Årsrapport for 2019

Annen vesentlig aktivitet

Arbeidsliv

Arbeidsliv er et av fagområdene Datatilsynet årlig mottar mange henvendelser om. I meldingsåret har Datatilsynet mottatt i underkant av 70 nye saker som er relatert til arbeidsliv. Vi har i tillegg flere løpende saker under behandling. Typiske problemstillinger i disse sakene er innsyn i e-post og sletting av e-postkasse, sletting og retting av dokument i personalmappe, GPS-sporing av yrkes­sjåfører, kameraovervåking på arbeidsplassen, tilgangskontroll og så videre. Hele 21 prosent av henvendelsene til veiledningstjenesten dreier seg om personvern i arbeidslivet, noe som er et relativt høyt tall. Vi får også flere forespørsler om veiledningsmøter og foredrag relatert til denne tematikken.

I meldingsåret har Datatilsynet fattet vedtak om overtredelsesgebyr i fire saker som omhandler arbeidsliv. Tre av sakene er ferdigbehandlet og gjelder manglende sletting og ulovlig innsyn i ansattes e-postkasse. I tillegg har vi fattet vedtak i en sak som gjelder ulovlig innhenting av kameraopptak om egne ansatte, og som er under klagebehandling. I 2019 har det for øvrig blitt sendt ut varsel om overtredelsesgebyr i tre saker.

I 2019 kom det fem avgjørelser fra Personvernnemda som omhandler behandling av person­opplysninger i arbeidslivet:

  • To av sakene gjaldt klage på Datatilsynets vedtak om å ikke pålegge retting eller sletting av personopplysninger i personalmappe hos arbeidsgiver. Nemda var enig i Datatilsynets vurdering og klagene ble ikke tatt til følge.
  • En sak gjaldt en klage på vedtak om å avslutte behandlingen av en sak som gjaldt en tidligere ansatts krav om innsyn i personopplysninger i personalmappe uten å gi pålegg. Datatilsynet undersøkte saken og fant at klager hadde fått det innsynet og den informasjonen vedkommende har krav på etter personvernlovgivningen. Nemda la Datatilsynets syn til grunn og klagen ble ikke tatt til følge.
  • Nemda behandlet også en klage fra en arbeidsgiver på Datatilsynets vedtak om ileggelse av overtredelsesgebyr på 75 000 kroner for ulovlig innsyn i og manglende sletting av tidligere arbeidstakers e-post. Klagen ble ikke tatt til følge.
  • Også en sak som gjaldt en kommunes publisering av saksframlegg til et kommunestyremøte på kommunens nettside ble behandlet. Klagerne, som alle var omtalt i saksframlegget, mente at publiseringen innebar et brudd på personopplysningsloven og at de publiserte person­opplysningene var taushetsbelagte etter forvaltningsloven. Nemda kom i likhet med Datatilsynet til at det ikke har skjedd en utlevering av personopplysninger som var omfattet av bestemmelsene i person­opplysningsloven og det ikke var rettslig grunnlag for å gi pålegg etter denne loven.

I 2019 ble det i tillegg oversendt to saker til Personvernnemda som gjaldt klage på vedtak om avslutning av sak vedrørende arbeidsgivers innsyn i e-postkasse og klage på vedtak om avslutning av sak vedrørende krav om sletting av personopplysninger i personalmappe. Se for øvrig oversikt over alle sakene som ble oversendt til nemnda i 2019 under vedlegg.

Av annen vesentlig aktivitet kan det nevnes at den oppdaterte veilederen om kontroll og overvåking i arbeidslivet skrevet i samarbeid med Arbeidstilsynet, Petroleumstilsynet og partene i arbeidslivet ble publisert i 2019. I 2018 var Datatilsynet dessuten med i en arbeidsgruppe bestående av flere tilsynsmyndigheter, ledet av arbeidstilsynet, hvis oppgave var å utarbeide felles retningslinjer for mottak og håndtering av eksterne varsel til offentlige myndigheter. Lanseringen av disse retningslinjene fant sted i januar 2019.

Datatilsynet har i meldingsåret for øvrig iverksatt arbeidet med å forbedre og oppdatere veiledning på nettsiden vår. Oppdateringene vil bli publisert løpende i 2020.

Justis

I justissektoren møter vi hensyn som taler for at staten skal kunne gjøre inngrep i enkeltpersoners rettssfære. Den enkeltes valgfrihet er gjerne begrenset, og behandling av personopplysninger om individer skjer ofte uten den enkeltes medvirkning eller kunnskap. Det er derfor særlig viktig at tilsynsmyndighetene sikrer at folks rettigheter ivaretas innenfor denne sektoren.

