Årsrapport for 2023

Annen vesentlig aktivitet

Akkreditering og sertifiseringsordninger

Datatilsynet jobber med å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og artikkel 40-43).

I 2023 inngikk vi en samarbeidsavtale med Norsk akkreditering i 2023 for å avklare roller og oppgaver i prosessen med å etablere sertifiseringsordninger og akkreditere sertifiseringsorganer. Gjennom året er det jobbet med å publisere krav for akkreditering av kontrollorganer til atferds­normer og tilleggskrav for akkreditering av sertifiseringsorganer, samt veiledning om disse ordningene.

I tillegg til å delta på møter i Personvernrådets undergrupper der etablering av sertifiseringsordninger var tema, deltok vi også i to workshoper om sertifisering. Hensikten med workshopene var å diskutere hvordan andre land har vurdert ordningene, og hvilke problemstillinger som kan oppstå på nasjonalt, transnasjonale og europeiske nivå.

Arbeidsliv

Vi mottar fremdeles mange henvendelser om personvern i arbeidslivet. I 2023 gjaldt dette hver fjerde av alle henvendelsene til veiledningstjenesten. Det som går igjen her er behandling av personopplysninger i personalmapper og elektronisk utstyr. Vi mottar også mange spørsmål om forskjellige kontrolltiltak. Ulike utfordringer i arbeidslivet er også et gjentakende tema i presse- og foredragshenvendelser vi mottar.

I løpet av 2023 fikk vi inn 91 klager på behandling av personopplysninger på arbeids­plassen. Dette er nedgang fra 2022, men samtidig betydelig over tidligere år. I tillegg mottar vi mange anonyme tips om personvern og arbeidsliv.

Klager og korrigerende tiltak

Klagesakene er ofte preget av høyt konflikt­nivå og stor kompleksitet. Typiske temaer er innsyn i arbeidstakeres e-post og annet elektronisk utstyr, automatisk videresending av e-poster, person­opplysninger i personalmappe, manglende sletting av personopplysninger, kameraovervåking på arbeidsplassen og andre typer kontrolltiltak som GPS-sporing, effektivitetsmåling og logging.

Vi ser alvorlig på lovbrudd i denne typen saker blant annet på grunn av det ujevne styrkeforholdet mellom arbeidsgiver og arbeidstaker. I 2023 har vi blant annet fattet vedtak om overtredelsesgebyr i to slike saker. Virksomhetene har klaget i begge sakene, og endelig vedtak er ikke klart. Det ble også gitt vedtak om korrigerende tiltak i flere arbeidslivsrelaterte saker.

Tilsyn med kameraovervåking i arbeidslivet

Datatilsynet gjennomførte i 2023 to tilsyn som gjaldt kameraovervåking i arbeidslivet. Tilsynene ble gjennomført på bakgrunn av tips og at vi ønsket å se nærmere på forholdene til unge arbeidstakere. Vi ser at det er lett å ta i bruk rimelige kameraløsninger, og mange bekymrer seg for om arbeids­giveren følger med på arbeidet gjennom kameraet. Mange av kameraene er forhånds­innstilt på en lite personvernvennlig måte, og er derfor enkle å misbruke.

Vi gjennomførte tilsyn hos godteributikken Fast Candy AS i Vika i Oslo og lekebutikken Ringo AS i Askim. Tilsynet hos Fast Candy AS endte med flere vedtak om pålegg, samt stans av deler av kameraovervåkingen. Saken som gjelder Ringo AS Askim er ikke ferdigstilt ved utgangen av rapporteringsåret.

Veiledning og samarbeid

Personvern i arbeidslivet og reglene i arbeidsmiljøloven (som håndheves av Arbeidstilsynet), henger tett sammen. Vi har derfor jevnlig kontakt med Arbeidstilsynet og andre relevante aktører i arbeids­livet for å utveksle erfaringer og fagkunnskap. I rapporteringsåret deltok vi sammen med Arbeids­tilsynet på et webinar om hvordan arbeidsgivere kan håndtere personopplysninger i varslingssaker.

Det har også blitt lagt ned mye arbeid i foredrag og skriftlig veiledning om overvåking av arbeids­takere. Kunstig intelligens setter arbeidsgivere i stand til å samle inn informasjon om arbeidstakerne, for eksempel om hvor effektive de er og til og med hva de føler. Samtidig fører den økende digitaliseringen til at stadig flere yrkesgrupper, for eksempel lager- og bygningsarbeidere, bruker elektronisk utstyr i jobben sin. Potensialet for kontroll og overvåking er derfor stort, og det er behov for veiledning om hvor grensene går. 

