Del 1
Hva er personvern, rettslig rammeverk og teknologiske drivkrefter
3 Hva er personvern og hvorfor er det viktig?
3.1 Hva er personvern
Personvern kan defineres og beskrives på ulike måter. Uansett hvilken innfallsvinkel man velger, står det enkelte menneskets ukrenkelighet og krav på respekt fra andre mennesker, virksomheter og myndigheter, respekt for egen integritet og privatlivets fred, sentralt. Personvern er derfor nært knyttet til enkeltindividers muligheter for privatliv, selvbestemmelse og selvutfoldelse. I tillegg kan personvernet sies å være et grunnleggende premiss for et fullverdig demokratisk samfunn.
Prinsippet om individets rett til en privat sfære er forankret i den europeiske menneskerettskonvensjonen1: «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse».2 Personvern er således en grunnleggende rettighet og et fundament mange av de andre menneskerettighetene bygger på. Personvernet er også forankret i Grunnloven: «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet».3
I NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet, redegjorde den forrige personvernkommisjonen inngående om personvernbegrepet og utvikling i personverndebatten fra 1970-tallet og frem til begynnelsen av 2000-tallet. Kommisjonen viser til redegjørelsen i Del I avsnitt 4 i NOU 2009: 1.4
I nyere litteratur forklares personvern som «vern av private sfærer som mennesker befinner seg i».5 Schartum forstår personvern som en tilstand, en opplevelse av autonomi og integritet innenfor avgrensede områder (private sfærer). Psykisk sfære handler om individets selvfølelse og mentale tilstand. Kroppslig sfære gjelder personens rett til å bestemme over sin egen kropp og friheten fra at andre krenker kroppslig integritet. Geografisk sfære betegner private områder der vi har en forventning om å være i fred og å kunne bestemme selv. Kommunikasjon mellom mennesker bør også kunne skje på en beskyttet måte, som kommunikasjonspartnerne er enige om, og der de er innforstått med hva som er tilgjengelig for hvem.6 Schartum beskriver også en femte sfære, en «opplysningssfære». Innenfor opplysningssfæren har den enkelte rett til å bestemme over opplysninger om egen person og en mulighet til å justere hvem som skal ha tilgang til disse opplysningene, i tillegg til et krav om at egne valg om dette blir anerkjent og respektert.7Personvernkommisjonen legger denne forståelse av personvern til grunn, men presiserer at barn og andre individer som ikke har full autonomi og selvbestemmelse også har rett til personvern, blant annet i tilfeller hvor foreldre utøver autonomi på barnets vegne.
Innenfor alle disse sfærene kan det oppstå krenkelser, ved at andre mennesker, virksomheter eller myndigheter, bryter med individenes vernede forventninger til autonomi og integritet. Disse handlingene kan utføres på ulike måter, som ikke nødvendigvis innebærer bruk av teknologi. Innbrudd i noens hjem, «vindustitting», tvungen kroppsvisitasjon og kontroll kan for eksempel krenke personvernet, uten at den som gjennomfører krenkelsen tar i bruk teknologi. Videoovervåkning, profilering, opptak av fingeravtrykk og avlytting, innebærer derimot at individenes handlinger, preferanser eller egenskaper, ved hjelp av teknologi, oversettes til elektroniske opplysninger,8 som registreres og brukes på en måte som gir mer kunnskap om enkeltpersoner. Digital teknologi skaper muligheter til å generere, samle, og systematisere opplysninger om en persons atferd og væremåte innenfor alle områder en person forventer å kunne opptre «privat». Opplysningene kan brukes som underlag for beslutninger, og kan også påvirke individenes atferd.
3.1.1 Personvern og personopplysningsvern
I juridisk litteratur skilles det gjerne mellom to begreper, personvern og personopplysningsvern. Personvern kan forstås som vern av den personlige integritet i utvidet forstand. Et vesentlig element i personvernet er at den enkelte skal ha kontroll over, og i størst mulig grad kunne bestemme over egne personopplysninger. Dette innebærer en rett til å få vite hvilke opplysninger andre kjenner til om en selv og hva opplysningene brukes til. Dette omtales ofte som personopplysningsvern, og det er primært denne dimensjonen som er underlagt omfattende lovregulering gjennom blant annet personopplysningsloven, politiregisterloven og regler om taushetsplikt.
Skillet mellom personvern og personopplysningsvern er ikke etablert i dagligtalen. Det er begrepet personvern som er innarbeidet, også som uttrykk for det vernet man er berettiget til ved behandling av personopplysninger.
Personvernkommisjonen erkjenner at personvernbegrepet er mangfoldig, og at sammenhengen begrepet brukes i, vil påvirke hvorvidt det dreier seg om personvern i vid forstand eller om det som kan omtales som personopplysningsvern.
Videre i utredningen benytter kommisjonen begrepet personvern, også som betegnelse på beskyttelse av personopplysninger.
Personvernkommisjonens arbeid er knyttet til de utfordringene personvernet møter i dagens samfunn. Gjennom mandatet er kommisjonen oppfordret til å drøfte hvordan digitaliseringen, og medfølgende økt behandling av personopplysninger, legger press på det grunnlovfestede personvernet.
3.2 Ulike elementer i personvernet
Personvern tar sikte på å verne om individer som befinner seg i utvalgte situasjoner, kontekster eller «sfærer». Innenfor den private sfære har individene et ønske og en interesse om å verne deler av sitt liv, sin person og sin væremåte. Det er den enkelte selv som definerer et område der kun de nærmeste slipper inn. Individene må kunne ha en forventning om å kunne definere ikke bare et geografisk/fysisk avgrenset område, men også et mentalt rom der tanker kan være skjermet mot manipulerende og krenkende påvirkning og statlig eller kommersiell kontroll. Personvern kommer også til uttrykk i form av et krav om beskyttet privatliv, skjermet for uønsket oppmerksomhet og forstyrrelser. Med dette kommer en forventning om at definerte grenser, så langt det er mulig, skal respekteres.
Retten til personvern setter også skranker for myndighetenes adgang til å igangsette kontroll og overvåkningsaktiviteter som samler informasjon om hvorvidt folks handlinger er i samsvar med rettslige og sosiale normer. Personvern ivaretar individenes interesse i at kontroller er forholdsmessige. Man bruker ofte begrepene «kontrollsamfunnet» og «overvåkningssamfunnet» for å beskrive samfunn der den enkelte nesten konstant er gjenstand for myndigheters og mektige private aktørers overvåkning og kontroll. En rett til personvern beskytter individene mot maktmisbruk og overdreven kontroll. Både vedvarende overvåkning og mer sporadiske stikkprøvekontroller kan krenke personvernet, dersom de ikke skjer innenfor forutsigbare og kjente rammer.
Selv etter at opplysninger om en selv er tilgjengeliggjort for en mindre eller større krets av personer, består interessen i å bestemme over tilgangen til opplysninger om egen person. Denne idéen er ofte omtalt som «kontekstuelt personvern». Individene er villige til å akseptere en større åpenhet i noen sammenhenger, men kan likevel ha et sterkt ønske om å skjerme seg i andre sammenhenger. Dersom en arbeidsgiver for eksempel registrerer opplysninger om den ansattes seksuelle orientering eller politiske preferanser, kan dette oppleves som krenkende, selv om de samme opplysningene ikke er hemmelige, og er godt kjent for andre man omgås med privat.
Videre er forventningen om at de som «inviteres inn» i ens private rom, og kjenner til informasjon om personlige forhold, ikke misbruker tilliten ved å bruke opplysninger til uventede, uetiske eller ulovlige formål. Å ivareta personvernet er etter dette ensbetydende med å respektere konteksten informasjon er gitt i, intenderte mottakere, og forventninger til mottakernes bruk av opplysningene. Samtidig må det aksepteres at det er flere legitime begrunnelser for å overstyre et slikt individuelt krav om å ikke bruke personopplysningene i strid med forventningene. Flere samfunnsfunksjoner kan ikke ivaretas uten at personopplysninger må behandles. Etterforskning av kriminalitet og straffeforfølgning er typiske legitime innskrenkinger av individenes personvern. Opplysninger behandles som oftest uten individets uttrykkelige samtykke og i praksis vil den enkeltes frie rådighet over egne personopplysninger ofte være kraftig innskrenket.
Personvernet vil i noen tilfeller komme i konflikt med andre rettigheter og samfunnsinteresser. For eksempel kan personvern begrunne begrensninger i ytringsfriheten ved at noen personopplysninger ikke blir offentlige. På den annen side kan nettopp personvern være en forutsetning for ytringsfrihet, for eksempel fordi vern av den enkelte som ytrer seg kan være en forutsetning for at de tør å uttale seg i det offentlige rom. Også på andre måter kan personvern sies å være en forutsetning for andre grunnleggende rettigheter og friheter. Rettssikkerhet forutsetter for eksempel riktig beslutningsgrunnlag. Ofte danner personopplysninger grunnlag for beslutninger, og dersom disse er ulovlig innhentet eller inneholder feil og mangler, vil dette gi dårlig rettssikkerhet.
Hvilken vekt personvernet tillegges i møte med andre interesser er ofte et politisk spørsmål, der ulike aktører forholder seg ulikt, avhengig av prioriteringer, forpliktelser, insentiver og andre faktorer.
3.3 Hvorfor er personvern viktig?
Personvern er en grunnleggende forutsetning i et demokratisk samfunn. Det handler om å beskytte enkeltindivider og grupper, men personvern har også en instrumentell verdi for samfunnet som helhet. Personvern ansees som en individuell rettighet. Denne individuelle rettighetstilnærmingen stammer fra en lang filosofisk og rettslig tradisjon, og er tett sammenbundet med tanken om den liberale rettsstaten. Individets personvern er i mange tilfeller uløselig knyttet til andres personvern, og har således et kollektivt aspekt. Uansett om vi er borgere, forbrukere, eller familiemedlemmer, henger vårt personvern i mange tilfeller uløselig sammen med andres personvern. Et sterkt personvern er derfor både et individuelt gode og et kollektivt samfunnsgode. Disse to perspektivene drøftes kort nedenfor, og legger grunnlaget for videre drøftelser i senere kapitler.
3.3.1 Hvorfor er personvern viktig for individet?
Personvern er en individuell rettighet som legger grunnlaget for privat utfoldelse og meningsdanning. Det gir enkeltindivider og grupper muligheten til å skape og opprettholde private sfærer. Den private sfære kan beskytte oss mot uønskede inngrep ved at vi kan begrense hvem som får tilgang til kroppene, eiendelene og tankene våre og til vår kommunikasjon med andre mennesker. Det bidrar til å skape maktbalanse mellom individet og staten, og individet og private virksomheter.
Den private sfære er en viktig ressurs i et fungerende demokrati. Den er et rom for kritiske tanker, utvikling av holdninger og perspektiver som kan utfordre hva som der og da er alminnelig akseptert – på godt og vondt. Hvis man er redd for å bli overvåket, påvirker det hva som kommuniseres. På denne måten er personvern en forutsetning for retten til ytringsfrihet og tankefrihet.
Et sterkt personvern gir oss muligheter til å mene det vi vil, danne relasjoner med hvem vi vil og være den vi vil være. Det kan være særlig viktig for utsatte grupper og minoriteter, for å verne mot urettmessig overvåkning, diskriminering og maktmisbruk.
Retten til personvern handler dermed om å beskytte den enkelte mot misbruk, ha rom for å handle fritt, til å tenke, føle og være, uten inngripende påvirkning fra myndigheter, virksomheter eller andre. Selv om mennesker har ulike behov for å være private og ulik oppfatning av hva som er privat og ikke, er det grunnleggende at det skal være opp til den enkelte å bestemme når, hvor og hvordan man ønsker å dele eller ikke dele informasjon om seg selv.
3.3.2 Hvorfor er personvern viktig for samfunnet?
I tillegg til å være en grunnleggende individuell rettighet, er personvern også viktig for samfunnet og fellesskapet.
Dersom personvern forstås utelukkede som et individuelt anliggende, kan det være vanskelig å få øye på hvordan den enkeltes personvern også kan påvirke andres personvern. Mange tenker antageligvis at de ikke har noe å skjule, og ivaretakelsen av eget personvern er derfor ikke noe som opptar dem i hverdagen. Denne tankegangen støter på problemer i det sammenkoblede digitaliserte samfunnet, fordi personopplysninger om en enkeltperson ofte er uløselig knyttet til andre personer. For eksempel vil genetiske opplysninger om deg også gjelde dine barn, og dersom du sender slike opplysninger til et gentestingselskap vil du samtidig ha delt informasjon om barna dine. Dersom et forsikringsselskap tilbyr billigere forsikringspremier til alle som deler helseopplysninger fra en pulsmåler, kan dette føre til at individer som ikke ønsker å la seg overvåke må betale mer. Dermed kan personvernvalg som fremstår som rent individuelle anliggende, ha uforutsette konsekvenser for andre.
Boks 3.1 Tilrettelagt innhenting
Som en del av innføringen av en ny e-tjenestelov, har det vært mye diskusjon om såkalt «tilrettelagt innhenting», tidligere kalt «digitalt grenseforsvar». Solberg-regjeringens forslag om tilrettelagt innhenting gikk ut på at etterretningstjenesten skal ha hjemmel til å samle inn kommunikasjonsdata fra norske internettbrukere som krysser landegrensene. På grunn av hvordan internett er bygget opp, betyr det i utgangspunktet at så godt som all dataflyt krysser grensen, og kritikere har derfor uttalt at forslaget grenser til masseovervåkning.1 Behovet for tiltaket ble begrunnet med at innhentingen er nødvendig for å avdekke og motvirke trusler mot rikets sikkerhet. Etter at både Sverige og Storbritannia ble felt i Den europeiske menneskerettsdomstolen (EMD) for å ha innført lignende lovendringer, ble bestemmelsen som hjemler anvendelsen av systemet lagt på is.2 Det er usikkert om tilrettelagt innhenting vil være mulig innenfor rammene som er satt av rettspraksisen fra EMD.
Flere høringsorganer, inkludert Amnesty International, Datatilsynet, Norges Institusjon for Menneskerettigheter, Norsk Presseforbund og Redaktørforeningen har påpekt at tilrettelagt innhenting vil kunne ha alvorlige nedkjølingseffekter, som kan utfordre blant annet ytringsfriheten, kildevernet og konfidensialiteten mellom advokat og klient.3
1 Thon. B.E. (2018, 29. november). Digitalt grenseforsvar, Personvernkommisjon og hva som er godt personvern. Personvernbloggen. Datatilsynet.
2 Rett 24. (2021, 30. august). Regjeringen går videre med den kontroversielle delen av e-tjenesteloven.
3 Forsvarsdepartementet. (2018). Høring – Forslag til ny lov om Etterretningstjenesten.
Sammenstilling av opplysninger fra forskjellige kilder betyr også at data om deg kan anvendes på måter som negativt påvirker andre, uten at du selv merker at det skjer. For eksempel kan selskaper som selger ansiktsgjenkjenningsverktøy til undertrykkende regimer ha trent opp systemene sine på bilder hentet fra norske brukere av sosiale medier. Denne typen databruk kan ofte være umulig å forutse for enkeltindivider, og det er utfordrende å stole på at individuelle valg vil begrense slike skadevirkninger.
