Annen vesentlig aktivitet
Telekom, internett og teknologi
Frem til datalagringsdirektivet ble kjent ugyldig i april 2014, ble det fra Datatilsynets side lagt ned et betydelig arbeid med tanke på konsekvensene av implementering av direktivet. Etter at beslutningen om at direktivet ikke skulle innføres likevel, ble selvsagt også vårt arbeid med implementeringen avsluttet.
Gjennom arbeidet som er gjennomført både før og etter denne beslutningen, har det kommet klare indikasjoner på at teleoperatørene de siste årene har trappet betydelig opp lagringen av personopplysninger på flere felt. Dette omfatter opplysninger som Nasjonal Kommunikasjonsmyndighet og Datatilsynet nå ser på om det er hjemmel for å lagre. Det er viktig for vårt arbeid på dette området å ha klarhet i hvilke personopplysninger som lagres hos teleoperatørene, og at de ikke lagres ulovlig.
Det benyttes en rekke teknologier for å hente ut informasjon om den enkeltes interesser og nettaktivitet når vi beveger oss på nett. Derfor er det viktig for Datatilsynet å følge opp bruken av ulik sporingsteknologi brukt på nett, som for eksempel informasjonskapsler, IP-adressesporing og det som kalles «device fingerprinting». I tillegg øker bruken av innloggingstjenester, ofte med en felles identitet som benyttes på tvers av ulike tjenester.
Tilsvarende ser vi en økning i sporing av hvordan folk beveger seg rundt i det offentlige rom ved at mobilene våre lokaliseres. Denne informasjonen samles for kommersielle formål, og vi ser teknologien benyttet både på offentlige veier og plasser, samt på kjøpesentre, flyplasser, inne i butikker med mer. Det som benyttes er de unike adressene til mobilens Wifi eller Bluetooth, samt ved bruk av beacons fra forskjellige leverandører, som for eksempel Apple. Beacons sender ut identiteter som fanges opp av smartmobiler, og kan igjen si noe om hvor du står eller hva du står i nærheten av og eventuelt interesserer deg for. Bruken varierer fra å lagre de unike identitetene og stedsinformasjon ifra noen minutter, til ubegrenset tid. Dette er en utfordring for muligheten til anonym ferdsel og muligheten til å ha kontroll med egne opplysninger. Ofte innhentes ikke nødvendig samtykke til bruken, eller det er problematisk å innhente dette samtykket på tilfredsstillende måte.
Særlig kraftfullt blir dette når informasjon om hva vi stopper opp ved og interesserer oss for ute i det offentlige rom legges i profiler på den enkelte av oss, og kombineres med etterfølgende informasjon gitt via nett.
Ønsket om, og presset for, å ta i bruk ulike biometriske løsninger har vært svært økende det siste året. Dette kommer både fra offentlige myndigheter, som for eksempel politiet, og fra næringslivsaktører, slik som banknæringen. Det har vært viktig for Datatilsynet at bruk av slike løsninger ikke benyttes unødvendig og uproporsjonalt i forhold til formålet, samt at eventuell lagring av opplysninger er skikkelig regulert.
Retten til å bli glemt
Det 13. mai 2014 avsa EU-domstolen en avgjørelse om at EUs personverndirektiv og nasjonal personvernlovgivning gjelder for søkemotorselskaper som har tilstedeværelse i et EU-land. Dommen slår blant annet fast at slike selskaper har et selvstendig behandlingsansvar for personopplysningene som indekseres, selv om opplysningene først er publisert av andre medier. Europeiske borgere har etter denne dommen rett til å gå til søkemotorer etablert i Europa, og be om å få søketreff fjernet. Dersom søkemotoren ikke etterkommer kravet om sletting, kan privatpersoner bringe saken inn for domstolene eller nasjonale personvernmyndigheter.
I etterkant av EU-avgjørelsen kom Artikkel 29-gruppen med retningslinjer for hvordan EU-domstolens avgjørelse skal tolkes. Uttalelsen fra arbeidsgruppen er rådgivende, men blir generelt tillagt stor vekt fordi den gir uttrykk for personvernmyndighetene i Europa sin felles tolkning av personverndirektivet. Formålet med retningslinjene er å sikre en lik praksis i de europeiske landene i sakene som gjelder retten til å bli glemt.
