Om boken
Simonsen Vogt Wiig er et av Norges største forretningsjuridiske advokat firma med kontorer i de største byene i Norge samt Singapore. Firmaets 180 advokater bistår alle sentrale bransjer og bygger varige relasjoner med klientene ved å kombinere inngående forretningsforståelse og juridisk spisskompetanse i rådgivningen.
Personvernhåndboken er et arbeidsverktøy for alle som har oppgaver knyttet til behandling av personopplysninger i privat og offentlig virksomhet. Den gjør deg i stand til å forstå og håndtere konkrete problemstillinger knyttet til personvern, uten spesielle forhåndskunnskaper.
Som ledende i Norge på teknologi og regulatoriske spørsmål bistår vi både store og mellomstore virksomheter med personvern og tilstøtende områder som informasjonssikkerhet, markedsrett og arbeidsrett.
Boken gir deg praktiske råd og veiledning innenfor de mest relevante områdene. Du får også en innføring i de viktigste grunnkravene og prinsippene i det gjeldende personopplysningsregelverket og den nye personvernforordningen. Konkrete eksempler og tips til hvordan personvernregelverket kan etterleves i praksis, gjør boken til et godt og funksjonelt arbeidsredskap.
Personvernhåndboken
Om Simonsen Vogt Wiig
Om forfatterene Malin Tønseth har master i IT-rett og lang erfaring med juridisk rådgivning innen feltet. Hun har personvernrettslige problemstillinger og informasjonssikkerhet som spesialkompetanse.
Personvernhåndboken
Tønseth, Stubø, Olsen og Ljostad
En praktisk bok om personvernregelverket
Malin Tønseth, Marit Stubø, Thomas Olsen og Rune Ljostad
Marit Stubø har spesialkompetanse på personvern rett. Stubø har detaljerte kunnskaper om krav til behandling av sensitive personopplysninger og personvern i helsesektoren.
Thomas Olsen har doktorgrad i personvernrett og lang erfaring med rådgivning på området. Olsen har også erfaring fra Datatilsynet og som leder av Advokat foreningens lovutvalg for IKT og personvern. Rune Ljostad har bred erfaring med bistand og prosessoppdrag innen IT, personvern, medierett og immaterialrett til private og offentlige virksomheter.
[start smuss]
personvernhåndboken
Personvernhandboken.indd 1
2015-12-10 11:11:43
Personvernhandboken.indd 2
2015-12-10 11:11:43
[start tittel]
malin tønseth, marit stubø, thomas olsen og rune ljostad
personvernhåndboken
Personvernhandboken.indd 3
2015-12-10 11:11:43
[start kolofon]
© Gyldendal Norsk Forlag AS 2016 1. utgave, 1. opplag 2016 ISBN 978-82-05-48928-8 Omslagsdesign: Hilde Møller Helgesen / Simonsen Vogt Wiig Sats: have a book Brødtekst: Minion 10/14,5 pkt Papir: 90 g Amber Graphic Trykk: Dimograf, Polen 2016 Alle henvendelser om boken kan rettes til Gyldendal Juridisk Postboks 6730 St. Olavs plass 0130 Oslo www.gyldendal.no/juridisk juridisk@gyldendal.no Det må ikke kopieres fra denne boken i strid med åndsverkloven eller avtaler om kopiering inngått med KOPINOR, interesseorgan for rettighetshavere til åndsverk. Kopiering i strid med lov eller avtale kan medføre erstatningsansvar og inndragning, og kan straffes med bøter eller fengsel.