Det er et grunnleggende problem at det er vanskelig å ta stilling til konsekvenser av egne handlinger som rammer et abstrakt kollektiv, eller som bidrar til skadevirkninger for andre en gang i fremtiden. Det kan dras paralleller til miljø- og klimadiskusjonen, hvor det har vist seg at mange små individuelle valg som virker ubetydelige kan bidra til store samfunnsskader. Dette kalles gjerne allmenningens tragedie.9
På tross av at selvbestemmelse er et viktig aspekt ved personvernet, er det svakheter ved å overlate et felles samfunnsgode som personvern til enkeltindividers valg. For eksempel kan valg om hvilken nettleser vi bruker eller hvilke inngrep vi aksepterer, i mange tilfeller være tilsynelatende ubetydelige valg, men hvor de samlede effektene av mange individuelle valg kan påvirke alles personvern. Det understreker viktigheten av å ha demokratisk og regulatorisk kontroll over hvordan personopplysninger samles inn og brukes.
3.3.2.1 Nedkjølingseffekter
Personvernet er en viktig forutsetning for en opplyst og aktiv demokratisk debatt, og for muligheten til å bevege, tenke og ytre seg fritt. Et samfunn der alle kikkes over skulderen til enhver tid, kan gjøre innbyggerne usikre. Et samfunn preget av omfattende overvåkning skaper en såkalt panoptikon-effekt. Begrepet panoptikon stammer fra filosofen Jeremy Bentham, og beskriver et fengselsbygg designet som en sirkel hvor fengselsbetjentene sitter i et tårn i midten med utsikt over hele sirkelen, og fangenes celler er plassert langs sirkelen. Selv om vaktene ikke har kapasitet til å følge med på samtlige fanger til enhver tid, kan ikke fangene vite om de er under oppsyn eller ikke. Dette har en atferdsregulerende effekt – så lenge du vet at du kan være under overvåkning vil du endre oppførsel som om noen ser deg.
I et samfunnsperspektiv beskrives slike atferdsendringer gjerne som nedkjølingseffekter. I Norge har vi for eksempel hemmelig valg og gardiner i stemmelokaler fordi ingen skal kunne påvirke hva du stemmer på valgdagen. Dersom du visste at noen kikket deg over skulderen idet du avla stemmen din, ville dette kunne ha en nedkjølingseffekt som påvirker hvordan du stemte.
I et digitalisert samfunn hvor opplysninger samles inn om nesten alt man foretar seg, risikerer man en overhengende nedkjølingseffekt. Dersom søkemotoren følger med på hva du søker på, kan det for eksempel hende du avstår fra å finne informasjon om en potensielt pinlig sykdom, eller om mulig kontroversielle temaer. Dersom myndigheter har for vide fullmakter til å samle inn personopplysninger, kan det ha alvorlige konsekvenser for blant annet journalistikk, kildevern og i ytterste konsekvens for ytringsfriheten.10
I kjølvannet av Snowden-avsløringene, hvor varsleren Edward Snowden avdekket et omfattende overvåkningsnettverk i regi av amerikansk etterretning, observerte forskere at antall Wikipedia-søk på stikkord som kunne føre til muligheter for å havne i myndighetenes søkelys, sank betraktelig.11 Ifølge forskerne kan årsaken ha vært at bevisstheten om den statlige overvåkningen bidro til at mange vegret seg for å oppsøke slik informasjon. Slike nedkjølingseffekter er særlig problematiske hvis det fører til at borgere ikke tør å oppsøke informasjon som kan være nødvendig for en opplyst samfunnsdebatt – da blir hele samfunnet et panoptikon.
3.3.3 Personvern på tvers av samfunnet
I tråd med digitaliseringen av alle samfunnssektorer har personvern blitt et viktig tema på tvers av samfunnet. Selv om Personvernkommisjonens mandat er avgrenset til å særlig vurdere personvern i offentlig forvaltning, justissektoren, skolen og forbrukermarkedet, går de samme utfordringene og problemstillingene, og i mange tilfeller løsningene, igjen i en rekke andre sektorer. Personvernet er en grunnleggende rettighet enten du er pasient, arbeidstaker, flyktning eller pensjonist. Det er ikke lenger tilstrekkelig å vurdere personvern som en arena kun for spesialister og spesielt interesserte – grunnleggende rettigheter må stå sentralt i alle sider av et fritt og demokratisk samfunn.
4 Rettslig regulering av personvern
Enkeltindividets personverninteresser er ivaretatt gjennom omfattende regulering, både nasjonalt og internasjonalt. Deler av regelverket er utformet som grunntraktater om menneskerettigheter som er nedfelt i kortfattede, generelle bestemmelser. Disse traktatene utgjør det sentrale normative grunnlaget for mesteparten av det øvrige regelverket på feltet, både nasjonalt og internasjonalt.
Personvernkommisjonen vil i dette kapitlet gjennomgå de mest sentrale regelverkene som utgjør det internasjonale rammeverket for beskyttelse av retten til personvern. Kommisjonen vil også behandle utvalgte deler av nasjonalt regelverk som er direkte relevant for ivaretakelse av personvern. Politiregisterloven12 og annen relevant særlovgivning vil bli diskutert i kapitlene som omtaler den aktuelle sektoren. Særlovgivning på helseområdet, herunder pasientjournalloven, helseregisterloven og helseforskningsloven, vil ikke behandles, da helseområdet ikke er en del av Personvernkommisjonens mandat.
Kommisjonens mandat inneholder flere punkter der barns personvern er særskilt fremhevet. Av denne grunn vil kommisjonen omtale internasjonal og nasjonal lovgivning som berører barns personvern i dette innledende kapitlet. Barns rett til personvern i forbrukersituasjoner og i familiære relasjoner diskuteres i kapittel 9 om forbrukernes personvern.
4.1 Personvern som menneskerettighet
Flere internasjonale traktater om menneskerettigheter anerkjenner personvern som en grunnleggende rettighet. Dette kommer først og fremst til uttrykk i bestemmelser om retten til privatliv («privacy» eller «private life»). Slike internasjonale regelverk har en prinsipiell betydning. Retten til personvern forankres i konvensjoner som tiltres av langt flere stater enn de som har vedtatt spesifikke regler for å verne individer ved behandling av personopplysninger.
Prinsippene som konvensjonene stadfester, er også inntatt i gjeldende lover og regler som omhandler personvern mer direkte. For stater som ikke har tilsvarende regulering av personvern, og ikke er bundet gjennom internasjonale avtaler til å vedta spesifikke regler, kan konvensjonene til en viss grad benyttes for å håndheve en rett til beskyttelse som ellers ikke kan forankres i nasjonal rett. Felles regelverk for beskyttelse av personvern sender også et sterkt signal om at det internasjonale samfunnet anerkjenner og er enige om å slutte seg til felles prinsipper ved behandling av personopplysninger.
Menneskerettigheter kjennetegnes av at de er universelle, ukrenkelige, udelelige og umistelige.13 Respekt for personvern som en grunnleggende menneskerettighet, innebærer imidlertid ikke direkte plikter for individer og virksomheter. Det er staten som gjennom internasjonale avtaler forplikter seg til å ivareta menneskerettighetene. Staten har en plikt til å iverksette lover og regler som beskytter individet, også mot inngrep fra private aktører. Ved å vedta generelle eller særregler som fastsetter plikter for virksomheter som behandler personopplysninger, ivaretar staten sine forpliktelser etter menneskerettighetslovene.
Retten til personvern anerkjennes i FNs Verdenserklæring om menneskerettighetene av 194814, artikkel 12,15 samt i Konvensjon om sivile og politiske rettigheter av 1966 (forkortet «SP»)16, artikkel 17.17 Konvensjonen er gjort til norsk lov gjennom menneskerettsloven, og bestemmelsene i konvensjonen går foran annen norsk lovgivning ved eventuell motstrid.
Europarådets personvernkonvensjon av 28. januar 1981 er den første og eneste rettslig bindende internasjonale avtalen om personvern.18 Konvensjonen er ratifisert av Norge, og 52 andre land i verden. Konvensjonen fastsetter en rekke prinsipper, rettigheter og plikter som skal følges ved behandling av personopplysninger, og som partene er forpliktet til å gjennomføre i sin nasjonale lovgivning. I 2018 ble en endringsprotokoll vedtatt og åpnet for signering for både land som er medlemmer av Europarådet og tredjeparter.19 Endringene sørget for at konvensjonen innholdsmessig er i tråd med personvernforordningen.
EUs charter om grunnleggende rettigheter inneholder også to bestemmelser med særskilt relevans for personvern.20 Den første er artikkel 7, som gir rett til respekt for privat- og familieliv, hjem og kommunikasjon. Det gis også en særskilt rett i charteret artikkel 8 til «vern av personopplysninger» som del av de grunnleggende menneskerettighetene i EU. Dette innebærer at vern av personopplysninger er ansett som en grunnleggende rettighet. Etter ikrafttredelsen av Lisboa-traktaten21 i 2009 har EUs charter om grunnleggende rettigheter samme juridiske status som EUs traktater.
4.1.1 Grunnloven
Menneskerettighetene har siden 2014 også fått en sentral plass i Grunnloven. I Grunnlovens § 92 presiseres det at «statens myndigheter skal respektere og sikre menneskerettighetene slik de er nedfelt i denne grunnlov og i for Norge bindende traktater om menneskerettigheter».
Stortinget styrket også vernet om den personlige integriteten i 2014, ved å innta en bestemmelse om personvern i Grunnloven, i § 102:
«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet.»
Etter at personvern ble inntatt eksplisitt i Grunnloven er det usikkert hvilken selvstendig rolle EMK artikkel 8 (se omtale under) vil spille for norsk rett ved beskyttelse av personvern.
Menneskerettighetsutvalget uttalte om samspillet mellom reglene at grunnlovsbestemmelsen:
«… vil fremheve det rettslige utgangspunkt om ivaretakelse av disse verdiene i norsk rett…», men at «… [d]en nærmere vurderingen eller avveiningen av hvor langt en slik grunnlovsbestemmelse strekker seg, vil måtte forstås i lys av og suppleres med det internasjonale konvensjonsvernet og med tidligere ulovfestet rett.»22
Dette innebærer at praksis fra Den europeiske menneskerettsdomstolen (EMD) anses relevant også ved fastleggelsen av grunnlovsbestemmelsene.23
Barns rett til personvern er særskilt regulert i Grunnloven § 104 tredje ledd, som slår fast at: «Barn har rett til vern om sin personlige integritet.»24 Grl. § 104 bygger på sentrale bestemmelser i FNs barnekonvensjon.25 Konvensjonen gjelder som norsk lov med forrang fremfor annen lovgivning, jf. menneskerettsloven § 3. Barnekonvensjonen omtales nedenfor i avsnitt 4.1.3. Etter Grunnloven § 102 annet ledd skal statens myndigheter sikre et «vern om den personlige integritet». Barns integritetsvern etter § 104 er altså sterkere enn dette. Begrunnelsen for dette er at barn er særlig sårbare, og fordi de i større grad enn myndige personer trenger myndighetenes hjelp for å beskytte sin personlige integritet.
4.1.2 Den europeiske menneskerettskonvensjonen artikkel 8
Den europeiske menneskerettskonvensjon av 1950 (forkortet «EMK») ble vedtatt den 4. november 1950 og trådte i kraft den 3. september 1953. Den offisielle norske oversettelsen av artikkel 8 lyder slik:
«Artikkel 8. Retten til respekt for privatliv og familieliv
1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettigheten unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.»
EMK er norsk lov som følge av menneskerettsloven av 199926 § 2 nr. 1, og den har forrang foran annen norsk lovgivning ved motstrid, jf. § 3. Det er EMK artikkel 8 andre ledd som har fått størst betydning etter innføring av personvernforordningen. Bestemmelsen pålegger en stat å ha lover som verner privatlivets fred og som verner den enkelte mot å få sin integritet og ære krenket, både av offentlige myndigheter og private aktører. Plikten omfatter også at det må finnes lover som regulerer innsamling, forvaltning og spredning av personopplysninger.27
EMD håndhever konvensjonens bestemmelser i siste instans, herunder artikkel 8. EMD har over tid lagt til grunn at artikkel 8 inkluderer vern av personopplysninger, både for offentlig sektor og privat sektor.28 I flere saker har EMD drøftet retten til privatliv, og i noen av disse sakene har også vernet ved behandling av personopplysninger blitt satt på spissen.
Beskyttelse av «privatliv» innebærer også en viss grad av beskyttelse av sosiale relasjoner. Barnelovutvalget skriver i sin utredning: «EMK artikkel 8 inneholder også en plikt for myndighetene til å iverksette tiltak – herunder lovgivningstiltak – for å beskytte privatlivs- og familielivsinteresser, til en viss grad også for å beskytte individet mot inngrep i disse interessene som begås av andre privatpersoner. Bestemmelsen har dermed også betydning i forholdet mellom – for eksempel – foreldre og barn.»29Kommisjonen kommer tilbake til disse problemstillingene i kapittel 9 om forbrukernes personvern.
4.1.3 Barnekonvensjonen og barnets beste
Barn har et selvstendig krav på rett til respekt for sitt privatliv og sitt familieliv etter EMK artikkel 8. Barns rett til personvern er i tillegg gitt særskilt vern gjennom FNs konvensjon om barnets rettigheter (Barnekonvensjonen) artikkel 16.30 Barnekonvensjonen ble vedtatt 20. november 1989. Den ble bindende for Norge i 1991 og norsk lov i 2003 gjennom et tillegg til menneskerettsloven av 1999.
Barnekonvensjonen setter eksplisitt barnet i sentrum og gir barnet status som selvstendig rettighetshaver. Det følger av konvensjonen at barn har rett til beskyttelse mot «vilkårlig eller ulovlig innblanding i sitt privatliv, sin familie, sitt hjem eller sin korrespondanse, eller for ulovlige angrep mot sin ære eller sitt omdømme.» Barnekonvensjonen artikkel 16 omfatter alle former for krenkelse av den personlige integritet og retten til privatliv, også ved behandling av personopplysninger.
Barnekonvensjonen artikkel 16 skal tolkes i lys av fire generelle prinsipper, som kommer til utrykk i fire ulike artikler i konvensjonen. Disse er artikkel 3 om hensynet til barnets beste, artikkel 12 om retten til å si sin mening og å bli hørt, artikkel 2 om ikke-diskriminering og artikkel 6 om retten til liv og utvikling.
Etter det Personvernkommisjonen kjenner til, finnes det svært få avgjørelser å støtte seg til for å klarlegge innholdet i bestemmelsen. Artikkel 16 er imidlertid ansett å omfatte foreldres krenkelse av egne barns personvern, for eksempel hvis foreldre legger ut opplysninger om barnet på internett i strid med barnets rett til privatliv.31 Bestemmelsen omfatter også innsamling, forvaltning og spredning av personopplysninger om barn.
