Dag Wiese Schartum
Dag Wiese Schartum
- EN LÆREBOK
UTDRAG!
Dette er et utdrag av boken
Personvernforordningen – en lÌrebok . Teksten er ikke endelig.
Boken utgis i april 2020.
Copyright © 2020 by Vigmostad & Bjørke AS All Rights Reserved 1. utgave / 1. opplag 2020 ISBN: 978-82-450-3387-8 Grafisk produksjon: John Grieg, Bergen Omslagsdesign ved forlaget Omslagfoto: © Eka Panova / Shutterstock (Retro pixel game characters), © chuckchee / Shutterstock (Pixel art office people), © Sudowoodo / Shutterstock (Pixel video font)
Spørsmål om denne boken kan rettes til: Fagbokforlaget Kanalveien 51 5068 Bergen Tlf.: 55 38 88 00 Faks: 55 38 88 01 e-post: fagbokforlaget@fagbokforlaget.no www.fagbokforlaget.no
Materialet er vernet etter åndsverkloven. Uten uttrykkelig samtykke er eksemplarfremstilling bare tillatt når det er hjemlet i lov eller avtale med Kopinor.
FORORD
Denne boken er skrevet for å dekke behovet for en lærebok om personvernforordningen. Jeg antar den også kan være til god nytte for langt flere enn studenter. Ambisjonen har vært å sette bestemmelsene i sammenheng – forklare og drøfte, ikke bare gjennomgå bestemmelsene én etter én. Arbeidet med boken har vært krevende. Mange elementer i personvernforordningen er rett og slett vanskelige å forstå. Ikke sjelden er tolkningsresultatene usikre. Dessuten har det vært en stor utfordring å forklare de mange komplekse og ofte uklare bestemmelsene uten å ty til misvisende forenklinger. En annen utfordring har vært å unngå å bli smittet av språket i forordningen, som ligger milelangt fra det vi i norsk rettstradisjon vil kalle klarspråk. Jeg har arbeidet med personvernspørsmål i om lag 30 år, og har vært så heldig å ha hatt to av pionerene innen personvernrett, professorene Knut S. Selmer og Jon Bing, som kolleger ved Senter for rettsinformatikk. Knut og Jon var blant de første i Norge som satte personvern under debatt. De analyserte, utviklet forståelser av og satte ord på hva personvern kan sies å handle om. Jeg skylder dem en stor takk. Takk også til kollega Lee A. Bygrave. Sammen har vi gitt ut tre utgaver av Personvern i informasjonssamfunnet (første utgave i 2004, tredje utgave i 2016). Dette samarbeidet og diskusjoner med Lee om sentrale bestemmelser i personvernforordningen har bidratt mye til det jeg kan om personopplysningsrett. Til slutt en stor takk til det fantastiske, vitale og inspirerende miljøet ved Senter for rettsinformatikk. Røa, 1. desember 2019 Dag Wiese Schartum
INNHOLD 1 INNLEDNING .................................................................................................. 1.1 Personvern ......................................................................................................... 1.1.1 Personvern og personopplysningsvern.......................................................... 1.1.2 Kort lovgivningshistorikk ............................................................................. 1.1.3 Introduksjon av sentrale elementer i personopplysningsvernet .....................
1.2 Om innhold og kildebruk i denne boken ....................................................... 1.3 Oversikt over personvernre en ....................................................................... 1.3.1 Det store bildet ............................................................................................ 1.3.2 Personvernforordningen: bakgrunn og oversikt............................................. 1.3.2.1 Generelt .............................................................................................. 1.3.2.2 Forholdet til personopplysningsloven ....................................................
1.4 Eksempel pĂĽÂ hvordan viktige bestemmelser i forordningen kommer til anvendelse ......................................................................................................... 1.5 Hvor gjelder forordningen?.............................................................................. 1.6 Hva gjelder forordningen for? ......................................................................... 1.6.1 Innledning og oversikt ................................................................................. 1.6.2 ÂŤPersonopplysningerÂť .................................................................................. 1.6.3 Om skillet mellom sĂŚrlige kategorier og alminnelige personopplysninger .... 1.6.4 Om hvordan personopplysninger kan komme til u rykk .............................. 1.6.5 ÂŤBehandlingÂť (av personopplysninger) ......................................................... 1.6.6 ÂŤHelt eller delvis automatisert behandlingÂť, herunder ÂŤproďŹ leringÂť .............. 1.6.7 Personregistre .............................................................................................. 1.6.8 Unntak for rent personlige eller familiemessige aktiviteter ............................ 1.6.9 Forholdet til ytringsfrihet .............................................................................
2 DE VIKTIGSTE AKTĂ˜RENE I FORORDNINGEN OG HVA DE I HOVEDSAK SKAL ELLER KAN GJĂ˜RE .................................................... 2.1 Innledning og oversikt over aktørene som inngĂĽr i forordningen ................ 2.2 Registrerte personer og tilkny ede aktører .................................................... 2.3 Behandlingsansvarlig ....................................................................................... 2.3.1 Grunnleggende om rollen og begrepet ......................................................... 2.3.2 Hvem er behandlingsansvarlig?.................................................................... 2.3.3 NĂŚrmere om organiseringen av det daglige behandlingsansvaret ..................
13 13 13 16 18 22 26 26 29 29 31 34 38 39 39 42 46 48 49 50 52 54 55
57 57 59 60 60 62 63
8
PERSONVERNFORORDNINGEN
2.3.4 Hvor bør behandlingsansvaret plasseres innenfor store hierarkiske organisasjoner? ............................................................................................ 2.3.5 Behandlingsansvar i henhold til nasjonal lovgivning .................................... 2.3.6 Felles behandlingsansvar .............................................................................
2.4 Databehandler .................................................................................................. 2.4.1 Generelt ...................................................................................................... 2.4.2 Databehandleravtaler ..................................................................................
2.5 Personvernombud hos behandlingsansvarlige og databehandlere .............. 2.6 Representant for behandlingsansvarlige og databehandlere........................ 2.7 Tilsynsmyndigheter.......................................................................................... 3 GENERELT OM KRAV TIL LOVLIG BEHANDLING AV PERSONOPPLYSNINGER ................................................................................ 3.1 Oversikt ............................................................................................................. 3.2 Prinsipper for behandling av personopplysninger ........................................ 3.2.1 Oversikt og innledende betraktninger .......................................................... 3.2.2 Prinsippet om lovlighet, re ferdighet og ĂĽpenhet.......................................... 3.2.3 FormĂĽlsbegrensningsprinsippet ................................................................... 3.2.4 Dataminimeringsprinsippet ......................................................................... 3.2.5 Krav til opplysningskvalitet (riktighet) .......................................................... 3.2.6 Lagringsbegrensningsprinsippet .................................................................. 3.2.7 Integritet og konďŹ densialitet ........................................................................ 3.2.8 Krav til e erlevelse av prinsippene ...............................................................
3.3 Formül med behandling av personopplysninger ........................................... 3.3.1 Generelt om behandlingsformül .................................................................. 3.3.2 Nye formül som er uforenelig med opprinnelige formül ................................ 3.3.3 Behandling av personopplysninger for visse sekundÌrformül ....................... 3.3.4 Krav til garantier nür det gjøres unntak for visse sekundÌrformül .................
3.4 Re slig grunnlag for behandling av personopplysninger ............................. 3.4.1 Innledning ..................................................................................................
67 68 69 70 70 73 76 82 84
85 85 86 86 88 90 91 93 95 98 99 100 100 102 104 108 109 109
3.4.2 Samtykke til ü behandle vanlige og sÌrlige kategorier av personopplysninger ................................................................................. 113 3.4.2.1 Innledning .......................................................................................... 113 3.4.2.2 Forutsetningen om re slig handleevne og spørsmület om barns samtykke . 114 3.4.2.3 Vilkür for gyldig samtykke .................................................................... 116 3.4.2.4 Forholdet mellom samtykkeerklÌringen og andre skri lige erklÌringer .... 123 3.4.2.5 Tilbaketrekking av samtykke ................................................................. 124
3.4.3 Generelt om nødvendighetsvurderingene i artikkel 6 og 9 ............................. 125 3.4.4 Nødvendige grunner til ü behandle alminnelige personopplysninger ............ 126 3.4.4.1 Avtaler med den registrerte ................................................................... 126 3.4.4.2 Re slig forpliktelse .............................................................................. 128
Innhold
3.4.4.3 Vern av vitale interesser ........................................................................ 129 3.4.4.4 Oppgave av allmenn interesse eller utøvelse av oentlig myndighet........... 130 3.4.4.5 Bere iget interesse ............................................................................... 132
3.4.5 Nødvendige grunner mv. for ü behandle sÌrlige kategorier personopplysninger (jf. sensitive opplysninger) ......................................................................... 133 3.4.5.1 Innledning .......................................................................................... 133 3.4.5.2 Utøve visse forpliktelser og re igheter .................................................... 135 3.4.5.3 Vern om vitale interesser....................................................................... 136 3.4.5.4 Re skrav ............................................................................................. 137 3.4.5.5 Viktige allmenne interesser ................................................................... 137 3.4.5.6 Forebyggende medisin mv. .................................................................... 139 3.4.5.7 Allmenne folkehelsehensyn .................................................................. 141 3.4.5.8 Arkivformül i allmennhetens interesse, forskning og statistikk .................. 142 3.4.5.9 Behandling av ideelle organer og opplysninger den registrerte selv har oentliggjort ....................................................................................... 145 3.4.5.10 Adgang til ü gi nasjonale bestemmelser om visse sÌrlige kategorier personopplysninger ............................................................................. 148
3.4.6 Behandling av personopplysninger om straedommer og lovovertredelser ... 149 3.4.7 Bruk av fødselsnummer og andre entydige identiďŹ kasjonsmidler .................. 151
4 DEN REGISTRERTES RETTIGHETER MV. .............................................. 153 4.1 Generelt ............................................................................................................. 153 4.1.1 Gruppering av bestemmelser og spørsmület om hvem bestemmelsene gjelder
153 4.1.2 Adgang til ĂĽÂ begrense re ighetene ................................................................ 155
4.2 Ă…penhet og gjennomsiktighet ......................................................................... 157 4.2.1 Innledning og om forholdet til annen innsynslovgivning .............................. 157 4.2.2 De ulike faste opplysningene som det skal gis informasjon om eller gis innsyn i
159 4.2.3 NĂŚrmere om informasjonspliktene .............................................................. 172 4.2.3.1 Hovedreglene om informasjonsplikt og informasjon om bruk til andre formĂĽl
172 4.2.3.2 Tidspunkt for nĂĽr informasjon skal gis, og formidlingsmĂĽte ..................... 174 4.2.3.3 Unntak fra plikten til ĂĽÂ informere .......................................................... 175
4.2.4 NÌrmere om innsynsre en .......................................................................... 178 4.2.4.1 Generelt .............................................................................................. 178 4.2.4.2 Om innsyn i den generelle informasjonen om behandlingen .................... 178 4.2.4.3 Om innsyn i egne personopplysninger ................................................... 180 4.2.4.4 Kostnader kny et til innsyn i generell informasjon og egne opplysninger .. 183
9
10
PERSONVERNFORORDNINGEN
4.3 Andre re igheter (re ing, sle ing mv.) ........................................................... 184 4.3.1 Innledning .................................................................................................. 184 4.3.2 Re ing og supplering ................................................................................... 185 4.3.3 Re til sle ing ............................................................................................. 188 4.3.3.1 Generelt .............................................................................................. 188 4.3.3.2 Tiltak for ü maksimere eekten av sle ing .............................................. 191 4.3.3.3 Unntak fra bestemmelsene om sle ing ................................................... 192
4.3.4 Protest mot behandling ................................................................................ 197 4.3.5 Begrenset behandling .................................................................................. 201 4.3.4.1 Generelt .............................................................................................. 201 4.3.4.2 Situasjoner som gir re til ü kreve begrenset behandling .......................... 202 4.3.4.3 Virkningen av at behandlingen er begrenset, og gjennomføring ................ 204
4.3.6 Underretningsplikt i samband med re ing, sle ing og begrenset behandling av personopplysninger ................................................................................. 205 4.3.7 Dataportabilitet ........................................................................................... 206
4.4 Vern mot helt automatiserte, individuelle avgjørelser og proďŹ lering ........... 209 4.4.1 Generelt ...................................................................................................... 209 4.4.2 Unntak ........................................................................................................ 212
4.5 Krav til gjennomføring av bestemmelser om registrertes re igheter mv. .... 215 4.5.1 Innledning .................................................................................................. 215 4.5.2 Krav til sprĂĽk ............................................................................................... 216 4.5.3 Kort om forholdet til annen veiledningsplikt ................................................ 219 4.5.4 IdentiďŹ sering av registrerte .......................................................................... 220 4.5.5 Plikt til ĂĽÂ respondere og tree tiltak innen bestemte svartider ........................ 222 4.5.6 Betaling ....................................................................................................... 223
4.6 Avslu ende kommentarer ............................................................................... 224 5 OVERFĂ˜RING AV PERSONOPPLYSNINGER TIL TREDJESTATER OG INTERNASJONALE ORGANISASJONER ......................................... 5.1 Innledning og oversikt...................................................................................... 5.2 Generelt og grunnleggende prinsipp for overføring til tredjestater og internasjonale organisasjoner ......................................................................... 5.3 Overføring av personopplysninger til tredjestater mv. pĂĽÂ grunnlag av beslutning om tilstrekkelig besky elsesnivĂĽ .................................................. 5.4 Overføring av personopplysninger til tredjestater nĂĽr det er gi nødvendige garantier ............................................................................................................ 5.5 Overføring av personopplysninger til tredjestater i sĂŚrlige situasjoner ......
227 227 229 231 232 234
Innhold
6 BESTEMMELSER OM RISIKOVURDERING OG IVERKSETTELSE AV TEKNISKE, ORGANISATORISKE OG ANDRE TILTAK .................... 237 6.1 Fellesspørsmül .................................................................................................. 237 6.1.1 Innledning .................................................................................................. 237 6.1.2 Risikovurderinger ........................................................................................ 238 6.1.3 Tiltak .......................................................................................................... 242
6.2 Behandlingsansvarliges ansvar ........................................................................ 246 6.3 Innebygd personvern og personvern som standardinnstilling...................... 248 6.3.1. Innledning .................................................................................................. 248 6.3.2 Om forutsetningen for at det skal foreligge plikt til innbygging ..................... 249 6.3.3 Om nĂĽr innbygging skal skje ........................................................................ 251 6.3.4 Om hvordan innbygging skal skje ................................................................. 253 6.3.4.1 Generelt .............................................................................................. 253 6.3.4.2 Innbygging av bestemmelser om re igheter og samtykke ......................... 254 6.2.4.3 Om innbygging av personvernprinsippene ............................................. 259
6.3.5 Spesielt om personvern som standardinnstilling ........................................... 261
6.4 Personopplysningssikkerhet ............................................................................ 261 6.4.1 Innledning og oversikt ................................................................................. 261 6.4.2 Sikkerhetstiltak ........................................................................................... 264 6.4.3 Melding til Datatilsynet om sikkerhetsbrudd, herunder krav til dokumentasjon ........................................................................................ 265 6.4.4 Underretning til registrerte om sikkerhetsbrudd ........................................... 270 6.4.5 Testing og evaluering av sikkerhetstiltak....................................................... 273
7 VURDERING AV PERSONVERNKONSEKVENSER OG FORHĂ…NDSDRĂ˜FTINGER ............................................................................. 7.1 Innledning ......................................................................................................... 7.2 Avgrensing av plikten til ĂĽÂ konsekvensvurdere .............................................. 7.3 Innholdsmessige krav til konsekvensvurderinger .......................................... 7.3.1 Generelt ...................................................................................................... 7.3.2 Systematisk beskrivelse av den planlagte behandlingsaktiviteten .................. 7.3.3 Vurdering opp mot behandlingsformĂĽl ........................................................ 7.3.4 Vurdering opp mot risiko for re igheter og friheter, samt vurdering av tiltak ....
275 275 277 280 280 280 282 282
7.4 Forholdet mellom konsekvensvurderinger og forhündsdrø inger med Datatilsynet............................................................................................... 283 8 TILSYN OG RETTSMIDLER ......................................................................... 8.1 Innledning ......................................................................................................... 8.2 Organisering av tilsynsmyndigheten .............................................................. 8.3 Nasjonale tilsynsorganer ..................................................................................
285 285 286 287
11
12
PERSONVERNFORORDNINGEN
9 ERSTATNINGSANSVAR, SANKSJONER OG BETYDNINGEN AV DOKUMENTASJON ................................................................................... 9.1 Innledning ......................................................................................................... 9.2 Erstatningsansvar ............................................................................................. 9.3 Straff og andre sanksjoner ...............................................................................
289 289 289 291 9.3.1 Generelt ...................................................................................................... 291 9.3.2 Utmåling av overtredelsesgebyr.................................................................... 293 9.4 Om betydningen av dokumentasjon ............................................................... 296
10 KLAGERETT OG ANDRE RETTSMIDLER ............................................ 299 10.1Innledning ......................................................................................................... 299 10.2 Den registrertes re til klage........................................................................... 302 10.2.1Generelt...................................................................................................... 302 10.2.2 Krav vedrørende utøvelse av registrertes re igheter ..................................... 303
10.3 Klage fra behandlingsansvarlig og databehandler ....................................... 306 10.4 Ideelle organisasjoners mulige rolle .............................................................. 306 LITTERATUR OG KILDER ................................................................................ Li eratur ................................................................................................................. Lover og forskri er ................................................................................................. Lovforarbeider og offentlige utredninger ............................................................. Annen lovgivning, konvensjoner mv. .................................................................... Re savgjørelser....................................................................................................... Personvernnemndas avgjørelser............................................................................ Veiledninger og retningslinjer ............................................................................... Annet .......................................................................................................................
