Årsmelding for 2014

Internasjonalt arbeid

Internasjonalt arbeid er viktig for Datatilsynet. Siden Norge ikke er medlem i EU, kan det være vanskelig å få innflytelse på EUs beslutningsprosesser. Datatilsynet deltar imidlertid i sentrale EU-organ både som observatør og som aktiv deltager.

Andre internasjonale samarbeidsarenaer er derfor også viktig for oss. I samarbeid med de andre nordiske datatilsynsmyndighetene diskuterer vi svært relevante problem­stillinger, da utfordringene treffer oss relativt likt både i tid og kultur. Andre globale arenaer hvor vi har full tilgang er også viktig for oss, slik som GPEN, den internasjonale personvern­konferansen og ikke minst Berlin-gruppen hvor vi har markert oss tydelig ved å holde i Big Data-arbeidet.

Vi føler slik at vi har reelle muligheter til å være med på å påvirke internasjonale prosesser som er av betydning for personvernet til norske borgere.

Artikkel 29-gruppen (Art. 29 Data Protection Working Party – WP 29)

Artikkel 29-gruppen er opprettet i henhold til personverndirektivet, og er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjons­sikkerhet. Her møter alle lederne for EU-landenes datatilsynsmyndigheter. Norge har observatørstatus som EØS-land, og møter med en representant for ledelsen i Datatilsynet.

Det er avholdt fem møter i Artikkel 29-gruppen i 2014. Datatilsynet har vært representert på alle møtene. Deltakelse i denne gruppen er en effektiv måte å holde oss orientert om hva som er på dagsorden om personvern i EU. Norske borgeres personvern utfordres ikke bare nasjonalt, så et internasjonalt fora som dette er viktig, og blir viktig også i fremtiden. Personvernet utfordres av globale aktører, og opplysninger om oss flyttes over landegrenser uten at vi vet om det i særlig grad. For å stå sterkere enn det vi klarer som en enkelt nasjon, er det viktig med lik praktisering av personvernregelverk i Europa, det vil si EU/EØS, og deltakelse i denne gruppen bidrar til at vi holder oss orientert om praksis i Europa.

Eksempler på temaer som har vært oppe til diskusjon gjennom året, er hvilke personvern­konsekvenser vi ser av «Internet of Things». Dette har også preget diskusjoner i forskjellige nasjonale fora.

«Passenger Name Record» (PNR) har dessuten vært tema på mange av møtene, og ble plutselig veldig aktuelt i starten av 2015, etter terroren i Paris.

Artikkel 29-gruppen har også hatt oppe til diskusjon andre konsekvenser av etterretnings­organisasjoners mulige innsyn i opplysninger som sendes mellom Europa og USA. Det er blant annet stilt spørsmål ved om Safe Harbour-avtalen i tilstrekkelig grad sikrer personvernet til borgere i Europa nå etter at Snowden-avsløringene viste at NSA kan få tak i opplysningene.

Det har videre vært sett på rutiner for behandling av personopplysninger internt i store internasjonale selskaper, og selskaper imellom. Artikkel 29-gruppens «Binding Coorporate Rules» (BCR) er et verktøy som skal sikre at personvernet ivaretas på en effektiv måte.

Et annet tema som har vært oppe en rekke ganger, er kontrollene med globale aktører som Facebook, Google, Microsoft og LinkedIn. Alle tilsynsmyndighetene som er representert i Artikkel 29-gruppen, har gjennom sin deltakelse hatt anledning til å stille spørsmål, og komme med sine synspunkter til disse kontrollene. Norge har også vært med i dette arbeidet, og da særlig knyttet til kontrollen med Facebook. Temaet har blant annet vært endringer i brukervilkårene, og hvilke konsekvenser det har hatt for brukernes personvern.

Artikkel 29-gruppen ga i 2014 en uttalelse som er sentral for forståelsen av personvern­direktivets begrep «legitimate interests» (noe som kan oversettes til «berettiget interesse» i personopplysnings­loven § 8 bokstav f), og som er et veldig aktuelt rettslig grunnlag for behandling av personopplysninger. Uttalelsen sikrer harmonisering internt i Europa, og vil være en viktig kilde for Datatilsynet.