FNs barnekomité er overvåkingsorgan for barnekonvensjonen.32 Statene rapporterer om status på overholdelse av Barnekonvensjonens plikter gjennom rapportering hvert femte år til barnekomitéen.33 Komitéen utarbeider også generelle kommentarer («General comments») om ulike temaer og bestemmelser i konvensjonen. Kommentarene fra barnekomitéen utgjør viktige holdepunkter og retningslinjer for norske myndigheters arbeid med å gjennomføre forpliktelsene etter konvensjonen. Kommentarene er ikke formelt bindende, men har likevel autoritet, idet de bygger på komitéens samlede erfaring og innsikt. Barnekomitéen har utgitt en generell kommentar nr. 25 om barns rettigheter i det digitale miljø, som omtales nærmere i kapittel 9 om forbrukernes personvern.
Barnekonvensjonens tredje tilleggsprotokoll til konvensjonen gir individuell klageadgang for barn. Dette innebærer at barn har mulighet til å klage på behandlingen av egne personopplysninger. Norge har imidlertid ikke tilsluttet seg denne tilleggsprotokollen.34 Beslutningen har blitt møtt med omfattende kritikk fra Barneombudet.35
4.1.3.1 Prinsippet om «barnets beste»
Prinsippet om barnets beste i Barnekonvensjonen artikkel 3 nr. 1 er et av de mest sentrale rettslige prinsippene som omhandler barn. Konvensjonskravet er at barnets beste skal være et grunnleggende hensyn der handlinger «berører barn». Begrepet «grunnleggende hensyn» i artikkel 3 nr. 1 viser til at hensynet til barnets beste ikke bare er et av flere momenter i en helhetsvurdering, men et hensyn som skal ha stor vekt. At det skal være et grunnleggende hensyn, medfører likevel ikke at barnets beste alltid trumfer andre hensyn. Det skal komme frem av begrunnelsen at barnets beste er vurdert, samt hvordan dette hensynet er avveid mot andre hensyn som gjør seg gjeldende.36 Dersom motstridende hensyn har like stor vekt som hensynet til barnets beste, vil imidlertid sistnevnte trumfe i avveiningen.37
I vurderingen av hva som er barnets beste, er det også relevant å legge vekt på foreldrenes synspunkter. Dette er særlig aktuelt der det er tvil om hva som er det beste for barnet. Barns rett til å bli hørt er også helt grunnleggende. Det er nær sammenheng mellom prinsippet om barnets beste og retten til å bli hørt.38
Hva som vil være til det beste for det enkelte barn i en konkret situasjon, beror på en individuell og konkret vurdering, men når det gjelder behandling av personopplysninger må det kunne legges til grunn et slags føre-var-prinsipp. Det vil være bedre å opptre med varsomhet slik at ikke personopplysninger havner på avveie eller lignende. Det faktum at barns personopplysninger typisk kan volde problemer for barnet i fremtiden, er også et eksempel på dette. Prinsippet om barnets beste behandles også i kapittel 9 om forbrukernes personvern.
4.2 Personopplysningsloven og personvernforordningen (GDPR)
4.2.1 Personvernforordningen
Personvernforordningen39 inneholder bestemmelser om behandling av personopplysninger innen de fleste samfunnsområder, og er det personvernregelverket med klart størst praktisk betydning. Forordningen gjelder imidlertid ikke behandling av personopplysninger for rent private og familiemessige aktiviteter. Opplysninger som brukes «innenfor husets fire vegger» faller derfor utenfor, men ikke dersom opplysningene legges åpent ut på for eksempel sosiale medier. For justissektoren (for eksempel politi og domstoler) gjelder det dessuten egne regler i politidirektivet40, som primært er gjennomført i norsk rett i politiregisterloven.
Personvernforordningen gjelder direkte i alle land i EØS, og inneholder de aller fleste bestemmelser om hvordan personopplysninger skal behandles. Personvernforordningen gjelder i utgangspunktet likt, «ord for ord», i alle EØS-land. Ambisjonen om felles regler er imidlertid ikke gjennomført fullt ut. I forordningen finnes mer enn 30 bestemmelser som gjelder nasjonal regulering. Det nasjonale handlingsrommet, og hvordan dette kan og bør brukes, diskuteres nærmere i kapittel 10 om regelverkskompleksitet og nasjonalt handlingsrom.
Den norske personopplysningsloven41 har primært tre funksjoner. For det første bestemmer den at personvernforordningen skal gjelde som norsk lov og ved konflikt gå foran annen norsk lov. For det andre inneholder den en rekke bestemmelser som bare gjelder i Norge. Dette betyr at en alltid må ta utgangspunkt i personvernforordningen, og sjekke om det er gitt særregler for Norge i personopplysningsloven. Norske særregler kan imidlertid også finnes i annen norsk lovgivning. For det tredje inneholder personopplysningsloven bestemmelser om de norske myndighetene på området: Datatilsynet og Personvernnemda.
Personvernforordningen inneholder mange bestemmelser, men det er de fem første kapitlene som har størst betydning for det løpende arbeidet med vern av personopplysninger. Den andre halvdelen av teksten gjelder i stor grad tilsynsmyndighetenes oppgaver og myndighet, håndhevelse og sanksjoner, og adgangen til å fastsette nasjonal lovgivning på enkelte, sentrale saksområder
De aller fleste bestemmelsene i personvernforordningen er generelle og forutsetter ikke en bestemt type behandling. Likevel er det gitt enkelte særlige bestemmelser om profilering, helt automatiserte avgjørelser, og direkte markedsføring. I personopplysningsloven er det i tillegg gitt regler om forbud mot kameraovervåking eller andre handlinger som gir inntrykk av at kameraovervåking finner sted.42
4.2.2 Hva gjelder personvernforordningen for?
Personvernforordningen gjelder for «behandling av personopplysninger». Personopplysninger er alle opplysninger som kan knyttes til en fysisk person. Det er altså nok at det vil være mulig å kople en opplysning til en person; det trenger ikke å ha skjedd. Når en bil kjører gjennom en bomstasjon, er det normalt ingen som finner ut hvem som sitter i bilen, men fordi det er mulig å gjøre det, er registreringen av bilen en personopplysning. De aller fleste bestemmelsene i personvernforordningen gjelder alle opplysninger, uansett om de ikke oppfattes som spesielt sensitive i dagliglivet. I tillegg gjelder strengere bestemmelser for særlige kategorier personopplysninger, inkludert opplysninger om etnisitet, religion, politisk oppfatning, helseopplysninger, seksuell legning og flere andre opplysningstyper som en generelt anser som spesielt sensitive.
Personopplysninger kan fremkomme på en rekke måter, blant annet som skrift, foto, video, tegning, lyd, eller registering i sensor. «Behandling» dekker alt en kan gjøre med en personopplysning, inkludert innsamling, strukturering, prøving av vilkår, beregning, videresending, lagring, og all annen bruk. Til sammen gjør dette at «behandling av personopplysninger» angir et veldig omfattende saklig virkeområde for personvernforordningen. Forordningen forutsetter stort sett at behandlingen er automatisert. Det er nok med delvis automatisering for at forordningen skal gjelde. Er behandlingen helt automatisert, gjelder det egne strenge regler. Forordningen gjelder også for manuelle personregistre, altså strukturerte manuelle samlinger av personopplysninger.
4.2.3 Hvem gjelder personvernforordningen for?
Personvernforordningen inneholder primært regler som «behandlingsansvarlige» virksomheter og enkeltpersoner må følge. Grovt sagt vil alle som samler inn personopplysninger om andre bli regnet som behandlingsansvarlige. For eksempel vil en kommune være behandlingsansvarlig når den samler inn opplysninger om elever i grunnskolen, eller en konsertarrangør vil være behandlingsansvarlig når den registrerer hvem som kjøper billetter til en konsert. Den behandlingsansvarlige er den som fastsetter formålet med behandlingen av personopplysninger og bestemmer hvilke hjelpemidler (for eksempel IT-systemer) som skal benyttes. I virksomheter er det den øverste ledelsen for virksomheten som har behandlingsansvaret. Det er egne regler for tilfeller der to eller flere behandlingsansvarlige samarbeider.
Behandlingsansvarlige kan inngå avtale med andre virksomheter om at de skal behandle personopplysninger på den behandlingsansvarliges vegne. Slike virksomheter kalles databehandlere, og skal være underlagt en egen avtale og behandlingsansvarliges instruksjonsmyndighet.
Personvernforordningen er tuftet på ansvarsprinsippet, som innebærer at den behandlingsansvarlige har ansvar for at personvernprinsippene og enkeltbestemmelser i forordningen ellers etterleves. Dersom dette ikke skjer, kan den behandlingsansvarlige (eventuelt databehandler) bli ilagt store overtredelsesgebyrer, og eventuelt bli idømt erstatningsplikt.
Personvernforordningen gir personer det er registrert opplysninger om (de «registrerte») en rekke rettigheter overfor den behandlingsansvarlige. Blant annet kan registrerte personer kreve innsyn i egne personopplysninger. Den behandlingsansvarlige har i tillegg plikt til å på eget initiativ gi registrerte en rekke opplysninger om hva og hvordan personopplysningene om de registrerte blir behandlet. Den enkelte registrerte kan også be om at opplysninger rettes, suppleres eller slettes, protestere mot at spesielt belastende opplysninger om dem blir behandlet, eller motsette seg helt automatisert behandling av personopplysninger. Den behandlingsansvarlige skal legge til rette for bruk av rettigheter, eventuelt ved å lage systemløsninger som gjør det lettere å bruke dem (for eksempel innsynsrutiner, rutiner for å gi og trekke tilbake samtykke).
Personvernforordningen inneholder også en rekke bestemmelser om hvordan de nasjonale tilsynsmyndighetene skal samarbeide, herunder om Det europeiske personvernrådet (EDPB) og dets oppgaver og myndighet. Samlet utgjør de nasjonale tilsynene og rådet et felles europeisk tilsynsapparat som skal sikre effektiv og lik praktisering av forordningen i hele EØS. Samarbeidsmekanismene mellom tilsynsmyndigheter beskrives nærmere i kapittel 13.
Boks 4.1 Schrems II
Den 16. juli 2020 kom den såkalte «Schrems II»-dommen. EU-domstolen vurderte om Facebook brøt reglene i personvernforordningen i forbindelse med at Facebook overførte personopplysninger om europeiske brukere til USA. Dommen har betydning for all overføring av personopplysninger fra land i EU til land utenfor EU.
For det første kom EU-domstolen frem til at Privacy Shield var et ugyldig overføringsgrunnlag. Begrunnelsen var at USAs overvåkningspraksis og regelverk strider mot flere av reglene i personvernforordningen og EU-charteret. Konsekvensen er at Privacy Shield ikke kan benyttes som overføringsgrunnlag.
For det andre la domstolen til grunn at standard personvernbestemmelser (SCCs) ikke uten videre er et gyldig overføringsgrunnlag. I noen tilfeller, for eksempel ved overføring av personopplysninger til USA, vil det være nødvendig å implementere ytterligere beskyttelsestiltak som er egnet til å avhjelpe risikoene som følger med et utilstrekkelig beskyttelsesnivå i landet man overfører personopplysninger til.
Tiltakene som iverksettes kan være organisatoriske, tekniske eller juridiske. Eksempler på organisatoriske tiltak kan være streng tilgangskontroll, ulike kontraktsforpliktelser kan brukes som et juridisk tiltak og kryptering og pseudonymisering er eksempel på tekniske tiltak. For virksomhetene kan det være komplisert og krevende å vurdere hva som vil være et tilstrekkelig beskyttelsesnivå og hvilke tiltak som bør iverksettes. Personvernrådet (EDPB) har gitt ut en veiledning om Schrems II og hva denne dommen betyr for overføring av personopplysninger.1 Datatilsynet har også utarbeidet en veiledning om overføring av personopplysninger til tredjeland.2
1 European Data Protection Board. (2020). Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data.
2 Datatilsynet. (2021). Overføring av personopplysninger ut av EØS.
Enkelte bestemmelser i personvernforordningen gjelder nasjonale lovgivere, og fastsetter regler for når det skal eller kan gis nasjonale bestemmelser, og de nærmere krav til slike bestemmelser. Områdene ytringsfrihet, innsyn i offentlige saksdokumenter og personvern i arbeidstakerforhold er eksempler på områder med et visst nasjonalt handlingsrom. I kapittel 10 behandles nasjonalt handlingsrom nærmere.
4.2.4 Hvor gjelder personvernforordningen?
Personvernforordningen er basert på at personopplysninger skal kunne flyte fritt i EØS. Vernenivået anses å være likt uansett hvor i EØS behandlingen skjer, og lovligheten skal kun bedømmes ut fra de felles reglene. Personvernforordningen gjelder all behandling av personopplysninger i regi av virksomheter og enkeltpersoner som er etablert i EØS. Hvis en norsk virksomhet er etablert i Norge, og dels behandler personopplysninger i Norge og flere andre land i og utenfor EØS, gjelder forordningen likt i alle disse landene. Alle enkeltpersoner det er samlet opplysninger om, har de samme rettighetene.
Forordningen gjelder for behandlingsansvarlige som er etablert utenfor EØS når de tilbyr varer og tjenester til personer som oppholder seg i EØS. På samme måte gjelder forordningen dersom behandlingsansvarlige utenfor EØS følger med på atferden til enkeltpersoner i EØS, for eksempel hvordan de bruker nettbaserte tjenester.
For overføring til land utenfor EØS gjelder egne bestemmelser som skal sikre tilstrekkelig personvern når personopplysninger blir overført til USA, Kina og andre land som ikke har samme vernenivå som i EØS. Således inneholder forordningen flere alternative fremgangsmåter for å gjøre overføring til tredjeland. Forordningen kan likevel være et reelt hinder for at overføring til tredjeland kan skje.
4.2.5 Personvernprinsippene
De fleste bestemmelsene i personvernforordningen inneholder vanlige rettsregler. I tillegg er det formulert seks personvernprinsipper, se artikkel 5 nr 1. Prinsippene er en slags grunn-normer for behandling av personopplysninger, og gir generelle retningslinjer for hva en skal legge vekt på for å ivareta personvernet. Prinsippene er utviklet over en periode på mer enn 40 år, og har lenge ligget til grunn for ulik europeisk personvernlovgivning. De er alltid relevante og alltid obligatoriske å ta hensyn til.
Prinsippet om lovlighet, rettferdighet og åpenhet, innebærer blant annet krav om at behandling av personopplysninger skal være i samsvar med personvernforordningen, og med annen EU-lovgivning og internasjonale menneskerettigheter. En konsekvens er blant annet at personvern må vurderes opp mot andre grunnleggende rettigheter og friheter, for eksempel ytringsfrihet og diskrimineringsvern. Rettferdighetskravet innebærer blant annet at motstående interesser skal veies mot hverandre på forholdsmessig, lyttende måte, uten forutinntatte meninger. Prinsippet markerer også at åpenhet er en grunnforutsetning for personvern. Åpenhet er både en forutsetning for at folk skal kunne beskytte og bruke rettighetene sine, og for at det skal være mulig for tilsynsmyndighetene og andre å bedømme om reglene blir etterlevet.
