Internasjonalt arbeid og samarbeid
Internasjonalt samarbeid er svært viktig for Datatilsynet, siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og det europeiske Personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet til Datatilsynet.
Det er nedfelt i Datatilsynets strategi at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. I 2019 har vi hatt to slike lederroller i kontekst av Personvernrådet, samt bidratt aktivt på mange områder.
Deltakelse i Personvernrådet og dets ekspertgrupper
Personvernrådet er opprettet i henhold til personvernforordningen og er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. De viktigste oppgavene til Personvernrådet er å gi retningslinjer om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. I Personvernrådet møter alle lederne for datatilsynsmyndighetene i EU og EØS. Norge er fullverdig medlem som EØS-stat, men har ikke rett til å stemme eller stille til valg som rådets øverste leder.
I 2019 har Datatilsynet deltatt på Personvernrådets plenumsmøter som avholdes omtrent én gang i måneden. I tillegg har vi deltatt aktivt i flere av rådets ekspertgrupper. Vi har vært med i flere ekspertgrupper enn tidligere, og ved utgangen av 2019 var tilsynet representert i følgende grupper under Personvernrådet:
- Strategic Advisory Expert Subgroup
- Border, Transport and Law Enforcement Expert Subgroup
- Cooperation Expert Subgroup
- Compliance, e-Government and Health Expert Subgroup
- Enforcement Expert Subgroup
- International Transfers Expert Subgroup
- IT Users Expert Subgroup
- Key Provisions Expert Subgroup
- Social Media Expert Subgroup
- Technology Expert Subgroup
- Taskforce on Fining
- Coordinated Supervision Committee
- Communications Network
Alle disse gruppene forbereder saker for plenumsmøtene i Personvernrådet, hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Ekspertgruppene møtes som regel i forkant av hvert plenumsmøte. Til sammen fem jurister og én teknolog fra Datatilsynet deltok fast i disse møtene i 2019.
Utarbeidelse av felles europeiske retningslinjer om innebygd personvern
I 2018 ble vi utpekt som hovedrapportør for Personvernrådets felles europeiske retningslinjer om innebygd personvern og personvern som standardinnstillinger. Hovedrapportøren har hovedansvaret for å utarbeide retningslinjene i tråd med de andre EØS-statenes innspill gjennom møtevirksomhet i Technology Expert Subgroup, skriftlig korrespondanse og telefonkonferanser. I 2019 har vi fortsatt dette arbeidet.
Retningslinjene analyserer ordlyden i personvernforordningen artikkel 25, og forklarer hvordan den skal forstås. Deretter gir retningslinjene eksempler på elementer som må bygges inn i systemer og rutiner for hvert av personvernprinsippene.
Retningslinjene ble vedtatt 13. november 2019. Deretter ble de sendt på offentlig høring frem til 16. januar 2020. Etter høringen vil retningslinjene bli revidert og vedtatt på nytt.
Utarbeidelse av felles europeiske retningslinjer om avtale som behandlingsgrunnlag
I 2018 ble vi utpekt som hovedrapportør for Personvernrådets felles europeiske retningslinjer om forordningens artikkel 6 nr. 1 bokstav b i kontekst av digitale tjenester. Hovedrapportøren har hovedansvaret for å utarbeide retningslinjene i tråd med de andre EØS-statenes innspill gjennom møtevirksomhet i Key Provisions Expert Subgroup, skriftlig korrespondanse og telefonkonferanser. I 2019 har vi sluttført dette arbeidet.
Den konkrete bestemmelsen er svært sentral i forbindelse med behandling av personopplysninger, og handler blant annet om hvilken adgang en virksomhet har til å behandle personopplysninger uten den enkeltes samtykke. Bestemmelsen er også nært tilknyttet spørsmålet om personopplysninger kan anses som et betalingsmiddel. Retningslinjene vil derfor ha stor innvirkning på digitale tjenester som de fleste av oss benytter. Det norske Datatilsynet har vært en pådriver for å tolke regelen på en måte som sikrer tilstrekkelig vern for den registrertes rettigheter og friheter.
