1. Våre Hovedpunkter
Vi viser til Kommunal- og distriktsdepartementets høring av Personvernkommisjonens rapport «Ditt personvern – vårt felles ansvar». KS gir her sitt svar på høringen.
Våre hovedpunkter er følgende:
Vi begrunner disse punktene nærmere nedenfor.
Våre hovedpunkter er følgende:
Vi begrunner disse punktene nærmere nedenfor.
2. Nærmere om kommisjonens kapittel om regelkompleksitet og nasjonalt handlingsrom
KS er enig i beskrivelsen av at norske myndigheter ikke bør akseptere en situasjon der det er vanskelig å finne ut av hvilke regler som gjelder, og hvordan disse skal forstås. Dette fremstår også som et svært viktig punkt for videre oppfølging av personvernområdet. Vi er enige i at hensynet til rettsbeskyttelsen av den enkelte, og rettssikkerheten for behandlingsansvarlige og databehandlere tilsier et kontinuerlig arbeid for å gjøre rettsreglene så forståelige som mulig.
KS slutter seg til Personvernkommisjonens forslag om at Regjeringen bør delta aktivt i rettslige og politiske prosesser i EU for å bedre personvernregelverket.
Personvernkommisjonen anbefaler at det bygges kompetanse innen EU- og EØS-rett i forvaltningen, for å sikre gode prosesser i lovarbeid. KS er enig i dette. Det er viktig at denne kompetansen også angir grensene for hvor langt EØS-forpliktelsene rekker. I offentlig sektor kan usikkerhet rundt begrensningene i personvernregelverket forsinke eller hindre viktige tiltak.
Personvernkommisjonen mener det er generelt behov for å klargjøre det rettslige grunnlaget for behandling av personopplysninger knyttet til offentlig sektor. Dette er vi i utgangspunktet enig i. Til dels kan det være spørsmål om å klargjøre hvor vidt eller snevert de aktuelle behandlingsgrunnlagene for offentlig sektor i GDPR artikkel 6 kan tolkes. Dette er det lite veiledende rettspraksis om. Vi er imidlertid ikke generelt enig i at en presisering av dette bør føre til at mulige fremtidige ønsker om endret og utvidet adgang til å behandle personopplysninger nødvendigvis skal kreve nye politiske vedtak. Selv om det er uklart hvor vidt enkelte av hjemlene i GDPR artikkel 6 kan tolkes, er det på det rene at GDPR selv forutsetter at dette må kunne vurderes uten politiske vedtak. Dette er etter vårt syn nødvendig av hensyn til forholdsmessighet og effektiv drift av offentlig sektor.
Personvernkommisjonens mandat for personvern i offentlig sektor knyttet seg til behandling av personopplysninger til andre formål enn innsamlingsformålet, og å gi en vurdering av de negative personvernkonsekvensene sett opp mot fordelene. Kommisjonen har imidlertid valgt å se bredere på personvernets status i offentlig sektor.
KS minner om at utgangspunktet for offentlig sektor er at gjennomføringen av personvernforordningen generelt er frivillig fra norsk side. Det er i utgangspunktet kun EØS-rettslig påkrevd å gjennomføre personvernforordningen i EØS-avtalens saklige virkeområde, som i hovedsak knytter seg til økonomisk aktivitet. Dette innebærer også at det nasjonale handlingsrommet er vidt når det gjelder hvilke personvernforpliktelser som offentlig sektor skal pålegges.
Personvernkommisjonen mener tiltak med stor innvirkning på innbyggernes personvern bør hjemles i lov, i stedet for å forskriftsfestes. På den måten får Stortinget muligheten til å ha oversikt over forvaltningens behandling av personopplysninger. Dette forslaget vurderer vi ikke som realistisk eller hensiktsmessig. Forskriftshjemler er nødvendig på en rekke områder, blant annet på grunn av gjennomføring av EØS-regelverk. Forskriftsregulering har også fordelen at det er mer fleksibelt.
