Akkreditering og sertifiseringsordninger
Datatilsynet opprettet i 2020 en prosjektgruppe med mandat til å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og art 40-43).
Dette prosjektet er delt i tre faser:
- Fase 1: Utarbeidelse og formell godkjenning av kriterier for akkreditering av kontrollorganer for atferdsnormer
- Fase 2: Utarbeidelse og formell godkjenning av tilleggskriterier for akkreditering av sertifiseringsorganer, samt etablere en mekanisme for akkreditering
- Fase 3: Utrede spørsmål knyttet til etableringen av en prosess for å evaluere og godkjenne kriterier for sertifiseringsordninger
Arbeidet har vært høyt prioritert i 2021 og prosjektets første fase er ferdigstilt. Prosjektet er nå i avslutningen av fase 2 og arbeidet med fase 3 er påbegynt.
Vi deltar aktivt på møter i Personvernrådets undergrupper hvor spørsmål knyttet til etablering av kriterier for sertifiseringsordninger er tema, og da særlig hvordan prosessen for godkjennelse av sertifiseringsordninger blir mest mulig konsistent gjennom hele EØS-området. Vi kommer til å fortsette denne deltakelsen i 2022. Prosjektet gjennomfører også jevnlig intern opplæring, og har ansvaret for overføring av oppgaver videre ut i organisasjonen.
Arbeidsliv
Når arbeidstakere er på jobb legger de igjen mange personopplysninger i form av digitale spor, og det er ikke fritt frem for arbeidsgiver å bruke alle disse. Retten til personvern gjelder også når man er på jobb, og alle arbeidsgivere må holde seg innenfor grensene i personvernregelverket når de behandler personopplysninger om sine ansatte.
Datatilsynet får mange henvendelser om personvern i arbeidslivet hvert år. I løpet av 2021 mottok vi 77 klager som gjaldt behandling av personopplysninger på arbeidsplassen. I tillegg har vi mange løpende saker til behandling, og vi får mange forespørsler om veiledningsmøter og foredrag knyttet til personvern i arbeidslivet.
Klagesakene innenfor dette temaet er ofte preget av høyt konfliktnivå og stor kompleksitet. En eller flere av partene har ofte advokatbistand, og mange av klagerne står i en særlig sårbar posisjon. Typiske problemstillinger i klagene er innsyn i arbeidstakeres e-post og annet elektronisk utstyr, videresending av e-post eller manglende sletting av opplysninger, personopplysninger i personalmapper, kameraovervåking på arbeidsplassen, og andre typer kontrolltiltak som GPS-sporing, tidsmåling og logging.
Spørsmål knyttet til personvern i arbeidslivet utgjør dessuten en stor andel av henvendelsene til veiledningstjenesten. Hele 28 prosent av de registrerte henvendelsene til denne tjenesten gjaldt spørsmål om personvern i arbeidslivet, slik som innsyn, overvåking og kontroll.
Korrigerende tiltak
Når en arbeidsgiver bryter personvernforordningen, reagerer Datatilsynet ofte med overtredelsesgebyr eller andre korrigerende tiltak. Vi ser alvorlig på disse sakene, og en av grunnene er det ujevne styrkeforholdet mellom arbeidsgiver og arbeidstaker.
I 2021 har vi fattet vedtak om overtredelsesgebyr i syv saker. Seks av sakene er endelig avgjort, mens en sak er påklaget og venter på klagebehandling. Tre av overtredelsesgebyrene gjaldt ulovlig innsyn i eller videresending av ansattes e-post, to saker gjaldt ulovlig kameraovervåking på arbeidsplassen, mens de to øvrige gjaldt annen ulovlig behandling av personopplysninger om ansatte. Vi fattet videre vedtak om irettesettelse i fire saker. I tillegg sendte vi ut tre varsel om overtredelsesgebyr, og femten varsel om andre korrigerende tiltak til arbeidsgivere. Slike korrigerende tiltak er for eksempel pålegg om å utarbeide skriftlige rutiner, pålegg om å gi innsyn, eller pålegg om å slette personopplysninger.
Personvernnemnda behandlet til sammen tre vedtak fra Datatilsynet som gjaldt personvern i arbeidslivet. En av sakene gjaldt kameraovervåking på arbeidsplassen, og nemnda var enig med Datatilsynet i at overvåkingen var ulovlig. Samtidig mente den at lovbruddet ikke skulle sanksjoneres med overtredelsesgebyr.
Veiledningsarbeid og myndighetskontakt
Datatilsynet ser på veiledningsarbeid og kontakt med aktørene i arbeidslivet som svært viktige verktøy for å sikre personvernet i arbeidslivet. Det er helt avgjørende at arbeidsgivere kjenner til de rettslige rammene for driften deres, og at arbeidstakerne er klare over hvilke rettigheter de har for eksempel i møte med kontrolltiltak fra arbeidsgivers side.
Personvern i arbeidslivet og reglene i arbeidsmiljøloven, som håndheves av Arbeidstilsynet, henger tett sammen. Vi har derfor hatt jevnlig kontakt med Arbeidstilsynet og andre relevante aktører i arbeidslivet gjennom meldingsåret for å utveksle erfaringer og bidra til hverandres arbeid. Vi jobber for tiden med å oppdatere veiledningen om personvern i arbeidslivet på nettsidene våre, og har i den forbindelsen også vært i dialog med Arbeidstilsynet for å utveksle erfaringer.
