Akkreditering og sertifiseringsordninger
Datatilsynet har en prosjektgruppe med mandat til å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og art 40-43).
Dette prosjektet er delt i tre faser:
- Fase 1: Utarbeidelse og formell godkjenning av kriterier for akkreditering av kontrollorganer for atferdsnormer.
- Fase 2: Utarbeidelse og formell godkjenning av tilleggskriterier for akkreditering av sertifiseringsorganer, samt etablere en mekanisme for akkreditering.
- Fase 3: Utrede spørsmål knyttet til etableringen av en prosess for å evaluere og godkjenne kriterier for sertifiseringsordninger.
Fase 1 og første del av Fase 2 er ferdigstilt. Vi har i 2022 hatt jevnlige møter med Norsk akkreditering for å utrede etablering av en mekanisme for akkreditering av sertifiseringsorganer. Vi har også kartlagt andre europeiske lands erfaringer med dette arbeidet. Parallelt med dette arbeidet har vi måttet utrede spørsmål knyttet til hvordan vi skal evaluere og godkjenne kriterier for sertifiseringsordninger (Fase 3).
Siste del av Fase 2 og Fase 3 er planlagt ferdigstilt i løpet av 2023, og planlagt overført til linjen.
Vi deltar ellers aktivt på møter i Personvernrådets undergrupper, hvor spørsmål knyttet til etablering av kriterier for sertifiseringsordninger er tema, og da særlig hvordan prosessen for godkjennelse av sertifiseringsordninger blir mest mulig konsistent gjennom hele EØS-området. Vi kommer til å fortsette denne deltakelsen i 2023. Prosjektet gjennomfører også jevnlig intern opplæring, og har ansvaret for overføring av oppgaver videre ut i organisasjonen.
Arbeidsliv
Som tidligere år, får vi mange henvendelser om personvern i arbeidslivet. I 2022 handlet hele 27 prosent av henvendelsene til veiledningstjenesten vår om arbeidsliv (les mer om henvendelsene til veiledningstjenesten under «Kommunikasjon og veiledning»). Ulike utfordringer i arbeidslivet er dessuten et gjentakende tema i pressehenvendelsene, og mange kontakter oss og ønsker foredrag eller veiledningsmøter om dette feltet. Det er blant annet økt interesse for grensene for overvåking av digitale arbeidsverktøy.
Vi antar at noen av årsakene til dette er at hjemmekontor har blitt vanligere etter pandemien, og at virksomheter opplever økt behov for sikkerhetstiltak for å sikre intern informasjon og systemer.
I løpet av året fikk vi dessuten inn 104 klager på behandling av personopplysninger på arbeidsplassen. Dette er en større økning fra tidligere år. Klagesakene er ofte preget av høyt konfliktnivå og stor kompleksitet. Typiske temaer i klagene er innsyn i arbeidstakeres e-post og annet elektronisk utstyr, automatisk videresending av e-poster, personopplysninger i personalmappe, manglende sletting av personopplysninger, kameraovervåking på arbeidsplassen, og andre typer kontrolltiltak som GPS-sporing, effektivitetsmåling og logging.
I tillegg mottar vi mange anonyme tips om personvern og arbeidsliv.
Korrigerende tiltak
Vi ser alvorlig på lovbrudd i denne typen saker, blant annet på grunn av det ujevne styrkeforholdet mellom arbeidsgiver og arbeidstaker.
I 2022 har vi fattet vedtak om overtredelsesgebyr i tre saker innenfor personvern i arbeidslivet. En av disse ble påklaget til Personvernnemnda som opprettholdt vedtaket vårt.
I tillegg sendte vi ut 19 vedtak hvor vi ga andre korrigerende tiltak. Eksempler på dette er irettesettelse og pålegg om å utbedre rutiner eller informasjon til arbeidstakerne. Vi fattet også seks vedtak hvor vi konstaterte brudd uten å ilegge noen korrigerende tiltak.
Veiledningsarbeid og myndighetskontakt
Personvern i arbeidslivet og reglene i arbeidsmiljøloven (som håndheves av Arbeidstilsynet), henger tett sammen. Vi har fortsatt jevnlig kontakt med Arbeidstilsynet og andre relevante aktører i arbeidslivet for å utveksle erfaringer og fagkunnskap. Vi har fått flere tips fra Arbeidstilsynet på potensielt ulovlig kameraovervåking som de finner på sine stedlige tilsyn.
Vi har også hatt dialog med Arbeids- og inkluderingsdepartementet om e-postforskriften. E-postforskriften regulerer arbeidsgivers adgang til å gjøre innsyn i arbeidstakers e-post og annet elektronisk utstyr som arbeidsgiveren har stilt til arbeidstakerens disposisjon. Vi ser behov for en oppdatering av lovverket, blant annet for å sikre harmoni med de generelle reglene i personvernforordningen og for å tydeliggjøre rekkevidden til enkelte av bestemmelsene i forskriften.
