4. Øvrige personvernvurderinger

På denne siden:

4.1 Nødvendighet og proporsjonalitet

Vi har tidligere gjort rede for flere opplysningstyper som behandles i Altinn og noen av de viktige samfunnsmålene som Altinn og tjenesteeierne skal bidra til.

Vi viser videre til regjeringens digitaliseringsstrategi, som sier at arbeidet med innovasjon i offentlig sektor må forsterkes, tempoet i digitaliseringen av offentlig sektor skal øke ytterligere, og samarbeidet med privat sektor skal forsterkes. Lover og regler må tilpasses digitale løsninger.

Vår forståelse er også at det overveldende flertallet av brukerne ønsker digitale løsninger, og forventer det. Altinn sin tilnærming til realiseringen av digitale tjenester har som målsetting å sette brukeren i fokus, og la brukeren så langt som mulig styre og ta eierskap til egne data.

I lys av de samfunnsmål Altinn og tjenesteeierne skal bidra til, og regjeringens ambisjoner for økt digitalisering, er vår vurdering at behandlingsaktivitetene som skjer i Altinn er nødvendige og står i rimelig forhold til formålene.

4.1.1 Dataminimering

På generelt grunnlag gjør digitalisert databehandling at det kan behandles færre potensielle personopplysninger enn alternative/tidligere løsninger, for eksempel ved videre distribusjon av hele skjema på papir – versus dagens mulighet til bare å gjenbruke eller videredistribuere enkelte datafelter.

Digdir som forvalter av Altinn har imidlertid ikke mulighet til å etterprøve og overprøve tjenesteeiernes hjemmelsgrunnlag og vurderinger av hvilke opplysninger som er nødvendige i den enkelte tjeneste.

For fellesfunksjonalitet i Altinn er det gjort vurderinger av hva som er nødvendig for eksempel i forbindelse med logging av brukerens aktiviteter. Det er også slik at bruk av en offentlig felleskomponent som Altinn gjør at ikke den enkelte offentlige virksomhet trenger å ha kopier av grunndataregistre mv.

4.1.2 Riktighet

Opplysningene som formidles gjennom Altinn stammer fra de autoritative kildene til disse opplysningene; forskjellige grunndataregistre og tjenesteeiere. Disse får sine opplysninger fra privatpersonene og de virksomhetene opplysningene gjelder. Disse vil dermed ha incentiver til å rette opp feilaktig informasjon registrert hos disse etatene.

At opplysningene hentes fra de autoritative kildene gjør at Altinn kan stole på riktigheten av opplysningene. Gjenbruk av opplysninger fra grunndataregistre gjør at eventuelle feil vil kunne oppdages raskt av den registrerte, som da kan ta kontakt med datakilden for å rette opplysningene.

4.1.3 Lagringsbegrensning og sletting

I utviklingen av nye komponenter i Altinn 3, er det et fokus på å minimere lagringen av personopplysninger. Det er et mål om bare å lagre én instans av en opplysning, og planer om å innføre strengere saneringsbestemmelser – om ikke den registrerte selv ønsker å ha opplysningene lagret i Altinn av praktiske hensyn.

4.2 De registrertes rettigheter

4.2.1 Rett til informasjon og innsyn

De registrerte skal som hovedregel motta informasjon om behandlingen før den iverksettes, jf. GDPR art. 13 og 14. Dette er i stor grad en informasjonsplikt som påhviler den behandlingsansvarlige som samler inn personopplysningene fra den registrerte.

Det foreligger også praktiske unntak fra informasjonsplikten i art. 14 nr. 5, som gjelder for behandling av personopplysninger som ikke er samlet inn fra den registrerte.

Altinn er i stor grad databehandler for tjenesteeierne, som er behandlingsansvarlige, og derfor er underlagt informasjonsplikten i art. 13.

For de tilfeller hvor Altinn er behandlingsansvarlig for personopplysninger vi selv ikke har samlet inn fra den registrerte, for eksempel i form av kopi av grunndataregistre, anser vi at unntakene i art. 14 nr. 5 kommer til anvendelse.

Altinn har likevel personvernerklæring på sine nettsider, med informasjon om hvilke personopplysninger som behandles om den enkelte.

4.2.2 Rett til retting og sletting

Retting av de opplysningene som formidles av Altinn må skje hos kilden; henholdsvis forvalterne av grunndatakildene eller tjenesteeierne, i henhold til deres regelverk/rutiner for slik retting. Dersom feil oppstår i fellesfunksjonalitet i Altinn, kan den registrerte henvende seg til Digdir v/ASF.

Den registrerte har etter GDPR art. 17 som utgangspunkt rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold på nærmere vilkår, jf. nr. 1 bokstav a til f og nr. 2.

4.2.3 Rett til begrensning av behandling

Etter GDPR art. 18 nr. 1 har den registrerte som hovedregel rett til å kreve at behandlingen av personopplysninger begrenses dersom nærmere bestemte vilkår er oppfylt.