Politiregisterloven og -forskriften regulerer politiets og påtalemyndighetens behandling av person­opplysninger. SIS-loven og utlendingsloven har regler om informasjonssystemene som brukes i Schengen-samarbeidet. Datatilsynet har en sentral rolle som kontrollør av at regelverket om behandling av personopplysninger på disse områdene etterleves.

I løpet av 2019 behandlet vi en rekke saker innenfor justissektoren, blant annet flere saker om innsyn i SIS (Schengen Information System). Datatilsynet har også kommet med flere høringsuttalelser.

Forslag til ny lov om Etterretningstjenesten

En sentral høringsuttalelse gjaldt Forsvarsdepartementets forslag til ny lov om Etterretnings­tjenesten. Vi pekte i uttalelsen vår på at lovforslaget la opp til overvåking av nordmenns kommunikasjon i så omfattende utstrekning at lovforslaget ikke burde gjennomføres. Etter vår vurdering, utgjorde de foreslåtte lovendringene et stort inngrep i enkeltindividets rett til privatliv. Vi pekte også på at det ville rokke ved vårt demokratiske fundament dersom lovendringene ble vedtatt. Særlig gjaldt dette den metoden som i høringsnotatet var omtalt som «tilrettelagt innhenting».

Tilrettelagt innhenting innebærer innhenting av elektronisk kommunikasjon som transporteres over den norske landegrensen. Selv om Etterretningstjenestens arbeid er rettet mot utenlandske trusler, vil tiltaket ramme de fleste brukere av telefoni og internett i Norge, fordi norsk datatrafikk går inn og ut av landet, uavhengig av om kommunikasjonen er mellom personer som begge oppholder seg i Norge.

Tiltaket innebærer derfor i praksis overvåking av oss alle. Hovedformålet med denne innhentingen er at Etterretningstjenesten skal kunne gjøre søk i de lagrede dataene som er hentet inn. Lagring av metadata vil være den mest sentrale komponenten i den foreslåtte løsningen. Metadata inneholder blant annet informasjon som navn, dato, klokkeslett, geografisk plassering og IP-adresse. Metadata kan avsløre intime detaljer om en persons liv, særlig når det analysers på en systematisk måte. Dermed vil det i realiteten dreie seg om en form for overvåking av store deler av landets befolkning, som etter Datatilsynets vurdering vil kunne være i strid med både Grunnloven og menneske­rettighetene.

Høringsuttalelse om endringer i personopplysningsloven

I desember ga Datatilsynet sin høringsuttalelse til Justis- og beredskapsdepartementets forslag til endringer i personopplysningsloven. Endringsforslaget gjaldt personopplysningslovens unntak for ytrings- og informasjonsfrihet og forholdet til offentlighetsloven. I tillegg foreslo departementet å gi loven anvendelse på Svalbard. Datatilsynet uttalte da at lovforslaget måtte avgrenses i samsvar med EØS-retten, men at tilsynet for øvrig kunne gi sin tilslutning til departementets forslag om å innføre et nødvendighetskrav i personopplysningsloven § 3. Datatilsynet satte også spørsmålstegn ved om eksisterende offentlige ordninger om eInnsyn på internett, har tilstrekkelig behandlingsgrunnlag etter forordningen. Som en løsning på denne utfordringen, foreslo vi å innføre et unntak fra dette nødvendighetskriteriet i offentlighetsloven.

Høringsuttalelse om ny forvaltningslov

Datatilsynet ga høringsuttalelse til Justis- og beredskapsdepartementets forslag om ny forvaltningslov (NOU 2019:5). Vi trakk frem at det var positivt at sentrale problemstillinger på personvernområdet ble drøftet, men vi påpekte samtidig at personvernkonsekvensene ved forslaget ikke var tilstrekkelig vurdert. Reglene møter heller ikke de utfordringene som en digital forvaltning vil medføre på en tilfredsstillende måte.

I tråd med regjeringens digitaliseringsstrategi åpner lov­forslaget for økt deling av opplysninger mellom forvaltningsorganer, noe som kan utfordre person­vernet. Datatilsynet la derfor vekt på vekt på at individets rettigheter må ivaretas, og at den nye loven må fastsette grunnleggende prinsipper for deling av opplysninger, og hvordan automatiserte systemer skal utformes. Vi understreket også at forslaget bør forelegges Datatilsynet til en forhåndskonsultasjon etter personvernforordningen artikkel 36.4 før det oversendes Stortinget.

Bank, finans, forsikring

Behandling av personopplysninger blir en stadig viktigere del av mange private selskapers forretningsmodell. Dette gjelder ikke minst i bank-, finans- og forsikringsbransjen. Bransjen behandler personopplysninger om de fleste, og det er snakk om store mengder opplysninger av privat karakter. Risikoene ved brudd på personvernregelverket kan derfor være høy.

