1 Innledning og sammendrag
1.1 Personvern i nytt lys
I denne utredningen tegner Personvernkommisjonen et bilde av en digitaliseringsprosess som preger alle samfunnssektorer. Det er et tverrpolitisk mål å digitalisere, og dette arbeidet har skjedd og vil trolig fortsette å skje i høyt tempo. Siden den forrige personvernkommisjonen la fram sin utredning, har det vært gjennomført en rekke omfattende digitaliseringsprosesser i offentlig og privat sektor. Det har medført at stadig flere personopplysninger samles inn, brukes og viderebrukes. Samfunnsgevinstene av digitaliseringen er ofte store, og bruken av personopplysninger bidrar til både gode og effektive tjenester for innbyggerne. Samtidig ser Personvernkommisjonen en gjennomgående tendens til at digitaliseringen skjer på bekostning av personvernet. Personvernkommisjonen har gjennom arbeidet med utredningen etterstrebet å få et overblikk over denne utviklingen, og å peke på mulige veier fremover for å sikre og styrke personvernet i det digitale samfunnet.
1.1.1 Personvern på dagsorden
Personvern handler om hvilket samfunn vi ønsker å leve i, i dag og i dagene som kommer. På tross av dette, betraktes personvern i mange tilfeller som et ekspertfelt eller nisjeområde. Personvern diskuteres ofte i kontekst av paragrafer, lovfortolkning og etterlevelse. For profesjonelle aktører er personvern gjerne forbundet med formelle krav, mulige sanksjoner og vanskelige juridiske vurderinger som kommer i veien for utførelsen av daglige oppgaver. Folk flest forbinder kanskje personvern med irriterende samtykkeforespørsler som stadig må klikkes på, e-poster om oppdaterte personvernerklæringer som aldri leses, og lignende forstyrrelser som tar oppmerksomhet bort fra andre gjøremål.
I samtaler med elever i grunnskolen kom det frem at elevene er lei av å snakke om personvern som noe som handler om pekefingre og forbud.1 Elevene ønsker en åpen og reflektert samtale om hvordan personopplysninger samles inn, hva de brukes til, hvordan slik innsamling påvirker oss og hvilke effekter det har på samfunnet. Slike samtaler forutsetter en bredere diskusjon om hva personvern betyr for samfunnet som helhet, og hva samfunnet risikerer å miste dersom personvernet ikke ivaretas.
Etter Personvernkommisjonens syn er det på høy tid at diskusjoner rundt personvern løftes ut fra ekspertsirklene og gjøres til et relevant og viktig spørsmål i samfunnsdebatten, i kommunestyrer og på Stortinget. For at dette skal kunne skje, må personvernet anerkjennes som et samfunnsgode som har en grunnleggende verdi. Personvernet må forstås og vurderes i positiv forstand, som en verdi som bidrar til å ivareta og bygge tillit i samfunnet, i stedet for en bremsekloss eller et nødvendig onde for å unngå sanksjoner.
1.1.2 Personvern som samfunnsverdi
Et godt personvern legger grunnlaget for ytringsfrihet, informasjonsfrihet og meningsdannelse. Personvern er med andre ord en forutsetning for et åpent samfunn og et velfungerende demokrati.
Personvern kan bidra til en bedre maktbalanse mellom individer, grupper, myndigheter og private aktører. Innsamling, sammenstilling og bruk av personopplysninger innebærer at enkelte aktører får stor innflytelse. Det ligger mye makt i å ha inngående kunnskap om, og potensielt kunne benytte opplysninger om, personers liv, tanker og hemmeligheter. Personopplysninger kan blant annet anvendes til å skreddersy budskap, treffe beslutninger basert på antagelser om individer og grupper, og til å utvikle nye tjenester. Kunnskap om og mulighet til å kontrollere hva andre vet om oss, og hvordan de kan bruke data om oss, er et viktig virkemiddel for å begrense denne makten.
Personvern handler ikke kun om individers rettigheter og valgmuligheter. Godt personvern handler også om å verne andre, for eksempel ved å skjerme utsatte grupper for utilbørlige inngrep, eller ved å sikre at alle innbyggere har reelt vern uavhengig av kompetanse og ressurser. Dermed er personvern også en kollektiv og solidarisk verdi. For at personvern i praksis skal bli ivaretatt som en grunnleggende samfunnsverdi, må politikere og andre beslutningstakere se personvernet som en verdi det er ønskelig å ivareta. Det betyr at teknologioptimisme må ledsages – og av og til dempes – av kritiske refleksjoner rundt hva teknologiutvikling kan bety for samfunnet vårt. Det handler dessuten om å velge teknologiske løsninger som har bygget inn og gir mulighet for å ivareta personvernet. Kritiske refleksjoner forutsetter grunnleggende forståelse av både teknologien og de juridiske problemstillingene, men i bunn og grunn handler det om å forstå og vektlegge menneskerettigheter i møte med teknologi.
1.1.3 Teknologi og personvern er politikk
Teknologi kan i mange tilfeller ha endringskraft, med effekter på hvordan vi lever, hvordan vi oppfatter oss selv, og hvordan vi eksisterer i samspill med andre. Endringer som har utspring i teknologisk utvikling kan fremstå som revolusjonerende, på godt og vondt. Samtidig skjer disse endringene ofte gradvis, og eventuelle problemstillinger dukker i mange tilfeller ikke opp før i ettertid.