Dersom behandlingen begrenses etter nr. 1 kan opplysningene lagres og ellers bare behandles med den registrertes samtykke eller for visse formål, jf. GDPR art. 18 nr. 2.

4.2.4 Rett til dataportabilitet

Retten til dataportabilitet innebærer to ting:

• Den enkelte har rett til å få utlevert personopplysningene sine og å lagre disse på en privat enhet til videre og personlig bruk.
• Den enkelte har rett til å flytte, kopiere eller overføre personopplysningene sine fra en virksomhet til en annen.

Personopplysningene som den enkelte ønsker utlevert må være samlet inn av virksomheten på bakgrunn av samtykke eller kontrakt. Retten til dataportabilitet gjelder videre kun opplysninger som den enkelte selv har gitt til virksomheten. Personopplysninger som ikke er samlet inn direkte fra den enkelte er ikke omfattet av denne retten, jf. Datatilsynets veileder om retten til dataportabilitet.

Altinn samler inn svært begrenset med personopplysninger direkte fra den registrerte i forbindelse med fellesfunksjonalitet i løsningen. Det kan blant annet være snakk om epost-adresse og telefonnummer i forbindelse med oppsett av varslinger. Dette er opplysninger den registrerte enkelt kan slette eller benytte i andre sammenhenger.

Vår vurdering er at den registrertes rett til dataportabilitet uansett ikke gjelder på grunn av unntaket i GDPR art. 20 nr. 3 om behandlinger som er nødvendig for å utføre oppgaver i allmennhetens interesse eller for utøvingen av offentlig myndighet.

For eventuell rett til portabilitet av personopplysningene som er samlet inn av virksomhetene som bruker Altinn, må den registrerte henvende seg direkte til disse virksomhetene.

4.2.5 Rett til å protestere

Retten til å protestere mot behandling av personopplysninger gjelder ikke når den behandlingsvarlige kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav, jf. GDPR art. 21 nr. 1 og art. 6 nr. 1 e).

Digdir vurderer det slik at behandlingen av personopplysninger som skjer i fellesfunksjonalitet i Altinn faller inn under de nevnte unntakene.

4.2.6 Rett til ikke å være gjenstand for automatiserte individuelle avgjørelser

Digdir foretar ingen automatiserte individuelle avgjørelser i Altinn.

Den registrerte må utøve sin reservasjonsrett i denne forbindelse overfor den enkelte tjenesteeier i Altinn, som er behandlingsansvarlig for sine tjeneste og bruk av personopplysninger i disse tjenestene.

4.3 De registrertes friheter

4.3.1 Rett til privatliv og kommunikasjonsvern

Norges menneskerettslige forpliktelser setter ytre rammer for det personvernnivået innbyggerne har.

Norske offentlige virksomheter må legge den europeiske menneskerettighetskonvensjonen (EMK) til grunn for hvilke rettigheter borgerne i Norge har krav på¹.

For personvern er EMK artikkel 8 den sentrale bestemmelsen.

EMK artikkel 8 nr. 1 angir at «Everyone has the right to respect for his private and family life, his home and his correspondence». Retten til personvern er omfattet av denne bestemmelsen.

Som for flere andre menneskerettigheter, gir ikke EMK artikkel 8 absolutte rettigheter. I bestemmelsens nr. 2 fremgår det på hvilke vilkår rettighetene i nr. 1, herunder retten til personvern, kan innskrenkes.

Det må skilles mellom et inngrep og en krenkelse. Det må derfor først vurderes om det foreligger et inngrep i en eller flere av rettighetene i EMK artikkel 8 nr. 1. Dersom det foreligger et inngrep, må en se om dette inngrepet oppfyller vilkårene i EMK artikkel 8 nr. 2. Inngrepet må være «in accordance with the law» og «necessary in a democratic society» og forfølge et legitimt formål. Vilkårene er nærmere utviklet igjennom rettspraksis². Vilkåret «necessary in a democratic society» gir uttrykk for en proporsjonalitetsvurdering. I denne vurderingen ser man hen til i hvilken grad de øvrige vilkårene er oppfylt og om de står i forhold til alvorligheten av inngrepet. Jo større inngrepet er, jo viktigere er det at det foreligger mekanismer som ivaretar individets rettsikkerhet. Det foreligger ingen krenkelse av rettigheten dersom vilkårene i annet ledd er oppfylt.

I personvernforordningen følger forholdet mellom inngrep og krenkelse direkte av fortalens avsnitt 4 og kommer blant annet til uttrykk i unntaksbestemmelsene i personvernforordningen, se for eksempel artikkel 23. I likhet med EMK artikkel 8 nr. 2 må inngrep og unntak i hovedtrekk være fastsatt i lov, følge et legitimt formål og være proporsjonale³.

