Årsrapport for 2020

Vurdering av framtidsutsikter

Vi vil her trekke frem og kommentere tre spesifikke områder - den spesielle koronasituasjonen, digitale plattformer og kunstig intelligens.

Spesielt om koronasituasjonen

2020 vil for alltid gå inn i historien som koronaåret. Vi mener denne situasjonen har vist at det er personvernrelaterte problemstillinger på nær sagt alle samfunnsområdet. Selv om virkningene av pandemien trolig vil avta i 2021, er det viktig å ta videre den personvernmessige læringen, både positivt og negativt, som vi har hatt.

På den positive siden har samfunnet gått gjennom en hurtigdigitalisering. Dette har skapt utfordringer, men mange virksomheter, ansatte (for eksempel lærere) og privatpersoner har måttet ta rev i seilene og bli mer digitale. Dersom dette følges opp på en riktig måte, kan det digitale løftet blir varig, og positivt.

På den negative siden har vi, litt tabloid sagt, erfart at hastverk er lastverk, og at flere prosesser kunne fått et annet utfall dersom man hadde brukt mer tid på utredning og ekstern kunnskaps­innhenting. Vi har sett mange eksempler på mangelfulle utredninger, for dårlig lederforankring og uklare ansvarsforhold. Det er viktig å ta lærdom av dette, og bruke erfaringene fra dette året til å gå gjennom egne rutiner og prosesser for å komme ut bedre rustet til å behandle persondata.

Digitale plattformer

De siste årene har de digitale plattformene styrket sin stilling. Alle norske borgere og virksomheter vil i løpet av én dag ha brukt tjenester fra de amerikanske teknologigigantene. Grunnen er flerdelt, men skyldes i hovedsak at de tilbyr gode og nyttig tjenester, og at de enorme datamengdene de har, langt på vei skaper en faktisk monopolsituasjon. At de fleste selskapene i stor grad kjøper opp konkurrenter bidrar til å forsterke dette bildet.

Plattformene skaper store personvernmessige utfordringer. Sannsynligvis kan ingen gi et sikkert svar på hva for eksempel Facebook samler inn av data, og hva de bruker dataene til. Enda mer usikkert er det hva disse datamengdene vil bli brukt til i fremtiden, særlig nå som kunstig intelligens virkelig er i ferd med å ta av.

Dette utfordrer oss som tilsynsmyndighet. Selskapene har nærmest ubegrensete ressurser. De er hjemhørende i USA, mens det europeiske kontoret ligger utenfor Norge, i mange tilfeller i Irland. Ytterligere utfordrende er at den enkelte sak, for eksempel om utforming av et samtykke eller plassering av en informasjonskapsel, ikke endrer det store bildet: at selve forretningsmodellen ikke er bærekraftig fra et personvernperspektiv. Det er prinsipielt bekymringsfullt at ett selskap kan påvirke utfallet av et valg, eller at en privat ansatt enkeltperson kan stengte USAs tidligere president ute fra et sosialt nettsamfunn.

Plattformer bygges også i offentlig sektor, for eksempel helseanalyseplattformen. Her samles det enorme datamengder, om alle norske borgere, som kan brukes av mange til et stort antall formål.

Sommeren 2020 falt den såkalte «Schems II-avgjørelsen» i EU-domstolen. Den dreide seg om hvorvidt Facebook lovlig kunne overføre data fra Facebook Europa til Facebook USA. Bakgrunnen for søksmålet var påstanden fra personvernaktivisten Max Schrems om at personopplysningene ikke var godt nok beskyttet i USA. Domstolen kom til at de vide hjemlene til amerikansk etterretning, samt det faktum at europeiske borgere ikke har god nok mulighet til å overprøve beslutninger om overvåking, i sum er så inngripende at den de facto innførte et forbud mot overføring av data til USA. Dette er en svært inngripende avgjørelse som også gjør vår håndheving av regelverket med den nødvendige fleksibilitet, krevende.

Hvordan jobber vi med dette?

