Årsrapport for 2020

Annen vesentlig aktivitet

Akkreditering og sertifiseringsordninger

Datatilsynet opprettet i 2020 en prosjektgruppe med mandat til å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og art. 40-43).

Arbeidet bestod av å lage en prosjektplan, delta på eksterne opplæringskurs om sertifisering og å gjennomføre intern opplæring for alle ansatte i temaene akkreditering og sertifisering. Høsten 2020 ble et utkast til kriterier for akkreditering av kontrollorganer for atferdsnormer (i henhold til artikkel 41) ferdigstilt og oversendt til Personvernrådet. Kriteriene forventes godkjent i løpet av våren 2021.

Vi har startet arbeidet med planlegging og utarbeidelse av kriterier for akkreditering av sertifiseringsorganer (i henhold til artikkel 42) som forventes ferdigstilt i 2021.

Arbeidsliv

Personvern i arbeidslivet utgjør en stor del av henvendelsene til Datatilsynet. Les mer om henvendelsene til veiledningstjenesten under «Kommunikasjon og veiledning».

I meldingsåret har vi mottatt om lag 75 klager som gjelder personvern i arbeidslivet. I tillegg har vi mange løpende saker til behandling.

Det som ofte kjennetegner klagesaker innen arbeidslivet er:

  • Påstanden om brudd på personvernreglene er del av et større sakskompleks,
    ofte med høyt konfliktnivå
  • Dokumentasjonen er omfattende
  • En eller flere av partene er bistått av advokat
  • Klagerne står i en særlig sårbar posisjon, hvor mange får helseplager

De to største kategoriene av klager er kontrolltiltak fra arbeidsgiverne og arbeidsgivernes håndtering av arbeidstakerens personalopplysninger. Disse hovedgrupperingene ser vi også hos veiledningstjenesten.

Kontrolltiltak

For å gjennomføre kontrolltiltak må arbeidsgiverne følge både reglene i arbeidsmiljøloven, forskriftene om e-post og kameraovervåking, samt de alminnelige reglene i personopplysningsloven fullt ut. Kontrolltiltak vi mottar mange spørsmål og klager om er blant annet:

  • Innsyn i arbeidstakerens e-post og annet elektroniske utstyr, videresending eller manglende sletting
  • Kameraovervåking på arbeidsplassen
  • Andre type kontrolltiltak slik som GPS-sporing, tidsmåling og logging

Brudd på reglene om kontrolltiltak blir ofte håndhevet med overtredelsesgebyr. For meldingsåret har Datatilsynet gitt to gebyr for innsyn i arbeidstakers e-post og ett for kameraovervåking på arbeidsplassen. I tillegg er det gitt varsel om overtredelsesgebyr i fem saker som gjelder innsyn eller manglende sletting av arbeidstakeres e-post, og i to saker som gjelder kameraovervåking på arbeidsplassen.

Ett gebyr som ble gitt i 2019 gjaldt ulovlig innhenting av kameraopptak om egne ansatte. Dette ble omgjort av Datatilsynet etter en klage. Personvernnemnda har dessuten behandlet en klage på et vedtak vi har gitt om innsyn i e-post. I denne saken var Personvernnemnda enig i vår vurdering om at innsynet var lovlig, fordi innsynet var begrunnet i hensynet til daglig drift og arbeidsgiveren hadde fulgt den forskriftsmessige framgangsmåten. 

Personalopplysninger

Arbeidsgiveres behandling av personalopplysninger utgjør en stor og økende del av klagesakene. Vi har inntrykk av at arbeidstakere i større grad bruker personvernregelverket aktivt for å ivareta sine rettigheter i arbeidsmiljøloven.

Typiske saker er:

  • Innsyn og sletting av personopplysninger i personalmappen
  • Innsyn i forbindelse med varslingssaker
  • Arbeidsgivers deling av personalopplysninger

I saker om personalopplysninger har vi ikke gitt overtredelsesgebyr i løpet av 2020. For arbeidsgivers utlevering av personalopplysninger har vi i én sak gitt varsel om gebyr.

Arbeidstakere som krever innsyn i personalmappen får som regel innsyn i de personopplysningene de har krav på gjennom saksbehandlingen, slik at formelle vedtak ikke blir nødvendig. Det er imidlertid også reell uenighet om hvilke opplysninger arbeidstakere har krav på å få. Dette gjelder særlig hvem som er kilden til personopplysningene.

Vi er i dialog med Arbeidstilsynet om forholdet mellom personvernreglene og reglene om varsling i arbeidsmiljøloven.

