Personvernlovgivning fra 1970-tallet og til i dag
1. Personvern – Introduksjon
I 2024 var det 40 årsjubileum for det samfunnet George Orwell beskrev i boken «1984» (publisert i juni 1949). En liten påminnelse fra boken er at «Partiets» endelige mål ikke bare er å overvåke og kontrollere folks handlinger, men å kontrollere deres tanker og ødelegge deres menneskelighet. Hovedpersonen Winstons nederlag representerer totalitarismens triumf over individuell frihet og menneskeverd. I det samfunnet som beskrives i boken er alle overvåket av myndighetene. «Storebror» følger med på alt, både i det private og i det offentlige liv. Befolkningen blir hele tiden påminnet om dette med slagordet «Storebror ser deg».(1)Basert på Wikipedia
Hvordan har så vernet om individuell frihet, menneskeverd og personopplysninger stått seg i de 40 årene som har gått siden det Orwellske samfunnet ble beskrevet i «1984»?

Illustrasjon: Colourbox.com
2. Personvern – utviklingstrekk og utfordringer
Personvern har gjennomgått store endringer siden begynnelsen av 1970-tallet, drevet av teknologisk utvikling, økt bruk av digitale løsninger, og strengere lovgivning. Denne artikkelen tar for seg sentrale utviklingstrekk innen personvern i Norge og internasjonalt, med et særlig fokus på teknologiske utfordringer, endringer i lovgivning over tid, og innføringen av GDPR.
2.1. Litt begrepsbruk
Personlig integritet innebærer individets rett til å leve sitt liv uten unødvendig innblanding fra andre, inkludert staten, bedrifter og private aktører. Denne retten strekker seg til å beskytte individets personlige sfære, inkludert deres fysiske og psykiske velvære.
Personlighetens rettsvern refererer til juridiske beskyttelser som anerkjenner individets rett til å kontrollere og beskytte sitt eget privatliv, bilde, navn og øvrige personlige kjennetegn. Dette omfatter både vern mot krenkelser og urettmessig utnyttelse av individets personlighet i for eksempel media og reklame.
Personvern er et bredere konsept som omfatter beskyttelsen av individers rettigheter og friheter i sammenheng med behandling av deres personopplysninger. Dette omfatter retten til privatliv og retten til å kontrollere hvordan ens personopplysninger samles inn, brukes, oppbevares og deles. Personvern er derfor en viktig del av både personlig integritet og personlighetens rettsvern.
I utredningen «Individ og integritet» (NOU 2009: 1) fremgår det at Personopplysningsvern dreier seg om regler og standarder for behandling av personopplysninger som har ivaretakelse av personvern som hovedmål.(2)NOU 2009 kapittel 4.1.5 Personopplysningsvern spesifikt refererer til de tiltak og reguleringer som er innført for å beskytte opplysninger om enkeltindivider mot misbruk og uautorisert tilgang. Dette inkluderer lovgivning som personopplysningsloven og GDPR, helseregisterloven, og politiregisterloven, som legger sterke føringer for hvordan og for hvilke formål data skal innhentes, behandles, tilgjengeliggjøres, lagres og beskyttes, for å sikre at individets rettigheter ivaretas.
Disse begrepene er nært forbundet og overlapper på mange måter, men de representerer også ulike aspekter av individets rett til beskyttelse mot inngrep i deres private liv. Samlet sett utgjør de et rammeverk som søker å balansere behovet for fri informasjonsflyt med hensynet til beskyttelse av individets friheter verdighet og rettigheter.
2.2. Bakgrunn – utvikling av personopplysningsvernet
Utviklingen av personopplysningsvernet som juridisk og samfunnsmessig diskusjonstema knyttet til bruk av datamaskiner begynte på 1960-tallet og akselererte inn i 1970-tallet. Denne perioden var preget av en økende bevissthet om datateknologiens potensial til å samle, behandle og lagre store mengder informasjon om enkeltpersoner. Samtidig vokste bekymringene for hvordan denne informasjonen kunne misbrukes av både offentlige og private aktører.
