PDF-versjon av mandatet er tilgjengelig her.
Pressemelding om mandatet er tilgjengelig her.
Mandat for Personvernkommisjonen:
1. Bakgrunn
Regjeringen har i sin politiske plattform (Granavolden-plattformen) bestemt at den vil «Sette ned en personvernkommisjon for å vurdere personvernets stilling i Norge. Denne skal blant annet se på personvern i justissektoren, og hvordan personvernet kan sikres ved økt bruk av digitale løsninger, herunder rettighetene til brukere av sosiale medier.» Det følger videre av plattformen at «Regjeringen legger til grunn at personvernet er grunnlovsfestet, at enhver har rett til privatliv og at staten har et ansvar for å sikre vern om den personlige integriteten. Presset mot personvernet blir sterkere som følge av økt bruk av digitale løsninger og internett. Regjeringen vil stille strenge krav til sikker lagring og behandling av personopplysninger, både fra private og offentlige aktører.»
Det følger videre av anmodningsvedtak 588 (2017-2018) at: «Stortinget ber regjeringa sjå til at mandatet til den varsla personvernkommisjonen inkluderer eit særleg oppdrag om å vurdere stoda for personvernet til barn, og å kome med tiltak for å styrke dette.»
I 2012 startet EU arbeidet med et nytt generelt regelverk om vern av personopplysninger, og i mai 2018 trådte personvernforordningen (GDPR) i kraft i EUs medlemsstater. Forordningen er gjennomført i Norge ved personopplysningsloven 15. juni 2018. Et viktig hensyn i det nye personvernregelverket er harmonisering av regelverket i hele EØS-området, slik at næringsdrivende sikres like vilkår, uavhengig av hvilken medlemsstat de opererer i. Samtidig vil innbyggere i hele EØS-området nyte godt av det samme sterke personvernet, uansett i hvilken medlemsstat de oppholder seg.
I 2014 vedtok Stortinget å styrke vernet om den personlige integriteten ved å ta en bestemmelse om personvern inn i Grunnloven. Retten til privatliv følger også av Den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8 og Europarådets konvensjon om personvern i forbindelse med elektronisk databehandling av personopplysninger ETS nr. 108.
2. Utfordringsbildet
Norge er et land med høy digital modenhet både i befolkningen og i næringslivet. Digitalisering bidrar til økt velferd, økt produktivitet og økonomisk vekst i så å si alle samfunnssektorer og næringer. Det skapes nye næringer, og forbrukerne endrer vaner og behov i raskt tempo. Digitalisering av tjenester innebærer at det genereres, registreres og behandles langt flere personopplysninger om den enkelte innbygger enn tidligere. Dette er informasjon om geografisk bevegelsesmønster, kontaktnett, helse, økonomi, interesser og andre opplysninger om den enkeltes aktiviteter. Opplysningene kan sammenstilles og analyseres. Det kan bygges profiler om hver enkelt, som kan fortelle svært mye om oss. Også tjenestetilbydere som vi ikke opplever å ha et nært forhold til, kan gjøre denne type analyser av oss, basert på informasjon som deles mellom aktører i den digitale økonomien. Dette har medført et økt press mot personvernet. Samtidig har blant annet innføringen av EUs personvernforordning bidratt til en betydelig styrking av personvernet på en rekke samfunnsområder.
Personopplysninger samlet inn som følge av økt bruk av digitale tjenester, gir samtidig et unikt potensial for analyse og tjenesteutvikling. Både offentlige og private virksomheter kan bli mer effektive og yte bedre tjenester. Hvor bor de som søker etter informasjon om influensavaksine eller behandling av omgangssyke? Analyser av slike søk på nett kan hjelpe helsemyndighetene med å forstå befolkningens helsesituasjon raskere og bedre. Datatrafikkanalyser er viktig for at tilbydere av elektronisk kommunikasjon skal kunne planlegge digital infrastruktur som vi er avhengige av. Hver enkelt sjåfør kan, basert på bevegelsene til svært mange biler på samme tid, få anbefalinger om reiseruter som tidligere var umulig å få i sanntid. Transportselskaper kan analysere reisemønstre for å planlegge kapasitet i kollektivtrafikken. Og finansinstitusjoner kan analysere kundenes handlemønstre og bruk av ulike betalingsmidler for å utvikle tjenestetilbudet. Myndighetene kan sette sammen og bruke data til beste for innbyggerne. Personopplysninger kan også brukes til tjenesteutvikling og optimalisering i den enkelte virksomhet, og de har derfor en betydelig markedsverdi.