På hjemmesidene våre har vi oppdatert veiledningene om innsyn i arbeidstakers e-postkasse, arbeidsgivers innhenting av politiattest og kredittvurdering, og vi har lansert en veiledning om behandling av personopplysninger i forbindelse med varsling i arbeidslivet.
Vi har også begynt å jobbe med en veiledning om e-postforskriftens forbud mot overvåking av arbeidstakers bruk av elektronisk utstyr. Slik overvåking kan bare unntaksvis skje hvis formålet er å administrere virksomhetens datanettverk eller avdekke eller oppklare sikkerhetsbrudd i nettverket. Vi merker at vi får flere henvendelser om dette, og at det er behov for praktiske avklaringer. Veilederen skal etter planen publiseres i 2023.
I tillegg til veiledning på nettsidene, har vi også gjennomført veiledningsmøter med enkeltaktører. Vi var i møte med LO Stat om behandling av personopplysninger i forbindelse med lønnsforhandlinger, og med Tietoevry om logging av oppslag i kunderegister. Vi har også hatt veiledningsmøte med Arbeidstilsynet om ordningen med HMS-kort i bygge- og anleggsbransjen.
Bank, finans og kredittvurdering
Bank- og finansbransjen behandler store mengder personopplysninger av privat karakter om svært mange. En sammenstilling av disse opplysningene kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen har derfor høy risiko, og kan få store konsekvenser for de registrerte.
I overkant av 19 prosent av meldingene vi mottok om brudd på personopplysningssikkerheten i 2022, kom fra finanssektoren. Også dette året var det den sektoren som sendte nest flest meldinger til Datatilsynet i løpet av året. De fleste avviksmeldingene vi mottar fra finanssektoren gjelder personopplysninger sendt til feil mottaker (41 prosent). Andre gjennomgangstema for meldingene fra denne bransjen er manglende eller feil i tilgangsstyring og utilsiktet publisering.
På bakgrunn av en pressemelding fra DNB og uttalelser i media, der banken ga inntrykk av at de ville bruke maskinlæringsteknologi fra Amazon Web Services (AWS) for å «lese kundenes følelser», innledet vi i 2022 tilsyn med DNBs bruk av maskinlæringsteknologi fra AWS. Tilsynet var fortsatt pågående ved utgangen av året.
Vi har også hatt et prosjekt i vår sandkasse for ansvarlig kunstig intelligens, hvor temaet var maskinlæring uten datadeling i bankenes kamp mot hvitvasking og terrorfinansiering. Les mer om dette i kapittelet om den regulatoriske sandkassen.
I løpet av året har vi gjennomført flere veiledningsmøter med aktører fra finansbransjen. Vi har også hatt flere kontaktmøter med Finanstilsynet gjennom året, der vi deler kunnskap og erfaring om tema som er relevante for begge tilsynene. Videre har vi også hatt kontaktmøte med Fintech Norway. Det er en næringspolitisk bransjeforening som blant annet representerer flere PSD2-aktører.
Vi har gitt høringsuttalelser om forslag til utvidelse av gjeldsinformasjonsordningen, og forslag om å styrke forbrukernes rett til å betale med kontanter. I tillegg har vi deltatt i et rundebordsmøte hos Barne- og familiedepartementet der temaet var personvernkonsekvenser ved en eventuell utvidelse av gjeldsinformasjonsordningen.
Datatilsynet deltar i undergruppen Financial Matters i Det europeiske personvernrådet.
Kredittvurdering
Den nye kredittopplysningsloven med forskrift trådte i kraft 1. juli 2022. Samtidig ble § 4 i overgangsbestemmelsene om behandling av personopplysninger opphevet. Kredittopplysningsloven erstatter den tidligere konsesjonsordningen. For Datatilsynet innebærer endringen at vi nå skal kontrollere etterlevelse av regelverket gjennom tilsyn, i stedet for å forhåndsgodkjenne behandlinger gjennom konsesjonssøknader.
I forbindelse med at det nye regelverket trådte i kraft, publiserte vi flere veiledningstekster på nettsidene våre. Informasjonen retter seg både mot kredittopplysningsforetakene og deres kunder, og mot enkeltpersoner som blir kredittvurdert.
Datatilsynet mottar fortsatt mange klager og veiledningshenvendelser fra enkeltpersoner som opplever å ha blitt kredittvurdert uten rettslig grunnlag. Av de finansrelaterte henvendelsene til vår veiledningstjeneste, var kredittvurdering og inkasso de vanligste temaene for henvendelser fra privatpersoner. I 2022 registrerte vi også 18 klager fra enkeltpersoner eller enkeltpersonforetak på kredittvurderinger. Det er noe færre enn de to foregående årene.
I 2022 fattet vi syv vedtak om overtredelsesgebyr for kredittvurdering uten rettslig grunnlag. Vi har i tillegg sendt ett varsel om vedtak om pålegg og overtredelsesgebyr, og vi har blant annet fattet to vedtak om irettesettelse. Gebyrene har variert fra 50 000 kroner til 200 000 kroner. To av vedtakene ble påklaget. I den ene saken besluttet Datatilsynet å sette ned gebyret noe, mens den andre saken er fortsatt under behandling. I tillegg ble en klage på et av vedtakene våre fra 2021 behandlet i Personvernnemnda, men nemnda ga oss medhold og opprettholdt vedtaket.