309 309 310 311 311 312 312 312 313
STIKKORDREGISTER ........................................................................................ 314
KAPITTEL 1
INNLEDNING
1.1 PERSONVERN 1.1.1 PERSONVERN OG PERSONOPPLYSNINGSVERN
Denne boken handler om hvordan lovgiver har i varetatt viktige deler av folks personvern i sammenheng med behandling av personopplysninger. «Personvern» er et bredt begrep som det kan være vanskelig å bli enige om meningsinnholdet av. Slik jeg ser det, kan begrepet best forklares med at det gjelder vern av de private sfærer som mennesker befinner seg i. I figur 1 har jeg angitt fem slike sfærer. Personvern kan sies å forutsette at det innenfor hver av disse sfærene skal råde en stor grad av autonomi, dvs. hver person skal i stor grad kunne bestemme selv.1 I tillegg til selvbestemmelse kan personvern sies å forutsette at disse sfærene nyter godt av en stor grad av integritet i betydningen at de nyter respekt og er beskyttet av loven. Kort sagt kan vi velge å forstå personvern som en tilstand der det råder stor grad av autonomi og integritet innenfor private sfærer. Teknologiuavhengig krenkelse Bryte taushetsplikt Brevbrudd
Private sfærer
Krenkelse ved bruk av informasjons- og kommunikasjonsteknologi (IKT)
personopplysninger kommunikasjon
kommunikasjonskontroll
«Vindustitting»
geografisk
fjernsynsovervåking
Inspisere «kroppens hulrom»
kroppslig
biometri
Mobbing
psykisk
personlighetstester
Integritet Autonomi
Figur 1 Personvern beskrevet som private sfærer
1 Herunder skal personer som tilhører et hushold / en familie sammen kunne bestemme hvordan de skal leve innenfor et gitt geografisk område.
14
PERSONVERNFORORDNINGEN
Her opererer jeg altså med fem ulike private sfærer: Psykisk sfære handler om individenes selvfølelse og mentale tilstand. Kroppslig sfære gjelder personenes rett til å bestemme over egen kropp og friheten fra at andre krenker kroppslig integritet. Geografisk sfære betegner private områder der vi har forventning om å være i fred og å kunne bestemme selv. Folks hjem er viktigst, men også andre områder som hytter, biler, hager og annen grunneiendom kan hevdes å høre med til geografiske områder der det råder privatliv. Kommunikasjon mellom mennesker er det fjerde området i figuren. En måte å fremstille dette på er å forutsette at kommunikasjon mellom mennesker skal kunne skje i visse kommunikasjonskanaler,2 og at disse kanalene er beskyttet og noe kommunikasjonspartnerne bestemmer over. Den femte og siste sfæren kan beskrives som en «opplysningssfære», og handler om den enkeltes rett til å bestemme over opplysninger om egen person og krav på respekt for og beskyttelse av disse opplysningene slik at uvedkommende ikke får tilgang til dem. I venstre del av figuren er det en kolonne med eksempler på hvordan hver sfære kan tenkes å bli krenket. Poenget er at krenkelsene er handlinger som kan utføres uavhengig av teknologi. Brevbrudd og «vindustitting» kan sies å krenke personvernet, men er ikke betinget av IKT3 eller andre teknologiske hjelpemidler. Personvernforordningen, personopplysningsloven og annet lignende lovgivning4 regulerer ikke slike personvernkrenkelser i den fysiske verden.5 Denne lovgivningen er avgrenset til behandling av personopplysninger, og primært slike personopplysninger som foreligger i digital form og som derfor kan være gjenstand for automatisk behandling. Dette er illustrert på høyre side av figur 1. Til hver sfære på høyre side av figuren er det angitt noen handlinger som typisk utføres ved hjelp av digital teknologi, dvs. vi bruker apparater som genererer opplysninger fra de ulike sfærene fordi apparatene registrerer handlinger, hendelser, egenskaper mv. som sier noe om enkeltpersoner. Biometriske systemer (jf. f.eks. fingeravtrykk) leser for eksempel unike kjennetegn ved en person slik at en med veldig stor grad av sikkerhet kan identifisere og autentifisere personen. Kameraovervåking kan gi personbilder og dokumentere en persons handlinger og bevegelser. Kameraer kan også kombineres med annen teknologi, f.eks. biometri, slik at kameraene også gir mulighet til å identifisere personene
2 Se Elgesem 1996, s. 53. 3 Informasjons- og kommunikasjonsteknologi. 4 Se oversikten i avsnitt 1.2. 5 Flere av handlingene som er nevnt i venstre kolonne i figur 1, kan rammes av straffeloven. Merk imidlertid at straffeloven også gjelder for det digitale feltet. Se om dette særlig kapittel 21 i loven, «Vern av informasjon og informasjonsutveksling».
Kapittel 1: Innledning
det er bilde av.6 Krenkelse av privat kommunikasjon kan f.eks. skje ved kommunikasjonskontroll i form av avlytting.7 Den øverste sfæren i figur 1 gjelder behandling av personopplysninger, og forutsetter som nevnt en stor grad av rett til å bestemme over opplysninger om egen person, og høy grad av beskyttelse mot at uvedkommende får tilgang til dem.8 Dette omfatter i utgangspunktet alle personopplysninger. Pilene fra de fire nederste sfærene i figuren opp til sfæren for personopplysninger er ment å illustrere hvordan digital apparatur kan generere (digitale) personopplysninger som således inngår i sfæren for personopplysninger. Fordi veldig mange opplysninger fra de private sfærene kan genereres ved hjelp av ulik digital apparatur, blir personopplysningssfæren spesielt viktig: Store deler av menneskelivet i et moderne samfunn er digitalisert, og behandlingen av digitale opplysninger blir derfor avgjørende for personvernet. Høyre side av figur 1 kan også brukes til å illustrere at personopplysninger ikke bare – og kanskje heller ikke primært – handler om informasjon i form av ord/språk, men også kan forekomme på en lang rekke andre måter: Kameraovervåkingen gir levende bilde, eventuelt lyd, og biometri kan komme til uttrykk som treff/ikke treff i en base med lagrede biometriske mønstre. Andre typer apparatur enn de som er nevnt i figuren (f.eks. medisinske sensorer, bevegelsessensorer og GPS), vil også gi andre typer resultat enn tradisjonell informasjonen uttrykt på norsk eller et annet språk. Som jeg kommer tilbake til når jeg skal gjennomgå rettsreglene for behandling av personopplysninger, er begrepet personopplysning meget bredt, og det som finnes i sfæren for personopplysninger, er veldig variert. Det er for denne sfæren personopplysningslovgivningen gjelder. Personvernforordningen, personopplysningsloven og beslektede lover (jf. avsnitt 1.2) handler om beskyttelse av personopplysninger. På engelsk bruker vi «data protection» om denne delen av personvernet, og på norsk kan vi oversette det til personopplysningsvern.
6 For eksempel ved gjenkjenning av ganglag. 7 Husk at dette bare er noen få og små eksempler på hvordan vi kan krenke de fire private sfærene, plassert nederst i figuren. 8 Det er grunn til å stille spørsmål ved om det fremdeles er særlig grad av selvbestemmelse over egne personopplysninger. For det første vil en overfor offentlige myndigheter ofte være pålagt å gi opplysninger: Du kan ikke påberope deg autonomi og dermed nekte å gi inntektsopplysninger til skattemyndighetene! I mange andre relasjoner følger behandling av personopplysninger om deg som en nødvendig eller naturlig følge av andre valg du gjør. Fremdeles kan du kanskje unngå å etterlate deg «digitale spor» ved å velge analoge fremgangsmåter, men samfunnet blir stadig mer digitalisert, med den konsekvens at den som vil delta som «normal samfunnsborger», må godta at opplysninger om en selv blir registrert. Selv om rett til selv å bestemme over egne opplysninger formelt sett er i behold, er det trolig riktig å si at de sosiale kostnadene ved ikke å godta digital behandling av opplysningene dine blir stadig høyere.
15
16
PERSONVERNFORORDNINGEN
På bakgrunn av figur 1 kan vi oppfatte personopplysningsvernet som en (meget viktig) del av personvernet. Andre deler handler om privatliv for øvrig som ikke har med behandling av personopplysninger å gjøre, jf. «privacy» på engelsk.9
1.1.2 KORT LOVGIVNINGSHISTORIKK
Hvordan har lovgiver ivaretatt folks personopplysningsvern opp igjennom årene? Da digitaliseringen av samfunnet begynte i 1960-årene, var det fra begynnelsen av en bekymring at «elektronisk databehandling» («edb») ville krenke folks privatliv og personvern. Dette var ikke bare et norsk fenomen, men en uro som ble vekket i flere andre land, og som førte til at Sverige som det første land vedtok sin «datalag» i 1973.10 I Norge førte diskusjonen først til en bred utredning av spørsmål om person i Selmer-utvalget som fra 1970 utredet problemfeltet elektronisk databehandling og «personlighetsvern» som det den gang ble kalt.11 Utvalgets arbeid munnet ut i en bok,12 som ble et viktig grunnlag for den videre utredningen av om hensynet til personvern begrunnet lovregulering.13 To etterfølgende lovutvalg14 vurderte spørsmålet: et utvalg for privat og et utvalg for offentlig sektor. Departementets konklusjon ble en lov som skulle gjelde for både privat og offentlig sektor. Personregisterloven ble vedtatt i 1978 og trådte i kraft i 1980, og var lenge den viktigste norske loven som gav folk personvern i forbindelse med behandling av personopplysninger ved hjelp av elektroniske hjelpemidler.15 Personregisterloven gjaldt i 20 år,16 frem til 2000. Loven var basert på krav til forhåndstillatelse (konsesjon) fra Datatilsynet for å kunne etablere digitale personregistre og registre som inneholdt sensitive personopplysninger. Gradvis ble det økte behov for slike registre, og etter hvert ble bruk av digitale personregistre en selvfølge. Dette førte til stadig større behov for konsesjoner. Datatilsynet «druknet» i konsesjonssøknader, og for å kunne håndtere den store pågangen ble
9 Betydningene av de engelske betegnelsene er heller ikke helt faste, men inndelingen i «data protection» / personopplysningsvern og «privacy protection» / beskyttelse av privatliv gir etter min mening en hensiktsmessig språkbruk. 10 Datalag 1973. 11 Begrepet «personvern» ble formulert av Knut S. Selmer i et foredrag i begynnelsen av 1970-årene, se Stensrud 2020 (boken er under utgivelse, sidetall ikke tilgjengelig). Inspirasjonen skal visstnok ha kommet da han syklet til foredraget gjennom Frognerparken. 12 Se Samuelsen 1972. 13 Se Stensrud 2020 (boken er under utgivelse, sidetall ikke tilgjengelig). 14 Sandvik-utvalget (NOU 1974: 22) og Seip-utvalget (NOU 1975: 10). 15 I dag vil mange foretrekke å bruke «digital» i stedet for «elektronisk». En årsak er at «elektronisk» også omfatter teknisk utstyr som ikke er digitalt, samtidig som det er den digitale teknologien som i første rekke utfordrer personvernet. 16 Lov av 14. mars 2000 nr. 31.
Kapittel 1: Innledning
stadig flere typer personregistre unntatt fra konsesjonsplikt i forskrift. Behandlingen av de gjenværende sakene ble i stor grad standardisert. I EU ble spørsmålet om personopplysningsvern utredet fra slutten av 1980årene, og prosessen endte med vedtakelsen av personverndirektivet i 1995.17 Tidligere hadde personvern vært regulert på internasjonalt nivå i form av OECDs retningslinjer om personvern fra 1980, og ved vedtakelsen av Europarådets personvernkonvensjon i 1981. Siden personverndirektivet var EØS-relevant, ble spørsmålet om Norge skulle implementere direktivet, utredet av et lovutvalg som la frem sitt forslag til en norsk personopplysningslov i 1997.18 Personopplysningsloven, som gjennomførte direktivet, ble vedtatt i 2000 og gjaldt frem til 2018. Da ble loven avløst av en ny personopplysningslov19 som fastsetter at EUs personvernforordning20 skal gjelde som norsk lov. Regulering av personvern i forordning i stedet for i direktiv har store konsekvenser. Med et direktiv kan hvert land selv finne ut hvordan direktivet skal gjennomføres i nasjonal rett. Resultatet blir gjerne nasjonale lover og forskrifter forfattet innenfor hvert lands retts- og lovgivningstradisjon. Riktignok legger direktiver klare føringer og bindinger på denne lovgivningen. For eksempel må de samme begreper og den samme systematikk mv. som i direktivet anvendes for å implementere direktivet på tilstrekkelig måte. Direktiver gir imidlertid uansett rom for nasjonale variasjoner og særpreg; bestemmelsene i hvert land blir likeartete, men ikke identiske. Det er nettopp denne nasjonale variasjonen som i EU ble oppfattet som et problem, og som var en viktig del av motivasjonen for å vedta nye personvernregler i form av en forordning. I motsetning til direktiver gjelder forordninger i EU direkte i alle medlemsland – dessuten i Norge når forordningen er tatt inn i EØS-avtalen. Det betyr at de samme bestemmelser gjelder «ord for ord» i alle disse landene, og skal i utgangspunktet tolkes og praktiseres likt i alle land. Som jeg kommer tilbake til, inneholder forordningen likevel mange små åpninger for nasjonal lovgivning, men dette endrer ikke det grunnleggende faktum at det er tale om felles europeiske bestemmelser som skal gjennomføres likt i alle land.
17 Direktiv 95/46/EF. 18 Skauge-utvalget (NOU 1997:19). 19 Lov om behandling av personopplysninger av 15. juni 2018 nr. 38. 20 Personvernforordningen ble vedtatt i 2016, etter at spørsmålet om endret regulering av personvernet i EU hadde vært utredet og diskutert i flere år, særlig fra 2012.
17
18
PERSONVERNFORORDNINGEN
1.1.3 INTRODUKSJON AV SENTRALE ELEMENTER I PERSONOPPLYSNINGSVERNET
I det følgende vil jeg kort skissere noen grunntrekk ved måten behandling av personopplysninger er regulert på i personvernforordningen. Dette er bare en midlertidig fremstilling; senere i boken kommer jeg tilbake til alt i større detalj og presisjon.21 Når jeg velger å tjuvstarte og introdusere hovedelementer her, er det fordi jeg tror det øker muligheten for å forstå gjennomgangen av forordningen allerede fra og med begynnelsen av forklaringene som kommer i de følgende kapitler. For å forstå personvernforordningen er det hensiktsmessig å starte med en figur som angir hovedaktørene; se figur 2.22 Tilsynsmyndigheter
Registrert person
Behandlingsansvarlig
Figur 2 Forenklet oversikt over aktører i personvernforordningen
I figuren har jeg bare tatt med hovedaktørene. Hver av disse kan stå i en relasjon til andre aktører som bistår dem (jf. fullmektiger, samarbeidspartnere, kontraktsparter mv.). To av disse samarbeidspartnerne er databehandlere og personvernombud. Her nøyer jeg meg med å nevne dem; se for øvrig avsnittene 2.4 og 2.5. Registrert person («registrerte») er den som har krav på å få opplysninger om seg beskyttet, altså en fysisk person. Alle har krav på personvern, så vernet er ikke betinget av at personene er statsborger, europeer, voksen eller barn, myndig eller umyndig eller har annen spesiell status. På lignende måte som bestemmelsen i EMK art. 823 etablerer et universelt personvern, er alle vernet etter reglene for personvern i EU, uten diskriminering av særskilte grupper. Når personer har opplysninger om seg selv som de bruker i private og familiemessige sammenhenger (altså som del av privatlivet), vil opplysningene stort sett
21 En oversikt over hvordan viktige bestemmelser i forordningen kan virke sammen, finnes i avsnitt 1.4. 22 Figuren vil bli utdypet i figur 4, se avsnitt 2.1. 23 Den europeiske menneskerettighetskonvensjonen.