Den teknologiske utviklingen innen databehandling og informasjonsteknologi førte til en omfattende diskusjon om behovet for å beskytte individers personopplysninger. På 1970-tallet ble det i flere land, inkludert Norge, iverksatt undersøkelser og utredninger om personvernproblemer knyttet til både offentlig og privat bruk av personopplysninger. Internasjonale organisasjoner som Europarådet og OECD bidro også til utviklingen av personvernprinsipper som skulle ligge til grunn for fremtidig lovgivning. Sveriges datalov fra 1974 var den første i sitt slag, og markerte starten på en lovgivningsbølge innen personvern i Europa.
Erik Samuelsens forskningsrapport fra 1972 om personvern(3)Erik Samuelsen – Statlige databanker og personlighetsvern – Universitetsforlaget 1972 var en banebrytende studie som utforsket de juridiske og samfunnsmessige aspektene ved beskyttelse av individers personopplysninger. Rapporten fremhevet de teknologiske utfordringene knyttet til databehandling og informasjonsteknologi, og hvordan disse kunne utgjøre en trussel mot personlig integritet.
Samuelsen analyserte behovet for lovgivning for å regulere innsamling, lagring og behandling av personopplysninger. Han understreket viktigheten av å balansere informasjonsflyt med beskyttelse av individets rettigheter. Hans arbeid var med og legge grunnlaget for senere utvikling av personvernlovgivning i Norge, og bidro til den økende bevisstheten rundt personvernproblematikk på 1970-tallet.
På 1970-tallet ble det nedsatt to offentlige utvalg for å undersøke problemstillinger knyttet til behandling av personopplysninger og personvern i Norge. Den første utredningen, NOU 1974: 22 – Persondata og personvern, tok for seg de grunnleggende prinsippene og utfordringene knyttet til personvern, i en tid med rask teknologisk utvikling. Rapporten fokuserte på hvordan personopplysninger ble samlet inn, lagret og brukt i privat sektor, samt behovet for regler og reguleringer for å beskytte individers rettigheter.
Den andre utredningen, NOU 1975: 10 Offentlige persondatasystem og personvern, rettet oppmerksomheten mot de spesifikke utfordringene ved offentlige persondatasystemer. Utvalget evaluerte eksisterende praksis og foreslo tiltak for å styrke personvernet i offentlige registre og databaser. Disse to utredningene la grunnlaget for at departementet utarbeidet Ot prp nr 2 (1977–78) om lov om personregistre mm («Personregisterloven»). Loven ble vedtatt av Stortinget den 9. juni 1978.
3. Personregisterloven
3.1. Forskrifter, konsesjoner og iverksettelse
Personregisterloven var vedtatt av Stortinget den 9. juni 1978. Loven var en utpreget fullmaktslov, med vide fullmakter for Regjering og departement (Justisdepartementet) til å fastsette forskrifter. Før loven kunne tre i kraft, måtte det utarbeides forskrifter, og det måtte etableres et Datatilsyn for å håndheve loven.
Av ulike årsaker havnet den vedtatte loven i en skuff i Justisdepartementet, og det skjedde ikke noe med iverksettelse på omtrent ett år. Først ca. ett år etter vedtakelse av loven ble det nedsatt en hurtigarbeidende arbeidsgruppe for å utarbeide forskrifter og etablere Datatilsynet. Arbeidsgruppen hadde ett medlem fra Statens Rasjonaliseringsdirektorat («R-dir» - tilsvarende det som nå er Dig-Dir/DFØ) som prosjektleder, ett medlem fra Sivilavdelingen i Justisdepartementet, og ett medlem fra lovavdelingen i Justisdepartementet. I løpet av 7 måneder skulle arbeidsgruppen utarbeide utkast til forskrifter som skulle ferdigstilles etter en ekstern høringsrunde, slik at de kunne iverksettes sammen med loven pr. 1. januar 1980. Samtidig skulle arbeidsgruppen etablere Datatilsynet, og ansette de første 4–6 medarbeiderne i Datatilsynet, skaffe og utstyre lokaler til Datatilsynet, og drive utstrakt informasjonsvirksomhet om krav til næringsliv og forvaltning i den nye loven.
Opprinnelig gjaldt personregisterloven for personregistre – manuelle og elektroniske. «Personregistre» var definert som registre, fortegnelser m.m. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte person kan finnes igjen. Loven gjaldt også for annen bruk av personopplysninger i visse typer virksomheter, som inkluderte:
Kreditt- og personopplysningsvirksomhet
Databehandlingsforetak
Adresserings- og distribusjonsvirksomhet
Opinions- og markedsundersøkelser
Overføring til utlandet
Fjernsynsovervåkning.