Datatilsynet har mottatt elleve klager på dette området, og tre av dem ble ferdigbehandlet i løpet av 2014. Fordi dette har vært de første sakene på området, og på grunn av deres prinsipielle karakter, har sakene vært forankret på direktørnivå. Ressursbruken for hver sak har derfor vært noe større enn for ordinær klagebehandling. I tillegg til saksbehandling har vi blant annet holdt foredrag om temaet og utarbeidet veiledningsmateriale.
Bank/Finans
Vi har ikke hatt særlige satsinger innen finanssektoren 2014, utover arbeidet med forsikringsbransjens utredningsvirksomhet og utstedelse av standardkonsesjoner til banker og forsikringsselskaper.
Vi holder øye med utviklingen innen denne sektoren, og registrerte at noen forsikringsselskap har sett på løsninger som innebærer automatisk registering av føreradferd i kjøretøy via sensorer, GPS-registering og lignende, som et mulig kriterium for prising av forsikringstjenester. Vi valgte å presisere i et eget skriv til alle forsikringsselskaper at standardkonsesjonen som alle skal ha, ikke omfatter denne typen tjeneste, og at det må søkes om særskilt konsesjon for slik behandling. Vi har i løpet av året mottatt to søknader om slik konsesjon, men de er ikke ferdig behandlet.
Personvernnemnda har også kommet med noen avgjørelser på dette saksområdet. Det er truffet vedtak om at butikkene er behandlingsansvarlige for kameraovervåking knyttet til bank-i-butikk og post-i-butikk, og at opptakene kun kan lagres i inntil syv dager (PVN-2013-21 og PVN-2014-04).
Nemnda har også truffet vedtak om at innsyn i lydopptak gjort etter verdipapirhandellovens bestemmelser, skal følge personopplysningslovens hovedregel, slik at den registrerte kan få en kopi av lydfilen eller at opptaket skrives ut på papir (PVN-2013-19).
Samferdsel
Innenfor samferdselssektoren foregår det en rekke aktiviteter som påvirker den enkeltes personvern. Det er Statens vegvesen som håndterer de fleste av disse aktivitetene. Datatilsynet er involvert i de prosessene som er av betydning, for eksempler i diskusjonene om etablering av intelligente transportsystemer (ITS). Vi arbeider for at personvernhensyn vektlegges på et tidlig stadium.
Vi jobber også aktivt for å skape engasjement for anonyme alternativer og mest mulig personvernvennlige løsninger. I den forbindelse prøver vi å dra nytte av at det er skapt interesse og forståelse for personvern blant annet i Samferdselsdepartementet og Statens vegvesen. Å fremdeles kunne ferdes sporfritt (anonymt) har vært, og vi mener det fortsatt bør være, et grunnleggende og lett oppnåelig alternativ for alle som ønsker det. For eksempel bør det være mulig å passere en bomstasjon uten å måtte legge igjen opplysninger om når og hvor passeringen fant sted. Dette synet opplever vi å ha fått gjennomslag for. Vi samarbeider derfor med Samferdselsdepartement for å få til en endring i regnskapsreglene som per i dag pålegger lagring av passeringsdata knyttet til innehavere av identifiserbare bombrikker.
Datatilsynet er bekymret for hvilke konsekvenser etableringen av nye kontrollmidler og trafikkovervåking vil kunne få i fremtiden. Erfaringsmessig vil utstyr som i dag tas i bruk til i for seg tilforlatelige formål, senere kunne brukes til nye formål og av andre aktører, noe som er begrunnelsen for at vi følger med på utviklingen innen dette området.
Arbeidsliv
Vi har tidligere hatt arbeidsliv som satsingsområde, men har i 2014 ikke hatt særlige planlagte tiltak innen denne sektoren. Vi har likevel prioritert en del enkeltsaker i form av klager fra arbeidstakere, spesielt vedrørende arbeidsgiveres innsyn i e-post og bruk av GPS-opplysninger til kontrollformål.
Mange av klagene avdekker systemsvikt eller store svakheter hos den behandlingsansvarlige (arbeidsgiveren), noe som er hovedkriteriene for om en sak tas opp til grundigere behandling. Dette er en type lovbrudd vi ser alvorlig på, og som i en rekke tilfeller har resultert i overtredelsesgebyr. Arbeidstakeren er helt klart den svake parten sakene, og lovbrudd og overtramp fra arbeidsgivers side er det vanskelig for den enkelte arbeidstaker å forsvare seg mot.