Helse- og velferd
Helseplattformen
Helseplattformen, en felles journalløsning for primær- og spesialisthelsetjenesten i region Midt-Norge, ble iverksatt 1. mai 2022. Datatilsynet hadde flere dialogmøter med Helseplattformen i forkant av lanseringen.
Siden innføringen av den nye journalløsningen har Datatilsynet mottatt flere meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Mange av avvikene knytter seg til tilgangsstyring, ved at mange ansatte har hatt tilgang til pasientopplysninger de ikke hadde tjenstlig behov for. Vi har hatt møter med Helseplattformen i etterkant for å få nærmere redegjørelse for avvikene og oppfølgingen av sikkerhetsbruddene. Enkelte avvik vil ikke bli fulgt opp videre av oss, men de gir likevel viktig bakgrunnsinformasjon for vårt videre arbeid opp mot Helseplattformen.
Kjernejournal
Gjennom 2022 har Helse- og omsorgsdepartementet fortsatt lovarbeidet for å tilrettelegge for en nasjonal infrastruktur for deling av journalopplysninger. Et pilotprosjekt for å bruke kjernejournal til deling av journaldokumenter har pågått i Helse Sør-Øst RHF og Helse Nord RHF. Datatilsynet har fulgt, og vil fortsette å følge med på, dette arbeidet. Vi har hatt dialog med både prosjektgruppen og ulike helseforetak i sakens anledning.
Departementet ønsker også å inkludere pasientens legemiddelliste i kjernejournalen. Det krever lovendring. Høringen for endring av pasientjournalloven for å tilrettelegge for dette, har frist i januar 2023.
Overtredelsesgebyr til NAV - Arbeidsplassen.no
I juni 2022 fattet vi vedtak om overtredelsesgebyr på 5 millioner kroner til NAV for brudd på personvernforordningen artikkel 5 og 6. Bakgrunnen for gebyret var at NAV over flere år hadde publisert CV-er for personer under oppfølging på arbeidsformidlingsportalen arbeidsplassen.no uten å ha rettslig grunnlag. Publisering av CV hadde blitt satt som vilkår for å motta ytelser fra NAV.
NAV meldte selv til oss at publiseringen manglet rettslig grunnlag. I utmålingen av gebyret ble det lagt vekt på at bruddet gjaldt grunnleggende prinsipper i personvernforordningen, varigheten av den ulovlige behandlingen av personopplysninger, det store antallet registrerte og ubalansen i forholdet mellom NAV og de registrerte.
Tilsyn med leverandører av velferdsteknologi
I mars 2022 utførte Datatilsynet tre tilsyn med leverandører av trygghetsalarmtjenester til norske kommuner. Trygghetsalarmer er en form for velferdsteknologi som norske kommuner bruker i utførelsen av omsorgsoppgavene sine. Trygghetsalarmen er enten installert stasjonært i hjemmet eller på selve brukeren. Dette illustrerer en type problemstilling som ligger i kjernen av retten til personvern.
Et tilsyn ble satt i gang som følge av en melding om brudd på personopplysningssikkerheten fra en kommune, i tillegg til en klage fra en trygghetsalarmbruker. Etter kartlegging av hvilke tjenesteleverandører norske kommuner har inngått avtaler med, opprettet vi tilsyn med tre av de største leverandørene av disse tjenestene.
Målet for tilsynet var å bistå kommunene i valg av leverandør, samt gjøre databehandlere bevisste på deres rolle i å ivareta informasjonssikkerheten i tjenestene de leverer. Kommunene vil som regel være avhengige av forhold på tjenesteleverandørenes side for å sikre at velferdsteknologitjenestene driftes i overensstemmelse med personvernregelverket.
I tilsynet så vi på hvorvidt tjenesteleverandørene behandler personopplysninger i tråd med databehandlerens forpliktelser. I tillegg ønsket vi å kartlegge ansvarsforholdet mellom leverandør og kommune, hvordan leverandørene bistår kommunene med å sikre et tilstrekkelig sikkerhetsnivå ved behandlingen av personopplysninger, og informasjonsflyten i tjenesten.
Informasjonssamfunnstjenester og annonseindustrien («ad tech»)
I 2022 behandlet vi flere saker som gjelder «informasjonssamfunnstjenester», slik som for eksempel applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler store mengder personopplysninger om brukerne.
Vi har særlig sett på saker som har rettet seg mot annonseindustrien («ad tech»). Annonseindustrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjepartsaktører (annonsører) for å tilby persontilpasset reklame. Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å ha reell kontroll over opplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, og mange berørte.
Datatilsynet har også jobbet for å rette oppmerksomhet mot personvernproblematikken som annonseindustrien medfører, siden vi mener at ytterligere regulering av dette økosystemet er nødvendig. Vi har blant annet løftet problemstillingen i det offentlige ordskiftet og hatt kontaktmøter med politikere i regjeringen og på Stortinget. Vi har også vært med på relevante arrangementer, slik som et rundebord med Facebook-varsler Frances Haugen, der representanter for blant annet offentlige organer og sivilsamfunn deltok. I dette arbeidet har vi samarbeidet og utvekslet erfaringer med andre relevante aktører, særlig Amnesty International Norge, Forbrukerrådet og Teknologirådet.