Formålsbegrensningsprinsippet innebærer at en før personopplysninger blir samlet inn, må bestemme seg for hva opplysninger skal brukes til, og i utgangspunktet holde seg til disse formålene. I avsnitt 4.2.7 blir reglene om formål nærmere gjennomgått. Nevnte behandlingsformål spiller en helt sentral rolle for forståelsen av flere av de andre prinsippene, fordi formålet er referanseramme for andre vurderinger.
Dataminimeringsprinsippet innebærer at en ikke må behandle flere opplysninger enn det formålet gjør nødvendig, og at opplysninger ikke må brukes i større utstrekning enn nødvendig.
Riktighetsprinsippet innebærer krav om at personopplysninger skal være så riktige og fullstendige som formålet tilsier.
På lignende måte uttrykker lagringsbegrensningsprinsippet at personopplysninger ikke skal lagres over lenger tid enn formålet tilsier.
Prinsippet om integritet og konfidensialitet innebærer informasjonssikkerhet og ivaretakelse av opplysningenes integritet, tilgjengelighet og konfidensialitet. På grunn av dette prinsippet, er sikring av personopplysninger et tungtveiende hensyn ut over de konkrete reglene om sikkerhet i artikkel 32 – 34 av forordningen.
4.2.6 Behandlingsformål og behandlingsgrunnlag
Reglene i personvernforordningen må i stor grad etterleves før den behandlingsansvarlige har samlet inn personopplysninger. Når behandling av opplysninger skjer automatisk, betyr det at IT-systemer og andre løsninger som skal benyttes må være utformet slik at de sikrer etterlevelse av bestemmelsene i forordningen.
Formålsbegrensningsprinsippet nevnt over uttrykker ikke bare et prinsipp, men er også en rettsregel om at det ikke er anledning til å samle inn personopplysninger uten at ett eller flere behandlingsformål er fastsatt slik forordningen krever. Disse formålene må dessuten være knyttet til et behandlingsgrunnlag, det vil si en hjemmel som gjør det lovlig å behandle personopplysninger. Samtykke er et eksempel på et slikt mulig behandlingsgrunnlag. Ofte trenger den behandlingsansvarlige imidlertid ikke å innhente samtykke, men kan påberope seg at det er nødvendig å behandle personopplysningene for grunner som er angitt i forordningen. For eksempel kan man behandle opplysninger som er nødvendige for å inngå eller gjennomføre en avtale med den registrerte (for eksempel en avtale om kjøp på nettet). Nedenfor gjør Personvernkommisjonen nærmere rede for flere andre viktige behandlingsgrunnlag. Dersom behandlingsansvarlige ønsker å behandle særlige kategorier personopplysninger,43 må det være et eget behandlingsgrunnlag for disse, i tillegg til de alminnelige kravene til behandlingsgrunnlag.
4.2.6.1 Behandling av barns personopplysninger
Utgangspunktet etter personvernforordningen er at barn og voksne har samme rettigheter når det gjelder behandling av personopplysninger. Dette betyr at alle reglene i personvernforordningen også gjelder for barn. Forordningen inneholder enkelte spredte artikler og fortalepunkter om behandling av barns personopplysninger, men gir ingen samlet enhetlig regulering av temaet. Forordningen inneholder heller ingen definisjon av hvem som skal regnes som barn i forordningens forstand. Ved innføringen av personvernforordningen antok imidlertid Justis- og beredskapsdepartementet at en person ikke lenger er et barn i forordningens forstand når vedkommende har fylt 18 år.44 Departementet viste også til at dette utgangspunktet er i overensstemmelse med utgangspunktet i FNs konvensjon 20. november 1989 om barnets rettigheter artikkel 1 som gjelder som norsk rett, jf. menneskerettsloven § 2 nr. 4.45
Ved behandling av personopplysninger om barn, plikter den behandlingsansvarlige å informere om hvilke legitime interesser som forfølges ved behandlingen, og formålene med behandlingen, jf. personvernforordningen artikkel 13 nr. 1 bokstav d og artikkel 14 nr. 1 bokstav c. Denne informasjonen skal gis på «en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk, især når det gjelder informasjon som spesifikt er rettet mot et barn» jf. artikkel 12 nr. 1.
Fortalepunkt 58 presiserer at «ettersom barn fortjener et særlig vern, bør all informasjon og kommunikasjon, dersom behandlingen gjelder barn, være formulert på et klart og enkelt språk som barnet lett kan forstå».
Det er naturlig å forvente at både den legitime interessen som taler for behandlingen og konsekvensene behandlingen kan ha for barns personvernrettigheter (eller andre rettigheter og friheter), fremgår uttrykkelig av informasjonen den ansvarlige publiserer (for eksempel i personvernerklæringer).
Det er usikkerhet knyttet til hvor stor vekt det skal tillegges at den registrerte er et barn. Det vil bero på en konkret vurdering i hver enkelt sak. Når den behandlingsansvarlige vurderer at deres legitime interesse er mer tungtveiende enn barns rettigheter og friheter og igangsetter behandlingen, så bør den behandlingsansvarlige synliggjøre begrunnelsen for å sette hensynet til barns personvern til side. Ofte vurderer behandlingsansvarlige at ordinære informasjonssikkerhetstiltak iverksatt i forbindelse med behandlingen er tilstrekkelig for å ivareta barns personvern. En slik vurdering vil ikke være i tråd med regelverket. Det må i tillegg foretas en prinsipiell vurdering av om behandlingen i det hele tatt burde igangsettes overfor barn.
4.2.7 Betydningen av risikovurderinger
Et viktig kjennetegn ved sentrale deler av personvernforordningen er kravet til å vurdere risiko, og til å vurdere hvilke tiltak som kan settes inn for å redusere risikoen til et akseptabelt nivå. Perspektivet for den behandlingsansvarlige er altså: Hva kan skje/gå galt som setter folks personvern og andre grunnleggende friheter og rettigheter i fare, og hva kan jeg gjøre for å forhindre dette? Denne tilnærmingen følges i bestemmelsene som fastsetter behandlingsansvarliges krav til å sikre etterlevelse av forordningen, kravene til personopplysningssikkerhet, og kravene til personvernkonsekvensvurderinger (DPIA46). Personvernforordningen stiller klare krav til personvernkonsekvensvurderinger.
Vilkårene for å gjennomføre en vurdering av personvernkonsekvenser er at det er «sannsynlig» at behandlingen vil medføre «høy risiko for fysiske personers rettigheter og friheter», jf. personvernforordningen artikkel 35 nr. 1. Dersom det er tilfellet, må det gjennomføres en personvernkonsekvensvurdering i tråd med reglene i artikkel 35 før behandlingen av personopplysningene starter. I sannsynlighetsvurderingen skal det blant annet tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i.
Den risikobaserte tilnærmingen får også anvendelse i forbindelse med lovgivningsprosesser, herunder prosesser som innebærer utarbeidelse av nye eller endring av eksisterende forskrifter. For å avgjøre om en ny lov eller forskrift innebærer en høy risiko for personvernet, må det nødvendigvis gjennomføres en risikovurdering. Se nærmere om vurderinger av personvernkonsekvenser i lovarbeid i kapittel 6.
Risikovurderinger står også sentralt i kravet til å bygge personvernprinsippene inn i teknologi og organisering, for eksempel krav om innebygd personvern, som omtales i kapittel 11.
Personvernforordningen innebærer ikke krav til fravær av risiko, men krever at den behandlingsansvarlige skjønnsmessig bedømmer hva som er akseptabel risiko. Det betyr blant annet at jo større og mer alvorlige mulighetene for krenkelse av personvernet er, desto mer må den behandlingsansvarlige gjøre for å redusere sannsynligheten for og følgene av at det uønskede skjer.
Den behandlingsansvarlige skal iverksette tiltak som er nødvendige for at risikoen skal bli akseptabel. Tiltakene kan for eksempel være tekniske, organisatoriske, juridiske, pedagogiske eller økonomiske. Ethvert tiltak som kan være virksomt og hensiktsmessig skal vurderes.
4.2.8 Dokumentasjonsplikter
Behandlingsansvarlige og databehandlere som har flere enn 250 ansatte, har grunnleggende forpliktelser til å dokumentere behandlingen av personopplysninger i behandlingsprotokoller. Protokollene skal være tilgjengelige for tilsynsmyndighetene.
Alle behandlingsansvarlige plikter også å rapportere til tilsynsmyndigheten om sikkerhetsbrudd som sannsynligvis gir risiko for rettighetene og frihetene til individer det er registrert opplysninger om.
I tillegg har behandlingsansvarlige en plikt til å kunne påvise at behandlingen av personopplysninger skjer i samsvar med reglene i forordningen. Muligheter for å bli ilagt overtredelsesgebyr og idømt erstatningsplikt kan også gjøre at behandlingsansvarlige ønsker å «dokumentere sin uskyld», altså vise at det er vist aktsomhet, vurdert risikoer og truffet forsvarlige tiltak.
De ovenfor nevnte forholdene kan gjøre at behandlingsansvarlige og databehandlere ønsker å dokumentere eller på annen måte beskrive hva som faktisk er gjort, men det er ingen faste krav til slik dokumentasjon. Flere bestemmelser i forordningen gir for eksempel rett til innsyn i, eller plikt til å gi informasjon om, «relevant informasjon om den underliggende logikken …» av helt automatiserte avgjørelser og profilering.47 Dette medfører i utgangspunktet ingen plikt til å ha en skriftlig, tilgjengelig forklaring som kan brukes for å etterleve bestemmelsene. Dette drøftes videre i kapittel 12 om åpenhet.
4.2.9 Virkemidler for å ivareta personvernet
Retten til personvern er som nevnt nedfelt i internasjonale, rettslig bindende traktater, forordninger, direktiver, samt nasjonal lovgivning. Lovgivning gir i utgangspunktet et sterkt vern, men personvernlovgivningen alene vil ikke kunne gi individene reell beskyttelse. Mange av bestemmelsene på personvernområdet er vage og flertydige, slik at de kan være vanskelige å omsette til organisatoriske rutiner eller tekniske løsninger. For å gi individene tilstrekkelig vern, er det derfor avgjørende at lovens krav tolkes og virkeliggjøres gjennom teknologiske, organisatoriske, økonomiske eller pedagogiske virkemidler.
Til denne utredningens formål er det ikke mulig eller hensiktsmessig å legge frem en uttømmende liste over strategier og verktøy for å ivareta personvernet. Ulike tiltak er iverksatt i ulike sektorer, gjerne i kombinasjon med hverandre.
Hvilke typer virkemidler som bør benyttes, vil avhenge av typen av personopplysninger og hvem som behandler personopplysninger. Noen virkemidler kan iverksettes av behandlingsansvarlige og databehandler selv. Andre nødvendiggjør mer omfattende endringer og involverer lovgivere, tilsyn eller kontrollmyndigheter.
Teknologiske virkemidler, herunder innebygd personvern omtales i kapittel 11.
Organisatoriske virkemidler kan for eksempel være ulike atferds- og bransjenormer, sertifiseringer og personvernombud. Personvernombudsrollen behandles i kapitlene 6, 7 og 13.
Atferds- og bransjenormer er et sett med regler eller retningslinjer som spesifikt regulerer en bransje. Slike normer er frivillige for aktører i bransjen å underskrive. I personvernforordningen er det lagt opp til at bransjer kan lage egne bransjenormer som kan godkjennes av Datatilsynet.48 Det er lagt til rette for at slike atferdsnormer kan få gyldighet i EU.21 Brudd på normene vil ikke i seg selv kunne føre til offentligrettslige reaksjoner.49
Sertifisering er en formalisert form for evaluering som skal lede til utstedelse av et sertifikat.50 Hensikten med en sertifisering eller en merkeordning er å få en bekreftelse på at for eksempel en gjenstand møter visse standarder eller et IKT-system møter en satt standard for personvern.
Målet med sertifisering eller merkeordning er å vise at behandlingsansvarlig eller databehandler overholder kravene personvernforordningen stiller knyttet til den spesifikke behandlingen som sertifiseres. Bakgrunnen for sertifiseringer er at det gjør det enklere for forbrukere og eventuelle samarbeidspartnere å kjenne igjen aktører som følger forordningen.
I tillegg til de foran nevnte virkemidler, finnes økonomiske virkemidler som for eksempel incentivordninger, budsjettpolitikk og pedagogiske virkemidler som holdningskampanjer.
Tilsyn og håndhevelse av regelverket diskuteres i kapittel 13.
4.3 Relevante kommende regelverk
Personvernforordningen er bygget på prinsippet om et felles lovverk i Europa, og EU-domstolens avgjørelser er med på å forme rettstilstanden og påvirker tolkingen av forordningen.
Personvernkommisjonen vil i det følgende kort gjøre rede for kommende regulering av digitale markeder, kommunikasjonsvernforordningen, forslag til forordning for kunstig intelligens, samt Dataforordningen og Datastyringsforordningen. De kommende regelverkene søker å videreføre målsetningen om å skape et helhetlig lovverk innad i unionen, som også er forutberegnelig og tar hensyn til bruk av personopplysninger på tvers av landegrenser.
Kommunikasjonsvernforordningen
I januar 2017 offentliggjorde Europakommisjonen et forslag til kommunikasjonsvernforordningen (e-privacy regulation) som skal erstatte det nevnte kommunikasjonsverndirektivet.51 Målet med forslaget til forordningen er å sikre et effektivt og godt vern av konfidensialitet for elektronisk kommunikasjon, og å oppdatere reglene i tråd med den teknologiske utviklingen.52
Kommunikasjonsvernforordningen omhandler behandling av personopplysninger og overlapper dermed med personvernforordningens virkeområde. Kommunikasjonsvernforordningen vil bli lex-specialis opp mot personvernforordningen, og bestemmelsene i kommunikasjonsvernforordningen vil dermed få forrang ved motstrid.53
Europakommisjonen hadde som mål at forordningen skulle tre i kraft samtidig som personvernforordningen. Kommunikasjonsvernforordningen er imidlertid i juli 2022 ennå ikke vedtatt. Grunnen til dette er blant annet at det har vært vanskelig for medlemslandene å enes om et mandat.54 I januar 2021 ble medlemmene i Rådet likevel enige om et forhandlingsmandat.55 I følge dette forhandlingsmandatet vil forordningen omfatte elektronisk kommunikasjonsinnhold som sendes via offentlige tilgjengelige tjenester og nettverk, og metadata tilknyttet denne kommunikasjonen, som sted, tidspunkt og mottaker. Regelverket skal tre inn når sluttbruker befinner seg i EU, men omfatter også tilfeller hvor behandlingen finner sted utenfor EU, eller hvor tjenestetilbyderen er etablert eller befinner seg utenfor EU. Regelverket vil omfatte datakommunikasjon mellom maskiner (tingenes internett) som sendes via et offentlig nettverk. Rådet forhandler videre om mandatet med Europakommisjonen og Europaparlamentet.
