Uten en oversikt over personvernkonsekvensene av et lovforslag, er det svært vanskelig for Stortinget å sørge for at innbyggernes personvern er ivaretatt.
Denne teksten er utdrag fra et foredrag jeg holdt under Lovkonferansen i juni 2023.
Norge er et av verdens mest digitaliserte samfunn. Det er positivt og viktig for utviklingen av Norge. Digitalisering gjør oss for eksempel i stand til å løse samfunnsoppdrag innen helse og omsorg i en situasjon hvor varme hender vil være mangelvare.
Men digitalisering skjer ofte på bekostning av retten til en privatsfære og et personopplysningsvern.
Det slo også Personvernkommisjonen fast i sin rapport – hvor nettopp dette var ett av hovedfunnene. Omtrent 5 år etter GDPR trådte i kraft, har vi altså en utvikling hvor vi har et svekket personvern sammenlignet med tidligere tider som følge av digitaliseringen av samfunnet.
En gradvis svekkelse av personvernet
Byggesteinene i den datadrevne økonomien er i stor grad personopplysninger. Dagens digitale samfunn åpner opp for enorme muligheter, men også noen farer.
Personvernkommisjonen peker i sin rapport på at utvikling og innføring av ny teknologi skjer raskt og uten at vi alltid har full oversikt over konsekvensene. Kontroversiell og inngripende teknologi blir fort normalisert og allment akseptert. Dette medfører en gradvis svekkelse av personvernet. En slik svekkelse kan være vanskelig å få øye på før det er for sent å motvirke de negative effektene.
Hvorvidt vi makter å treffe den riktige balansen mellom mulighetene ved digitalisering og ulempene i form av tilsidesatte grunnleggende rettigheter og samfunnsverdier, vil bli avgjørende for hvilket samfunn vi skaper sammen.
En åpen, opplyst samtale og politisk fokus og effektive rettssikkerhetsmekanismer er grunnleggende for å motvirke den negative utviklingen med at personvernet settes til side.
Avveininger hele veien
Hvilke mekanismer har vi som samfunn til å ivareta personvernet og løpende finne den riktige avveiningen mellom digitalisering og innovasjon, utvikling, og ivaretagelse av våre grunnleggende rettigheter?
Her er det fristende å trekke frem flere mekanismer eller virkemidler:
- En åpen, opplyst samtale om denne avveiningen og denne utviklingen er ett virkemiddel
- Personvernpolitikk er et annet – dersom Stortinget fikk en rapport om personvernets stilling hvert år
- Et sterkt og tydelig tilsynsorgan er jo også et virkemiddel i seg selv
- Og til sist – dagens tema – selve lovgivningsprosessen vi har i Norge i dag.
Lovgivningsprosessen som demokratisk verdi
Lovgivningsprosessen starter på litt ulike måter, og ender opp med at departementet skriver forslaget til en lov. Så blir dette forslaget sendt på høring.
Denne delen av lovgivningsprosessen har stor demokratisk verdi. Det er en grunnsten i vårt system at lovforslag og endringer skal høres i en demokratisk prosess.
Datatilsynet har imidlertid erfart at en slik høring ikke alltid er tilstrekkelig og eller gir de nødvendige rettssikkerhetsgarantiene som vi trenger.
Vi har for eksempel sett at lovforslag som hjemler store inngrep i borgernes personvern ofte ikke er utredet godt nok til at Stortinget blir kjent med konsekvensene av lovene de vedtar.
Uten en oversikt over personvernkonsekvensene av et lovforslag, er det svært vanskelig for Stortinget å sørge for at innbyggernes personvern er ivaretatt.
Stortinget settes som en følge av dette ikke i stand til å gjøre godt informerte verdivalg. Utfordringen kan deles opp i følgende punkter, som utdypes nedenfor:
- Mangelfull og nærmest fraværende forhåndsutredning av personvernkonsekvenser (som er pålagt etter GDPR artikkel 35 og 36)
- Høringsnotater kommer ofte sent, og inneholder mangelfull og krevende beskrivelse av hvordan lovforslag påvirker personvernet
- Mangelfull oppfølging av høringssvar
- Fullmaktslovgivning som en trussel mot personvernet i dagens samfunn
Mangelfull og nærmest fraværende forhåndsutredning av personvernkonsekvenser.
Etter personvernforordningen artikkel 36 nr. 4 skal medlemsstatene rådføre seg med tilsynsmyndigheten på personvernområdet ved utarbeidelse av forslag til lovgivning, eller et reguleringstiltak som er knyttet til behandling av personopplysninger. Sett i sammenheng med artikkel 36 for øvrig, vil rådføringen trolig kun være nødvendig i tilfeller hvor behandlingen medfører høy risiko for de registrertes rettigheter og friheter.
Det følger altså av personvernforordningen en særskilt rådføringsplikt når det er snakk om behandling av personopplysninger som innebærer høy risiko for rettigheter og friheter.
Mange av dagens lovprosesser omfattes trolig av dette kriteriet.