I løpet av 2022 har vi også hatt to møter med Mediebedriftenes Landsforening (MBL). Mediebedriftene er blant de største aktørene i innen adtech i Norge, og i disse møtene mottar vi orientering og innspill fra MBL knyttet til utviklingen i bransjen og deres syn på pågående lovprosesser. Datatilsynet saksbehandler ikke på slike møter, og gir ingen form for godkjenning av mediebedriftenes praksiser.
Grindr
I februar 2022 mottok Datatilsynet en klage fra Grindr LLC på vedtaket vårt fra desember 2021. I vedtaket ila vi det amerikanske selskapet et rekordstort overtredelsesgebyr på 65 millioner kroner. Grindr er en dating-app som retter seg mot homofile og bifile menn, transpersoner og skeive. Saken ble åpnet i 2020 etter at Forbrukerrådet klagde selskapet inn til oss fordi appen utleverte GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker, til flere tredjepartsaktører.
Vi vurderte klagen fra Grindr og opprettholdt våre konklusjoner i vedtaket. Vi oversendte derfor saken til klagebehandling hos Personvernnemnda i desember 2022. Konklusjonen vår i vedtaket er at Grindr i perioden fra juli 2018 til april 2020 delte personopplysninger til tredjepartsaktører for persontilpasset markedsføring, uten gyldig rettslig grunnlag, ettersom de såkalte samtykkene selskapet samlet inn ikke oppfylte kravene i personvernforordningen. Vi konkluderte også med at selskapet ulovlig delte opplysninger om brukernes seksuelle orientering, fordi opplysninger om at noen er Grindr-bruker sterkt indikerer at de tilhører en seksuell minoritet. Saken har vært svært omfattende, og har fått stor oppmerksomhet. Klagesaken vil bli behandlet og avgjort av Personvernnemnda i 2023.
Disqus
I 2022 jobbet vi videre med en endelig konklusjon i Disqus-saken, hvor det i 2021 ble varslet et overtredelsesgebyr på 25 millioner kroner for brudd på ansvarlighetsprinsippet, kravet til rettslig grunnlag og manglende informasjon til de registrerte. Konklusjonen vil foreligge i 2023.
Justis
Tilsyn mot Kriminalomsorgen
Datatilsynet har i perioden 2021-2022 gjennomført et omfattende tilsyn med kriminalomsorgen. Et stedlig tilsyn med Kriminalomsorgsdirektoratet (KDI) fant sted i november 2021. I tillegg ble det i april 2022 gjennomført stedlige tilsyn ved tre underliggende enheter. Gjennom kontrollene ble det funnet avvik fra regelverket knyttet til ansvarsplassering og internkontroll.
Plasseringen av behandlingsansvaret i Kriminalomsorgen har vært uklar. I løpet av tilsynsperioden har KDI gitt instruks om behandlingsansvaret, men denne var ennå ikke implementert fullt ut i etaten. Kriminalomsorgens internkontroll ble videre ansett som mangelfull.
Datatilsynet har pålagt KDI å sørge for at det etableres klare ansvars- og myndighetsforhold. KDI er videre pålagt å foreta en gjennomgang av internkontrollsystemet for informasjonssikkerhet, og oppdatere denne for å sikre at personopplysningsloven blir etterlevd i alle ledd i etaten. Fristen for å oppfylle pålegget er satt til seks måneder.
Datatilsynet mener det er grunn til å anta at et komplekst og fragmentert regelverk har gjort det vanskelig å forstå hvilke regler som gjelder, og at dette har hatt betydning for etatens etterlevelse av personvernreglene. På bakgrunn av tilsynet har vi rettet en henvendelse til Justis- og beredskapsdepartementet der vi påpeker behovet for å få på plass et nytt regelverk for behandling av personopplysninger i forbindelse med gjennomføring av straffereaksjoner.
Tilsyn med Politiets IT-enhet
Vi gjennomførte i 2022 stedlig tilsyn med Politiets IT-enhet (PIT). Formålet med dette tilsynet var å kontrollere behandlingen av personopplysninger i saksbehandlingssystemet Remedy Smart IT, som brukes til behandling av IKT-relaterte henvendelser fra hele politietaten. Tilsynet avdekket avvik i fra kravene til sporbarhet og sletterutiner. Politidirektoratet har meldt at avvikene er utbedret. Endelig kontrollrapport ferdigstilles i 2023.
Masseinnsamling av personopplysninger
Masseinnsamling av personopplysninger fra internett og teledata er verktøy som politi og etterretningstjenesten i økende grad har tatt i bruk og vil ta i bruk.
Formålet med innhentingen vil være å kunne søke et relevante personer eller mønster til bruk i etterretning, forebygging, avverging og etterforskning av kriminalitet, terror og andre sikkerhets- og nasjonale interesser.