På bakgrunn av dialog med Arbeidstilsynet laget vi også et eget veiledningsskriv om reglene for kameraovervåking i virksomhet rettet mot overnattings- og serveringsbransjen, og som Arbeidstilsynet nå deler ut på stedlige tilsyn der det er relevant. Veiledningsskrivet er også publisert på nettsiden vår. Vi har dessuten opprettet en tipskanal, der Arbeidstilsynet har mulighet til å tipse Datatilsynet om potensielt ulovlig kameraovervåking som de finner på sine stedlige tilsyn.
Vi har gjennomført flere veiledningsmøter og foredrag om personvern i arbeidslivet, blant annet for LOs sommerpatrulje om kameraovervåking på arbeidsplassen, og for Arkivverket om bruken av kunstig intelligens i ansattes e-postkasser for å identifisere hva som er journal- og arkivverdig.
Veiledningstjenesten vår har som nevnt fått flere henvendelser om til dels omfattende kontrolltiltak fra arbeidsgiverne, blant annet begrunnet med tiltak mot koronapandemien. Vi har til tross for dette ikke mottatt noen skriftlige klager på det samme. Vårt inntrykk er at selv om en klager er beskyttet mot gjengjeldelse i lovgivningen, er det fortsatt en høy terskel å varsle en tilsynsmyndighet om lovbrudd. Les mer om henvendelsene til veiledningstjenesten under «Kommunikasjon og veiledning».
Bank, finans og kredittvurdering
Personopplysninger om økonomi innhentes, behandles og sammenstilles på stadig nye måter, og nye og flere aktører kommer til. Dette ses blant annet i utviklingen av nye betalingstjenester, automatiserte lånesøknader og robotrådgivere.
Bank- og finansbransjen behandler store mengder personopplysninger av privat karakter om svært mange. En sammenstilling av disse kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen har derfor høy risiko, og kan få store konsekvenser for de registrerte.
Så mye som 22 prosent av meldingene vi mottok om brudd på personopplysningssikkerheten i 2021, kom fra finanssektoren. Dette er dermed den sektoren som sendte nest flest avviksmeldinger til Datatilsynet i løpet av året. De fleste av disse meldingene gjaldt personopplysninger sendt til feil mottaker. Andre gjennomgangstema for meldingene fra denne bransjen var manglende eller feil i tilgangsstyring og utilsiktet publisering.
I 2021 har vi gjennomført flere veiledningsmøter og holdt foredrag for aktører innen bank og finans. Vi har også hatt kontaktmøter med Finans Norge og Finanstilsynet om utfordringer i bransjen, og gitt en høringsuttalelse om bakgrunnsundersøkelser ved Norges Bank. I tillegg har vi gitt en uttalelse til Barne- og familiedepartementet om personvernkonsekvenser ved en eventuell utvidelse av gjeldsinformasjonsordningen.
Vi følger særlig med på hvordan innføringen av PSD2 har åpnet for nye og flere aktører innen betalingsinitierings- og kontoinformasjonstjenester. Dialogen med Finanstilsynet er særlig nyttig her.
Kredittopplysninger
Datatilsynet mottar mange klager og veiledningshenvendelser fra enkeltpersoner som opplever å ha blitt kredittvurdert uten rettslig grunnlag. I 2021 mottok vi omlag 24 klager fra enkeltpersoner eller enkeltpersonforetak på kredittvurderinger. Det er 16 færre enn i 2020.
En kredittvurdering er et resultat av sammenstilling av personopplysninger fra mange ulike kilder, og angir sannsynligheten for at en person vil kunne betale for seg. En kredittvurdering vil også vise detaljer om enkeltpersoners privatøkonomi slik som eventuelle betalingsanmerkninger, frivillige pantstillelser og gjeldsgrad. Personvernundersøkelsen 2019/2020 viste at finansielle opplysninger lå høyt på listen over hvilke opplysninger folk opplever som beskyttelsesverdige.
For at en kredittvurdering skal være lovlig må virksomheten som henter inn kredittvurderingen oppfylle kravene i personvernforordningen, herunder kravet til rettslig grunnlag. I mange av klagesakene vi behandler er ikke dette kravet oppfylt. I 2021 har vi varslet flere overtredelsesgebyr for kredittvurdering uten rettslig grunnlag, og fattet tre vedtak om pålegg og overtredelsesgebyr. De vedtatte gebyrene er på henholdsvis 100 000 og 125 000 kroner, mens en siste virksomhet har fått et gebyr på 1 million kroner. Et av vedtakene er påklaget og er til klagebehandling i Personvernnemnda.
Facebook-rapport
I 2021 skrev vi en rapport der vi gjorde en selvstendig og grundig personvernkonsekvensvurdering av om Datatilsynet skulle opprette en egen side på Facebook. Vi konkludert med at Datatilsynet ikke skal benytte Facebook til egen kommunikasjonsvirksomhet. Vi mener at behandlingen av personopplysninger gjennom å ha en side på Facebook, medfører en for høy risiko for brukernes rettigheter og friheter. Vi vurderer det slik at vi ved en eventuell tilstedeværelse på denne plattformen, ikke ville ha oppfylt alle vilkårene i personvernforordningens artikkel 26 om felles behandlingsansvar, da vi vurderer avtalen mellom Facebook og Datatilsynet som mangelfull.
Rapporten ble offentliggjort i september, og i etterkant har debatten gått høyt i både offentlig og privat sektor. Vi har deltatt på en rekke seminarer og informasjonsmøter om temaet. Vi ser at bevisstheten rundt bruk av sosiale medier og personvern har økt, og flere aktører både i offentlig og privat sektor har valgt å slette sin tilstedeværelse på Facebook eller har startet opp med sine egne risikovurderinger av tilstedeværelsen på plattformen.