De store, internasjonale plattformene er utfordrende. De ikke er underlagt vår jurisdiksjon, samtidig utfordrer de norske borgere kraftig. Det er en fare for at vi blir ansett som «tannlause», og kan oppleve kritikk for ikke å gjøre noe. Det blir viktig for oss å jobbe aktivt i det europeiske Personvernrådet, samarbeide med de landene som har jurisdiksjon og ikke minst gi god informasjon via våre kanaler.

Vi har også etablert et godt samarbeid med Forbrukertilsynet og Konkurransetilsynet i erkjennelsen av at vi møter de samme utfordringene, om enn fra ulik innfallsvinkel. Vi har også tatt opp store saker mot internasjonale selskaper som ikke er lokalisert i EU.

Når det gjelder de statlige plattformene, er bildet mer nyansert. Å samle store datamengder som beskrevet over, er utfordrende både i et personvern- og sikkerhetsperspektiv. Her har imidlertid Datatilsynet full jurisdiksjon. Vi har hatt god dialog med de som utvikler plattformene, og vil gjennom tilsyn og kontroll med regelverket kunne ivareta borgernes rettigheter etter personvernforordningen.

Det som er omtalt som Schrems-dommen over, har mange aspekter i seg: Handel mellom USA og EU (og Norge), tolkning av rettsavgjørelser, internasjonale avtaler og, mener noen, politikk. Dommen, og tolkningen til Personvernrådet, peker på noe vesentlig, nemlig at norsk alenegang i praksis ikke er mulig. Vår posisjon har hele tiden vært å følge de tolkningene rådet kommer fram til.

Det er viktig at personvernmyndighetene opptrer samlet og står skulder ved skulder, men samtidig begrenser det vårt nasjonale handlingsrom. Uten å gå inn på om vi er enige eller uenige i dommen og tolkningen av den, begrenser den vår mulighet til å praktisere regelverket, i den grad vi er uenig i fortolkningen. I dette ligger kjernen, og dilemmaet, i et forpliktende internasjonalt samarbeid. Etter vår oppfatning har det ikke vært eksemplifisert så godt som i denne saken tidligere. Vi har opplevd stor usikkerhet hos mange næringsdrivende og deres organisasjoner, og det har vært vanskelig å gi klare svar, og i enda større grad vanskelig å finne løsninger på de utfordringene som dommen skaper.

Kunstig intelligens

Kunstig intelligens (KI) er ikke lenger science fiction, men en realitet. Mange avgjørelser som i dag treffes både av private og offentlige etater, inneholder større eller mindre bruk av kunstig intelligens. Oppsiden er åpenbar: Det kan gi raskere, mer treffsikre avgjørelser, og vi kan ved hjelp av kunstig intelligens få fram kunnskap som mennesket med sin begrensede kapasitet, ikke kan.

Nedsiden er like åpenbart. KI gjør det vanskelig å etterprøve avgjørelse, ettersom vi ikke vet hva slags data som er benyttet i avgjørelsen. Viktige personvernprinsipper slik som retten til en forklaring og retten til å bli glemt, utfordres. Dersom KI får utvikle seg fritt og uregulert, ville det åpenbart gjort det krevende, for ikke å si umulig, å løse samfunnsansvaret vårt.

Hvordan jobber vi med dette?

Vårt samfunnsoppdrag kan og må løses ved hjelp av ulike virkemidler. I meldingsåret etablerte Datatilsynet en regulatorisk sandkasse for kunstig intelligens. Vi har også behandlet de første sakene der beslutninger er truffet ved hjelp av elementer av kunstig intelligens. I løpet av 2021 vil vi utvikle en tilsynsmetodikk for kontroll med slike systemer. EU-parlamentet vedtok i oktober 2020 et rammeverk for etiske aspekter ved kunstig intelligens, roboter og lignende teknologier, der det blant annet foreslås å opprette egne algoritmetilsyn (som vi etter vår oppfatning et stykke på vei allerede er).

Vi er relativt tidlig ute, og mange viktig prosesser er på gang. Vi har dessuten høy kompetanse på KI, en sandkasse, samt et sterkt analysemiljø.