EMK forplikter statene som har ratifisert konvensjonen. Forpliktelsene innebærer både negative og positive forpliktelser. Negative forpliktelser innebærer at statene må avstå fra inngrep som medfører krenkelser. Positive forpliktelser innebærer at statene må sikre et nivå som gjør at rettighetene ikke blir krenket, jf. EMK artikkel 1. I det videre benyttes «medlemsstat» om en stat som har ratifisert EMK, og med tredjeland menes en stat som ikke har ratifisert EMK.

Digdir benytter amerikanske skytjenester hvor lokasjon er satt til Norge og EU/EØS.

Når en skytjenesteleverandør opererer i Norge og EU/EØS skjer det i utgangspunktet ingen overføring. Det er derfor ingen overføringsmekanisme som tredjelandets etterretningslovgivning kan vurderes i forlengelse av.

En vil kanskje si at ved bruk av skytjenester også i Norge og EU/EØS kan risikoen for at tredjelands etterretning vil få tilgang til opplysninger påvirke retten til privatliv etter EMK artikkel 8. Digdir legger til grunn at alle land driver med etterretning. Et lands etterretningslovgivning kan gi viktige indikasjoner på hvor stor risikoen er. Etterretningslovgivningen kan likevel ikke være avgjørende. Det er fortsatt en risiko for etterretning selv om det ikke er mulig å identifisere lovgivning som databehandleren er underlagt.

Deretter vil en måtte vurdere om vernenivået innbyggeren har krav på etter anvendelse av personvernforordningens bestemmelser er oppfylt. Dette vil måtte vurderes konkret. Med utgangspunkt i rettspraksis kan det likevel kanskje sies at relevante elementer kan være:

• Forholdsmessighet
• Rettsikkerhetsmekanismer som gjør et inngrep mer forholdsmessig
  • Muligheten til å forutse sin rettsposisjon
  • Muligheten til å klage
  • Mulighet til å stanse den problematiske databehandlingen
    • Hvorvidt Datatilsynet kan pålegge en stans.
  • Tilgang til domstol

Digdir legger til grunn at GDPR artikkel 32 igjen er den sentrale bestemmelsen for en slik vurdering, og i vurderingen er det relevant å se hvilke rettssikkerhetsmekanismer den registrerte har. Vi henviser derfor til kapitlene om vurdering av etterretningsrisiko og helhetsvurdering av databehandleren.

Generelt vil vi imidlertid bemerke at det også tas hensyn til den registrerte rett til privatliv ved:

• formålsbegrensning
• dataminimering
• utlevering av personopplysninger i grunndataregister bare til virksomheter med lovhjemlet behandlingsgrunnlag
• beskyttelse av personopplysningene
• begrenset omfang av personopplysninger i loggen

Digdir anser derfor, etter en helhetsvurdering, at de behandlinger av personopplysninger som vi er behandlingsansvarlige for i Altinn 3, ikke utgjør et inngrep i den registrertes korrespondanse, og heller ikke i den registrertes familieliv og hjem.

4.3.2 Diskrimineringsvern og tanke-, samvittighets- og religionsfrihet

EMK art. 9 slår fast at enhver har rett til tankefrihet, samvittighetsfrihet og religionsfrihet; denne rett omfatter frihet til å skifte sin religion eller overbevisning, og frihet til enten alene eller sammen med andre og såvel offentlig som privat å gi uttrykk for sin religion eller overbevisning, ved tilbedelse, undervisning, praksis og etterlevelse.

Frihet til å gi uttrykk for sin religion eller overbevisning skal bare bli undergitt slike begrensninger som er foreskrevet ved lov og er nødvendige i et demokratisk samfunn av hensyn til den offentlige trygghet, for å beskytte den offentlige orden, helse eller moral, eller for å beskytte andres rettigheter og friheter.

Art. 14 slår fast et forbud mot diskriminering. Utøvelsen av de rettigheter og friheter som er fastlagt i EMK skal bli sikret uten diskriminering på noe grunnlag slik som kjønn, rase, farge, språk, religion, politisk eller annen oppfatning, nasjonal eller sosial opprinnelse, tilknytning til en nasjonal minoritet, eiendom, fødsel eller annen status.

Vår vurdering er at Altinn hverken selv, eller som databehandler for noen av tjenesteeierne, diskriminerer noen eller innskrenker noens tanke-, samvittighets- eller religionsfrihet.

4.3.3 Ytrings- og informasjonsfrihetsvern

Ytringsfriheten består i en rett til å ytre seg og til å gi eller motta opplysninger (informasjonsfrihet) uten innblanding fra myndighetene. Retten til ytringsfrihet er nedfelt i EMK art. 10, SP art. 19 og i Grunnloven § 100.

Det tas hensyn til den registrertes rett til ytringsfrihet ved at den registrerte kan ivareta sin rett til å kreve innsyn i registrerte personopplysninger, samt at han kan påpeke feil i registrerte opplysninger hos datakildene.