Helse- og velferd
Vi har i 2021 arbeidet med flere problemstillinger knyttet til helse- og velferdssektoren. Gjennom arbeidet og prioriteringene våre, bidrar vi til en mer rettferdig maktbalanse mellom pasienter og brukere på den ene siden, og aktørene i sektoren på den andre siden. Arbeidet vårt bidrar også til økt forståelse for personvern hos enkeltindivider, noe som setter dem i bedre stand til å kunne ivareta sitt eget personvern i møte med sektoren.
Vi ga blant annet overtredelsesgebyr til Statens pensjonskasse for innhenting og manglende sletting av overskuddsinformasjon i form av inntektsopplysninger om uføretrygd. Saken er påklaget til Personvernnemnda, men foreløpig ikke avgjort. Det ble også gitt vedtak om overtredelsesgebyr til Sykehuset Østfold HF og St. Olavs hospital HF for mangelfull tilgangsstyring ved lagring av pasientopplysninger uten informasjonssikring.
Vi har dessuten mottatt en stor mengde avvikssaker knyttet til konfidensialitetsbrudd i forbindelse med behandling av pasientopplysninger. En særlig utfordring er beskyttelse av hemmelige adresser. Et annet område hvor det oppstår mange avvik, er i forbindelse med digitalisering av offentlige postjournaler, hvor det i en rekke saker har blitt offentliggjort taushetsbelagte opplysninger.
Datatilsynet har også fulgt den nye helseforvaltningen og nye felles nasjonale løsninger for behandling av helseopplysninger tett. Dette har vi blant annet gjort ved å vurdere ny funksjonalitet i Nasjonal Kjernejournal gjennom skriftlig og muntlig innhenting av informasjon. Vi har også hatt flere møter om Helseanalyseplattformen og Helseplattformen. Disse prosessene er langsiktige oppgaver for oss, og må også følges i tiden fremover.
Relevante høringsuttalelser
I høringsinnspillene våre til forslag om innføring av koronasertifikat, sa vi at et koronasertifikat kan være et forholdsmessig tiltak, ettersom det åpner for lettelser der alternativet er å opprettholde strenge smitteverntiltak. Vi presiserte imidlertid at bruk av koronasertifikat likevel vil kunne utfordre sentrale menneskerettigheter, slik som retten til privatliv, bevegelses- og forsamlingsfrihet og vern mot diskriminering. Selv om bruk av koronasertifikat er frivillig, vil frivilligheten i noen tilfeller ikke oppleves som reell. Samtykke fra den enkelte vil derfor neppe være et egnet rettslig grunnlag.
Vi leverte også en omfattende uttalelse til forslaget om Nasjonal digital samhandling til beste for pasienter og brukere. Innspillene våre gjaldt utfordringen ved en nasjonal digital infrastruktur knyttet til spørsmålet om tilgangsstyring, og virksomhetenes praktiske mulighet til å følge opp denne delen av dataansvaret. Vi pekte også på mangler i utredningene av personvernkonsekvenser, men var positive til den foreslåtte reguleringen av og plasseringen av dataansvaret. Forslaget åpnet også for å kunne ta i bruk automatiserte beslutninger i «lite inngripende» tilfeller. Vi presiserte at dette kan være vanskelig å vurdere, og anbefalte at det derfor bør fastsettes mer konkrete kriterier for hvilke typer avgjørelser forslaget åpner for.
Det ble også sendt inn et omfattende innspill til Helse- og omsorgsdepartementets forslag til forskrift om løsning for tilgjengeliggjøring av helsedata. Overordnet stilte vi oss positive til at departementet i større grad enn tidligere anerkjente og redegjorde for personvernkonsekvensene av forslaget. Innspillene våre ellers gjaldt forslagets ivaretakelse av personvernforordningens grunnprinsipper, ivaretakelsen av den registrertes rettigheter, dataansvaret for plattformen, vilkår for tilgjengeliggjøring, informasjonssikkerhet og overføring til utlandet.
Øvrige aktiviteter
En stor del av de bruddene på personopplysningssikkerheten som meldes inn, er knyttet til manglende rutiner eller etterlevelse av eksisterende rutiner ved publisering gjennom offentlig elektronisk postjournal (OEP). Mange av disse bruddene gjelder manglende etterkontroll. Det vil si at man ikke gjør noen kvalitetskontroll på dokumenter etter et de er lagt ut. Slike brudd rubriseres gjerne under betegnelsen «menneskelig svikt». En slik betegnelse forutsetter imidlertid at det finnes rutiner om slik kontroll, noe som ikke alltid er tilfellet. Vi har i 2021 behandlet en rekke slike hendelser, gjennom avvik, klager og tips. Flere av tilfellene har blitt sanksjonert med overtredelsesgebyr.
Gjennom saksbehandlingen vår har vi sett utfordringer ved ivaretakelse av personvernet til NAVs egne ansatte. I tillegg har NAV endret praksisen med å gi innsyn i logger over oppslag, noe som også har medført flere saker inn til oss. NAV meldte også inn et avvik knyttet til nettsiden arbeidsplassen.no. Dette er en nettside som publiserer CVen til personer som mottar dagpenger, og det har vært et vilkår for å motta ytelsen at opplysningene blir publisert. Saken er ikke ferdigbehandlet.
På barnevernsområdet har vi mottatt et stadig økende antall saker, og de fleste er i form av klager fra de registrerte. Vi fant det derfor hensiktsmessig å lage veiledning til de registrerte om hvilken bistand Datatilsynet kan gi, og i hvilke tilfeller det er andre instanser som er de rette til å vurdere klager om for eksempel krav om retting eller sletting til. Mange tilfeller reguleres av arkivlovgivningen og ikke av personvernregelverket. I forbindelse med dette arbeidet, har vi vært i kontakt med statsforvalterne og det planlegges et felles møte mellom Datatilsynet og relevante deltakere fra de forskjellige statsforvalterne i landet. Dette er en problemstilling som er felles for også andre offentlige myndigheter, og vi planlegger derfor å generalisere veiledningen vår.
