer. En identifisering gjør det i tillegg enklere å håndheve forbudet i DSA. Medietilsynet mener derfor at arbeidet med en norsk innføring av endringene i eIDAS-forordningen bør prioriteres etter at regelverket er vedtatt i EU.
Generelt forbud mot atferdsbasert markedsføring: Flertallet i Personvernkommisjonen mener et generelt forbud mot atferdsbasert markedsføring er nødvendig for å beskytte norske og europeiske forbrukere, og bør utredes. Mindretallet mener at atferdsbasert markedsføring kan gjøres på en ansvarlig og legitim måte, og at et forbud vil ramme finansieringen av mediene, og støtter derfor ikke forslaget om en utredning på de premissene som flertallet legger til grunn.
12 https://www.medietilsynet.no/nyheter/aktuelt/farre-av-de-yngste-er-pa-snapchat-og-tiktok-enn-for-toar-siden/
13 https://www.regjeringen.no/no/sub/eos-notatbasen/notatene/2021/des/endringsbestemmelser-ieidas-forordningen/id2905581/
Medietilsynet er enig i at innhenting og bruk av data er ute av kontroll, og at det er behov for å styrke håndhevingen av regelverket. Brukerne har begrenset mulighet til å velge bort sporing, og det er vanskelig å forstå rekkevidden av hva et samtykke egentlig innebærer. Dette gjør brukerne sårbare for en forretningsmodell som er bygget på målrettet markedsføring.
Et effektivt forbud mot atferdsbasert markedsføring, særlig overfor de globale plattformene, forutsettes å forankres i et europeisk regelverk. Forbud mot atferdsbasert markedsføring ble grundig diskutert i Europaparlamentet og Ministerrådet under behandlingen av DSA, men oppnådde ikke et flertall. Medietilsynet er enig med kommisjonen i at det er viktig med et godt faktagrunnlag for å vurdere målrettingens positive og negative sider, men stiller spørsmål ved om en utredning er riktig virkemiddel, og om det er realistisk at en utredning vil føre til endringer i nylig vedtatte europeiske regelverk.
Medietilsynet mener det er behov for mer forskning om målrettingens positive og negative sider, både fra brukernes perspektiv og fra et samfunnsperspektiv. Det er da viktig å skille mellom legitim og illegitim sporing, målrettet markedsføring og målrettet innhold, behandling av førstepartsdata samlet inn på egne tjenester og tredjepartsdata samlet inn på tvers av internett. Medietilsynet mener det bør vurderes å innføre et forbud mot omsetning og bruk av tredjepartsdata. Dette vil være et treffsikkert tiltak mot den ukontrollerte omsetningen av persondata, men vil ha begrenset effekt på globale plattformers bruk av persondata høstet inn på egne plattformer og på internett over mange år.
Tilgangen til persondata har gitt globale aktører en konkurransefordel i annonsemarkedet. Dette har ført til at mange annonsører foretrekker globale plattformer for digital annonsering, 14 som igjen har gått ut over finansieringen av redaktørstyrte medier. Flere medievirksomheter har møtt konkurransen ved å tilby nasjonale løsninger for atferdsbasert markedsføring. Et generelt forbud mot atferdsbasert markedsføring vil kunne ha negative konsekvenser for norske mediers inntekter og for mediemangfoldet.
Medietilsynets oppfatning er at utfordringene på globale plattformer langt på vei kan løses gjennom effektiv håndheving og god utnyttelse av europeiske regelverk, som GDPR, DSA og Digital Markets Act (DMA). DMA vil pålegge teknologigigantene å avstå fra å utveksle persondata mellom egne tjenester eller med persondata tilbudt av tredjeparter, etter artikkel 5.15 Artificial Intelligence Act er under behandling i EU, og kan også kunne anvendes for å styrke personvernet. De nye regelverkene stiller strengere krav til store plattformer og tjenester der risikoen er høy, nettopp for å unngå at regelverket utilsiktet rammer mindre tjenester. En tilsvarende differensiering er ikke en del av GDPR. Håndhevingsmodellen, der det irske datatilsynet har tilsynsansvar for flere av verdens største teknologiselskaper, har ført til et betydelig etterslep av saker og en svak rettspraksis.16 Dette innebærer en forskjellsbehandling mellom store globale aktører og små og mellomstore nasjonale aktører, som har negative konsekvenser for norske virksomheter og norske forbrukere.
15 https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52020PC0842&from=en
En bedre håndheving av GDPR er derfor et viktig tiltak mot illegitim sporing og uønsket atferdsbasert markedsføring. Det europeiske personvernrådet (EDPB) har sørget for en mer aktiv håndhevingspolitikk, som har styrket brukernes personvern og bidratt til å etablere en rettspraksis for globale plattformer.17 I DSA og DMA er Europakommisjonen tildelt tilsynsansvaret for de største globale tjenestene og tilbyderne, for å sikre tilstrekkelig ressurser til håndhevingen av regelverkene. Medietilsynet mener at en ytterligere forsterkning av håndhevingen av GDPR kan oppnås ved at Europakommisjonen tildeles håndhevingskompetanse for de største virksomhetene, slik som i DSA og DMA.
Medietilsynet deler Personvernkommisjonskommisjonens vurdering av at det er behov for omfattende tiltak for å verne forbrukerne mot illegitim sporing og uønsket atferdsbasert markedsføring, men mener bedre utnyttelse og håndheving av eksisterende og nye europeiske regelverk er viktige tiltak. Selv om Medietilsynet støtter mindretallets posisjon, vil vi samtidig bemerke at avstanden mellom flertallet og mindretallet ikke virker stor, og at kommisjonen fremstår samlet i anbefalingen om å iverksette tiltak mot illegitim sporing på internett.
Kapittel 9.4.3 Manipulerende design
Medietilsynet er enig med Personvernkommisjonen i at det foreslåtte forbudet mot manipulerende design i forordningen for digitale tjenester (Digital Services Act - DSA) styrker forbrukernes muligheter til å ivareta eget personvern på nett.
Medietilsynet vil understreke at DSA gir et norsk handlingsrom for å sikre at manipulerende design blir sanksjonert, og at dette forutsetter en grundig dokumentasjon av regelverksbrudd i Norge. En norsk koordinator for digitale tjenester får ansvar for å håndheve DSA i Norge. DSAs artikkel 53 åpner for at norske brukere og organisasjoner kan melde inn dokumenterte brudd på forordningen til koordinator. En koordinator som har tilstrekkelige ressurser, kombinert med et sivilsamfunn som aktivt bidrar til å dokumentere ulovlig bruk av manipulerende design i Norge, vil etter Medietilsynets syn både styrke håndhevingen av DSA og bidra til å styrke personvernet for norske brukere.
16 https://www.techcentral.ie/data-protection-commissioner-fails-to-resolve-98-of-big-tech-gdpr-cases/
17 https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/overtredelsesgebyr-til-facebook-oginstagram/
Høringsinnspill til NOU 202211 Ditt personvern – vårt ansvar
Google vil takke for muligheten til å delta i høringen av NOU 2022:11 - Ditt personvern - vårt felles ansvar. Våre kommentarer knytter seg primært til områdene i utredningen som omhandler adferdsbasert markedsføring, Chromebooks og Google Workspace for Education - vår samling digitale tjenester for skoleelever.
Generelt om adferdsbasert markedsføring
Annonser har i over 100 år finansiert innholdsproduksjon. Fra aviser og blader, til TV og radio, til internett. I dag er 66 prosent av verdens befolkning på nett, og det annonsefinansierte nettet har blitt en uvurderlig ressurs for menneskeheten. I løpet av bare de siste 25 årene har vi opplevd en eksplosjon i tilgang til informasjon, verktøy, og ressurser.
Samtidig, og i tråd med at vi lever en stadig større del av livene våre på nett, ser vi en økende bekymring for hvordan vår personlige informasjon samles, brukes og deles. Denne bekymringen omfatter selvsagt også bruk av personlig informasjon i tilknytning til annonsevirksomhet.
Når Google lager tjenester og produkter, er tre prinsipper styrende for utviklingen: Vi skal holde informasjon trygg og sikker, vi skal behandle den ansvarlig, og vi skal gi brukerne av våre tjenester kontroll. Disse prinsippene danner en visjon som vi kontinuerlig jobber mot.
Vi gir brukerne av våre tjenester kontroll over sine egne data
Vi har allerede investert betydelig i å sørge for at alle som bruker våre tjenester har effektive, substansielle og tilgjengelige måter å håndtere sitt personvern - også knyttet til hvilke annonser de ser. Dette er bare noen eksempler på hvordan vi gir folk kontrollen over hva de deler og hvordan det brukes på en enkel og grei måte:
● Vi innhenter alltid samtykke fra brukere før vi viser dem annonser basert på den informasjonen de deler, og vi krever det samme fra kundene våre som bruker våre annonseplattformer.
● I fjor lanserte vi «Mitt annonsesenter», og utvidet våre eksisterende kontrollpaneler for annonseinnstillinger ytterligere. Mitt annonsesenter gir brukere ett felles sted hvor de kan kontrollere hvilke typer annonser de blir vist, enten det er når de bruker Google Søk, YouTube eller Discover - og de kan velge hvilke temaer de er interessert i å se annonser for, hva de vil se mer av og hva de ikke er interessert i. De kan også så klart skru av personaliserte annonser helt.
● I fjor sjekket over 300 millioner mennesker annonseinnstillingene sine.
● Google Konto er et felles sted hvor man finner informasjon og kan justere innstillinger for personvern og sikkerhet på tvers av våre tjenester. Vi har utviklet brukervennlige tjenester som lar folk se gjennom sin aktivitet, hvilke data de deler, hva slags informasjon vi har lagret og hvordan personvernet og sikkerheten deres blir ivaretatt. Her kan man søke på temaer, datoer, steder og produkter for å få bedre oversikt. Brukere kan permanent slette spesifikke aktiviteter eller temaer som de ikke vil at skal knyttes til deres konto.
● Personvernsjekken er et verktøy som årlig brukes av over 100 millioner. Google-brukere. Dette er et verktøy vi har laget for å øke folks forståelse av hvordan data man deler blir brukt, hvor man også kan endre hva slags data man deler.
● Autosletting: Denne tjenesten gjør at man kan permanent og automatisk slette data etter en viss tid (fra 3-18 måneder), inkludert fra YouTube, Google Maps, eller andre aktiviteter mens man bruker en Google-konto. For alle nyopprettede kontoer er autosletting automatisk skrudd på og satt til tre måneder - et eksempel på innebygget personvern i praksis.
Forbud mot markedsføring med bruk av sensitive adferdsbaserte data
Sikkerheten til de som bruker våre tjenester er førsteprioritet når vi tar beslutninger rundt annonser og annonsefinansiert innhold på våre plattformer. Vi har omfattende retningslinjer og teknologi for håndheving på plass som beskytter både brukere og annonsører mot skadelig innhold og aktører. For eksempel tillater vi ikke annonser i tilknytning til innhold som oppfordrer til vold eller diskriminering, ulovlige aktiviteter eller seksuelt innhold.