Personvernet er ofte usynlig, i den forstand at det ikke legges merke til før noe går galt, og til og med når krenkelser skjer, er de sjeldent ledsaget av fysisk merkbare konsekvenser. Det leder til at en utvikling som kan endre samfunnet på grunnleggende måter ofte gjennomføres uten at det reises kritiske spørsmål om hvorvidt utviklingen er ønsket, og uten at utviklingen er gjenstand for en åpen demokratisk debatt.
Det er ikke realistisk at det brede lag av befolkningen skal ha omfattende kunnskap om og kompetanse på de teknologiske og juridiske problemstillingene som er del av mange personverndiskusjoner. Arbeidet med å iverksette forebyggende tiltak og beskytte innbyggerne mot brudd på personvernet, må ledes av myndighetene. Likevel forutsetter endringskraften teknologi kan ha på samfunnet, at de fleste, som en del av å være en opplyst samfunnsdeltaker, bør ha en grunnleggende forståelse for hvilken rolle personvernet spiller i samfunnsutviklingen.
Utvikling og innføring av ny teknologi skjer i et hurtig tempo, og teknologi som fremstår som kontroversiell eller virkelighetsfjern i dag kan normaliseres og bli allment akseptert i fremtiden. Når dette skjer, kan det innebære en gradvis svekkelse av personvernet. Denne svekkelsen kan være vanskelig å få øye på før det er for sent å motvirke de negative effektene. Teknologiutviklingen og konsekvensene av den vil i mange tilfeller være uforutsigbare, og eventuelle skadevirkninger kan være vanskelige å motvirke dersom teknologien allerede er tatt i utstrakt bruk. For å motvirke en negativ utvikling er det derfor viktig med demokratiske diskusjoner om hvilke inngrep i folks rettigheter og friheter samfunnet skal akseptere.
1.1.4 Teknologiutvikling på samfunnets premisser
Å prioritere personvernet som en samfunnsverdi er ikke nødvendigvis enkelt eller friksjonsfritt. På kort sikt kan det innebære å stenge døren for enkelte teknologiske virkemidler som kan være både gode og nyttige. Samtidig kan nye dører for innovasjon og utvikling av alternativ teknologi tuftet på våre demokratiske verdier og prinsipper bli åpnet. Det vil ha en stor verdi for samfunnsutviklingen på sikt.
Personvernkommisjonen er også opptatt av at teknologi kan brukes bevisst for å oppnå et bedre personvern. Teknologiske hjelpemidler kan for eksempel hjelpe folk til både å forstå hvilke rettigheter de har, og hjelpe dem med å bruke dem. Personvernkommisjonen mener slike teknologiske muligheter hittil ikke er brukt i tilstrekkelig grad.
For å tilrettelegge for ansvarlig teknologiutvikling og innovasjon, må personvernet ivaretas gjennom konkrete handlinger hos myndigheter og virksomheter som behandler personopplysninger. I denne utredningen presenterer Personvernkommisjonen en rekke tiltak for å bidra til handling og forbedring. Noen av tiltakene kan gjennomføres ved politiske og forretningsmessige grep, mens andre krever kultur- og kompetansebygging over tid. Felles for tiltakene er at de vil bidra til å løfte bevisstheten om personvern.
Det er Personvernkommisjonens ønske og håp at utredningen vil stimulere til en bredere samfunnsdebatt om personvernet. Det innebærer både ovennevnte diskusjon om hvilke inngrep i personvernet samfunnet skal akseptere, men også at problemstillingene belyses fra et politisk perspektiv. Slik kan disse grunnleggende demokratiske spørsmålene løftes ut av rene juridiske eller teknologiske drøftelser, og ses i et bredt samfunnsmessig, politisk og menneskerettslig perspektiv.
1.2 En nasjonal personvernpolitikk
Personvernkommisjonen etterlyser en nasjonal personvernpolitikk som legger føringer for digitaliseringen av samfunnet i tillegg til hva som følger av lovgivningen. Politikken må omfatte både offentlig og privat sektors behandling av personopplysninger, og må sørge for at personvern ivaretas i utformingen av lovverk.
Regjeringen bør utforme en nasjonal personvernpolitikk som ser på personvernets status i Norge i dag og i tiden som kommer. Personvern er et felles ansvar. Derfor må personvernpolitikken bidra til å åpne opp en offentlig samtale om personvern, og gjøre den til en inkluderende og viktig debatt om grunnleggende verdier, samfunn og demokrati.
Nedenfor oppsummerer Personvernkommisjonen hvilke overordnede hensyn som må inngå i en nasjonal personvernpolitikk. Disse punktene suppleres med eksempler på konkrete anbefalinger fra kommisjonen, hentet fra de ulike delkapitlene i utredningen.
En nasjonal personvernpolitikk må ha som overordnet mål å sørge for reell ivaretakelse av personvernet. Politikken må gi føringer på tvers av sektorer, i den hensikt å ivareta innbyggernes personvern. Det krever formulering av overgripende prinsipper for hvordan samfunnet kan ivareta personvernet som en naturlig del av digitaliseringen. Utviklingen av politikken må skje i åpne samfunnsdebatter om prinsipielle spørsmål knyttet til hvor store inngrep i personvernet innbyggerne skal måtte tåle, for eksempel for å imøtekomme ønsket om effektiv forvaltning og kriminalitetsbekjempelse. Personvernkommisjonen anbefaler at føre-var-prinsippet anvendes i tilfeller hvor teknologianvendelse innebærer særlig høy risiko for personvernet.