Personvernkommisjonen anbefaler at offentlig forvaltning generelt offentliggjør vurderinger av om formålet med en viderebehandling av innbyggernes personopplysninger er forenlig med det opprinnelige innsamlingsformålet, og hvor stort inngrep viderebehandlingen innebærer. Vi er noe usikker på hvor generelt forslaget er ment å være. Det kan tenkes å være problematisk ut fra personvernhensyn å offentliggjøre slike vurderinger. Eventuell offentliggjøring må uansett avveies mot andre hensyn.
Personvernkommisjonen mener det er behov for et rådgivende og frittstående organ for forvaltningen som særlig skal vurdere og drøfte prinsipielle og generelle spørsmål knyttet til bruk av personopplysninger i offentlig forvaltning, herunder samfunnsmessige og etiske spørsmål. Vi er ikke enige i dette. Forvaltningsorganene selv må være rustet til denne oppgaven.
Generelt fremstår det fornuftig at man i lovarbeid vurderer om eksisterende regelverk er tilstrekkelig når det gjelder personvern, og om det nasjonale handlingsrommet i personvernforordningen skal brukes. Nasjonale bestemmelser kan gi klarere og mer utfyllende regler, og dermed større grad av forutberegnelighet for innbyggerne.
Vi er enige i behovet for at offentlig forvaltning styrker personvernkompetansen til ledere, saksbehandlere og andre ansatte som har behov for slik kompetanse. Dette krever samtidig både ressurser. Gode opplæringsmuligheter kan også være avhengig av mer forskning og undervisningstilbud innen personvern i utdanningssektoren.
Det fremstår også som et godt forslag at offentlig forvaltning offentliggjør vurderinger av personvernkonsekvenser i forbindelse med lov- og forskriftsarbeid.
Personvernkommisjonen anbefaler at ansvarsfordelingen i større grad lov- eller forskriftsfestes der hvor deling av personopplysninger inngår som del av et større samarbeid mellom forvaltningsorganer, og hvor uklarhet kan medføre alvorlige personvernkonsekvenser. Hvorvidt dette er en god løsning, beror etter vårt syn i stor grad på de konkrete omstendighetene. Generelt skal kravene til håndtering av felles behandlingsansvar etter personvernforordningen skape tilstrekkelig klarhet for berørte privatpersoner. Etter KS syn er det generelt et behov for forholdsvis vide hjemler til å dele personopplysninger mellom forvaltningsorganer. Personvernet vil da være ivaretatt gjennom kravene i personvernforordningen.
Vårt generelle inntrykk er ellers at deling av taushetsbelagte opplysninger og personopplysninger for øvrig mellom forvaltningsorganer, ofte fremstår rettslig krevende som følge av et uklart regelverk.
Vi er ellers positive til forslaget om at regjeringen utreder om en samtykkebasert gjennomføring av «kun-en-gang»-prinsippet kan avhjelpe noen av personvernulempene som oppstår ved deling av personopplysninger mellom offentlige etater.
Personvernkommisjonen mener offentlige virksomheter må gjøre grundige vurderinger av om de skal benytte sosiale medier for å gi informasjon og kommunisere med innbyggerne. Sosiale medier bør ikke brukes i konkret enkeltsaksbehandling. Vi bemerker at det rettslige kravet til vurdering av personvernkonsekvenser etter GDPR artikkel 35 i stor grad synes å være en følge av at personvernregelverket ikke håndheves tilstrekkelig effektivt overfor de aller største og viktigste teknologiselskapene. Det bør være en høy prioritering at håndhevingen er effektiv overfor disse aktørene, i stedet for at personvernansvaret havner hos offentlig sektor eller mindre virksomheter alene fordi håndhevelsen overfor de største aktørene er krevende. Dette synes i stor grad å måtte skje gjennom norsk påvirkning på – og samarbeid med – personvernarbeidet ellers i EU/EØS-området.
Personvernkommisjonen mener det er viktig at det gjøres både personvern- og datastrategiske vurderinger når det offentlige benytter tjenester fra store teknologiselskaper. Fordi spørsmålene ofte er likelydende, bør forvaltningen samarbeide på tvers av sektorer og nivåer for å sikre høy faglig kvalitet og god bruk av ressurser. Vi er enige i dette forslaget.