Idrett, forening og trossamfunn
Idrett
De aller fleste barn er innom barneidretten i løpet av oppveksten, og i norsk idrett blir det dermed behandlet personopplysninger om store deler av befolkningen.
Vi vedtok i mai 2021 å gi overtredelsesgebyr til Norges Idrettsforbund på 1,25 millioner kroner. Årsaken var at personopplysninger om 3,2 millioner nordmenn hadde blitt liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning. Nesten en halv million av disse var barn. Vi vurderte at Norges idrettsforbund ikke hadde iverksatt gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste med et slikt omfang av personopplysninger.
Datatilsynet har dessuten i løpet av året hatt to veiledningsmøter med Norges Idrettsforbund og selskapet MyGame om en plattform for strømming av norsk breddeidrett.
Trossamfunn
I trossamfunn kan det være en ubalanse i maktforholdet mellom ledere og menige medlemmer. I 2021 åpnet vi sak mot trossamfunnet Jehovas vitner, etter at vi hadde mottatt to klager og flere tips. Henvendelsene vi mottok beskrev at Jehovas vitner lagrer personopplysninger ulovlig, at det ikke gis fullt innsyn i personopplysninger, eller at personopplysninger ikke slettes i tråd med personvernregelverket. Enkelte sier at de har vært involvert i såkalte «dømmende utvalg» av ulike årsaker, ofte i forbindelse med seksuelle forhold. Det skal ha blitt tatt notater under disse utvalgene, og personene var bekymret for at det blir lagret opplysninger om deres seksuelle forhold. Datatilsynet har sendt trossamfunnet krav om redegjørelser i to omganger, og har mottatt svar på disse. Klagesakene er fortsatt under behandling.
I juni 2021 varslet vi om irettesettelse til Den norske kirke (DNK). Saken startet med en klage fra Human-Etisk Forbund på vegne av åtte klagere i 2020. Bakgrunnen for varselet var at DNK samlet inn fødselsmeldingene til medlemmers barn fra Folkeregisteret i en og en halv måned etter at tillatelsen deres til å motta disse folkeregisteropplysningene opphørte. Vår foreløpige konklusjon er at innsamlingen og den videre lagringen av fødselsmeldingene etter at tillatelsen opphørte, ikke hadde gyldig rettslig grunnlag. I tillegg har vi konkludert med at det ikke ble gitt lett tilgjengelig informasjon om innsamlingen av fødselsmeldingene fra Folkeregisteret.
Informasjonssamfunnstjenester og annonseindustrien («ad tech»)
I 2021 behandlet vi flere klager på «informasjonssamfunnstjenester», slik som for eksempel applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler store mengder personopplysninger om brukerne.
Vi har særlig behandlet saker som har rettet seg mot annonseindustrien («ad tech»), og har hatt dette som et prioritert område i meldingsåret. Annonseindustrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjepartsaktører (annonsører) for å tilby persontilpasset reklame.
Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å ha reell kontroll over opplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, og mange berørte.
Grindr
I desember 2021 vedtok Datatilsynet et rekordstort overtredelsesgebyr på 65 millioner kroner til det amerikanske selskapet Grindr LLC. Grindr er en dating-app som retter seg mot homofile og bifile menn, transpersoner og skeive. Saken ble åpnet i 2020 etter at Forbrukerrådet klagde selskapet inn til oss fordi appen utleverte GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker til flere tredjepartsaktører. Datatilsynet varslet vedtak om overtredelsesgebyr i saken i januar 2021, og mottok både Grindr og Forbrukerrådet sine kommentarer til varselet.
Vår konklusjon i vedtaket er at Grindr i perioden fra juli 2018 til april 2020 delte personopplysninger til tredjepartsaktører for persontilpasset markedsføring, uten gyldig rettslig grunnlag, ettersom de såkalte samtykkene selskapet samlet inn ikke oppfylte kravene i personvernforordningen. Vi konkluderte også med at selskapet ulovlig delte opplysninger om brukernes seksuelle orientering, fordi opplysninger om at noen er Grindr-bruker sterkt indikerer at de tilhører en seksuell minoritet. Saken har vært svært omfattende, og har fått stor oppmerksomhet. Grindr har frist til å klage på vedtaket frem til 14. februar 2022.
Disqus
Vi varslet i mai 2021 om et overtredelsesgebyr på 25 millioner kroner mot Disqus Inc., et amerikansk selskap som blant annet tilbyr kommentarfeltløsninger. Datatilsynet ble kjent med saken i desember 2019, etter at NRK Beta avslørte at selskapet sporet, profilerte og utleverte personopplysninger om besøkende på norske nettsider som benyttet deres kommentarfeltløsninger – uten at brukerne ble informert om det.
Vår foreløpige konklusjon er at Disqus ikke hadde rettslig grunnlag for disse behandlingene av personopplysninger, og at selskapet ikke oppfylte informasjonskravene i personvernforordningen. Vi har også foreløpig konkludert med at selskapet har brutt ansvarlighetsprinsippet ved å feilaktig legge til grunn at personvernforordningen ikke gjaldt for fysiske personer i Norge. Vi har mottatt selskapets kommentarer til varselet, og vil fatte et endelig vedtak i saken i 2022.