Alle Gyldendals bøker er produsert i miljøsertifiserte trykkerier. Se www.gyldendal.no/miljo
Personvernhandboken.indd 4
2015-12-10 11:11:43
Forord
Denne boken er tenkt som en håndbok for jurister og andre som er involvert i behandlingen av personopplysninger, i privat så vel som i offentlig sektor. Boken har som mål å gi en praktisk innføring i personvernregelverket og å gjøre leseren i stand til å håndtere viktige personvernspørsmål, uten spesielle forhånds kunnskaper. Temaer som i hovedsak har teoretisk interesse, er utelatt, og det henvises til annen litteratur på området. Boken omhandler utvalgte problemstillinger som erfaringsmessig er av praktisk betydning for mange virksomheter når det gjelder håndtering av personopplysninger. Innenfor de utvalgte temaene vises det i stor grad til myndighetspraksis, og det gis eksempler og tips til hvordan virksomheten kan innrette seg for å etterleve regelverket. Eksempler på temaer som boken omtaler, er: • • • •
hvordan etablere et internkontrollsystem, herunder krav til dokumentasjon innebygd personvern («privacy by design») regler for informasjonssikkerhet og krav til gjennomføring av risikoanalyser håndtering av personopplysninger i arbeidslivet, kontrolltiltak og innsynsregler • utsetting av IT-tjenester og krav til databehandleravtaler • regler for overføring av personopplysninger til utlandet, herunder ulike overføringsgrunnlag som EUs standardavtaler og BCR • bruk av personopplysninger i markedsføring
Personvernhandboken.indd 5
2015-12-10 11:11:43
forord
Boken omtaler de viktigste regelverksendringene som forventes å følge av den kommende personvernforordningen. Forordningen forventes ikke å innebære store endringer innenfor de temaer boken omtaler, men vil på enkelte områder trolig medføre en skjerpelse av gjeldende grunnkrav og prinsipper. Forfatterne av boken har erfaring fra advokatvirksomhet med rådgivning innen spesialfeltet personvern og personopplysningsrett. Boken er resultatet av et skrive samarbeid mellom de fire forfatterne som har vært koordinert av initiativtaker til boken Malin Tønseth. I tillegg til forfatterne har advokat Tomas Myrbostad gitt verdifulle bidrag til kapitlet om markedsføring og Big Data. Thomas Olsen (Ph.D.) har, i tillegg til egne tekstbidrag, ytt et svært viktig bidrag med redigering og kvalitetssikring av boken.
6
Personvernhandboken.indd 6
2015-12-10 11:11:43
Innhold
1 innføring i personvernretten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.1 Oversikt over regelverket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Personvern- og personopplysningsretten i utvikling . . . . . . . . . . . . . . . . . 1.3 Viktige begreper i loven . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.1 Personopplysning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.2 Behandling av personopplysninger . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.3 Behandlingsansvarlig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.4 Databehandler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.5 Den registrerte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.6 Sensitive personopplysninger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4 Personvernstrategi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5 Internkontroll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.6 Grunnkrav til behandling av personopplysninger . . . . . . . . . . . . . . . . . . . . 1.6.1 Rettslig grunnlag (behandlingsgrunnlag) . . . . . . . . . . . . . . . . . . . . 1.6.2 Formålsangivelse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.6.3 Datakvalitet og sletting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.6.4 Særlig om samtykke som behandlingsgrunnlag . . . . . . . . . . . . . . . 1.7 Informasjonsplikt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.8 Den registrertes rett til innsyn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.9 Informasjonssikkerhet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.10 Melding og konsesjon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.11 Personvernombud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.12 Tilsynsmyndighetene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.13 Sanksjoner og håndheving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13 15 18 19 20 21 22 22 22 23 24 25 25 26 26 27 29 30 30 31 32 32 33
7
Personvernhandboken.indd 7
2015-12-10 11:11:43
innhold
2 internkontroll og dokumentasjon . . . . . . . . . . . . . . . . . . . . . . . . . 36
Hva er internkontroll? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internkontroll som ledd i en helhetlig personvernstrategi . . . . . . . . . . . . Hovedelementene i internkontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Etablering av internkontroll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Organisering av arbeidet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2 Kartleggingsfase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.3 Identifisere avvik og bestemme oppfølgningstiltak . . . . . . . . . . . 2.4.4 Utarbeidelsen av internkontrolldokumentasjonen . . . . . . . . . . . . 2.4.5 Publisering av internkontrolldokumentasjon . . . . . . . . . . . . . . . . . 2.4.6 Krav om opplæring av ansatte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5 Nærmere om innholdet i dokumentasjonen . . . . . . . . . . . . . . . . . . . . . . . . 2.5.1 Styrende dokumentasjon – strategi og organisering . . . . . . . . . . 2.5.2 Gjennomførende dokumentasjon – retningslinjer og rutiner . . 2.5.3 Dokumentasjon av kontrollerende tiltak . . . . . . . . . . . . . . . . . . . . 2.6 Suksesskriterier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 2.2 2.3 2.4