Retningslinjene ble vedtatt 9. april 2019, deretter sendt på offentlig høring frem til 24. mai 2019. Etter høringen ble retningslinjene revidert og endelig vedtatt 8. oktober 2019.
Internasjonal saksbehandling/IMI
Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Den ledende datatilsynsmyndigheten undersøker så saken og legger deretter frem et utkast til avgjørelse som de berørte datatilsynsmyndighetene kan komme med innsigelser mot.
Til denne prosessen brukes et saksbehandlingssystem som heter Internal Market Information System (IMI). Dette systemet er ikke tilrettelagt for datatilsynsmyndighetenes bruk og er derfor krevende å bruke.
I 2019 ble det norske Datatilsynet identifisert som berørt datatilsynsmyndighet i omtrent 459 saker. I samme periode var vi ledende datatilsynsmyndighet i 8 saker. Disse sakene er fremdeles åpne ved årsskiftet. (Vi har bare tall fra juli 2018 da personvernforordningen trådte i kraft.)
Internasjonal saksbehandling krever at vi fortløpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. Det kan være krevende å nå enighet med andre datatilsynsmyndigheter om avgjørelsene. Internasjonal saksbehandling krever derfor en del ressurser, og saksbehandlingstiden er adskillig lenger enn i ikke-grenseoverskridende saker.
Overføring til utlandet og BCR
Ved utgangen av 2019 hadde Datatilsynet 14 åpne søknader om godkjenning av bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger til tredjeland. Sammenliknet med andre EØS-stater, er dette et høyt antall. Kun fire andre land har flere søknader til behandling.
En BCR må først fremlegges for Personvernrådet for uttalelse før den kan godkjennes av de nasjonale datatilsynsmyndighetene. Det har tatt lang tid for rådet å få på plass prosedyrer for dette, og prosedyrene som har blitt vedtatt, er svært ressurskrevende. Personvernrådet ga sin første uttalelse om en BCR 8. oktober 2019, og så langt har kun et fåtall BCR-er vært til behandling i rådet.
Datatilsynet har jobbet for å forberede den første norske BCR-søknaden for fremleggelse for Personvernrådet. Vi anslår at den vil fremlegges for rådet i første kvartal av 2020. I tillegg har vi bidratt til å gjennomgå andre lands BCR-søknader (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet.
I juni var vi vertskap for et to-dagers seminar om BCR. Seminaret hadde i underkant av 50 deltakere fra datatilsynsmyndigheter i 22 europeiske land, samt representanter for Personvernrådets sekretariat. Under seminaret var det innlegg og diskusjoner om kravene til en BCR-søknad, både formelt og innholdsmessig. Videre ble det utvekslet erfaringer om behandling av BCR-søknader både hos nasjonale datatilsynsmyndigheter og Personvernrådet.
Eurodac og Visumsamarbeidet i Europa (Eurodac og VIS Supervision Coordination Group (SCG))
Vi er fullverdig medlem av de to koordineringsgruppene Eurodac og Visumsamarbeidet i Europa. Møtene finner som regel sted samtidig, ettersom de to temaene er beslektet. Vi deltok på begge møtene i 2019.
Schengen Information System (SIS) Supervision Coordination Group (SCG)
Vi er fullverdig medlem av Schengen-koordinasjonsgruppen som møtes i EU-parlamentet i Brussel. Vi deltok på et av to møter i 2019.
Oppfølging av Schengen-evaluering av Norge
Schengen-samarbeidet bygger på Schengen-konvensjonen av 1985 som Norge sluttet seg til i 1996. Konvensjonen skal styrke det europeiske samarbeidet om kontroll av de ytre Schengen-grensene. Den innebærer felles visumregler, samt et styrket politimessig og rettslig samarbeid. Norge deltar også i det europeiske fingeravtrykksamarbeidet Eurodac. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i SIS (Schengen informasjonssystem) og VIS (Visa informasjonssystem).
Norges etterlevelse av Schengen-regelverket ble evaluert av en felleseuropeisk komité i november 2017. Evalueringen innebar en inspeksjon av vår etterlevelse av våre tilsynsoppgaver etter VIS og SIS. I tillegg ble KRIPOS og UDI, som behandlingsansvarlige for henholdsvis SIS og VIS, kontrollert.