I 2023 arrangerte vi også et eget seminar om overvåking og algoritmisk styring i det digitale arbeids­livet. Om lag 300 personer fulgte til sammen seminaret digitalt og fysisk.

På nettsidene våre har vi dessuten publisert veiledning om e-postforskriftens forbud mot overvåking av arbeidstakers bruk av elektronisk utstyr. Slik overvåking kan bare unntaksvis skje hvis formålet er å administrere virksomhetens datanettverk eller avdekke eller oppklare sikkerhetsbrudd i nettverket. Partene i arbeidslivet og andre interesserte har gitt innspill til eksempler der behovet er størst for klargjøring.

Bank, finans og kredittvurdering

Finansbransjen behandler store mengder personopplysninger av privat karakter om svært mange. En sammenstilling av disse opplysningene kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen har derfor høy risiko og kan få store konsekvenser. Vi har derfor hatt flere kontakt­møter med Finanstilsynet der vi deler kunnskap og erfaring om tema som er relevante for begge.

I løpet av året hadde vi flere foredrag for aktører i finansbransjen, der blant annet avvikshåndtering var tema. Vi gjennomførte også tilsyn med selskapet Convene Collection AS på bakgrunn av en avviksmelding fra selskapet, samt klager og tips fra berørte forbrukere. I tilsynet så vi på om behandlingen av personopplysninger og informasjonssikkerheten i forbindelse med utsendelse av faktura og betalingskrav var i tråd med personvernreglene. Tilsynet var ikke avsluttet ved utgangen av året.

Datatilsynet deltar dessuten i referansegruppen for utvalget som skal se på trygge og enkle betalinger for alle (Betalingsutvalget). Vi har så langt bidratt med innspill til utvalget om kontanters rolle for personvernet.

Kredittvurdering

Konsesjonsordningen for kredittopplysningsvirksomhet ble avviklet i forbindelse med at kredittopplysningsloven trådte i kraft sommeren 2022. Avviklingen har skapt noen utfordringer for aktører som leverer data til kredittopplysningsforetak. Tidligere var det et vilkår at nye kredittopplysningsforetak kunne vise til en konsesjon fra Datatilsynet for å få tilgang til data. Når det ikke lenger foreligger en konsesjon, må foretakene finne nye kriterier for å få utlevert data.

Datatilsynet har i 2023 gitt veiledning til Skatteetaten og Brønnøysundregistrene i forbindelse med at de har utarbeidet et egenerklæringsskjema som nye kredittopplysningsforetak må signere før de får tilgang til data. Vi har også blitt enige med Skatteetaten og Brønnøysundregistrene om en ordning der de underretter Datatilsynet når nye kredittopplysningsforetak får tilgang til data. På denne måten kan vi holde oss orientert om nye kredittopplysningsaktører i markedet. Etter ønske fra Skatteetaten og Brønnøysundregistrene har vi også startet på en utredning av hvilket regelverk som gjelder for utenlandske aktører som ønsker å drive kredittopplysningsvirksomhet i Norge. Dette arbeidet var fortsatt pågående ved årets slutt.

Datatilsynet behandler hvert år en rekke saker der enkeltpersoner har blitt kredittvurdert uten rettslig grunnlag. Flere av sakene har endt med overtredelsesgebyr for virksomheten som gjennomførte kredittvurderingen.

Vi åpnet i 2023 tilsyn med de fire etablerte foretakene som kredittvurderer enkeltpersoner. Temaet for tilsynet er behandling av personopplysninger i historisk arkiv. Vi ønsker å kontrollere om de etablerte aktørene overholder kredittopplysningslovens særbestemmelse om historisk arkiv, samtidig som vi ønsker at dette kan bidra til en felles forståelse av regelverket for behandling av personopplysninger i historisk arkiv. Det kan igjen danne grunnlag for veiledning til nye kredittopplysningsforetak. Tilsynet var fortsatt pågående ved utgangen av året.

Helse- og velferd

Helseplattformen

Helseplattformen, en felles journalløsning for primær- og spesialisthelsetjenesten i region Midt-Norge, ble lansert i mai 2022. Vi hadde flere dialogmøter med prosjektet i forkant av lanseringen.