I tillegg til å prioritere de alvorligste sakene, har vi god beredskap for de som henvender seg til oss på telefon og e-post gjennom vår veiledningstjeneste. En stor andel av henvendelsene som kommer til denne tjenesten, er innenfor temaet arbeidsliv (les mer under «Veiledningstjenesten»).
Innenfor dette området ser vi også en sterk økning i antall konsesjonssøknader for etablering av varslingskanaler og innføring av kontrolltiltak.
Personverndagen 28. januar
I anledning den internasjonale personverndagen 28. januar, arrangerte Datatilsynet og Teknologirådet et frokostseminar. Målet med en slik dag er å sette personvern på dagsorden.
Ved å skape oppmerksomhet og debatt om hvordan personopplysninger enkeltpersoner legger igjen brukes, og av hvem, vil vi bevisstgjøre myndigheter, presse, fagmiljøer og folk flest om utfordringer for personvernet.
På seminaret presenterte vi hovedtrekkene fra rapporten «Personvern – tilstand og trender 2014» som var skrevet til denne anledningen. Noe av det som blir diskutert i rapporten er avveiningen mellom personvern og andre hensyn, grensen for inngripen i den enkeltes privatliv for å bekjempe terror, og beskyttelse av personvern på tvers av landegrenser. Ellers inneholdt rapporten blant annet artikler om kroppsnær teknologi, bruk av metadata og effekter av Snowden-saken.
Seminaret ble fort fulltegnet, og vi oppnådde god pressedekning både i forkant, under og i etterkant av seminaret.
Arrangementet og samarbeidet med Teknologirådet ble vurdert som så vellykket at det ble bestemt å arrangere et tilsvarende seminar på personverndagen 2015.
Personvernundersøkelsen
Våren 2014 lanserte vi resultatene fra personvernundersøkelsen 2013/2014. Denne befolkningsundersøkelsen er den mest omfattende kartleggingen Datatilsynet har gjort av folks tanker og kunnskaper om, og holdninger til, personvernspørsmål siden 2005. Undersøkelsen fulgte i stor grad opp spørsmålene fra 2005, i tillegg til å ha noen nye spørsmål om personvernutfordringer som har oppstått siden forrige undersøkelse. Vi gjennomførte undersøkelsen både for å få et inntrykk av hvordan situasjonen er i dag, og for å kunne se om det er en utvikling eller endring i folks holdninger fra 2005.
Noen av funnene fra undersøkelsen ble presentert i forbindelse med den internasjonale personverndagen, samt brukt som underlag til rapporten «Personvern – tilstand og trender 2014». De påfølgende månedene publiserte vi dessuten åtte tematiske delrapporter. Disse omhandlet blant annet folks interesse for å ta i bruk ny teknologi, tillit til behandling av personopplysninger, erfaringer med misbruk av egne personopplysninger, ivaretagelse av rettigheter og holdninger til kameraovervåking.
Personvernundersøkelsen gir mange muligheter til å skape interesse og oppmerksomhet om personvern, både i medier og fagmiljøer. Funnene er også nyttige i vår foredragsvirksomhet. Ved å publisere de ulike delrapportene separat, har vi oppnådd stor medieinteresse og mediedekning, både i riksmedier, lokalmedier, fagtidsskrifter og bransjemedier.
Internet Sweep Day – sveipet
Datatilsynet deltok i 2014 for andre gang på Global Privacy Enforcement Network (GPEN) sin «Internet Sweep Day». GPEN er et samarbeidsforum for personvernmyndigheter, og er nærmere omtalt i kapittelet «Internasjonale samarbeidsrelasjoner».
Temaet for sveipet denne gangen var mobilapplikasjoner (apper). Nesten alle apper ber om tilgang til informasjon i telefonen eller nettbrettet. Det kan være kontaktliste, internett, andre apper, kamera eller tekstmeldinger. Selv om det kan være gode grunner til at appen ber om disse tilgangene, har personvernmyndighetene rundt om i verden de siste årene vært opptatt av hva delingen av så store mengder personlig informasjon med så mange ulike aktører, betyr for den enkeltes personvern.