Vi oppdaterer kontinuerlig våre retningslinjer i tråd med at nye utfordringer vokser frem som truer det digitale annonse-økosystemet. Det kan være saker som desinformasjon eller skadelige påstander som ble fremsatt i forbindelse med COVID 19-pandemien.
Vi tillater ikke at annonsører bruker våre tjenester til å bygge brukerprofiler rundt sensitive temaer. I vår policy står det at ingen skal bruke Googles plattform eller produkter til å drive adferdsbasert markedsføring, eller å samle inn eller anvende brukerdata som cookie-lister, basert på sensitive data. Dette kan være helseinformasjon, informasjon om personers finansielle situasjon, etniske opprinnelse, religiøse overbevisninger eller politiske preferanser (en full liste er tilgjengelig her)
Vi har gjort en rekke endringer de siste årene for å styrke personvern ytterligere i forbindelse med adferdsbasert markedsføring. Dette innebærer blant annet at:
● Vi krever at mediehus vi samarbeider med innhenter samtykke for å vise adferdsbaserte annonser innenfor EØS-området.
● Vi anvender prinsipper for dataminimering på informasjon som deles i auksjonene hvor annonseplassering kjøpes og selges. Det gjør vi blant annet gjennom å anonymisere IP-adresser, og vi benytter kun bruker-ID-er som kan tilbakestilles.
● Vi har utviklet retningslinjer og krav som begrenser hvordan data kan kombineres og deles.
Begrensninger i adferdsbasert markedsføring mot brukere vi mener er under 18
Det er viktig at annonser som vises når man bruker Googles produkter er relevante, informative og, først og fremst, ikke kan være skadelige for de som bruker våre tjenester. Barn og unge under 18 er spesielt sårbare. Derfor gjør vi mye for å sørge for at annonser som vises når barn og unge bruker våre produkter ikke kan skade dem. Google viser ikke adferdsbaserte annonser til personer under 18. Det betyr at vi blokkerer alle annonser som målrettes etter alder, kjønn eller interesser for disse brukerne. Målet vårt er at vi alltid skal levere gode beskyttelsesmekanismer og annonser som er passende for ulike aldersgrupper når de bruker Googles tjenester1.
Adferdsbasert markedsføring skaper verdier
Det er blitt foreslått å forby adferdsbasert markedsføring, og at «kontekstbaserte» annonser kan være en fullgod erstatning. Det vil dessverre ikke være tilstrekkelig for å betale for det internett de fleste av oss vil ha. Vår kartlegging av temaet viser at hvis vi går over til kontekstbaserte annonser, vil mediehus tape 62 prosent av omsetningen. Ifølge UK Competition and Markets Authority (CMA) Digital Advertising Market Study vil mediehus miste 70 prosent av sin omsetning.
Ny forskning viser at dersom man begrenser annonsørers tilgang til data om publikums interesser og demografi, vil det ramme små mediehus og små annonsører aller hardest. Tapet i omsetning vil true det økonomiske grunnlaget for gratistjenestene på nett, som har en anslått årlig verdi på cirka 300 000 kroner for den gjengse forbruker. I Tyskland har Foreningen for den digitale økonomien (BVDW) pekt på at hvis man går over til kontekstbaserte annonser, vil små utgivere, små nettaviser og nettsteder med spesialisert innhold tape mest, og både mangfold og innovasjon på nett vil svekkes.
Vi ønsker også å gjøre oppmerksom på en IAB-rapport som anslår at dersom adferdsbasert markedsføring forsvinner, så kan verdiskaping i størrelsesorden 32-39 milliarder dollar forsvinne fra aktører som baserer seg på åpne standarder på nett. Dette vil være svært uheldig
1 How we’re helping kids and families safely learn, grow and play online.
i en tid hvor tilgang til god og verifisert informasjon aldri har vært viktigere. En studie gjennomført av Center for Data Innovation viser at dersom man forbyr adferdsbasert markedsføring, står cirka seks milliarder kroner i omsetning i fare for den europeiske app-økonomien, som på tvers av EU sysselsetter 1,5 millioner mennesker.
Privatliv på nett burde ikke bare være for de med penger
Det har blitt foreslått at man i stedet for annonser bare burde betale for alle tjenestene man bruker på nettet. Det kan være en god løsning for de som har penger til det, men å betale for eksempel 99 kroner i måneden for hver tjeneste som per i dag finansieres av annonser vil være mye mer enn hva mange har mulighet til. Det vil føre til at en del personer må slutte å bruke tjenester vi i dag tar for gitt, og sette dem på sidelinjen av den digitale delen av livet. Det vil være et stort skritt bakover hvis vi forbyr annonser, og slik gjør helt grunnleggende internett-tjenester til en luksusvare bare et mindretall av verdens befolkning har tilgang til. Et fritt og åpent internett bør være noe alle i hele verden har tilgang til på like vilkår. Forskning fra IAB Europe viser også at 75 prosent av europeere foretrekker dagens løsning, fremfor et internett uten annonser hvor man må betale for tilgang til nettsider, innhold og apper.
Hvordan styrke digitalt personvern og samtidig holde internett fritt og åpent?
Google har utviklet en «Privacy Sandbox». Dette er en måte å jobbe frem løsninger som kan styrke personvernet samtidig som bedrifter som bruker våre annonseløsninger (mediehus, apputviklere etc.) får økonomiske vilkår som gjør dem i stand til å produsere godt og interessant innhold. Dette initiativet vil redusere datainnsamling på tvers av nettsider og apper, samtidig som vi fortsatt kan tilby annonsører relevante måter å målrette sine annonser på. Slik håper vi å bidra til å sikre det åpne og frie internett for alle.
Løsningene vi foreslår her innebærer tryggere alternativer til dagens teknologi ved at de begrenser i hvilken grad individer kan spores på nett, og gir brukere bedre kontroll og innsyn.
For å få til dette, investerer vi i og tar i bruk ny teknologi som styrker personvernet (såkalt Privacy Enhancing Technologies, PET). Slik teknologi gjør oss i stand til å balansere hensynet mellom individets personvern og den betydelige samfunnsnytten som kommer fra økt tilgang til data. For eksempel gjør Topics API-et det mulig å målrette annonser basert på interesser uten at man trenger å spore nettsteder eller apper en person bruker. FLEDGE API-et er en ny måte å drive remarketing, som ikke krever bruk av tredjeparts cookies eller identifikatorer som følger brukeren på tvers av apper. Attribution Reporting API-et gjør annonsører i stand til å måle hvor effektive annonsene deres er, uten at man trenger å spore brukere på tvers av apper og nettsteder.
Sammen med våre brukere og partnere har vi begynt å rulle ut disse nye konseptene. I første kvartal 2022 begynte vi testingen av Privacy Sandbox. I løpet av tredje kvartal 2023 tar vi sikte på å gjøre API-ene tilgjengelig for alle i Chrome. Og i tråd med at utviklere tar i bruk disse API-ene, er vår intensjon å begynne utfasingen av tredjeparts cookies i Chrome i andre halvdel av 2024.
I arbeidet med Privacy Sandbox har vi vært i tett og løpende dialog med bransjen, interessegrupper som jobber med personvern, og myndigheter, for å lytte til deres tilbakemeldinger. Vi har også jobbet tett med Storbritannias Competition and Markets Authority (CMA) og Information Commissioner’s Office (ICO), blant annet for å bli enige om et sett rettslig bindende forpliktelser som ivaretar CMAs konkurransemessige innvendinger rundt Privacy Sandbox. Disse vil styre hvordan vi designer og ruller ut dette initiativet.
Målet vårt er at alle involverte aktører skal stole på at Privacy Sandbox faktisk vil sikre brukernes personvern og samtidig understøtte annonsefinansierte tjenester på en transparent måte som ikke favoriserer Google. Vi kommer til å gjøre forpliktelsene vi inngår med CMA gjeldende i alle markeder vi opererer i, fordi vi mener de danner et godt veikart for hvordan vi kan adressere både personvern og konkurransehensyn i en sektor som er i rask utvikling. Vi har også jobbet tett med det irske datatilsynet og andre datatilsyn gjennom European Data Protection Board (EDPB).
En rekke andre PET-nyvinninger bidrar ytterligere til å styrke vår tro på at personvernhensyn kan bli godt ivaretatt og balansert med hensynet til ønsket om å bevare et fritt og åpent annonsefinansiert internett. Dette inkluderer blant annet Federated Learning 2 , Differential Privacy, on-device processing 3 og Secure Multi-Party Computing 4 . Vi håper flere, både selskaper, myndigheter, politikere og andre organisasjoner engasjerer seg i den videre utviklingen av personvern-drevet innovasjon.
Googles produkter og tjenester for elever og lærere
Google bygger verktøy og tjenester som beskytter personvernet til både elever og lærere, med ledende sikkerhetsløsninger. I lys av Personvernkommisjonens kommentarer knyttet til det som tidligere het G Suite for Education, nå Google Workspace for Education, ønsker vi å understreke at:
4 Secure Multi-Party Computing bruker teknologi for å la to eller flere parter kryptere datasett og så dele og kombinere resultatene.
3 Differential privacy er en teknikk hvor man bruker matematiske prinsipper for å samle innsikt på et aggregert nivå fra data samtidig som man garanterer at ingens individuelle data kan skilles ut eller identifiseres.
2 Federated Learning er en teknologi hvor man trener maskinlæring-modeller uten å flytte rådata fra enhetene de genereres på. 5 1.
1. De som kjøper disse produktene av oss - kommuner, skoler etc. - eier sin egen data.
2. Google Workspace for Education benytter ikke data om skoleelever i grunnskolen eller videregående til å vise annonser eller bygge brukerprofiler.
Google behandler kun brukerdata i tråd med de kontraktene som er inngått med kundene våre. Vi skriver helt klart og tydelig i Google Workspace for Education Terms of Service at Google ikke behandler data til annonseformål, og vi viser ikke annonser i Google Workspace for Education-tjenestene.
Hvis en elev er logget inn med skole-kontoen sin og velger å bruke «tilleggstjenester» fra Google, det vil si de som ikke er en del av Google Workspace for Education (for eksempel YouTube eller Søk, kan de bli vist annonser. Men - for brukere i grunnskolen og videregående vil ikke dette være adferdsbasert markedsføring. Vi gjør det også mulig for administratorer å skru av disse tilleggstjenestene, eller justere tilgangen på andre måter.
Vi stiller oss bak Personvernkommisjonens kommentarer om at brukere av tredjeparts-teknologi må gjennomføre grundige risiko- og sårbarhetsanalyser knyttet til databeskyttelse når behandling av opplysninger kan medføre en økt personvernrisiko. Vi bistår jevnlig våre kunder - inkludert i utdanningssektoren - med å gjennomføre slike analyser. Vi bidrar med nødvendig informasjon og transparens i hvordan data behandles for at de skal kunne gjøre gode vurderinger.