I meldingsåret har Personvernnemnda endret Datatilsynets vedtak i to saker som gjelder sletting av personopplysninger i personalmappe. I begge sakene kom Personvernnemnda til at arbeidstakeren hadde krav på å få slettet personopplysningene.

Korona og mulige hindringer mot å sende klage til Datatilsynet i arbeidslivssaker

Datatilsynets veiledningstjeneste har i meldingsåret fått flere henvendelser om til dels omfattende kontrolltiltak fra arbeidsgiverne, begrunnet med tiltak mot koronapandemien. Vi har til tross for dette ikke mottatt noen skriftlige klager på det samme. Vårt inntrykk er at selv om en klager er beskyttet mot gjengjeldelse i lovgivningen, er det fortsatt en høy terskel å varsle en tilsynsmyndighet om lovbrudd.

Bank, finans og kredittvurdering

Personopplysninger om økonomi innhentes, behandles og sammenstilles på stadig nye måter, og stadig flere aktører kommer til. Dette ser vi blant annet i fremveksten av nye betalingstjenester, automatiserte lånesøknader og robotrådgivere.

Bank- og finansbransjen behandler store mengder personopplysninger av privat karakter om mange. En sammenstilling av disse opplysningene kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen medfører derfor høy risiko, og kan få store konsekvenser for de registrerte.

I 2020 har vi gjennomført flere veiledningsmøter og holdt foredrag, og vi har hatt en observatørrolle i et av prosjektene i Finanstilsynets regulatoriske sandkasse for fintech. Vi har også hatt kontaktmøter med Finanstilsynet og Forbrukerrådet om utfordringer i bransjen, med særlig fokus på følgene av implementeringen av EUs reviderte betalingstjenestedirektiv (PSD2-direktivet) i norsk rett.

Hele 23 prosent av alle meldingene om brudd på personopplysnings-sikkerheten vi mottok i 2020, kom fra finanssektoren. I 2020 har finanssektoren dermed vært den sektoren som har stått for det nest høyeste antallet slike meldinger. Omtrent 43 prosent av meldingene gjaldt personopplysninger som ble sendt til feil mottaker. I andre tilfeller er det ofte manglende eller feil tilgangsstyring og utilsiktet publisering som er temaet.

Vi har også behandlet flere klagesaker fra privatpersoner i løpet av meldingsåret. Disse sakene har blant annet handlet om innsyn i personopplysninger, og om retting eller sletting av slike opplysninger.

I løpet av året har vi gitt flere høringsuttalelser om ulike lovforslag innen bank- og finanssektoren. Det gjelder blant annet forslag til endringer i hvitvaskingsregelverket, midlertidig forskrift til koronaloven om billettering på ferger og ny pengespillov.

Innføringen av PSD2-direktivet har åpnet for nye aktører som leverer betalingsinitierings- og kontoinformasjonstjenester. Vi forventet at dette ville bli et marked i stor vekst i meldingsåret. En kartlegging som vi utførte i 2020 viser imidlertid at markedet fortsatt er umodent og lite tilrettelagt for nye aktører som er interessert i å etablere en lønnsom kommersiell virksomhet. Vi vil følge nøye med på hvordan markedet utvikler seg videre. 

Koronapandemien har ført til en kraftig økning i bestillings- og betalingsløsninger for serverings­steder. For å minimere nærkontakt har de fleste serveringssteder tatt i bruk nye løsninger for kontaktløs bestilling og betaling, samt smittesporing. I løsninger som utvikles under sterkt tidspress, kan personvernet og informasjonssikkerheten ofte bli nedprioritert. Vi har derfor åpnet tilsyn mot Ordr, en av de prominente norske aktørene i dette markedet, for å undersøke hvordan personvernet er ivaretatt, øke bevisstheten i bransjen og ivareta de registrertes rettigheter.

Kredittopplysning

Datatilsynet mottar mange klager og veiledningshenvendelser fra enkeltpersoner som opplever å ha blitt kredittvurdert uten rettslig grunnlag. I 2020 mottok vi rundt 40 klager fra enkeltpersoner eller enkeltpersonforetak på kredittvurderinger.

En kredittvurdering er et resultat av sammenstilling av personopplysninger fra mange ulike kilder, og angir sannsynligheten for at en person vil kunne betale for seg. En kredittvurdering vil også vise detaljer om enkeltpersoners privatøkonomi slik som eventuelle betalingsanmerkninger, frivillige pantstillelser og gjeldsgrad. Personvernundersøkelsen 2019/2020 viste at finansielle opplysninger lå høyt på listen over hvilke opplysninger folk opplever som beskyttelsesverdige.