Selve sveipet innebar at Datatilsynet sjekket hvilken informasjon brukerne får om tilgang til personopplysninger før og etter nedlasting av en app. Tilsammen sjekket vi i Datatilsynet omlag 80 nasjonale og internasjonale applikasjoner (apper) for Android og iOS på mobiltelefoner eller nettbrett i løpet av en dag i mai. Appene var valgt ut på bakgrunn av popularitet, tema og hvilken tjeneste den tilbyr.
Et av målene med denne sjekken var å finne ut mer om hvilken informasjon brukerne får om behovet for de ulike tilgangene, hvilken informasjon som samles inn, hva den skal brukes til og hvordan den beskyttes. Samtidig ville vi bidra til å bevisstgjøre publikum og brukere av apper, om hvilke personopplysninger som samles inn. Hvis brukerne ikke vet hva virksomheten samler inn, vet de heller ikke at de kan benytte seg av innsynsretten sin.
I tillegg til å bevisstgjøre brukerne, er vi opptatt av å bevisstgjøre utviklere og bestillere av apper om hvilke plikter de har overfor brukerne. Vi lanserte derfor en norsk versjon av en veileder for apputviklere, laget av personvernmyndighetene i Storbritannia. Veilederen gir praktiske råd og eksempler på hvilke hensyn man må ta til personvernet ved utvikling av apper.
Resultatene fra det norske sveipet ble oppsummert i en rapport. En felles konklusjon for alle deltakerlandene var at brukerne av apper har for liten mulighet til å finne relevant og dekkende informasjon om hvilke personopplysninger som samles inn.
Funnene ble fulgt opp ved at Datatilsynet og 22 andre personvernmyndigheter sendte et felles brev til syv ulike appbutikker. Butikkene blir der bedt om å gjøre det obligatorisk for alle apper å lenke til en personvernerklæring. I tillegg vil Datatilsynet jobbe videre med å kommunisere personvernlovgivningen og prinsippet om innebygd personvern til appeiere, -bestillere, og -utviklere.
Personvernombudsordningen
Stadig flere virksomheter ser betydningen av å opprette et personvernombud. Dette ombudet er en ressursperson som kjenner virksomheten godt, og som har oversikt over hvilke personopplysninger som blir behandlet til ulike formål. Personvernombudet vil derfor raskt og presist kunne håndtere personvernutfordringer som måtte oppstå. Ikke minst vil ombudet, både innad og utad, fremstå som en fagperson med spesialkompetanse på personvern. Denne kompetansen bygges gjennom deltakelse på ulike kurs og seminarer, og gjennom annen dialog med Datatilsynet.
Ved utgangen av 2014 hadde Datatilsynet registrert 233 personvernombud. Noen av disse er ombud for flere virksomheter, og til sammen representerer de 450 virksomheter.
Oversikt over utviklingen av personvernombudsordningen de siste årene:
Antall |
2011 |
2012 |
2013 |
2014 |
Personvernombud |
193 |
203 |
210 |
233 |
Virksomheter med ombud |
370 |
390 |
420 |
450 |
De administrative sidene av driften har blitt noe effektivisert i løpet av året. Datatilsynet bruker nå i overkant av ett årsverk på arbeidet med personvernombud, fordelt på flere medarbeidere. Arbeidet består i å arrangere faglige tilbud som kurs og konferanser, veiledning over telefon og e-post, sende ut nyhetsbrev til ombudene, behandling av søknader om nye ombud og å drifte informasjonen på våre nettsider.
Vi tilbyr flere forskjellige kurs for personvernombudene; grunnkurs for nye ombud, to juridiske påbyggingskurs og to påbyggingskurs i informasjonssikkerhet og internkontroll. Grunnkurset holdes både i vår- og høstsemesteret. I tillegg ble den årlige fagdagen for alle personvernombudene arrangert i mars.
I september gjennomførte vi for første gang et dagsseminar for personvernombud fra helse- og forskningsvirksomheter. Seminaret fikk svært gode tilbakemeldinger og vurderes gjentatt i 2015. Personvernombudene beskriver våre kurs og seminarer som viktige for deres mulighet til å gjøre en god jobb, og arrangementene er som regel fulltegnet.
EUs arbeid med ny personvernforordning peker mot store endringer på personvernombudsfeltet, blant annet at ordningen blir obligatorisk for mange virksomheter. Mot slutten av 2014 mottok vi en del henvendelser fra virksomheter som vurderer å oppnevne personvernombud for å forberede seg på de kommende kravene. Dette kan bety at tilstrømningen til ordningen blir større i 2015 enn tidligere.