Chromebooks
Chromebooks kan sende enhetsinformasjon eller kontoinformasjon til Google, sammen med bruksstatistikk og krasj-rapporter for å gjøre oss i stand til å rette feil og forbedre tjenestene. Den dataen som deles av elever i disse tilfellene blir aldri brukt til annonseformål. Når for eksempel en krasj-rapport genereres, knyttes den ikke til informasjon som kan brukes til å identifisere enkeltindivider. Brukere og administratorer styrer hva slags data som sendes til Google via Chrome-innstillingene. De kan skru av Chrome Sync, eller velge å ikke sende krasj-rapporter og brukerstatistikk i det hele tatt.
Vi takker igjen for muligheten til å gi innspill til den videre behandlingen av personvernkommisjonens rapport, og står selvsagt til deres disposisjon dersom dere ønsker mer informasjon.
Innspill til høring om NOU 2022:11 Ditt personvern - vårt felles ansvar. Personvernkommisjonens rapport
Personvern og nettsikkerhet har aldri vært viktigere. I vår stadig mer digitaliserte verden ser vi at nordmenn sin persondata har blitt valuta som organisasjoner, selskaper og stater gjerne vil ha tak i. Det omfatter alt fra informasjon til bruk i markedsføring til mer sensitiv informasjon som handlingsmønstre, vaner og generell aktivitet. Det forplikter at myndighetene er våkne og sørger for et regelverk som sikrer innbyggerne på nett. Derfor støtter innsenderne kommisjonens mandat og viktige arbeid.
Personvern og annonsering
I rapporten tar kommisjonen opp en rekke problemstillinger knyttet til digital annonsering. På verdensbasis brukes det over 600 milliarder dollar årlig ifølge tall fra Statista, og beløpet er stigende. Hovedandelen av dette går til selskaper som Meta (Facebook) og Alphabet (Google). Dette er store internasjonale pengemaskiner som unytter og selger persondata for å tjene egen virksomhet. Denne aktiviteten er noe både norske bedrifter, etater, direktorater og kommuner støtter opp under gjennom å bruke disse annonseløsningene. Det er problematisk av flere grunner, men spesielt med tanke på personvernet.
Et flertall av kommisjonens medlemmer foreslår å utrede et forbud mot adferdsbasert annonsering. Det er et tiltak innsenderne støtter. Europaparlamentet har allerede vedtatt et forbud mot profilering og adferdsbasert annonsering rettet mot barn, og innsenderne ser det som positivt at et flertall ønsker å gå lenger ved at forbudet også skal gjelde den øvrige befolkningen. Unge og voksne blir i like stor grad, om ikke større, eksponert for mekanismene bak adferdsbasert annonsering.
I rapporten sier kommisjonen at:
«En nasjonal personvernpolitikk må innebære at offentlig sektor går foran. Det innebærer at offentlige myndigheter må gjøre grundige personvernvurderinger og ta i bruk verktøy som respekterer innbyggernes personvern.»
Innsenderne er enig med kommisjonen at det offentlige har et særskilt ansvar for å gå foran, og slutte med en annonseringspraksis som bryter med personvernet. I den sammenheng oppfordrer innsenderne kommisjonen til å gå inn for at fra neste års mediebudsjetter skal en ikke lenger bruke adferdsbasert annonsering i offentlig sektor. Det behøver ikke å bli sett i sammenheng med et generelt forbud, og bør gjøres uavhengig av konklusjonen og utfallet i utredningen.
Politikk, media og samfunn
Dagens digitale annonsemarked er dypt integrert i flere samfunnsstrukturer, både kommersielt, i media og politisk. Det skaper utfordringer og krever omstilling. Slik kommisjonen påpeker henter flere mediehus deler av sine annonseinntekter fra dagens praksis. Innsenderne ønsker i den sammenheng å vise til at det allerede eksisterer alternativer til dagens ordning som ikke utnytter persondata. Gjennom kontekstuell annonsering kan mediene i samme grad hente inn inntekter, uten at det bryter med personvernet. Ved å rette annonsene etter innholdet i nyhetssaker kan aktører nå ut til forbrukere og innbyggere uten at persondata har vært involvert. Mediene tilbyr også andre annonseprodukter som ikke baserer seg på bruk av persondata, og flere vil kunne utvikles om de får økonomiske insentiver som det innsenderne foreslår.
Personvernkommisjonen tar også opp viktige problemstillinger knyttet til segmentering og målretting av annonser og politiske budskap. I 2018 avdekket Cambridge Analytica-skandalen at 50 millioner Facebook-brukeres persondata ble brukt til å påvirke demokratiske valg. Det amerikanske, og russiske, forsvaret investerer tungt i å sikre seg folks persondata, og flere medier har vist at man gjennom kjøp av persondata kan kartlegge bevegelsesmønsteret til norske politikere. Summen av dette er at man svekker individets rettigheter og legger demokratiske avgjørelser ut for salg. Meta ble igjen i januar 2023 dømt til å betale en bot på 390 millioner euro som følge på brudd på behandling av personopplysninger. Innsenderne støtter derfor kommisjonens ønske om å stille strenge informasjons- og åpenhetskrav til hvordan politiske aktører benytter seg av slike tjenester, og ikke minst hvordan informasjonen blir brukt.
Oppsummering
Innsenderne ønsker å takke personvernskommisjonens medlemmer og embetsverket for et grundig og godt arbeid. Vi stiller oss bak flere av forslagene i rapporten, men ønsker likevel å legge til noen innspill.
På bakgrunn av dette oppfordrer innsenderne til å:
- gjennomføre en utredning av forbud mot adferdsbasert annonsering
- innstille på at offentlige og statlige direktorater, etater og kommuner slutter å bruke annonseløsninger som misbruker persondata fra 1. januar 2024
- følge EU og stille strengere krav til informasjon og åpenhet til politiske aktører som benytter seg av målretting og segmentering i annonseringen
si vis pacem, para iustitiam
interrobangit
☼
http://interrobangit.bloggplatsen.se/presentation
http://interrobangit.bloggplatsen.se/2024/04/27/11817408/
http://interrobangit.bloggplatsen.se/2024/04/21/11817099/
http://interrobangit.bloggplatsen.se/2024/04/20/11817030/
http://interrobangit.bloggplatsen.se/2024/04/14/11816691/
http://interrobangit.bloggplatsen.se/2024/04/13/11816630/
http://interrobangit.bloggplatsen.se/2024/04/07/11816298/
http://interrobangit.bloggplatsen.se/2024/04/06/11816229/
http://interrobangit.bloggplatsen.se/2024/03/31/11815835/
http://interrobangit.bloggplatsen.se/2024/03/30/11815777/
http://interrobangit.bloggplatsen.se/2024/03/24/11815431/
http://interrobangit.bloggplatsen.se/2024/03/23/11815377/
http://interrobangit.bloggplatsen.se/2024/03/17/11815023/
http://interrobangit.bloggplatsen.se/2024/03/16/11814964/
http://interrobangit.bloggplatsen.se/2024/03/10/11814616/
http://interrobangit.bloggplatsen.se/2024/03/09/11814550/
http://interrobangit.bloggplatsen.se/2024/03/03/11814215/
http://interrobangit.bloggplatsen.se/2024/03/02/11812481/
http://interrobangit.bloggplatsen.se/2024/02/25/11812482/
http://interrobangit.bloggplatsen.se/2024/02/24/11812483/
http://interrobangit.bloggplatsen.se/2024/02/18/11812484/
http://interrobangit.bloggplatsen.se/2024/02/17/11812485/
http://interrobangit.bloggplatsen.se/2024/02/11/11812486/
http://interrobangit.bloggplatsen.se/2024/02/10/11812487/
http://interrobangit.bloggplatsen.se/2024/02/04/11812488/
http://interrobangit.bloggplatsen.se/2024/02/03/11812471/
http://interrobangit.bloggplatsen.se/2024/01/28/11812472/
http://interrobangit.bloggplatsen.se/2024/01/27/11812473/
http://interrobangit.bloggplatsen.se/2024/01/21/11812474/
http://interrobangit.bloggplatsen.se/2024/01/20/11812475/
http://interrobangit.bloggplatsen.se/2024/01/14/11812476/
http://interrobangit.bloggplatsen.se/2024/01/13/11812477/
http://interrobangit.bloggplatsen.se/2024/01/07/11809673/
http://interrobangit.bloggplatsen.se/2023/12/31/11809080/
http://interrobangit.bloggplatsen.se/2023/12/24/11808436/
http://interrobangit.bloggplatsen.se/2023/12/17/11807843/
http://interrobangit.bloggplatsen.se/2023/12/10/11807032/
http://interrobangit.bloggplatsen.se/2023/12/03/11806437/
http://interrobangit.bloggplatsen.se/2023/11/26/11805948/
http://interrobangit.bloggplatsen.se/2023/11/19/11805462/
http://interrobangit.bloggplatsen.se/2023/11/12/11804748/
http://interrobangit.bloggplatsen.se/2023/11/05/11803843/
http://interrobangit.bloggplatsen.se/2023/10/29/11802910/
http://interrobangit.bloggplatsen.se/2023/10/22/11801623/
http://interrobangit.bloggplatsen.se/2023/10/15/11800702/
http://interrobangit.bloggplatsen.se/2023/10/08/11799349/
http://interrobangit.bloggplatsen.se/2023/10/01/11797103/
http://interrobangit.bloggplatsen.se/2023/09/24/11795905/
http://interrobangit.bloggplatsen.se/2023/09/17/11795095/
http://interrobangit.bloggplatsen.se/2023/09/10/11794600/
http://interrobangit.bloggplatsen.se/2023/09/03/11794088/
http://interrobangit.bloggplatsen.se/2023/08/27/11793398/
http://interrobangit.bloggplatsen.se/2023/08/20/11792985/
http://interrobangit.bloggplatsen.se/2023/08/13/11792494/
http://interrobangit.bloggplatsen.se/2023/08/06/11791981/
http://interrobangit.bloggplatsen.se/2023/07/30/11791456/
http://interrobangit.bloggplatsen.se/2023/07/23/11790886/
http://interrobangit.bloggplatsen.se/2023/07/16/11790435/
http://interrobangit.bloggplatsen.se/2023/07/09/11789982/
http://interrobangit.bloggplatsen.se/2023/07/02/11789494/
http://interrobangit.bloggplatsen.se/2023/06/25/11788958/
http://interrobangit.bloggplatsen.se/2023/06/18/11788358/
http://interrobangit.bloggplatsen.se/2023/06/11/11787767/
http://interrobangit.bloggplatsen.se/2023/06/04/11787315/
http://interrobangit.bloggplatsen.se/2023/05/28/11786823/
http://interrobangit.bloggplatsen.se/2023/05/21/11786357/
http://interrobangit.bloggplatsen.se/2023/05/14/11785856/
http://interrobangit.bloggplatsen.se/2023/05/07/11785348/
http://interrobangit.bloggplatsen.se/2023/04/30/11784837/
http://interrobangit.bloggplatsen.se/2023/04/23/11783864/
http://interrobangit.bloggplatsen.se/2023/04/16/11782994/
http://interrobangit.bloggplatsen.se/2023/04/09/11782445/
http://interrobangit.bloggplatsen.se/2023/04/02/11810271/
http://interrobangit.bloggplatsen.se/2023/03/26/11811111/
http://interrobangit.bloggplatsen.se/2023/03/19/11811112/
http://interrobangit.bloggplatsen.se/2023/03/12/11811113/
http://interrobangit.bloggplatsen.se/2023/03/05/11811114/
http://interrobangit.bloggplatsen.se/2023/02/26/11811115/
http://interrobangit.bloggplatsen.se/2023/02/19/11811116/
Innledning
Det vises til Kommunal- og distriktsdepartementets høringsbrev 14. november 2022 vedrørende Personvernkommisjonens utredning, NOU 2022:11 "Ditt personvern – vårt felles ansvar". Riksadvokaten har fått forlenget høringsfrist til 24. februar d.å
Personvernkommisjonens utredning gir et helhelhetlig og dekkende bilde av sentrale utviklingstrekk i samfunnet, og løfter relevante problemstillinger og utfordringer innen digitalisering og personvern. Det er utvilsomt slik at det må være oppmerksomhet om retten til personvern ved digitaliseringsprosesser på sentrale samfunnsområder.