Personvernkommisjonen mener offentlig forvaltning må tilgjengeliggjøre informasjon til innbyggerne i digitale løsninger der personopplysninger samles inn og brukes av kommersielle aktører til kommersielle formål, som for eksempel til å bygge og berike profiler eller deles med tredjeparter. Vi mener at ansvaret for personopplysninger som kommersielle aktører samler inn og bruker til kommersielle formål må ligge hos de kommersielle aktørene selv. Det kan likevel være grunn til å vurdere om ekstra tiltak fra offentlig forvaltning kan være hensiktsmessig i særlige tilfeller.
Personvernkommisjonen anbefaler at regjeringen gir tiltaket «Felles sikkerhet i forvaltningen» prioritet som et sentralt finansiert tiltak. Statlige virksomheter med tilgrensende ansvarsområder gis oppdrag i tildelingsbrev om å bidra inn i dette arbeidet. KS er enig i denne anbefalingen.
Personvernkommisjonen går ikke inn i offentleglova som et problemområde for personvern. Det er imidlertid slik at reglene om offentlig innsyn i forvaltningens dokumenter, kan skape utfordringer personvernet. Forvaltningen opplever av og til innsynskrav rettet mot enkeltpersoner. Dette kan eksempelvis gjelde innsyn i ansattes personalmapper, eller innsyn i all skriftlig kommunikasjon til en ansatt. Hensynet til personvern er ikke i seg selv et grunnlag for å unnta dokumenter fra offentlighet, med mindre det er tale om taushetsbelagte opplysninger. Etter vårt syn kan det være grunn til å vurdere om det er behov for endringer eller presiseringer av offentleglova, for å sikre at personvernet i tilstrekkelig grad ivaretas ved innsynskrav.
Personvernkommisjonen slutter seg til Digitaliseringsdirektoratets mulighetsstudie av innsynsløsning i offentlig sektor for personopplysninger. Vi peker på at dette kun er en mulighetsstudie. Den redegjør ikke for økonomiske og administrative konsekvenser. Forslagene er særdeles omfattende. KS mener forslagene må utredes nærmere før man eventuelt kan vurdere i hvilken grad de bør bli nasjonal politikk.
Personvernkommisjonen mener det må etableres en helhetlig og offentlig statlig personvernpolitikk i skole- og barnehagesektoren. Innholdet går i hovedsak ut på å ivareta barn og unges personvern i sektoren. KS oppfatter at slik politikk i stor grad allerede uttrykt gjennom lovverk og læreplaner. KS samarbeider med KD om utvikling av en felles strategi for digitalisering i skole og barnehage 2023–2030, og kommunal sektor har vært pådriver for å få en nasjonal satsning og samordning på informasjonssikkerhet og personvern i strategiarbeidet. Et viktig punkt i arbeidet fremover er derfor å gjennomføre allerede vedtatt politikk best mulig. KS er i så måte i det vesentlige enige i tiltakene som er skissert.
KS støtter forslaget om en nasjonal tjenestekatalog for digitale læringsmidler.
Når det gjelder en personvernnorm for skole- og barnehagesektoren, er KS usikker på hva kommisjonen legger i dette forslaget. Vi støtter intensjonen om at det nasjonalt bør utvikles normgivende veiledninger og kommuniseres forventninger til leverandører på enkelte områder og knyttet til enkelte rettigheter og krav. KS peker på at personvernforordningen som utgangspunkt gjelder som lov og norm på området, men vi ser at det på enkelte områder er nyttig med mer sektortilpasset veiledning.
Personvernkommisjonen mener det er avgjørende for personvernet til barn i skole og barnehage at kommunene sikres tilstrekkelige personvernressurser, herunder tilgang på ressurser med grunnleggende teknologikompetanse. KS er enig i behovet for personvernkompetanse i sektoren. KS’ prosjekt «SkoleSec» bidrar med praktisk rettet veiledning mot skoler og barnehager på dette området. Erfaringene med dette prosjektet er gode. Det er etter KS’ syn god ressursbruk fra statens side å støtte slike prosjekter.