En nasjonal personvernpolitikk må se personvernet i et helhetlig perspektiv. Det finnes i Norge i dag ingen offentlig virksomhet som har et overordnet ansvar for å vurdere den samlede bruken av personopplysninger i offentlig forvaltning, og betydningen denne har for personvernet. Vurderinger knyttet til bruk av personopplysninger foretas i stor grad sektorvis, ofte med liten grad av parlamentarisk kontroll og åpen debatt. Så lenge personvernvurderinger gjøres i siloer, eller stykkevis og delt, er det svært vanskelig å vurdere den samlede effekten av potensielt inngripende tjenester, tiltak eller lovendringer. Regjeringen bør ha særlig oppmerksomhet på personvernkonsekvensene av mer utstrakt deling og viderebehandling av personopplysninger, og hvordan dette skal vurderes opp mot andre viktige hensyn som effektivisering og rettssikkerhet. For å rette oppmerksomhet mot viktigheten av å ivareta personvernet i digitaliseringen av samfunnet, mener Personvernkommisjonen at regjeringen årlig bør legge frem en personvernpolitisk redegjørelse for Stortinget, forankret i gjeldende personvernpolitikk.
En nasjonal personvernpolitikk må innebære grundige risikovurderinger. Det er ikke nok å vurdere personvernkonsekvenser kun i forbindelse med den enkelte konkrete behandlingen av personopplysninger. Mulige personvernkonsekvenser må også utredes ved utforming av regelverk, ved utviklingen av tjenester og ved utarbeidelse av budsjetter, rutiner og organisatoriske tiltak. Personvernvennlige teknologiske og organisatoriske alternativer må alltid utredes før det forutsettes et motsetningsforhold mellom personvern på den ene side og for eksempel samfunnssikkerhet, kriminalitetsbekjempelse og effektivitet på den annen side.
En nasjonal personvernpolitikk må ha særlig oppmerksomhet på sårbare grupper, herunder barn og unge. Sårbare grupper kan ha dårligere forutsetninger for å ivareta eget personvern og å utøve sine rettigheter. Feil bruk av personopplysninger kan bidra til å skape eller forsterke urettmessige skjevheter som særlig rammer utsatte individer og grupper. Barn og unge er en særlig sårbar gruppe, fordi de i større grad enn voksne formes av sine omgivelser og utforsker sin identitet. Derfor er det viktig at ikke personopplysninger om dem anvendes til å sette dem i bås, eller brukes mot dem senere i livet. Personvernkommisjonen anbefaler derfor at regjeringen arbeider for et forbud mot atferdsbasert markedsføring rettet mot barn. Skole- og barnehagesektoren må gå foran for å etterstrebe at personvernet ivaretas. Det er uakseptabelt at barns personopplysninger blir gjenstand for kommersiell utnyttelse.
En nasjonal personvernpolitikk må inkludere en tydelig utenrikspolitisk rolle. Norge bør innta en aktiv rolle i utformingen av nye internasjonale regelverk, samt i utviklingen av internasjonale standarder og fellesløsninger som kan fremme personvernet. Det innebærer at representanter fra norske myndigheter arbeider aktivt og systematisk opp mot europeiske lovprosesser som vil ha konsekvenser for personvernet.
En nasjonal personvernpolitikk må utnytte det nasjonale handlingsrommet for regulering. I mange tilfeller er det begrensninger i Norges handlingsrom når det gjelder utforming av regler og prosedyrer som berører personvernet. Internasjonale myndigheter, med EU i sentrum, legger i stor grad føringer for hva som er mulig å gjennomføre på nasjonalt nivå. Likevel er det relativt stort rom for nasjonalt tilpassede bestemmelser. Norske myndigheter må føre en aktiv nasjonal lovgivningspolitikk for å fremme personvern. Det bør alltid være en ambisjon å bruke det nasjonale handlingsrommet som EU-lovgivningen gir, både for å supplere de europeiske reglene, støtte opp under og for å styrke gjeldende EU-lovgivning som norske myndigheter ser som spesielt viktig. Eventuelt bør norske myndigheter vedta avvikende norske regler dersom det er adgang og tilstrekkelig grunn til det.
En nasjonal personvernpolitikk må fremme personvernvennlig innovasjon. Teknologiutvikling bør skje på en måte som ivaretar og fremmer personvernet. Personvernkommisjonen mener at det bør utvikles robuste standarder og normer for å tydeliggjøre hvordan innovasjon kan skje innenfor etiske og forsvarlige rammer. Den nasjonale personvernpolitikken bør også styrke forskning og utvikling på personvernfeltet, for å bidra til personvernvennlig innovasjon og digitalisering. Forskning på personvernfeltet vil kunne ha stor betydning for vår evne til å forstå de samlede konsekvensene av digitaliseringen for innbyggernes grunnleggende rettigheter og friheter.
En nasjonal personvernpolitikk må innebære at offentlig sektor går foran. Offentlige myndigheter har et ansvar for å holde en høy standard, også når det gjelder personvern. Det innebærer at offentlige myndigheter må gjøre grundige personvernvurderinger og ta i bruk verktøy som respekterer innbyggernes personvern. Personvernkommisjonen anbefaler at offentlig sektor bruker sin innkjøpsmakt for å stimulere til fremveksten av personvernvennlige produkter og tjenester. Det bør gis føringer om hvordan personvern bør vektes i anskaffelser.