I rapporten fra evalueringen ble det konkluderte med i alt 33 anbefalinger fra komitéen. Åtte av anbefalingene gjaldt særskilt for Datatilsynet. De gikk blant annet ut på å bedre informasjonen om de registrertes rettigheter på hjemmesiden vår, samt at vi jevnlig må kontrollere lovligheten av behandlingen av opplysninger i VIS og SIS. Særlig må vi sørge for å oppfylle vår plikt til å gjennomføre et tilsyn med behandlingen av personopplysninger i VIS.
Datatilsynet gjennomførte flere av anbefalingene i 2019, blant annet gjennomførte vi tilsyn av UDI og deres behandling av opplysninger i den nasjonale delen av VIS. Rapporten er under arbeid.
Samarbeid med de nordiske datatilsynsmyndighetene
De nordiske datatilsynene har lang tradisjon for å samles til felles møte hvert år, og i 2019 ble møtet arrangert i Stockholm. Der ble det utvekslet erfaringer fra det første året med personvernforordningen, og vi evaluerte også oppfølgingen av den såkalte København-erklæringen (en samarbeidsretning som ble avtalt under forrige møte). Et av de konkrete tiltakene der var et første felles tilsyn. Tema for tilsynet var personvernombudsordningen, og det ble gjennomført i Island, Sverige, Danmark, Norge og Sverige i 2018/2019. Vi holdt også innledninger om tilsynsmetodikk, sanksjoner og rettssikkerhet. Behandling av klager fra enkeltpersoner, og det europeiske samarbeidet i EDPB, meldinger om brudd på personopplysningssikkerheten, forholdet mellom personvernforordningen og ePrivacydirektivet, nøkkelterminologi og atferdsnormer var også temaer som ble diskutert.
Møtet ble avsluttet med ratifiseringen og kunngjøringen av Stockholm-deklarasjonen. Deklarasjonen understreker viktigheten av et fortsatt godt nordisk samarbeid, også i Personvernrådet og dets ekspertundergrupper. Gjennomføring av felles inspeksjoner, og løpende deling av erfaringer fra saksbehandling, arbeidsmetodikk, kommunikasjonstiltak og andre aktiviteter, er også viktige punkter i Stockholm-deklarasjonen. Det samme gjelder intensjonen om å støtte personvernombudene i de nordiske landene.
Internasjonalt samarbeid mellom forbrukerombud, datatilsyns- og konkurransetilsynsmyndigheter
Datatilsynet deltar på møter i Digital Clearinghouse, en møtearena opprettet av European Data Protection Supervisor (EDPS), men som nå organiseres av universitetene i Namur og Tilburg samt Eurpoean Policy Centre. Møtene samler representanter fra europeiske datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter fra hele verden. Formålet med møtene er å undersøke hvordan vi sammen kan håndtere utfordringer i det digitale økosystemet på en mest mulig effektiv måte. I 2019 har blant annet datadeling og dataportabilitet blitt diskutert.
Den internasjonale personvernkonferansen (tidligere kjent som ICDPPC, nå GPA)
Den internasjonale personvernkonferansen ble i 2019 arrangert i Tirana. Hovedtemaet var konvergens av personvernregelverkene globalt. Kunstig intelligens, data-drevne forretningsmodeller og ansvarlighetsprinsippet sto også sentralt på agendaen. Konferansen vedtok flere resolusjoner. Datatilsynet var co-sponsor for en resolusjon om viktigheten av samarbeid mellom personvern- og forbrukervernmyndigheter i den digitale økonomien.
Berlingruppen - International Working Group on Data Protection in Telecommunications (IWGDPT)
Datatilsynet deltar på møter i Berlingruppen. Berlingruppen er et globalt fellesskap som arbeider med personvern og elektronisk kommunikasjon. Det er hovedsakelig personvernmyndigheter som deltar. Gruppen kommer med uttalelser (Working Papers) om aktuelle personvernspørsmål.