Utredningen gir en rekke anbefalinger, 140 til sammen. Riksadvokatens merknader er begrenset til anbefalingene som er omhandlet i kapittel 7, Personvern i justissektoren, og særlig temaer som er relevante for politiet og påtalemyndigheten.
Riksadvokaten vil trekke frem to grunnleggende forutsetninger for et godt personvern. For det første må regelverket være tilstrekkelig presist og tydelig (og det må være god kompetanse om regelverket), og for det andre må det være bevissthet om viktigheten av personvern i dagens samfunn. Etter riksadvokatens syn vil en forenkling av regelverket og et kontinuerlig fokus på opplæring og kulturbygging være de mest effektive tiltakene for å ivareta personvernet samtidig som hensynet til en effektiv kriminalitetsbekjempelse iakttas.
Personvern i justissektoren – en rettssikkerhetsgaranti
Et overordnet mål er å finne en god balanse mellom personvern på den ene siden og samfunnets behov for effektiv kriminalitetsbekjempelse på den andre. Når kriminalitetsbekjempelse og forebygging løses på en ansvarlig måte slik lovgiver har forutsatt, er det riksadvokatens syn at grunnleggende personvernhensyn allerede skal være ivaretatt. Denne ansvarligheten er synliggjort i proporsjonalitetsprinsippet, hvor de ulike legitime hensyn veies opp mot hverandre.
Personvernkommisjonen uttaler at den ikke er enig i betraktningen i forarbeidene til politiregisterloven § 1 (Ot.Prp.nr. 108 (2008-2009)), hvor de angis at personvernet må vike for kriminalitetsbekjempelse der disse to hensyn ikke kan forenes. Etter riksadvokatens syn kan det ikke være riktig eller ønskelig generelt å gi enten hensynet til personvern eller hensynet til kriminalitetsbekjempelse forrang. Disse hensynene må balanseres konkret ved det enkelte inngrepet, og må blant annet vurderes ut fra kriminalitetstype og alvorlighet, samt hvilke personverninteresser som berøres.
Personvern i lovarbeid, implementering av politidirektivet i politiregisterloven og forenkling av regelverket
Riksadvokaten er enig i kommisjonens uttalelser (pkt. 7.4.1) om at personvernkonsekvenser må belyses grundig og eventuelt utredes som del av lovforarbeider. Ved enkelte lovforslag kan det antakelig være hensiktsmessig om Datatilsynet involveres tidlig i lovarbeidsprosessen.
Kommisjonen foreslår i pkt. 7.4.2.1 å implementere politidirektivet (Direktiv 2016/680) i politiregisterloven, og forenkle og forbedre regelverket.
Riksadvokaten er enig i at dagens regelverk er omfattende, komplisert og vanskelig tilgjengelig for samtlige brukere, og en støtter derfor kommisjonens anbefaling om at politiregisterloven bør forenkles og forbedres. Forslaget om en ytterligere harmonisering mellom politidirektivet og politiregisterloven fremstår fornuftig.
Riksadvokaten kan også slutte seg til høringsuttalelsen fra Kontrollutvalget for kommunikasjonskontroll om at det er lite hensiktsmessig at reglene om håndtering av informasjon fra skjult metodebruk er plassert i to ulike lover; straffeprosessloven og politiregisterloven. Det er særlig viktig at regelverket er klart og lett tilgjengelig på dette området.
Bruk av åpne kilder
Personvernkommisjonen fremholder at den er bekymret for "nedkjølingseffekter" som følge av politiets bruk av åpne kilder på nett, og at dette perspektivet må vektlegges ved utarbeidelse av interne instrukser og lignende, jfr. pkt. 7.4.2.2
Det er riksadvokatens oppfatning at så lenge politiregisterlovens krav om blant annet nødvendighet, formålsbestemthet og forholdsmessighet blir overholdt, er personvernperspektivet ved politiets innhenting av åpne kilder på nett tilstrekkelig ivaretatt
Åpenhet om politiets metodebruk og ny teknologi
Personvernkommisjonen anbefaler i pkt. 7.4.3 at det nedsettes et utvalg for å utrede metodebruk i justissektoren, og at utredningen bør omfatte personvernkonsekvenser av politiets metoder, særlig sett opp mot formålsprinsippet og proporsjonalitetsprinsippet.
Personvernkommisjonen legger videre til grunn at det er begrenset tilgjengelig informasjon om hvilke verktøy politiet anvender og hvordan personvernet ivaretas i praksis, noe en oppfatter som en del av bakgrunnen for utvalgets forslag om en utredning.
Etter riksadvokatens syn er det noe uklart om kommisjonens ønske om utredning gjelder politiets metodebruk ved bruk av åpne og skjulte tvangsmidler, eller politiets metoder ved bruk av ny teknologi (herunder bruk av analyseverktøy o.l.)
Dersom det siktes til politiets bruk av åpne og skjulte tvangsmidler, er riksadvokaten usikker på om det er et reelt behov for en ny gjennomgang av politiets metodebruk nå. Politiets metodebruk i etterforsking er i stor grad lovregulert og godt kjent i samfunnet. Det vises også til gjennomgangen og vurderingene som ble gjort i Prop.68 L (2015–2016) Endringer i straffeprosessloven mv. (skjulte tvangsmidler). Spaning, infiltrasjon og provokasjon er ikke lovregulert. Metodene er omhandlet og foreslått lovregulert i NOU 2016:24.1
Riksadvokaten er også usikker på om det er behov for en utredning om politiets mer generelle bruk av ny teknologi, dersom det er dette kommisjonen foreslår. Hva gjelder åpenhet og muligheter for kontroll ved politiets anskaffelser av verktøy og bruk av ny teknologi, vises det til høringsuttalelsen fra Kripos pkt. 7.4.5.1
Effektiv domstolskontroll
Kommisjonen foreslår i pkt. 7.4.4 å innføre et tillegg i straffeprosessloven § 170 a for å sikre at den samlede bruken av ulike etterforskingsmetoder ikke utgjør et uforholdsmessig inngrep.
Allerede i dag er det et krav om at forholdsmessigheten må vurderes i lys av den samlede metodebruken. Dette er kommet til uttrykk blant annet i flere av riksadvokatens pålegg og retningslinjer de senere år, senest i Midlertidige retningslinjer for bruk av mobilt kamera (drone mv.) i etterforsking 10. februar 2023 pkt. 4, hvor det fremkommer følgende: "Benyttes andre skjulte etterforskingsmetoder i kombinasjon, skal det ses hen til det samlede inngrepet". En kodifisering av prinsippet i straffeprosessloven § 170 a er etter riksadvokatens syn hensiktsmessig.
Anskaffelse av ny teknologi
Personvernkommisjonen anbefaler i pkt. 7.4.5.3 et generelt forbud mot bruk av ansiktsgjenkjenning og annen biometrisk fjernidentifikasjon i offentlige rom.
Riksadvokaten støtter ikke forslaget om et generelt forbud, og mener spørsmålet om virkemiddelet kan være aktuelt i enkelte tilfeller – i praksis for å avverge eller etterforske den alvorligste kriminaliteten – må utredes ytterligere.
Utlevering av straffesaksdokumenter til advokater
Riksadvokaten deler bekymringen som kommer til uttrykk i pkt. 7.4.7.2, om faren for spredning av straffesaksopplysninger etter at disse er utlevert til sakens parter.
Som Oslo statsadvokatembeter, støtter vi kommisjonens anbefaling om at Justis- og beredskapsdepartementet bør etablere en samhandlingsplattform for å få bedre kontroll på tilgjengeliggjøring av straffesaksdokumenter. Se også for eksempel årsrapporten for 2021 s. 16 fra Kontrollutvalget for kommunikasjonskontroll om politiets utfordringer med å inndrive materiale fra forsvarer.2
Tilsyn og kontroll med behandlingen av personopplysninger
Riksadvokaten er enig i at det bør vurderes om mandatet til Kontrollutvalget for kommunikasjonskontroll bør utvides til å omfatte kontroll med andre av politiets metoder enn kommunikasjonskontroll, romavlytting og dataavlesning, jf. pkt. 7.4.8 Kontrollutvalget utøver utvilsomt en viktig kontroll av politiets skjulte metodebruk, og deres ressurser og kompetanse bør brukes der behovet for kontroll er størst.
Det bør i så fall også utredes om behandlingen av begjæringer om skjulte metoder fra politiet til domstolene kan behandles digitalt i domstolene slik at hensyn til personvern og informasjonssikkerhet ivaretas på en bedre måte enn i dag.
LES RESTEN på ► https://www.regjeringen.no/contentassets/eedca48374fe43b9bda52674db66edeb/riksadvokaten.pdf?uid=Riksadvokaten
2.5 Forbrukernes personvern
Datatilsynet støtter samtlige av Personvernkommisjonens anbefalinger knyttet til forbrukernes personvern i kapittel 9, og det er positivt at kommisjonen kommenterer forbrukerbegrepet innledningsvis i kapittelet. Vi ønsker samtidig å kommentere enkelte av punktene.
Tilsyn og håndheving
Vi ønsker velkommen Personvernkommisjonens anbefalinger om regulering av, og tilsyn med, informasjonskapsler og liknende sporingsteknologier. Vi viser i den forbindelse til Datatilsynets og Forbrukertilsynets felles høringsuttalelse til forslaget om ny ekomlov.
Lovprosesser i EU
Vi er enige i at regjeringen bør påvirke personvernrelaterte lovprosesser i EU for å sikre interessene til norske forbrukere og virksomheter. Dette fordrer at regjeringen engasjerer seg tidlig nok i prosessene og at Norges handlingsrom til å komme med innspill utnyttes godt.
Atferdsbasert målretting av både kommersielle og ikke-kommersielle budskap kan medføre særlige utfordringer. Illustrerende og reelle eksempler inkluderer politisk mikromålretting, målretting av reklame for ugunstige kredittløsninger mot personer man antar har betalingsproblemer, og målretting av brukerinnhold som fremmer spiseforstyrrelser mot tenåringer som har vist interesse for kosthold og trening. Algoritmene og anbefalingssystemene bruker kunstig intelligens. Vi mener derfor at regjeringen bør argumentere for strengere regulering av slike algoritmer i EUs «AI Act». Tilsvarende bør regjeringen engasjere seg i EUs lovforslag om politisk markedsføring, også når det gjelder åpenhet.