Vi peker også på at personvernkompetanse også er nødvendig for å unngå at feiltolkning personvernreglene hindrer sektoren. Vi viser til kommisjonens eksempel (s. 131) med at flere skoler har unnlatt å dele klasselister i frykt for å bryte personvernregelverket. Det er flere slike eksempler med feiltolkninger fra alle deler av offentlig sektor. Slike utfordringer er imidlertid i liten grad drøftet eller vurdert av kommisjonen. Det er imidlertid viktig å unngå slike feiltolkninger av personvernregelverket. Det handler både om å ivareta viktige offentlige hensyn, men også om å ivareta legitimiteten til personvernregelverket. Legitimiteten skades dersom personvernregelverket på grunn av feiltolkninger oppfattes som et unødvendig byråkrati.
Personvernkommisjonen mener innkjøp og forhandlinger, spesielt fra de store plattformleverandørene, bør profesjonaliseres og sentraliseres. Statlige myndigheter og/eller KS bør gå aktivt inn å bistå kommunene i forhandlinger med plattformleverandørene for å avhjelpe maktskjevheten mange småkommuner står i. KS er positiv til dette forslaget. KS arbeider i dag til dels i denne retningen i prosjektet «SkoleSec». Slike ordninger må gjøres innenfor rammen av personvernforordningen, og det kommunale selvstyret.
Etter KS syn kan en mer effektiv håndhevelse av personvernregelverket overfor plattformleverandørene også redusere behovet for forhandlinger for den enkelte behandlingsansvarlige.
Personvernkommisjonen anbefaler at regjeringen arbeider for å opprette tilsynsmyndigheter på europeisk nivå med myndighet og ansvar for å sørge for effektiv håndhevelse av personvernregelverket overfor de globale plattformaktørene, tilsvarende bestemmelsene som er inntatt i Digital Markets Act. KS støtter denne anbefalingen. Effektiv håndhevelse overfor de globale plattformaktørene er viktig for å sikre personvern i offentlig sektor.
KS mener videre at Datatilsynet i større grad bør fokusere på veiledningsrollen enn tilfellet er i dag. Hovedutfordringen for etterlevelsen av personvernregelverket er etter vårt syn ikke manglende vilje, men manglende evne. Dette løses best med veiledning, enn med tilsyn og sanksjoner. KS er ellers enig i at andre myndighetsorganer enn Datatilsynet også bør kunne veilede om personvernspørsmål på deres område. Dette bør imidlertid ikke føre til at Datatilsynet selv konsentrerer seg mer om tilsyn og sanksjoner, enn om veiledning.
KS takker for muligheten til å gi vårt syn på Personvernkommisjonens utredning, og er tilgjengelige ved eventuelle spørsmål.
Administrerende direktør
Områdedirektør KS Advokatene
Dokumentet er elektronisk godkjent og har ingen signatur
KS slutter seg til Personvernkommisjonens forslag om at Regjeringen bør delta aktivt i rettslige og politiske prosesser i EU for å bedre personvernregelverket.
Personvernkommisjonen anbefaler at det bygges kompetanse innen EU- og EØS-rett i forvaltningen, for å sikre gode prosesser i lovarbeid. KS er enig i dette. Det er viktig at denne kompetansen også angir grensene for hvor langt EØS-forpliktelsene rekker. I offentlig sektor kan usikkerhet rundt begrensningene i personvernregelverket forsinke eller hindre viktige tiltak.
Personvernkommisjonen mener det er generelt behov for å klargjøre det rettslige grunnlaget for behandling av personopplysninger knyttet til offentlig sektor. Dette er vi i utgangspunktet enig i. Til dels kan det være spørsmål om å klargjøre hvor vidt eller snevert de aktuelle behandlingsgrunnlagene for offentlig sektor i GDPR artikkel 6 kan tolkes. Dette er det lite veiledende rettspraksis om. Vi er imidlertid ikke generelt enig i at en presisering av dette bør føre til at mulige fremtidige ønsker om endret og utvidet adgang til å behandle personopplysninger nødvendigvis skal kreve nye politiske vedtak. Selv om det er uklart hvor vidt enkelte av hjemlene i GDPR artikkel 6 kan tolkes, er det på det rene at GDPR selv forutsetter at dette må kunne vurderes uten politiske vedtak. Dette er etter vårt syn nødvendig av hensyn til forholdsmessighet og effektiv drift av offentlig sektor.