Siden innføringen har Datatilsynet mottatt mange meldinger om brudd på personopplysnings­sikkerheten. De fleste av avvikene gjelder mangelfull tilgangsstyring ved at mange ansatte har hatt tilgang til pasientopplysninger de ikke hadde tjenstlig behov for. Meldingene gir viktig bakgrunnsinformasjon for det videre arbeidet vårt, og det har vært viktig for oss å følge med på om bruddene gjentar seg etter hvert som nye virksomheter tar Helseplattformen i bruk.

Store endringer i helseforvaltningen

Helse- og omsorgsdepartementet har vedtatt større endringer i helseforvaltningen, med ikrafttredelse 1. januar 2024. Endringene innebærer blant annet at Direktoratet for e-helse legges ned og innlemmes i Helsedirektoratet, at Folkehelseinstituttet (FHI) overtar forvaltningsansvaret for de nasjonale helseregistrene og at Helsedirektoratet overtar dataansvaret for to viktige nasjonale e-helseløsninger (Reseptformidleren og Kjernejournal) fra Norsk helsenett SF.

Departementet sendte i 2023 ut flere høringer knyttet til dette. Datatilsynet har uttrykt skepsis til at FHI, som er en forskningsinstitusjon og stor databruker, også skal forvalte tilgangen til data blant annet til forskning. Videre har vi stilt spørsmål ved hensiktsmessigheten av å flytte dataansvaret bort fra Norsk helsenett SF som bygger og drifter de nasjonale e-helseløsningene.

Tilsyn og varsel om overtredelsesgebyr til NAV

I september 2023 gjennomførte vi et tilsyn hos NAV. I tilsynet kontrollerte vi om NAV sikrer tilfredsstillende konfidensialitet i IT-løsningene («fagsystemene») som benyttes til å behandle person­opplysninger i forbindelse med tjenesteyting. Kontrollen omfattet tekniske og organisatoriske tiltak ved tilgangsstyring, logg og loggkontroll, og om NAV hadde etablert et egnet styringssystem. Kontrollen var avgrenset til behandling av person­opplysninger i fagsystemer som inngår i den statlige delen av NAVs tjenesteyting.

I tilsynsrapporten identifiserte vi en rekke lovbrudd. Hovedfunnene gjelder særlig konsekvensen organiseringen av NAV har for tilgangsadministrasjon og oppfølging. I november 2023 varslet vi NAV om at de vil pålegges å rette opp i avvikene. Samtidig varslet vi ileggelse av et overtredelsesgebyr på 20 millioner kroner. Datatilsynets vedtak er ikke endelig ved utløpet av rapporteringsåret.

Informasjonssamfunnstjenester og annonseindustrien («ad tech»)

I 2023 behandlet vi flere saker om «informasjonssamfunnstjenester», slik som for eksempel applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler store mengder personopplysninger om brukerne. Vi har blant annet behandlet saker knyttet til apper for parkering, dating og idrett.

Vi har særlig sett på saker som har rettet seg mot annonseindustrien («ad tech»). Denne industrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjeparts­aktører (annonsører) for å tilby persontilpasset reklame. Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å ha reell kontroll over opplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, og mange berørte brukere.

Meta-saken som handler om behandling av personopplysninger for atferdsbasert markedsføring, er omtalt under "Internasjonalt arbeid og samarbeid".

Grindr

Grindr er en dating-app som retter seg mot homofile og bifile menn, transpersoner og skeive. Saken ble åpnet i 2020 etter at Forbrukerrådet klagde selskapet inn til Datatilsynet fordi appen utleverte GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker, til flere tredjepartsaktører.

I 2022 ila vi det amerikanske selskapet Grindr Inc. (Grindr) et overtredelsesgebyr på 65 millioner kroner, men vedtaket ble klaget inn til Personvernnemnda. I september 2023 kom Nemnda med sin avgjørelse der de opprettholdt Datatilsynets vedtak om overtredelsesgebyr fullt ut.

I oktober 2023 stevnet Grindr Staten ved Personvernnemnda for Oslo tingrett. Grindr sin prinsipale påstand er at vedtaket til Personvernnemnda kjennes ugyldig, eventuelt at overtredelsesgebyret settes ned. Saken er planlagt behandlet i Oslo tingrett i løpet av 2024.

