Leders beretning:
Ny giv for personvernet – eller to skritt fram og ett tilbake
Av Bjørn Erik Thon, direktør i Datatilsynet
Det er to temaer som er særlig viktig for personvernet akkurat nå. Det ene er allerede vedtatt, nemlig personvernforordningen som trer i kraft i mai 2018. Det andre er digitalt grenseforsvar, som et utvalg har foreslått å innføre i Norge. Begge disse vil, på ulikt vis, ha stor betydning for norske borgeres personvern i mange år framover.
Spennende utfordringer med nytt lovverk
Det finnes i dag knapt noen grense for hva som kan samles inn av opplysninger om oss, og hva de kan brukes til. Den teknologiske utviklingen går rasende fort, og det er svært krevende for lovgivningen å henge med i svingene. Tross dette, eller kanskje nettopp derfor, er det veldig bra at det kommer et nytt, modernisert personvernregelverk. Kort fortalt er det tre grunnpilarer i det nye regelverket:
- Forhåndskontroll vil i stor grad erstattes av etterkontroll.
- Virksomhetene får en sterkere forpliktelse til å lage rutiner, få på plass avtaler og jobbe systematisk for å følge regelverket.
- Borgernes rettigheter styrkes.
I tillegg får Datatilsynet mulighet til å utstede langt større overtredelsesgebyrer, men minst like viktig er at vi også skal legge vekt på å utvikle bransjenormer og gi rådgivning til virksomhetene, for å nevne noe.
Norske virksomheter har en stor oppgave foran seg før de kan si seg klare til å følge lovens bestemmelser. Vår erfaring er nemlig at det står relativt dårlig til i en del sektorer, og dette inkluderer så absolutt også offentlig sektor. Dette bekreftes gjennom de mange tilsynene vi har gjennomført hos norske kommuner de siste årene. Samtidig opplever vi svært stor interesse fra nær sagt alle om det nye regelverket. Viljen til å etterleve regelverket er stor. Det er evnen, og kjennskap til regelverket, som er utfordringen. Det gjør at vi i Datatilsynet også har en oppgave for oss. Det er selvsagt slik at det er den enkelte virksomhet som skal sørge for å følge reglene. Dette understrekes enda tydeligere i det nye regelverket enn i dagens. Men mange vil være avhengige av god veiledning fra Datatilsynet. Norge har svært mange små og mellomstore bedrifter. Mange bedrifter i oppstartsfasen har nettopp som forretningside å bygge tjenesten på personopplysninger, og det vil utvilsomt være krevende å helt på egen hånd finne ut hvordan man skal følge regelverket.
Dette til tross, vi ser optimistisk på framtida. Det nye regelverket vil få stor betydning for norske borgeres personvern, og heldigvis hører vi stadig flere si at skikkelig behandling av folks personopplysninger er en konkurransefordel. Og i en tid der dette opptar stadig flere kan det omdømmemessig bli kostbart å trå feil.
Advarer mot digitalt grenseforsvar
Forslaget til digitalt grenseforsvar, som ble laget av et utvalg høsten 2016, har derimot motsatt fortegn. I korthet går forslaget ut på at all kabelkommunikasjon som går ut og inn av Norge (i realiteten svært mye av vår daglige kommunikasjon) bli registrert i ulike registre. Lengst lagringstid, på hele 18 måneder, har det såkalte metadataregisteret. Slike metadata avslører hvordan vi lever livet vårt, for eksempel hvor vi er, hvem vi omgås, hva vi kommuniserer om og hvem vi kommuniserer med. Det foreslås filtreringsmekanismer og domstolskontroll, men tross dette vil mesteparten av dataene som lagres omfatte vanlige folk som ikke utgjør noen trussel mot samfunnet.
Datatilsynet advarer mot å innføre et digitalt grenseforsvar slik det er foreslått av utvalget. I lys av rettsutviklingen i European Court of Justice (EU-domstolen) de siste årene, er det etter vår mening ikke tvil om at forslaget strider med både Den Europeiske Menneskerettighetskonvensjonens (EMK) artikkel 8, og Grunnlovens § 102. Domstolen sier at det må være en sammenheng mellom de dataene som lagres og den konkrete trusselen som tiltaket har til hensikt å avverge. Videre uttaler domstolen at det er et krav at lagringen må være avgrenset med hensyn til tid, sted og ikke minst personkrets. EU-dommen er usedvanlig klar – den stenger helt enkelt døra for generell masselagring av borgernes data. Det digitale grenseforsvaret oppfyller ikke dommens krav til avgrensning, og vil innebære masselagring av informasjon om uskyldige mennesker
Vi advarer også mot formålsutglidning, nemlig at data brukes til nye formål. Utvalget selv advarer også mot dette, og forsøker å forhindre det ved stram lovregulering og forbud mot å bruke dataene som bevis i konkrete straffesaker. De konkluderer faktisk med at deres eget forslag vil være i strid med EMK og Grunnloven dersom formålsutglidning skjer. Både Kripos og Riksadvokaten argumenterte i høringsrunden for nettopp utvidet bruk, blant annet i konkrete saker. Dette sier noe om det presset som her vil komme fra mange hold om å bruke dataene til nye formål, et press som etter vår mening vil være svært krevende å stå imot, og som i realiteten vil føre til at forslaget utgjør et enda mer kvalifisert brudd på de nevnte bestemmelsene.
Vårt råd er derfor klart: Legg bort forslaget til et digitalt grenseforsvar, nedsett et nytt utvalg med bredere sammensetning, blant annet med personvernrepresentanter, og gi det i oppdrag å utarbeide et forslag som ligger godt innenfor EMK og Norges Grunnlov. Slik unngår vi at digitalt grenseforsvar lider samme skjebne som datalagringsdirektivet, som ble kjent ugyldig av EU-domstolen fordi det kunne gi folk en følelses av å være under kontinuerlig overvåking.
Last ned:
Datatilsynets årsmelding for 2016 (pdf)
Datatilsynets årsrapportering til Kommunal- og moderniseringsdepartementet for 2016 (pdf)