Igangsetting og drift av slike virksomheter krevde konsesjon fra Datatilsynet.
Personregisterloven påla behandlingsansvarlige en rekke plikter for å sikre at personopplysningene ble behandlet i samsvar med loven. Dette inkluderte blant annet:
Søknad om konsesjon: Virksomheter måtte søke om konsesjon fra Datatilsynet før de kunne opprette nye personregistre. Virksomheter som drev innen ovennevnte virksomhetstyper, måtte søke konsesjon for å kunne drive sin virksomhet. Det ble gitt overgangsregler med utsatt frist for å søke konsesjon for allerede etablerte registre eller virksomheter.
Sikkerhet: Virksomheter skulle treffe nødvendige sikringstiltak for å sikre ivaretakelse av opplysningenes integritet og at de ikke kom på avveie.
Innsynsrett: Alle fikk rett til å få opplyst hvilke opplysninger om dem selv som lagres eller bearbeides ved elektroniske hjelpemidler.
Handlingsplikt etter pålegg fra Datatilsynet: Virksomheter hadde plikt til å innrette seg etter pålegg fra Datatilsynet om retting, sletting eller supplering av feil i register, og om tiltak som er nødvendige for at evt. feil ikke får betydning for den registrerte.
Basert på konsesjonssystemet krevde loven som utgangspunkt at enhver virksomhet som ønsket å føre personregistre, eller drive slik virksomhet som angitt, måtte søke om tillatelse (konsesjon) fra Datatilsynet. Dette systemet skulle sikre at bruken av personopplysninger skjedde i samsvar med lovens bestemmelser, og at nødvendige sikkerhetstiltak var på plass for å beskytte opplysningene mot uautorisert tilgang, endring eller sletting.
Den oppnevnte arbeidsgruppen forsto umiddelbart at det var nødvendig med omfattende unntak fra loven, i form av forskriftsregulering av forskjellige standard typer registre som kunne unntas fra individuell konsesjonsbehandling. Unntakene ble gjort med hjemmel i loven, ved å definere hvilke typer opplysninger registrene kunne inneholde, hvilke formål de kunne brukes til, hvor opplysningene kunne hentes inn, hvem som kunne få tilgang til opplysningene osv.
Forskriften stilte videre krav til hvordan personopplysninger skulle behandles for at det ikke skulle kreves konsesjon. Kravene omfattet:
Formålsbinding: Opplysningene skulle kun brukes til det formålet de var samlet inn for, og ikke til andre formål uten samtykke fra den registrerte.
Registeransvarlig: Virksomhetens ledelse var ansvarlig for å følge reglene i forskriften.
Korrekthet: Opplysningene måtte være nøyaktige og oppdaterte.
Sikkerhet: Det skulle være tilstrekkelig tekniske og organisatoriske tiltak for å beskytte opplysningene mot uautorisert tilgang og andre sikkerhetstrusler.
Innsynsrett: Den registrerte hadde rett til innsyn i hvilke opplysninger som var registrert om seg selv, samt informasjon om formålet med behandlingen og hvem som hadde tilgang til opplysningene.
Utlevering av opplysninger: Personopplysninger måtte ikke leveres ut annet enn i konkret angitte tilfelle.
Kobling av registre: Hvis et register skulle kobles med andre registre slo konsesjonsplikten i utgangspunktet inn igjen.
Sletting: Hvis ikke annen lovgivning hindret sletting- kunne som utgangspunkt enhver kreve seg slettet fra registeret.
3.2. Datatilsynets rolle
Datatilsynet ble etablert som et frittstående organ underordnet Kongen og det departement Kongen fastsatt (Justisdepartementet). Datatilsynets ansvar var å overvåke etterlevelsen av Personregisterloven og forskriften. Datatilsynet hadde bl.a. følgende oppgaver:
Behandling av konsesjonssøknader: Vurdere og godkjenne søknader om tillatelse til å opprette personregistre.
Kontroll og tilsyn: Utføre tilsyn og kontroller for å sikre at virksomheter fulgte lovens krav.
Veiledning: Gi råd og veiledning til virksomheter og enkeltpersoner om personvernspørsmål.