Justis

Politiets behandling av personopplysninger

Datatilsynet er tilsyns- og kontrollmyndighet for politiets behandling av personopplysninger etter politiregisterloven. I 2023 har vi tatt opp flere saker av eget initiativ, for eksempel om politiets bruk av droner, elektronisk lagring av bevis og bruk av informasjon i VISA Information System (VIS) til politimessige formål. Vi har også sendt et generelt krav om redegjørelse til Politidirektoratet (POD) som følge av flere avviksmeldinger om pass og nasjonale Id-kort på avveier.

Datatilsynet har jevnlige møter med politimyndighetene og deltar i møter med personvernrådgiverne i politiet. Vi ga i 2023 flere høringsuttalelser om regelendringer knyttet til politiets behandling av personopplysninger, samt en uttalelse om Politidirektoratets forslag til forskrift om vurdering av skikkethet ved ansettelser i politiet – et forslag som berørte behandling av personopplysninger på flere punkter.

Schengen-samarbeid

Norge deltar i Schengen-samarbeidet og er en del av Schengen-området, med felles yttergrense og indre reisefrihet. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i de felleseuropeiske systemene som er etablert gjennom Schengen- og Dublin-samarbeidet: Schengen informasjonssystem (SIS), visuminformasjonssystemet VIS og fingeravtrykksregisteret Eurodac.

Våre oppgaver består av tilsyn, behandling av klager fra registrerte, informasjon og veiledning, deltagelse i samarbeidsfora på europeisk nivå og besvarelse av høringer om regelverksendringer. En tverrfaglig gruppe sørger for intern koordinering og gjennomføring disse oppgavene.

Datatilsynet er representert i EU-kommisjonens ekspertpool som skal sikre optimalisert utvelgelse av deltakere i gruppene som evaluerer Schengen-landenes etterlevelse av regelverket. I 2023 deltok vi i evalueringen av Estland.

Tilsyn med Sysselmesteren på Svalbard

Som tilsynsmyndighet for den nasjonale behandling av personopplysninger i visuminformasjons­systemet VIS, gjennomførte Datatilsynet i 2023 tilsyn med Sysselmesteren på Svalbard. Det er ikke visumplikt for innreise til Svalbard, men Sysselmesteren er ansvarlig for behandling av søknader om visum til fastlands-Norge fra tredjelandsborgere på Svalbard, og har derfor tilgang til VIS.

Tilsynet avdekket avvik knyttet til behandlingsansvar og internkontroll. Datatilsynet har derfor pålagt Sysselmesteren på Svalbard å klargjøre og dokumentere ansvarsfordelingen mellom Sysselmesteren og Utlendingsdirektoratet for behandling av personopplysninger i visuminformasjonssystemet VIS. Sysselmesteren er videre pålagt å etablere internkontroll som er tilpasset virksomheten og behandlingsansvaret sitt.

Videreutvikling av Schengen-regelverket – endrede og nye informasjonssystemer

De senere årene er det vedtatt flere endringer i eksisterende systemer. SIS er det største informasjonsdelingssystemet for sikkerhet og grenseforvaltning i Europa. Den 7. mars 2023 ble det iverksatt endringer i SIS som innebærer at systemet er utvidet til å omfatte flere kategorier av personopplysninger. Blant annet skal tredjelandsborgere som har fått et returvedtak nå registreres i SIS.

Datatilsynet har i 2023 gitt flere høringssvar om regelendringer knyttet til Schengen-samarbeidet, blant annet endring av visuminformasjonssystemet VIS. Vi har også gjennomført møter med politiet og utlendingsmyndighetene om implementeringen av de endrede og nye systemene.

Schengen-evaluering av Norge

Etter Schengen-evalueringen av Norge i 2022, har evalueringsdelegasjonen kommet med en rapport til EU-kommisjonen. Rapporten ble vedtatt i september 2023. Vi avventer nå en beslutning om anbefalinger, og vil deretter utarbeide en handlingsplan for å følge opp anbefalingene.

Kundedata og infosikkerhet

I 2023 mottok Datatilsynet 171 klager som gjaldt personopplysninger om kunder og medlemmer. Dette er en økning fra året før. Disse sakene gjelder ofte sletting og innsyn, og berører både offentlige, private og internasjonale virksomheter. Behandling av personopplysninger i kundelister og medlemsregistre er også en gjenganger i henvendelsene til veiledningstjenesten.