Når det gjelder det lovtekniske, mener vi det er viktig med klare regler som levner minst mulig rom for tolkningstvil for å sikre like spilleregler mellom markedsaktørene. Der forbud og begrensninger er aktuelt, bør man unngå at reglene kan fravikes ved samtykke, siden dette kan føre til «dulting» av forbrukere og samtykketretthet. På den annen side bør lovgivningen gi innbyggerne reelle og meningsfulle valgmuligheter der dette er passende.
Atferdsbasert markedsføring
Kommisjonen nevner at forordningen om digitale tjenester («Digital Services Act», DSA) skal bidra til større demokratisk kontroll med internettbaserte tjenester og plattformer. Vi gjør oppmerksom på at ikke alle typer aktører i de digitale økosystemene vil måtte følge kravene i DSA. Regjeringen bør derfor vurdere om enkelte av reglene i DSA kan og bør gjelde mer generelt, for eksempel reglene om markedsføring, manipulerende design og anbefalingsalgoritmer.
Datatilsynet deler for øvrig Personvernkommisjonens syn knyttet til et føre var-prinsipp når det gjelder atferdsbasert markedsføring mot barn. Vi frykter at digitale plattformer vil tillate atferdsbasert markedsføring mot barn under henvisning til at de ikke med rimelig sikkerhet vet hvilke brukere som er mindreårige.
Barn er imidlertid ikke den eneste sårbare gruppen på nett. Vi støtter Personvernkommisjonens flertall i at et generelt forbud mot atferdsbasert markedsføring må utredes.
Atferdsbasert markedsføring kan ha skadevirkninger både for individer og for demokratiet vårt.
Kommisjonens mindretall argumenterer mot utredning fordi et forbud etter mindretallets oppfatning vil være uforholdsmessig når atferdsbasert markedsføring kan gjøres forsvarlig. Datatilsynet er av den oppfatning at denne argumentasjonen ikke står seg, av flere grunner. Vi mener for det første at en utredning må komme før en konklusjon, og ikke omvendt. For det andre vil en utredning gi oss et bedre beslutningsgrunnlag. For det tredje er problemet at store deler av markedet ikke kan eller vil opptre forsvarlig. For det fjerde er en overlappende utredning allerede besluttet av Stortinget, se Stortingsvedtak 196 (2022–2023).
Vi ber om at omfanget av en utredning ikke defineres for snevert – digitale tjenester medfører beslektede utfordringer som kan kreve ulike løsninger. For eksempel bør man ikke begrense seg til atferdsbasert markedsføring, selv om dette bør være kjernen i utredningen. Også atferdsbasert målretting av ikke-kommersielt innhold, som rangering og forsterkning av brukerinnhold på sosiale medier, kan innebære inngripende sporing og profilering eller true rettigheter, friheter og demokrati. En fremtidig utredning bør derfor også ta for seg slik målretting av ikke-kommersielt innhold.
Vi mener det er mulig med effektiv regulering, også på nasjonalt nivå. Selv om Norge har begrenset handlingsrom til å særregulere behandling av personopplysninger innenfor rammene av EØS-avtalen, har vi trolig handlingsrom til å regulere en rekke forretningspraksiser og teknologier som forutsetter personopplysninger. Utredningen må ta stilling til hvilken innretning slik regulering kan og bør ha. Mulige handlingsrom kan være:
• Å forby eller begrense visse former for markedsføring, som atferdsbasert markedsføring. Her ligger også en mulighet til å utrede videre hvordan «atferdsbasert markedsføring» bør defineres, altså hvilke praksiser man ønsker å forby.
• Å regulere atferdsbasert målretting av kommersielle og ikke-kommersielle budskap på bestemte samfunnsområder eller i bestemte kommunikasjonskanaler, på samme måte som politisk markedsføring på TV er særregulert.
• Å regulere teknologier som utnytter brukernes underbevissthet for å foreta valg, fange deres oppmerksomhet eller manipulere dem.
• Å regulere enkelte algoritmiske beslutningsprosesser.
• Å regulere i kontekst av diskrimineringslovgivningen.
• Adtech-økosystemet kan føre til at sensitive opplysninger deles med fremmede makter. Norge kan ha handlingsrom til regulering i kontekst av lovgivning om nasjonal sikkerhet.
Særlig om barn og unges personvern
Vi er i likhet med Personvernkommisjonen særlig bekymret for barns og unges personvern på nett. Vi mener det er stort behov for å utrede hvordan barns rettigheter og friheter kan ivaretas på digitale flater. Dette gjelder både når barn selv deler sine personopplysninger, og tilfeller hvor barns personopplysninger blir delt av andre, for eksempel foreldre.
Datatilsynet ser særlig utfordringer knyttet til foreldres og tredjeparters eksponering av barns personopplysninger åpent på nett. Konsekvensene av dette er at foreldre selv gjennom sin digitale atferd risikerer å krenke barns rett til personvern. Det kan for eksempel være foreldre som gjennom egne kanaler deler privat informasjon om barnet på nett i forbindelse med konflikt med barnevernet, eller at foreldre samtykker til at en tredjepart får dele personopplysninger om barnet gjennom sine kanaler.
Reguleringen knyttet til lovligheten av en slik type eksponering er krevende. Det oppstår blant annet et spenningsfelt i forholdet mellom barnets rett til personvern og foreldrenes eller tredjepartens ytringsfrihet. Slike saker reiser også kompliserte spørsmål om foreldres samtykkekompteanse på vegne av barnet.
Vi ser positivt på at det i forslaget til ny barnelov er tatt inn en bestemmelse som vil gi foreldrene en plikt til å ta hensyn til barnets rettigheter når de samtykker på vegne av barn. Det er imidlertid uklart hvordan bestemmelsen i barneloven skal håndheves og virke sammen med øvrig regulering i personvernregleverket. Dette gjelder blant annet spørsmål om behandlingsgrunnlag og den avveiningen som må gjøres mellom ytringsfrihet og personvern i medhold av personopplysningsloven § 3. Vi mener derfor det er behov for en nærmere utredning av hvorvidt lovreguleringen på området ivaretar barnas rett til personvern på en god nok måte.
Datatilsynet støtter videre personvernkommisjonens anbefaling om å forebygge personvernutfordringer i forbindelse med deling av innhold på nett gjennom bevisstgjøring og kompetanseheving. Dette kan for eksempel skje gjennom obligatorisk veiledning på helsestasjon, i barnehage og på skole.
2.6 Regelkompleksitet og nasjonalt handlingsrom
Datatilsynet støtter de fleste av Personvernkommisjonens anbefalinger knyttet til regelkompleksitet og nasjonalt handlingsrom i kapittel 10, men ønsker å knytte særskilte merknader til to av dem.
Ideelle organisasjoners rett til å opptre på vegne av registrerte
Kommisjonen foreslår å gi ideelle organisasjoner rett til å klage til Datatilsynet uten fullmakt fra én eller flere registrerte, slik regelverket krever i dag.
Vi kan ikke se at det er noe dokumentert behov for å endre den ordningen som allerede følger av gjeldende rett. Vi viser til personvernforordningen artikkel 77, som gir enkeltindividet en slik klagerett, og til artikkel 80, som bestemmer at ideelle organisasjoner kan klage på den registrertes vegne. Innføringen av personvernforordningen innebar en betydelig styrking av individets klagerett, samtidig som forordningen presiserte at ideelle organisasjoner også kan representere klager overfor tilsynsmyndighetene. Vi mener denne ordningen virker etter sin hensikt, både nasjonalt og internasjonalt. Forbrukerrådet – som har gjennomført gode utredninger som har avdekket systematiske feil og prinsipielle personvernproblemstillinger, i tillegg til uheldig eller ulovlig forretningspraksis – er et godt eksempel på organisasjoner som bruker dette handlingsrommet allerede.
Dersom det vurderes å gå videre med et slikt forslag, må konsekvensene for Datatilsynet utredes. Vår kapasitet til å behandle slike klagesaker er allerede i dag svært presset. Kommisjonen ser ikke ut til å ha forutsatt dette i kapittel 14.
Tiltak for å forbedre lovtekster uten å gjøre innholdsmessige endringer
Datatilsynet stiller seg spørrende til kommisjonens utgreiing på dette punktet. For eksempel har man i ny ekomlov foreslått å kopiere definisjonen av samtykke i personvernforordningen artikkel 4 nr. 11, i stedet for å henvise til personvernforordningen. Problemet er at samtykke i forordningen også må forsås i lys av fortalen og andre bestemmelser, slik som artikkel 6, 7 og 8. Ved å kopiere definisjonen går dette tapt. Det er videre høyst uklart hva slags informasjonsbestemmelser kommisjonen ser for seg og hvorvidt en justering av dem faktisk vil redusere eller øke graden av uklarhet i regelverket.
2.7 Teknologi i personvernets tjeneste
Datatilsynet stiller seg bak anbefalingene kommisjonen gir i kapittel 11, og kommer med innspill til hvordan anbefalingene kan implementeres i avsnittene under.
Personvernkommisjonen mener tilsynsmyndigheter bør gi råd til privatpersoner om hvordan de kan bruke teknologi for å beskytte seg mot ulovlig eller uønsket behandling, og gi konkret anvisning på aktuelle verktøy. Datatilsynet gir allerede i dag privatpersoner veiledning knyttet til enkeltindividets rettigheter og friheter, både via nettsidene, vår veiledningstjeneste og i saksbehandlingen. Slik situasjonen er i dag, har imidlertid ikke Datatilsynet ressurser til å gi konkrete anvisninger på bruk av ulike verktøy.
Personvernkommisjonen mener det bør treffes tiltak for å skape tydeligere plikter til å bygge personvern inn i tekniske og organisatoriske løsninger. Kommisjonen er i tvil om i hvilken grad det er adgang til slik klargjøring innenfor rammene av personvernforordningen. Vi tror at adgangen til å gjøre nasjonale tilpasninger her er begrenset.
Personvernkommisjonen uttaler at det er viktig å konkretisere plikten til å bygge inn personvern på måter som fremmer åpenhet om behandling av personopplysninger. Kommisjonen argumenterer for eksempel for at de registrerte bør gis direkte tilgang til egne personopplysninger, uten å måtte kreve innsyn først. Vi er enige med kommisjonen på dette punktet, og alle virksomheter som behandler personopplysninger i en viss utstrekning kan med fordel sørge for å få på plass slike løsninger.
Reglene om innebygd personvern, åpenhet og ansvar må gjerne synliggjøres i opplæringsloven og i universitets- og høgskoleloven, slik kommisjonen foreslår. Vi vil i så fall anbefale at det samtidig vurderes inntatt relevante henvisninger til det generelle regelverket i personopplysningsloven og personvernforordningen.