Håndheving: Iverksette nødvendige tiltak ved brudd på loven, inkludert sanksjoner og pålegg.
3.3. Konsekvenser av brudd
Brudd på Personregisterlov – eller forskrift – kunne medføre straffesanksjoner hjemlet i lov og forskrift. Sanksjonene omfattet mulighet for pålegg om å stanse ulovlig behandling av personopplysninger (som kunne pålegges av Datatilsynet), fengselsstraff, bøter og erstatning til de registrerte (som måtte fastsettes av domstolene på vanlig måte). Det er grunn til å merke seg at loven ga grunnlag for personlig straffeansvar for ledelsen av den virksomheten som var ansvarlig for brudd på loven.
4. Behov for endringer – Personopplysningsloven 2000
4.1. Utredning om behovet for endringer
Personregisterloven var krevende å håndheve. På 1980-tallet var Datatilsynet preget av kapasitetsproblemer, med få ansatte og en voksende arbeidsmengde. Dette førte til at undertegnede i 1982 ble engasjert av Justisdepartementet for å utrede forslag til endringer og forenklinger i loven.(4)Complex nr. 1/1983 Utredning om endringer i Personregisterloven
Utredningen gjaldt forenkling og tilpasning av personregisterloven, for å bringe bedre overensstemmelse mellom Datatilsynets arbeidsoppgaver og tilgjengelige ressurser, sett på bakgrunn av den teknologiske utvikling.
Datatilsynet hadde på dette tidspunkt 8 ansatte (3 saksbehandlere) inklusive kontorpersonale, og betydelige restanser mht. behandling av konsesjonssøknader for «gamle» registre. Tilsynet hadde ingen med teknisk bakgrunn og ingen til å drive kontrollvirksomhet.
Da det ble ansett som uaktuelt med en betydelig styrking av Datatilsynet ble det mest nærliggende forslaget å fjerne konsesjonsplikten og innføre materielle regler med straffesanksjoner for overtredelse. Et hovedproblem med dette, var å innføre straffesanksjonering av vage og skjønnsmessige materielle regler.
Et annet hovedproblem var at den teknologiske utviklingen medførte at «register» - begrepet ikke lenger var hensiktsmessig som grunnbegrep for beskyttelse av personvernet. Personregister var definert som «... registre, fortegnelser m.m. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte person kan finnes igjen». Utredningen konkluderte med at det ville være mer hensiktsmessig å regulere enhver form for innsamling, lagring og bruk av personopplysninger. Dette var begrunnet med at moderne teknologi ville kunne brukes til å finne opplysninger frem, uten at opplysningen på forhånd er «lagret systematisk».
Utredningen ble sendt på høring og bearbeidet videre av en Interdepartemental arbeidsgruppe, og var en del av grunnlaget for Ot.prp.nr. 34 (1986-1987) Om endringer i personregisterloven. Noen mindre endringer ble vedtatt i lov av 12. juni 1987, om endringer i personregisterloven. De mer vesentlige forslagene – om å gjøre Datatilsynet til et mer uavhengig forvaltningsorgan, droppe registerbegrepet og fokusere på innsamling, lagring og bruk av personopplysninger, å droppe konsesjonsplikten, å gi flere materielle regler osv., ble imidlertid bare i begrenset grad tatt til følge.
4.2. Overgangen til Personopplysningsloven
EU-kommisjonen la i 1992 fram utkast til direktiv om beskyttelse av personopplysninger. På denne tiden vokste digitaliseringen raskt, og behovet for en mer omfattende lovgivning som bedre kunne ivareta personvernet nasjonalt og på tvers av landegrensene, ble tydelig. Personverndirektivet ble vedtatt i 1995.(5)EU-direktiv 95/46/EF
Direktivet var en viktig milepæl i utviklingen av personvernlovgivning. Direktivet hadde som mål å harmonisere personvernlovene i EU, slik at personopplysninger kunne flyte fritt innen det indre markedet, samtidig som individers rett til personvern ble sikret. Det etablerte nøkkelprinsipper som regler om eksplisitt samtykke og krav om nærmere angitte behandlingsgrunnlag for lovlig behandling av data, og retten for enkeltpersoner til å få tilgang til og rette opp sine data.