En nasjonal personvernpolitikk forutsetter et solid kunnskaps- og kompetansegrunnlag. Beslutninger og vurderinger som påvirker personvernet må tuftes på juridisk, teknologisk og samfunnsvitenskapelig kompetanse. Derfor mener Personvernkommisjonen at offentlig sektor må prioritere å styrke personvernkompetansen blant sine ansatte. Personvernpolitikken må også inneholde tiltak som sørger for at innbyggerne får grunnleggende opplæring i personvern. Personvernkommisjonen anbefaler derfor at personvern blir en del av grunnskoleutdanningen, og at undervisning i personvern styrkes på alle nivå, inkludert høyere utdanning.
En nasjonal personvernpolitikk forutsetter åpenhet rundt behandling av personopplysninger. Åpenhet rundt bruk av personopplysninger er nødvendig for å ivareta og bygge opp innbyggernes tillit til myndighetene, og forbrukernes tillit til tjenesteleverandører. Dette innebærer åpenhet om hvilke personopplysninger som behandles og brukes om individer, men også åpenhet rundt hvordan personopplysninger aggregeres/sammenstilles og viderebrukes. Opplysningene bør i størst mulig grad være tilgjengelige for innbyggerne, uten at de aktivt må be om innsyn.
En nasjonal personvernpolitikk forutsetter effektiv håndheving. For å sikre at regelverk ment for å beskytte innbyggernes personvern etterleves, er det nødvendig at Datatilsynet har tilstrekkelige ressurser for å håndheve loven. I tillegg til effektive kontroller og sanksjoner, mener Personvernkommisjonen at Datatilsynet må ha ressurser til veiledning av aktører med behov for det. Siden personvern stadig omfatter flere og større områder, må tilsynet styrkes i tråd med disse faktiske behovene. Kommisjonen mener videre at også andre tilsynsmyndigheter enn Datatilsynet bør veilede om personvernspørsmål som direkte er knyttet til deres myndighetsområde
1.3 Sammendrag
De følgende avsnittene gir et sammendrag av hovedpunktene i hvert enkelt kapittel i utredningen. Personvernkommisjonen står samlet bak vurderingene og anbefalingene, med unntak av en anbefaling i kapittel 9 knyttet til å utrede et generelt forbud mot atferdsbasert reklame. Her har kommisjonen delt seg i et flertall som støtter anbefalingen og et mindretall som ikke støtter dette tiltaket.
1.3.1 Del I – Hva er personvern, rettslig rammeverk og teknologiske drivkrefter
I kapittel 3 gjør Personvernkommisjonen rede for forskjellige oppfatninger av hva personvern betyr, og drøfter hvorfor personvern er viktig både for individet og for samfunnet.
Personvern er en grunnleggende rettighet for individet, og er blant annet et viktig premiss for ytringsfrihet. Samtidig har personvern et kollektivt aspekt. Dersom personvernet tilsidesettes, kan det ramme sårbare grupper eller samfunnet som helhet, for eksempel ved at grupper legger bånd på seg og demper sin aktive samfunnsdeltagelse. Derfor kan ikke ansvaret for personvern utelukkende overlates til individuelle valg og preferanser. Denne diskusjonen danner bakteppet for resten av utredningen.
I kapittel 4 gjennomgår Personvernkommisjonen den rettslige reguleringen av personvernet. Det gis en overordnet oversikt over de viktigste bestemmelsene i personvernforordningen, samt en gjennomgang av reguleringen av personvern som menneskerettighet og i Grunnloven. Kommisjonen gjør også kort rede for hvordan personvernet berøres og reguleres i ulike sektorregelverk. I tillegg går Personvernkommisjonen gjennom den særskilte reguleringen av barns personvern, herunder Grunnloven og barnekonvensjonen. Prinsippet om barnets beste presenteres kort. Avslutningsvis i kapitlet tar kommisjonen for seg gjeldende og kommende europeisk regelverk på personvernområdet. Omtale av andre regelverk og mer mer detaljert regelverksgjennomgang er plassert i de respektive kapitlene.
I kapittel 5 presenterer Personvernkommisjonen en kortfattet oversikt over grunnleggende trekk ved teknologiutviklingen i samfunnet, og identifiserer noen nøkkelområder hvor teknologien kan skape særlige personvernutfordringer. Denne beskrivelsen legger grunnlaget for videre drøftelser i påfølgende kapitler.
Utviklingen av kraftig sporings- og sensorteknologi, infrastruktur for overføring av data, lagringsteknologi, samt økt prosessorkraft har gjort det mulig å samle inn, overføre, lagre og behandle data i stor skala. Det har ført til at stadig større mengder personopplysninger kan samles inn og analyseres, en utvikling som setter personvernet under press. Den hurtige og kompliserte teknologiutviklingen har ført til at beslutningstagere og lovgiver ofte kommer «bakpå». For å motvirke en uheldig utvikling, er det derfor viktig med en prinsipiell og kunnskapsbasert tilnærming til hvordan teknologien påvirker samfunnet, og hvordan samfunnet kan påvirke teknologiutviklingen. Diskusjonen rundt teknologiutvikling må også omfatte røde linjer – teknologi eller teknologianvendelse som er uakseptabel i et demokratisk samfunn.
Personvernkommisjonen tar til orde for at føre-var-prinsippet må komme til anvendelse før innføringen av teknologi som kan ha alvorlige konsekvenser for individer og samfunnet. På bakgrunn av dette anbefaler kommisjonen et forbud mot bruk av biometrisk fjernidentifikasjon i det offentlige rom. Dette er teknologi for å identifisere individer i sanntid, og er etter Personvernkommisjonens syn så inngripende at teknologien ikke er forenlig med grunnleggende samfunnsverdier og menneskerettigheter.