For at en kredittvurdering skal være lovlig, må virksomheten som innhenter vurderingen oppfylle kravene i personvernforordningen, herunder kravet til rettslig grunnlag. I mange av klagesakene vi behandler er ikke dette kravet oppfylt. I 2020 har vi varslet flere overtredelsesgebyr for kredittvurdering uten rettslig grunnlag, og vi fattet fire vedtak om pålegg og overtredelsesgebyr. De vedtatte gebyrene er på 150 000 kroner til én virksomhet, to virksomheter har fått gebyrer på 100 000 kroner hver, mens en siste virksomhet har fått et gebyr på 75 000 kroner. Enkelte av disse sakene er påklaget og vil bli behandlet av Personvernnemda.

Ny kredittopplysningslov med forskrift

Lov om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven) ble vedtatt i desember 2019. Loven skal suppleres med en forskrift om kredittopplysning. Forskriften spesifiserer blant annet lovens regler om hvilke type opplysninger som kan behandles i kreditt­opplysningsvirksomheter. 

I vår høringsuttalelse påpekte vi at det var en svakhet at forskriftsforslaget ikke presiserte hva som regnes som offentlig tilgjengelige kilder, ettersom denne manglende presiseringen kan gå ut over opplysningenes kvalitet og føre til flere klagesaker. Vi mente også at forskriften burde presisere at media ikke er en lovlig kilde for opplysninger om enkeltpersoner.

I januar 2021 er forskriften under behandling, og loven har ikke trådt i kraft.

Forskning og utvikling

Personvernfeltet favner fagdisipliner fra svært ulike felt. Det er også et felt hvor teknologiske, sosiale og politiske endringsprosesser skjer svært raskt. Det er derfor avgjørende at vi har jevnlig og nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, slik at vi settes i stand til å fange opp trender og utviklingstrekk på et tidlig stadium. I tillegg kan vi spille en proaktiv rolle ved å stimulere til forskning på personvern og at personvern bakes inn i eksisterende forskningsarbeid.

Datatilsynet har bidratt aktivt for å få med personvern i de forskningsprosjektene som ligger inne i EUs niende rammeprogram for forskning og innovasjon, Horisont Europa, som Norge nå er et fullverdig medlem av.

Vi har blant annet vært gjesteforelesere ved ulike universitet og høgskoler slik som UiO, UiB, UiA, NTNU, BI, HII og OsloMET for å bidra til at personvern kommer med i undervisningen.

Helse- og velferd

Vi har i 2020 arbeidet med flere problemstillinger knyttet til helse- og velferdssektoren. Gjennom arbeidet og prioriteringene våre, bidrar vi til en mer rettferdig maktbalanse mellom pasienter og brukere på den ene siden, og aktørene i sektoren på den andre siden. Arbeidet vårt bidrar også til økt forståelse for personvern hos enkeltindivider, noe som setter dem i bedre stand til å kunne ivareta sitt eget personvern i møte med sektoren.

Aktuelle spørsmål i meldingsåret har blant annet handlet om behandlingsansvar og informasjon til de registrerte. Pandemien har også medført raske endringer i måtene helsehjelp ytes på, for eksempel med digitale konsultasjoner.

Gjennom saksbehandlingen har vi sett utfordringer med ivaretakelse av personvernet til NAVs egne ansatte. I tillegg har NAV endret sin praksis med å gi innsyn i logger over oppslag, noe som også har medført innkommende saker for Datatilsynet.

Endringer i hjemler for tilgang til og utlevering av pasientopplysninger

Helse- og omsorgsdepartementet foreslo i 2020 lovendringer om utvidet tilgang til pasient­informasjon for å administrere helsehjelp, yte forsvarlig helsehjelp til annen pasient og hente ut helseopplysninger til undervisningsformål. Forslaget gikk også ut på å hjemle dispensasjon fra taushetsplikten for utlevering av pasientopplysninger til bruk i utvikling av beslutningsstøtteverktøy. Videre foreslo departementet å opprette et felles register for tolkede genetiske varianter på tvers av genetiske avdelinger.

Vi kommenterte at lovforslaget har betydelige konsekvenser for pasientenes personvern. Endrings­forslaget kom i kjølvannet av flere foreslåtte endringer i lovverket som utvider kretsen av helsepersonell med tilgang til pasientopplysninger for andre formål enn å yte helsehjelp til pasienten selv. Vi mente at opprettelsen av et register over tolkede genetiske varianter i for liten grad var regulert med hensyn til krav til samarbeid og organisering.