Overvåkingsbasert markedsføring
I 2021 har vi tatt til orde for et europeisk forbud mot overvåkingsbasert markedsføring, og bedt regjeringen spille dette inn til EU i forbindelse med den pågående lovgivningsprosessen knyttet til Digital Services Act (DSA). Vi har sammen med Forbrukerrådet og Amnesty gått ut i media og hatt møter med politikere om dette standpunktet. Vi mener teknologigigantenes forretningsmodell og omfattende kommersielle overvåking, er i strid med grunnleggende menneskerettigheter, forbrukerrettigheter og rett til personvern. Et forbud mot overvåkingsbasert markedsføring vil være et viktig virkemiddel for å begrense disse virksomhetenes makt.
Store deler av personopplysningene som samles inn om norske internettbrukere og brukes i annonseindustrien, samles inn gjennom cookies og andre sporingsteknologier som reguleres av ekomloven. Arbeidet vi har gjort med cookies og høringen om ny ekomlov (les mer under «Telekom»), henger derfor tett sammen med arbeidet vårt med annonseindustrien.
MyHeritage
Datatilsynet opprettet i 2020 en sak mot gentestingsselskapet MyHeritage, basert på en oversendt rapport fra Forbrukerrådet. Forbrukerrådet fremhevet i sin rapport flere forhold som problematiske. Det var særlig forhold knyttet til informasjonen som blir presentert for brukerne av tjenesten, blant annet dokumentenes lengde, et uklart språk og et uklart forhold mellom norsk og engelsk versjon.
På bakgrunn i rapporten sendte vi i 2021 et krav om redegjørelse til selskapet. Vi har mottatt svar, men saken er fortsatt under behandling.
Justis
I justissektoren møter vi hensyn som taler for at staten skal kunne gjøre inngrep i enkeltpersoners rettssfære. Den enkeltes valgfrihet er gjerne begrenset, og behandlinger av personopplysninger skjer ofte uten den enkeltes medvirkning eller kunnskap. Det er derfor særlig viktig at tilsynsmyndighetene sikrer at folks rettigheter ivaretas innenfor denne sektoren.
Politiregisterloven og -forskriften regulerer politiets og påtalemyndighetens behandling av personopplysninger. SIS-loven og utlendingsloven har regler om informasjonssystemene som brukes i Schengen-samarbeidet. Datatilsynet har en sentral rolle som kontrollør av at regelverket om behandling av personopplysninger på disse områdene etterleves.
Vi har arbeidet aktivt med analyse av rettsutviklingen fra EU-domstolen og Den europeiske menneskerettsdomstolen (EMD) på området, samt skrevet flere større høringsuttalelser. Det har vært foreslått flere nye overvåkingstiltak, blant annet lagring av IP-adresser og flypassasjerinformasjon, og vi har uttalt oss om samarbeid om arbeidslivskriminalitet, påvirkningsoperasjoner og PSTs innhenting fra åpne kilder. Vi har fokusert på å formidle personvernets betydning for den enkelte og for samfunnet som helhet, og hvilke negative effekter overvåkingen kan medføre. I tråd med rettsutviklingen har det blitt lagt vekt på målretting av tiltak og gode kontrollmekanismer.
Tilsyn mot Kriminalomsorgen
I 2021 gjennomførte vi et tilsyn mot Kriminalomsorgsdirektoratet. Tema for kontrollen var fordeling av ansvar for behandling av personopplysninger i den samlede etaten, i tillegg til etterlevelse av internkontrollplikten. Kontrollrapporten er under arbeid. Dette tilsynet er planlagt fulgt opp gjennom verifiseringstilsyn med enkelte enheter, men dette måtte utsettes noe grunnet koronasituasjonen på tidspunktet gjennomføringen var planlagt.
Kundedata og infosikkerhet
Vi har behandlet to saker som gjelder personopplysningssikkerhet i kundeklubber og fordelsprogram i meldingsåret. Bakgrunnen var at medlemmene har kunnet registrere andres kontonummer på medlemsprofilen, og dermed skaffe seg tilgang til andres handlehistorikk. Fordelsprogrammene har ikke hatt en løsning for å verifisere at den som registrerer bankkontoen, også er den som er innehaver av kontoen. Det har vært innrettet slik at ved å registrere bankkonto, får man tilgang til hva, når og hvor man har handlet.
Rema sendte først inn melding om brudd på personopplysningssikkerheten da de ble kjent med et tilfelle der en Æ-bruker hadde registrert en annen person sitt kontonummer på egen bruker. Rema begrenset informasjonsmengden som var tilgjengelig for Æ-brukerne fram til en verifikasjonsløsning ble implementert. Vi avsluttet saken overfor Rema uten sanksjoner.
I 2016 gjennomførte vi et tilsyn med Trumf. Vi tydeliggjorde da hvor sentralt det var å sikre verifikasjon av kontoinnehaveren, slik at ingen Trumf-medlemmer kunne registrere andre personers bankkonto og på denne måten få tilgang til personopplysninger om dem. I etterkant av avviksmeldingen fra Rema, åpnet vi et nytt tilsyn mot Trumf. Det viste seg at en verifikasjonsløsning hadde ikke blitt innført, og Trumf har fått et varsel om overtredelsesgebyr på 5 millioner kroner. Saken er ikke endelig avgjort og gebyret er ikke endelig, men Trumf har nå sikret at kontonummer verifiseres før man får tilgang til handlehistorikken.