36 38 39 40 40 41 42 43 43 44 44 44 45 46 47
3 innebygd personvern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Bakgrunn for personvernøkende teknologi og innebygd personvern . . 3.3 Krav til innebygd personvern etter EUs personvernforordning . . . . . . . . 3.4 Eksempler på innebygd personvern og personvernøkende teknikker . . 3.4.1 Begrenset innsamling av personopplysninger . . . . . . . . . . . . . . . . 3.4.2 Personvernøkende identitetsforvaltning . . . . . . . . . . . . . . . . . . . . 3.4.3 Biometri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.4 Valg av identifikatorer (fødselsnummer, IP-adresser mv.) . . . . . 3.4.5 Anonymisering, avidentifisering og pseudonymisering . . . . . . . . 3.4.6 Tiltak for å begrense behandlingsomfang, lagringstid og tilgang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5 Grunnleggende prinsipper for innebygd personvern . . . . . . . . . . . . . . . . . 3.6 Sjekkliste for innebygd personvern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49 51 53 55 55 55 57 58 60
62 62 65
4 informasjonssikkerhet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Sikkerhetsmål og sikkerhetsstrategi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 Risikovurdering av informasjonssystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4 Oversikt over prosessen ved risikovurdering av IT-løsning . . . . . . . . . . . . 4.4.1 Forberedelser før workshop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66 68 70 71 72
8
Personvernhandboken.indd 8
2015-12-10 11:11:43
innhold 4.4.2 Praktisk gjennomføring av workshop . . . . . . . . . . . . . . . . . . . . . . . 4.4.2.1 Identifisere (hypotetiske) uønskede hendelser . . . . . . . . 4.4.2.2 Angi mulige årsaker til hendelsen . . . . . . . . . . . . . . . . . . . . 4.4.2.3 Anslå sannsynligheten for at uønskede hendelser inntreffer 4.4.2.4 Anslå konsekvensene av at uønskede hendelser inntreffer 4.4.2.5 Drøfte tiltak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.3 Etterarbeid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5 Dokumentasjon av risikovurdering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.1 Relevant regelverk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.2 Beskrivelse av løsningen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.3 Akseptabelt risikonivå . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.4 Fremstilling av resultatet av risikovurderingen . . . . . . . . . . . . . . . 4.5.5 Beskrivelse av tiltak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.6 Sammenfatning av hovedfunn og tiltak . . . . . . . . . . . . . . . . . . . . . 4.6 Suksesskriterier for risikovurderinger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74 74 75 75 76 76 76 77 77 77 77 78 79 80 80
5 Personvern i arbeidslivet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
5.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2 Behandlingsansvar for opplysninger om ansatte . . . . . . . . . . . . . . . . . . . . 5.3 Rekruttering og ansettelse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4 Arbeidsgivers adgang til å behandle ansattes personopplysninger . . . . . 5.4.1 Arbeidsgivers styringsrett . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.2 Rettslig grunnlag for behandling av ansattopplysninger . . . . . . . 5.5 Arbeidsgivers rett til å innføre kontrolltiltak . . . . . . . . . . . . . . . . . . . . . . . . 5.5.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.5.2 Kontrolltiltak må være saklig og forholdsmessig . . . . . . . . . . . . . . 5.5.3 Arbeidsgiver må drøfte, informere og evaluere kontrolltiltak . . 5.5.4 Behandlingsgrunnlag for bruk av personopplysninger til kontrollformål . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.5.5 Kontrollformålet må ikke være uforenlig med det opprinnelige formålet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.5.6 Arbeidstakers rett til informasjon og innsyn . . . . . . . . . . . . . . . . . 5.5.7 Sjekkliste for gjennomføring av kontrolltiltak . . . . . . . . . . . . . . . . 5.6 Arbeidsgivers innsyn i e-post, filer og kommunikasjonsutstyr . . . . . . . . . 5.6.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.6.2 Virkeområde for reglene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.6.3 Vilkår for å gjennomføre innsyn . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.6.4 Arbeidstaker skal så langt som mulig varsles og gis anledning til å være til stede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81 82 83 84 84 85 87 87 89 89
90
91 92 92 93 93 94 95
96
9
Personvernhandboken.indd 9
2015-12-10 11:11:43
innhold
5.7 5.8 5.9 5.10
5.6.5 Avvikling og sletting av e-post mv. innen rimelig tid . . . . . . . . . . 5.6.6 Sjekkliste for gjennomføring av innsyn . . . . . . . . . . . . . . . . . . . . . . Arbeidsgivers adgang til å overvåke ansattes bruk av IT-utstyr . . . . . . . . Varsling og granskning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbeidsgivers melde- og konsesjonsplikt . . . . . . . . . . . . . . . . . . . . . . . . . . . Sjekkliste ved avslutning av arbeidsforholdet . . . . . . . . . . . . . . . . . . . . . . .