Potensialet i og presset på kommersiell bruk av personopplysninger er stort. Tjenester tilbys uten brukerbetaling, og baserer seg på videresalg av informasjon om brukerne. Personopplysningenes verdi kan avhenge av hvem som kjøper og selger, og hva opplysningene skal brukes til.
2.1 Gjenbruk av opplysninger til kontrollformål, herunder i justissektoren
Bekjempelse, avdekking, etterforskning og straffeforfølgning av kriminalitet er viktig i en rettsstat. Kriminaliteten endrer seg. Gjerningspersonene tar nye metoder i bruk, også ny teknologi. I mye av justissektorens arbeid er derfor sammenstilling og analyse av elektroniske spor og annen informasjon om borgernes aktiviteter, viktig og nyttig. Det er i mange tilfeller gitt adgang til utlevering av informasjon, både mellom organer internt i justissektoren, og mellom justissektoren og forvaltningen for øvrig, for å muliggjøre dette arbeidet.
Samtidig som informasjonsdeling og analyse er viktig for å bekjempe kriminalitet og forhindre overgrep og inngrep i rettssfæren til de som utsettes for kriminalitet, kan det også innebære at personopplysninger brukes til andre formål enn de opprinnelig er innsamlet for. Slik gjenbruk av personopplysninger har økt de siste årene.
Også andre deler av offentlig forvaltning og privat næringsliv gjenbruker stadig oftere personopplysninger til ulike kontrollformål. Toll, skatt og forsikring er eksempler på dette. Personopplysninger gjenbrukes i en del sammenhenger uten at de registrerte er gjort kjent med den aktuelle behandlingen av personopplysninger. I noen sammenhenger er det nødvendig at slik behandling ikke er allment kjent dersom formålet skal oppnås, for eksempel å avdekke skatteunndragelser eller forsikringssvik.
2.2 Personvern i digitale løsninger
Både det offentlige og private benytter i økende grad digitale løsninger. Vi leverer selvangivelsen digitalt, og bruker Altinn for ulike rapporteringer. Vi har bombrikke og elektroniske billetter på buss, bane, båt og fly. Vi bruker nettbank og leser aviser digitalt.
Dette, og mange andre gjøremål der det benyttes digitale løsninger, innebærer at vi legger igjen elektroniske spor i en helt annen skala enn ved papirbaserte løsninger.
Offentlige myndigheter ønsker i større grad å sammenstille opplysninger om borgerne på tvers av sektorer for å forbedre og effektivisere sine tjenester. Tjenester persontilpasses og automatiseres. Teknologien legger til rette for at opplysninger kan analyseres og benyttes til forskning. Dette legger igjen til rette for gode, offentlige tjenester. Samtidig må hensynet til personvern ivaretas. Sekundærbruk av personopplysninger, f.eks. til forskning, kan ha personvernkonsekvenser. Det er et spørsmål i hvor stor utstrekning myndighetene kan sammenstille, analysere og gjenbruke opplysninger om den enkelte, uten at enkeltindividets tillit til myndighetene påvirkes negativt. Det kan være utfordrende for den enkelte å få informasjon og ha oversikt over behandling av egne personopplysninger. Å lage løsninger som muliggjør utnyttelse av store datamengder, samtidig som det gir færrest mulig personvernulemper for enkeltindivider, er viktig.
Også digitale tjenester i privat sektor forutsetter i varierende grad behandling av personopplysninger. Noen behandler kun høyst nødvendig informasjon for å kunne gjennomføre en avtale, mens andre samler inn data i langt større grad enn nødvendig for å tilby tjenesten. Den digitale forbrukerhverdagen innebærer stadig oftere å måtte gi fra seg personopplysninger for å kunne delta i samfunnet. Fordeler og ulemper ved nye teknologiske løsninger må avveies på en god måte. Samtidig må norske virksomheter være konkurransedyktige i et internasjonalt perspektiv.