Forordning om digitale tjenester (Digital Services Act)
Forordningen om digitale tjenester (Digital Services Act, DSA) er foreløpig på forslagsstadiet. DSA skal bidra til større demokratisk kontroll og tilsyn med internettbaserte tjenester og plattformer, sikre like markedsvilkår for plattformtilbyderne, redusere risiko for manipulasjon og desinformasjon, og bidra til å motvirke ulovlig innhold på nett. DSA gir regler om markedsplasser (for eksempel nettbutikker), sosiale plattformer, plattformer som deler innhold, appstores og online reise- og hotellplattformer. Forordningsforslaget oppdaterer også deler av gjeldende e-handelsdirektiv. Forordningsforslaget omtales nærmere i kapittel 9 om forbrukernes personvern.
Forordning om digitale markeder (Digital Markets Act)
Forordningen om digitale markeder (Digital Markets Act, DMA) ble godkjent av Rådet den 18. juli 2022. DMA regnes som den mest betydningsfulle reguleringen av det digitale markedet siden personvernforordningen.
DMA skal bidra til en mer åpen og rettferdig plattformøkonomi, og skal gjennom en konkurranserettslig forhåndsregulering hindre atferd som er skadelig for konkurransen og forbrukerne fra de største plattformene. Forordningen skal sikre konkurransen og åpenheten mellom digitale plattformer, gi brukerne flere og bedre tjenester å velge mellom, større muligheter til å bytte plattformleverandør og bedre priser. Forordningen om digitale markeder omtales nærmere i kapittel 9 om forbrukernes personvern.
Forslag til forordning for kunstig intelligens
EU arbeider for tiden med en ny forordning for å regulere kunstig intelligens (KI). Forordningen forventes å tre i kraft i perioden mellom 2022 og 2024. Forordningen har blant annet som mål å styrke tilliten til kunstig intelligens ved å stille krav om og legge til rette for en ansvarlig bruk av kunstig intelligens som ivaretar europeiske verdier og rettigheter.56
Regelverket skal i følge Europakommisjonen ikke berøre personvernforordningen, men være et supplement til personvernregelverket.57 Forslaget til forordning for kunstig intelligens blir omtalt nærmere i kapittel 9 om forbrukernes personvern.
Datastyringsforordningen (Data Governance Act)
Datastyringsforordningen ble lagt frem av Europakommisjonen 25. november 2020 og er per juli 2022 til behandling i Rådet og i Europaparlamentet.
Europakommisjonens forordningsforslag tar sikte på å skape en sikker infrastruktur for datadeling, og et indre marked for deling av ikke-personlige data (industrielle data). Dette skal gjøre det mulig for data å bevege seg fritt innen EU og EØS, på tvers av sektorer. Målet er å styrke den digitale suvereniteten på dataområdet ved å etablere en europeisk datahåndteringsmodell, som en motvekt til de store plattformselskapene.
Forordningsforslaget skal skape grunnlaget for en europeisk datastyringsmodell som er i overensstemmelse med EUs prinsipper og verdier, som personvern, forbrukerbeskyttelse og konkurranseregler. Det nye regelverket etablerer et juridisk rammeverk for ni sektorspesifikke europeiske dataområder: helse, industri, landbruk, finans, mobilitet, klima, energi, offentlig administrasjon og ferdigheter. Dette skal blant annet bidra til bedre energistyring, skreddersydde legemidler og enklere tilgang til offentlige tjenester. Datastyringsforordningen tilrettelegger også for såkalt «data-altruisme», som skal gjøre det lettere for virksomheter og personer å gjøre sine data tilgjengelig til det beste for samfunnet. Forslaget inneholder regler for nøytrale datatilbydere som skal fungere som et sikkert mellomledd ved datadeling, men ingen krav til datalokalisering (plikt til å lagre og behandle data i EU).
Dataforordningen (Data Act)
Europakommisjonen la 23. februar 2022 fram et forslag til forordning om harmoniserende regler om rettferdig tilgang til og bruk av data (dataforordningen).58 Forslaget fra Europakommisjonen skal drøftes i Rådet og Europaparlamentet, og det kan bli justeringer i det materielle innholdet i løpet av denne prosessen.
Forslaget gir regler om å fremme deling av data som er av samfunnsinteresse, fremme datadeling innad i næringslivet, klargjøre regelverket for ansvarlig bruk av data og legge til rette for frivillig datadeling som grunnprinsipp.
5 Det teknologiske landskapet som påvirker personvernet
Vi lever i en epoke som kan beskrives som informasjonsalderen. Den gjennomgående digitaliseringen av så godt som alle samfunnssektorer drives i stor grad frem av nye muligheter for innsamling, registrering, transport og bruk av informasjon i form av data. I dette kapitlet vil Personvernkommisjonen kort redegjøre for de antatt viktigste teknologiske utviklingstrekkene som har betydning for personvernet. Kapitlet er ikke ment å gi en komplett oversikt, men vil gjøre rede for noen viktige grunnleggende teknologiområder.
Den følgende teksten er delvis basert på en rapport skrevet av Gisle Hannemyr på oppdrag fra Personvernkommisjonen. Kommisjonen vil også drøfte samspillet mellom teknologisk og samfunnsmessig utvikling, samt noen samfunnsmessige konsekvenser av en utvikling som ikke ivaretar personvernet. Der særlige teknologier eller teknologianvendelser er grunnleggende problematiske for personvernet, særlig knyttet opp mot ansiktsgjenkjenning og annen biometrisk fjernidentifisering i offentlige rom, vil kommisjonen vurdere om regulering eller forbud er hensiktsmessig. Konkrete praktiske eksempler på teknologianvendelser i ulike samfunnssektorer vil presenteres i nærmere detalj i påfølgende kapitler, der det er relevant.
5.1 Teknologiske utviklingstrekk med betydning for personvernet
Det er en overordnet politisk målsetning at alle samfunnssektorer skal digitaliseres.59 Digitaliseringen bidrar til stor grad av effektivisering og verdiskaping i både offentlig og privat sektor ved at komplekse oppgaver kan automatiseres, tjenester kan integreres med hverandre og sentraliseres, og informasjon kan flyte mellom tjenester. Det kan skape store gevinster på viktige områder som helsesektoren, forbrukertjenester og offentlig forvaltning.
Digitaliseringen betyr at samfunnet blir datadrevet. Når en tjeneste digitaliseres, innebærer det at opplysninger blir registrert og omgjort til data, enten det gjelder industrielle data fra maskiner eller helseopplysninger om innbyggerne. Når opplysninger er omgjort til data kan de som regel sammenstilles, gjenbrukes og foredles i det uendelige.
I 2022 koster datalagring mindre enn en tidel av hva det gjorde for ti år siden, og skytjenester gjør at man kan få enkel og billig tilgang til lagring og regnekapasitet. De fallende prisene gjør det mulig å lagre enorme mengder data og med nye metoder kan de store datamengdene sammenstilles for å finne skjulte sammenhenger og atferdsmønstre, en prosess omtalt som stordata-analyse.Dagens informasjonsalder er muliggjort av fire sentrale drivere som kommisjonen vil komme tilbake til i dette og senere kapitler:
Sporingsteknologier og sensorer tilrettelegger for økt innsamling av data.
Nye infrastrukturer for tilkobling (for eksempel 5 G) tilrettelegger for mer effektiv transport og overføring av data.
Lagringsteknologi (for eksempel skytjenester) muliggjør lagring av store mengder data.
Kraftig prosesseringskraft muliggjør automatisk analyse av enorme datasett, blant annet gjennom maskinlæringssystemer.
Disse fire drivkreftene er tett sammenbundet. I dette kapitlet vil kommisjonen beskrive noen konkrete teknologianvendelser aktualisert av disse driverne og hvordan de kan utfordre personvernet.
5.1.1 En digital hverdag
Norge er et av verdens mest digitaliserte land, og digitaliseringen har blitt en integrert del av så godt som alle samfunnsområder. For eksempel har om lag 96 prosent av alle nordmenn smarttelefon.60 Det betyr at nesten alle nordmenn er digitalt tilkoblet stort sett overalt og hele tiden. Alt fra varehandel, trening, kontakt med det offentlige, helseverktøy, offentlig diskusjon, mediebruk og banktjenester foregår helt eller delvis gjennom telefonen. Covid-19 pandemien akselererte digitaliseringen av blant annet arbeidslivet og utdanningssektoren, og understreket samfunnets avhengighet av teknologiske verktøy for å kommunisere, formidle og søke informasjon, samt for å handle varer og tjenester.
Det er enorme muligheter knyttet til digitaliseringen av samfunnet, men det intensiverer også bruken av folks opplysninger i en helt annen skala enn tidligere. Fremover vil beslutningstagere i stadig større grad måtte håndtere juridiske og etiske dilemmaer, der potensialet for betydelig samfunnsgevinst må veies opp mot grunnleggende personvernhensyn.
5.1.1.1 Digitalt utenforskap
Selv om de fleste nordmenn har et aktivt forhold til digitaliseringen gjennom deltagelse på digitale plattformer, bruk av datamaskiner og smarttelefoner, samt at stadig større deler av forvaltningen og møte med offentlige myndigheter digitaliseres, har ikke utviklingen ivaretatt alle deler av befolkningen i samme grad. Det anslås at det er om lag 600 000 nordmenn som mangler grunnleggende digital kompetanse av forskjellige årsaker.61 Dette har skapt et digitalt utenforskap som lager nye skiller i samfunnet. I kapittel 12 diskuteres digitalt utenforskap og hvordan det kan påvirke muligheten til selvbestemmelse i det digitale samfunnet.
5.1.2 Teknologiske fundamenter for det digitale samfunnet
Som beskrevet ovenfor, har teknologiutviklingen muliggjort automatisk innsamling og behandling av store mengder data, såkalt stordata-analyse. Prosesser og fenomener som tidligere var rent fysiske blir registrert som datapunkter, og virkeligheten blir på denne måten formalisert, datafisert og kvantifisert.62
Utviklingen medfører at personopplysninger som er samlet inn kan viderebehandles til flere forskjellige formål. Som nærmere beskrevet i kapittel 6, opererer for eksempel offentlig forvaltning med et «kun én gang»-prinsipp, hvor opplysninger som samles inn om innbyggere som en del av forvaltningsprosesser skal kunne viderebehandles av andre etater, slik at innbyggere ikke bes om å oppgi de samme opplysningene flere ganger.
Digitaliseringen henger tett sammen med globaliseringen av stadig flere områder, både som en driver og som en effekt. Digitale infrastrukturer er som regel grensekryssende, og muliggjør informasjonsflyt uavhengig av geografisk lokasjon. De største teknologiaktørene opererer på et globalt nivå, og setter premisser for datainnsamling og behandling på tvers av landegrenser.
5.1.2.1 Sporingsteknologi og sensorer
Den allestedsnærværende databehandlingen som preger informasjonsalderen, muliggjøres av forskjellige teknologier som registrerer virkeligheten ved å omgjøre fysiske fenomener til kvantifiserbare og lesbare data. Slike teknologier omfatter sensorer og sporingsteknologier.
Sensorer registrerer opplysninger om det fysiske rom i sanntid og inkluderer bevegelsessensorer, kameraer som automatisk analyserer omgivelser, mikrofoner, og mye mer. Sporingsteknologier inkluderer sensorer som registrerer data om en person eller gruppe over tid, slik som sporingsbrikker, samt programvare som samler inn opplysninger, for eksempel sporingskapsler (cookies) på nettsider eller sporingspiksler i eposter.63 Varianter av slik teknologi finnes overalt, for eksempel i biler og kollektiv trafikk, på nettsider, i smarttelefoner, integrert i smarthusløsninger, i helseutstyr og på kjøpesentre. Sensorer kan blant annet erstatte eller forsterke menneskelige sanseapparat, for eksempel ved å forbedre syn gjennom avanserte kameraer, hjelpe personer med nedsatt synsevne ved å identifisere skrift, og mye mer. Det krever imidlertid nye analyseverktøy for å kunne analysere og bearbeide all informasjonen som samles inn.
Boks 5.1 Sporingsteknologi på nett
De fleste er vant til å få forespørsler om å godta informasjonskapsler, eller cookies, når de beveger seg rundt på nett. Dette er små tekstfiler som lagres i nettleseren, og som tilrettelegger for å lagre informasjon om brukerens preferanser og atferd. Informasjonskapsler er imidlertid kun én av mange teknologier som benyttes til å samle inn informasjon om forbrukere på nettsider eller i apper. Blant annet kan informasjon om skjermstørrelse kombinert med operativsystem og annen metadata brukes til å lage unike «fingeravtrykk» for å spore brukere. De fleste smarttelefoner kommer også med unike ID-numre som brukes til å samle inn og sammenkoble informasjon om brukerne.
5.1.2.2 Maskinlæring og stordata
Teknologiutviklingen innenfor sporingsteknologi og sensorer muliggjør innsamling av betydelige mengder data, men det er umulig for mennesker å håndtere informasjonsmengden – det krever automatisering. Selv om lagring og aggregering av informasjon ikke er et nytt fenomen, er det først ved utviklingen av kraftige datasystemer at potensialet i store mengder data kan hentes ut. Ved hjelp av maskinlæringssystemer kan betydelige mengder opplysninger struktureres og analyseres, og blant annet brukes til å finne nye sammenhenger og utlede prediksjoner, gjerne kalt «prediktiv analyse». Prediktiv analyse fungerer ved at et maskinlæringssystem analyserer historiske data for å identifisere mønstre, som brukes til å forutse sannsynligheten for at en hendelse vil inntreffe i fremtiden.
Maskinlæringssystemer er en betegnelse for datasystemer som «lærer» og endrer atferd av seg selv for å finne mønstre i store datamengder ved bruk av statistiske metoder, uten at et menneske må formulere regler for hvordan informasjon skal behandles.64 Maskinlæringssystemer består av avanserte algoritmer, matematiske modeller som beskriver fremgangsmåten for løsning av en oppgave. Gjennom å kunne operere uten betydelig menneskelig innblanding, kan systemer basert på maskinlæringsalgoritmer utføre stadig mer komplekse oppgaver. Likevel er maskinlæringsmodellene laget av mennesker, og utviklerne av systemene setter premisser for blant annet hvordan læringen skal foregå og hvilke treningsdata som brukes i opplæringen. Maskinlæringssystemer som er selvgående ved at de kan operere uten betydelig menneskelig innblanding, kalles gjerne kunstig intelligens.65
I dagligtalen brukes ofte begrepene «maskinlæring», «algoritme» og «kunstig intelligens» om hverandre, særlig når det er snakk om selvlærende datasystemer som anvendes til å automatisere prosesser, forutse hendelser og/ eller produsere anbefalinger. Personvernkommisjonen bruker begrepet «maskinlæringssystemer» gjennomgående i denne utredningen.