1.3.2 Del II – Personvernets stilling og utfordringer innen utvalgte sektorer
Personvernkommisjonens mandat fremhever flere konkrete områder/sektorer hvor personvernutfordringene er mange og vanskelige. Kommisjonen er i mandatet bedt om å ha særskilt fokus på spørsmål som gjelder personvern i offentlig sektor, personvern i justissektoren, personvernet til forbrukere, samt barn og unges personvern. I utredningens del II presenteres Personvernkommisjonens vurderinger og forslag til tiltak innenfor de ovennevnte områdene.
Personvernkommisjonen anbefaler, som nevnt ovenfor, at regjeringen etablerer en personvernpolitikk som ses i sammenheng med digitaliseringspolitikken. I personvernpolitikken bør regjeringen ha særlig oppmerksomhet på personvernkonsekvensene av mer utstrakt deling og viderebehandling av personopplysninger, og hvordan slik deling og viderebehandling skal vurderes opp mot andre viktige hensyn som effektivisering og rettssikkerhet. Regjeringen bør årlig legge frem en personvernpolitisk redegjørelse for Stortinget, forankret i gjeldende personvernpolitikk.
I kapittel 6 drøfter Personvernkommisjonen digitaliseringen av offentlig forvaltning, og vurderer personvernkonsekvenser ved utviklingen. Offentlig sektor har et særlig ansvar for å sørge for at innbyggernes personvern ivaretas, og må derfor tilrettelegge for både grundige konsekvensvurderinger og rettssikkerhetsgarantier. Dersom forvaltningen ikke evner å ivareta innbyggernes personvern på en tilstrekkelig måte, kan dette få alvorlige konsekvenser for den enkelte, og kan svekke tilliten til myndighetene.
Den digitale forvaltningen har som mål å kunne tilby effektive og brukervennlige tjenester. Som en del av denne målsetningen blir en rekke forvaltningsoppgaver helt eller delvis automatisert, blant annet ved at automatiserte systemer brukes i saksbehandlingen. Dette innebærer gjerne at systemet analyserer store mengder opplysninger om innbyggerne for å utlede anbefalinger om vedtak. Selv om bruken av slike systemer i forvaltningen medfører en rekke fordeler, kan det oppstå personvernutfordringer dersom systemene ikke legger til rette for en forståelig og gjennomsiktig saksbehandling. Personvernkommisjonen drøfter særlig utfordringer knyttet til bruk av automatiserte systemer til kontrollformål. Utstrakt eller uforholdsmessig bruk av profilering til kontrollformål kan ha alvorlige negative effekter på individer og samfunnet, for eksempel i form av ulovlig forskjellsbehandling eller nedkjølingseffekter. Personvernkommisjonen anbefaler derfor at offentlig forvaltning bør anvende føre-var-prinsippet ved bruk av profilering til kontrollformål.
Det er også personvernutfordringer knyttet til utformingen av regelverk i offentlig sektor. Dersom personvernkonsekvenser ikke utredes i tilstrekkelig grad som en del av regelverksarbeid, risikerer man at det legges til rette for uforholdsmessig store inngrep i personvernet. Personvernkommisjonen anbefaler derfor at det iverksettes systematiske personvernvurderinger i lovarbeider.
I kapitlet gir Personvernkommisjonen også en oversikt over de rettslige rammene for behandling av personopplysninger i offentlig forvaltning. Kommisjonen presenterer deretter de ulike kravene til behandlingsgrunnlag. Det gis et overblikk over behandlingsgrunnlag, behandlingsformål og rettslige rammer for viderebehandling av personopplysninger. Personvernkommisjonen fremhever at det særlig er viktig å skape trygge og klare rettslige rammer for viderebehandling av personopplysninger. Personvernkommisjonen mener at konsekvensutredninger i lovarbeid bør inkludere vurderinger av om eksisterende regelverk er tilstrekkelig, og om det nasjonale handlingsrommet skal anvendes. Dersom det fastsettes nasjonale bestemmelser, kan dette bidra til klarere og mer utfyllende regelverk, og dermed gi større forutberegnelighet for innbyggerne. I tillegg gir det bedre grunnlag for å vurdere om en konkret behandling av personopplysninger er lovlig.
Personvernkommisjonen trekker frem flere utfordringer knyttet til deling og bruk av personopplysninger i offentlig forvaltning. Utforming av lovhjemler, bruk av kunstig intelligens og deling av personopplysninger mellom forvaltningsorganer er noen av utfordringene som gjennomgås. En utfordring ved deling av personopplysninger på tvers av organer, er at det oppstår usikkerhet rundt ansvarsforholdene mellom samarbeidende organer. Personvernkommisjonen anbefaler derfor at ansvarsfordelingen i større grad bør lov- eller forskriftsfestes der deling av personopplysninger inngår som en del av et større samarbeid mellom forvaltningsorganer og hvor uklarhet kan medføre alvorlige personvernkonsekvenser.
Personvernkommisjonen mener det er behov for et rådgivende organ som kan ha et helhetlig overblikk over bruk av personopplysninger i Norge. Et slikt organ kan bidra til at den til enhver tid gjeldende personvernpolitikken iverksettes og gjennomføres på en god måte og gi råd om hvordan hensynet til personvern skal vektes mot andre hensyn, samt hvilke etiske vurderinger som bør gjøres i forbindelse med bruk av personopplysninger.