Øvrige aktiviteter

I meldingsåret har vi arbeidet med ulike løsninger for smittesporing og varsling som følge av pandemien. Arbeidet med Smittestopp-saken var betydelig våren 2020. Dette er omtalt nærmere under «Spesielt om koronasituasjonen».

Vi har også behandlet en stor mengde avvikssaker knyttet til konfidensialitetsbrudd for pasientopplysninger. En særlig utfordring vi ser er beskyttelse av hemmelige adresser. Et annet område hvor det oppstår mange avvik er i forbindelse med digitalisering av offentlige postjournaler, hvor det i en rekke saker har blitt offentliggjort taushetsbelagte opplysninger.

Idrett, forening og trossamfunn

Idrett

De aller fleste barn er innom barneidretten i løpet av sin oppvekst, og i norsk idrett blir det behandlet personopplysninger om store deler av befolkningen.

Datatilsynet varslet i desember 2020 et overtredelsesgebyr til Norges Idrettsforbund på 2,5 millioner kroner. Årsaken var at personopplysninger om 3,2 millioner nordmenn hadde blitt liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning. Nesten en halv million av disse var barn. Datatilsynet vurderte at Norges idrettsforbund ikke hadde iverksatt gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste med et slikt omfang av personopplysninger.

Videre har vi hatt to veiledningsmøter med Norges Fotballforbund i løpet av året. Et av møtene gjaldt publisering av personopplysninger i deres kanaler, og det andre var om tilkobling til FIFA Connect-programmet og eventuell utlevering av personopplysninger til tredjeland.

Borettslag, sameier og foreninger

Datatilsynet mottar jevnlig henvendelser og klager som gjelder borettslag og sameier, og pandemien har ført til nye utfordringer for denne typen sammenslutninger. Styrene har ikke nødvendigvis kjennskap til regelverkets anvendelsesområde, og vi ser ofte gjennom saksbehandlingen at de ikke ser hen til regelverket så lenge de ikke behandler opplysninger som oppfattes som sensitive.

Mange av sakene vi behandler gjelder kameraovervåking, men vi har også behandlet en sak hvor beboerne i et borettslag ble bedt om å svare på spørsmål om sin helse og mulige symptomer før deltakelse på årsmøtet. I tillegg har vi fattet et vedtak om irettesettelse mot et sameie for ulovlig publisering av opplysninger om deres beboere på internett.

Datatilsynet har gitt to høringsuttalelser om endringer i boliglovene i 2020. På bakgrunn av koronapandemien var det behov for å gjøre midlertidige endringer i boliglovene for blant annet å kunne avholde årsmøter for borettslag og sameier digitalt. Det ble derfor først sendt ut en hastehøring med hjemmel i koronaloven. I etterkant av denne runden ble det sendt ut forslag om permanente endringer.

Boligbyggelagene har i lengre tid etterspurt lovendringer som tillater flere elektroniske hjelpemidler i kommunikasjon med beboere og avvikling av årsmøter, og det er positivt at det er et ønske om å modernisere regelverket. I høringssvarene våre påpekte vi likevel at forholdet til personvernregelverket ikke var tilstrekkelig kommentert. Forslaget manglet klare henvisninger til personvernregelverket, og vi vurderte at for mye var overlatt til styrene selv å finne ut av.

Fagforeningstilhørighet og politisk oppfatning er særlige kategorier av personopplysninger etter personvernforordningen, og slike sammenslutningers behandling av opplysninger om deres medlemmer er derfor underlagt strengere regler enn mange andre typer sammenslutninger.

I 2020 har vi holdt foredrag for LO Favør om deres medlemsføring, hatt veiledningsmøte med en annen fagforening, og ellers veiledet i eller behandlet flere saker knyttet til fagforeninger og politiske organisasjoner.

Tros- og livssynssamfunn

Den nye trossamfunnsloven trådte i kraft 1. januar 2021, og i tilknytning til dette sendte Datatilsynet flere høringsuttalelser til Barne- og familiedepartementet i 2020.

Vi ga innspill til departementets forslag til forskrifter til loven. De regulerer blant annet medlemsregisterføring og rapportering av medlemmers fødselsnumre til staten for beregning av tilskudd, samt etablering av særskilt digital løsning for sistnevnte. Vårt syn var at flere av forslagene medførte betydelige konsekvenser for personvernet, og ikke var grundig nok vurdert opp mot personvernforordningen.