Technology Subgroup

Technology Subgroup er en arbeidsgruppe som gjør saksforberedelser for Artikkel 29-gruppen. Disse forberedelsene danner grunnlag for mange av Artikkel 29-gruppens uttalelser. Datatilsynets deltakelse i arbeidsgruppen gir god mulighet til å fremme norske synspunkter innenfor spørsmål om bruk av teknologi og koblingen til juss og regelverk. I og med at Datatilsynet kun er observatør i selve Artikkel 29-gruppen er deltakelse i denne arbeidsgruppen svært verdifull, da vi deltar på lik linje med alle andre deltagere, også deltagere fra EU-land.

Berlin-gruppen

Dette er en gruppe som arbeider med personvern innen elektronisk kommunikasjon i utvidet forstand. I det vesentlige er det personvernmyndigheter som deltar i her. Gruppen avgir uttalelser (Working Papers) om aktuelle personvernspørsmål.

I 2013 påtok Datatilsynet seg ansvar for å skrive gruppens rapport om Big Data. Rapporten ble endelig godkjent etter siste møte i gruppen, våren 2014. Det var første gang Datatilsynet skrev en rapport for denne gruppen.

I tillegg vedtok gruppen et dokument om personvernutfordringer ved privateid utstyr i profesjonell bruk (Bring Your Own Device).

Den internasjonale personvernkonferansen

Datatilsynet deltok høsten 2014 med to delegater på den årlige internasjonale konferansen for personvernmyndigheter. På konferansen deltok over 80 personvern­myndigheter fra alle kontinenter. Denne internasjonale arenaen er mer enn en konferanse. Dette er stedet hvor verdens personvernmyndigheter samles og enes om overordnede prinsipper og retninger for personvernarbeidet, og det gjøres komité- og gruppearbeid mellom de faktiske konferansene.

På bakgrunn av rapporten fra Berlin-gruppen, skrev Datatilsynet et utkast til en resolusjon om hvordan personvernmyndighetene bør forholde seg til Big Data. Denne resolusjonen ble fremmet av det norske Datatilsynet, med støtte fra en rekke andre personvern­myndigheter. Resolusjonen ble vedtatt.

På konferansen ble det også tatt et stort skritt fremover i arbeidet med å legge til rette for internasjonalt samarbeid ved at «Resolution on enforcement cooperation» ble vedtatt. Videre ble resolusjonen «Privacy in the Digital Age» vedtatt. Dette er en støtteerklæring til FNs pågående arbeid med oppfølging av myndighetenes masseovervåking på tvers av landegrenser.

International Conference – Data Protection Enforcement

Datatilsynet deltok med én deltaker på den tredje samlingen om koordinert regelverks­håndhevelse for personvernmyndigheter. Dette er en oppfølging av et mandat fra den internasjonale personvernkonferansen. Samlingen er en oppfølging av resolusjonen om «International Enforcement Cooperation» fra den internasjonale personvernkonferansen i 2011. Denne samlingen er også en møtearena for GPEN-medlemmer.

Global Privacy Enforcement Network – GPEN

GPEN er et samarbeidsforum for personvern­myndigheter. Datatilsynet deltok på et møte i forumet i sammenheng med den internasjonale personvernkonferansen, samt i telefonkonferanser gjennom året. GPEN legger til rette for informasjonsutveksling, og det planlegges koordinerte aktiviteter som myndighetene kan velge å delta i. Det pågår en oppgradering av samhandlingsløsningen for GPEN-medlemmene, og Datatilsynet har bidratt økonomisk ved etableringen av denne.

Datatilsynets faglige bidrag til GPEN har i 2014 stort sett vært knyttet til «Internet Sweep Day». Gjennomføringen av sveipet hvor vi undersøkte personvernet i mobilapper var en GPEN-koordinert aktivitet, og er nærmere omtalt under kapittelet «Annen vesentlig aktivitet».

Schengen Coordination Group (SCG)

Datatilsynet er tilsynsmyndighet for den norske delen av Schengen Informations System (SIS), og vi er også deltakere i Schengen Coordination Group (SCG). Gruppen er sammensatt av representanter for alle Schengen-land sine tilsynsmyndigheter, og vi har deltatt på de to møtene som har vært avholdt i 2014. Gruppen utveksler informasjon om egne saker og felles problemstillinger i praktiseringen av reglene for SIS.

Datatilsynet stilte med én deltaker på det internasjonale inspeksjonsteamet, som våren 2014 førte tilsyn med Sveits sine forpliktelser etter Schengen-regelverket. Deltakelsen ga erfaring om hvordan slike kontroller faktisk skjer, en erfaring vi vil ha nytte av neste gang Norge skal kontrolleres.