98 99 100 101 104 104
6 it-anskaffelser, tjenesteutsetting og personvern . . . . . . . . . 105
6.1 Outsourcing, skytjenester og andre begreper . . . . . . . . . . . . . . . . . . . . . . . 6.2 Komplekse avtalemodeller – roller og ansvar . . . . . . . . . . . . . . . . . . . . . . . 6.3 Særlig om skytjenester . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.1 Dataflyt over landegrenser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.2 Narvik/Google-saken – viktige avklaringer . . . . . . . . . . . . . . . . . . 6.3.3 Andre skranker for å gå i skyen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.4 Huskeliste for skytjenester . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4 Krav til databehandleravtaler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.1 Rådighet og behandlingsformål . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.2 Informasjonssikkerhet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.3 Underleverandører . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.4 Overføring til land utenfor EØS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.5 Sikkerhetsrevisjon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.6 Avvikshåndtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.7 Den registrertes rettigheter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.8 Avtalens opphør og exit-mulighet . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5 Viktige hensyn i avtalesituasjonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
105 107 108 108 109 111 111 112 113 113 114 114 115 115 116 116 117
7 overføring av personopplysninger til utlandet . . . . . . . . . . . 119
7.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Hovedregelen – forbud mot overføring til land utenfor EØS . . . . . . . . . 7.3 Nærmere om overføringsbegrepet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.4 Lovlig overføring til land utenfor EØS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.5 Land som er godkjente for overføringer . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.6 Safe Harbor-avtalen 2000–2015 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.7 Bruk av EU-standardavtaler som grunnlag for overføringer . . . . . . . . . . 7.7.1 EU-standardavtale for overføring til databehandler utenfor EØS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.7.2 EU-standardavtale for overføring til behandlingsansvarlig utenfor EØS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119 120 120 122 123 124 125
127 129
10
Personvernhandboken.indd 10
2015-12-10 11:11:43
innhold 7.8 Overføringer basert på bindende konsernregler (BCR og BCRP) . . . . . . 7.8.1 Hvorfor BCR/BCRP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.8.2 Rettslig grunnlag for BCR/BCRP . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.8.3 Etablering av BCR/BCRP-dokumentasjonen . . . . . . . . . . . . . . . . . 7.8.4 Grunnleggende innholdskrav til BCR/BCRP . . . . . . . . . . . . . . . . . 7.8.5 Nærmere om søknad om godkjenning av BCR/BCRP . . . . . . . . . 7.8.6 Suksesskriterier for BCR/BCRP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
130 131 131 132 133 134 135
8 personvern, markedsføring og big data . . . . . . . . . . . . . . . . . . . . 137
8.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2 Forholdet mellom personopplysningsloven og markedsføringsloven . . 8.3 Direkte markedsføring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4 Markedsføring i eksisterende kundeforhold . . . . . . . . . . . . . . . . . . . . . . . . 8.4.1 «Eksisterende kundeforhold» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4.2 Hvilke varer og tjenester kan markedsføres som del av kundeforholdet? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4.3 Gjelder det strengere krav til sms-markedsføring? . . . . . . . . . . . . 8.4.4 Innsamling i forbindelse med salg: reservasjonsrett . . . . . . . . . . . 8.4.5 Opphør av kundeforholdet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.5 Markedsføring utenfor kundeforhold – krav om samtykke . . . . . . . . . . . 8.5.1 Samtykkekrav i markedsføringsloven og personopplysningsloven . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.5.2 Frivillig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.5.3 Uttrykkelig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.5.4 Informert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.5.5 Forbrukeren skal gis mulighet til å trekke tilbake samtykket . . . 8.5.6 Varigheten av samtykket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6 Sanksjoner ved ulovlig direkte markedsføring . . . . . . . . . . . . . . . . . . . . . . . 8.7 Big Data: Analyse og profilering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8 «Cookies» og annen sporingsteknologi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.2 Hva slags teknologi er omfattet av bestemmelsen? . . . . . . . . . . . 8.8.3 Krav om å informere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.4 Krav til passivt samtykke – «opt out» . . . . . . . . . . . . . . . . . . . . . . . 8.8.5 Unntak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.6 Sanksjoner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
137 138 139 141 141
142 143 143 144 145
145 146 147 147 149 149 150 151 153 153 153 154 155 155 156
11
Personvernhandboken.indd 11
2015-12-10 11:11:43
innhold
kilder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Litteratur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tidsskriftartikler og rapporter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lover, forskrifter, forarbeider og offentlige rapporter . . . . . . . . . . . . . . . . . . . . . Lover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Forskrifter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Forarbeider og offentlige rapporter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internasjonale konvensjoner og EU-rettskilder . . . . . . . . . . . . . . . . . . . . . . . . . . . Dommer og praksis fra tilsynsmyndigheter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Norske dommer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EU-domstolen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Personvernnemnda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Markedsrådet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Forbrukerombudet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikkel 29-gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nettadresser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
157 157 158 158 158 159 159 159 159 160 160 160 160 161 161
register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
12
Personvernhandboken.indd 12
2015-12-10 11:11:43