Personvernkommisjonen anbefaler at norske myndigheter stimulerer til utvikling av norsk personvernteknologi. Tiltak kan inkludere anskaffelseskrav i offentlig sektor, forskningsmidler for å utvikle personvernfremmende teknologi, og forskjellige 13 bevilgningsordninger. Datatilsynet har tro på at dette kan fremme både innovasjon og digitalisering innenfor de rammene vi ønsker i Norge og Europa. Vi ser også for oss at Datatilsynet kan spille en viktig rolle i en slik sammenheng, på grunn av erfaringene våre med den regulatoriske sandkassen, som nettopp har som formål å fremme innovasjon og ansvarlig bruk av kunstig intelligens.
2.8 Åpenhet
Kommisjonen mener at åpenhet er spesielt viktig når det skal tas beslutninger som har direkte betydning for innbyggernes plikter, rettigheter, friheter og muligheter. Dette kan for eksempel dreie seg om hvorvidt man får innvilget et lån eller barnetrygd. Kommisjonen anbefaler at full forklarbarhet må være det klare utgangspunktet, og at lavere standarder kun bør aksepteres når effektene antas å være ubetydelige.
I tillegg anbefaler kommisjonen at offentlige myndigheter og andre innflytelsesrike samfunnsaktører kontinuerlig må ha som en av sine viktigste oppgaver å styrke åpenheten knyttet til anvendelse av digital teknologi med direkte betydning for innbyggernes plikter, rettigheter, friheter og muligheter.
Vi støtter begge disse standpunktene, og vi mener at åpenhet blir spesielt viktig i årene som kommer, når samfunnsfunksjoner og tjenester digitaliseres og algoritmer i økende grad brukes til å analysere oss, og til å ta avgjørelser om oss.
2.9 Veiledning, tilsyn, klager og Datatilsynets organisasjon
I utredningens kapittel 13 går kommisjonen blant annet inn på Datatilsynets rolle, oppgaveutføring og budsjett. Vi mener det er positivt at kommisjonen tar opp disse temaene på eget initiativ.
Kommisjonen understreker at et «velfungerende tilsynsorgan er et nødvendig premiss for å sikre innbyggernes personvern», og at tilstrekkelige ressurser er en forutsetning for et velfungerende tilsynsorgan. Vi stiller oss bak kommisjonens uttalelser, og vi viser til omtalen nedenfor i pkt. 2.10, hvor konsekvensene av mangelfulle ressurser i tilsynet er nærmere beskrevet.
Det er også statens rettslige forpliktelse å sikre et slikt velfungerende tilsynsorgan, se personvernforordningen artikkel 52 nr. 4, jf. fortalepunkt 120.
For øvrig hadde vi gjerne sett at Datatilsynets uavhengighet, jf. artikkel 52, var blitt gjort til gjenstand for en noe grundigere omtale. Etter vår mening har tilsynets uavhengighet betydning for flere av spørsmålene kommisjonen tar opp i kapittel 13.
Spesielt om behovet for veiledning
Kommisjonen trekker frem at det er et stort behov for informasjon og veiledning om personvernregelverket. Kommisjonen uttaler at den ser at det kan være uheldig at samme organ både skal gi veiledning, fatte avgjørelser, utføre tilsyn og drive med kontrollvirksomhet.
Vi viser til at Datatilsynets lovpålagte oppgaver er beskrevet i personvernforordningen artikkel 57. Her er det blant annet slått fast at tilsynsmyndigheten skal drive med ulike former for informasjons- og veiledningsarbeid, og at tilsynsmyndigheten også skal føre kontroll med og håndheve anvendelsen av regelverket.
Tilsynet opplever at det er et stort veiledningsbehov både hos virksomheter og enkeltpersoner. På grunn av ressurssituasjonen har vi dessverre måttet nedprioritere mange forespørsler om veiledningsmøter. Vi har også begrensede ressurser til å videreutvikle nettsidene våre, selv om de er oppdatert på innhold.
Kommisjonen foreslår at også andre myndigheter enn Datatilsynet bør veilede om «personvernspørsmål som direkte er knyttet til deres myndighetsområde». I så fall er det viktig å sikre at veiledning og tolkning av personvernregelverket er konsekvent på tvers av sektorer, og at det er bevissthet om Datatilsynets rolle som regelverksforvalter og -håndhever på personvernområdet.
Datatilsynets rolle ved utforming av lover og forskrifter
Det er svært positivt at Kommisjonens trekker frem Datatilsynets rolle i forbindelse med forberedelse av nasjonal lovgivning og andre administrative tiltak. Vi er enige i at Datatilsynet bør involveres i flere lov- eller forskriftsprosesser for å sikre at personvernhensyn blir ivaretatt på riktig tidspunkt i prosessen.
Etter vår vurdering er det klart at forordningens artikkel 36 nr. 4 forutsetter en annen type involvering enn alminnelige lov- eller forskriftshøringer. Andre europeiske tilsynsmyndigheter deler denne forståelsen, blant annet myndighetene i Tyskland (BfDi) og Storbritannia (ICO). ICO har i et brev til den skotske regjeringen vist til følgende:
«Consultation is directly with the ICO and is separate from any public consultation, which would not satisfy the [article 36(4)] requirements. Consultation should be undertaken during the formative stages of the developments of policy, to ensure that there is opportunity to give due consideration to input from the ICO before the outputs are finalised».
Vår forståelse er for øvrig at rådføringsplikten i artikkel 36 nr. 4 utløses ved arbeider med lover eller forskrifter som innebærer en høy risiko for personvernet, jf. også artikkel 35 nr. 1. Her er det ulike synspunkter blant øvrige europeiske tilsynsmyndigheter. I Tyskland er for eksempel den føderale myndigheten involvert i alle prosesser som berører behandling av personopplysninger. En slik ordning ville neppe være gjennomførbar i Norge, i alle fall ikke med dagens ressurssituasjon i Datatilsynet.
Uansett er det klart at økt involvering i arbeidet med å forberede lover og forskrifter, og eventuelt andre administrative tiltak, vil gi behov for økte ressurser til Datatilsynet.
2.10 Økonomiske og administrative konsekvenser
I kapittel 14 er det foreslått en rekke tiltak som krever oppfølging av andre aktører enn Datatilsynet. Datatilsynet mener det er naturlig at det må følge ressurser med tiltakene for at de skal være mulig å gjennomføre i praksis. I dette høringssvaret fokuserer vi på mulige administrative og økonomiske konsekvenser for Datatilsynet.
Kommisjonen anbefaler en generell styrking av Datatilsynet. Vi er selv av den oppfatning at det ikke lenger er samsvar mellom de oppgavene som vi er satt til å løse og de ressursene vi har. Det vi erfarer, etter å ha tilpasset oss ny lovgivning og ny oppgaveløsning, er at vårt mandat og samfunnsoppdrag suksessivt har økt i både omfang og kompleksitet. Statistikken over innkomne saker peker oppover på alle områder. Det er ingenting som tyder på at dette vil endre seg med det første.
Datatilsynet har hatt en stor økning av saker, både i volum og kompleksitet. Vi har blant annet erfart en særlig økning i antall avviksaker og klagesaker og oppgaver som er knyttet til harmonisering og samordning mellom EUs datatilsynsmyndigheter. Mange virksomheter etterlyser nå også flere stedlige tilsyn fra Datatilsynet
Den lovpålagte behandlingen av klager fra enkeltindivider binder opp svært mye ressurser hos Datatilsynet, og fører i dag til at vi har begrensede muligheter til å prioritere. Ofte må selvinitierte tilsynsaktiviteter vike for klagesakene, selv om førstnevnte kan fremstå som viktigere eller er egnet til å gi større effekt, både for enkeltindivider og for samfunnet.
Internasjonalt arbeid og samordning er også en kjerneoppgave og helt nødvendig ettersom mye av rettsdannelsen skjer i EU. Det er en rekke krav og frister som må overholdes i disse sakene og sakene er ofte komplekse og svært ressurskrevende. Ny lovgiving fra EU berører Datatilsynet og krever ressurser å følge opp.
Det gjeldende personvernregelverket er komplisert og oppleves av mange som vanskelig tilgjengelig. Det er fortsatt begrensede rettskilder, og det er en klar forventning fra både offentlige og private virksomheter at Datatilsynet skal gi informasjon, utvikle veiledningsmateriell og selvhjelpsverktøy slik at regelverket kan etterleves.
Mangel på ressurser er også noe våre nordiske tilsynskollegaer erfarer. Vi ser imidlertid at øvrige skandinaviske tilsyn styrkes for å møte utfordringene. Etter det vi erfarer, har for eksempel IMY, det svenske Datatilsynet, i den svenske regjeringens budsjettforslag 2022 fått en økt ramme på 56 millioner kroner de neste to årene, hvorav 48 millioner i 2023. Til sammenligning var det norske Datatilsynets totale budsjett for 2022 på ca. 71 millioner kroner.
I tillegg til våre eksisterende oppgaver kommer kommisjonen med en rekke forslag som vil kreve ressurser og ha økonomiske konsekvenser for oss. Her er noen eksempler på forslagene som utløser ressursbehov:
• Forslaget om at departementene i større grad skal rådføre seg med Datatilsynet i lovog forskriftsarbeider. 16
• Forslaget om utredning av forbud mot atferdsbasert markedsføring – behovet for økte midler til Datatilsynet må vurderes, ettersom et slikt forbud trolig vil medføre ekstra oppgaver.
• Forslaget om å legge ansvar for håndheving av informasjonskapsler og lignende sporingsteknologi til Datatilsynet.
• Forslaget om at flere myndigheter veileder om personvern vil kreve koordineringsarbeid og oppfølging fra Datatilsynet for å sikre enhetlig tolkning av regelverket på tvers av sektorer.
Norge trenger et effektivt og slagkraftig datatilsyn for å hjelpe norske virksomheter i privat og offentlig sektor å ivareta personvernet til innbyggerne. Vi støtter derfor kommisjonens anbefaling om en styrking av tilsynet.
3. Avslutning
1. Innledning
Vi viser til høringsbrevet av 11. november 2022, med invitasjon til å komme med høringsuttalelse til Personvernkommisjonens utredning, NOU 2022:11 Ditt personvern – vårt felles ansvar.
Personvernkommisjonen har levert en grundig, god og viktig utredning. Vi håper derfor at NOU-en vil bli fulgt opp med konkrete tiltak som kan styrke personvernet, både for enkeltindividet og for samfunnet i sin helhet.
Datatilsynet syns det er svært positivt at NOU-en setter personvern på dagsordenen og ønsker spesielt å vise til at kommisjonen etterlyser en nasjonal personvernpolitikk. Vi har også merket oss at kommisjonen trekker frem den gjennomgående tendensen til at digitaliseringen skjer på bekostning av personvernet, noe som etter tilsynets oppfatning underbygger viktigheten av et styrket datatilsyn i Norge.