Videre ga vi innspill til en foreløpig administrativ utredning fra departementet om menneskerettslige og personvernrettslige spørsmål angående Den norske kirke og andre tros- og livssynssamfunn. Spørsmålet var om de skulle få hjemmel til å få utlevert taushetsbelagte opplysninger fra Folkeregisteret om medlemmers barn. I innspillet var vi negative til en slik tilgang, idet vi viste til at behovene som skulle begrunne tilgang for tros- og livssynssamfunn til taushetsbelagte opplysninger om medlemmers barn, ikke sto i forhold til personvernhensynene som talte imot.

I 2020 mottok Datatilsynet en klage fra Human-Etisk Forbund på Den norske kirke. Klagen gjaldt behandlingen av personopplysninger om mindreårige tilhørige som ble registrert basert på fødselsmeldinger som Den norske kirke mottok fra Folkeregisteret frem til oktober 2018. Datatilsynet har mottatt to redegjørelser fra Den norske kirke, og saken er fortsatt under behandling. Den norske kirke har bekreftet at personopplysningene til alle mindreårige tilhørige hvor foreldrene ikke har samtykket til behandlingen av personopplysninger, vil slettes innen 1. januar 2021 når kirkelovens tilhørighetsordning oppheves.

Strømming av arrangementer har fått en større aktualitet i løpet av året 2020, og dette gjelder også religiøse samlinger. I starten av året gjennomførte Datatilsynet et veiledningsmøte med en kirkelig aktør om strømming av gudstjenester. Religiøs tilhørighet er en særlig kategori personopplysning, og den behandlingsansvarlige må derfor grundig vurdere lovligheten og potensielle personvernfremmende tiltak før strømming av gudstjenester.

Datatilsynet fattet også et vedtak om irettesettelse overfor en misjonsforsamling for behandling av kameraopptak av et styremedlemmene deres. Opptakene ble oversendt fra en tredjepart som hevdet seg trakassert av vedkommende styremedlem, og opptakene ble gjennomgått av misjonsforsamlingen. Datatilsynet vurderte at det ikke var rettslig grunnlag for misjonsforsamlingens bruk av opptakene. Saken ble klaget inn til Personvernnemnda, hvor et flertall konkluderte med at det likevel var rettslig grunnlag for bruken av kameraopptakene. Datatilsynets vedtak om irettesettelse ble dermed opphevet.

Informasjonssamfunnstjenester og annonseindustrien («ad tech»)

I 2020 behandlet vi flere klager på «informasjonssamfunnstjenester», slik som on-line spill og diverse applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler personopplysninger om brukeren.

Det er ikke alltid enkelt å komme i kontakt med tilbydere av informasjonssamfunnstjenester da de kan ha hovedkontorer i USA eller andre steder i verden. Noen av klagene handlet om at enkeltpersoner ikke får svar på forespørsel om for eksempel innsyn i eller sletting av personopplysningene sine, eller at tilbyderen har avslått forespørselen. Det kan være utfordrende for oss å oppnå kontakt med disse tjenestetilbyderne, og saksbehandlingen blir derfor ekstra ressurs­krevende.

Vi har også behandlet saker som har rettet seg mot annonseindustrien («ad tech»), og har hatt et ekstra blikk på disse i meldingsåret. Annonseindustrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjepartsaktører (annonsører) for å tilby persontilpasset reklame.

Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å utøve reell kontroll over personopplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, samt mange berørte.

I 2020 klagde Forbrukerrådet det amerikanske selskapet Grindr LLC inn til Datatilsynet, fordi appen Grindr utleverer GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker til flere tredjepartsaktører. Saken har vært omfattende, og både jurister og teknologer har bidratt i saksbehandlingen. Vår foreløpige konklusjon er at Grindr trenger samtykke for å utlevere personopplysningene og at Grindr ikke har innhentet gyldige samtykker fra brukerne. I tillegg mener vi at det å være Grindr-bruker er en særlig kategori personopplysning som må beskyttes, fordi denne informasjonen sier noe om vedkommendes legning. På nyåret varslet vi Grindr om at vi ville ilegge selskapet et gebyr på 100 millioner norske kroner, og behandlingen av saken vil fortsette i 2021.

Forbrukerrådet klagde også inn fem tredjepartsselskaper for å ha mottatt og behandlet personopplysninger samlet inn fra Grindr-appen. Det har vært utfordrende å oppnå kontakt med selskapene som er hjemmehørende i USA. En av sakene hørte hjemme hos en annen tilsynsmyndighet, og de fire resterende sakene er under utredning.

Vi åpnet også sak mot Disqus Inc., et amerikansk selskap som tilbyr kommentarfeltløsninger, etter at NRK Beta avslørte at selskapet utleverte personopplysninger til en rekke tredjeparter uten at brukerne ble informert. Flere norske nettsider har benyttet løsningen, og vi jobber med å utrede saken.