Kapittel 1: Innledning
ikke komme inn under personvernregelverket. Spørsmål om personopplysningsvern oppstår når noen andre enn de opplysningene handler om, behandler opplysningene. Disse «noen» kan være virksomheter eller enkeltmennesker. Poenget er at de samler inn opplysninger om andre personer for å bruke opplysningene til formål de har. Disse som behandler personopplysninger om andre, kalles behandlingsansvarlige. Behandlingsansvarlige behandler med andre ord personopplysninger om registrerte personer for å oppnå noen formål som den behandlingsansvarlige har satt seg fore. Slike formål kan være helt ukontroversielle, noe de aller fleste registrerte personer vil si seg enig i, f.eks. slik at forretningsdrivende har basisopplysninger om sine faste kunder, og at vegmyndighetene har registrert hvem som er eiere av kjøretøy og hvem som har rett til å kjøre personbil. For andre formål kan det imidlertid være større uenighet, f.eks. om hvilke opplysninger barnehager og grunnskoler skal kunne samle inn om barna, og hvor lenge de skal kunne beholde dem. Enda mer kontroversielt, med enda større mulighet for konflikt, kan det f.eks. være dersom helsevesenet ønsker adgang til å bruke helseopplysninger til forskning, kvalitetsarbeid og effektiv administrasjon, uten at det er begrunnet i den enkelte pasients behov. «Datalagring», i betydningen lagring av teledata for å sette politiet i stand til å utføre mer effektiv etterforskning; «digitalt grenseforsvar» og etterretningstjenestens mulighet til å overvåke all telekommunikasjon som krysser landegrensene; og politiets adgang til romavlytting og dataavlesning i/av private hjem mv., er eksempler på formål med spesielt høyt konfliktnivå og uenighet om behandlingsansvarliges behandling av personopplysninger. Behandlingsansvarlige kan være alt fra obskure personer eller virksomheter som ønsker å behandle personopplysninger for lite aktverdige formål, til seriøse offentlige myndigheter som behandler opplysninger på måter som de fleste anser som nødvendig i et ordnet samfunn. Et annet spenn med store forskjeller er det mellom store globale selskaper som har kloden som markedsplass og som lever av å analysere hvordan personer agerer på ulike digitale plattformer og fora mv., og små markedsaktører som selger ordinære varer og tjenester til et begrenset marked. Jeg kunne ha spesifisert et utall av ulike mulige relasjoner mellom registrerte personer og behandlingsansvarlige. Poenget er at veldig mye av menneskers liv og samfunn innebærer en eller annen form for behandling av personopplysninger som de registrerte personene ikke har (full) kontroll over. På en måte er det «farlig» å nevne eksempler, fordi det kan få noen til å tro at feltet er begrenset til det eksemplene illustrerer. Personvernforordningen gjelder alle mulige slags relasjoner mellom registrerte og behandlingsansvarlige.24
24 Noen viktige unntak kommer jeg tilbake til i avsnitt 1.6.
19
20
PERSONVERNFORORDNINGEN
Det sier seg selv at det er stor forskjell på en offentlig myndighet som behandler personopplysninger for åpenbare og legitime samfunnsnyttige formål, og andre aktørers formål når formålet er knyttet til egen økonomisk gevinst eller fremme av særinteresser. Ikke desto mindre regulerer personvernforordningen hele denne store bredden. Da sier det seg selv at rettsreglene må bli temmelig abstrakte og generelle, og at lovgiver umulig kan angi hva som er lovlig i det og det tilfellet. Derfor fastsetter forordningen generelt hva som må vurderes, den stiller krav til innholdet av vurderingene og hvordan vurderingene skal skje, og lignende. Forordningen krever f.eks. at en behandlingsansvarlig må påvise at han har rett til å behandle visse typer personopplysninger (jf. krav til rettslig grunnlag), han må angi hvilke opplysningstyper han vil behandle, klargjøre hva han skal bruke opplysningene til (formål), sørge for at opplysningene har den nødvendige kvaliteten, og sikre opplysningene mot tilgang for uvedkommende, mot at uvedkommende endrer opplysningene, at de er tilgjengelige for den bruken de er innsamlet for, og så videre! Store og viktige deler av personvernforordningen handler om grunnleggende vilkår for å kunne behandle personopplysninger om andre på en lovlig måte, og nærmere krav til hvordan denne behandlingen skal skje. Disse reglene inneholder ingen absolutte forbud, kun anvisning på fremgangsmåter.25 Riktignok kan kravene til fremgangsmåter være så praktisk og økonomisk krevende og innebære så store begrensninger av hva som vil være lovlig å gjøre, at det forhindrer at behandlingen kan settes i gang som ønsket. Hvis det kreves samtykke fra en rekke personer en ikke har kontaktopplysninger til, kan det være uråd å etterleve kravet. Det kan også være at skjønnsmessige avveininger ikke faller ut i den behandlingsansvarliges favør, slik at den planlagte behandlingen ikke kan skje. Personvernet anses f.eks. å være viktigere enn de interesser den behandlingsansvarlige mener bør gi ham rett til å bruke opplysningene.26 Bestemmelsene gir med andre ord få klare «ja» eller «nei», men er i utpreget grad vurderingspregede med rom for å kunne argumentere for ønskede løsninger. Store og viktige deler av forordningen handler om krav som behandlingsansvarlige må følge, og vurderinger som behandlingsansvarlige må foreta, herunder retningslinjer for hvordan slike vurderinger skal skje. En behandlingsansvarlig som ønsker å utvide bruken av opplysninger utover de formål han i utgangspunktet planla, skal blant annet ta hensyn til momentene som er angitt i artikkel 6(4): Plikten gjelder hva som skal vurderes, men momentene determinerer ingen bestemte resultater. Kombinasjonen av stor kompleksitet og ofte vurderingspreget og skjønnspreget innhold gjør at det ofte er svært vanskelig å være 25 Jf. dog art. 9(1) om særlige kategorier opplysninger, se avsnitt 3.4.5.1. 26 Jf. rettslig grunnlag etter artikkel 6(1)(f ).
Kapittel 1: Innledning
sikker på at en har forstått bestemmelsene riktig slik at etterlevelsen blir lovlig. Generell veiledning blir gitt av datatilsynsmyndighetene på deres nettsider, men konkrete vurderinger er det vanskelig å oppnå uten at det foreligger en konfliktsituasjon slik at det blir truffet vedtak i saken. Ikke sjelden vil det derfor være stor grad av usikkerhet knyttet til om forordningen er forstått på riktig måte, og om skjønn er utøvet på en måte som tilsynsmyndigheten vil godta. Og bakom truer overtredelsesgebyrene …27 Som figur 2 illustrerer, gjelder viktige deler av den rettslige reguleringen samspillet mellom registrerte personer og den behandlingsansvarlige. Behandlingsansvarlige har som nevnt en rekke plikter til å følge bestemte fremgangsmåter mv. På den annen side har den registrerte rettigheter, f.eks. rett til innsyn og rett til å kreve opplysninger om seg slettet. Ofte vil rettighetene gjelde forhold som også er omfattet av plikter: En behandlingsansvarlig skal f.eks. på visse vilkår slette opplysninger uten at noen ber ham om det. På den annen side har registrerte personer rett til å kreve at opplysninger om dem blir slettet. En registrert person som ser at opplysninger om seg er uriktig, kan kreve at opplysningen blir rettet, men den behandlingsansvarlige kan selvfølgelig ikke lene seg tilbake og vente på at registrerte finner feil; han må selv aktivt sikre at feil ikke forekommer, og rette feil han måtte finne. Den siste aktøren som er tatt med i figur 2, er tilsynsmyndigheten. Løpende tilsyn i Norge utføres av Datatilsynet. Dersom en registrert mener at den behandlingsansvarlige ikke etterlever plikter eller gir rettigheter slik de skal, kan den registrerte bringe saken inn for Datatilsynet til avgjørelse. Datatilsynet skal på sin side bl.a. følge med på om behandlingsansvarlige følger forordningens og lovens krav, og eventuelt treffe enkeltvedtak og gi pålegg om endringer i måten personopplysninger blir behandlet på. Datatilsynsmyndighetene i Norge og i andre land har også en rekke andre oppgaver; blant annet skal de informere om hvilke regler som gjelder, og de opptrer f.eks. som «påvirkningsagent» og høringsinstans som ledd i behandlingen av lover og forskrifter mv. som berører personvernet. Uenigheter mellom registrerte personer og den behandlingsansvarlige og mellom en behandlingsansvarlig og Datatilsynet kan avgjøres ved at Datatilsynet treffer enkeltvedtak i saken. Slike vedtak kan bringes inn for klageinstansen Personvernnemnda. Videre rettslig prøving kan skje ved domstolene. En rekke bestemmelser i personvernforordningen gjelder hvilken kompetanse og hvilke oppgaver nasjonale tilsynsmyndigheter innen EU har, og hvordan
27 Se avsnitt 9.3.
21
22
PERSONVERNFORORDNINGEN
de skal samarbeide for å oppnå mest mulig enhetlig praktisering av bestemmelsene i forordningen. Jeg vil til slutt i denne korte oversikten nevne et skille en kan gjøre mellom «systembestemmelser» og andre bestemmelser i forordningen. Systembestemmelser er ikke en betegnelse som brukes i forordningen, men er likevel en viktig kategori bestemmelser. Poenget er at flere bestemmelser i forordningen stiller krav til hvordan det generelle opplegget for behandling av personopplysninger skal være. Slike behandlingsopplegg vil ofte ta form av et (mer eller mindre) automatisk informasjonssystem. Derfor kan det være hensiktsmessig å kalle bestemmelser som stiller generelle krav til slike behandlingsopplegg, for systembestemmelser. Når jeg tidligere har omtalt krav til formål, rettslig grunnlag og sikring av personopplysninger, handler det nettopp om generelle krav til de informasjonssystemene som behandler opplysningene. Slike bestemmelser har også betydning i enkeltsaker; en registrert person kan for eksempel påstå at det ikke eksisterer et rettslig grunnlag for å behandle personopplysninger om seg. Det primære er imidlertid om kravene er overholdt på systemnivå, dvs. om det generelle behandlingsopplegget er slik at ingen registrerte personer får grunnlag for å hevde at noe ved behandlingen av personopplysninger er ulovlig! Et annet eksempel på systemkrav er bestemmelsen i artikkel 25 om innebygd personvern. Dette er blant annet krav om at personvernprinsipper og -regler skal nedfelles i / bygges inn i selve systemløsningen, noe som vil øke sjansene for etterlevelse. Se nærmere om dette i avsnitt 6.3.
1.2
OM INNHOLD OG KILDEBRUK I DENNE BOKEN
Paragraf 1 i personopplysningsloven 2018 bestemmer at EUs personvernforordning gjelder som norsk lov. I personopplysningsloven ble det dessuten gitt bestemmelser som bruker noen av de mange adganger forordningen gir til å gi nasjonale bestemmelser.28 I denne boken vil jeg konsentrere meg om en gjennomgang av selve forordningen. På utvalgte punkter vil jeg også trekke inn personopplysningsloven 2018 og annen norsk lovgivning. Personvernforordningen er et omfattende, komplekst og ordrikt dokument som det er vanskelig å formidle innholdet av på en kortfattet måte. Dette har flere konsekvenser for opplegget i boken: Det er deler av forordningen som jeg nøyer meg med å gi en oversikt over, uten å drøfte enkeltheter. Dette gjelder bl.a. bestemmelser om hvordan datatilsynsmyndighetene skal samarbeide, 28 I tillegg ble det gjort endringer i en rekke andre lover for å bringe disse i samsvar med forordningen.
Kapittel 1: Innledning
og bestemmelsene om godkjente adferdsnormer og sertifisering. En del av bestemmelsene i forordningen henvender seg til statene ved å sette rammer for nasjonal lovgivning. Slike bestemmelser blir ikke systematisk gjennomgått, bare kort kommentert. De bestemmelser som gjelder grunnleggende vilkår for lovlig behandling av personopplysninger, registrerte personers rettigheter samt behandlingsansvarliges og databehandleres plikter, blir behandlet med størst grundighet. Denne vektleggingen gjør at boken har et klart tyngdepunkt på de første fem kapitlene av forordningen. Samlet sett dekker imidlertid fremstillingen hele forordningen. Jeg prøver å gå inn i sentrale tolkningsspørsmål uten å fortape meg i detaljer. Selv om jeg behandler bestemmelsene i forordningen på relativt dekkende måter, er det så mange enkeltheter det kan være usikkerhet ved, at jeg umulig kan drøfte alt uten å drukne leseren i spørsmål som i de fleste situasjoner vil fremstå som fjern teori og uvesentligheter. Jeg har altså valgt ut det jeg – generelt sett – antar vil være mest vesentlig. Dette er ikke en lovkommentar. Selv om flere bestemmelser vil bli forklart og drøftet i den rekkefølge de står i forordningen, vil jeg også legge vekt på å fremheve sammenhenger på tvers av slike rekkefølger. Dette gjelder f.eks. flere bestemmelser som har nesten identisk innhold, og formuleringer som går igjen i flere bestemmelser. Forhåpentligvis vil resultatet gi et litt mindre fragmentarisk bilde enn hva forklaringer av bestemmelsene én for én ville ha gitt. Også innenfor enkeltbestemmelser vil jeg av og til bryte med rekkefølgen av regelelementene. Generelt prøver jeg å gi «oppskrifter» ved så langt som mulig å forklare regelfragmentene i den rekkefølgen de må eller bør anvendes for å komme frem til rettslig holdbare resultater. Forordningen består av mange vage og skjønnsmessige ord og uttrykk. Høsten 2019 var det ennå ikke mange rettskilder å støtte seg på for å dechiffrere teksten. Med forordninger følger det ikke forarbeider som forklarer bestemmelsene, slik som for norske lover. Fortalen kan gi noe veiledning om hvordan bestemmelsene skal forstås, men gjennomgående gir den lite avklaring. Fortalen skal primært gi presiseringer av og begrunnelser for viktige bestemmelser i forordningen, og uttrykker ikke selvstendige rettsregler.29 Derfor har fortalen begrenset betydning for å redusere usikkerhet om forståelsen av bestemmelsene.
29 Jf. EU, Joint practical guide of the European Parliament, the Council and the Commission for persons involved in the drafting of European Union legislation (2016), punkt 11, der det heter at «[t] he purpose of the recitals is to set out concise reasons for the chief provisions of the enacting terms, without reproducing or paraphrasing them. They shall not contain normative provisions of political exhortations».
23
24
PERSONVERNFORORDNINGEN
I tiden fremover vil det utvikle seg en praksis i alle land innen EØS.30 Det vil imidlertid ta lang tid før vi får en koordinert, felles praksis med autoritative, enhetlige forståelser. Denne boken er skrevet uten at jeg har undersøkt hva praksis i ulike EØS-land er. Kun avgjørelser i EU-domstolen vil etter min mening være klart autoritative, dvs. ha avgjørende betydning for tolkningen. I tillegg er en rekke andre kilder relevante. Datatilsynets og andre nasjonale tilsynsmyndigheters oppfatninger har selvsagt vekt og må tas hensyn til. Hvor stor vekt avhenger imidlertid av det konkrete dokumentet. En god del dokumenter er utarbeidet med tanke på å formidle et komplisert innhold til diverse behandlingsansvarlige, databehandlere, registrerte og andre. Det kan gjøre at hensynet til forståelighet og ønsket om å unngå å gjøre stoffet vanskeligere enn nødvendig fører til at nyanser og mulige diskusjoner blir borte. En kan heller ikke ta det for gitt at alle tilsynsmyndigheter har like oppfatninger om alle rettsspørsmål, og det er ikke realistisk å undersøke hva alle slike myndigheter mener om et spørsmål. Språkbarrierer og arbeidsmengde setter derfor klare begrensninger for hvor stor vekt nasjonale myndigheters oppfatninger kan gis. Nasjonale klagemyndigheters avgjørelser vil normalt ha større vekt enn nasjonale tilsynsmyndigheters generelle tolkninger. Personvernnemndas klageavgjørelser vil typisk ha større vekt enn f.eks. Datatilsynets vedtak og veiledninger mv. Den tidligere såkalte Artikkel 29-gruppen31 ga retningslinjer om hvordan de mente forordningen skulle tolkes. Senere har Det europeiske personvernrådet (Personvernrådet) gitt sin tilslutning til flere slike uttalelser og gjort dem tilgjengelige på sine hjemmesider. Jeg har valgt å referere til disse som Personvernrådets oppfatning,32 og ikke kun som retningslinjer fra den nå «forhistoriske» Artikkel 29-gruppen. Den rettskildemessige betydningen er basert på Personvernrådets revisjon og godkjenning av retningslinjene. De retningslinjer jeg har anvendt, er enten reviderte og godkjente av Personvernrådet eller gitt av Personvernrådet direkte. Jeg anser i utgangspunktet retningslinjene for å ha forholdsvis stor rettskildemessig vekt, men viser bare aktivt til retningslinjene på enkelte utvalgte punkter. Mine egne oppfatninger samsvarer i stor grad med retningslinjene, men generelt er jeg nok ofte noe mer i tvil enn det anbefalingene i retningslinjene gir uttrykk for. Ganske ofte bruker jeg ord som «trolig» og «neppe» for å markere tvil. Uansett
30 Merk at EØS betegner alle land i EU pluss tre av fire medlemsstater i Det europeiske frihandelsforbund (EFTA), dvs. Island, Liechtenstein og Norge (men ikke Sveits). 31 «Arbeidsgruppe for personvern i forbindelse med behandling av personopplysninger». Gruppen var et rådgivende organ i samsvar med personverndirektivet (direktiv 95/46/EF), artikkel 29. Gruppen ble nedlagt da direktivet ble erstattet av forordningen og Personvernrådet ble opprettet, jf. PVF artikkel 68 flg. 32 Dvs. til «Det europeiske personvernrådet /Artikkel 29-gruppen».