På bakgrunn av direktivet, innspill fra Datatilsynet og det uttrykte behovet for endringer som er redegjort for i pkt. 3.1 over, oppnevnte Justisdepartement i oktober 1995 et utvalg for å utrede behovet for revisjon av personregisterloven. Hovedpunkter i utredningen var:
Loven skulle ikke lenger bare gjelde for «personregistre», men også for «elektronisk behandling av personopplysninger».
Det ble lagt større vekt på etterfølgende kontroll på grunnlag av meldinger til Datatilsynet, og konsesjonsordningen ble for en stor del avviklet til fordel for en meldeplikt til Datatilsynet.
Det ble innført flere materielle regler i selve loven.
-
De registrerte fikk flere rettigheter overfor de behandlingsansvarlige:
Tilrettelegging for at de registrerte skulle kunne håndheve sine rettigheter (f.eks. informasjon til de registrerte når opplysninger om vedkommende ble innhentet).
Nye og utvidede rettigheter for de registrerte (f. eks utvidet innsynsrett, rett til å kreve manuell behandling av automatiserte avgjørelser, og rett til å kreve begrunnelse for beslutninger truffet ved automatiserte avgjørelser).
Tilrettelegging for at det kan bli praktisk mulig for den enkelte å benytte seg av sine rettigheter, bl.a. ved at Datatilsynet etablerer en offentlig tilgjengelig oversikt over behandling av personopplysninger.
Datatilsynet gjøres faglig uavhengig av regjeringen og departementene, og Justisdepartementet skal ikke lenger være klageorgan for avgjørelser i Datatilsynet.
Det etableres en ny klageinstans – Personvernnemnda – som et frittstående og uavhengig klageorgan, der leder og nestleder ble oppnevnt av Stortinget, mens de øvrige medlemmene ble oppnevnt av Kongen.
Det ble innført strengere regler om overvåkning, f. eks fjernsynsovervåkning mv.
Overgangen fra forhåndskontroll ved behandling av konsesjoner til etterfølgende kontroll bygget på tre hovedelementer. For det første ble det innført en plikt til å sende melding til Datatilsynet om bestemte typer behandling av personopplysninger. Meldingene skulle innføres i en offentlig tilgjengelig fortegnelse hos Datatilsynet, og skulle gi Datatilsynet informasjon som bl.a. kunne benyttes i kontrolløyemed. For det andre skulle de som behandler personopplysninger kvalitetssikre behandlingen og iverksette internkontroll som skulle dokumentere hvilken behandling av personopplysninger som fant sted, og hvorledes denne behandlingen var hjemlet og sikret på forsvarlig måte. For det tredje skulle Datatilsynet gis kompetanse til å gi pålegg om at lovstridig behandling av personopplysninger skal opphøre, eller eventuelt stille vilkår som måtte oppfylles for at behandlingen skulle være lovlig. Dersom et slikt pålegg ikke ble etterlevet, kunne Datatilsynet ilegge en tvangsmulkt som skulle løpe (akkumuleres) inntil forholdet var rettet.
Personopplysningsloven ble vedtatt 14. april 2000, med utgangspunkt i denne utredningen og Ot.Prp.nr. 92 (1998-1999) «Om lov om behandling av personopplysninger». Loven trådte i kraft fra 1. januar 2001, og gjaldt uten vesentlige endringer frem til den ble avløst av GDPR den 20. juni i 2018.
Personopplysningsloven fra 2000 var vesentlig bedre tilpasset for regulering av behandling av personopplysninger ved hjelp av ny teknologi enn den gamle personregisterloven.
5. Fullharmonisering av personvernlovgivningen i EU
5.1. Innføring av GDPR
Den største milepælen i moderne personvernlovgivning kom med innføringen av «General Data Protection Regulation» (GDPR) i 2018. GDPR er en forordning, som ble innført i Norge gjennom Personopplysningsloven (18. juni 2018 nr. 38). At det er en forordning, innebærer at den skal innføres i det enkelte EU-land (og EØS-land) «som den er». Det er i utgangspunktet ikke nasjonalt rom for valg om hvordan de enkelte reglene skal innføres – ut over de bestemmelsene der forordningen selv gir anvisning på at det foreligger en valgfrihet om hvordan bestemmelsen skal innføres. GDPR angir vel 50 områder der det kan fastsettes nasjonale regler ut over, eller som en presisering av de som direkte fremgår av forordningen. For Norge er disse samlet i den nye Personopplysningsloven, som iverksetter GDPR, og som er publisert sammen med GDPR(6)LOV av 15.6.2018 nr. 38.