Boks 5.2 Datainnbrudd mot Norkart
I mai 2022 ble selskapet Norkart, som leverer IT-systemer for kart- og eiendomsinformasjon, utsatt for et dataangrep. Som et resultat av angrepet havnet personopplysninger om opp mot 3,3 millioner huseiere på avveie. I etterkant av datainnbruddet advarte flere eksperter om at opplysningene kan misbrukes av svindlere for å manipulere potensielle ofre, eller til identitetstyveri.1
1 NRK. (2022, 11. mai). Advarer mot skreddersydd svindel etter datalekkasje.
5.1.3 Samfunnssikkerhet i et digitalt samfunn
Digitaliseringen av samfunnet har ført til betydelige endringer i samfunnssikkerhetsbildet på tvers av landegrenser og nasjonalt. Den store mengden informasjon som samles inn og analyseres av vidt forskjellige aktører, bidrar til et bredt og uoversiktlig risiko- og trusselbilde for både myndigheter, virksomheter og individer. Det kan inkludere at fremmede statlige aktører eller kriminelle får tilgang til samfunnskritisk infrastruktur, som for eksempel ved hacking av et kraftverk, eller at sensitive opplysninger havner på avveie på grunn av et datainnbrudd. Utviklingen fører til at sikkerhetsmyndighetene må være årvåkne i møte med stadig nye trusler, hvor nye sårbarheter i infrastruktur eller programvare kan dukke opp over natten. På et individuelt nivå skaper informasjonsinnsamlingen risiko for identitetstyveri og andre former for svindel, samt større og mer tilgjengelige former for både statlig og kommersiell overvåkning.
Datainnbrudd er et stadig økende problem, hvor næringssensitive eller personsensitive opplysninger havner på avveie med potensielt alvorlige følger. Det betyr at alle aktører som samler inn, behandler og deler personopplysninger må gjøre grundige sikkerhets- og personvernvurderinger før de samler inn og lagrer data, og i tillegg iverksette både organisatoriske og tekniske tiltak.66
5.1.3.1 Omfattende kommersiell sporing skaper sikkerhetsutfordringer
Den kraftige veksten av kommersiell sporing har muliggjort nye forretningsmodeller basert på innsamling, bruk og salg av personopplysninger, som av kritikere blir kalt overvåkningsøkonomien eller overvåkningskapitalismen.67 Det finnes en rekke kommersielle aktører som samler inn opplysninger på tvers av tjenester for å kartlegge forbrukere, og som deler og selger informasjonen til et bredt spekter av forskjellige tredjeparter. Denne utviklingen beskrives nærmere i kapittel 9 om forbrukernes personvern.
Spredningen av personopplysninger har bidratt til et uoversiktlig risikobilde. Det er mangel på kontroll med hvem som har tilgang på personopplysninger og hvem de deler og selger opplysningene til. Dette skaper fare for misbruk fra både kriminelle og fremmede makter. Man kan også se for seg at store kommersielle aktører blir kjøpt av selskap i land med omfattende nasjonal overvåkning. Tilgang på store mengder personopplysninger kan for eksempel brukes til påvirkningsoperasjoner, utpressing og overvåkningsformål, og kan således utgjøre en alvorlig trussel for det nasjonale sikkerhetsbildet.68
5.1.3.2 Sikkerhetstiltak som legger press på personvernet
Sikkerhet og personvern er ikke i utgangspunktet motpoler eller motstridende interesser, og godt personvern er i mange tilfeller et viktig sikkerhetstiltak. Likevel vil det i en rekke situasjoner måtte gjøres avveininger mellom sikkerhet og retten til personvern. Som beskrevet i kapittel 7, er dette ofte en problemstilling i justissektoren. Offentlig debatt om samfunnssikkerhetshensyn sett opp mot retten til personvern har blant annet tilspisset seg i diskusjoner rundt datalagringsdirektivet og det såkalte digitale grenseforsvaret.69 I disse tilfellene har ønsker om å forhindre kriminalitet eller trusler fra fremmede makter måtte veies opp mot borgernes rett til personvern. Et stadig mer komplisert digitalt trusselbilde gjør at avveiningen må tas i stadig flere tilfeller.
Avveininger mellom informasjonssikkerhet og personvern er også en utfordring innenfor blant annet arbeidsliv og helsesektoren, hvor et økende trusselnivå for datainnbrudd og lignende cyberangrep kan føre til økt ønske eller behov for mer overvåkning, for eksempel gjennom logging, kameraovervåkning og systemer for identifikasjon for å hindre uautorisert adgang til fysiske eller digitale rom. Slik overvåkning kan styrke sikkerheten, og være viktig for å hindre datainnbrudd og dermed i realiteten ivareta personvernet til kunder av en virksomhet. Samtidig legger overvåkning press på personvernet til for eksempel ansatte i den aktuelle virksomheten.
5.1.3.3 Skytjenester
Det blir stadig vanligere at aktører i både privat og offentlig sektor tar i bruk skytjenester. Skytjenester er et samlebegrep for infrastruktur som gjerne leveres av tredjeparter, hvor lagring og prosesseringskapasitet spres utover forskjellige maskiner som i praksis kan være fysisk plassert hvor som helst. Bruken av skytjenester kan fremme sikkerhet og personvern ved at store tredjepartsleverandører kan ha bedre forutsetninger og midler for å iverksette sikkerhetstiltak, enn om alle virksomheter skal sørge for dette på egen hånd.
Samtidig kan bruken av skylagring skape utfordringer knyttet til både sikkerhet og personvern, dersom leverandørenes sikkerhetsrutiner svikter, for eksempel ved svak tilgangskontroll. Datamengden hos en skytjenesteleverandør vil som regel være langt større enn hos den enkelte behandlingsansvarlige, som kan gjøre slike tjenester til et attraktivt mål for kriminelle og andre uvedkommende. Det er også utfordringer knyttet til tilgangskontroll ved bruk av eksterne leverandører, dersom uautoriserte får adgang til informasjon som lagres i skyen.
Data som lagres «i skyen» er i praksis plassert på datamaskiner som ofte eies av en tredjepart, og som kan være plassert i land med svakere personvernregulering enn vi har i Norge. Denne problemstillingen la grunnlaget for den såkalte Schrems II-dommen. I denne saken kom EU-domstolen til at Privacy Shield-avtalen var ugyldig som overføringsgrunnlag fordi den ikke ga et godt nok vern mot amerikanske etterretningsmyndigheters tilgang til personopplysninger om europeiske borgere (se boks 4.1). Konsekvensen av dommen er at aktører må ha et annet overføringsgrunnlag, noe som i praksis har gjort det svært vanskelig å overføre personopplysninger om individer som befinner seg i Europa, til USA.70
5.1.3.4 Tap av sikkerhet
Teknologiutviklingen kan beskrives som et våpenkappløp, hvor de som forsøker å styrke informasjonssikkerheten stadig utfordres av aktører som prøver å omgå informasjonssikkerhetstiltak. Et system som anses som sikkert i dag kan ende opp usikkert senere, enten på grunn av manglende oppfølging fra leverandøren, eller fordi ny teknologi gjør at dagens sikkerhetsstandarder blir utdaterte.
For eksempel har utviklingen av kvantedatamaskiner – svært kraftige maskiner som kan utføre ressurskrevende oppgaver – bidratt til at tidligere antatt sikre krypteringsløsninger kan knekkes. Det enorme tilfanget av offentlig tilgjengelige data, kombinert med tilgang til mer kraftfull analyseteknologi, har også bidratt til å gjøre det mer utfordrende å anonymisere data i dag enn det var tidligere. Studier har vist at man ved å sammenstille data fra flere kilder kan reidentifisere personer ved kun å kjenne til to datapunkter i et anonymisert datasett, som for eksempel postnummer og fødselsdato. Enkelte datatyper er mer utfordrende å anonymisere enn andre, for eksempel lokasjonsdata og genetiske.71
5.1.4 Personvernfremmende teknologi
Den teknologiske utviklingen innebærer ikke nødvendigvis bare en svekkelse av personvernet. I mange tilfeller vil utvikling og bruk av ny teknologi være viktige verktøy for å styrke og ivareta personvernet. Personvernkommisjonen vil ikke gjøre en omfattende gjennomgang av slike verktøy, men enkelte eksempler og trender beskrives kort nedenfor. En nærmere beskrivelse og drøfting av bruk av teknologiske verktøy for å ivareta og styrke rettigheter og plikter etter personopplysningsloven gjøres i kapittel 11.
5.1.4.1 Personvernvennlige utfordrere til teknologigigantene
Store deler av teknologimarkedet, særlig på forbrukersiden, domineres av et lite antall globale selskaper. Likevel har det vokst frem aktører som profilerer seg på personvernvennlige alternativer. Det inkluderer blant annet nettlesere som ikke sporer brukernes aktivitet, annonseplattformer som ikke bruker personopplysninger, samt søkemotorer som ikke analyserer brukerdata for å tilpasse søkeresultater. Som det skrives om i kapittel 9, er det en rekke konkurransemessige faktorer som bidrar til at få av disse aktørene har betydelige markedsandeler i dag.
5.1.4.2 Åpen kildekode
I motsetning til proprietær teknologi, som ofte er lukkede systemer beskyttet av opphavsrett og patenter, kan programvare bygget på åpen kildekode være et personvernvennlig alternativ. Åpen kildekode bidrar til at hvem som helst kan inspisere programvaren for å blant annet avdekke hva som foregår og hvilke data som samles inn. Det bidrar til en åpenhet som ofte ikke er tilgjengelig i proprietære systemer, hvor man som regel bare må stole på at tjenesteleverandører behandler personopplysninger på en ansvarlig måte.
5.1.4.3 Ende-til-ende-kryptering
Ende-til-ende-kryptering gjør kommunikasjon mellom enkeltindivider umulig å fange opp av tredjeparter ved at krypterte data kun kan leses av individer med tilgang på en unik krypteringsnøkkel. I ende-til-ende-kryptering er det kun individene som kommuniserer sammen som har tilgang på krypteringsnøklene, som i praksis betyr at selv ikke tjenesteleverandøren kan lese innholdet. For eksempel har krypterte meldingsapper blitt et viktig verktøy for demonstranter og for kommunikasjon mellom journalister og varslere.72 På den andre siden kan ende-til-ende-kryptering i praksis gi kriminelle en trygg kanal for å utveksle ulovlig informasjon uten at politi og andre myndigheter kan fange det opp. Debatten rundt kryptering reiser grunnleggende spørsmål om forholdet mellom sikkerhet og personvern, og hvor samfunnet ønsker å trekke grensene mellom de to. Disse avveiningene drøftes videre i kapittel 7 om personvern i justissektoren.
5.1.4.4 Edge computing
Edge computing er en teknologi som tilrettelegger for behandling av data på lokale servere, som et motstykke til skytjenester som flytter behandlingen til eksterne servere.73 Det skaper fordeler blant annet ved å redusere forsinkelser som kommer ved overføring av store mengder data, og kan også anvendes for å styrke informasjonssikkerhet og personvern ved å begrense dataflyt til eksterne aktører, som reduserer sårbarhetsflater. Det kan for eksempel skje ved å sette opp lukkede og krypterte nett innenfor begrensede fysiske områder, hvor behandling av personopplysninger skjer lokalt. Utviklingen av 5G-teknologi vil kunne gjøre det rimeligere å etablere slike nettverk, noe som kan styrke sikkerheten innen særlig utsatte områder, som for eksempel sykehus.
5.2 Særskilt utfordrende eksempler på teknologianvendelser med implikasjoner for personvernet
Som beskrevet ovenfor, har kombinasjonen av allestedsnærværende sensorer og sporingsteknologi, voksende lagrings-, overførings- og prosesseringskapasitet, samt kraftige maskinlæringssystemer, muliggjort databehandling i enorm skala. Nedenfor beskrives noen anvendelser av teknologi som er muliggjort av denne utviklingen, og som er særlig inngripende for personvernet.
5.2.1 Sporing og sammenstilling på tvers av plattformer og tjenester
Moderne sporingsteknologi gjør det mulig å samle inn personopplysninger gjennom nettsider, apper, betalingskort, tilkoblede produkter, og mye mer. Informasjonen kan sammenstilles og brukes til å skape svært omfattende profiler av enkeltindivider, eller for å segmentere individer i kategorier sammen med andre personer med lignende trekk. Det store plattformselskapene, som Alphabet, Meta og Amazon, er godt posisjonert til å sammenstille data på denne måten, da de har tilnærmet monopol på tjenestene de leverer og dermed mulighet til å samle inn opplysninger fra en enorm brukermasse.
Personopplysninger samles inn når vi aktivt deler informasjon om oss selv i for eksempel sosiale medier, men samles også inn passivt i bakgrunnen ved hjelp av sensorer og sporingsteknologier både når vi beveger oss rundt på nett og i det fysiske rom. Opplysningene blir gjerne sammenstilt og analysert ved hjelp av maskinlæringssystemer som kan utlede nye opplysninger om grupper eller individer basert på opplysningene. For eksempel kan opplysninger om bevegelsesmønster analyseres for å utlede hvor man bor og arbeider, om man har en religiøs tilhørighet, eller om man jevnlig sover borte hos andre. Opplysninger som i utgangspunktet ikke er veldig avslørende, kan dermed brukes til å utlede svært intime detaljer om den enkelte.
Når opplysninger samles inn på tvers av produkter og tjenester, blir det svært vanskelig for enkeltpersoner å ha oversikt over eller å forstå hvilke opplysninger som er samlet inn om dem, hvilke nye opplysninger som kan utledes fra opplysningene som er samlet inn, og hvilke anvendelsesområder og konsekvenser behandlingen av personopplysningene deres kan få, på kort og på lang sikt. Disse personvernutfordringene beskrives nærmere i kapittel 9 om forbrukeres personvern, men gjør seg også gjeldende dersom data sammenstilles og viderebehandles i for eksempel forvaltningen, justissektoren og arbeidslivssektoren.
Som beskrevet i kapittel 4 er dataminimering et grunnleggende personvernprinsipp – man skal ikke samle inn flere personopplysninger enn det som er nødvendig for behandlingsformålet. Dette prinsippet kan komme i konflikt med en grunnleggende forutsetning for mange maskinlæringssystemer, som er avhengig av å behandle mest mulig data uten at formålet med bruken nødvendigvis bestemmes i forkant.
5.2.2 Profilering og automatisert beslutningstaking
Den omfattende datainnsamlingen, sammenstillingen og analysen som er muliggjort av sporingsteknologi i kombinasjon med maskinlæring, har ført til at store mengder opplysninger kan anvendes til å lage omfattende profiler om enkeltindivider eller grupper.
Profilering defineres i personvernforordningen som «enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelse».74
Slike profiler og segmenter kan brukes til å tilpasse tjenester til individer eller til grupper med særlige behov. Den kommersielle bruken av profilering til markedsføringsformål behandles i kapittel 9 om forbrukernes personvern. Offentlig forvaltnings bruk av profilering til kontrollformål behandles i kapittel 6 om den digitale offentlige forvaltningen.