Personvernkommisjonens mandat for personvern i offentlig sektor knyttet seg til behandling av personopplysninger til andre formål enn innsamlingsformålet, og å gi en vurdering av de negative personvernkonsekvensene sett opp mot fordelene. Kommisjonen har imidlertid valgt å se bredere på personvernets status i offentlig sektor.
KS minner om at utgangspunktet for offentlig sektor er at gjennomføringen av personvernforordningen generelt er frivillig fra norsk side. Det er i utgangspunktet kun EØS-rettslig påkrevd å gjennomføre personvernforordningen i EØS-avtalens saklige virkeområde, som i hovedsak knytter seg til økonomisk aktivitet. Dette innebærer også at det nasjonale handlingsrommet er vidt når det gjelder hvilke personvernforpliktelser som offentlig sektor skal pålegges.
Personvernkommisjonen mener tiltak med stor innvirkning på innbyggernes personvern bør hjemles i lov, i stedet for å forskriftsfestes. På den måten får Stortinget muligheten til å ha oversikt over forvaltningens behandling av personopplysninger. Dette forslaget vurderer vi ikke som realistisk eller hensiktsmessig. Forskriftshjemler er nødvendig på en rekke områder, blant annet på grunn av gjennomføring av EØS-regelverk. Forskriftsregulering har også fordelen at det er mer fleksibelt.
Personvernkommisjonen anbefaler at offentlig forvaltning generelt offentliggjør vurderinger av om formålet med en viderebehandling av innbyggernes personopplysninger er forenlig med det opprinnelige innsamlingsformålet, og hvor stort inngrep viderebehandlingen innebærer. Vi er noe usikker på hvor generelt forslaget er ment å være. Det kan tenkes å være problematisk ut fra personvernhensyn å offentliggjøre slike vurderinger. Eventuell offentliggjøring må uansett avveies mot andre hensyn.
Personvernkommisjonen mener det er behov for et rådgivende og frittstående organ for forvaltningen som særlig skal vurdere og drøfte prinsipielle og generelle spørsmål knyttet til bruk av personopplysninger i offentlig forvaltning, herunder samfunnsmessige og etiske spørsmål. Vi er ikke enige i dette. Forvaltningsorganene selv må være rustet til denne oppgaven.
Generelt fremstår det fornuftig at man i lovarbeid vurderer om eksisterende regelverk er tilstrekkelig når det gjelder personvern, og om det nasjonale handlingsrommet i personvernforordningen skal brukes. Nasjonale bestemmelser kan gi klarere og mer utfyllende regler, og dermed større grad av forutberegnelighet for innbyggerne.
Vi er enige i behovet for at offentlig forvaltning styrker personvernkompetansen til ledere, saksbehandlere og andre ansatte som har behov for slik kompetanse. Dette krever samtidig både ressurser. Gode opplæringsmuligheter kan også være avhengig av mer forskning og undervisningstilbud innen personvern i utdanningssektoren.
Det fremstår også som et godt forslag at offentlig forvaltning offentliggjør vurderinger av personvernkonsekvenser i forbindelse med lov- og forskriftsarbeid.
Personvernkommisjonen anbefaler at ansvarsfordelingen i større grad lov- eller forskriftsfestes der hvor deling av personopplysninger inngår som del av et større samarbeid mellom forvaltningsorganer, og hvor uklarhet kan medføre alvorlige personvernkonsekvenser. Hvorvidt dette er en god løsning, beror etter vårt syn i stor grad på de konkrete omstendighetene. Generelt skal kravene til håndtering av felles behandlingsansvar etter personvernforordningen skape tilstrekkelig klarhet for berørte privatpersoner. Etter KS syn er det generelt et behov for forholdsvis vide hjemler til å dele personopplysninger mellom forvaltningsorganer. Personvernet vil da være ivaretatt gjennom kravene i personvernforordningen.
Vårt generelle inntrykk er ellers at deling av taushetsbelagte opplysninger og personopplysninger for øvrig mellom forvaltningsorganer, ofte fremstår rettslig krevende som følge av et uklart regelverk.