Personvernombudsordningen
I Norge har vi hatt en personvernombudsordning siden innføringen av den forrige personopplysningsloven i 2001. Personvernforordningen gjorde imidlertid utnevning av personvernombud obligatorisk for nesten alle offentlige etater og for mange virksomheter i privat sektor. Fra 2018 har derfor antallet oppnevnte ombud, vokst kraftig. Ved utgangen av 2021 var det registrert 1 420 personvernombud som representerte 1 992 virksomheter. Differansen skyldes at enkelte er personvernombud for flere behandlingsansvarlige.
Personvernombudene er sentrale i virksomhetenes etterlevelse av personvernlovgivningen. Ombudets rolle er å gi råd om hvordan personverninteressene ivaretas kan best mulig, men også å kontrollere etterlevelsen av regelverket. I tillegg skal de være kontaktpunkt for de registrerte og overfor Datatilsynet. Personvernombudene skal ha en uavhengig rolle, og de skal ikke instrueres fra ledelsens side om sine prioriteringer eller utførelsen av oppgavene.
Dette innebærer at det å være personvernombud kan oppleves som en ensom, og tidvis også krevende rolle internt i virksomheten. For å beholde engasjementet og oppleve seg trygge i rolleutøvelsen, har ombudene derfor behov for å få motivasjon og støtte gjennom nettverksbygging med andre ombud – i tillegg til å sparre med Datatilsynet. Aller viktigst er dog at virksomhetens øverste ledelse viser forståelse og anerkjennelse for personvernombudets arbeid.
Gjennomførte aktiviteter
De siste årene har Datatilsynet valgt å ikke prioritere å holde kurs eller opplæring av personvernombudene i egen regi. Vi har imidlertid samarbeidet med blant annet Høgskolen i Innlandet, BI og Oslo Met, som har bygget opp deltidsstudier med studiekompetanse innen personvern. Vi har stilt opp med foredragsholdere hos alle disse i 2021.
Foreningen Personvernombudene
Foreningen Personvernombudene holdt sitt aller første medlemsmøte på den internasjonale personverndagen, 28. januar 2021, hvor tema var nettopp personvernombudsrollen og hva den innebærer av muligheter og utfordringer. Foreningen har etter dette holdt månedlige møter for sine hittil 350 medlemmer som kommer fra både offentlig og privat sektor. Vi har prioritert å stille opp med foredragsholder på alle medlemsmøtene ettersom vi er opptatt av å holde nær og god kontakt med foreningen, i tillegg til andre sektorvise og regionale nettverk for ombudene. Disse utgjør viktige kanaler for å formidle personvernfaglig kompetanse og bidra til motivasjon i ombudenes arbeid. Ikke minst er dette også viktige arenaer for å få konstruktive tilbakemeldinger om hvordan vi og vårt arbeid, rutiner og regelverksforståelse blir oppfattet, forstått og akseptert i norske virksomheter.
Personvernombudsundersøkelsen
I desember 2020 gjennomførte vi i samarbeid med Opinion AS, en kvantitativ spørreundersøkelse blant personvernombudene. Tema for undersøkelsen var hvordan ombudene, to og et halvt år etter at personvernforordningen trådte i kraft, opplever arbeidshverdagen og rammebetingelsene sine. Dette sett både i relasjon til de behandlingsansvarlige og når det gjelder kontakten med Datatilsynet. Rapporten fra undersøkelsen ble ferdigstilt i løpet av våren, og publisert i september 2021.
I undesøkelsen svarte halvparten av personvernombudene at de det siste året hadde brukt 20 prosent stilling eller mindre på dette arbeidet. Elleve prosent meldte at de i realiteten ikke hadde brukt noen tid i det hele tatt på PVO-rollen. Nær hvert tredje ombud opplever at de ikke får satt av tilstrekkelig med tid til ombudsrollen, og at ledelsen i liten, eller svært liten grad viser interesse for deres arbeid. Bare halvparten av ombudene svarte at de gjennomfører faste møter med ledelsen.
Strategi for personvernombudsordningen
Basert på disse, og mange andre tilbakemeldinger fra personvernombudene, har vi utarbeidet en strategi for hvordan vi fra Datatilsynets side kan benytte ordningen som et mer aktivt virkemiddel, med mål om bedre personvernetterlevelse i norske virksomheter. Denne strategien vil implementeres i 2022. Det skal gjennomføres tiltak rettet både mot ombudene, behandlingsansvarlige virksomheter og de registrerte. Dette skal bidra til at personvernombudene opprettholder eller bygger mer motivasjon for arbeidet, og at ledelsen i virksomhetene i større grad blir bevisst sitt ansvar for å gi ombudene riktige rammebetingelser.
Datatilsynet har en egen kontaktperson for personvernombudene og virksomheter som har spørsmål om selve ombudsordningen. Vedkommende har brukt i underkant av 20 prosent av stillingen på å jobbe spesifikt med denne ordningen. I tillegg bruker tilsynet noe ressurser gjennom veiledningstjenesten og i forbindelse med foredragsvirksomhet.
Siden personvernforordningen så uttrykkelig legger ansvaret for etterlevelse på virksomhetene selv, har vi nedskalert den direkte ressursinnsatsen mot personvernombudene de siste årene. Undersøkelsen som ble gjennomført viser også at ombudene er godt fornøyd med både Datatilsynets nettsider og kontakten med veiledningstjenesten og personvernombudskoordinatoren.
Publisering på internett
Saker som gjelder publisering av personopplysninger på internett, havner ofte i spenn mellom de registrertes rett til beskyttelse av sine personopplysninger og allmennhetens ytring- og informasjonsfrihet. Vi mottar jevnlig saker der disse to rettighetene må veies opp mot hverandre.