5.2.2.1 Algoritmisk bias
Bruken av automatisk beslutningstaking på bakgrunn av profiler kan effektivisere prosesser innenfor en rekke samfunnsområder. Selv om dette i mange tilfeller vil være positivt, er det betydelige fallgruver dersom viktige beslutninger tas basert på slik teknologi.75 Såkalt algoritmisk bias er et begrep som gjerne brukes for å beskrive skjevheter i datagrunnlag som brukes av et maskinlæringssystem, i selve modellen, eller i bruken av modellen. Algoritmisk bias kan blant annet oppstå dersom et maskinlæringssystem er trent opp på datasett som inkluderer feil, som ikke reflekterer virkeligheten, eller som reflekterer uønskede skjevheter som finnes i samfunnet.76
For eksempel har ansiktsgjenkjenningssystemer flere ganger vist seg å være dårligere på å korrekt identifisere individer med mørkere hudfarge,77 og tekstanalyseteknologi har «lært» seg at kvinner er sykepleiere mens menn er doktorer.78
Bruken av avanserte maskinlæringssystemer kan føre til at samfunnsmessige urettmessigheter eller feilvurderinger blir legitimert og gitt et inntrykk av å være objektive sannheter, fordi beslutningene ble tatt av en datamaskin i stedet for et menneske. Dette kan ha svært alvorlige følger, for eksempel dersom et ansiktsgjenkjenningssystem brukt i forsøk på å bekjempe terrorisme identifiserer feil person som mistenkt, eller en selvkjørende bil ikke klarer å «se» enkelte grupper.
At slike problemer kan forekomme, betyr ikke at maskinlæring og kunstig intelligens ikke kan bidra til bedre beslutningstaking. Det betyr imidlertid blant annet at det må stilles strenge kontrollkrav til hvilke data som brukes og til hvilke formål man anvender teknologien.
5.2.2.2 Forklarbarhet og ansvar i automatiserte beslutningsprosesser
En av bekymringene i forbindelse med maskinlæring er at man ikke alltid vet hvordan resultatet blir produsert. Hvilke egenskaper, eller hvilke kombinasjoner av disse, var viktigst? Ofte vil modellen kun produsere et svar uten noen forklaring. Dersom slike systemer anvendes for å treffe beslutninger som påvirker mennesker i betydelig grad, og man ikke kan begrunne hvorfor beslutningen ble tatt, kan det være svært utfordrende for blant annet rettssikkerheten. Forklarbarhet og manuell vurdering av resultater er derfor særlig viktig i tilfeller hvor beslutninger basert på maskinlæring påvirker individer.
I situasjoner der maskinlæringssystemer brukes som et beslutningsgrunnlag, men et menneske tar den endelige beslutningen, kan det også oppstå problemer dersom mennesket ikke har forståelse eller kompetanse til å overprøve en anbefaling som eventuelt kan være feil. For eksempel, dersom et maskinlæringssystem som analyserer utvikling av kreft anbefaler et bestemt inngrep, og denne anbefalingen viser seg å være feil, kan det være vanskelig for helsepersonell å begrunne hvorfor de valgte å følge eller ikke følge anbefalingen. Utfordringer knyttet til å benytte maskinlæringssystemer til å fatte beslutninger som berører enkeltpersoner, er diskutert mer inngående i kapittel 6 om personvern i den digitale forvaltningen.
Ansvarsfordelingen er også utfordrende dersom et selvlærende produkt påfører skade. Dette har blitt satt på spissen i tilfeller hvor selvkjørende biler har kollidert, en utfordring som vil bli stadig mer aktuell når automatiserte prosesser tar over for menneskelig involvering.79
Boks 5.3 Algoritmer, Data & Demokrati
Det danske prosjektet Algoritmer, Data & Demokrati har som mål å vurdere de demokratiske utfordringene ved at stadig flere beslutninger som har betydning for den enkeltes liv og samfunnets utvikling blir tatt på grunnlag av maskinlæringssystemer. Prosjektet skal blant annet munne ut i anbefalinger om tiltak for å sikre at demokratiske verdier ivaretas i utviklingen av algoritmer og databruk i offentlig sektor, samt generere innsikt og stimulere til offentlig debatt.1
1 Algoritmer, Data & Demokrati. (u.å.). ADD-projektet.
5.2.2.3 Tilsyn og kontroll med maskinlæringssystemer
I tråd med at stadig flere prosesser både i offentlig og privat sektor automatiseres og styres av maskinlæringssystemer, pågår det diskusjoner både nasjonalt og på europeisk nivå om hvordan en kan kontrollere at systemene ivaretar grunnleggende rettigheter og samfunnsprinsipper.
I forbindelse med forslaget til den kommende forordningen for kunstig intelligens, diskuteres det hvor ansvaret for å føre tilsyn med maskinlæringssystemer bør ligge.80 Forordningsforslaget vil også stille krav om teknisk dokumentasjon og åpenhet knyttet til systemer som anses som høyrisiko, blant annet for å muliggjøre tilsyn og etterprøvbarhet av systemene. Forslaget til forordning for kunstig intelligens omtales nærmere i kapittel 9 om forbrukernes personvern.
I Norge har Riksrevisjonen satt i gang et samarbeid med riksrevisjoner i andre land for å undersøke mulige fremgangsmåter for å føre tilsyn med bruken av algoritmer i offentlig sektor.81 Datatilsynet fører allerede tilsyn med maskinlæringssystemer som utfordrer personvernet,82 og Finanstilsynet har en tilsvarende rolle ved bruk av slike systemer i finanssektoren.
5.2.3 Biometrisk analyse og fjernidentifikasjon
Biometri er en betegnelse for måling og registrering av data som er knyttet til et individs kropp, og inkluderer blant annet genmateriale, fingeravtrykk, ansikt, stemmeinformasjon, og ganglag. Biometrisk verifisering brukes gjerne til å bekrefte individers identitet, for eksempel som en del av sikkerhetsmekanismer, men kan også anvendes til overvåkningsformål.
I motsetning til enkelte former for personopplysninger, er det som regel umulig å endre biometriske data. For eksempel kan man ikke bytte fingeravtrykk dersom det kommer på avveie. Det er heller ikke mulig å skru av et fingeravtrykk eller et ansikt – man har det med seg overalt. Dersom man anvender teknologi for å identifisere individer basert på biometri, for eksempel ved at kamera på offentlige steder automatisk gjenkjenner individer basert på ansikt eller ganglag, er det derfor umulig for individer å velge å ikke bli registrert.
5.2.3.1 Audioanalyse
Audioanalyse kan blant annet brukes for å identifisere individer basert på stemmeleie og andre unike trekk i stemmen, noe som kalles stemmeavtrykk (voiceprinting). Lignende teknologi kan brukes til å registrere automatisk hva som blir sagt, for eksempel gjennom stemme-til-tekst-funksjoner.
Etter hvert som teknologien blir stadig kraftigere, kan den anvendes til å for eksempel plukke ut stemmer og samtaler fra bakgrunnsstøy. Slik bruk av audioanalyse muliggjør blant annet overvåkning av private samtaler uten at mennesker må aktivt avlytte et område eller en person. Utrullingen av slik teknologi vil legge nytt press på personvernet ved å tilrettelegge for automatisk avlytting, samt å kunne brukes til å opprette biometriske databaser til bruk i masseovervåkning.83
5.2.3.2 Biometrisk fjernidentifikasjon
Biometrisk fjernidentifikasjon («remote biometric identification») er en samlebetegnelse på bruken av biometri for å identifisere individer uten å ha fysisk tilgang på individets kropp. Det inkluderer automatisk registrering av blant annet ansikter, ganglag, stemmer og øyne, som fanges opp av sensorer og analyseres i sanntid uten at et menneske trenger å være involvert i prosessen.
Ansiktsgjenkjenning er et mye omtalt eksempel på biometrisk fjernidentifikasjon, og er allerede i bruk i flere samfunnssektorer. Teknologien brukes blant annet for å låse opp smarttelefoner eller dørlåser som en del av en sikkerhetsmekanisme.
Ansiktsgjenkjenning anvendes også i overvåkningsøyemed, for eksempel for å automatisk identifisere individer i videoopptak som ellers ville være svært arbeids- og ressurskrevende å gå gjennom manuelt.84 Varianter av teknologien brukes også i forsøk på å gjenkjenne emosjonelle reaksjoner i ansiktsuttrykk. Det kan brukes til formål som å hjelpe funksjonsnedsatte med å identifisere ansiktsuttrykk, men er også attraktivt i markedsføringsøyemed. Det har også vært flere kontroversielle forsøk på å forsøke å utlede personlighetstrekk og andre egenskaper ut fra ansiktsanalyser.85
Det er store personvernutfordringer knyttet til bruken av biometrisk fjernidentifikasjon, særlig dersom teknologien brukes på offentlig sted. For eksempel er mulighetene for misbruk store dersom teknologien anvendes for å identifisere dissidenter eller demonstranter.86
På grunn av teknologiens svært inngripende natur, pågår det diskusjoner på europeisk nivå om hvorvidt bruk av ansiktsgjenkjenning i offentlige rom bør forbys.87 I Norge har Teknologirådet foreslått at et forbud bør vurderes.88 Datatilsynsmyndigheten for EU-organene (EDPS) har anbefalt et generelt forbud mot all biometrisk fjernidentifikasjon, på grunn av det de kaller en «ekstremt høy risiko for dype og udemokratiske inngrep i individers privatliv».89 Som omtalt nærmere i kapittel 9 om forbrukernes personvern, vil den kommende EU-forordningen for kunstig intelligens innebære restriksjoner og et mulig forbud mot bruken av biometrisk fjernidentifikasjon i det offentlige rom.
Personvernkommisjonen støtter et generelt forbud mot bruk av biometrisk fjernidentifikasjon i offentlige rom. Norske myndigheter bør arbeide internasjonalt, særlig opp mot EU, for å få gjennomført et forbud.
5.2.3.3 Datamanipulering og skillet mellom sant og usant
I løpet av de siste årene har det pågått flere offentlige diskusjoner knyttet til bruken av kunstig intelligens for å manipulere lyd og video. Teknologien bak forfalskningene, som populært kalles «deepfakes», lar brukere mate et maskinlæringssystem med stemmedata eller bilder av ansikter, for å automatisk spleise det sammen med andre lydklipp eller videoklipp. Mye omtalte eksempler på bruk av teknologien inkluderer å manipulere lyd og bilder av politikere for å få det til å fremstå som at de sier noe de ikke har sagt i virkeligheten, samt misbruk knyttet til å manipulere pornografisk innhold.
Deepfake-teknologi er allerede tilgjengelig i programvare som kan brukes uten inngående teknisk kompetanse, som betyr at forfalskede lyd- og videoklipp kan florere.90 Det har bidratt til bekymring om at man i fremtiden ikke vil kunne stole på egne øyne og ører, og at dette kan bidra til at faktiske video- og bildebevis kan avfeies med å hevde at det er snakk om deepfakes. På grunnlag av disse bekymringene, har enkelte tatt til orde for at teknologien bør forbys i sin helhet.91
Utviklingen og bruken av deepfake-teknologi forutsetter tilgang på store datamengder, og er særlig avhengig av å behandle videoer og bilder av ansikter. I mange tilfeller vil det være snakk om video av offentlige personer, fra offentlig tilgjengeliggjort materiale. Det skaper likevel personvernutfordringer når materiale som er lagret og tilgjengeliggjort for et bestemt formål behandles og brukes for helt andre formål. Det kan også være snakk om grove identitetskrenkelser dersom teknologien anvendes til å fremstille det som at et individ sier eller gjør noe de ikke har sagt eller gjort.
5.2.4 Nevro- og bioteknologi
Fremskritt innenfor nevro- og bioteknologi betyr at digitaliseringen også inntar kroppene og hodene våre. Det inkluderer blant annet implantater som kan opereres inn i kroppen, helseteknologiske verktøy for å måle kroppslige faktorer, individtilpasset medisin, samt implantater som kan registrere hjerneaktivitet.92 Dette er et felt hvor oppsidene ved velfungerende teknologi er meget tydelige, da det kan bidra til betydelige helsefordeler, økt livskvalitet for sårbare grupper, og livreddende behandling. Samtidig er det ofte teknologi som behandler noen av de mest intime og sensitive opplysningene som finnes, og hvor risikoen ved sikkerhetsbrudd kan være svært høy. Dette gjør det særlig viktig at personvern og informasjonssikkerhet ivaretas i utviklingen av slik teknologi.
Genetiske data er et eksempel på særdeles sensitive personopplysninger som også kan ha stor nytteverdi, for eksempel i forskningsøyemed ved utvikling av medisiner. Dersom slike opplysninger kommer på avveie er det meget problematisk, da genetisk informasjon er unik for en person og kan gi opplysninger om egenskaper som i seg selv er sensitive, slik som sykdom og personlighetstrekk. Gener endrer seg ikke i løpet av livet, det er derfor en «livsløpsrisiko» dersom opplysningene kommer på avveie. Kommersiell bruk av genetiske data har blitt populært gjennom blant annet slektsforskningstjenester. Analyse av genetiske data for slike formål kan gi ny innsikt i slektskap, arvelige sykdommer og lignende, men reiser også en rekke etiske spørsmål knyttet til blant annet familiemedlemmers personvern, kommersiell gjenbruk og retten til å ikke vite.93 Analyse av genetiske opplysninger kan ha uønskede effekter for andre enn individet som deler informasjonen, og kan misbrukes til diskriminerende formål dersom det ikke håndteres på en ansvarlig og etisk måte.
Nevroteknologi er teknologi som kan interagere direkte med nevroner i hjernen, og brukes blant annet innen forskning på sykdommer som Alzheimers. En rekke aktører forsøker å utvikle såkalte hjerne-datamaskin-grensesnitt (brain-computer-interfaces), med mål om å kunne registrere hjerneaktivitet eller styre teknologi med hjernen, enten gjennom utstyr som festes på hodet, eller som implantater som opereres inn i hodet. Etter hvert som teknologien blir mer avansert, kan dette føre til nye personvernutfordringer knyttet til individets tanker og underbevissthet. Bekymringer rundt dette har ført til at flere forskere på feltet har varslet om at det bør stadfestes rettigheter og prinsipper for å begrense personverninngripende teknologibruk på hjernen.94
5.3 Personvernkommisjonens syn på forholdet mellom teknologisk og samfunnsmessig utvikling
På samme måte som samfunnet kan påvirkes av teknologi, påvirkes den teknologiske utviklingen av samfunnets normer, regler og preferanser. I EU har man vedtatt at man ønsker en teknologisk utvikling fundamentert på europeiske verdier, og har utformet reguleringer for å styre utviklingen i ønsket retning.
Digitalisering er høyt på agendaen for norske politikere og myndigheter. Selv om digitalisering og teknologisk utvikling har bidratt til store gevinster i alle sektorer, er det viktig å understreke at digitalisering ikke er et mål i seg selv, men et middel for å øke velferd, effektivisere prosesser, og mye mer. Teknologi i seg selv kan brukes til gode og dårlige formål, og demokratisk kontroll må være et fundament for å sikre at samfunnet tar i bruk teknologi i fellesskapets interesse.
Personvernkommisjonen mener det er avgjørende at norske politikere har en grunnleggende teknologiforståelse, men uten at man blir fastlåst i en teknologideterministisk tilnærming, der grunnleggende prinsipper og rettigheter må vike for teknologien.
Personvernkommisjonen mener det bør være et grunnleggende samfunnsprinsipp at innføringen av inngripende teknologi ikke gjøres uten å ha kartlagt hvilke problemer man faktisk ønsker å løse, og at det gjøres grundige vurderinger av om det finnes mindre inngripende veier til målet.