Datatilsynet har fått svært få slike henvendelser om rådføring i forbindelse med lovgivningsarbeidet etter 2018. Det er heller ikke satt i noe godt system at slike konsekvenser skal utredes på forhånd og at rådføring skal gjennomføres, så vidt vi erfarer.
Personvernkommisjonen peker på at den rådføringsplikten som følger av personvernforordningen ikke kan anses som oppfylt ved at Datatilsynet er høringsinstans i forbindelse med en ordinær offentlig høringsprosess.
Plikten til rådføring med tilsynsmyndigheten under et regelverksarbeid kan altså, verken tematisk eller prosessuelt, likestilles med offentlig høring av et lov- eller forskriftsforslag.
Det at vi ikke får slike henvendelser, indikerer etter vår oppfatning en klar svakhet ved dagens lovgivningsprosess.
Høringsnotater kommer ofte sent
Det er også ofte for sen, mangelfull og krevende beskrivelse av hvordan lovforslag påvirker personvernet i samfunnet i høringsnotater.
Stortingets mulighet til å gjøre avveininger mellom ulike samfunnshensyn, herunder personvern, er betinget av at de ulike hensynene er godt beskrevet og synliggjort.
Vurderingen av om et inngrep i personvernet skal vedtas må baseres på en fremstilling – i for eksempel høringsnotatet – av blant annet formålet med lovforslaget og hvilke konsekvenser behandlingen av personopplysninger medfører.
Vår erfaring er at det også her gjøres for lite for å kartlegge og beskrive konsekvensene av en lov eller forskrift, i forhold til hvilke konsekvenser den får for personvernet i samfunnet.
Det er også en observasjon fra vår side måten inngrepene og konsekvensene beskrives på, er med på å undergrave den totale effekten av tiltakene man ønsker lovregulert. Man beskriver for eksempel ett og ett punkt, og svarer ut fortløpende med beskrivelse av avhjelpende tiltak. Som en følge av denne måten å fremstille lovforslaget og effektene på, blir det vanskeligere for Stortinget og andre å få med seg det totale og komplette bildet.
Dette er etter vår mening en klar svakhet ved hvordan høringer i dag gjennomføres, og som i seg selv innebærer en risiko for tilsidesettelse av personvernet.
Mangelfull oppfølging av høringssvar
Det er ofte ikke så lett å se resultatene av høringsinnspill som er gitt. Selv om vi roper varsku med utestemme og blokkbokstaver, så skjer det ikke alltid noe.
I 2021 besvarte Datatilsynet 49 av totalt 151 høringer som gjaldt offentlige myndigheters behandling av personopplysninger og som hadde betydning for personvernet. Av disse mente vi at utredningen av personvernkonsekvenser var mangelfull eller fraværende i 30 av tilfellene, altså 60 %. Hvordan våre høringsinnspill ble imøtekommet, er det krevende å få en oversikt over.
Fullmaktslovgivning som en trussel mot personvernet
Det er ikke mangler ved høringsinstituttet som er utfordringen – men snarere valg av lovsform.
Rammene for behandling av personopplysninger settes ofte i forbindelse med vedtakelse av lover som inneholder generelt utformede bestemmelser med forskriftshjemmel.
I slike tilfeller fastsettes kun de helt ytre rammene – hvis rammene fastsettes i det hele tatt – for tiltaket i loven, mens detaljene skal reguleres nærmere i forskrift. Dette i motsetning til tilfellene der inngrepet i personvernet fremgår klart av selve loven idet den vedtas.
Bruken av fullmaktslovgivning, hvor vurderingen (og gjennomføringen) av selve inngrepet i personvernet blir lagt til underliggende etater eller virksomheter, er en risiko i seg selv.
Vi ser altså slik fullmaktslovgivning som en klar trussel mot personvernet i dagens samfunn.
Våre erfaringer er at makten til å gjøre store inngrep i innbyggernes fundamentale rettigheter, flyttes fra de folkevalgte til forvaltningen.
Et illustrerende eksempel på dette er vedtaket vi nylig fattet i saken mot SSB, hvor de ønsket å innhente bongdata fra dagligvarebransjen med hjemmel i et enkeltvedtak fattet av dem selv.
Personvernkonsekvensene må frem
De forholdene jeg har fremhevet, innebærer en risiko for at det åpnes for uforholdsmessig store inngrep i personvernet uten at Stortinget er gjort tilstrekkelig oppmerksom på det og at helt sentrale rettssikkerhetsgarantier forvitrer.
Snarere er det regelen heller enn unntaket at personvernkonsekvensene som de folkevalgte skal vurdere er dårlige, mangelfulle og ofte feilaktig fremstilt.
Disse svakhetene ved lovgivningsprosessen settes enda mer på spissen når vi ser dette opp mot den digitale utviklingen- og revolusjonen vi står i nå.
Hvordan skal lovgiver og ansvarlige myndigheter kunne ta stilling til og ta ansvar for bruken av for eksempel kunstig intelligens satt opp mot personvern og andre grunnleggende rettigheter i samfunnet, når prosessene ikke tar høyde for både informasjonsbehovet og et tydelig og klart språk?
Det er viktig å anerkjenne utfordringene vi står ovenfor.