Kapittel 1: Innledning
er det adskillig nytte i retningslinjene, og de kan med fordel leses parallelt med og i tillegg til denne boken. Jeg ser likevel ikke retningslinjene som «fasit». Det er særlig to refleksjoner som begrunner at det er vanskelig alltid å legge Personvernrådets retningslinjer til grunn for anvendelsen av forordningen. For det første er Rådet en personvernmyndighet, som består av representanter for nasjonale tilsynsmyndigheter, jf. artikkel 68(3). Oppnevning og sammensetning kan gjøre rettsanvendelsen og skjønnsutøvelsen mer «personvernvennlig» enn standpunktene en domstol vil innta. For det andre er retningslinjene svært detaljerte og har ofte preg av utfyllende regler snarere tolkninger. Personvernrådet er ikke lovgiver. Når personvernforordningen skal tolkes, er det ikke uvanlig at rettsanvendere påberoper seg avgjørelser og tolkningsuttalelser som er knyttet til det nå opphevede personverndirektivet (95/46/EF) og tidligere nasjonal lovgivning. Resonnementet synes å være at personvernforordningen er en videreføring av personverndirektivet og derfor har rettskildemessig relevans og vekt. Selv om det stemmer at mye av forordningen kan ses som en videreføring av direktivet, så vel systematisk som innholdsmessig og begrepsmessig, er det likevel mange store og små forskjeller. Ikke minst er ordlyden stort sett en annen enn i direktivet, og det er en rekke nye bestemmelser. Dermed kommer også kjente bestemmelser inn i en ny tolkningsmessig sammenheng. Selv om samme type bestemmelse både var del av direktivet og er del av forordningen, og det rettslige innholdet hovedsakelig synes å være det samme, vil både ordlyden og den rettslige sammenhengen ofte være forskjellig. Det er da vanskelig å bruke rettskilder knyttet til en tidligere ordlyd når en skal drøfte den aktuelle ordlyden i forordningen. Det kan være mulig å bruke rettskilder knyttet til personverndirektivet, men det vil ofte kreve mye analyser før en kan begrunne at den gamle rettskilden bør tillegges vekt. Jeg har stort sett latt være å bruke avgjørelser mv. som gjelder personverndirektivet og rettskilder knyttet til personopplysningsloven 2000, for å forstå den aktuelle forordningen. Det er etter hvert en omfattende faglitteratur om forordningen. Meningene er mange, og ikke sjelden sprikende. Det ville vært en uoverkommelig oppgave å lese all litteratur på området før jeg selv tar standpunkt, og uansett vil ikke slike meninger alene ha rettskildemessig vekt.33 Jeg har primært brukt litteratur for å bli klar over mulige synsmåter og divergerende syn. Slike meningsforskjeller har vært bakgrunn for å gjøre enkelte mer dyptgående rettskildevurderinger. I den følgende teksten har jeg valgt å sette inn en rekke referanser til forordningen i selve brødteksten. Noen synes kanskje dette sjenerer lesingen. 33 Blant norske utgivelser vil jeg særlig nevne Bergseng Skullerud m.fl. 2018, Wessel-Aas og Ødegaard 2018, og Jarbekk og Sommerfeldt 2019.
25
26
PERSONVERNFORORDNINGEN
Begrunnelsen min for å sette inn så mange referanser er at jeg mener forordningen ikke kan læres og forstås uten å arbeide aktivt med selve forordningsteksten. Det nytter dessuten ikke bare å lese bestemmelsene i rekkefølge, de må også leses på kryss og tvers slik at en får frem de mange mulige og viktige sammenhengene mellom dem. Det er umulig å formidle regelinnholdet i forordningen uten å benytte de begrepene forordningen bruker. Dessuten er det viktig å ta med mer enn hovedreglene, og særlig er det nødvendig å gjengi ofte komplekse unntaksbestemmelser slik at gjengivelsen av regelinnholdet blir sann. Når jeg gjør det, er det store dilemmaet at kompleksiteten og juristeriet i forordningen smitter over på mine egne forklaringer. Fristelsen til å kutte hjørner og gjøre forenklinger er derfor stor. Stort sett sier jeg fra når jeg gjør forenklinger av særlig betydning.34
1.3 OVERSIKT OVER PERSONVERNRETTEN 1.3.1 DET STORE BILDET
Denne boken er stort sett avgrenset til å gjelde personvernforordningen (PVF) og – i noen grad – personopplysningsloven (pol). Forordningen og loven er viktige deler av den rettslige reguleringen av personvern i Norge, men er likevel bare deler. Før jeg fordyper meg i forordningen, er det derfor på sin plass å si noe kortfattet om annet, omkringliggende regelverk. I figur 3 har jeg foretatt en grov klassifisering av regelverk som gjelder personvern.35 Merk at jeg bare gir spredte eksempler innen hver kategori. Selve «gulvet» er grunnlovsbeskyttelsen av personvern i Grl. § 10236 og Den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8 (se A i figuren). Også artikkel 12 i Verdenserklæringen om menneskerettighetene (1948) og artikkel 17 i FN-konvensjonen om sivile og politiske rettigheter (1966) etablerer personvern i betydningen vern mot vilkårlig innblanding i privatliv, familie, hjem og korrespondanse. Mens dette grunnleggende vernet gjelder privatliv bredt, gjelder de øvrige typene regulering i stor grad personvern i betydningen personopplysningsvern,37 dvs. behandling av opplysninger om enkeltpersoner. Det er også dette personvernforordningen og personopplysningsloven handler
34 På ett område har jeg forenklet gjengivelsen av regler på en gjennomført måte: Det gjelder mange formuleringer som åpner for bestemmelser i «unionsretten eller medlemsstatenes nasjonale rett». På dette punktet har jeg ofte forenklet ved kun å vise til nasjonal rett. 35 Figuren er basert på Schartum 2008. 36 Bestemmelsen gir vern om privatliv, herunder personopplysninger. Blant annet heter det at «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon.» Se også Grl.§ 104 tredje ledd som sier at «Barn har rett til vern om sin personlige integritet». 37 Jf. «data protection».
Kapittel 1: Innledning
E
Spredte bestemmelser i annen lovgivning som understøtter personvern (nasjonal)
D
Regulering av bestemte informasjons-systemer (nasjonal)
C
Sektorvis, helhetlig regulering av personvern Internasjonal Nasjonal
B
Generell, helhetlig regulering av personvern Internasjonal Nasjonal
A
Grunnlovsbeskyttelse og menneskerettslige instrumenter om personvern
Strafferettslig regulering
F
Figur 3 Grov inndeling av ulike typer regulering av personvern
om.38 Forordningen og personopplysningsloven er eksempler på «Generell, helhetlig regulering av personvern» (se B i figuren). I slike regelverk har en ikke bare regulert noen utvalgte spørsmål om personopplysninger, men mange viktige og beslektede spørsmål i sammenheng. Langt på vei uttrykker slike regelverk en ideologi og prinsipielle holdninger til personopplysningsvernet. Europarådets konvensjon om personvern i forbindelse med elektronisk databehandling av personopplysninger (1981/2018) er et annet viktig eksempel på et slikt generelt og helhetlig regelverk. Denne konvensjonen har mange likhetstrekk med personvernforordningen, og er tiltrådt av mer enn 50 land – herunder også land som ikke er medlem av Europarådet. Den neste kategorien jeg vil trekke frem, er det vi kan kalle «sektorvis, helhetlig regulering av personvern» (jf. C i figuren). I EU ble personverndirektivet for politi og påtalemyndigheter («politidirektivet») vedtatt samtidig med personvernforordningen.39 Politidirektivet er altså et direktiv (ikke en forordning) og gjelder en avgrenset sektor der en har sett behov for en noe annen form for regulering av personopplysningsvern og med et annet innhold enn etter de generelle reglene i personvernforordningen og personopplysningsloven. Politiregisterloven gjennomfører politidirektivet i norsk rett. Innen helseområdet har vi dessuten flere norske, nasjonale lover som kan passe inn i kategori C: 38 Selv om personvernforordningen også, mer generelt tar sikte på å beskytte den enkeltes rettigheter og friheter, jf. f.eks. fortalen avsnitt 4. 39 Se direktiv (EU) 2016/680 om beskyttelse av fysiske personer ved behandling av personopplysninger for å forebygge, etterforske, avdekke eller straffeforfølge lovbrudd eller gjennomføring av straffereaksjoner, og om fri utveksling av slike opplysninger og opphevelse av rådets rammebeslutning 2008/977/JIS.
27
28
PERSONVERNFORORDNINGEN
Således kan blant annet helseregisterloven og pasientjournalloven sies å være sektorvise, helhetlige reguleringer av personvern. En annen sektor med særlig regulering er telekommunikasjon. Kommunikasjonsverndirektivet (2002/58/ EF) vil bli erstattet av en forordning,40 som gir personvernregler som spesielt gjelder elektronisk kommunikasjon, og som vil gjelde i tillegg til den generelle personvernforordningen.41 Kommunikasjonsverndirektivet har primært vært gjennomført i lov om elektronisk kommunikasjon (eKomloven). I tillegg til sektorlovgivning har vi en rekke reguleringer av informasjonssystemer som inneholder personopplysninger. Slike regelverk kan ha internasjonal bakgrunn, slik som for lov om Schengen informasjonssystem (SIS-loven). Dette er en omfattende regulering, men typisk er reguleringene i denne kategorien forholdsvis lite omfangsrike. Et annet viktig eksempel på en slik «registerlov» er folkeregisterloven som i kapittel 3 fastsetter hvilke personopplysninger som skal finnes i folkeregisteret, og som i kapittel 10 regulerer hvem som kan få tilgang til opplysninger. Det finnes i tillegg et stort antall personregistre som er underlagt særlig regulering, vedrørende innhold og tilgang mv. Regler om tingboken, matrikkelen, kjøretøyregisteret, vognkortregisteret, våpenregisteret, aksjonærregisteret og ektepaktregisteret kan stå som spredte eksempler på denne kategorien regulering. Kategori D dekker ikke bare lovgivning om spesifikke systemer, men gjelder også regelverk med generelt innhold innenfor en sektor. Forskriften til offentleglova regulerer f.eks. bruk av personopplysninger i offentlig journal og offentlig saksdokument på nett, se særlig §§ 6 og 7. Kategori E i figur 3, «spredte bestemmelser i annen lovgivning som understøtter personvern», omfatter først og fremst diverse enkeltbestemmelser som regulerer tilgang til personopplysninger, jf. særlig taushetspliktbestemmelser, innsynsretter, rapporteringsplikter osv. Vi har mange slike bestemmelser rundt omkring i lovgivningen vår. Enkeltbestemmelser om informasjonssikkerhet passer også inn i denne kategorien. Til slutt i figuren har jeg som kategori F tatt med strafferettslig regulering. Denne omfatter det strafferettslige vernet som finnes i mange regelverk i de andre kategoriene, men kategorien er først og fremst ment å dekke bestemmelser som kan sies å understøtte personvern i straffeloven. Straffeloven har således bestemmelser i kapittel 21 som har med behandling av personopplysninger og personvern å gjøre. Dette gjelder f.eks. § 201 om uberettiget befatning med tilgangsdata mv. (herunder passord for uberettiget tilgang til personopplysninger), § 202 om identitetskrenkelse (jf. «ID-tyveri»), § 204 om innbrudd i datasystem (med f.eks. personopplysninger), og § 205 om krenkelse av retten til privat kommunikasjon. 40 Jf. EU, Regulation on Privacy and Electronic Communications, draft, 20 September 2018. 41 Og blir lex specialis i forhold til denne.
Kapittel 1: Innledning
Også bestemmelsene om straff for brudd på taushetsplikt (jf. strl §§ 209–211) er eksempler på straffebud som kan ramme handlinger som krenker personvernet. Ved løsning av norske, nasjonale rettsspørsmål er det ofte nødvendig å ta hensyn til reguleringer innen flere av de kategorier jeg her har nevnt. Ikke sjelden må personopplysningsloven, personvernforordningen og norsk særlovgivning anvendes i sammenheng. Det gir enda mer komplekse rettsspørsmål enn den følgende gjennomgangen av personvernforordningen kan gi inntrykk av. Fordi forordningen skal praktiseres likt i alle EØS-land, er det i utgangspunktet ikke tillatt å la bestemmelser i forordningen «flyte ut» i nasjonal lovgivning ved å gjenta og omformulere/erstatte forordningsbestemmelser innenfor en nasjonal kontekst og lovgivningstradisjon. Utgangspunktet er derfor ganske skarpe skiller mellom forordningen og nasjonal lovgivning. I fortalepunkt 8 i personvernforordningen er det imidlertid åpnet for at elementer fra forordningen kan inngå i nasjonale bestemmelser når dette er nødvendig for sammenhengen eller av pedagogiske grunner.
1.3.2 PERSONVERNFORORDNINGEN: BAKGRUNN OG OVERSIKT 1.3.2.1 GENERELT
Den sentrale personopplysningslovgivningen har vært og er generelt formulert, dvs. den har gjeldt og gjelder i utgangspunktet bredt, for de fleste deler av samfunnet, uten f.eks. å skjelne mellom offentlig og privat sektor. Fordi lovgivningen har vært så vidtrekkende, har det vært et typisk trekk at den er formulert på temmelig abstrakte måter. Abstraksjonene er bl.a. knyttet til den teknologinøytrale lovgivningsstilen som er valgt. Bestemmelsene beskriver stort sett ikke den teknologien som lovgivningen skal regulere, men angir i stedet, på høyt abstraksjonsnivå, de funksjoner som teknologien har. Det kan derfor ofte være vanskelig å forstå betydningen av bestemmelsene anvendt på konkret teknologi i spesifikke situasjoner. Når kommunen tar flyfoto over sitt areal slik at det fremkommer opplysninger om innbyggernes eiendommer og virksomhet, kan det derfor være lett å overse at dette dekkes av personopplysningslovgivningens «behandling av personopplysninger». Personvernforordningen er på mange måter et «uhyre» av et regelverk på ca. 100 sider normal tekst. Selve forordningsteksten har 99 artikler som til sammen utgjør mer enn 26 000 ord. I tillegg kommer fortalen bestående av mer enn 20 000 ord fordelt på 173 avsnitt. Omfanget av teksten ville ikke nødvendigvis være avgjørende for hvor vanskelig det er å forstå bestemmelsene. Kombinert med en lovgivningsstil med til dels meget lange og innfløkte setningskonstruksjoner, vanskelige – og noen ganger inkonsistente – logiske resonnementer og en utpreget fragmentarisk regulering, er det imidlertid krevende å sette seg
29
30
PERSONVERNFORORDNINGEN
inn i denne viktige delen av personopplysningsretten. Riktignok er det stort sett logisk rekkefølge på kapitler og bestemmelser. Problemet er bare at det er så mange mulige, implisitte sammenhenger og samspill på kyss og tvers i forordningsteksten. Dessuten har ikke lovgiver hatt tanke på hva man må gjøre for å etterleve forordningen, dvs. praktiske implikasjoner av de mange abstrakte rettsreglene. I tillegg til bestemmelsen i selve forordningen er det gitt hjemler til at Kommisjonen kan gi visse delegerte rettsakter og gjennomføringsakter.42 Slik myndighet skal utøves i samsvar med artikkel 92. I pol § 15 er det fastsatt at Kongen kan gi forskrift om at slike delegerte rettsakter og gjennomføringsakter skal gjelde for Norge. Jeg kommer stort sett ikke til å kommentere slike regelsett nærmere, og flere av hjemlene var høsten 2019 heller ikke anvendt. Med denne boken blir det forhåpentligvis litt lettere å trenge igjennom regelmaterien. Et viktig bidrag til dette er å understreke at ikke alle bestemmelser i forordningen er like viktige, jf. oversikten i rammen nedenfor. I mange tilfeller er det de fire–fem første kapitlene som har størst betydning. Det er disse kapitlene som primært (altså, ikke bare) har betydning for om behandlingen av personopplysninger er lovlig. Fra og med kapittel VI handler forordningen i stor grad om tilsynsmyndigheter og forpliktelser og den myndighet den enkelte medlemsstat har etter forordningen, herunder situasjonen for EFTA-stater som Norge.
Kapittel I Kapittel II Kapittel III Kapittel IV Kapittel V
Alminnelige bestemmelser Prinsipper Den registrertes rettigheter Behandlingsansvarlig og databehandler Overføring av personopplysninger til tredjeland eller internasjonale organisasjoner Kapittel VI Uavhengige tilsynsmyndigheter Kapittel VII Samarbeid og ensartet anvendelse Kapittel VIII Rettsmidler, ansvar og sanksjoner Kapittel IX Bestemmelser om særlige behandlingssituasjoner Kapittel X Delegerte rettsakter og gjennomføringsrettsakter Kapittel XI Avsluttende bestemmelser
42 Se PVF artikkel 12(8) om fastsettelse og standardisering av ikoner, 28(7) om standard vilkår i databehandleravtaler, 40(9) om allmenn gyldighet av godkjente adferdsnormer, 43(9) om fastsetting av tekniske standarder for sertifiseringsmekanismer og personvernsegl, og 47(3) om fastsettelse av formatet og fremføringsmåtene for visse typer utveksling av informasjon.
Kapittel 1: Innledning
Personvernforordningen kan som nevnt sies å være abstrakt, i den forstand at den har svak tilknytning til virkelige, konkrete forhold. Begrepene er meget vide: En omtaler f.eks. mennesker som «registrerte», og regulerer ikke enkeltgrupper med særlige behov.43 En anvender ord som «personopplysning» og mener alt fra analyseresultater fra genprøver, registrering i en sensor, skrift på et dokument, innholdet av satellittbilde, og veldig mye annet og forskjellig. Et annet eksempel er at forordningen bruker ord som «midler» og «teknisk» for å angi de mange ulike typene av digitalt utstyr og teknologi som forordningen omfatter. Og så videre. Det er altså veldig lite konkret å kjenne seg igjen i.