Overtredelsesgebyr til SATS

Datatilsynet mottok flere klager på SATS i perioden 2018 til 2021. Etter å ha behandlet saken, konkluderte vi med at SATS ikke hadde klart å oppfylle de registrertes rettigheter til innsyn og til sletting på en tilfredsstillende måte. Treningssenterkjeden manglet også hjemmel til å behandle data om kundenes treningshistorikk. I 2023 fattet vi derfor vedtak om overtredelsesgebyr på 10 millioner kroner.

Vedtak om forbud mot behandling av bongdata til SSB

I april 2023 fattet vi vedtak om forbud mot Statistisk sentralbyrå (SSB) sin planlagte innsamling av data om den norske befolkningens dagligvarekjøp (bongdata) til bruk i kostholds- og forbruksstatistikk.

SSB planla innsamling av bongdata fra de fire største dagligvareaktørene som dekker 99 prosent av det norske dagligvaremarkedet. Gjennom bongdata og banktransaksjonsdata, ville SSB hatt opplysninger om hva omlag 70 prosent av befolkningen handler av dagligvarer. Dette ville igjen kunne kobles opp mot sosioøkonomiske data slik som husholdningstype, inntekt og utdanningsnivå.

Innsamlingen av bongdata ville innebære en helt ny form for innsamling av enorme mengder data fra private aktører. Kundene ville ikke ha noen reell mulighet til å motsette seg innsamlingen, annet enn gjennom å bruke kontanter som betalingsmiddel. Saken vekket derfor stor interesse både hos privatpersoner og media.

SSB mente at vedtaket deres om opplysningsplikt (fattet i medhold av statistikkloven § 10) var et rettslige grunnlag for innsamlingen av bongdata. Datatilsynet konkluderte imidlertid med at det ikke var et tilstrekkelig rettslig grunnlag for en så inngripende behandling av personopplysninger, og mente at inngrepet i personvernet er stor allerede ved innsamlingen av opplysningene. Kjernen i vurderingen av personverninngrepet er hva det er nødvendig for offentlige myndigheter å vite om den enkelte innbygger, og kravene til hjemmel ved slike store inngrep.

I etterkant av vedtaket har Datatilsynet og SSB hatt dialog om veien videre for utvikling av kostholds- og forbruksstatistikk.

Personvernombudsordningen

Ved utgangen av 2023 var det registrert 1 547 person­vernombud (PVO) som repre­sen­terte til sammen 2 111 virk­som­­heter. Differansen skyldes at mange er personvernombud for flere behandlings­ansvarlige.

Datatilsynet følger opp personvernombudene tett. Nye ombud får veiledning om ombudsrollen og tips til aktører og ressurser vi mener de vil kunne ha nytte av. De får også tilbud om å delta på digitale introduksjonskurs om denne ombudsrollen, om Datatilsynet og om hva vi kan bistå med. Fra 2023 har vi også tilbudt kurs om brudd på personopplysningssikkerheten og plikten til å melde avvik til Datatilsynet.

Datatilsynet har prioritert å stille opp med foredragsholder på Foreningen Personvernombudenes månedlige medlemsmøter når vi er blitt invitert. Vi stod i 2023 som vertskap og ansvarlig for det faglige innholdet på foreningens medlemsmøte og sommeravslutning. Vi har også hatt kontaktmøte med styret i foreningen.

Som i tidligere år, har vi dessuten prioritert å stille opp i samlinger som har vært i regi av ulike regionale eller sektorvise nettverk av personvernombud. I meldingsåret deltok vi på 17 slike nettverksmøter. Datatilsynets egen kontaktperson for eksterne personvernombud bruker også mye tid på kontakt med både nye og mer erfarne ombud.

Samarbeidet med utdanningsinstitusjonene Høgskolen i Innlandet, BI og Oslo Met om deres deltidsstudier i personvern har fortsatt i 2023. Vi har deltatt med foredragsholdere på alle studiene, i tillegg til på Juristenes utdanningssenter sitt kurs for personvernombud.

Som ledd i det omfattende kommunetilsynet overfor omlag hundre kommuner og fylkeskommuner, kartla vi i hvilken grad kommunene hadde implementert personvernombudsordningen. Selv om det er store variasjoner, synes kommunene i hovedsak å ha tatt i bruk personvernombudsrollen som forutsatt.