GDPR har som hovedformål å beskytte enkeltpersoners rettigheter og friheter ved behandling av personopplysninger, samtidig som den sikrer fri flyt av data innen EU. GDPR gir ytterligere makt til enkeltpersoner, blant annet gjennom retten til innsyn i egne data, retten til å bli «glemt», regler om dataportabilitet, og streng formålsbegrensing for bruk av personopplysninger.
For bedrifter og offentlige organer innebærer GDPR skjerpede krav til dokumentasjon, risikovurderinger, transparens og sikkerhet. Videre har GDPR et strengt regime for overføring av personopplysninger til land utenfor EU, som ikke har en lovgivning om behandling av personopplysningen som tilfredsstiller kravene i GDPR.
GDPR innførte også et betydelig skjerpet sanksjonsnivå for overtredelser, ved at overtredelsesgebyr på det høyeste av inntil 4 % av brutto global omsetning i konsern, eller 20 millioner euro kan ilegges for de groveste overtredelsene. Dette har selvfølgelig medført betydelig økt oppmerksomhet og vilje til etterlevelse fra næringsliv og det offentlige som reglene retter seg mot.
GDPR har også ført til økte rapporteringskrav og en betydelig økning i antall avviksmeldinger. Fra 2017 til 2023 økte antall avviksmeldinger som Datatilsynet mottok med 790 prosent, en vekst som har vært utfordrende å håndtere for et tilsyn med begrensede ressurser. Mye av økningen skyldes naturlig nok den betydelige skjerpelsen av sanksjonsnivåene knyttet til overtredelse av reglene.
5.2. «Brussel-effekten»
GDPR har for Norges vedkommende den effekten at tilsynspraksis og domstolspraksis i hele EU-området får betydning for praktisering av reglene også i Norge.
GDPR har imidlertid også ringvirkninger langt ut over Europa, ved at behandling av personopplysninger som foregår utenfor Europa, langt på vei må følge Europeiske regler. Dette har blitt kalt «Brussel-effekten». Virksomheter som behandler personopplysninger om EU borgere eller som driver virksomhet i EU, må følge lovgivningen her.
Brussel-effekten er prosessen med ensidig regulatorisk globalisering forårsaket av at EU de facto (men ikke nødvendigvis de jure) eksternaliserer sine lover utenfor sine grenser gjennom markedsmekanismer. Samtidig har dette hatt den effekten at en rekke land i verden har laget egen personvernlovgivning som i mange tilfelle følger EUs eksempel.
5.3. Harmonisering av lovgivning og rettspraksis
GDPR bidrar til å harmonisere rettspraksis i Europa ved å sette felles regler og standarder som gjelder i alle EU- og EØS-land. Som en forordning må GDPR implementeres direkte i nasjonal lovgivning uten vesentlige tilpasninger, med unntak av de områdene hvor det er gitt rom for nasjonale tilpasninger. Dette sikrer at det er en ensartet tilnærming til personvern og behandling av personopplysninger på tvers av landene, noe som gir like rettigheter og plikter for både enkeltpersoner og virksomheter i hele EU. Derved gir det også like konkurranseforhold for virksomhetene. Harmoniseringen forenkler også overføringen av personopplysninger mellom landene, da de samme kravene og beskyttelsene gjelder overalt.
EU-domstolen har som hovedoppgave å tolke EU-retten for å sikre at den anvendes på samme måte i alle EU-land, og å avgjøre rettslige tvister mellom nasjonale myndigheter og EU-institusjoner. EU-domstolen er derfor en nøkkelaktør som sikrer at EU-lovgivning tolkes konsekvent og rettferdig på tvers av medlemslandene. Dette inkluderer tolkning og håndheving av GDPR. Nasjonale domstoler kan be EU-domstolen om veiledning i hvordan bestemmelser i GDPR skal forstås og anvendes. EU-domstolens avgjørelser er bindende for alle medlemslandene, noe som sikrer en ensartet forståelse og anvendelse også av personvernreglene.