1.3.2.2 FORHOLDET TIL PERSONOPPLYSNINGSLOVEN
Personopplysningsloven bestemmer i § 1 at personvernforordningen gjelder som norsk lov, med visse tilpasninger som følger av EØS-avtalen. Slik sett er loven den primære rettskilden i Norge. Innholdsmessig sett er det imidlertid personvernforordningen som er i første rekke, og loven er tydelig skrevet på grunnlag av forordningen. Store deler av personopplysningsloven fremstår derfor som et appendiks til forordningen der lovgiver benytter en del av de adganger forordningen åpner for, til å fastsette nasjonale bestemmelser. Her vil jeg kort gi en oversikt over loven ved å kommentere innholdet i hvert kapittel. Her gir jeg ingen nærmere analyse. Poenget med gjennomgangen er å tydeliggjøre hvilke typer nasjonale særbestemmelser som finnes i personopplysningsloven. I praktisk arbeid kan det være lett å glemme muligheten for at nasjonale bestemmelser finnes! Kapittel 1. Personvernforordningen (§ 1) Den eneste bestemmelsen i dette kapittelet er § 1 som fastsetter at forordningen gjelder som norsk lov. Kapittel 2. Lovens saklige og geografiske virkeområde (§§ 2–4) Dette kapittelet har bestemmelsene som fastsetter hva loven og personvernforordningen gjelder for, og hvor de gjelder (tilsvarende bestemmelser i PVF artikkel 2 og 3 gjelder bare virkeområdet til forordningen). Det saklige virkeområdet er i loven fastsatt videre enn det som følger av forordningen, blant annet slik at forordningen gjelder utover det Norge er forpliktet til etter EØS-avtalen.44 For å verne om ytrings- og informasjonsfriheten unntar § 3 i loven fra det meste av forordningen og loven.45
43 Imidlertid er barn omhandlet spesielt i enkelte bestemmelser. 44 Se nærmere om virkeområdet i avsnitt 1.5 og 1.6. 45 Se nærmere om dette i avsnitt 1.6.9.
31
32
PERSONVERNFORORDNINGEN
Kapittel 3. Utfyllende regler om behandling av personopplysninger (§§ 5–15) Kapittelet inneholder diverse bestemmelser som utfyller forordningen. Paragraf 5 fastsetter at aldersgrensen i Norge for barns kompetanse til å samtykke i forbindelse med informasjonssamfunnstjenester skal være 13 år.46 Flere av bestemmelsene i kapittel 3 gjelder særlige kategorier personopplysninger (jf. PVF art. 9(1)); se §§ 6, 7, 9 og 10. To andre bestemmelser gjelder andre opplysningstyper som anses som sensitive; se § 11 om opplysninger om straffedommer og lovovertredelser mv., og § 12 om bruk av fødselsnummer og andre entydige identifikasjonsmidler. Paragrafene 13–15 inneholder kun forskriftshjemler. Også fire andre bestemmelser i dette kapittelet gir slike hjemler. Andre bestemmelser i kapittel 3 i loven kommer jeg ikke inn på her. Kapittel 4. Unntak fra den registrertes rettigheter (§§ 16 og 17) Mens bestemmelsene i kapittel 3 utfyller forordningen, gjør bestemmelsene i kapittel 4 to unntak fra forordningen. Paragraf 16 gjør unntak fra rett til informasjon (jf. art. 13, 14 og 34) og innsyn (jf. art. 15). Vilkåret for unntak er at visse tungtveiende grunner tilsier det, for eksempel utenriks-, forsvars- og sikkerhetspolitiske interesser, etterforskning mv. av straffbare handlinger, og taushetsplikt.47 Paragraf 17 inneholder unntak fra flere av den registrertes rettigheter i forordningens kapittel III, i tilfeller der personopplysninger blir behandlet for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistikkformål. For slike formål gjelder det også en rekke andre særlige regler i forordningen. Disse er særlig omtalt i avsnittene 3.3.3, 3.3.4 og 3.4.5.8 nedenfor. Kapittel 5. Personvernombud (§§ 18 og 19) Kapittelet inneholder kun en bestemmelse om personvernombudets taushetsplikt (§ 18), og en forskriftshjemmel om plikt til å utpeke personvernombud (§ 19). Kapittel 6. Tilsyn og klage (§§ 20–25) Kapittelet inneholder bestemmelser om Datatilsynet (§§ 20 og 21), Personvernnemnda (§ 22), og disse tilsynsorganenes tilgang til opplysninger (§ 23). Det er også gitt regler om taushetsplikt for ansatte i Datatilsynet og medlemmer av Personvernnemnda, samt alle som utfører tjenester eller arbeid for disse organene. Selve innholdet i taushetsplikten følger stort sett bestemmelsene i forvaltnings-
46 Se nærmere om dette i avsnitt 3.4.2.2. 47 Merk at det er flere grunnlag for unntak enn de jeg her nevner, se pol § 16 første ledd, bokstavene a–f.
Kapittel 1: Innledning
loven § 13 flg., men det er gitt enkelte særlige bestemmelser i pol § 24 første ledd annen setning48 og i annet ledd.49 Kapittel 6 har også bestemmelse om Datatilsynets og Personvernnemndas partsstilling, dvs. disse organenes kompetanse til å opptre på vegne av staten i tilfelle av søksmål (§ 25). Kapittel 7. Sanksjoner og tvangsmulkt (§§ 26–30) Kapittelet inneholder supplerende bestemmelser om overtredelsesgebyr, tvangsmulkt og erstatning for ikke-økonomisk skade (§§ 26, 29 og 30), jf. særlig PVF art. 82 og 83. I tillegg er det bestemmelse om hva domstolen kan prøve i saker om overtredelsesgebyr (§ 27), og foreldelse av adgangen til å ilegge slikt gebyr (§ 28). Kapittel 8. Uekte kameraovervåkingsutstyr mv. (§ 31) En kan bli overrasket dersom en ser den ene bestemmelsen i dette kapittelet i lys av § 2 om det saklige virkeområdet. Årsaken er at bestemmelsen gjelder innretninger og praksis som ikke innebærer «helt eller delvis automatisert behandling av personopplysninger», slik § 2 angir. Bestemmelsen forbyr bruk av kameralignende utstyr eller skilt om kameraovervåking mv. når dette skjer for å få folk til å tro at det skjer overvåking som ikke eksisterer. Forutsetningen er altså slike forhold som loven ifølge formuleringen i § 2 ikke gjelder for. Bestemmelsen er også spesiell fordi den kun gjelder en spesiell form for teknologi (dvs. «jukseteknologi»), mens resten av loven og forordningen er teknologiuavhengig og ikke sondrer mellom ulike teknologier. Kapittel 9. Ikrafttredelse. Overgangsregler. Endringer i andre lover (§§ 32–34) Da personopplysningsloven ble vedtatt, ble det samtidig vedtatt en rekke andre endringer i norsk lovgivning for å bringe denne i samsvar med forordningen, og for å benytte en del av de adganger til særlige nasjonale bestemmelser som forordningen åpner for. Nasjonale tilpasninger har med andre ord både skjedd i form av utfyllende regler og unntak i personopplysningsloven og i form av bestemmelser i særlovgivning. Her vil jeg ikke gå nærmere inn på de mange endringer som ble gjort i særlover. Likevel nevner jeg at to forskrifter som tidligere var hjemlet i personopplysningsloven 2000, om arbeidsgivers rett til tilgang til ansattes epost mv. og om kameraovervåking, nå er videreført og endret. Ny hjemmel for begge forskrifter er arbeidsmiljøloven kapittel 9 om kontrolltiltak i arbeidslivet. Forskriftene innebærer avvik fra prinsippet om teknologiuavhengig lovgivning og er en konkretisering av særlig aktuell teknologibruk i arbeidslivet.
48 Om sikkerhetstiltak og varsling om overtredelser av personopplysningsloven, jf. PVF artikkel 54(2). Personvernombudet har tilsvarende taushetsplikt, se pol § 18 første ledd bokstav d. 49 Om adgang til å gi opplysninger til utenlandsk tilsynsmyndighet når dette er nødvendig for at en slik myndighet som omfattes av forordningen, skal kunne treffe vedtak som ledd i tilsynsvirksomheten.
33
34
PERSONVERNFORORDNINGEN
1.4
EKSEMPEL PÅ HVORDAN VIKTIGE BESTEMMELSER I FORORDNINGEN KOMMER TIL ANVENDELSE
I denne boken forklarer og diskuterer jeg personvernforordningen med vekt på å få frem systematiske sammenhenger mellom ulike deler av regelverket og ulike bestemmelser. Likevel kan det ta tid å forstå hvordan bestemmelsene vil/ kan bli brukt. Jeg har derfor valgt å lage en prosedyre som viser en mulig, typisk rettsanvendelse. Eksempelet jeg har valgt, tar utgangspunkt i en situasjon der noen ønsker å behandle personopplysninger, dvs. samle, registrere og viderebehandle opplysninger om fysiske enkeltpersoner (de «registrerte»), med ønske om å oppnå et angitt formål:
I En næringsdrivende ønsker for eksempel å samle inn opplysninger om personer som han håper kan bli kunder, med det formål å drive markedsføring overfor dem. II Et annet eksempel kan være et forvaltningsorgan som skal samle inn og registrere personopplysninger, med det formål å treffe en bestemt type enkeltvedtak. III Et tredje mulighet er en kommune som skal installere GPS-sendere på demente innbyggere de har omsorg for. Formålet er f.eks. å samle inn opplysninger om hvor personene befinner seg, for dermed å gjøre de dementes hverdag friere og sikrere. IV En fjerde mulighet er et lite firma som har laget en app som analyserer bildet av brukerens ansikt for å anslå hvilken sinnstilstand personen er i. Formålet med bruken er å unngå sosialt belastende situasjoner. Jeg kunne fortsatt å lage eksempler for å tydeliggjøre at de aktuelle situasjonene der personvernforordningen er relevant, er mange og svært varierte. Det som er felles, er uansett at noen ønsker å registrere og behandle personopplysninger om andre fysiske personer. Fordi mulige situasjoner er så mange og varierte, bør alle som ønsker å samle inn noe de antar kan være personopplysninger, undersøke følgende: Gjelder forordningen? A Svaret på spørsmålet om forordningen gjelder, er i stor grad avhengig av om den behandling av personopplysninger som blir planlagt, faller innenfor det saklige virkeområdet for forordningen: Spørsmålet er altså om forordningen gjelder for det jeg planlegger (eller: HVA gjelder forordningen for?). I forordningen er spørsmålet primært regulert i artikkel 2, men i Norge er det personopplysningsloven (pol) § 2 som primært bestemmer når forordningen
Kapittel 1: Innledning
gjelder. For å ta stilling til dette spørsmålet må man bl.a. forstå innholdet av legaldefinerte begreper som «personopplysninger» og «behandling». B Er svaret på spørsmålet i A bekreftende, blir neste spørsmål om forordningen gjelder på det geografiske området som er aktuelt for den planlagte behandlingen av personopplysninger. Dette er altså spørsmålet om HVOR forordningen gjelder. Forordningens artikkel 3 regulerer dette spørsmålet, og særlige regler for Norge finnes i pol § 4. Dersom den som planlegger behandlingen, er i Norge eller et annet land i EØS, er svaret som regel at forordningen gjelder. Veldig ofte er svaret på begge spørsmålene ovenfor JA, og i så fall kommer forordningen og personopplysningsloven til anvendelse for det som er planlagt. Det er nå den store jobben begynner. Dersom man ønsker å behandle personopplysninger, må man først undersøke og finne ut om man kan etterleve reglene innen de følgende problemstillingene; se bokstav C–J. Disse kravene er kumulative, dvs. alle må være oppfylt. Grunnleggende, generelle krav til behandlingsopplegget C Hvilke personopplysninger ønsker jeg å behandle? Det er ikke anledning til «å vente å se» før man bestemmer seg for hvilke personopplysninger man ønsker å behandle. Dette må en ta uttømmende stilling til på forhånd. Legaldefinisjonene av «behandling» av «personopplysninger (jf. art. 4(1) og (2)) er av særlig stor betydning for å avklare dette spørsmålet, men også artikkel 9(1) om særskilte kategorier personopplysninger, artikkel 10 om opplysninger om straffedommer mv., og pol § 12 om fødselsnumre er viktig å ta i betraktning. D Til hvilket formål ønsker jeg å bruke personopplysningene? Man kan heller ikke vente med å bestemme seg for hvilket formål man skal anvende opplysningene, jf. C. Dette behandlingsformålet får virkninger for flere andre spørsmål. Utgangspunktet er artikkel 5(1)(b). E Hvilket rettslig grunnlag kan jeg påberope meg? Dette er kanskje det mest sentrale punktet å ta stilling til. «Rettslig grunnlag» betyr omtrent det samme som «hjemmel», dvs. et rettslig grunnlag man kan vise til og som gir en rett til å behandle personopplysninger på lovlig måte. De aktuelle typer rettslig grunnlag er angitt i artikkel 6 og 9.50 De angir i stor grad tilfeller der behandling av personopplysninger er nødvendig for å oppnå ulike ting, og jeg omtaler disse ofte som «nødvendighetsgrunner» og «nødvendige grunner». Et annet sentralt grunnlag er samtykke fra den personen opplysningene
50 Jf. også artikkel 10 og pol § 12.
35
36
PERSONVERNFORORDNINGEN
F
G
H
I
gjelder. Lovgivning kan ofte ha funksjon som rettslig grunnlag, men dette er integrert i to nødvendighetsgrunner (se særlig art. 6(1)(c) og (e)) og kommer derfor ikke klart frem i forordningsteksten. Hvordan må/kan jeg organisere behandlingen av personopplysninger? Dette spørsmålet aktualiseres ikke av bestemmelser tidlig i forordningen, men har bakgrunn i formuleringen «tekniske og organisatoriske tiltak» som brukes i flere av bestemmelsene. Artikkel 24 om behandlingsansvarliges ansvar er helt sentral, artikkel 25 om innebygd personvern, artikkel 26 om felles behandlingsansvar, artikkel 27 om representant for den behandlingsansvarlige, artikkel 28 om databehandleravtaler, og artikkel 37 flg. om personvernombud er sentrale eksempler på bestemmelser som stiller krav til organisering. Det er viktig at den behandlingsansvarlige tidlig finner ut av hvordan behandlingen av personopplysninger må organiseres for å være i overensstemmelse med forordningen. Denne vurderingen må skje første gang tidlig i arbeidet med å etablere behandlingen (jf. C–E ovenfor). Hvordan må/kan jeg sikre behandlingen av personopplysninger? Dette er også et spørsmål som primært er omhandlet et stykke ut i forordningen (jf. art. 32 flg.), men som likevel må vurderes før en begynner å behandle personopplysninger. «Personopplysningssikkerhet» er dessuten et generelt og gjennomgående tema som også er viktig etter at selve behandlingen har begynt, jf. prinsippet i artikkel 5(1)(f ) om integritet og konfidensialitet. Spørsmål om organisering er en viktig del av sikkerhetsvurderingene som skal skje, jf. F ovenfor, men spørsmål om organisering av sikkerhetsarbeidet er noe som må vurderes spesielt. Hvordan kan jeg bygge personvernprinsipper og -regler inn i systemløsninger og organisering? Under bokstav F (ovenfor) fremholdt jeg at det stilles krav til «tekniske og organisatoriske tiltak» i flere sentrale bestemmelser. Et krav om «innebygd personvern» finnes i artikkel 25. Bestemmelsen innebærer at personvernprinsippene (jf. art. 5) og andre regler i forordningen skal bygges inn i henholdsvis organisatoriske og tekniske løsninger. «Bygge inn» her kan forklares med at de skal nedfelles i eller materialisere seg eller sette spor etter seg i henholdsvis organisering og teknologiske løsninger. Spørsmålet er f.eks. om hvordan den tekniske utformingen bør være for best mulig å understøtte prinsippene og reglene i forordningen. Må det f.eks. være en egen modul for samtykke eller for innsyn? Hvilke krav må stilles til prosedyrer for innlogging? (osv.). Gir den planlagte behandlingen akseptabel risiko for registrerte personers rettigheter og friheter? Spørsmål om risikovurdering inngår i flere bestemmelser. Av viktige bestemmelser er artikkel 24 om behandlingsansvarliges ansvar, artikkel 25 om innebygd personvern, artikkel 32 om
Kapittel 1: Innledning
personopplysningssikkerhet, og artikkel 35 om vurdering av personvernkonsekvenser. Artikkel 24 har bredest nedslagsfelt, men alle bestemmelser er av meget stor betydning og noe en alltid må vurdere og alltid må legge mye samvittighetsfullt arbeid i. De fleste av de nevnte bestemmelsene er allerede nevnt i listen ovenfor, og det kan kanskje være forvirrende at de dukker opp igjen som et eget punkt. Poenget med punkt I er å understreke at mye av forordningen er basert på risikotenkning: Man er ofte forpliktet til å spørre seg hva kan gå galt på måter som går ut over enkeltpersoners friheter og rettigheter (herunder personvern). Kort sagt er det alltid noe som kan gå galt! Det er derfor nesten alltid tekniske og organisatoriske tiltak som må iverksettes for at risikoen skal bli redusert til akseptabelt nivå. Slikt arbeid med å bedømme risiko og sette inn/tilpasse risikoreduserende tiltak er en helt sentral del av det forordningen krever. Disse aktivitetene skal påbegynnes før behandlingen starter, og skal fortsette så lenge behandling av personopplysninger skjer. J Hvordan kan jeg påvise/dokumentere at jeg har forsøkt å etterleve forordningen? Jeg velger å avslutte denne listen med et punkt som kanskje ikke er så tydelig i forordningen, men som likevel har stor betydning, og som må tas hensyn til når en planlegger å sette i gang behandling av personopplysninger. Bestemmelser som direkte gjelder dokumentasjon, er artikkel 24(1) (jf. «påvise»), artikkel 28 om databehandleravtaler, artikkel 30 om krav til behandlingsprotokoller, og artikkel 33(5) om brudd på personopplysningssikkerheten. Igjen er det artikkel 24(1) som er mest sentral (fordi den er generell). Hovedpoenget er at en kan trenge å dokumentere at en har forsøkt å etterleve forordningen på samvittighetsfull måte. Det betyr f.eks. at når en har gjennomført risikovurderinger og fastsatt tiltak i tråd med krav i artikkel 32 (personopplysningssikkerhet) og 35 (personvernkonsekvenser), bør dette sette spor som beviser eller i alle fall sannsynliggjør at en har gjort skikkelige vurderinger. Egentlig er dette noe en bør begynne på før en vurderer punktene i denne listen. En viktig motivasjon er at dokumentasjonen kan ha stor betydning for om en blir idømt erstatningsansvar (jf. art. 82) og ilagt overtredelsesgebyr (jf. art. 83). Jeg understreker at listen ovenfor bare tar med seg et mulig hovedløp, og at andre situasjoner og ønsker om å behandle personopplysninger kan aktualisere flere bestemmelser. De kan ikke minst aktualisere bestemmelser i norsk nasjonal rett. Dette kan reise vanskelige spørsmål, f.eks. i skjæringspunktene mellom forordningen, personopplysningsloven og norsk helselovgivning. Slike kombinerte spørsmål kommer jeg imidlertid ikke nærmere inn på.