Publisering på nett

Saker som gjelder publisering av personopplysninger på nett, havner ofte i spenn mellom retten til personopplysningsvern på den ene siden, og allmennhetens ytrings- og informasjonsfrihet på den andre siden. Mens ytrings- og informasjonsfrihet stor grad tilsier åpenhet og tilgjengelighet av opplysninger, vil personopplysningsvernet ofte tilsi begrensninger i åpenhet og tilgjengelighet av opplysninger.

Det er imidlertid et unntak i personopplysningsloven § 3 som skal sikre balanse mellom de to grunnleggende rettighetene. Bestemmelsen gir viktige unntak når det gjelder behandling av person­opplysninger som skjer for journalistiske, akademiske, kunstneriske eller litterære formål. Unntaket skal sikre at personvernet ikke griper inn i retten til ytrings- og informasjonsfrihet i for stor grad, og den skal balansere disse rettighetene opp mot hverandre.

Bestemmelsen ble endret i 2022 for å åpne for mer nyanserte avveininger mellom de to grunn­leggende rettighetene. Endringen rettet seg i første rekke mot publiseringer som etter loven har «journalistiske» formål, men som skjer i uredigerte medier. Høsten 2023 publiserte vi derfor en utfyllende veiledning om personvern versus ytrings- og informasjonsfrihet.

I 2023 mottok vi 53 klagesaker om publisering på nett. Klagene handler om publiseringer i alt fra sosiale medier og nettaviser til publisering i offentlig postjournal. I tillegg fikk vi 11 saker som handlet spesifikt om fjerning av søketreff fra søkemotorer.

Vi åpnet dessuten et tilsyn etter medieoppslag om eksponering av barn i videoer på YouTube og Facebook, publisert av Familiekanalen. Tilsynet er omtalt i kapittelet «Spesielt om barn og unge», men var ikke avsluttet ved utgangen av rapporteringsåret.

Datatilsynet har i løpet av året også hatt veiledningsmøte med Antidoping Norge om publisering av dopingdommer innenfor den organiserte idretten og Rent Senter-ordningen. Kultur- og likestillings-departementet deltok også.

Slektsgranskning

Et av temaene som Datatilsynet mottar spørsmål om, er slektsgranskning. I 2023 oppdaterte vi derfor veiledningen på nettsidene våre. Personvernregelverket gjelder ikke når privatpersoner behandler personopplysninger til rent private formål. Regelverket kan imidlertid gjelde for slektsgranskning, for eksempel dersom opplysningene deles på nett (eller med andre), og i tillegg inneholder direkte eller indirekte opplysninger om levende personer (for eksempel opplysninger om arvelige sykdommer i slekten).

Samferdsel

I januar 2023 ga vi innspill til Skatteetaten og Statens Vegvesens høring om Konseptvalgutredningen (KVU) for veibruksavgift og bompenger. I høringen vurderes fire forskjellige konsept som i fremtiden kan erstatte dagens system for fastsettelse og innkreving av veibruksavgift og bompenger.

De viktigste merknadene våre var at forholdet til bokføringsregelverket må utredes, og at bruk av «tykk klient» og lokal prosessering i kjøretøyet er ufravikelige krav til en satellittbasert løsning som i fremtiden skal omfatte lette kjøretøy.

Telekom

Nummeropplysningstjenester

Nummeropplysningstjenester har også i 2023 vært tema i samarbeidet mellom Nkom og Datatilsynet. Ekomregelverket og personvernregelverket utfyller hverandre ved behandlingen av personopplysninger til nummeropplysningsvirksomhet.

Vi har behandlet flere saker om bruken av personopplysninger utlevert til nummer­opplysnings­tjenester. Kjernen i flere av klagene vi får er hvordan personopplysninger som er utlevert under ekomregelverket senere benyttes til andre formål enn til nummeropplysnings­tjenester.

Lokasjonsbasert SMS-varsling

Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes av myndigheter til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til å sende ut SMS-varslinger til de som befinner seg der. Det var en økende bruk av teknologien under pandemien, og den ble benyttet i nye sammenhenger. Teknologien ble igjen dagsaktuell i påsken 2023 i forbindelse med stor skredfare i Nord-Norge. Datatilsynet hadde i den forbindelse møte med Direktoratet for samfunnssikkerhet og beredskap (DSB), og fikk samordnet informasjon ut til kommunene og andre relevante aktører.