I tillegg til behovet for en nasjonal personvernpolitikk, ønsker vi spesielt å trekke frem tre områder hvor vi mener det er særlig viktig med snarlig oppfølging og handling:
• Personvern i skolene og barnehagene
• Utredning av et forbud mot atferdsbasert markedsføring
• Styrking av Datatilsynet
Godt personvern er viktig i alle sektorer. I dette høringssvaret har vi først og fremst valgt å kommentere de anbefalingene i NOU-en vi mener kan ha størst positiv effekt for personvernet.
Vi tillater oss å peke på at viktige områder innen forsvars- og justissektoren dessverre ikke har blitt innfortolket som en del av Personvernkommisjonens mandat. Dette gjør at vi nå ikke får en nødvendig diskusjon om for eksempel overvåkningstiltak i regi av de hemmelige tjenestene, tilrettelagt innhenting av kommunikasjonsdata, lagring av IP-adresser, overvåking av flypassasjerer og innhenting av personinformasjon fra åpne kilder.
De seneste årene har vi sett en rekke ulike initiativer som har skullet legge til rette for innhenting og lagring av personopplysninger fra digitale kilder i stor skala. Det dreier seg om tiltak som kan virke svært inngripende, og som kan ha stor innvirkning på personvernet til folk flest. Vi har flere ganger pekt på at tiltakene som er foreslått har vært i strid med grunnleggende menneskerettigheter, og at konsekvensene ved å innføre tiltakene er mangelfullt utredet. Internasjonale domstoler har også konkludert med det samme i lignende saker i andre land vi normalt sammenligner oss med.
Vi mener at en analyse av den samlede situasjonen for vårt kollektive personvern blir ufullstendig uten en gjennomgang av de initiativene som er tatt i forsvars- og justissektoren.
2. Datatilsynets merknader
2.1 Hva er personvern, rettslig rammeverk og teknologiske drivkrefter – en nasjonal personvernpolitikk
Utredningens innledende kapittel og første del tegner et bilde av en digitaliseringsprosess som i stor grad har skjedd på bekostning av personvernet. Kommisjonen foreslår en nasjonal personvernpolitikk for å legge føringer for digitaliseringen av samfunnet, i tillegg til det som følger av lovgivningen. En slik politikk vil kreve at personvern i større grad løftes ut av ekspertsirklene og gjøres til et relevant og viktig spørsmål i samfunnsdebatten, i kommunestyrer og på Stortinget. Kommisjonen forslår at regjeringen legger frem en personvernpolitisk redegjørelse for Stortinget årlig, forankret i gjeldende personvernpolitikk. Vi mener at en nasjonal personvernpolitikk er nødvendig, og vi støtter anbefalingen.
Kommisjonen skriver at en nasjonal personvernpolitikk må se personvernet i et helhetlig perspektiv. Kommisjonen peker også på at det i dag ikke finnes noen offentlig virksomhet med et overordnet ansvar for å vurdere den samlede bruken av personopplysninger i offentlig forvaltning. Dette fører, ifølge kommisjonen, til at det er svært vanskelig å vurdere den samlede effekten av potensielt inngripende tjenester, tiltak eller lovendringer. Dette er utfordringer Datatilsynet har pekt på i flere sammenhenger og vi er enige i at utfordringen fortjener å løftes opp på det rikspolitiske nivået.
Videre peker kommisjonen på at en nasjonal personvernpolitikk må fremme personvernvennlig innovasjon. Datatilsynet har gjennom flere år arbeidet strategisk for dette, blant annet gjennom den regulatoriske sandkassen for kunstig intelligens og med veiledningen vår om programvareutvikling med innebygd personvern. Vi støtter derfor opp under forslaget. At offentlig sektor bør gå foran, blant annet ved å bruke sin betydelige innkjøpsmakt for å stimulere til fremveksten av personvernvennlige produkter og tjenester, er likeledes et forslag vi stiller oss bak.
I kapittel 5 redegjør kommisjonen for teknologiske utviklingstrekk med betydning for personvernet. Kommisjonen støtter et generelt forbud mot biometrisk fjernidentifikasjon i det offentlige rom, for eksempel ansiktsgjenkjenningsteknologi. Et slikt forbud er tatt inn i forslaget til forordning om harmoniserte regler for kunstig intelligens i EU («AI Act»).
Vi anbefaler et generelt forbud, og vi støtter også Personvernkommisjonens anbefaling om at norske myndigheter bør arbeide opp mot EU for å få gjennomført et forbud.
Vi støtter også den mer generelle anbefalingen i kapittel 5 om at føre-var-prinsippet bør gjelde når «teknologi med særlig høy risiko for personvernet vurderes innført".
2.2 Personvern i den digitale forvaltningen
I kapittel 6 gjennomgår kommisjonen personvernets stilling i den digitale forvaltningen. Datatilsynet mener kommisjonen trekker frem viktige forhold knyttet til digitaliseringen av offentlig sektor og utfordringer dette kan medføre for personvernet.
Vi støtter anbefalingene kommisjonen foreslår. Under vil vi komme med noen utdypende kommentarer.
Offentlige myndigheters behandling av personopplysninger – deling og viderebruk Kommisjonen gir en grundig gjennomgang av de menneskerettslige og personvernrettslige kravene til offentlige myndigheters behandling av personopplysninger.
Vi mener det er viktig å løfte frem disse overordnede perspektivene i diskusjoner om personvern i det offentlige Norge.
Kommisjonen angir at det er behov for sterkere parlamentarisk kontroll med ny lovgivning som påvirker innbyggernes personvern. Dette forutsetter at Stortinget settes i stand til å gjøre gode vurderinger, blant annet ved at personvernkonsekvensene av lovforslag er synliggjort på en grundigere og mer balansert måte. På den måten vil Stortinget få best mulig forutsetninger for å gjøre gode avveininger og verdivalg. Vi støtter også målsettingen om økt personvernkompetanse i forvaltningen, særlig i forbindelse med regelverksarbeid.
Videre legger kommisjonen til grunn at en ordinær høringsrunde i forbindelse med utarbeidelse av lovgivning ikke er tilstrekkelig til å ivareta rådføringsplikten som fremgår av personvernforordningen artikkel 36 nr. 4. Ikke bare er det et lovfestet krav, det vil også være formålstjenlig og fornuftig å involvere Datatilsynet tidligere i mange regelverksprosesser. Vi er derfor helt enige i anbefalingen om at det bør utredes om rådføringsplikten etterleves i tilstrekkelig grad i dag.
Kommisjonen anbefaler å etablere et frittstående og rådgivende organ som har overordnet ansvar for å se offentlige digitaliseringstiltak og lovgivningen i sammenheng på tvers av sektorer. Vi mener at en slik koordinering vil kunne være et godt tiltak for å sikre helhetlig ivaretakelse av personvernet i offentlig sektor. Vi stiller oss også bak forslaget om større grad av sentraliserte anbefalinger og krav til IKT-sikkerheten i det offentlige.
Kommisjonen anbefaler at man i større grad gjør bruk av muligheten til å lov- eller forskriftsfeste ansvarsforholdene der opplysninger skal deles på tvers av offentlige myndigheter. Datatilsynet deler kommisjonens oppfatning. Økt bruk av lov- og forskriftshjemler for å plassere ansvar vil være et viktig tiltak for å sikre ivaretakelse av de registrertes rettigheter og forhindre ansvarspulverisering.
Vi ser positivt på kommisjonens anbefaling om å utforske hvorvidt tekniske løsninger for deling av informasjon mellom offentlige organer også kan benyttes til å øke graden av samtykkebasert deling. En slik tilnærming vil styrke innbyggernes kontroll over egne personopplysninger. Samtidig vil offentlige myndigheters behov for tilgang til informasjon om den enkelte innbygger ivaretas.
Kommisjonen har pekt på «kun én gang»-prinsippet, som ligger til grunn for digitaliseringen av offentlig sektor. Det er en forventning hos mange innbyggere at personopplysninger man har delt med det offentlige er tilgjengelige for relevante myndigheter. Dette er et viktig hensyn bak dagens digitaliseringsstrategi.
En slik tilnærming forutsetter likevel gode mekanismer for å kunne følge opp opplysningenes korrekthet. Deling og bruk av feilaktige opplysninger kan få alvorlige konsekvenser for enkeltpersoner. Det har vi erfart i vårt tilsynsarbeid, for eksempel gjennom saker der personer feilaktig har blitt registrert som døde i Folkeregisteret.
Vi ser positivt på at kommisjonen har løftet frem underretningsplikten den behandlingsansvarlige har etter personvernforordningen artikkel 19. En riktig praktisert underretningsplikt vil være et viktig virkemiddel for å hindre at ikke-korrekte personopplysninger spres og brukes videre til nye formål.
Automatisering av beslutningsprosesser Datatilsynet stiller seg bak kommisjonens vurderinger av fordelene og ulempene ved automatiserte beslutningsprosesser og beslutningsstøtteverktøy. Hensynet til likebehandling, transparens, forutberegnelighet og effektivitet kan bli bedre ivaretatt, mens bruk av feilaktig informasjon, feiltolking av lovverket og manglende forvaltningsskjønn i automatiserte prosesser kan få store konsekvenser. Særlig vil menneskelig inngripen være et viktig tiltak for å unngå disse fallgruvene.
Datatilsynet mener det er gode grunner til å følge tett med på utviklingen når stadig mer komplekse avgjørelser forventes å skulle fattes ved hjelp av, eller i sin helhet av, automatiserte beslutningssystemer. Vi støtter kommisjonens anbefaling om størst mulig grad av lovregulering av offentlige automatiseringstiltak.
Profilering Datatilsynet deler kommisjonens vurdering av at profilering til kontrollformål alltid bør anses som en inngripende behandling av personopplysninger. Selv om profilering av innbyggere kan medvirke til målrettet og effektiv utøvelse av forvaltningens oppgaver, medfører det samtidig en iboende stor risiko for urimelig forskjellsbehandling eller diskriminering. Det er 5 liten tvil om at dette på lengre sikt kan føre til nedkjølingseffekter i befolkningen, slik også kommisjonen peker på.
2.3 Personvern i justissektoren
Datatilsynet mener kommisjonen trekker frem sentrale utfordringer i justissektoren og støtter i all hovedsak de foreslåtte anbefalingene i utredningens kapittel 7. Vi vil nedenfor kommentere enkelte utfordringer og anbefalinger.
Datatilsynet merker seg at kommisjonen har hatt utfordringer med å få innsikt i politiets metodebruk og verktøy. Kommisjonen ser det som problematisk at det er begrenset offentlig informasjon tilgjengelig om hvilke verktøy politiet anvender i dag eller vurderer å anvende i fremtiden. Dette gjør det vanskelig å vurdere personvernkonsekvenser ved metodebruken. Datatilsynet slutter seg til dette.
Rettslig regulering av personvern i justissektoren – Kriminalomsorgen Personvernkommisjonen mener Justis- og beredskapsdepartementet i arbeidet med ny lovregulering knyttet til straffegjennomføring bør tydeliggjøre behandlingsansvaret i kriminalomsorgen og anbefaler å legge ansvaret til den virksomheten som utfører den faktiske behandlingen av personopplysninger.