I stortingsmeldingen om forbrukerpolitikk, Meld. St. 25 (2018-2019) «Framtidas forbrukar – Grøn, smart og digital»2 , som ble lagt fram sommeren 2019, ble det identifisert en rekke nye forbrukerutfordringer i den digitale hverdagen. En av utfordringene som omtales i stortingsmeldingen handler om forbrukernes rettigheter, personvern og sikkerhet i digitale produkter og tjenester. Digitale tjenester samler inn store mengder personopplysninger om forbrukerne, noe som forsterkes gjennom utviklingen av tilkoblede produkter i «tingenes internett». Bedrifter benytter personopplysningene til målrettet markedsføring mot forbrukerne.
I 2015 publiserte Datatilsynet utredningen «Det store datakappløpet»3 . I 2020 presenterte Forbrukerrådet en analyse av behandling av personopplysninger i den digitale annonseindustrien4 . Rapportene beskriver handel med personbaserte analyser, og hvor lite transparent og, ikke minst, vanskelig dette er å forstå. Analysene brukes til å sende oss reklame og velge ut nyheter som presenteres for oss i nettaviser og i sosiale medier. Reklamen og de utvalgte nyhetene kan påvirke valgene vi tar. Muligheten ikke bare til å påvirke hva vi kjøper, men også – i det skjulte – å påvirke demokratiske prosesser, er betydelig. Skjult påvirkning kan utfordre demokratiet. Det er derfor nødvendig å øke innsikten i, og bevisstheten om, hvordan opplysninger om oss kan brukes til å påvirke de valgene vi tar. Vi bruker daglig digitale medier til sosial kontakt.
I rapporten «Appfail» fra 2016 gjennomgikk Forbrukerrådet 20 apper for å se i hvilken grad forbruker- og personvernrettigheter ble ivaretatt. Tjenestenes bruk av personopplysninger er mer omfattende enn mange er klar over, og gjør det vanskelig å ha kontroll over egne personopplysninger.
Informasjon om hvordan forbrukernes personopplysninger blir behandlet er ofte gjemt i lange, kompliserte og, i mange tilfeller, ubalanserte, avtalevilkår.
2.3 Særlig om barns personvern
Grunnloven § 104 gir barn en individuell rett til vern om sin personlige integritet. Barnekonvensjonen artikkel 16 fastslår at barn ikke skal utsettes for vilkårlig eller ulovlig innblanding i sitt privatliv, sin familie, sitt hjem eller sin korrespondanse, eller for ulovlig angrep mot sin ære eller sitt omdømme, og at barnet har rett til lovens beskyttelse mot slik innblanding eller slike angrep. Også personopplysningsloven og personvernforordningen oppstiller særregler for barn, bl.a. inneholder personopplysningsloven § 5 en særlig aldersgrense på 13 år for barns samtykke til bruk av informasjonssamfunnstjenester. Barnehager og skoler registrerer og lagrer personopplysninger om barn og unge. I tillegg til tradisjonelle opplysninger som orden, oppførsel, adferd, karakterer og utvikling, samles det data gjennom elevenes bruk av nye digitale læringsressurser og skolens kommunikasjon med hjemmet. Dette kan utfordre barn og unges personvern på en ny måte.
Halvparten av avvikene som ble meldt inn til Datatilsynet i 2019 vedrørende barn, skjedde i skolesektoren. Skolene benytter stadig flere typer digitale løsninger. Dette gir ulike personvernutfordringer. Læringsplattformer og nettbrett er en god ressurs i undervisningen, men ved bruken kan det også behandles overskuddsinformasjon, f.eks. stedsinformasjon og informasjon om når leksene ble gjort.