Legelisten
I 2021 avgjorde Høyesterett (sak HR-2021-2403-A) at nettstedet legelisten.no har et gyldig rettslig grunnlag for publiseringen av anonyme vurderinger om helsepersonell som navngis på siden uten noen generell reservasjonsadgang. Nettsiden ble først klaget inn til Datatilsynet, og i 2017 fattet vi vedtak om at helsepersonell må gis reservasjonsrett for å bedre ivareta personvernet deres. Legelisten klaget saken inn til Personvernnemnda, som kom til en annen konklusjon. Legeforeningen gikk da til søksmål for å få omgjort vedtaket.
Høyesterett drøftet de samme vilkårene og vurderingstemaene som Datatilsynet ved vurderingen av behandlingsgrunnlaget. I vurderingen sin vektla imidlertid Høyesterett allmenhetens rett til informasjon tyngre enn hva vi hadde gjort i vurderingen vår. Saken fikk sin endelige konklusjon med denne avgjørelsen.
Shinigami Eyes
Vi mottok i 2021 en klage fra en privatperson mot nettlesertillegget «Shinigami Eyes». Dette tillegget markerer det som skal være «trans-vennlige» brukernavn på ulike nettsteder med én farge, mens det som skal være «trans-fiendtlige» brukernavn med en annen farge. Vi har vurdert klagen og varslet et forbud mot behandlingen av personopplysninger i «Shinigami Eyes», for brudd på kravet til rettslig grunnlag og manglende informasjon til de registrerte. Saken har skapt mye medieoppmerksomhet både nasjonalt og internasjonalt.
Babyverden
I 2021 ferdigstilte vi en sak mot nettsiden babyverden.no. Bakgrunnen for saken var en klage fra en person som tidligere hadde vært registrert som bruker på forumet til nettsiden, og som ønsket å få slettet innlegg fra forumet. Innleggene inneholdt personlig informasjon om klageren og klagerens familieliv, inkludert fotografier av klagerens barn.
Vi kom til at publiseringen av innleggene ikke utelukkende var journalistiske, og at personvernregelverket dermed kom til anvendelse. Videre kom vi til at interesseavveiningen mellom retten til beskyttelse av egne personopplysninger og ytrings- og informasjonsfriheten, falt i klagerens favør. Vi konkluderte derfor med at innleggene måtte slettes. Saken er prinsipielt viktig og illustrerer en situasjon der deler av en nettside ikke utelukkende hadde et journalistisk formål.
Sletting av søketreff i saksbehandlingen
Vi mottok 14 saker om sletting av søketreff i løpet av året. Ved overgangen til det nye året, har vi 22 saker som ikke er ferdigbehandlet og som handler om sletting av søketreff. To av sakene ble oversendt til Personvernnemda, som opprettholdt vår avgjørelse i begge sakene. Vurderingene i disse sakene kan være utfordrende, og krever at vi vekter den registrertes rett til vern av sine personopplysninger opp mot allmennhetens behov og interesse for informasjon.
Veiledning
Høsten 2021 publiserte vi veiledning om strømming av kultur- og idrettsarrangementer for barn. Vi har også jobbet med å oppdatere informasjonen om sletting av søketreff fra søkemotorer. Dette er gjort for å fange opp den nåværende rettstilstanden som følge av de siste rettsavgjørelsene på området fra EU-domstolen, og vil publiseres i 2022.
Schrems II – overføring til tredjeland
Den 16. juli 2020 ble den såkalte Schrems II-dommen avsagt i EU-domstolen. Denne dommen ugyldiggjorde EU-kommisjonens adekvansbeslutning som tillot overføring av personopplysninger til en rekke amerikanske virksomheter i henhold til Privacy Shield-rammeverket. Dessuten stilte EU-domstolen opp strenge vilkår for lovlig overføring av personopplysninger ut av EØS. Disse vilkårene innebærer at hver enkelt virksomhet må foreta kompliserte vurderinger, og mange overføringer vil være ulovlige fordi de ikke kan oppfylle vilkårene.
Dette har naturlig nok skapt store utfordringer for norske virksomheter, siden de i stor grad er avhengig av særlig amerikanske tjenester. Spesielt for små og mellomstore virksomheter kan det være krevende å sikre tilstrekkelige økonomiske og faglige ressurser til å sikre etterlevelse med Schrems II-dommen.
I 2021 utarbeidet vi ny veiledning i reglene for overføring av personopplysninger til tredjeland til nettsidene våre, basert på anbefalingene til Personvernrådet. Vi har dessuten stilt som foredragsholder på en rekke arrangementer og konferanser for å informere om dette.
Vi behandlet ved årsskiftet tre klagesaker om Schrems II-problemstillinger, nærmere bestemt overføring av personopplysninger til USA i kontekst av Google Analytics og Facebooks påloggingsverktøy. Klagene ble fremmet av personvernorganisasjonen Noyb. Siden alle EØS-land har mottatt tilsvarende klager, koordineres klagebehandlingen i en ad hoc-arbeidsgruppe i regi av Personvernrådet.
I 2021 ble det gitt et overtredelsesgebyr på 5 millioner kroner til bomselskapet Ferde på Vestlandet. Gebyret ble gitt etter at selskapet benyttet en underleverandør i Kina til manuell avlesning av bilskilt uten at det forelå databehandleravtale og overføringsgrunnlag, og uten at det var gjennomført risikovurdering av informasjonssikkerheten.
Telekom
Vi mottar jevnlig henvendelser om informasjonskapsler (cookies). Plasseringen av slike informasjonskapsler og bruken av tilsvarende teknologi for å spore brukere, benyttes til å kartlegge store deler av aktiviteten vår på nett. Denne formen for sporing reguleres i lov om elektronisk kommunikasjon (ekomloven), som Nasjonal kommunikasjonsmyndighet (Nkom) fører tilsyn med.