Gjennom sine avgjørelser påvirker EU-domstolen direkte hvordan nasjonale domstoler og myndigheter tolker og håndhever personvernregler. For eksempel kan den klargjøre hvordan bestemte rettigheter, som retten til å bli glemt, skal balanseres mot andre rettigheter, som ytringsfrihet og informasjonsfrihet. Dette bidrar til å sikre en konsistent anvendelse av reglene i hele EU.
EU-domstolen har avsagt flere viktige dommer som har bidratt til å harmonisere personvernlovgivningen i EU. For eksempel har den klargjort hvordan samtykke skal innhentes og dokumenteres, og hvordan personopplysninger skal beskyttes ved overføring til tredjeland.
6. Teknologiske utfordringer og fremtidige reguleringer
6.1. En strøm av reguleringer
Samtidig som GDPR ble forberedt og iverksatt, har det vært en stadig økende utvikling innen teknologi, med vekst i bruken av skytjenester, kunstig intelligens (AI) og store datamengder. Dette har skapt nye utfordringer for personvern. EU har jobbet med å innføre flere reguleringer for å håndtere de komplekse spørsmålene knyttet til dataøkonomien. Blant disse er Open Data Directive, Data Governance Act, Digital Markets Act, Digital Services Act, AI Act og Data Act. Dette er rettsinstrumenter som skal sikre rettferdig fordeling av verdiene i dataøkonomien, fremme bruk av åpne data, og styrke tilliten til datatransaksjoner. Flere av disse rettsinstrumentene krever at det etableres eller utpekes regulatoriske og koordinerende organer på nasjonalt plan. Det vil være viktig å samordne den innsatsen og ressursbruken som skal settes inn for å gjennomføre rettsinstrumentene på en forsvarlig og oversiktlig måte, og for å hindre en fragmentert regulatorisk oppfølging og kontroll.
En særlig utfordring gjelder for teknologisk utvikling er bruken av personopplysninger i de store språkmodellene. Spørsmålet om hvordan persondata og rettighetsbeskyttede data brukes til å trene språkmodeller og andre AI-løsninger er blitt en het debatt.
Videre har globaliseringen av teknologisektoren ført til at store amerikanske aktører, som f.eks. Amazon, Apple, Oracle og Microsoft dominerer markedet for skytjenester, noe som reiser bekymringer knyttet til overføring av data til tredjeland. Videre reiser det bekymringer for amerikansk dominans over sentrale ressurser for digitalisering og utvikling av samfunnskritiske funksjoner i EU.
6.2. Datatilsynets rolle i dagens landskap
I møte med disse utfordringene har Datatilsynet en viktig rolle. Datatilsynet står imidlertid nå som før overfor betydelige kapasitetsutfordringer. Det er et økende behov for rask og effektiv saksbehandling, samtidig som ressurser og teknisk kompetanse i tilsynet er begrenset. For å møte fremtidens krav til personvern må Datatilsynet styrkes både ressursmessig og organisatorisk. Det skal videre utpekes myndigheter for overvåkning og oppfølging av flere av de aktuelle direktivene og forordningene fra EU, og det vil være et sterkt behov for samordning og samarbeid mellom Datatilsynet og eventuelle andre organer som utpekes i henhold til nye direktiver og forordninger.
Evaluering fra DFØ (Direktoratet for forvaltning og økonomistyring) har også påpekt at tilsynet må bli en mer konstruktiv veileder for offentlige og private virksomheter, samtidig som det må utvikle bedre strategisk samarbeid med andre offentlige organer.(7)DFØ-rapport 2024:8 Både vaktbikkje og førerhund? En evaluering av Datatilsynet
6.3. Overregulering og behov for forenklinger
Personvern har gått fra å være et nisjeområde på 1970-tallet til å bli en sentral del av den moderne digitale økonomien. Fra innføringen av den norske personregisterloven til GDPRs strenge krav, har personvernet utviklet seg i takt med den teknologiske utviklingen – om enn noe på etterskudd. Fremover vil det være nødvendig å balansere innovasjon med personvernkrav, særlig i lys av AI, store data og skytjenester. For å sikre at personvernet fortsatt blir ivaretatt, må både lovgivning og tilsynsmyndigheter som Datatilsynet styrkes og tilpasses det digitale landskapet.
Fremover vil det være nødvendig å balansere innovasjon med personvernkrav, særlig i lys av AI, store data og skytjenester.