Datatilsynet bidrar med personvernfaglige råd i den offentlige debatten, hovedsakelig gjennom høringsuttalelser, men også deltakelse i debatter og gjennom media. I 2022 har vi gitt høringsuttalelser knyttet til PSTs etterretningsoppdrag og behandling av åpent tilgjengelig informasjon, og forslag til endringer i etterretningstjenesteloven § 7-3 om tilretteleggingsplikten.
Avvik knyttet til politiets utlevering av personopplysninger til kriminalomsorgen
Datatilsynet mottok i mai 2021 en avviksmelding fra Trøndelag politidistrikt. Politidistriktet hadde avdekket en intern praksis der det, etter anmodninger fra Trondheim fengsel, rutinemessig var utlevert personopplysninger fra politiets registre til fengselet. Opplysningene skulle blant annet brukes i forbindelse med ansettelser, søknader om overføring til fengsel med lavere sikkerhetsnivå og besøk til innsatte. Utleveringene hadde pågått uformelt per e-post og telefon, uten hjemmelshenvisning, vurdering eller journalføring.
Datatilsynet kom til at politidistriktets praksis var i strid med sentrale krav til behandling av personopplysninger etter politiregisterloven og politiregisterforskriften. Manglende vurderinger av rettslig grunnlag, nødvendighet og forholdsmessighet innebærer at det kan ha blitt utlevert personopplysninger i større utstrekning enn det politiregisterloven åpner for. Saken ble ansett som alvorlig og kritikkverdig, siden utleveringene hadde pågått over mange år og praksisen antas å gjelde et betydelig antall personer. Vi mente samtidig at avviket var blitt fulgt opp på en tilfredsstillende måte av politiet, ved at det raskt ble iverksatt tiltak for å lukke avviket og sikre at fremtidige utleveringer var i samsvar med regelverket.
Datatilsynets virkemidler er regulert i politiregisterloven § 60. Saken ble avsluttet med kritikk av politidistriktet.
Vi fant også grunn til følge opp saken overfor Kriminalomsorgen og innhentet redegjørelser fra Trondheim fengsel og Kriminalomsorgsdirektoratet. Vi kom til at fengselets praksis var i strid med sentrale krav til behandling av personopplysninger. Innhenting av vandelsopplysninger i forbindelse med ansettelse og utførelse av oppgaver for kriminalomsorgen må foretas i samsvar med aktuelle bestemmelser i straffegjennomføringsloven og politiregisterlovens bestemmelser om vandelskontroll og attester.
Kundedata og infosikkerhet
Datatilsynet mottar mange henvendelser om kunde- og medlemsopplysninger. I 2022 mottok vi 149 klager som gjaldt personopplysninger om kunder og medlemmer. Disse sakene gjelder ofte sletting og innsyn, og berører både offentlige, private og internasjonale virksomheter. På veiledningstjenesten mottok vi totalt 531 henvendelser tilknyttet behandling av personopplysninger i kundelister og medlemsregistre.
I meldingsåret fattet vi vedtak om overtredelsesgebyr på fem millioner kroner til Trumf. Trumf er et fordelsprogram som tilbyr privatpersoner å spare bonus på kjøp i NorgesGruppens dagligvarebutikker og flere eksterne Trumf-partnere. Bakgrunnen for overtredelsesgebyret var at Trumf-medlemmer kunne få tilgang til andres handlehistorikk gjennom å registrere noen andres kontonummer på profilen.
Overtredelsesgebyr til Trumf
Bakgrunnen for saken var at Trumf-medlemmer kunne registrere andres kontonumre på medlemsprofilen, og dermed skaffe seg tilgang til handlehistorikken deres. Vi gjennomførte et tilsyn i 2016 som viste at Trumf hadde ikke implementert en løsning for å verifisere at Trumf-medlemmet som registrerer bankkontoen også var innehaver av kontoen. Vi gjorde nye undersøkelser i 2020 og 2021, og de viste at Trumf ikke hadde innført en slik verifikasjonsløsning.
Trumf fikk varsel om overtredelsesgebyr i 2021, og endelig vedtak om brudd på personopplysningssikkerheten med et overtredelsesgebyr på fem millioner, ble fattet i meldingsåret. Trumf hadde i forkant av vedtaket sikret at kontonummer verifiseres før man får tilgang til handlehistorikken og ved nye registreringer av kontonummer.
SSB-saken
Datatilsynet sendte i november 2022 et varsel om forbud mot behandling av personopplysninger til Statistisk sentralbyrå (SSB). Bakgrunnen for varselet var SSBs vedtak om opplysningsplikt for dagligvareaktørene Coop Norge ASA, NorgesGruppen ASA, Rema 1000 AS og Bunnpris-kjeden. I vedtakene om opplysningsplikt ble dagligvareaktørene pålagt å sende SSB alle bongdata, det vil si opplysninger om alle transaksjoner fra dagligvarehandelen. Opplysningene, koblet opp mot banktransaksjonsdata og sosioøkonomiske opplysninger, skulle brukes til å utarbeide kostholds- og forbruksstatistikk.