Datatilsynet har ikke mulighet til å kontrollere den opprinnelige plasseringen av informasjonskapsler, men vi kan kontrollere hvordan de innsamlede personopplysningene benyttes i etterkant. I høringen om forslag til ny ekomlov, ny ekomforskrift og endringer i nummerforskriften, leverte vi en felles høringsuttalelse sammen med Forbrukertilsynet. Uttalelsen rettet seg spesifikt mot reguleringen av informasjonskapsler og samtykkekravet for plasseringen av informasjonskapsler. Vi understreket at den foreslåtte endringen etter vår mening ikke ivaretar personvernforordningens krav til samtykke, at ordlyden bør henvise direkte til personvernforordningens definisjon av samtykke, og at Datatilsynet også bør få tilsynskompetanse for bestemmelsen.
Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til å sende ut SMS-varslinger til de som befinner seg der. Under pandemien har bruken av disse tjenestene økt, og de er benyttet i nye sammenhenger. I 2021 har vi fortsatt arbeidet vi startet på i 2020, og vi har jobbet med veiledning om temaet. Vi har fått innspill fra Nkom i dette arbeidet, og veiledningen vil ferdigstilles i 2022. Vi har også gitt innspill til regelverket for befolkningsvarsling i forbindelse med høring om ny ekomlov.
Videre har vi samarbeidet med Nkom om nummeropplysningsbransjen, og hatt flere saksbehandlermøter om dette temaet. I møtene har vi sett på hvordan ekomregelverket og personvernregelverket utfyller hverandre når det gjelder nummeropplysningsvirksomhet. Vi har også deltatt på nummeropplysningsforum etter invitasjon fra Nkom, hvor teletilbyderne og representanter for nummeropplysningsvirksomhetene samles. Videre har vi hatt et veiledningsmøte med Telenor, Telia og Ice om utlevering av nummeropplysningsinformasjon, og vi har gitt innspill om regelverket for nummeropplysningsvirksomhet i høringen til ny ekomlov.
Vi har også hatt ytterligere samarbeid med Nkom, blant annet to direktørmøter og to overordnede saksbehandlermøter. Vi har samarbeidet om avvikssaker på telekom-området hvor begge tilsynene mottok avviksmeldinger om de samme hendelsene.
Høsten 2021 satte vi dessuten i gang med et 5G-prosjekt som vil undersøke potensielle personvernspørsmål knyttet til utbyggingen av 5G-nettverket nærmere. Prosjektet vil levere en rapport med funnene i løpet av 2022.
Østre Toten-saken
Østre Toten kommune fikk i 2021 et overtredelsesgebyr på 4 millioner kroner. Kommunen ble også pålagt å implementere et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet.
Bakgrunnen for saken var at Østre Toten kommune i januar 2021 ble utsatt for et alvorlig dataangrep. Angrepet var særlig alvorlig fordi det rammet en betydelig del av kommunens data, kontrollen over personopplysningene ble fullstendig tapt og opplysninger om kommunens innbyggere og ansatte ble delt på det mørke nettet i ukjent omfang. Vi vurderte i etterkant at det var store og grunnleggende mangler ved Østre Toten kommunes personopplysningssikkerhet. Manglene knyttet seg både til logg og logganalyse, sikring av backup og manglende tofaktorautentisering eller tilsvarende sikkerhetstiltak.
Som følge av dataangrepet, har kommunen måttet bruke store summer på å gjenopprette et fungerende IT-system og sørge for tilfredsstillende informasjonssikkerhet. Kommunen har også gjort et omfattende arbeid opp mot tilsynsmyndigheter, politi og innbyggere/ansatte etter at avviket ble oppdaget. Uten disse forholdene, ville overtredelsesgebyret blitt satt vesentlig høyere.
I løpet av meldingsåret, har Datatilsynet gitt 26 overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Dette innebærer en dobling sammenlignet med 2020.
Forordningen stiller krav til at brudd på personopplysningssikkerheten relatert til konfidensialitet, integritet og tilgjengelighet skal meldes inn til Datatilsynet. I 2021 mottok vi 2 255 slike avviksmeldinger. Det vil si et gjennomsnitt på i underkant av 190 avviksmeldinger per måned.
I 2021 har vi som berørt tilsynsmyndighet kommet med innsigelser i tre saker som gjelder store, internasjonale teknologiselskaper. Det kan føre til at de ledende tilsynsmyndighetene blir avskåret fra å fatte vedtak i tråd med sitt utkast til avgjørelse. I så fall må de enten følge innsigelsen eller saken må tas opp til behandling i Personvernrådet.
Ved utgangen av 2021 var det 4 761 som abonnerte på det ordinære nyhetsbrevet vårt, og vi opplever en jevn økning i antall abonnenter. I tillegg hadde vi 227 abonnenter på «Sandkassebrevet», som tar for seg nyheter fra den regulatoriske sandkassen vår for kunstig intelligens. Vi hadde også en julekalender i desember, med 816 abonnenter gjennom adventstiden.
Vi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og det er jevn pågang og interesse fra disse. Vi legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2021.
Eksterne forespørsler vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder, og selvfølgelig kapasitet. I 2021 har mange av foredragene vært digitale grunnet smittevern.
Statistikken viser at 42 prosent av de som tar kontakt med veiledningstjenesten, er representanter for virksomheter, mens 51 prosent er privatpersoner. Det nye regelverket begynner å bli godt implementert i flere virksomheter, men mange arbeider fortsatt med å etterlevelse i praksis som følge av overgangen til det nye regelverket.