Innføringen av PSD2 påvirker finanssektoren. Opplysninger om vår privatøkonomi vil i tiden fremover bli behandlet på nye måter og til nye formål, samt av nye og flere aktører enn i dag. I forsikrings­bransjen ser vi økt bruk av sensorteknologi (Internet of Things), og mer personalisert forsikring.

I 2019 har vi holdt foredrag og gjennomført flere veiledningsmøter med bank- og finanssektoren. Vi arrangerte også et kontaktmøte med Finans Norge der vi utvekslet erfaringer, og snakket om utfordringer sektoren står overfor.

I løpet av meldingsåret har vi behandlet et stort antall saker innen sektoren. Flertallet av sakene er meldinger som gjelder brudd på persondatasikkerheten (avviksmeldinger). 30 prosent av alle avviksmeldinger vi mottar er fra finanssektoren. Finanssektoren var dermed den sektoren som sendte Datatilsynet flest avviksmeldinger i løpet av 2019. I overkant av 80 prosent av disse meldingene skjedde på grunn av internt utilsiktede hendelser, som for eksempel at personopplysninger ble sendt til feil mottaker.

Vi har også behandlet flere klagesaker fra privatpersoner. De fleste sakene gjelder krav om innsyn, retting eller sletting av personopplysninger, særlig hos banker eller kredittopplysningsforetak. En sakstype som går igjen er klager på virksomheters innhenting av kredittopplysninger fra kredittopplysningselskaper. To av disse sakene endte med overtredelsesgebyr på 75 000 kroner. En av sakene er til klagebehandling i Personvernnemda. Vi har i tillegg varslet vedtak om overtredelsesgebyr i to saker. Disse er forventet ferdigbehandlet i løpet av 2020. 

Lov om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven) ble vedtatt i desember 2019. Det er forventet at loven vil gjelde fra vår/sommer 2020 sammen med tilhørende forskrift. Vi har i meldingsåret gitt tilbakemelding til utformingen av forskriften til kredittopplysningsloven.

Rapport om målretting av politiske budskap

I juni 2019 lanserte Datatilsynet rapporten «På parti med teknologien – digital målretting av politiske budskap i Norge». Rapporten så på hvordan norske politiske partier målretter politiske budskap i valgkampsammenheng. Rapporten var bygget på intervjuer med representanter fra alle de politiske partiene som er representert på Stortinget.

Våre funn tyder på at norske partier i hovedsak er varsomme i sin bruk av mikromålretting av politiske budskap. Dette kan sees i lys av flere viktige rammebetingelser som partiene må forholde seg til.

Norske partier har relativt beskjedne valgkampbudsjetter, noe som begrenser muligheten til å kjøpe inn tjenester for utstrakt mikromålretting av politiske budskap. Likevel, målrettingsteknologi blir kontinuerlig billigere og mer brukervennlig, og det er derfor ikke sikkert at partienes økonomiske situasjon vil være en like naturlig begrensning i årene som kommer.

Alle partiene bruker Facebook for å annonsere politiske budskap. I intervjuene kom det fram at partiene målretter budskap på Facebook basert på data om geografi, demografi, interesser og atferd. Partiene avstår imidlertid fra å laste opp egne data i Facebooks annonseringsløsninger. Husbesøk blir også i økende grad effektivisert ved bruk av dataanalyse. Teknologien som tas i bruk ved husbesøk deler opp befolkningen i målgrupper og er ofte koblet sammen med kartløsninger.

Våre funn viste at det norske partier gjør, er et godt stykke unna praksisen som ble avslørt i forbindelse med Cambridge Analytica. Det finnes likevel flere risikomomenter. Ingen av partiene har nedskrevne retningslinjer for bruk av persondata i valgkamp. Dette gjør dem sårbare for utglidning mot mer invaderende målrettingsmetoder, spesielt ved nyansettelser eller når de kjøper inn tjenester fra nye aktører. Datatilsynet foreslår derfor at partiene lager nedskrevne kjøreregler for bruk av digital målretting. På bakgrunn av dette, formulerte vi flere råd til de politiske partiene om forsvarlig bruk av digital målrettingsteknologi.

Rapporten ble lansert på Kulturhuset i Oslo den 20. juni. Vi presenterte også funnene fra rapporten under Arendalsuka på et arrangement vi organiserte sammen med Civita. Vi vil i tiden fremover følge utviklingen og bruken av målrettingsteknologi frem mot stortingsvalget i 2021.

Personopplysninger på internett

I løpet av 2019 har vi registrert 22 nye saker som gjelder avindeksering av søketreff på Google eller andre søkemotorer. Ti av disse sakene var behandlet ferdig ved inngangen til 2020. I disse sakene må Datatilsynets saksbehandlere ofte gjøre grundige og komplekse vurderinger, hvor hensynet til ytringsfrihet veies opp mot individets rett til personvern og privatliv. I seks av sakene ble de aktuelle søketreffene avindeksert, mens kravene om avindeksering ble avslått i fire av sakene.