37
38
PERSONVERNFORORDNINGEN
1.5
HVOR GJELDER FORORDNINGEN? Forordningen gjelder for det første all behandling av personopplysninger som utføres av en behandlingsansvarlig eller databehandler51 «i Unionen» (min utheving). «I Unionen» må forstås som et krav om etablering i EU. Etableringsbegrepet brukes også utenfor personvernretten. Rettspraksis trekker i retning av tre kumulative krav for at etablering skal kunne konstateres: i) Det må utøves en aktivitet, ii) gjennom en fast organisatorisk infrastruktur, og iii) over et ubestemt tidsrom.52 53 Siden forordningen er tatt inn i EØS-avtalen, gjelder forordningen for virksomheter som er etablert i Norge.54 55 Det spiller ingen rolle om selve behandlingen skjer utenfor EØS, så lenge virksomheten er etablert i EØS. Et norsk selskap som behandler personopplysninger i et land utenfor EØS, f.eks. et selskap som er etablert i Norge og som selger feriereiser til Thailand og behandler personopplysninger der, skal følge personvernforordningen også når det behandler personopplysninger om personer i Thailand (ansatte, turister mv.). Virksomheter som er etablert på norsk territorium, er imidlertid også bundet av personopplysningslovens særlige, norske, nasjonale bestemmelser om personvern samt annen norsk lov. Bestemmelsen i pol § 8 om adgang til å behandle personopplysninger for arkivformål gjelder bare virksomheter som er etablert i Norge, og er presisering/utfylling av bestemmelser i forordningen på punkter der forordningen tillater nasjonale bestemmelser.56 I visse situasjoner gjelder personvernforordningen også for behandlingsansvarlige og databehandlere57 som er etablert utenfor EØS (dvs. i tredjeland som f.eks. USA, India, Kina osv.). Dette gjelder tilfeller der virksomheten behandler
51 Se kapittel 2 om de ulike aktører, herunder om behandlingsansvarlig og databehandler. 52 Se Schartum og Bygrave 2016, s. 174 flg. 53 Etableringen kan være i form av «hovedvirksomhet» (jf. art. 4(16)) eller annen etablert virksomhet. Dette skillet har betydning for hvem som skal regnes som ledende tilsynsmyndighet, se avsnitt 8.2. 54 EØS betegner medlemslandene i EU pluss de tre EFTA-statene Island, Liechtenstein og Norge. EFTA-landet Sveits er ikke med i EØS. Vernenivået i Sveits har blitt godkjent som tilstrekkelig, og overføring av personopplysninger til landet kan derfor skje på samme måte som til land i EØS. Også 12 andre land har fått godkjent vernenivået, se avsnitt 5.1. 55 I Høring – Endringer i personopplysningsloven mv, Justis- og beredskapsdepartementet, Lovavdelingen, september 2019, s. 47, er det fremmet forslag om endring av personopplysningsforskriften § 1. I dag fastsetter den kun at «[p]ersonvernforordningen og personopplysningsloven med forskrift gjelder for Jan Mayen». Departementet foreslår at personopplysningsloven med forskrift også skal gjelde for Svalbard, likevel slik at artikkel 56 om ledende tilsynsmyndighet ikke skal gjelde, og heller ikke kapittel VII om samarbeid og ensartet anvendelse. I tillegg er det foreslått at Datatilsynet kan gjøre unntak fra loven og forskriften ved enkeltvedtak dersom «stedlige forhold på Svalbard gjør det nødvendig». 56 Dette innebærer at lignende, men ikke identiske bestemmelser kan forventes å gjelde i andre stater. 57 Se nærmere om begrepene «behandlingsansvarlig» og «databehandler» i avsnitt 2.3 og 2.4 (nedenfor).
Kapittel 1: Innledning
personopplysninger om registrerte personer som befinner seg i EØS. Det er ingen forutsetning at personene er EØS-borgere eller bosatt i EØS; det er nok at de oppholder seg der (jf. «befinner seg i Unionen»). Imidlertid er det en forutsetning at behandlingen av personopplysninger om personer som befinner seg i EØS, enten er knyttet til tilbud av varer og tjenester til disse personene eller til «monitorering» av personenes atferd. Monitorering må – i tråd med vanlig språkbruk – forstås som en aktivitet for å holde personene under kontinuerlig oppsikt. Hensikten med monitoreringen behøver ikke være kontroll, men kan like gjerne være knyttet til informasjonsinnsamling for på dette grunnlaget å rette henvendelser til personene, som ledd i markedsføring, politisk påvirkning, osv. Et amerikansk selskaps registrering av digitale spor med det formål å analysere eller forutsi preferanser, atferd eller holdninger hos personer som oppholder seg i EØS-området, vil således være omfattet av forordningen.58 På samme måte vil et kinesisk selskap som er databehandler for en norsk behandlingsansvarlig, komme inn under forordningen. Når en behandlingsansvarlig eller databehandler i en tredjestat behandler personopplysninger om registrerte i EØS som nevnt, skal de normalt skriftlig utpeke en stedlig representant i et av de landene personene oppholder seg.59 Se nærmere om representanten i avsnitt 2.6.
1.6 HVA GJELDER FORORDNINGEN FOR? 1.6.1 INNLEDNING OG OVERSIKT
Forordningen beskytter «den registrertes interesser eller grunnleggende rettigheter og friheter», se formålsbestemmelsen i artikkel 1(2). Dette omfatter mer enn selve personopplysningsvernet. Det kan også tas hensyn til konsekvenser for ytringsfrihet, religionsfrihet, bevegelsesfrihet, osv. I fortalens avsnitt 4 understrekes det at «[r]etten til vern av personopplysninger er ikke en absolutt rettighet; den må ses i sammenheng med den funksjon den har i samfunnet, og veies mot andre grunnleggende rettigheter i samsvar med forholdsmessighetsprinsippet». Forordningen beskytter med andre ord ikke den enkeltes personvern på ensidig eller absolutt måte. Tvert imot må vernet ofte avveies mot andre friheter og rettigheter. I denne avveiningen kan ethvert prinsipp som gir rettigheter og friheter og som er nedfelt i EUs traktater, komme i betraktning. I nevnte avsnitt 4 nevnes således beskyttelse av «privatliv og familieliv, hjem og kommunikasjon, vern av personopplysninger, tanke-, tros- og religionsfrihet, ytrings- og informasjonsfrihet, frihet til å drive næringsvirksomhet, retten til effektiv prøving
58 Jf. fortalepunkt 24. 59 Se artikkel 27. Unntak gjelder dersom behandlingen har lite omfang eller skjer sporadisk, og gjelder heller ikke for offentlige myndigheter og offentlige organer, se artikkel 27(2).
39
40
PERSONVERNFORORDNINGEN
og rettferdig rettergang samt kulturelt, religiøst og språklig mangfold». Dette betyr selvsagt ikke at registrertes rettigheter er helt flytende og alltid kommer an på vide vurderinger. I kapittel III er det nettopp tatt inn bestemmelser som konkretiserer rettighetene på basis av en generell politisk avveining som ligger relativt fast. Andre ganger åpner forordningen for vide interesseavveininger, f.eks. som ledd i vurdering av personvernkonsekvenser i samsvar med artikkel 35 (se kapittel 7 nedenfor). Personvernforordningen gjelder for
• helt eller delvis automatisert behandling av personopplysninger, og for • ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register.60 Det er det førstnevnte alternativet som er klart viktigst, og som jeg i denne boken vil legge klart størst vekt på. «Automatisert behandling» betyr ikke helt automatisert behandling, slik som er omtalt i artikkel 22, og som det gjelder særskilte regler for.൰൫ Det er nok at behandlingen er delvis automatisert for at forordningen skal gjelde. For å forstå begge alternativer (automatisert og ikke-automatisert) er det nødvendig å forstå uttrykket «behandling av personopplysninger». Dette uttrykket består at to meningsbærende ord («behandling» og «personopplysninger») som begge er legaldefinert i artikkel 4. For å forstå forordningen og personopplysningsloven er det helt nødvendig å skjønne disse begrepene (se hhv. avsnitt 1.6.2 og 1.6.5 nedenfor). Personvernforordningen er i utgangspunktet gitt generell anvendelse i Norge, se pol § 2 første ledd. Fra dette utgangspunktet kan det for det første gjøres unntak i norsk lov på områder som ikke er omfattet av EØS-avtalen. Således er det gjort enkelte unntak direkte i personopplysningsloven fra bestemmelser som gjelder kompetanse og samarbeid mellom tilsynsmyndigheter ved grenseoverskridende behandling av personopplysninger.62 Bestemmelsene åpner for at norske og andre nasjonale tilsynsmyndigheter får sin myndighet begrenset. Utenfor EØS-avtalen vil det også kunne gjøres videre unntak i nasjonal lov. For det andre kan det gjøres unntak og vedtas bestemmelser som avviker fra personvernforordningen i norsk særlovgivning på områder som er utenfor personvernforordningens virkeområde. Personvernforordningen gjelder f.eks. ikke for spørsmål om rikets sikkerhet, samfunnssikkerhet mv. Dette innebærer
60 Se artikkel 2(1). 61 Se også artikkel 15(1)(h) om innsynsrett. 62 Jf. avsnitt 8.2.
Kapittel 1: Innledning
bl.a. at det i sikkerhetsloven kan være bestemmelser som ikke er i overensstemmelse med forordningen. Utgangspunktet er at personvernforordningen gjelder på sikkerhetslovens område, men når sikkerhetsloven har bestemmelser som gjelder behandling av personopplysninger (f.eks. om personellsikkerhet), trenger disse ikke å samsvare med forordningens bestemmelser. Selv om vi er innenfor EØS-avtalen og innenfor virkeområdet for personvernforordningen, kan det – for det tredje – ved lov eller forskrift gjøres begrensninger i rekkevidden av enkelte deler av forordningen, se artikkel 23. Dette gjelder bestemmelsene om personvernprinsippene i artikkel 5, bestemmelsene om registrertes rettigheter mv. i artikkel 12–22, og bestemmelsen om varsling av registrerte personer ved brudd på sikkerheten (jf. art. 34). Se noe nærmere om bestemmelsen i avsnitt 3.2.1. For det fjerde kan det – ikke minst – gis nasjonale bestemmelser på en rekke områder fordi enkeltbestemmelser i forordningen åpner for det. En konsekvens er at det til tross for forordningsformen blir ulike rettsregler i de forskjellige landene i EØS. I Norge gjelder det f.eks. flere lover som handler om helseopplysninger (personopplysninger om helse), og som i stor grad innebærer særlige norske rettsregler knyttet til helsehjelp, helseadministrasjon og kvalitetsarbeid, og helseforskning.63 Det kan tenkes motstrid mellom bestemmelser i forordningen og annen norsk, nasjonal rett. I så fall går forordningen foran. Dette følger av EØS-loven § 2, og er gjentatt i pol § 2 fjerde ledd. Ettersom forordningen er til dels meget skjønnsmessig formulert, er det imidlertid neppe praktisk at slik motstrid vil oppstå. Er det spenning mellom innholdet av forordningen og f.eks. en norsk lov, vil situasjonen primært bli løst ved hjelp av harmoniserende tolkning.
1.6.2 «PERSONOPPLYSNI NGER »
«Personopplysninger» er definert i artikkel 4(1) som enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
63 Helseregisterloven, pasientjournalloven, pasient- og brukerrettighetsloven, helsepersonelloven og helseforskningsloven er blant de viktigste.
41
42
PERSONVERNFORORDNINGEN
I utgangspunktet dekker personopplysningsbegrepet bare fysiske personer, dvs. mennesker. Juridiske personer (bedrifter, foreninger, forvaltningsorganer mv.) faller altså utenfor. Helt skarp er denne grensen likevel ikke. I noen tilfeller er opplysninger om juridiske personer samtidig også opplysninger om fysiske personer, og i konkrete situasjoner kan det derfor være vanskelig å skjelne skarpt mellom dem. Dette vil typisk gjelde enkeltmannsforetak. En virksomhetsopplysning i et enkeltmannsforetak kan tenkes å være en personopplysning samtidig som det er en opplysning om virksomheten. Særlig når vern av slike opplysninger må antas å ha betydning for innehaverens grunnleggende rettigheter og friheter, kan det være grunn til å se opplysningene som både person- og virksomhetsopplysninger.64 Merk at særlovgivning kan fastsette at også annet enn personopplysninger er omfattet av bestemmelser i personvernforordningen og personopplysningsloven. Forslag til lov om behandling av opplysninger i kredittopplysningsvirksomhet65 har f.eks. bestemmelser som innebærer at flere av bestemmelsene i forordningen skal få anvendelse også på kredittopplysninger om virksomheter.66 Ifølge forordningen er det levende fysiske personer som er vernet. Opplysninger om avdøde personer er ikke direkte omfattet. Likevel kan opplysninger om døde personer samtidig være opplysninger om levende mennesker. Som jeg straks kommer tilbake til, er det tilstrekkelig at en opplysning indirekte kan knyttes til en fysisk person. Opplysninger om hvem som var foreldre, besteforeldre, søsken osv. til en levende person, vil derfor også være opplysninger om denne. Dersom en død slektning har hatt arvelige sykdommer, vil også disse sykdomsopplysningene kunne ses som personopplysninger om den levende slektningen. Både for forholdet mellom fysiske og juridiske personer og for forholdet mellom levende og døde personer er det med andre ord en slags overlapp ved at opplysninger både kan gjelde personer som faller henholdsvis utenfor og innenfor forordningen. De aller fleste opplysninger om juridiske og avdøde personer vil ikke samtidig kunne være opplysninger som faller inn under personopplysningsbegrepet; det er tale om en relativt smal sone der overlapp er mulig. Opplysningene som er vernet av forordningen, må kunne knyttes til en identifisert eller identifiserbar fysisk person. Denne personen blir betegnet som «den registrerte». Identifiseringen kan f.eks. skje direkte ved hjelp av en eller flere
64 Jf. formålsbestemmelsen, artikkel 1(2). 65 Se Prop. 139 L (2018–2019). Lovforslaget innebærer at konsesjonsordningen for kredittopplysningsvirksomhet blir avskaffet. Denne ordningen har vært basert på forskrift til personopplysningsloven 2000. Ved vedtakelsen av personopplysningsloven 2000 ble ordningen midlertidig forlenget. 66 Dette gjelder artikkel 12(5), 15, 24, 26 og 28–34.