Vår foreløpige vurdering er at behandlingen av bongdata, som er hjemlet i vedtakene om opplysningsplikt fra SSB, ikke har tilstrekkelig rettslig grunnlag. Det gjør behandlingen ulovlig. Vi har derfor varslet forbud mot behandling av bongdataene.
SSB fikk frist til januar 2023 med å kommentere varselbrevet, og saken er fremdeles under behandling.
Personvernombudsordningen
Personvernombudene er sentrale i virksomhetenes etterlevelse av personvernlovgivningen. Ombudets rolle er å gi råd om hvordan personverninteressene kan ivaretas best mulig, men også å kontrollere etterlevelsen av regelverket. I tillegg skal de være kontaktpunkt for de registrerte og overfor Datatilsynet. Personvernombudene skal ha en uavhengig rolle, og de skal ikke instrueres fra ledelsens side om sine prioriteringer eller utførelsen av oppgavene.
Ved utgangen av 2022 var det registrert 1 432 personvernombud som representerte til sammen 1 988 virksomheter. Differansen skyldes at noen er personvernombud for flere behandlingsansvarlige.
Implementering av tiltak fra strategien for personvernombudsordningen
Det å være personvernombud kan oppleves som en tidvis krevende rolle i virksomheten. For å beholde engasjementet og oppleve seg trygge i rolleutøvelsen, har ombudene derfor behov for å få motivasjon og støtte gjennom nettverksbygging med andre ombud – i tillegg til å sparre med Datatilsynet. Aller viktigst er dog at virksomhetens øverste ledelse viser forståelse og anerkjennelse for personvernombudets arbeid. I meldingsåret har vi derfor fortsatt implementeringen av strategien for personvernombudsordningen, som vi utarbeidet året før. Sentralt i denne strategien er å gjennomføre tiltak rettet både mot ombudene, ledelsen i virksomhetene og de registrerte. Dette skal bidra til at personvernombudene opprettholder og bygger motivasjon for arbeidet, og at ledelsen i virksomhetene i større grad blir bevisst sitt ansvar for å gi ombudene de rammebetingelsene de skal ha etter lovgivningen.
Velkommenmelding til nye personvernombud med tilbud om introkurs
Ett av de viktigste tiltakene fra strategiplanen gjennomført i meldingsåret, har vært å sende ut velkommen-eposter til alle de omlag 170 personene nyinnmeldte ombudene, uten tidligere erfaring med rollen. Her har vi gitt råd og veiledning om PVO-rollen, og ikke minst tips til nettsteder og aktører vi mener at de som er nye i personvernombudsrollen vil ha god nytte av å kjenne til. Alle har også blitt tilbudt å delta på digitale introkurs om personvernombudsrollen, om Datatilsynet og hva vi kan bistå med. Vi har fått veldig positive tilbakemeldinger fra de personvernombudene som mottatt slik veiledning fra oss.
Foreningen personvernombudene, nettverk og annen kompetansebygging
Foreningen Personvernombudene er en av de aktørene vi har opplyst nye personvernombud om, og hvor vi har prioritert å stille opp med foredragsholder på foreningens månedlige medlemsmøter når vi er blitt invitert til det. Vi stod også som vertskap og ansvarlig for det faglige innholdet på foreningens medlemsmøte og sommeravslutning i juni 2022. I desember hadde vi vårt første kontaktmøte med representanter for foreningens styre, og har avtalt å gjennomføre slike møter hvert halvår.
Vi har også i 2022 prioritert å stille opp i samlinger som har vært i regi av ulike regionale eller sektorvise nettverk av personvernombud. Samarbeidet med utdanningsinstitusjonene Høgskolen i Innlandet, BI og Oslo Met om deres respektive deltidsstudier i personvern har fortsatt i 2022.
Publisering på internett
Saker som gjelder publisering av personopplysninger på internett, havner ofte i spenn mellom de registrertes rett til beskyttelse av personopplysningene sine og allmennhetens ytring- og informasjonsfrihet.
Fra 1. januar 2022 gir personopplysningsloven §3 tydeligere veiledning til virksomheter, privatpersoner og datatilsynet om hvordan disse interessene skal veies mot hverandre. Formålet med endringen er å åpne for mer nyanserte avveininger av personvernet og ytrings- og informasjonsfriheten, blant annet å sikre at bestemmelsen i enkelttilfeller ikke gjør unntak fra personopplysningsloven og personvernforordningen i uforholdsmessig stor grad. Når det gjelder behovet for å sikre at bestemmelsen ikke gjør unntak i uforholdsmessig stor grad, tar endringen i første rekke sikte på de ulike formene for behandling som omfattes av forordningens begrep om «journalistisk» formål, men som skjer i uredigerte medier. Når medier som er omfattet av medieansvarsloven publiserer utelukkende for journalistiske formål, er publiseringen unntatt fra de fleste bestemmelsene i personopplysningsloven. Vi har i 2022 avsluttet flere klagesaker med grunnlag i dette unntaket.