Eurodac / Visumsamarbeid (VIS)

Datatilsynet har i 2014 deltatt med én deltager i møtene som arrangeres av henholdsvis Eurodac Supervision Coordination Group og Visa Information System Supervision Coordination Group (VIS SCG) i Brüssel.

Eurodac er et sentralt europeisk register over fingeravtrykk av asylsøkere, og brukes primært i asylsaker. I det siste har imidlertid også politimessige formål blitt inkludert i Eurodac-regelverket, og Europol kan under visse vilkår få tilgang til databasen.

VIS er et tilsvarende register som inneholder opplysninger om visumsøkere, og formålet med registeret er å forbedre gjennomføringen av felles visumpolitikk og konsulært samarbeid i Europa. Det er også et viktig mål å forenkle utvekslingen av opplysninger mellom medlemsstatene om søknader og avgjørelser om visum.

I disse gruppene møter samtlige ansvarlige datatilsynsmyndigheter etter de aktuelle forordningene, for å samkjøre oppfølgingen av sine kontrolloppgaver, og for å diskutere aktuelle problemstillinger.

Aktuelle temaer som har vært diskutert i 2014 er overføring av data til tredjeland, bruk av underleverandører ved behandling av visum­søknader, informasjonssikkerhet og data­angrep, felles opplegg for inspeksjoner og diverse spørreundersøkelser.

Samarbeid og felles tilsyn med de nordiske datatilsynsmyndighetene

I mai 2014 deltok Datatilsynet på et felles nordisk møte i Sverige. I løpet av samlingen var det noen felles presentasjoner, og det ble holdt parallelle møter for ledelsen, juristene og teknologene. Disse nordiske møtene er en fin anledning for å drøfte egne saker med de andre landenes representanter.

I 2013 ble det gjennomført noen felles nordiske kontroller, blant annet med banker som hadde kontorer i flere nordiske land. Disse kontrollene ble gjennomgått på møtet, og vi kom frem til at det er behov for videre arbeid med å gjennomføre felles kontroller. Dette både for å kunne møte problemstillinger som går over de nordiske grensene på en god måte, og for å høste kompetanse av hverandre.

Samarbeid med og bistand til Republikken Makedonia

Det norske utenriksdepartementet har gitt direkte finansiell støtte til Republikken Makedonia (FYROM), til utvikling av landets personvernmyndighet. Directorate for Personal Data Protection (DPDP) ble etablert i 2005, og består av 24 medarbeidere.

Fra vår side har vi forpliktet oss til å gi faglig støtte til makedonerne innen særlig to temaer; personvern i sosiale nettsamfunn og skytjenester, herunder bruk av databehandleravtaler.

I februar ble det holdt et større lanserings­arrangement i Skopje, hvor vår direktør holdt innlegg. I mars deltok to medarbeidere fra Datatilsynet og én fra Norsk senter for informasjonssikring (NorSIS), som nasjonale eksperter på kompetansebygging for medarbeiderne i DPDP. Det ble vist stor interesse for måten vi i Norge ikke bare arbeider for å forebygge nettkrenkelser, men også for hvordan vi gjennom Slettmeg-tjenesten prioriterer å gi rask og handlekraftig hjelp når skaden først har skjedd. Det var også hyggelig for oss å se at makedonerne hadde tatt i bruk materiale fra undervisningsopplegget vårt, Du Bestemmer.

I juni kom en delegasjon på syv medarbeidere fra DPDP på studiebesøk til Norge. Det var naturlig nok sosiale nettsamfunn og skytjenester som fikk mest oppmerksomhet, men vi var også innom mange andre temaer. Delegasjonen besøkte blant annet Kripos, Redaktørforeningen og Presseforbundet, NorSIS, Avdeling for forvaltningsinformatikk ved UIO og Direktoratet for forvaltning og IKT (Difi). Forbrukerrådet holdt også en presentasjon for delegasjonen.      

Denne delen av samarbeidsprosjektet ble så markert som avsluttet ved en konferanse i Makedonia i november. Begivenheten ble omfattet av stor interesse, blant annet med innslag i Makedonske tv- og radiokanaler.

Makedonia har sendt en ny søknad om økonomisk bistand fra norske myndigheter. I det nye prosjektet er det et mål å utvikle et nærmere samarbeid mellom personvern­myndighetene på Vest-Balkan, der de skal dra nytte av de positive erfaringene som er gjort i vårt samarbeidsprosjekt så langt. Dersom Utenriksdepartementet gir sin støtte til et videre prosjekt, vil vi fra Datatilsynet være positive til å fortsatt stille opp med vår kompetanse.