I 2023 ble også den nasjonale varslingsløsningen Nødvarsel tatt i bruk i Norge, og det ble gjennomført en felles, nasjonal varslingsprøve i juni. Det er DSB, i samarbeid med politiet, Nasjonal kommunikasjonsmyndighet og mobiloperatørene, som har levert Nødvarsel – myndighetenes nye system for befolkningsvarsling på mobil. Datatilsynet hadde et møte med DSB og Politidirektoratet om tjenesten i januar. Den nasjonale varslingsløsningen bruker Cell Broadcast-teknologien, som er en mer personvernvennlig teknologi enn lokasjonsbasert SMS-varsling.

Rapport om 5G

I 2023 publiserte vi en rapport om bruk av 5G-nettet. Rapporten inneholder en beskrivelse av teknologien, samt en analyse av hvilke konsekvenser bruken av 5G kan ha for informasjonssikkerhet og personvern. Vi kommer også med noen råd for hvordan et godt personvern kan ivaretas ved bruk av 5G.

Tilsyn med kommuner og fylkeskommuner

Datatilsynet har over tid mottatt flere klagesaker som gjelder Grimstad kommune, og gjennomførte derfor et tilsyn med kommunen for å undersøke systematikken deres for etterlevelse av personvernregelverket. Tilsynet ble gjennomført i mars 2023, og temaet var blant annet kommunens styringssystem og deres organisatoriske tiltak for å sikre opplæring av ansatte, håndtering av innsynskrav fra registrerte og rapportering til kommunens ledelse. Tilsynet førte til irettesettelse av kommunen.

Høsten 2023 gjennomførte dessuten Datatilsynet et stort antall tilsyn med norske kommuner. Over 100 kommuner og fylkeskommuner ble undersøkt. Vi stilte blant annet spørsmål om kommunenes etterlevelse av krav til informasjonssikkerhet og internkontroll. Det ble utarbeidet en felles tilsynsrapport med veiledning om temaene fra tilsynene. Veiledningen vil også gjøres tilgjengelig for andre virksomheter på nettsidene våre. Arbeidet var ikke ferdig på rapporteringstidspunktet og følges opp i 2024.

Trossamfunn

Trossamfunn behandler som regel en rekke opplysninger om sine medlemmer, for eksempel i medlemsregistre. Opplysninger om at en person er medlem av et trossamfunn har et særskilt vern i personvernregelverket. Tidvis behandler trossamfunn også andre opplysninger som er sensitive for den det gjelder. Det er derfor viktig at trossamfunn er klar over de pliktene og begrensningene som følger av personvernregelverket når personopplysninger behandles. Dette gjelder særlig i lys av at det kan være en ubalanse i maktforholdet mellom ledere av og medlemmer i et trossamfunn.

I januar 2023 fattet Datatilsynet vedtak om irettesettelse til Den norske kirke (DNK). Saken startet med en klage fra Human-Etisk Forbund (HEF) på vegne av åtte klagere. Bakgrunnen var at DNK samlet inn fødselsmeldingene til medlemmers barn fra Folkeregisteret i en og en halv måned etter at tillatelsen deres til å motta disse folkeregisteropplysningene opphørte. Vår konklusjon var at innsamlingen og den videre lagringen av fødselsmeldingene etter at tillatelsen opphørte, ikke hadde et gyldig rettslig grunnlag. I tillegg mente vi at det ikke ble gitt lett tilgjengelig informasjon om innsamlingen av fødselsmeldingene fra Folkeregisteret. HEF har klaget på reaksjonsformen, som de mener bør være strengere. Klagen er fortsatt under behandling.

Vi har i tillegg hatt ni andre klagesaker mot ulike trossamfunn til behandling i 2023. Åtte av disse pågår fortsatt.

I oktober ga vi også et høringssvar til forslag om endringer i trossamfunnloven knyttet til statsstøtteordningen. I høringssvaret fastholdt vi vårt standpunkt om at offentlige myndigheter prinsipielt ikke bør vite hvilke(t) tros- og livssynssamfunn innbyggerne er medlem av. Når offentlige myndigheter likevel behandler slike opplysninger, er det viktig at løsningen er vurdert grundig opp mot Den europeiske menneskerettskonvensjonen og personvernregelverket.