Skolenes bruk av «gratis» applikasjoner i undervisningen medføre at andre får tilgang til omfattende opplysninger om elevene. I praksis har hverken elevene selv eller deres foresatte særlig mulighet til å påvirke innsamling og behandling av personopplysninger ved bruk av slike applikasjoner, og et samtykke til bruk av applikasjonen vil ikke nødvendigvis være reelt. Barn er aktive brukere av sosiale medier. De kommuniserer selvstendig på sosiale medier fra de er ganske unge. Deling av bilder og video er en naturlig del av barnas kommunikasjon. Vi har lite kunnskap om omfanget, og hvordan bruken påvirker barnas personvern.
Tjenestetilbydere som formidler reklame basert på brukernes informasjon, deling, valg og preferanser, henvender seg også til barn. Slik markedsføring kan være spesielt utfordrende for barn og unge, som har større vanskeligheter enn voksne med å identifisere og forstå reklame. Derfor stiller også markedsføringsloven strenge krav til reklame som er rettet mot barn. Undersøkelser av markedsføring rettet mot barn5 , viser også at barn blir utsatt for direkte markedsføring som kan være uheldig. Videre har Forbrukerrådet avdekket at internettilkoblede leker og produkter som er rettet mot barn, har vist seg å kunne «overvåke» barnet.
3. Oppdraget
Kommisjonens skal på denne bakgrunn:
- Kartlegge situasjonen for personvern i Norge, og trekke frem de viktigste utfordringene og utviklingstrekkene.
- Kartlegge offentlig sektors behandling av personopplysninger til andre formål enn innsamlingsformålet, og gi en vurdering av de negative personvernkonsekvensene ved dette sett opp mot fordelene.
- Se på utviklingen av personvern i justissektoren og identifisere i hvilken grad det samlede omfanget av tiltak skaper utfordringer for personvernet.
- Kartlegge forbrukeres reelle muligheter til å ivareta eget personvern ved bruk av digitale løsninger og tjenester, og vurdere om bransjenormer, merkeordninger eller sertifiseringsmekanismer kan brukes bedre, jf. personvernforordningen kapittel IV avsnitt 5.
- Utrede hvilke konsekvenser bruk av sosiale medier har for innsamling, analyse og viderebruk av personopplysninger, og foreslå tiltak for å sikre personvernet, herunder den enkelte borgers mulighet for å ivareta eget personvern.
- Kartlegge hvordan barn og unges personvern ivaretas i Norge, herunder ivaretakelse av barns personvern i barnehage- og skolesektorene og skolenes bruk av «gratis» applikasjoner der det betales med barnas personopplysninger. Kommisjonen må i arbeidet se hen til oppfølgingen av NOU 2019: 23 Ny opplæringslov.
- Foreslå tiltak som styrker den digitale forbrukerkompetansen til barn og unge, spesielt knyttet til digital innsamling av personopplysninger og markedsføring i sosiale medier. Kommisjonen skal ikke foreslå tiltak som innebærer endringer i læreplanverket Kunnskapsløftet 2020.
- Kartlegge hvordan utstrakt bruk av og eksponering i sosiale medier, herunder brukergenerert innhold, påvirker barn og unges personvern, og foreslå eventuelle tiltak for å bedre personvernet. Kommisjonen kan bl.a. kartlegge personvernkonsekvenser ved profilering av barn og se på mulige reguleringer knyttet til bruk av personopplysninger til direktemarkedsføring til barn, samt utrede barns samtykkekompetanse på personvernfeltet.
- Drøfte andre tema som viser seg særlig relevante for å gi et helhetlig bilde på den samlede situasjonen for personvernet
I arbeidet skal kommisjonen også søke informasjon i våre naboland, og gjøre rede for relevante tiltak som er iverksatt for å ivareta personvernet.
Organisering
Kommisjonen skal levere sin rapport i form av en NOU til Kommunal- og moderniseringsdepartementet innen 1. september 2022. Kommisjonen vil bistås av et sekretariat bestående av to personer, administrativt tilknyttet Kommunal- og moderniseringsdepartementet. Dersom det er tvil om mandatets innhold, omfang eller avgrensning, kan kommisjonen ta dette opp med Kommunal- og moderniseringsdepartementet.