Disse sakene har et internasjonalt tilsnitt ved at de retter seg mot utenlandske selskaper og det finnes berørte i flere EU/EØS-land. Vi må derfor alltid avklare om den enkelte saken kan behandles lokalt eller om den hører hjemme hos en annen datatilsynsmyndighet. Selv om vi har kunnet behandle flere av sakene lokalt, har vi likevel sørget for dialog med andre tilsynsmyndigheter i EU/EØS.

Justis

I justissektoren møter vi hensyn som taler for at staten skal kunne gjøre inngrep i enkeltpersoners rettssfære. Den enkeltes valgfrihet er gjerne begrenset, og behandlinger av personopplysninger skjer ofte uten den enkeltes medvirkning eller kunnskap. Det er derfor særlig viktig at tilsynsmyndighetene sikrer at folks rettigheter ivaretas innenfor denne sektoren.

Politiregisterloven og -forskriften regulerer politiets og påtalemyndighetens behandling av personopplysninger. SIS-loven og utlendingsloven har regler om informasjonssystemene som brukes i Schengen-samarbeidet. Datatilsynet har en sentral rolle som kontrollør av at regelverket om behandling av personopplysninger på disse områdene etterleves.

Lov om ny etterretningstjeneste

En sentral sak i 2020 gjaldt Forsvarsdepartementets forslag til ny lov om Etterretningstjenesten. Vi pekte på at lovforslaget la opp til overvåking av nordmenns kommunikasjon i så omfattende utstrekning at lovforslaget ikke burde gjennomføres. Etter vår vurdering, utgjorde de foreslåtte lovendringene et stort inngrep i enkeltindividets rett til privatliv, og vi pekte også på at det ville rokke ved vårt demokratiske fundament om lovendringene ble vedtatt. Særlig gjaldt dette den metoden som i høringsnotatet var omtalt som «tilrettelagt innhenting».

Tilrettelagt innhenting innebærer innhenting av elektronisk kommunikasjon som transporteres over den norske landegrensen. Selv om Etterretningstjenestens arbeid er rettet mot utenlandske trusler, vil tiltaket ramme de fleste brukere av telefoni og internett i Norge fordi norsk datatrafikk går inn og ut av landet. Dette skjer uavhengig av om kommunikasjonen er mellom personer som begge oppholder seg i Norge. Tiltaket innebærer derfor i praksis overvåking av oss alle.

Hovedformålet med denne innhentingen er at Etterretningstjenesten skal kunne gjøre søk i de lagrede dataene som er hentet inn. Lagring av metadata vil være den mest sentrale komponenten i den foreslåtte løsningen. Metadata inneholder blant annet informasjon slik som navn, dato, klokkeslett, geografisk plassering og IP-adresse. Metadata kan avsløre intime detaljer om en persons liv, særlig når de analyseres på en systematisk måte. Dermed vil det i realiteten dreie seg om en form for overvåking av store deler av landets befolkning, som etter Datatilsynets vurdering vil kunne være i strid med både Grunnloven og menneskerettighetene.

Ny forvaltningslov

Datatilsynet ga også en høringsuttalelse til Justis- og beredskapsdepartementets forslag om ny forvaltningslov. I høringen er det foreslått utvidet adgang til deling av informasjon mellom forvaltningsorganer. Informasjon skal kunne deles dersom mottakerorganet har saklig behov for informasjonen.

Vi mener at forslaget har en svakhet ved at avgiverorganet skal vurdere om mottakerorganet har behov for opplysningene. Videre mener vi at et saklig behov ikke er tilstrekkelig. Opplysningene må være nødvendige. Vi la vekt på vekt på at individets rettigheter må ivaretas, samt at den nye loven må fastsette grunnleggende prinsipper for deling av opplysninger og hvordan automatiserte systemer skal utformes.

Personvernombudsordningen

PVO.jpg

Vi har i Norge hatt personvernombud i 20 år (siden 2001). Med den nye personopplysningsloven er innholdet i personvernombudsrollen blitt betydelig styrket. Ombudsordningen ble samtidig gjort obligatorisk for de aller fleste statlige og kommunale virksomheter, og for en rekke private virksomheter og organisa­sjoner.

Personvernombudene er der det skjer, og det er ute i virksomhetene ivaretakelsen av personvernet i første rekke finner sted. Ombudene har sitt fokus rettet mot personvern, de skal bidra med kunnskap og råd, og de skal også si tydelig ifra overfor de behand­lings­­ansvarlige når det er nødvendig. De er slik å betrakte som hjørnesteiner i virksomhetenes etterlevelse av personvernlovgivningen.