I kapittel 7 ser Personvernkommisjonen på personvernutfordringer i justissektoren, med særlig blikk på politiets behandling og bruk av personopplysninger. På justisområdet må retten til personvern i mange tilfeller veies opp mot hensynet til effektiv kriminalitetsbekjempelse, som betyr at personvernet settes under press. Personvernet utfordres både når nye metoder ønskes tatt i bruk, og når det iverksettes lovarbeider som skal tilrettelegge for kriminalitetsbekjempelse og forebygging.
Ved utforming av regelverk vurderes personvernkonsekvenser gjerne i begrenset grad, eller ikke i det hele tatt. Dette kan føre til at en rekke tilsynelatende mindre inngripende hjemler innføres, noe som samlet kan skape et overvåkningstrykk på befolkningen. Dersom det gjennomføres uforholdsmessig inngripende tiltak i kriminalitetsbekjempelsens navn, vil det både kunne svekke tilliten til sentrale samfunnsinstitusjoner og skape nedkjølingseffekter som kan utfordre grunnleggende demokratiske verdier.
Etter Personvernkommisjonens oppfatning er det derfor avgjørende at personvernkonsekvenser ved kriminalitetsbekjempelsestiltak vurderes i et helhetlig perspektiv og er gjenstand for offentlig debatt. Utgangspunktet må være at personvern, som en grunnleggende rettighet, må ivaretas også i møte med behovet for effektiv kriminalitetsbekjempelse.
Åpenhet bidrar til å skape tillit. Mangel på informasjon og gjennomsiktighet om teknologibruk, kombinert med en stadig utvikling av kraftige datainnsamlings- og analyseverktøy for bruk i justissektoren, kan føre til svakere personvern. En konsekvens kan bli at befolkningens tillit til justissektoren svekkes. Det er begrenset tilgjengelig informasjon om hvilke verktøy og metoder politiet i Norge anvender, og hvordan personvernet ivaretas i praksis. Personvernkommisjonen anbefaler derfor at det nedsettes et utvalg for å utrede metodebruken i justissektoren. Utvalget bør særlig vurdere personvernkonsekvenser av politiets metoder, særlig sett opp mot formålsprinsippet og proporsjonalitetsprinsippet
Det er etter Personvernkommisjonens mening avgjørende at systemer og løsninger bygges på en måte som ivaretar personvernet. Dersom lovgiver for eksempel vurderer det slik at omfattende masseinnsamling er avgjørende for bekjempelse av alvorlig kriminalitet, må systemer for lagring av slike data holdes separat fra andre systemer, for å sikre at data ikke kan brukes for andre formål enn innsamlingsformålet.
Videre ser Personvernkommisjonen det som avgjørende at Datatilsynet utfører jevnlige kontroller på justisområdet.
Som i andre sektorer, er det også et generelt behov for et kompetanseløft innen personvern i justissektoren. Det innebærer både opplæring av personell, gode rutiner, systemer og verktøy for håndtering av personopplysninger, samt en ledelsesforankret forståelse for personvern som en grunnleggende menneskerettighet. Personvernkommisjonen mener det er spesielt viktig at ledelsen i politiet har høy bevissthet om faren for formålsutglidning og at risikoen for slik utglidning reduseres gjennom etablering av gode rutiner og tekniske tiltak. Personvernkommisjonen anbefaler også at det etableres bedre systemer for utlevering av dokumenter til advokater, samt at det utredes hvordan opplysninger omfattet av beslagsforbud kan sorteres ut ved gjennomgang av mobiltelefoner.
I kapittel 8 drøfter Personvernkommisjonen hvordan digitaliseringen av skole- og barnehagesektoren har skjedd på bekostning av barns personvern. Skolene og kommunene har i stor grad gjennomført omfattende endringer for å digitalisere skolehverdagen, men har ikke hatt kompetanse og ressurser til å sørge for at personvernet ivaretas som en del av digitaliseringen.
Både lærere, foreldre, elever og skoleledelse tar daglig i bruk et stort antall digitale tjenester som inngår i undervisningen. Svært mange av disse tjenestene, fra læringsmidler til administrative verktøy, behandler store mengder personopplysninger om elevene, som også eksponeres for store mengder reklame, på tross av reklameforbudet i skolen. I mange tilfeller krever det inngående teknologisk og juridisk kunnskap for å ha oversikt over hvordan personopplysninger behandles og brukes i disse systemene, og hvilke personvernkonsekvenser dette kan ha. De fleste kommunene har hverken ressurser eller kompetanse til å gjøre grundige vurderinger på egen hånd, noe som betyr at det i dag er begrenset oversikt over hvordan norske elevers personvern ivaretas. Det er behov for en profesjonalisering og sentralisering av risikovurderinger og testing av digitale løsninger som vurderes brukt i skoler og barnehager.
Personvernkommisjonen anbefaler at det opprettes et nasjonalt kompetanse- og testmiljø for å bistå kommunene med å håndtere personvernutfordringer. Det bør opprettes en nasjonal tjenestekatalog for digitale læringsmidler, som også inneholder personvernvurderinger kommunene og skolene kan ta utgangspunkt i når de skal velge digitale tjenester. I tillegg ønsker Personvernkommisjonen at det innføres strakstiltak som kan begrense den kommersiell utnyttelse av elevenes personopplysninger og redusere reklamepresset i tjenestene skolene bruker i undervisningen.
Store globale teknologiselskaper har gjort sitt inntog i klasserommene over hele landet ved å tilby rimelige og brukervennlige tjenester. Den enkelte kommune, skole eller lærer har ikke nødvendig kompetanse, og heller ingen påvirknings- eller forhandlingskraft i møte med disse aktørene, og det er derfor stor risiko for at digitaliseringen av skolen skjer på teknologigigantenes premisser. Det er vanskelig å få overblikk over hvordan elevenes personvern ivaretas ved bruk av kommersielle løsninger, samtidig som det kan være problematisk at den enkelte elev får et tidlig forbrukerforhold til selskapene gjennom skolen.