Kapittel 1: Innledning
identifikator(er). Forordningen nevner navn, identifikasjonsnummer, lokaliseringsopplysninger og nettidentifikator. Dette viser til opplysningstyper som ofte og med stor grad av sikkerhet knytter direkte an til en bestemt fysisk person. Slike identifikatorer kan imidlertid også gi usikker identifisering, f.eks. fordi flere har samme navn, adresseopplysningen er uriktig, en persons fødselsnummer brukes av uvedkommende, eller fordi flere personer bruker den mobilen som genererer GPS-posisjoner. De identifikatorene som nevnes i bestemmelsen, er derfor kun eksempler på hvordan identifisering av personer kan skje: En annen ting er hva som konkret er tilstrekkelig identifisering. Spørsmålet er bl.a. avhengig av hvilken risiko som er forbundet med å forveksle personer og gi «uriktige» personer tilgang til opplysninger mv. Navn og kundenummer kan f.eks. tenkes å være tilstrekkelig når risikoen er veldig lav, men er den høy, kreves avanserte og sikre identifikasjonsmåter som f.eks. MinID og BankID. I tillegg til identifikatorer kan identifisering skje ved hjelp av «ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet».67 Dette kan forstås som opplysninger som kan sies å kjennetegne personen, og som kan brukes til å skjelne personen fra andre personer. Også andre muligheter for identifisering enn dem som er direkte nevnt, kan tenkes. Biometri i form av fingeravtrykk er eksempel på bruk av fysiske kjennetegn; beskrivelsen «halter på venstre ben» er et fysiologisk kjennetegn, og genetiske kjennetegn kan f.eks. være et gen som gir arvelig disposisjon for sykdom. Det vesentlige i denne sammenhengen er at oppregningen ovenfor av ulike identifiserende elementer viser at det er mange typer beskrivelser av en person som kan brukes for å skjelne denne fra andre personer. Selv om vi ikke har navn, fødselsnummer eller lignende basisopplysninger om personen, kan det være mulig å identifisere vedkommende ved hjelp av opplysninger om kroppshøyde, vekt, kjønn, inntekt, bosted, yrke, utdanning mv. (jf. de nevnte elementene). Jo flere slike identifiserende elementer vi kan spesifisere og kombinere, jo færre personer passer til beskrivelsen, og til slutt er identifiseringen entydig. Selv om slike omstendelige måter å identifisere på ikke er vanlig,68 illustrerer det tenkningen rundt kravet til at personer skal være identifiserte eller identifiserbare. Oppregningen i forordningen av identifikatorer og andre elementer som kan bidra til identifisering (jf. ovenfor), er altså ikke uttømmende, og det er et utall muligheter for å kombinere ulike opplysninger og teknikker for å kunne identifisere en person. Kombinasjon av ulike opplysninger for entydig å identifisere en person krever ikke nødvendigvis så mange opplysninger: «Han professoren 67 Se artikkel 4(1). 68 Politietterforskning er et praktisk viktig unntak.
43
44
PERSONVERNFORORDNINGEN
i forvaltningsinformatikk» er f.eks. entydig identifisering av meg (fordi jeg er den eneste som har en slik stilling). Artikkel 4(1) fastsetter at identifiseringen kan være «direkte eller indirekte». Direkte identifisering refererer til teknikker som identifiserer personer fordi de alene gir tilstrekkelig sikker identifikasjon (f.eks. fødselsnummer). Indirekte identifisering refererer til samtidig bruk av flere teknikker, f.eks. kombinasjonen av navn og boligadresse. For det andre kan distinksjonen direkte/indirekte henspille på hvor mange ledd det er mellom en opplysning og en identifisert fysisk person: Bilde av ansiktet mitt en face kan gi direkte identifikasjon av meg. Bilde av bilen jeg kjører, kan derimot bare gi indirekte identifikasjon av meg som sjåfør (registreringsnummeret viser til et utleiefirma, og leieavtalen viser at jeg har leid bilen). Skillet direkte/indirekte vil ofte være aktuelt i begge de nevnte betydningene samtidig: I det siste eksempelet er det jo ikke sikkert at det er jeg som kjører bilen. Kombinert med opplysninger om mine bevegelser (f.eks. fra bilens GPS og GPS-en i min mobil) vil imidlertid identifikasjonen bli langt mer sikker. Det siste poenget ved analysen av begrepet «personopplysninger» som jeg vil nevne her, er ordet kan; jf. «person som direkte eller indirekte kan identifiseres». For at det skal eksistere personopplysninger, er det altså intet vilkår at opplysningene faktisk har blitt knyttet til en bestemt fysisk person; det er nok at det er mulig å benytte teknikker jeg har nevnt eksempler på ovenfor, for å fastsette en slik identitet. Som nevnt vil forsøk på identifisering kunne gi usikre resultater, dvs. det vil være grader av sikkerhet – fra det helt sikre til det veldig usikre. Det går en nedre grense et sted med hensyn til hvor usikker identifiseringen kan være hvis opplysningen skal regnes som «personopplysning». Siden det ikke er en forutsetning at identifiseringen faktisk har skjedd når vi må bedømme om en opplysning er en personopplysning eller ikke, må vi i tillegg ta stilling til hvor sannsynlig det er at nødvendige teknikker for identifisering vil komme til å bli brukt på vellykket måte, for å gi «sikker nok» identifikasjon. Motivasjonen for å identifisere, rådighet over nødvendige teknikker og utstyr for å identifisere, formell tilgang til opplysninger som kan brukes til å identifisere, samt tilgang til ekspertise og økonomiske ressurser for å gjennomføre identifisering er blant momentene som kan trekkes inn i denne vurderingen. I veldig mange tilfeller vil identifisering kunne skje på en så enkel måte at opplysninger utvilsomt må regnes som «personopplysninger», med andre ord som opplysninger som er regulert av personvernforordningen. Utenfor denne kjernen av sikre tilfeller har vi imidlertid en tvilssone der det er nødvendig å vurdere mer inngående om vi har med personopplysninger å gjøre eller ikke. Når vi gjør slike tvilsvurderinger, er det viktig å vurdere på systemnivå. Det er ikke nødvendigvis så interessant å kunne påvise muligheter for at det i individuelle
Kapittel 1: Innledning
tilfeller kan være tvil om tilstrekkelig identifisering kan skje. Som jeg kommer tilbake til i avsnitt 1.6.5, gjelder forordningen generelle opplegg (systemløsninger) for behandling av personopplysninger. Det avgjørende er derfor hva den typiske situasjonen kan sies å være for alle opplysninger som vil komme til å bli behandlet av systemet. Antas den typiske situasjonen å være at det vil kunne være mulig og sannsynlig at identiteter kan bringes på det rene, bør alle opplysningene behandles som personopplysninger, selv om en konkret kan argumentere for at det kan forekomme unntak. Min anbefaling er å vurdere personopplysningsbegrepet slik at en er på «den sikre siden», dvs. legge til grunn at en må følge forordningen. En årsak til dette er at spørsmålet om identifisering befinner seg i et dynamisk felt; det kan tenkes at opplysninger som ikke tidligere kunne knyttes til enkeltpersoner, likevel senere kan knyttes til personer. Eksempelvis kan en ny informasjonskilde eller ny teknologi tenkes å gjøre identifisering som tidligere ikke var praktisk mulig, til noe som lar seg gjennomføre uten stor innsats. Det kan også være at identifiserende kjennemerker som tidligere har vært knyttet til opplysninger, har blitt fjernet fordi det ikke lenger er behov for identifisering. I slike tilfeller vil det ofte kunne være mulig å tilbakeføre identitetene, dvs. avidentifiseringen er ikke endelig. I så fall har vi fremdeles med personopplysninger å gjøre, så lenge reidentifisering er mulig (jf. «kan69 identifiseres»). Artikkel 11 i forordningen har særlige bestemmelser om slike tilfeller, og disse lemper på en rekke bestemmelser om registrertes rettigheter i tilfeller der ytterligere opplysninger må innhentes for å identifisere den registrerte på tilstrekkelig sikker måte til for eksempel å gi innsyn etter artikkel 15.70 La oss si at en næringsdrivende har tatt bort opplysninger om navn og adresse i en oversikt over tidligere kunder.71 I så fall kan ikke en kunde som ønsker innsyn i sine opplysninger, identifisere seg med navn og adresse og slik gi grunnlag for innsyn. For at innsyn skal være mulig i et slikt tilfelle, må kunden kunne gi tilleggsopplysninger som etablerer en sikker sammenheng mellom personen og kundenummeret (det vil i praksis si at kunden må kunne angi kundenummeret og vise at det gjelder hans eller hennes person).72
69 70 71 72
Uthevet her. Se om artikkel 11 i avsnitt 4.1.2 (nedenfor). Vi forutsetter at det er rettslig grunnlag mv. for fortsatt å behandle opplysningene, se avsnitt 3.4. For eksempel en SMS fra selskapet som viser hvilket kundenummer personen har.
45
46
PERSONVERNFORORDNINGEN
1.6.3 OM SKILLET MELLOM SÆRLIGE KATEGORIER OG ALMINNELIGE PERSONOPPLYSNINGER
Forordningen bygger på en enkel klassifisering av personopplysninger. Det store gross av opplysninger er ikke gitt noe navn, mens andre opplysninger er spesielt kategorisert. Jeg velger derfor å kalle det ikke spesifiserte, store flertall av opplysninger for «alminnelige personopplysninger». På den måten er det lettere å formidle de to underkategoriene som spesielt inngår i forordningen, nemlig «særlige kategorier personopplysninger» (art. 9) og «personopplysninger om straffedommer og lovovertredelser» (art. 10). Sistnevnte kategori har begrenset betydning, og her nøyer jeg meg derfor med å vise til gjennomgangen av artikkel 10 i avsnitt 3.4.6. Det er likevel viktig å legge merke til at opplysningene om straffedommer og lovovertredelser ikke hører med til de «særlige kategorier av personopplysninger» som er regulert i artikkel 9. De særlige kategoriene av opplysninger var slike som i personopplysningsloven 2000 var benevnt som «sensitive» personopplysninger, og opplysninger om at en person hadde vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling regnet som sensitiv personopplysning, var regnet blant disse.73 Begrepet sensitive personopplysninger ble brukt i personopplysningsloven 2000 og tilsvarte omtrent det personvernforordningen betegner «særlige kategorier personopplysninger». «Sensitive personopplysninger» benyttes ikke lenger i forordningen eller i personopplysningsloven 2018, og det er ikke tilrådelig å bruke denne betegnelsen i stedet for «særlige kategorier personopplysninger».74 Følgende opplysninger inngår i særlige kategorier av personopplysninger:
• opplysninger om rase75 eller etnisk opprinnelse; • opplysninger om politisk, religiøs eller filosofisk overbevisning eller fagforeningstilhørighet; • genetiske opplysninger; • biometriske opplysninger med det formål entydig å identifisere en fysisk person; 73 Se personopplysningsloven 2000, § 2 nr. 8 bokstav b. 74 Sensitive personopplysninger kan i dag trolig best brukes i sin alminnelig språklige betydning, dvs. uavhengig av PVF artikkel 9(1) og den tidligere legaldefinisjonen i personopplysningsloven 2000 § 2 nr. 8. I så fall viser begrepet til en konkret vurdering av sensitiviteten, ikke til den forhåndsvurderingen av hva som regnes som sensitivt som artikkel 9(1) og legaldefinisjonene uttrykker. 75 I fortalens punkt 51 er det understreket at «bruken av begrepet ‘rasemessig opprinnelse’ i denne forordning ikke innebærer at Unionen godtar teorier som søker å fastslå at det finnes forskjellige menneskeraser». En kan lure på hva man vinner ved å bruke «rase» i tillegg til «etnisk opprinnelse». Jeg antar at sistnevnte begrep er tilstrekkelig for en riktig og forsvarlig fortolkning av denne særlige kategorien personopplysninger.
Kapittel 1: Innledning
• helseopplysninger; og • opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Her går jeg ikke nærmere inn på en tolkning av hver opplysningstype. Vær imidlertid oppmerksom på at genetiske opplysninger, biometriske opplysninger og helseopplysninger er legaldefinert i artikkel 4(13), (14) og (15). Formuleringen «opplysninger om» (min utheving) favner vidt og gir behov for å finne frem til en nedre grense. «Om» i denne formuleringen er oversatt fra engelsk «revealing» som også dekker opplysninger som røper noe om de forhold som regnes opp i artikkel 9(1). Således omfatter f.eks. «religion» i oppregningen ikke bare konkrete opplysninger om religion, men også opplysninger som avdekker en spesiell religion, f.eks. symboler, bekledning, ritualer mv. Situasjonen er tilsvarende for de andre opplysningstypene i artikkel 9(1). Med den vide betydningen av «om» kan en f.eks. spørre om alle personbilder av mennesker hører til de særlige kategoriene personopplysninger fordi slike bilder alltid vil vise hudfarge og etniske trekk. I fortalens punkt 51 er det uttalt at «[b] ehandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger». Dette er åpenbart en nødvendig presisering. I motsatt fall ville ethvert personbilde være forbudt å behandle med mindre et unntak i artikkel 9(2) kom til anvendelse. Er det til formålet med behandling av personbilder knyttet behov for kunnskap om etnisitet, vil opplysningene trolig kunne anses for å komme inn under artikkel 9(1). Det samme gjelder dersom behandling av slike bildeopplysninger kan gi negative konsekvenser for personers rettigheter og friheter. På lignende måte som for personbilder kan en spørre om religiøse symboler knyttet til mennesker innebærer opplysninger om «religiøs […] overbevisning». I så fall vil bilder av personer som bærer et kors eller religiøse hodeplagg som hijab og kippa, gjøre at bildene kommer inn under artikkel 9(1). Et slikt resultat vil være totalt upraktisk og ikke formålstjenlig. Generelt er formålstolkning trolig det viktigste grepet for å løse slike spørsmål. Det betyr at en må vurdere betydningen personopplysningen har for vernet av «fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger», jf. artikkel 1(2). En kan da komme til at f.eks. personbilde som viser hudfarge og religiøse symboler, er uten betydning i noen sammenhenger, mens det i andre sammenhenger kan ha stor betydning. Særlige kategorier personopplysninger har en relativt sentral plass i forordningen. Den primære funksjonen er at det kreves egne og strengere krav til rettslig grunnlag enn til alminnelige personopplysninger (se art. 9, jf. art. 6). I tillegg er det at det behandles særlige kategorier personopplysninger, et rettslig kriterium i flere andre sammenhenger. Av stor betydning er at slike opplysninger kan
47
48
PERSONVERNFORORDNINGEN
være avgjørende for plikten til å foreta vurdering av personvernkonsekvenser (jf. art. 35(3)(b)), og at plikten til å ha personvernombud kan avhenge av om slike opplysninger blir behandlet eller ikke (se art. 37(1)(c)). Her skal det også nevnes at personopplysningsloven inneholder en særlig regulering av fødselsnummer og andre entydige identifikasjonsmidler (se § 12). Fødselsnummer er ikke blant de særlige kategoriene opplysninger i artikkel 9, men er likevel ikke «alminnelige», fordi det gjelder begrensninger etter norsk rett for bruken av dem. «Andre entydige identifikasjonsmidler» er særlig biometriske opplysninger, og disse er blant de særlige kategoriene når de anvendes med det formål entydig å identifisere en fysisk person (se artikkel 9(1)). Fødselsnummer og andre entydige identifikasjonsmidler er nærmere omhandlet i avsnitt 3.4.7.
1.6.4 OM HVORDAN PERSONOPPLYSNINGER KAN KOMME TIL UTTRYKK
De personopplysningene som forordningen regulerer, kan komme til uttrykk på en hvilken som helst måte: som skrift, lyd, stillbilder, tegning, video, biometri, registrering ved sensorer eller på andre måter. Sensorer er en stor og viktig kategori som det kan være grunn til å eksemplifisere noe nærmere. Sentrale eksempler er bevegelsessensorer (bl.a. for å registrere fall og analysere bevegelse), fuktighetssensorer (f.eks. for å registrere om sengen på sykehjemmet er tørr), posisjoneringssensorer som f.eks. GPS (personers oppholdssted til bestemte tider), samt ulike typer medisinske sensorer (hjerterytme, blodsukkermåling mv.). Det er med andre ord veldig mange mulige måter personopplysninger kan komme til uttrykk på, og det jeg har nevnt her, er kun eksempler. Poenget er at det i prinsippet ikke er noen begrensninger eller unntak for hvordan personopplysninger kan komme til uttrykk, så lenge det er knyttet til digital, helt eller delvis automatisk behandling eller behandling i et register. Også manuelle registre kan ha ulike typer innhold (se avsnitt 1.6.7).
1.6.5 «BEHANDLING» (AV PERSONOPPLYSNINGER)
Det er «behandling» av slike personopplysninger som jeg ovenfor har beskrevet, som er regulert i personvernforordningen. Å fastsette betydningen av begrepet «behandling» er i utgangspunktet veldig enkelt: Alt det er tenkelig å gjøre med en personopplysning, kan sies å være behandling av den. I forordningen blir dette eksemplifisert på omfattende måte: «f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring».
Kapittel 1: Innledning
«Behandling» i forordningens forstand, kan være alt fra helt enkel til svært sammensatt. Ofte vil behandling av personopplysninger være sammensatt, og det er derfor behov for å kunne beskrive enkeltelementene i den samlede behandlingen nærmere. Forordningen gjør dette ved å bruke betegnelsen «operasjon» for å betegne de ulike typer handlinger som kan utføres som ledd i den samlede behandlingen. Innsamling, registrering, organisering og lagring osv. betegner således ulike typer operasjoner som kan utføres på personopplysninger. Det er nok at det utføres en eller to slags operasjon(er) for at det skal foreligge en «behandling»; f.eks. kan det være at noen bare lagrer eller videresender personopplysninger. Langt mer vanlig er det imidlertid at det utføres en rekke operasjoner på opplysningene, f.eks.
• • • • • • • • • –
innsamling fra digitale kilder; lagre opplysning i database; sammenstille med andre opplysninger; analyse av opplysningene; bruke opplysningene til å treffe vedtak; lagre opplysningene i vedtaket; overføre opplysninger til behandling for dokumentasjonsformål; slette opplysninger som det ikke lenger er adgang til å beholde; rapportere utvalgte opplysninger i samsvar med lovbestemt plikt og så videre.