Ved utgangen av 2020 var det registrert 1 341 personvernombud som representerte 1 891 virk­som­­heter. Differansen skyldes at enkelte er personvernombud for flere behandlings­ansvarlige.

Opplæring og nettverk

Datatilsynet tilbyr ikke lenger kurs eller opplæring av personvernombud i egen regi. Vi samarbeider imidlertid med ulike utdanningsaktører for å sikre at personvernombudene fortsatt har et godt utdanningstilbud om personvernlovgivningen. Blant andre har BI, Høgskolen i Innlandet og Oslo Met bygget opp egne deltidsstudier som gir studiekompetanse. Datatilsynet deltar med foredrag om enkeltemner på disse studiene. Også enkelte andre aktører tilbyr ulike kurs og seminarer rettet mot personvernombudene, hvor vi så langt mulig stiller opp.

Det er videre blitt etablert flere ulike nettverksforum for ombudene, gjerne sektorbaserte eller som regionale nettverk. Vi har prioritert å delta på samlinger i regi av slike nettverksgrupper. Aktiviteten i disse nettverkene synes å ha vært noe redusert i 2020.

Undersøkelse blant ombudene

På slutten av året gjennomførte vi i samarbeid med Opinion AS en kvantitativ spørreundersøkelse blant personvernombudene. Tema for undersøkelsen var hvordan disse ombudene, to og et halvt år etter at personvern­forordningen trådte i kraft, opplever sin arbeidshverdag og sine rammebetingelser. Dette sett både i relasjon til de behandlingsansvarlige, men også når det gjelder kontakten med Datatilsynet.

Tilbakemeldingene vi får fra denne undersøkelsen skal i første rekke benyttes som et kunnskaps­grunnlag for oss når det gjelder hvordan vi skal forholde oss til personvern­ombudene framover. Dernest skal også tilbakemeldingene fra person­vern­om­budene, benyttes i dialog med ombudene og representanter for de behandlingsansvarlige. Det vil vi gjøre gjennom publisering av funnene, deltakelse i ulike nettverks­samlinger for ombudene, og foredrag på konferanser og seminarer. Undersøkelsen vil bli fulgt opp i 2021.

Personvernundersøkelsen 2019/2020

For drøyt to år siden trådte den nye personvernforordningen i kraft i Norge. Regelverket ga norske borgere styrkede personvernrettigheter i en tid hvor stadig større deler av hverdagen, handlingene og kommunikasjonen vår blir digitalisert. Vinteren 2019/2020 gjennomførte vi derfor en undersøkelse blant befolkningen der vi ville se nærmere på om folk faktisk kjenner personvernrettighetene sine, hvordan de opplever flyten av personopplysninger på nett og tilliten deres til hvordan offentlige og private virksomheter bruker persondata.

Funnene ble lansert i august 2020 og avdekket flere bekymringsverdige utviklingstrekk:

  1. Utbredt følelse av mangel på kontroll og maktesløshet. Hele to av tre føler at de har liten kontroll og er maktesløse når det gjelder flyten av personopplysninger på internett. Over halvparten har unnlatt å bruke en tjeneste på grunn av usikkerhet knyttet til hvordan personopplysninger samles inn og blir brukt. De siste årene har flere fått øynene opp for hvor mye data som samles inn om oss når vi ferdes på internett, og at det er svært vanskelig å ha full kontroll. Svært mange opplever åpenbart dette kontrolltapet som ubehagelig.
  2. Nedkjølingseffekten er reell og må tas på alvor. Svært mange svarte at de endrer atferd eller unnlater å gjøre en rekke aktiviteter på grunn av usikkerhet knyttet til selskapenes bruk av deres personopplysninger. Halvparten av de spurte har avstått fra å delta i en debatt på nett som følge av denne usikkerheten. Én av tre har avstått fra å søke informasjon på internett og én av to har unnlatt å gjennomføre netthandel.
  3. Kjennskap til personvernforordningen har nær sammenheng med sosioøkonomisk status. To av tre kjenner til personvernforordningen og rettighetene som følger av den. Langt flere med høy utdannelse og inntekt innehar denne kunnskapen.
  4. Lav tillit til virksomheter bak sosiale medier og søkemotorer. Det er gjennomgående høy tillit til offentlige virksomheter, men svært lav tillit til selskapene bak sosiale medier, søkemotorer og meldingstjenester.
  5. Det er ikke ønske om å dele finansiell informasjon med andre aktører enn egen bank. Åtte av ti er skeptiske til å la andre aktører enn banken få tilgang til denne informasjonen.