Datatilsynet er enig i at plasseringen av behandlingsansvaret i Kriminalomsorgen har vært uklar. I 2022 gjennomførte vi et tilsyn med kriminalomsorgen ved Kriminalomsorgsdirektoratet (KDI) og tre underliggende enheter. Gjennom tilsynet ble det funnet avvik fra regelverkets krav til ansvarsplassering og styringssystem for personvern og informasjonssikkerhet. I løpet av tilsynsperioden utarbeidet KDI en instruks som plasserer behandlingsansvaret hos direktoratet. Datatilsynet mener dette er en god løsning.
Vi støtter derfor ikke kommisjonens anbefaling på dette punktet. Kommisjonens anbefaling er heller ikke nærmere begrunnet. I etterkant av det nevnte tilsynet har Datatilsynet også tatt opp behovet for å få på plass nytt regelverk i brev til Justis- og beredskapsdepartementet. Vi mener det er uheldig at dette arbeidet har tatt tid.
Utviklingstrekk som påvirker personvernet – økt internasjonalt samarbeid Datatilsynet bemerker at Schengen-samarbeidet ikke er omtalt i rapporten. Etter vårt syn er dette temaet helt sentralt når det gjelder personvern innen justissektoren og utlendingsforvaltningen.
Avtalen om Schengen-samarbeidet gir Norge rett og plikt til å anvende hele Schengenregelverket, herunder bestemmelser om informasjonsutveksling og bruk av felleseuropeiske systemer. Som nasjonal tilsynsmyndighet har Datatilsynet tilsyns- og kontrolloppgaver knyttet til norske myndigheters bruk av de felleseuropeiske informasjonssystemene Schengen informasjonssystem (SIS), Visuminformasjonssystemet VIS og fingeravtrykksregisteret Eurodac.
Videreutviklingen av Schengen-samarbeidet har store personvernmessige konsekvenser. For å styrke Schengen-samarbeidet er det vedtatt en rekke nye rettsakter som vil tre i kraft i tiden fremover. Dette innebærer at det gjøres endringer i eksisterende informasjonssystemer og at det innføres nye informasjonssystemer. En gjennomgående trend er at det legges opp til å behandle flere personopplysninger for flere formål, med en tettere integrasjon mellom systemer. Det åpnes også for tilgang til rettshåndhevende myndigheter for politimessige formål (sekundærbruk). Dette er en utvikling Datatilsynet er opptatt av å følge med på.
Personvernutfordringer i justissektoren – personvern i lovarbeid Kommisjonen påpeker at det ved innføring av nye tiltak er avgjørende at eventuelle personvernkonsekvenser blir tilstrekkelig belyst og vurdert i forkant. Kommisjonen har observert at lovgivers vurderinger av personvernkonsekvenser kan være begrensede og mangelfulle i forbindelse med lov- og forskriftsforslag. Datatilsynet er av samme oppfatning. Vi viser i den forbindelse til bestemmelsene om forhåndskonsultasjon i personvernforordningen art. 36 nr. 4 og tilsvarende bestemmelse i direktiv (EU) 2016/680 om beskyttelse av fysiske personer ved behandling av personopplysninger for å forebygge, etterforske, avdekke eller straffeforfølge lovbrudd eller gjennomføring av straffereaksjoner, og om fri utveksling av slike opplysninger (LED) artikkel 28 nr. 2.
Vår erfaring så langt er at forhåndskonsultasjon i liten grad har blitt benyttet innen justissektoren og at våre synspunkter i hovedsak innhentes gjennom etterfølgende høringer. Datatilsynet ønsker å bli involvert tidligere i regelverksprosesser.
Vi støtter derfor anbefalingen om at departementene i større grad bør rådføre seg med Datatilsynet i forbindelse med lov- og forskriftsarbeid. Vi vil understreke at vi i kraft av vår ombudsrolle er opptatt av å ivareta personvernhensyn innenfor hele justissektoren, også på områder som er unntatt fra vår tilsynsmyndighet etter politiregisterloven.
Vi har for øvrig merket oss kommisjonens uttalelser i utredningens avsnitt 7.1.2:
«I en god rettsstat må verdier og kryssende hensyn veies mot hverandre. Hvordan og hvor grundig man utfører en slik interesseavveining, på både systemnivå og i hver enkelt sak, sier noe om rettsstatens kvalitet. I merknadene til politiregisterloven § 1 (lovens formål) heter det: «I de tilfellene der hensynet til personvern og hensynet til kriminalitetsbekjempelsen ikke kan forenes, er utgangspunktet at hensynet til personvernet må vike.»
Denne betraktningen, om at bekjempelse av kriminalitet har forrang ved en konflikt med personvernet – selv om det i forarbeidene gis anvisning på en forholdsmessighetsvurdering – er kommisjonen ikke enig i. Hvordan ulike interesser vektes, vil være avgjørende for hvilken løsning som velges. Når interesser står mot hverandre, kan ikke utgangspunktet være at personvernet alltid må vike. Dersom personvernkrenkelsen som følge av et tiltak er tilstrekkelig alvorlig, må konklusjonen etter Personvernkommisjonens oppfatning være den motsatte; kriminalitetsbekjempelsen skal vike.»
Disse uttalelsene er viktige og klargjørende, og vil kunne bidra til mer nyanserte avveininger i tiden som kommer, både i enkeltsaker og i forbindelse med lovarbeid. Vi vil særlig fremheve 7 betydningen av at lovgivningen utformes slik at den sikrer en god balanse mellom personvern og kriminalitetsbekjempelse.
Vurdering av personvern i myndighetsutøvelse – implementering av LED i politiregisterloven Personvernkommisjonen mener det er behov for vurderinger av politiregisterlovens harmonisering med EU-retten og viser til at LED inneholder flere krav som ikke eksplisitt er gjennomført i politiregisterloven. Dette gjelder blant annet bestemmelsene om personvernprinsipper, vurderinger av automatiserte beslutningsprosesser og innebygd personvern. Kommisjonen peker også på at politiets rammer for og adgang til å benytte informasjon fra åpne kilder ikke er utredet og avklart som følge av manglende implementering av LED art. 10 bokstav c.
Datatilsynet støtter kommisjonens anbefaling om at Justis- og beredskapsdepartementet må vurdere om alle bestemmelsene i LED skal implementeres i politiregisterloven. Det vil i den sammenheng også være naturlig å vurdere om det er behov for regulering av utvikling og bruk av kunstig intelligens i justissektoren. Vi vil fremheve behovet for tydeligere rammer for politiets og påtalemyndighetens behandling av personopplysninger. Vi stiller oss positive til å bidra med innspill i et slikt arbeid.
Datatilsynet støtter også kommisjonens vurdering av at politiregisterloven bør forenkles og forbedres.
Tilsyn og kontroll Datatilsynet mener i likhet med kommisjonen at tilsyn og kontroll er nødvendige kontrollmekanismer for å sikre forsvarlig og lovlig behandling av personopplysninger. Dette gjelder ikke minst innen justissektoren, der det ofte vil gjelde unntak og begrensinger i innbyggernes rett til informasjon og innsyn. Personvernkommisjonen mener at Datatilsynet og politiet bør føre statistikk over antallet personer som årlig benytter seg av retten til å klage inn politiets behandling av personopplysninger. Det vises til at offentliggjøring av slik statistikk kan bidra til å løfte bevisstheten om retten til å klage.
Datatilsynet bemerker at vi mottar få klager på politiets behandling av personopplysninger. Behov for mer informasjon om Datatilsynets rolle er derfor noe vi ser nærmere på. I den forbindelse vil vi også se på tilgjengeliggjøring av statistikk.
2.4 Personvern i skolen og barnehagen
Datatilsynet mener kapittel 8 i utredningen gir en god situasjonsbeskrivelse av barns og unges personvern. Vi er enige med kommisjonen i at det er avgjørende at personvernet ivaretas i barnehagene og i skolene.
I barnehagene og skolene brukes det digitale verktøy for både oppfølgings- og undervisningsformål. Det er gjerne store internasjonale teknologiselskaper som leverer disse verktøyene. Skoleadministrasjonene har liten mulighet til å påvirke den behandlingen av opplysninger som disse digitale verktøyene legger opp til. I tillegg er utdanningssektoren et attraktivt marked, og kommisjonen trekker frem mulighetene for å skape tidlige 8 forbrukerrelasjoner med elevene. En sentral utfordring er at det er store forskjeller i kommunenes kompetanse til å vurdere disse digitale verktøyene før de kjøpes inn og tas i bruk.
Politiske føringer for personvern i skolen og barnehagen Datatilsynet støtter kommisjonens anbefaling om sterkere nasjonale føringer for sektoren, og etablering av en nasjonal personvernpolitikk fremstår som nødvendig og hensiktsmessig. Datatilsynet har også erfart at sektoren selv ønsker dette. Etablering og vedlikehold av en nasjonal felles tjenestekatalog er et tiltak som etter vår oppfatning vil kunne gi store personverngevinster, spesielt for små kommuner med begrensede personvernressurser.
Datatilsynet er også enig i at tilstrekkelig kompetanse og ressurser er nødvendig for at kommunene skal kunne ivareta personvernet i sektoren.
Vi støtter derfor anbefalingen om å etablere et nasjonalt kompetansemiljø, som det tidligere Senter for IKT i utdanningen, som ble nedlagt i 2019. Senteret skulle bidra til økt kvalitet i opplæringen med bruk av informasjons- og kommunikasjonsteknologi for barn i barnehagene, elever i grunnopplæringen og studenter i lærer- og barnehagelærerutdanningen.
Kommisjonen påpeker også behovet for tilpassede rutiner og veiledning fra kommunene til skoleledelse og lærere. Vi mener at dette er en nødvendig forutsetning for kommunens ivaretakelse av behandlingsansvaret sitt, og for å sikre praktisk etterlevelse av personvernregelverket i underordnede organer og etater.
Kompetanse og digitale løsninger i skolen
Det er positivt at kommisjonen foreslår at det bør gjennomføres en bred utredning om digitale verktøy som er i bruk i skolen og hvordan de påvirker barns personvern. Vi mener at det er uomtvistet at innsamling av elevers personopplysninger, og etterfølgende profilering og bruk av dataene til kommersielle formål, går på bekostning av elevenes grunnleggende rettigheter. Slike behandlinger utgjør en kontinuerlig krenkelse av elevenes personvern. Konkrete tiltak som for eksempel annonseblokkeringsverktøy på skolens utstyr vil kunne ha en positiv effekt, og etter vår mening bør slike verktøy introduseres og tas i bruk umiddelbart.
Vi mener lovgiver snarest bør ta stilling til om det skal innføres konkrete forbud i lovs form.
Datatilsynet er enig i kommisjonens forslag om sentralisering og samarbeid ved innkjøp og forhandlinger for skole- og barnehagesektoren. Samarbeid med andre land vil kunne gi en bedre posisjon overfor store leverandører.
Barn og unges kunnskap om personvern bør styrkes, og vi gir vår tilslutning til kommisjonens anbefalinger om å styrke opplæringen i undervisningen.
interrobangit
Svenn Dybvik presentation ▼
Svenn Dybvik