Mangelfull ivaretakelse av personvernet kan være identitetskrenkende og skadelig for den enkelte, men som beskrevet i kapittel 3 har manglende personvern også en rekke andre negative følger som kan være særlig skadelig for samfunnet som helhet.
Personvernkommisjonen mener innføring og bruk av ny teknologi i samfunnet som kan medføre betydelige personvernkonsekvenser må være gjenstand for offentlig debatt. Det gjelder særlig hvis myndighetene ønsker å ta i bruk potensielt inngripende teknologi.
5.3.1 Føre-var-prinsippet
Den teknologiske utviklingen foregår i et raskt tempo. Hvilke konsekvenser innføringen av ny teknologi vil ha for den enkelte og for samfunnet, er i mange tilfeller omfattet av stor usikkerhet. Det er ofte først i ettertid at man ser hvilken effekt utviklingen har hatt på samfunnet. I mange tilfeller vil derfor normer, politikk og regelverk for anvendelse av teknologi komme i etterkant.
I utviklingen av regler og politikk for å beskytte miljø og klima står føre-var-prinsippet sentralt. Begrepet «the precautionary principle» ble utviklet innenfor the World Charter for Nature, som ble vedtatt av FNs generalsekretær i 1982. Prinsippet er deretter implementert i ulike internasjonale konvensjoner som tar sikte på å beskytte miljøet. Føre-var-prinsippet har etter hvert også fått stor gjennomslagskraft utover rene miljøspørsmål. I hovedsak innebærer prinsippet at der hvor det foreligger trussel om alvorlig eller uopprettelig skade, skal ikke mangel på fullstendig vitenskapelig visshet kunne brukes som begrunnelse for å utsette kostnadseffektive tiltak for å hindre skade. Usikkerhet om skadevirkninger skal altså ikke bety at man unnlater å iverksette tiltak.95
Grunntanken bak føre-var-prinsippet kan overføres til ivaretagelsen av personvernet. Etter Personvernkommisjonens syn bør ikke usikkerhet knyttet til hvorvidt innføringen av en teknologisk løsning vil ha alvorlige konsekvenser for ivaretakelsen av personvernet, brukes som grunn til å avstå fra å sette inn beskyttelsestiltak. Usikkerheten bør tvert imot være en grunn til å iverksette forebyggende tiltak.
Personvernkommisjonen mener at før teknologi med særlig høy risiko for personvernet vurderes innført, som for eksempel biometrisk fjernidentifikasjon i offentlige rom, bør føre-var-prinsippet komme til anvendelse.
5.4 Personvernkommisjonens anbefalinger oppsummert
Personvernkommisjonen støtter et generelt forbud mot bruk av biometrisk fjernidentifikasjon i offentlige rom. Norske myndigheter bør arbeide internasjonalt, særlig opp mot EU, for å få gjennomført et forbud.
Personvernkommisjonen mener det er avgjørende at norske politikere har en grunnleggende teknologiforståelse, men uten at man blir fastlåst i en teknologideterministisk tilnærming, der grunnleggende prinsipper og rettigheter må vike i teknologiens tjeneste.
Personvernkommisjonen mener det bør være et grunnleggende samfunnsprinsipp at innføringen av inngripende teknologi ikke gjøres uten å ha kartlagt hvilke problemer man faktisk ønsker å løse, og at det gjøres grundige vurderinger av om det finnes mindre inngripende veier til målet.
Personvernkommisjonen mener innføring og bruk av ny teknologi i samfunnet som kan medføre betydelige personvernkonsekvenser må være gjenstand for offentlig debatt. Det gjelder særlig hvis myndighetene ønsker å ta i bruk potensielt inngripende teknologi.
Personvernkommisjonen mener at før teknologi med særlig høy risiko for personvernet vurderes innført, som for eksempel biometrisk fjernidentifikasjon i offentlige rom, bør føre-var-prinsippet komme til anvendelse.
Fotnoter
Convention for the Protection of Human Rights and Fundamental Freedoms, Roma, 4.November 1950 (entered into force 3. september 1953), ETS5, (Menneskerettskonvensjonen).
Menneskerettskonvensjonen (EMK) artikkel 8.
Lov 17. mai 1814 Kongeriket Norges Grunnlov, (Grunnloven) § 102.
NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet.
Schartum, D.W. (2020). Personvernforordningen: en lærebok. Fagbokforlaget, s. 13.
Schartum, D.W. (2020). Personvernforordningen: en lærebok. Fagbokforlaget.
Schartum, D.W. (2020). Personvernforordningen: en lærebok. Fagbokforlaget.
Tekst, bilder, lyd eller en annen måte å kodifisere informasjon på.
Laumann, K. & Grytli, D.M. (2021). Data er det nye oljesølet. Morgenbladet.
UNESCO. (2015). World Trends in Freedom of Expression and Media Development: Special Digital Focus 2015.
Penney, J. (2016). Chilling Effects: Online Surveillance and Wikipedia Use. Berkeley Technology Law Journal, 31(1), 117.
Lov 28. mai 2010 nr. 16 om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven).
FN. (2021). Menneskerettigheter.
United Nations General Assembly, Universal Declaration of Human Rights, Paris, 10. December 1948 (Menneskerettighetserklæringen).
Artikkel 12 lyder: «Ingen må utsettes for vilkårlig innblanding i privatliv, familie, hjem og korrespondanse, eller for angrep på ære og anseelse. Enhver har rett til lovens beskyttelse mot slik innblanding eller slike angrep.»
United Nations General Assembly, International Covenant on Civil and Political Rights, 16. desember 1966, Treaty Series, 999, 171. (FN-konvensjonen).
FN-konvensjonen artikkel 17 lyder omtrent likt som FN-erklæringens artikkel 12 og skal på lik linje med denne beskytte innbyggerne mot inngrep i privatlivet: «1. Ingen må utsettes for vilkårlige eller ulovlige inngrep i privat- eller familieliv, hjem eller korrespondanse, eller ulovlige inngrep på ære eller omdømme. 2. Enhver har rett til lovens beskyttelse mot slike inngrep eller angrep.»
Convention for the Protection of Individuals with regard to the Automatic Prosessing for Personal Data, Strasbourg, 28. januar 1981 (CETS no. 108).
Justis- og beredskapsdepartementet. (2018). Protokoll om endring av Europarådets personvernkonvensjon.
Charter of Fundamental Rights of the European Union, 7. desember 2000 (C 364/01), (Charteret).
Treaty of Lisbon amending the Treaty on European Union and the Treaty establishing the European Community, Lisboa, 13. December 2007, (entered into force 1. December 2009), C 306/1, (Lisboa-traktaten).
Stortinget. (2011). Dokument 16 (2011–2012). Rapport til Stortingets presidentskap fra Menneskerettighetsutvalget om menneskerettigheter i Grunnloven, s 175.
Heggland, M. (2017). Barns kontroll over eget personvern gjennom retten til innsyn og samtykke: Styrkes barns rettsstilling ved gjennomføringen av EUs personvernforordning? [Masteroppgave Universitetet i Oslo]. DUO Vitenarkiv.
Grunnloven § 104 ble vedtatt i Stortinget i mai 2014. Før dette var ikke barns rettigheter tematisert i Grunnloven.
Convention on the rights of the child, 20. November 1989, (entered into force 2. September 1990) United Nations, Treaty Series, vol 1577, p 3, (Barnekonvensjonen).
Lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven).
Wiese Schartum, D. & Bygrave, L. A. (2004). Personvern i informasjonssamfunnet. Fagbokforlaget. s. 96-97.
Se for eksempel Niemietz v. Tyskland, [J], no.13710/88, (1992) 16 EHRR 97, og von Hannover v. Tyskland, [J] no. 59320/00 ECHR 2004-VI ECHR 294.
NOU 2020: 14 Ny barnelov – Til barnets beste. s. 65.
Convention on the rights of the child, 20. November 1989, (entered into force 2. September 1990) United Nations, Treaty Series, vol 1577, p 3, (Barnekonvensjonen).
Bestemmelsen nevnes i en dom fra Høyesterett, HR-2019-2038-A som gjaldt en mors publisering av personopplysninger om sin datter på nett. I dommen legges det til grunn at barnekonvensjonen artikkel 16 gir barn rett til vern om sin personlige integritet.
Barnekonvensjonen artikkel 43 flg.
FNs barnekomité åpner også for supplerende informasjon fra ikke-statlige aktører som nasjonale overvåkingsorgan og organisasjoner fra sivilt samfunn. Barneombudet er en av aktørene som sender slike supplerende rapporter. Se Barneombudets rapporter her: Om barnekonvensjonen og rapportering – Barneombudet.
Manglende praksis fra komitéen, og lite kunnskap om hvordan klageordningen ville fungere, ble tillagt stor vekt i avgjørelsen om ikke å tilslutte seg tredje tilleggsprotokoll. konvensjon_barn.pdf (regjeringen.no).
Barneombudet. (2017). Barneombudets supplerende rapport til FNs barnekomité: Barns rettigheter i Norge – 2017.
Committee on the Rights of the Children, General comment No. 14 (2013) on the right of the child to have his or her best interests taken as a primary consideration (art. 3, para. 1), pkt.III, 14b.
Committee on the Rights of the Children, General comment No. 14 (2013 pkt. 39).
Committee on the Rights of the Children, General comment No. 14 (2013 pkt 43).
Forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning).
Direktiv (EU) 2016/680 om beskyttelse av fysiske personer ved behandling av personopplysninger for å forebygge, etterforske, avdekke eller straffeforfølge lovbrudd eller gjennomføring av straffereaksjoner, og om fri utveksling av slike opplysninger og opphevelse av rådets rammebeslutning 2008/977/JIS.
Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven).
Jf. personopplysningsloven § 31.
Opplysninger om etnisitet, religion, politisk oppfatning, helseopplysninger, seksuell legning og flere andre opplysningstyper som en generelt anser som spesielt sensitive.
Prop. 56 LS (2017–2018) Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen, kap 13.2.1.
Prop. 56 LS (2017–2018).
«Data Protection Impact Assessment», se personvernforordningen art. 35 nr. 1.
Se personvernforordningen art. 15 nr. 1 bokstav h.
Personvernforordningen art. 40.
Prop. 56 LS (2017–2018), side 118.
Hofstad, K. (2022). Sertifisering. Store norske leksikon.
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), Brussel, 10. januar 2017, COM (2017) 010 final.
EØS-notatbasen. (2021). Forslag til kommunikasjonsvernforordning.
Lex specialis gir spesielle regler fortrinn fremfor mer generelle regler. Dette innebærer at et unntak vil ha fortrinnsrett fremfor en hovedregel.
Stortinget. (2021, 17. februar). Rådets enighet om ePrivacy åpner for datalagring.
Rådet for den Europeiske Union. (2021, 10. februar). Confidentiality of electronic communications: Council agrees its position on ePrivacy rules.
Europakommisjonen. (2022). Regulatory framework proposal on artificial intelligence.
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS, Brussel, 21. april 2021 COM (2021) 206 final, se avsnitt 21.2
Forslag til europaparlaments- og rådsforordning om europeisk datastyring (Data Governance Act) på Europakommisjonens hjemmesider.
Se for eksempel Meld. St. 27 (2015–2016) Digital agenda for Norge – IKT for en enklere hverdag og økt produktivitet. Kommunal- og distriktsdepartementet.
Statistisk Sentralbyrå. (2021). Norsk mediebarometer.
Kompetanse Norge. (2021). Befolkningens digitale kompetanse og deltakelse.
Mejias, U. A. & Couldry, N. (2019). Datafication. Internet Policy Review 8(4).
Datatilsynet. (2015). Det store datakappløpet.
Tidemann, A. & Elster, A. C. (2022). Maskinlæring. Store norske leksikon.
Teknologirådet. (2018). Kunstig intelligens – muligheter, utfordringer og en plan for Norge.
Personvernforordningen art. 32.
Zuboff, S. (2020). Overvåkingskapitalismens tidsalder: Kampen for en menneskelig framtid ved maktens nye frontlinje. Spartacus.
Ringnes, W. (2022). Kommersiell sporing – nasjonal risiko. Internasjonal politikk 80(1).
Wessel-Aas, J. (2017, 8. januar). Digital grenseovervåkning utenfor lovlige grenser. NRK Beta.
Stousland, C. & Førde, K. H. (2020, 19. oktober). Privacy Shield kjent ugyldig: Hva nå?. Digi.
Datatilsynet. (2015). Anonymisering av personopplysninger.
Schulz, W. & Hoboken, J. (2016). Human rights and encryption. UNESCO Publishing.
IBM. (u.å.) What is edge computing?
Personvernforordningen art. 4 nr. 4.
European Commission. (2020). White Paper On Artificial Intelligence: A European approach to excellence and trust.
PWC. (2022). Understanding algorithmic bias and how to build trust in AI.
Burton-Harris, V. & Mayor, P. (2020, 24. juni). Wrongfully Arrested Because Face Recognition Can't Tell Black People Apart. ACLU.
Sun, T., Gaut, A., Tang, S., Huang, Y., ElSherief, M., Zhao, J., Mirza, D., Belding, E., Chang, K., Wang, W, Y. (2019). Mitigating Gender Bias in Natural Language Processing: Literature Review. Proceedings of the 57th Annual Meeting of the Association for Computational Linguistics.
The Atlantic. (2018, 20. mars). Can You Sue a Robocar?.
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS, Brussel, 21.april.2021 COM (2021) 206 final Artikkel 63
Riksrevisjonene i Finland, Nederland, Norge, Storbritannia og Tyskland. (2020). Auditing machine learning algorithms: A white paper for public auditors.
Datatilsynet. (2021, 16. juli). Lukker IB-saken.
Human Rights Watch. (2017, 22. oktober). China: Voice Biometric Collection Threatens Privacy.
Teknologirådet. (2020). Ansiktsgjenkjenning og personvern.
Venturebeat. (2021, 11. januar). Outlandish Stanford facial recognition study claims there are links between facial features and political orientation.
Nature. (2020, 18. november). The ethical questions that haunt facial-recognition research.
Politico. (2021, 6. oktober). European Parliament calls for a ban on facial recognition.
Teknologirådet. (2020, 18. februar). Når kunstig intelligens går på trynet. Dagens Næringsliv.
European Data Protection Supervisor. (2021, 23. april). Artificial Intelligence Act: a welcomed initiative, but ban on remote biometric identification in public space is necessary.
DW. (2022, 18. mars). Fact check: The deepfakes in the disinformation war between Russia and Ukraine.
World Economic Forum. (2021, 1. april). How to tell reality from a deepfake?.
Teknologirådet. (2020, 30. desember). De viktigste teknologiske gjennombruddene i 2021.
Philips, A. M. (2016). Only a click away. DTC genetics for ancestry, health, love…and more: A view of the business and regulatory landscape. Applied & Translational Genomics 8.
Politico. (2021, 31. august). Machines can read your brain. There’s little that can stop them.
NOU 2000: 29 GMO-mat – Helsemessige konsekvenser ved bruk av genmodifiserte næringsmidler og næringsmiddelingredienser. Kap. 6.