Personvernkommisjonen mener det ikke bør være opp til hver enkelt kommune å forhandle frem avtaler med teknologigiganter, og at nasjonale myndigheter bør komme på banen. Det er også behov for en større debatt om hvilken rolle store teknologiselskaper skal ha i norsk skole. I den grad løsninger som finnes på markedet ikke i tilstrekkelig grad ivaretar personvernet, mener Personvernkommisjonen at norske myndigheter må investere i utvikling av nye løsninger som ivaretar personvernet på tilfredsstillende måte.
I kapittel 9 drøfter Personvernkommisjonen utfordringer som er særlig knyttet til forbrukernes personvern, og til bruk av sosiale medier og digitale plattformer i vid forstand. Innsamling og bruk av personopplysninger til kommersielle formål har blitt en sentral del av den digitale forbrukerhverdagen, og har ført til utvikling av en rekke nye tjenester. Utviklingen har også skapt betydelige personvernutfordringer, hvor det i dag er nærmest umulig å unngå at kommersielle aktører samler inn opplysninger om hvem man er, hva man liker og hvor man beveger seg.
Kommersialiseringen av personopplysninger har skapt sterke økonomiske insentiver til å samle inn flest mulig opplysninger. Alt fra hvem man kommuniserer med, hvilke nyheter man leser, hva man kjøper, hvem man elsker og hvor man befinner seg, blir registrert og er gjenstand for analyse og kommersiell utnyttelse. Personopplysninger brukes blant annet til å utvikle nye produkter og tjenester, selges videre, eller brukes til å lage detaljerte profiler som kan anvendes til å målrette atferdsbasert markedsføring og andre budskap.
Utfordringene blir desto større når det dreier seg om kommersiell bruk av barns personopplysninger. Barn har krav på et særskilt vern. Samtidig er de flittige brukere av digitale tjenester, og barns personopplysninger samles ofte inn i samme skala som voksnes. Det er umulig å få oversikt over hvordan opplysningene brukes og hvilke fremtidige konsekvenser bruken kan ha. Samtidig har barn rettigheter og krav på vern mot overvåkning, herunder overvåkning utført av egne foreldre. Barnas rettigheter settes under press av digitale produkter og tjenester som lar foreldre følge med på barns bevegelser og aktiviteter. Lovverket som beskytter barn er fragmentert og delvis overlappende, og Personvernkommisjonen anbefaler derfor at lovverket gjennomgås og omarbeides for å sikre at barns rettigheter ivaretas.
Personvernkommisjonen anbefaler blant annet at norske myndigheter tar en aktiv rolle opp mot EU når det kommer til forbrukernes personvern, særlig knyttet opp mot pågående lovprosesser. Personvernkommisjonen deler Regjeringens syn på at atferdsbasert markedsføring mot barn bør forbys. Kommisjonen støtter også at bruken av særlige kategorier av personopplysninger til markedsføringsformål forbys.
Personvernkommisjonen har delt seg i et flertall og et mindretall i spørsmålet om et generelt forbud mot atferdsbasert markedsføring bør utredes. Kommisjonens flertall mener at det bør utredes hvorvidt et generelt forbud er nødvendig for å beskytte norske og europeiske forbrukere. Kommisjonens mindretall mener at så lenge atferdsrettet markedsføring gjøres forsvarlig, vil et generelt forbud være uforholdsmessig.
Personvern er i dag ikke et konkurransefortrinn for kommersielle aktører, både fordi det som regel er umulig for forbrukere å ha oversikt over eventuelle personvernkonsekvenser, og fordi det i for liten grad straffer seg å bryte loven. Personvernkommisjonen mener at myndighetene har en rolle å spille i å stimulere til utvikling og bruk av personvernvennlig teknologi, både gjennom innkjøpsordninger og anskaffelser, og ved at det slås hardere ned på aktører som ikke ivaretar personvernet. Det er spesielt avgjørende at regelverket håndheves overfor de globale teknologiselskapene, som har en dominerende posisjon i den datadrevne økonomien. Her bør det også vurderes om konkurranselovgivningen kan brukes mer aktivt for å forhindre negative personvernkonsekvenser ved oppkjøp og fusjoner, samt begrense gigantenes markedsmakt for å sikre like spilleregler.
Norge har, som investor, også en unik mulighet til å påvirke globale teknologiselskaper gjennom Statens pensjonsfond utland (Oljefondet), som eier betydelige andeler i teknologigigantene. Personvernkommisjonen mener at Oljefondet bør bruke sin investormakt, blant annet ved å utforme personvernkrav som en del av investeringsstrategien. Slik kan mangelfull ivaretakelse av personvernet bli en betydelig investeringsrisiko, som vil kunne skape økonomiske insentiver til å utvikle personvernvennlige løsninger.
1.3.3 Del III – Andre områder kommisjonen har arbeidet med
I kapittel 10 beskriver Personvernkommisjonen den juridiske kompleksiteten i personvernregelverket og drøfter det nasjonale handlingsrommet som følger av forordningen.