Mimes Brønn

I en annen sak hadde de ansatte i Direktoratet for samfunnssikkerhet og beredskap klaget på at informasjon om alle de ansattes navn, fødselsår, stillingskoder og lønn var publisert på nettsiden mimesbronn.no («Mimes brønn»). Vi kom til at disse opplysningene måtte slettes, ettersom det ikke var hjemmel i personopplysningsloven for å offentliggjøre disse opplysningene på en slik måte.

Vi vurderte også forholdet til ytringsfriheten. Personopplysningsloven § 3 gjør unntak fra flere sentrale regler i personvern­forordningen dersom personopplysninger utelukkende behandles for journalistiske formål. Vi kom til at dette unntaket ikke gjorde seg gjeldende i denne saken, og henviste blant annet til EU-domstolens avgjørelse i sak C-73/07 (Satakunnan).

Legelisten

I januar i meldingsåret fattet Personvernnemnda vedtak i saken om legelisten.no («Legelisten»). Saken gjaldt behandling av personopplysninger om helsepersonell på nettstedet legelisten.no, og nemnda kom til at Legelistens publisering av vurderinger av helsepersonell ikke er omfattet av journalistunntaket i personopplysningsloven § 3. Det sentrale spørsmålet var hvorvidt Legelisten har behandlingsgrunnlag for å samle inn og publisere vurderinger av helsepersonell uten at helse­personellet gis en generell reservasjonsadgang.

Nemnda konkluderte – under dissens – med at Legelisten.no har behandlingsgrunnlag i personvernforordningen art. 6(1) f for å samle inn og publisere subjektive brukervurderinger av helsepersonell på nettstedet uten at helsepersonell gis en generell reservasjonsadgang. Legeforeningen gikk til søksmål for å få omgjort nemndas vedtak, og saken er fremdeles ikke rettskraftig avgjort når dette skrives.

Høringsuttalelse om ny lov om samfunnsdokumentasjon og arkiver

I vår høringsuttalelse om ny arkivlov (NOU 2019:9 «Fra kalveskinn til datasjø») støttet vi utvalgets forslag om en tydelig lovregulering fremfor vide forskriftsfullmakter. Lovforslaget må da gjenspeile de grunnleggende prinsippene i personvernforordningen og de øvrige skrankene for behandling av personopplysninger. Vi påpekte for øvrig at forslaget til ny arkivlov fremsto som prematurt, og at det er nødvendig med ytterligere utredninger før en lovproposisjon kan legges frem for Stortinget.

Personvernombudsordningen

PVO.jpgOrdningen med personvernombud har eksistert i Norge siden 2001. Med den nye personvern­lovgivningen er innholdet i personvernombudsrollen blitt betydelig styrket. Ordningen ble samtidig gjort obligatorisk for de aller fleste statlige og kommunale virksomheter, og for en rekke private virksomheter og organisa­sjoner.

Ved utgangen av 2019 var det registrert 1 267 personvernombud som representerte 1 852 virk­somheter.

Gjennomførte aktiviteter

Datatilsynet tilbyr ikke lenger kurs eller annen opplæring for personvernombud i egen regi. Vi samarbeider imidlertid med ulike utdanningsaktører for å sikre at personvernombudene fortsatt har et godt utdanningstilbud om personvernlovgivningen. Blant andre har BI, Høgskolen i Innlandet og Oslo Met bygget opp egne deltidsstudier som gir studiekompetanse. Datatilsynet deltar med foredrag om enkeltemner på disse studiene. Også andre aktører tilbyr ulike kurs og seminarer rettet mot personvernombudene, hvor vi så langt mulig stiller opp.

Det er videre blitt etablert flere ulike nettverksforum for ombudene, gjerne sektorbaserte, eller som regionale nettverk. Vi har prioritert å delta på samlinger i regi av slike nettverksgrupper. I samarbeid med Foreningen Kommunal Informasjonssikkerhet (KiNS) var vi initiativtakere til et dagsseminar for kommunale og fylkeskommunale personvernombud. Tilsvarende arrangerte vi et halvdags­seminar for personvernombudene innen helsesektoren. Det gjorde vi i samarbeid med Direktoratet for e‑helse i forbindelse med deres årlige Normkonferanse.

Enkelte nettverk av personvernombud innen kommunal sektor samarbeider dessuten om å arrangere kompetansehevende tiltak overfor ledere og saksbehandlere innen sine respektive kommuner og fylkeskommuner. Dette er initiativ som vi i Datatilsynet stiller oss svært positive til, og som vi deltar på langt vi har ressurser.