Når det utføres en rekke operasjoner på personopplysninger, som eksemplifisert tidligere, er det denne rekken som til sammen utgjør «en behandling». «Behandling» er med andre ord betegnelsen på det samlede behandlingsopplegget for personopplysningene. Dette gjelder enten behandlingsopplegget er helt begrenset og kun omfatter noen veldig få typer operasjoner, eller det er et omfattende og komplekst behandlingsopplegg med mange typer operasjoner involvert. Ofte vil det som regnes som en behandling, tilsvare et bestemt informasjonssystem/datasystem, eventuelt en modul av et slikt system. Definisjonen av et informasjonssystem vil bl.a. være knyttet til formål om å utføre bestemte funksjoner og løse et bestemt problem.76 Som vi kommer til nedenfor, skal behandling av personopplysninger være knyttet til ett eller flere formål. Ofte kan vi anta at det er stor grad av sammenfall mellom formålet med behandlingen av personopplysninger og formålet med det informasjonssystemet som anvendes for å behandle opplysningene. Merk imidlertid at systemløsninger ofte er
76 Jf. Schartum, Jansen og Tranvik 2017, s. 189.
49
50
PERSONVERNFORORDNINGEN
sammensatte, og kan understøtte mer enn én behandling av personopplysninger samtidig. Et lønns- og personalsystem kan f.eks. oppfattes som ett system. Men systemet vil neppe representere kun én behandling i personvernforordningens forstand, men trolig minst to: én behandling knyttet til formålet å behandle saker om lønn, og én behandling knyttet til personalsaker. Det er med andre ord ikke alltid fullt samsvar mellom «en behandling» og «et system». Men med dette forbeholdet kan parallellen likevel være en hensiktsmessig støtte for tanken. Det som tidligere var separate informasjonssystemer, blir i større grad integrert med hverandre, f.eks. slik at flere systemer gjør bruk av felles databaser og felles programkomponenter for behandling av opplysningene. Vi kan snakke om bevegelse fra informasjonssystemperspektiv til infrastrukturperspektiv: Systemløsningene henger med andre ord sammen på måter som kan gjøre det vanskelig å skjelne klart mellom dem. På samme måte som det kan være vanskelig å ta stilling til hva som er ett system, kan det være vanskelig å ta stilling til hva som skal regnes som én behandling. Siden personvernforordningen er bygget på en forutsetning om at ansvaret for å behandle personopplysninger skal kunne plasseres klart på én eller et lite antall «behandlingsansvarlig(e)»,77 er det viktig å ta så klart stilling til slike grenseflater mellom behandlinger/systemer som mulig. Se nærmere om felles behandlingsansvar i avsnitt 2.3.6.
1.6.6 «HELT ELLER DELVIS AUTOMATISERT BEHANDLING », HERUNDER «PROFILERING »
Det viktigste området personvernforordningen regulerer, er «helt eller delvis automatisert behandling av personopplysninger», jf. artikkel 2(1). «Automatisert behandling» må forstås som behandling som skjer uten direkte menneskelig medvirkning, og i mangel av menneskelig/manuell behandling kan vi trolig underforstå at det er tale om digital teknologi som forestår behandlingen; dvs. behandlingen vil helt eller delvis være styrt av algoritmer uttrykt som programkode. Det sentrale spørsmålet når dette kravet skal forstås, er hva «delvis» betyr, eller nærmere bestemt: hvor går den nedre grensen? Trolig må kravet forstås slik at selv om det kun er en liten del av det samlede behandlingsopplegget som er automatisert, vil forordningen gjelde. Dersom det med andre ord blir utført minst én type automatisert operasjon (innsamling, lagring mv.), vil hele behandlingen være undergitt bestemmelsene i forordningen. Den logiske begrunnelsen for at dette er en rimelig tolkning, er at enhver automatisert behandling forutsetter
77 Se nærmere om behandlingsansvarlig i avsnitt 2.3.
Kapittel 1: Innledning
personopplysninger i digital form.78 Finnes digitaliserte opplysninger, vil disse kunne brukes videre på en rekke måter som potensielt kan krenke folks personopplysningsvern. Virkeområdet er med andre ord bestemt ut fra risiko for krenkelse av personvernet, fordi personopplysninger i digital form utgjør en slik risiko. På lignende måte kan en hevde at personopplysninger som behandles manuelt og som er organisert som registre, representerer en viss risiko (se neste avsnitt). Personvernforordningen definerer profilering som en særlig gruppe automatiserte behandlinger. Slik behandling antas å medføre spesielt stor fare for krenkelse av personvernet. Legaldefinisjonen av profilering i artikkel 4(4) lyder slik: enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser.
Sagt med andre ord handler profilering om å behandle personopplysninger for å finne frem til «informasjonsmønstre» som man kan anta sier noe om bestemte personlige aspekter ved dem som samsvarer med mønstret. Man ønsker f.eks. å finne frem til personer som er pålitelige låntakere, eller personer som trolig vil gi større risiko for forsikringsutbetalinger. Profileringen innebærer da typisk at en finner frem opplysninger som statistisk sett gir større sannsynlighet for (her) sikker tilbakebetaling av lån, eller høy risiko for forsikringsutbetaling. De personlige egenskapene behandlingsansvarlige er ute etter å identifisere, kan være positive eller negative, og kan bygge på ulike typer analyser og erfaringer (standard statistikk, maskinlæring, faglig skjønn e.l.). Definisjonen av «profilering» forutsetter trolig ikke at den utelukkende skal være basert på automatisk behandling (jf. artikkel 22(1)); mennesker kan altså ha reell innflytelse på resultatet. Dette fremgår ikke av definisjonen, men er fremholdt i Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, s. 7.79 Likevel er det som kjennetegner profilering, og som begrunner regulering av slike aktiviteter, nettopp den høye automatiseringsgraden og følgelig store kapasiteten til å analysere 78 Jf. formuleringen i det nå opphevete EUs personverndirektiv (95/46/EF), artikkel 3(1), som anga virkeområdet til å være «behandling av personopplysninger som helt eller delvis utføres med elektroniske hjelpemidler». 79 «Article 4(4) refers to ‘any form of automated processing’ rather than ‘solely’ automated processing (referred to in Article 22). Profiling has to involve some form of automated processing – although human involvement does not necessarily take the activity out of the definition.»
51
52
PERSONVERNFORORDNINGEN
informasjonsmønstre knyttet til mennesker. Jeg mener en høy grad av automatisering må leses inn i definisjonen. For eksempel kan logger og informasjonskapsler (cookies) samle inn data om bruk av utstyr og tjenester og dermed gi grunnlag for profilering. Helt automatisert behandling (slik som med logger og informasjonskapsler) kan imidlertid neppe kreves for å bli ansett som profilering.
1.6.7 PERSONREGISTRE
I tillegg til å gjelde behandling av personopplysninger som utføres på helt eller delvis automatiserte måter, gjelder forordningen for behandling som skjer manuelt i tilknytning til et register. «Register» er i artikkel 4(6) definert som «enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag». Om dette bruker jeg også betegnelsen «personregister». Grunnkravet er med andre ord at opplysningene skal være organisert og tilgjengelig i henhold til noen særlige kriterier som legger til rette for bruk. Trolig er det viktigste at disse særlige kriterier skal legge til rette for gjenfinning og/eller sammenstilling av personopplysningene. Kravet vedrørende henholdsvis sentral og desentral spredning/funksjon er knyttet til muligheter for å splitte opp registre slik at de ikke fremstår som fortegnelser som gir tilgang til personopplysninger. Dersom f.eks. hvert identifiserende kjennetegn (f.eks. fødselsnummer) er fjernet og erstattet med løpende tall (1, 2, 3 osv.), vil det ikke se ut som om tilhørende opplysninger kan knyttes til personer. Så lenge det foreligger en liste som viser hvilke løpende numre som tilsvarer hvilke fødselsnumre, vil fortegnelsen like fullt være et register i forordningens forstand. Det spiller ingen rolle om en lagrer slike «nøkler» på forskjellige geografiske steder, eller gjør koplingsmuligheten avhengig av tillatelse fra en annen person eller virksomhet. Den tidligere nevnte presiseringen vedrørende funksjon og geografi er knyttet til definisjonen av «personopplysninger» og kriteriet «kan identifiseres» (uthevet her); jf. diskusjonen av personopplysningsbegrepet i avsnitt 1.6.2. Presiseringen omfatter teknikker som av og til brukes som teknikk for pseudonymisering av personopplysninger; det vil enkelt fortalt si at en fjerner identifiserende kjennetegn og erstatter dem med andre personentydige kjennetegn80 (fødselsnummer blir f.eks. erstattet med et nummer som ikke sier noe om hvem personen er,
80 Jf. definisjonen i artikkel 4(5): ««pseudonymisering» behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person».
Kapittel 1: Innledning
men kunnskapen om sammenhengen mellom de to nummertypene gjør det likevel mulig – og noen ganger lett – å identifisere). Slike tiltak kan ha en viss verdi for å ivareta behandlingssikkerhet (se avsnitt 6.4), men gjør altså ikke at opplysningene blir unntatt fra forordningens virkeområde. Et register trenger ikke være en liste i digitalt dokument eller på papir. Det kan også dreie seg om en fysisk samling av gjenstander dersom gjenstandene er merket på måter som gjør at de kan knyttes til en fysisk person. En samling lagringsmedier (gamle CD-er, videokassetter mv.), andre personlige gjenstander, eller prøver av humant biologisk materiale (blodprøver mv.) kan således utgjøre et «register», så lenge kravene til mulighet for identifisering mv. er til stede. Forutsetningen er med andre ord at det er knyttet personopplysninger til gjenstandene (skrift på prøveglass e.l.), i det minste opplysninger som kan lede til identifikasjon. Det er to situasjoner som gjør at manuell behandling i tilknytning til personregistre kommer inn under virkeområdet for forordningen:
1. når personopplysninger inngår i et register, og 2. når personopplysninger skal inngå i et register. Intensjonen om å føre personopplysningene inn i et register («skal inngå») kan være vanskelig å fastslå, men en aktivitet som normalt vil føre frem til innføring i et register, vil lett gjøre at dette kravet er tilfredsstilt. Den som gjennomfører spørreundersøkelser (forskning, brukerundersøkelser mv.) ved hjelp av spørreskjema, vil ofte sammenstille og sammenfatte dette datagrunnlaget ved å opprette ett eller flere registre. Selve metodebruken vil da trolig være tilstrekkelig til å fastslå at denne manuelle behandlingen av personopplysninger kommer inn under forordningen.
1.6.8 UNNTAK FOR RENT PERSONLIGE ELLER FAMILIEMESSIGE AKTIVITETER
Selv om det skjer helt eller delvis automatisk behandling av personopplysninger, gjelder ikke forordningen og personopplysningsloven dersom behandlingen «utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter», se artikkel 2(2)(c). Det er aktivitetene som forårsaker at det blir behandlet personopplysninger, som skal være personlige eller familiemessige. Om man behandler personopplysninger privat med tanke på at det kan være nyttig i f. eks. jobb- eller foreningssammenheng, er ikke dette unntatt. Jeg antar at en her tar utgangspunkt i aktiviteter i stedet for formål, fordi en i personlige og
53
54
PERSONVERNFORORDNINGEN
familiemessige sammenhenger ikke alltid tenker på hva formålet er; derfor er det lettere å ta utgangspunkt i hva som faktisk skjer, det vil si «aktiviteter». I fortalen, avsnitt 18, nevnes at «[p]ersonal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities». Dette er ikke en avgrensing av mulige aktiviteter, men må kun ses på som eksempler. Aktivitetene det er tale om, trenger ikke skje på privat område, men kan i prinsippet skje hvor som helst. Foreldre kan f.eks. plassere GPS-klokke på barnet sitt som ledd i den interne kommunikasjonen i familien. Det er de som selv bestemmer at barnet skal ha klokken og hva de skal bruke den til. Teknisk sett kan de derfor ses på som «behandlingsansvarlige», men det er de likevel ikke fordi aktiviteten er personlig/familiemessig og derfor i denne relasjonen utenfor virkeområdet. Databehandlere de måtte gjøre bruk av for å få levert GPS-tjenesten, er imidlertid ikke unntatt: Selv om aktiviteten er personlig/familiemessig, vil ikke databehandlere være «en fysisk person», og dermed gjelder ikke unntaket for dem. Dette sies klart i fortalen, avsnitt 18: Denne forordning får […] anvendelse på behandlingsansvarlige eller databehandlere som stiller til rådighet midler til behandling av personopplysninger i forbindelse med slike personlige eller familiemessige aktiviteter.
Presiseringen i sitatet skaper en del problemer som ikke er løst i forordningen, og som jeg heller ikke kommer nærmere inn på i det følgende: Det skisseres en situasjon med en databehandler som ikke har en behandlingsansvarlig slik forordningen forutsetter. En kan for eksempel spørre hvilke krav som da gjelder til databehandleravtaler, jf. art. 28 og avsnitt 2.4.2.
1.6.9 FORHOLDET TIL YTRINGSFRIHET
På området ytrings- og informasjonsfrihet gir forordningen artikkel 85 vid adgang for statene til å vedta nasjonale regler for å balansere hensyn til personopplysningsvern på den ene side og ytrings- og informasjonsfrihet på den annen side. I tråd med dette er det i pol § 3 gjort unntak fra mesteparten av loven og forordningen «[f ]or behandling av personopplysninger utelukkende for journalistiske formål eller med henblikk på akademiske, kunstneriske eller litterære ytringer.» Således er det kun bestemmelsene i artikkel 24 (behandlingsansvarliges ansvar), 26 (felles behandlingsansvar), 28 (databehandleravtaler), 29 (behandling som utføres for behandlingsansvarlige eller databehandleren), 32 (sikkerhet ved behandlingen) og 40–43 (atferdsnormer og sertifisering) som gjelder. Av
Kapittel 1: Innledning
personopplysningsloven er det kun kapittel 6 (om tilsyn og klage) og 7 (om sanksjoner og tvangsmulkt) som gjelder. Den nevnte lovgivningsteknikken er kritisert av Personvernnemnda i PVN2018-14. Med henvisning til avgjørelsen i EU-domstolens sak C-73/07, avsnitt 153, i personvernforordningen og lovgivningen i Storbritannia fremholdt nemnda (s. 20) at [d]et ligger i dette [dvs. avgjørelsen i nevnte sak] at behandlingen av personopplysninger bare unntas fra vernet i GDPR i den utstrekning det vil være uforenelig med den journalistiske virksomheten at den registrerte kan gjøre rettighetene i GDPR gjeldende.
Justis- og beredskapsdepartementet har vist forståelse for denne kritikken, og sendte september 2019 et forslag på høring om å innføre et nødvendighetskriterium i pol § 3. I tillegg er det foreslått angitt i bestemmelsen hva en særlig skal ta hensyn til i slike tilfeller. Siden forslaget til lovendring ikke er vedtatt, kommer jeg ikke nærmere inn på innholdet i den foreslåtte bestemmelsen.81
81 Se Høring – Endringer i personopplysningsloven mv, Justis- og beredskapsdepartementet, Lovavdelingen, september 2019, s. 35.
55
Boken er skrevet med vekt på å formidle logikken i forordningen, analysere og systematisere «ugjennomtrengelige» enkeltbestemmelser, og påvise viktige sammenhenger mellom de spørsmål som er regulert. Målet er å sette leseren i stand til å resonnere selvstendig. De aller fleste bestemmelsene som har betydning for å kunne samle inn og behandle personopplysninger på lovlig måte blir gjennomgått. Vekt blir lagt på å forklare og drøfte mulige fortolkninger. Ofte gir forfatteren konkrete, supplerende råd om hvordan en bør innrette seg. Fremstillingen omfatter blant annet: • Grunnleggende om begreper og prinsipper innen personopplysningsretten • Hva forordningen regulerer • Hvor forordningen gjelder • Hvem som blir berørt av forordningen • Hvilke rettigheter registrerte personer har • Hvilke plikter de som samler inn og behandler personopplysninger har Redegjørelser og drøftelser går forholdsvis tett inn på sentrale deler av ordlyden. Vektlegging av oversikt og sammenhenger går altså ikke på bekostning av detaljerte innsikter. Likevel fortaper ikke forfatteren seg i finurligheter. Boken er både skrevet som hjelp til studenter som vil lære seg personvernrett, og for praktikere i offentlig og privat sektor med ansvar for å etterleve bestemmelser om personopplysningsvern. Trolig vil også eksperter innen personvernrett ha nytte av forfatterens drøftelser og observasjoner.
ISBN 978-82-450-3387-8
,!7II2E5-addihi!
Dag Wiese Schartum
Personvernforordningen (GDPR) regulerer hvordan opplysninger om personer kan behandles i Norge og i EØS for øvrig. Forordningen er omfattende, kompleks, vurderingspreget og ofte vanskelig å forstå. Likevel må alle som behandler personopplysninger følge bestemmelsene. Manglende etterlevelse vil kunne gi store bøtestraffer og erstatningsansvar.
Dag Wiese Schartum
- EN LÆREBOK
Dr. juris Dag Wiese Schartum er professor ved Senter for rettsinformatikk og Avdeling for forvaltningsinformatikk ved Universitetet i Oslo. Schartum har vært medlem av ti lovutvalg der personvernspørsmål har stått sentralt (bl.a. utvalg vedrørende personopplysningsloven 2000, helseforskningsloven, straffeprosessloven, arbeidsmiljøloven, sikkerhetsloven og arkivlova). Schartums forfatterskap omfatter en rekke arbeider, bl.a. innen personvern og informasjonssikkerhet, og digital forvaltning og automatisering av rettslige beslutninger.