Vi er ellers positive til forslaget om at regjeringen utreder om en samtykkebasert gjennomføring av «kun-en-gang»-prinsippet kan avhjelpe noen av personvernulempene som oppstår ved deling av personopplysninger mellom offentlige etater.
Personvernkommisjonen mener offentlige virksomheter må gjøre grundige vurderinger av om de skal benytte sosiale medier for å gi informasjon og kommunisere med innbyggerne. Sosiale medier bør ikke brukes i konkret enkeltsaksbehandling. Vi bemerker at det rettslige kravet til vurdering av personvernkonsekvenser etter GDPR artikkel 35 i stor grad synes å være en følge av at personvernregelverket ikke håndheves tilstrekkelig effektivt overfor de aller største og viktigste teknologiselskapene. Det bør være en høy prioritering at håndhevingen er effektiv overfor disse aktørene, i stedet for at personvernansvaret havner hos offentlig sektor eller mindre virksomheter alene fordi håndhevelsen overfor de største aktørene er krevende. Dette synes i stor grad å måtte skje gjennom norsk påvirkning på – og samarbeid med – personvernarbeidet ellers i EU/EØS-området.
Personvernkommisjonen mener det er viktig at det gjøres både personvern- og datastrategiske vurderinger når det offentlige benytter tjenester fra store teknologiselskaper. Fordi spørsmålene ofte er likelydende, bør forvaltningen samarbeide på tvers av sektorer og nivåer for å sikre høy faglig kvalitet og god bruk av ressurser. Vi er enige i dette forslaget.
Personvernkommisjonen mener offentlig forvaltning må tilgjengeliggjøre informasjon til innbyggerne i digitale løsninger der personopplysninger samles inn og brukes av kommersielle aktører til kommersielle formål, som for eksempel til å bygge og berike profiler eller deles med tredjeparter. Vi mener at ansvaret for personopplysninger som kommersielle aktører samler inn og bruker til kommersielle formål må ligge hos de kommersielle aktørene selv. Det kan likevel være grunn til å vurdere om ekstra tiltak fra offentlig forvaltning kan være hensiktsmessig i særlige tilfeller.
Personvernkommisjonen anbefaler at regjeringen gir tiltaket «Felles sikkerhet i forvaltningen» prioritet som et sentralt finansiert tiltak. Statlige virksomheter med tilgrensende ansvarsområder gis oppdrag i tildelingsbrev om å bidra inn i dette arbeidet. KS er enig i denne anbefalingen.
Personvernkommisjonen går ikke inn i offentleglova som et problemområde for personvern. Det er imidlertid slik at reglene om offentlig innsyn i forvaltningens dokumenter, kan skape utfordringer personvernet. Forvaltningen opplever av og til innsynskrav rettet mot enkeltpersoner. Dette kan eksempelvis gjelde innsyn i ansattes personalmapper, eller innsyn i all skriftlig kommunikasjon til en ansatt. Hensynet til personvern er ikke i seg selv et grunnlag for å unnta dokumenter fra offentlighet, med mindre det er tale om taushetsbelagte opplysninger. Etter vårt syn kan det være grunn til å vurdere om det er behov for endringer eller presiseringer av offentleglova, for å sikre at personvernet i tilstrekkelig grad ivaretas ved innsynskrav.
Personvernkommisjonen slutter seg til Digitaliseringsdirektoratets mulighetsstudie av innsynsløsning i offentlig sektor for personopplysninger. Vi peker på at dette kun er en mulighetsstudie. Den redegjør ikke for økonomiske og administrative konsekvenser. Forslagene er særdeles omfattende. KS mener forslagene må utredes nærmere før man eventuelt kan vurdere i hvilken grad de bør bli nasjonal politikk.
Personvernkommisjonen mener det må etableres en helhetlig og offentlig statlig personvernpolitikk i skole- og barnehagesektoren. Innholdet går i hovedsak ut på å ivareta barn og unges personvern i sektoren. KS oppfatter at slik politikk i stor grad allerede uttrykt gjennom lovverk og læreplaner. KS samarbeider med KD om utvikling av en felles strategi for digitalisering i skole og barnehage 2023–2030, og kommunal sektor har vært pådriver for å få en nasjonal satsning og samordning på informasjonssikkerhet og personvern i strategiarbeidet. Et viktig punkt i arbeidet fremover er derfor å gjennomføre allerede vedtatt politikk best mulig. KS er i så måte i det vesentlige enige i tiltakene som er skissert.