Personvernet er regulert av personopplysningsloven og personvernforordningen, som er sektorovergripende regelverk. I tillegg finnes nasjonale, sektorspesifikke regler om behandling av personopplysninger. Forordningen er utformet på en måte som skaper en rekke vanskelige tolkningsvalg. I mange tilfeller forutsetter lovgivningen dessuten at det foretas brede skjønnsmessige avveininger. Ikke sjelden kan det være vanskelig å forstå samspillet mellom personvernforordningen og nasjonal lovgivning. Dette kan skape utfordringer for både de behandlingsansvarlige og de registrerte. Personvernkommisjonen anbefaler derfor at det gjøres et kontinuerlig arbeid for å gjøre rettsreglene så forståelige som mulig.
Selv om personvernforordningen i utgangspunktet gjelder likt i alle EU- og EØS-land, er det i bestemte sammenhenger både adgang og plikt til å gi nasjonale regler. I tillegg kan det være behov for nasjonal regulering som bygger bro mellom nasjonal lovgiving og forordningen.
Personvernkommisjonen anbefaler blant annet at regjeringen bør føre en aktiv lovgivingspolitikk for å fremme personvernet, både ved å benytte det nasjonale handlingsrommet, og ved å arbeide aktivt opp mot EU for å styrke felleseuropeisk lovgiving. Kommisjonen fremmer også en rekke konkrete forslag til hvordan det nasjonale handlingsrommet kan anvendes.
I kapittel 11 drøfter Personvernkommisjonen hvordan teknologi kan anvendes for å bedre ivareta personvernet. Det handler om hvordan teknologi ikke bare skaper trusler for personvernet, men også kan bidra til å ivareta personvern. Blant annet kan teknologiske verktøy gjøre innbyggerne bedre rustet til å ivareta og anvende sine personvernrettigheter, og til å hjelpe behandlingsansvarlige til å etterleve forpliktelsene de har. Kommisjonen beskriver hvordan innebygd personvern kan se ut i praksis, gjennom en «rettighetsplattform» hvor innbyggere kan ha tilgang til opplysninger offentlige aktører har om dem, og der de kan få støtte i å utøve rettigheter som for eksempel innsyn, retting og sletting.
Personvernkommisjonen anbefaler at norske myndigheter stimulerer til utviklingen av personvernteknologi, blant annet gjennom innkjøpskrav og økonomiske incentivordninger.
I kapittel 12 drøfter kommisjonen åpenhet som en grunnforutsetning for tilfredsstillende demokratisk deltagelse, personvern og rettssikkerhet.
Personvernet berører flere aspekter ved ytrings- og informasjonsfrihet, og disse rettighetene kan noen ganger komme i konflikt med hverandre. For eksempel kan retten til personvern begrense tilgang til personopplysninger, noe som kan begrense informasjonsfriheten. Samtidig kan personvernet være en viktig forutsetning for at individer velger å ytre seg om kontroversielle temaer. Et godt personvern kan således motvirke nedkjølingseffekter på ytringsklimaet.
Personvernkommisjonen mener det er nødvendig at resultater av automatiserte prosesser som har direkte betydning for innbyggernes plikter, rettigheter, friheter og muligheter, kan forklares. Dersom det for eksempel fattes helt eller delvis automatiserte forvaltningsvedtak, avgjørelse av søknader om lån, eller utmåling av en fengselsstraff, må personer som avgjørelsene gjelder få en forståelig forklaring av hvorfor resultatet fra maskinen ble som det ble.
Åpenhet innebærer også mulighet til å få innsyn i egne personopplysninger, og kunnskap om hvem som har tilgang på disse og hvordan de brukes. Personvernkommisjonen mener at det bør være et mål at innbyggerne skal ha tilgang til informasjon om de konkrete registrerte personopplysningene om seg selv. Ved å tilgjengeliggjøre opplysningene trenger ikke den enkelte å måtte søke om innsyn. Det må også legges til rette for at informasjonen er forståelig for de berørte, også for de som mangler grunnleggende digital kompetanse. Personvernkommisjonen gir sin tilslutning til viktige konklusjoner i Digitaliseringsdirektoratets utredning av hvordan åpenhet og tilgjengeliggjøring av informasjon om behandling av personopplysninger bør gjennomføres i praksis.
Personvernkommisjonen anbefaler også at de registrerte i større grad bør involveres i utvikling av tjenester. Det er et behov for reell medvirkning i utviklingen av løsninger som behandler personopplysninger.
I kapittel 13 presenterer Personvernkommisjonen Datatilsynets rolle som tilsyn, veiledningsorgan og samfunnsaktør. Datatilsynet har i dag et sektorovergripende ansvar og en betydelig arbeidsmengde, noe som skaper ressursutfordringer ved gjennomføring av lovpålagte oppgaver.
Personvernkommisjonen mener Datatilsynet må styrkes gjennom økte ressurser. Samtidig er det ikke slik at personvernet utelukkende kan sikres gjennom en sterk sentral tilsynsmyndighet. For å styrke personvernet er det nødvendig å sørge for tilgang på personvernkompetanse på alle samfunnsområder, også hos andre offentlige organer enn Datatilsynet.
Fordi personvernregelverket er vanskelig å anvende, er det problematisk at mange behandlingsansvarlige ikke har tilstrekkelig tilgang på veiledning. Dette kan føre til feiltolkning av regelverket og personvernbrudd.
Personvernkommisjonen anbefaler at veiledning av behandlingsansvarlige styrkes. Samtidig bør sektortilsyn i større grad se ivaretakelse av personvern som en oppgave innen sitt arbeidsområde. Dette kan bidra til bedre veiledningstilbud og mer effektiv håndheving.
Fotnoter
Falch, C. (2022). Rapport til Personvernkommisjonen. Intervjuer med barn og unge om personvern.