Shinigami Eyes
Datatilsynet forbød behandling av personopplysninger i nettlesertillegget Shinigami Eyes. Dette tillegget markerer det som skal være «trans-vennlige» brukernavn på ulike nettsteder med én farge, mens det som skal være «trans-fiendtlige» brukernavn med en annen farge.
Behandlingen manglet rettslig grunnlag, og de registrerte fikk ikke informasjon om at de ble kartlagt. Saken har skapt mye medieoppmerksomhet både nasjonalt og internasjonalt.
Sletting av søketreff i saksbehandlingen
Vi mottok 12 saker om sletting av søketreff i løpet av året. Fire av sakene ble avsluttet i løpet av året, og ingen av disse ble klaget videre til Personvernnemnda. Personvernnemnda avgjorde to saker om sletting av søketreff i 2022. Vedtaket fra Datatilsynet ble opprettholdt i den ene saken og omgjort i den andre.
Samferdsel
I forbindelse med at det skal utarbeides en nasjonal strategi og retningslinjer for personvern og digitalt privatliv, som er et av tiltakene i Hurdalsplattformen, ba Kommunal- og distriktsdepartementet (KDD) om et bidrag fra oss til å få bedre kunnskap om personvern i transportsektoren.
Datatilsynet leverte en redegjørelse til KDD i desember. Der fremhevet vi noen sentrale utfordringer i sektoren. Vi uttrykte at det bør innføres et unntak i bokføringsregleverket for fakturainformasjon som er utstedt i forbindelse med passeringer i AutoPASS. Måten passeringer registreres på i dag er et inngrep i menneskers rett til å ferdes fritt som ikke er godt nok begrunnet. Videre påpekte vi manglende åpenhet og kontroll, i tillegg til uklare ansvarsforhold, som viktige utfordringer.
I tillegg ga vi anbefalinger om utvikling av systemer for veiprising, tilkoblede kjøretøy og ansiktsgjenkjenning. Vi understreket at myndighetene må innta en helhetlig og prinsipiell holdning til de personvernrettslige utfordringene som kommer innen transportsektoren.
Schrems II – overføring til tredjeland
Den 16. juli 2020 ble den såkalte Schrems II-dommen avsagt i EU-domstolen. Denne dommen ugyldiggjorde EU-kommisjonens adekvansbeslutning som tillot overføring av personopplysninger til en rekke amerikanske virksomheter i henhold til Privacy Shield-rammeverket. Dessuten stilte EU-domstolen opp strenge vilkår for lovlig overføring av personopplysninger ut av EØS. Disse vilkårene innebærer at hver enkelt virksomhet må foreta kompliserte vurderinger, og mange overføringer vil være ulovlige fordi de ikke kan oppfylle vilkårene.
Også i 2022 har dommen skapt store utfordringer for norske virksomheter, som i stor grad er avhengig av særlig amerikanske tjenester. Spesielt for små og mellomstore virksomheter kan det være krevende å sikre tilstrekkelige økonomiske og faglige ressurser til å sikre etterlevelse med Schrems II-dommen.
I løpet av året har vi gjennomført flere veiledningsmøter der vi har hjulpet virksomheter finne praktiske måter å innrette seg på i tråd med reglene. Tilbakemeldingene fra disse møtene har vært gode. Samtidig har veiledningsmøtene gitt Datatilsynet eksempler på hvordan handlingsrommet i regelverket kan utnyttes i praksis. Dette ønsker vi å bruke til å oppdatere veiledningen vår fremover, siden det kan komme flere virksomheter til gode.
I 2022 har vi opplevd at flere aktører har tatt til orde for å ikke følge Datatilsynet og Personvernrådets veiledning på feltet. Datatilsynet er bekymret for denne utviklingen. Selv i tilfeller der overføringer eller bruk av tredjelandstjenester skulle vise seg å være uproblematisk i praksis, vil virksomheter som ikke har gjennomført korrekte og tilstrekkelige vurderinger i forkant, bryte ansvarlighetsprinsippet. Det er viktig at det ikke tas i bruk løsninger som kan medføre høy regulatorisk risiko.
I 2022 la EU-kommisjonen frem utkast til adekvansbeslutning for USA. En adekvansbeslutning er en «godkjenning» som sier at det er trygt å sende personopplysninger til et tredjeland, og som vil gjøre det mye enklere å sende data til USA og bruke amerikanske tjenester. Det er ventet at beslutningen vil vedtas og tre i kraft i 2023. I praksis betyr dette at mange av utfordringene for norske virksomheter vil bli løst.
Telekom
Datatilsynet fortsatte samarbeidet med Nasjonal kommunikasjonsmyndighet (Nkom) gjennom 2022. Nkom og Datatilsynet forvalter ulike regelverk som kan utfylle og som til tider delvis overlapper hverandre. Som en del av samarbeidet mellom Nkom og Datatilsynet har vi hatt to overordnede saksbehandlermøter. Formålet med saksbehandlermøtene er blant annet å holde hverandre orientert om relevant utvikling i telekomfeltet, samt sikre gjensidig erfaringsutveksling. I tillegg til de to saksbehandlermøtene, har vi hatt kortere møter og dialog knyttet til spesifikke fagområder eller problemstillinger.