Samtidig er det etter min oppfatning helt nødvendig å avverge den nåværende trenden i retning av en overregulering av det digitale området. Slik overregulering hindrer utviklingen og legger en alvorlig demper på innovasjonskraften i næringsliv og offentlig forvaltning.
Ifølge NHO er 99 % av norske bedrifter små og mellomstore bedrifter (SMB) (bedrifter med færre enn 100 ansatte), og mer enn 56 % av alle ansatte i privat sektor arbeider i SMB-bedrifter. Det er åpenbart at slike bedrifter har begrenset med ressurser til omfattende compliance-arbeid og tolkning og tilpasning til omfattende, skjønnsmessige regler som GDPR.
Internasjonalt kan man registrere en økende diskusjon om EU gjennom sin regulerings-iver er i ferd med å kvele innovasjon og utvikling, slik at EU-landene blir hengende etter i den internasjonale teknologiutviklingen og i produktivitetsutviklingen.
I de senere årene har de fleste virksomheter, inkludert amerikanske selskaper, blitt konfrontert med et økende antall krevende europeiske digitale reguleringer med omfattende ekstraterritoriale effekter. Innflytelsesrike europeiske stemmer spør om ikke dette nå ha gått for langt, og om de omfattende reguleringene ikke undergraver Europas konkurranseevne.
Mario Draghi, tidligere sjef for den europeiske sentralbanken målbar disse bekymringene i en rapport(8)The future of European competitiveness – Part A | A competitiveness strategy for Europe – September 2024 i september 2024. Rapporten var bestilt av kommisjonens leder Ursula von der Leyen. Draghi hevdet at EU-kommisjonens «lovgivningsaktivitet har vokst overdrevet» de siste årene, og at «innovative selskaper som ønsker å skalere opp i Europa blir hindret på alle trinn av inkonsekvente og restriktive reguleringer.»
Ursula von der Leyen tok bl. a tak i dette i sin tale til Europaparlamentets plenarforsamling om det nye kommissærkollegiet og dets program den 27.november 2024(9)Speech by President von der Leyen at the European Parliament Plenary on the new College of Commissioners and its programme, der hun bl.a. la vekt på at Europa for å kunne ta igjen innovasjonskraft, må EU gjøre ting enklere for europeiske bedrifter. Bedriftene forteller at reguleringsbyrden veier tungt på dem. Det er for mye rapportering, og for mange overlappende regelverk, som det er for komplekst og kostbart å overholde. Reglene må iflg von der Leyen effektiviseres for å redusere byrden på bedrifter. Og det må være forutsigbart for bedriftene hva som forventes av dem. På denne bakgrunn har von der Leyen bedt en av EUs mest erfarne kommissærer, Valdis Dombrovskis, om å ta ledelsen når det gjelder forenkling og implementering. Han vil også være ansvarlig for å øke Europas økonomi og produktivitet.
Ett av kommisjonens første skritt i det nye mandatet vil iflg. von der Leyen være en ny tverrsektoriell lovgivning. Kommisjonen vil se på ulike sektorer og vurdere den europeiske lovgivningen. EUs indre marked har alltid vært den største motoren for vekst. Den største styrken til det indre markedet er at det erstatter de utallige nasjonale standarder og forretningspraksis med ett enkelt sett med regler. Så EU må ifølge von der Leyen komme tilbake til det som det indre markedet gjør best: å gjøre forretninger enkelt over hele Europa.
Dette er jo lovende ord fra en av Europas mektigste byråkrater – men det gjenstår å se om det kommer konkrete forenklinger ut av dette. Jeg er noe skeptisk når første skritt i forenklingen skal være å etablere ny tverrsektoriell lovgivning!
Noter
- Basert på Wikipedia
- NOU 2009 kapittel 4.1.5
- Erik Samuelsen – Statlige databanker og personlighetsvern – Universitetsforlaget 1972
- Complex nr. 1/1983 Utredning om endringer i Personregisterloven
- EU-direktiv 95/46/EF
- LOV av 15.6.2018 nr. 38
- DFØ-rapport 2024:8 Både vaktbikkje og førerhund? En evaluering av Datatilsynet
- The future of European competitiveness – Part A | A competitiveness strategy for Europe – September 2024
- Speech by President von der Leyen at the European Parliament Plenary on the new College of Commissioners and its programme