KS støtter forslaget om en nasjonal tjenestekatalog for digitale læringsmidler.
Når det gjelder en personvernnorm for skole- og barnehagesektoren, er KS usikker på hva kommisjonen legger i dette forslaget. Vi støtter intensjonen om at det nasjonalt bør utvikles normgivende veiledninger og kommuniseres forventninger til leverandører på enkelte områder og knyttet til enkelte rettigheter og krav. KS peker på at personvernforordningen som utgangspunkt gjelder som lov og norm på området, men vi ser at det på enkelte områder er nyttig med mer sektortilpasset veiledning.
Personvernkommisjonen mener det er avgjørende for personvernet til barn i skole og barnehage at kommunene sikres tilstrekkelige personvernressurser, herunder tilgang på ressurser med grunnleggende teknologikompetanse. KS er enig i behovet for personvernkompetanse i sektoren. KS’ prosjekt «SkoleSec» bidrar med praktisk rettet veiledning mot skoler og barnehager på dette området. Erfaringene med dette prosjektet er gode. Det er etter KS’ syn god ressursbruk fra statens side å støtte slike prosjekter.
Vi peker også på at personvernkompetanse også er nødvendig for å unngå at feiltolkning personvernreglene hindrer sektoren. Vi viser til kommisjonens eksempel (s. 131) med at flere skoler har unnlatt å dele klasselister i frykt for å bryte personvernregelverket. Det er flere slike eksempler med feiltolkninger fra alle deler av offentlig sektor. Slike utfordringer er imidlertid i liten grad drøftet eller vurdert av kommisjonen. Det er imidlertid viktig å unngå slike feiltolkninger av personvernregelverket. Det handler både om å ivareta viktige offentlige hensyn, men også om å ivareta legitimiteten til personvernregelverket. Legitimiteten skades dersom personvernregelverket på grunn av feiltolkninger oppfattes som et unødvendig byråkrati.
Personvernkommisjonen mener innkjøp og forhandlinger, spesielt fra de store plattformleverandørene, bør profesjonaliseres og sentraliseres. Statlige myndigheter og/eller KS bør gå aktivt inn å bistå kommunene i forhandlinger med plattformleverandørene for å avhjelpe maktskjevheten mange småkommuner står i. KS er positiv til dette forslaget. KS arbeider i dag til dels i denne retningen i prosjektet «SkoleSec». Slike ordninger må gjøres innenfor rammen av personvernforordningen, og det kommunale selvstyret.
Etter KS syn kan en mer effektiv håndhevelse av personvernregelverket overfor plattformleverandørene også redusere behovet for forhandlinger for den enkelte behandlingsansvarlige.
Personvernkommisjonen anbefaler at regjeringen arbeider for å opprette tilsynsmyndigheter på europeisk nivå med myndighet og ansvar for å sørge for effektiv håndhevelse av personvernregelverket overfor de globale plattformaktørene, tilsvarende bestemmelsene som er inntatt i Digital Markets Act. KS støtter denne anbefalingen. Effektiv håndhevelse overfor de globale plattformaktørene er viktig for å sikre personvern i offentlig sektor.
KS mener videre at Datatilsynet i større grad bør fokusere på veiledningsrollen enn tilfellet er i dag. Hovedutfordringen for etterlevelsen av personvernregelverket er etter vårt syn ikke manglende vilje, men manglende evne. Dette løses best med veiledning, enn med tilsyn og sanksjoner. KS er ellers enig i at andre myndighetsorganer enn Datatilsynet også bør kunne veilede om personvernspørsmål på deres område. Dette bør imidlertid ikke føre til at Datatilsynet selv konsentrerer seg mer om tilsyn og sanksjoner, enn om veiledning.
KS takker for muligheten til å gi vårt syn på Personvernkommisjonens utredning, og er tilgjengelige ved eventuelle spørsmål.
Administrerende direktør
Områdedirektør KS Advokatene
Dokumentet er elektronisk godkjent og har ingen signatur