Publisering på internett

Det siste året har Datatilsynet behandlet flere saker som i ulik grad har handlet om publisering av personopplysninger på internett. Flere av disse sakene er også omtalt andre steder i denne rapporten og har handlet om personopplysninger i offentlige postjournaler, videostrømming på nett, utenlandske nettsider som publiserer kontaktinformasjon hentet fra andre steder, samt sikkerhet knyttet til lagring av personopplysninger i nettskyen, informasjonsjonssamfunnstjenester, apper og andre digitale verktøy som benyttes i ulike sammenhenger slik som i skolen. Datatilsynet har også mottatt klager på pressens publisering av kredittvurderinger, noe som krever inngående vurderinger knyttet til ytrings- og informasjonsfriheten.

I løpet av 2020 har vi registrert elleve nye saker som gjelder sletting av søketreff hos søkemotorer. I tillegg har vi flere saker til behandling. I meldingsåret ble klagerne gitt medhold i fire slike saker. I to saker ble det gitt avslag, men disse er ikke endelig avgjort. I tillegg til de avsluttede sakene, fattet Personvernnemda vedtak i to tidligere saker. I den ene saken fikk klager delvis medhold, da nemnda kom til at det ene søketreffet skulle fjernes. I den andre saken fikk klager medhold i at søketreffet skulle fjernes. I denne typen saker må Datatilsynets saksbehandlere ofte gjøre grundige og komplekse vurderinger, hvor hensynet til ytringsfriheten veies opp mot individets rett til personvern og privatliv.

Datatilsynet varslet i 2020 et overtredelsesgebyr på 150 000 kroner til et kraftselskap. Selskapet hadde et panorerende webkamera på taket av bygget sitt som direktesendte video fra Rognan sentrum på YouTube. Kvaliteten på bildene var slik at bilnummer og detaljer i ansikt normalt ikke kunne tydes. Datatilsynet vurderte imidlertid at personer som ble fanget opp av overvåkingen var identifiserbare ut i fra andre forhold og direktesendingen manglet rettslig grunnlag i personvernforordningen.

Telekom

Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til for eksempel å sende ut SMS-varslinger til de som befinner seg der. Under pandemien har bruken av disse tjenestene økt, og de er benyttet i nye sammenhenger. Helsemyndighetene har brukt varslingen til å informere reisende om økende smitte i regioner som kan medføre reisekarantene, og kommuner har benyttet den til å informere om hytteforbud eller minne om smittevernstiltak.

I meldingsåret har vi derfor bedt om redegjørelser fra flere aktører som benytter eller er involvert i leveringen av lokasjonsbasert SMS-varsling. Hensikten har vært å undersøke hvordan disse tjenestene behandler personopplysninger og hvordan ansvaret etter personvernregelverket er fordelt mellom partene. Dette gjør vi for å sikre at personvernregelverket blir fulgt og at de registrertes rettigheter blir ivaretatt. Sakene er fortsatt under behandling, og Datatilsynet har dialog med Nasjonal Kommunikasjonsmyndighet (Nkom) i forbindelse med behandlingen.

Datatilsynet fattet i 2020 et vedtak om irettesettelse mot Telenor Norge for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding. En sikkerhetsfeil hadde gjort det mulig for uvedkommende å få tilgang til mobilsvarene til om lag 1,3 millioner kunder ved å bruke såkalte «spoofing-tjenester». Nkom hadde tidligere fattet vedtak om overtredelsesgebyr på 1.5 millioner for brudd på ekomloven for det samme forholdet som Datatilsynet vurderte. For at Telenor Norge AS ikke skulle bli straffet to ganger for samme handling, ga vi en irettesettelse.

Videre har vi samarbeidet med Nkom om nummeropplysningsbransjen, og vil fortsette dette arbeidet i 2021. Vi har mottatt flere klager på nummeropplysningsaktører, og varslet blant annet selskapet Gul Index et pålegg om utbedring av informasjonen til de registrerte. Selskapet valgte imidlertid å avslutte sin nummeropplysningsvirksomhet etter varselet vårt.

Datatilsynet mottar også jevnlig henvendelser om informasjonskapsler (cookies). Plassering av informasjonskapsler reguleres av ekomregelverket, som Nkom fører tilsyn med. Henvendelsene har bakgrunn i at flere antar at dette er Datatilsynets myndighetsområde. Det er ulik forståelse av innholdet i samtykkekravet etter norsk praksis og europeisk rett. De som henvender seg til Datatilsynet uttrykker at de mener aktører bryter loven og at de ikke føler at personvernet blir ivaretatt.