Som tidligere år har nummeropplysningstjenester vært et tema i samarbeidet mellom Nkom og Datatilsynet. Ekomregelverket og personvernregelverket utfyller hverandre ved behandlingen av personopplysninger til nummeropplysningsvirksomhet. Datatilsynet har saker til behandling som retter seg mot bruken av personopplysninger utlevert til nummeropplysningstjenester. Kjernen i flere av klagene vi har mottatt er hvordan personopplysninger som er utlevert under ekomregelverket senere benyttes til andre formål enn til nummeropplysningstjenester. Den etterfølgende behandlingen av personopplysninger som er mottatt for nummeropplysningsformål, er innenfor Datatilsynets tilsynskompetanse. Vi har også deltatt på et møte i Nummeropplysningsforum etter invitasjon fra Nkom, hvor teletilbyderne og representanter for nummeropplysningsvirksomhetene samles for å diskutere problemstillinger knyttet til utlevering av nummeropplysninger.
Ekomloven ble endret i 2022 og det ble innført en plikt for tilbydere av elektroniske kommunikasjonstjenester (ekomtilbydere) til å lagre IP-adresser mv. under gitte vilkår. Datatilsynet har deltatt i et møte med Nkom om deres oppfølging av oppdrag fra Kommunal- og distriktsdepartementet knyttet til implementeringen av plikten til IP-lagring, hvor vi utfylte innspillene fra vårt høringssvar om temaet fra 2021. I 2022 svarte vi også på en høring til endringer i ekomforskriften, som skal utfylle bestemmelsene om IP-lagring.
Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes av myndigheter til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til å sende ut SMS-varslinger til de som befinner seg der. Det var økende bruk av teknologien under pandemien, og teknologien ble benyttet i nye sammenhenger. Datatilsynet har i 2022 arbeidet videre med dette temaet, og ferdigstilte på høsten en veiledning om bruk av lokasjonsbasert SMS-varsling.
I 2022 har vi utredet personvernkonsekvensene av bruk av 5G-nettet. Arbeidet skal resultere i en kort rapport som lanseres i 2023. Rapporten vil inneholde en teknisk beskrivelse, samt en analyse av hvilke konsekvenser bruken av 5G kan ha for informasjonssikkerhet og personvern.
Sentrale enkeltsaker
Overtredelsesgebyr til Stortinget
Høsten 2020 ble Stortinget utsatt for datainnbrudd. Bruddet omfattet blant annet uautorisert pålogging til e-postkontoene til flere stortingsrepresentanter og ansatte i administrasjonen. Datatilsynet vurderte sikkerhetstiltakene som utilstrekkelige og ila Stortinget et gebyr på 2 millioner. Vi la særlig vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse.
Etterfølgende undersøkelser avdekket at angripere hadde lastet ned ulike mengder data og at disse dataene kunne inneholde personopplysninger som stammet fra de berørte ansattes epostkontoer. Det ble i avviksmeldingen og etterfølgende tilleggsmelding opplyst om at det blant annet dreide seg om bank- og kontoinformasjon, inkludert personopplysninger om tredjeparter, fødselsnummer og helseopplysninger. Mulige konsekvenser for de berørte av angrepet kunne være misbruk av identitet, misbruk av betalingskort og bruk av informasjon til utpressing.
Overtredelsesgebyr Østre Toten
Østre Toten kommune ble ilagt et overtredelsesgebyr på 4 millioner kroner for brudd på personopplysningssikkerheten i forbindelse med et dataangrep. Lovbruddene gjaldt mangler ved logging og logganalyse, sikring av backup og tofaktorautentisering eller tilsvarende sikkerhetstiltak. Disse manglene hadde gjort kommunens datasystemer sårbare for datainnbrudd. Datatilsynet så alvorlig på saken, ettersom dataangrepet rammet en stor mengde persondata og opplysningene ble tilgjengeliggjort på det mørke nettet. Det ble også lagt vekt på en rekke formildende omstendigheter i saken, som for eksempel kommunens samarbeid med Datatilsynet etter bruddet, og kommunens informasjonsvirksomhet overfor egne innbyggere. Datatilsynets vedtak i saken ble for øvrig bekreftet av Personvernnemnda i januar 2023.
Folkeregisteret (retting av feilaktige opplysninger)
Datatilsynet startet brevkontroll med Skatteetaten i desember 2021. Bakgrunnen for kontrollen var en avviksmelding fra et helseforetak og en klage fra en pasient som feilaktig var meldt død i Folkeregisteret. Den feilaktige dødsmeldingen skapte store ulemper for pasienten. Skatteetaten er behandlingsansvarlig for Folkeregisteret.
I desember varslet vi Skatteetaten om vedtak om pålegg. Det handlet om at Skatteetaten har plikt til å ta kontakt med alle mottakere av feilaktige opplysninger om dødsfall og informere om at en feilregistrering har skjedd. Saken er fortsatt under behandling.