foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx

Viktigste avgjørelser fra Personvernnemnda 2 siste år

advokat Eva I.E. Jarbekk

Temaer

• Innledning • Kort om nemnda• Nøkkelinformasjon 2013, saksbehandling

• Viktige enkeltsaker og trender

• Refleksjoner

April 13, 20232

Om nemnda

April 13, 20233

Personvernnemnda

• Behandler klager på vedtak fra Datatilsynet

• Saksområder avhenger av Datatilsynets fokusområder

• 7 medlemmer • Leder, nestleder velges av Stortinget• 5 medlemmer velges av Regjeringen

• Ny nemnd fra 2013

April 13, 20234

Personvernnemnda

April 13, 20235

Personvernnemnda

April 13, 20236

Saksbehandlingstid: snitt på fire til seks måneder

Komplekse saker har vært behandlet i en rekke nemndsmøter gjennom 2011 og 2012

PVN-2011-09 Toll, PVN-2011-10 Simonsen, PVN-2011-11 Visma Retail, PVN-2012-01 Barn med påførte dødelige skader, PVN-2012-03 Nettby og PVN-2012-10 SUSS

Fremdeles fokus på å redusere saksbehandlingstiden og har derfor utvidet møtetiden for hvert møte

Ingen restanser ved årets slutt

Personvernnemnda

April 13, 20237

Av de 22 sakene nemnda avgjorde i 2012:

•syv klager fra privatpersoner

•resten av sakene var klaget inn av ulike bedrifter og statlige organer (helseforetak)

Enkeltsaker, trender

April 13, 20238

April 13, 20239

Prinsipielt om PVNs betydningPVN-2012-12 Livmorhalsprogram

• Klage på Datatilsynets oppheving av vedtak om å tillate registrering av negative funn ved livmorhalsscreening uten samtykke fra de registrerte

• Personvernnemnda er ikke i tvil: Registrering av negative funn krever eksplisitt samtykke

• Nemnda forstår ønske om en rettsendring slik at oppbevaring av enkelte personopplysninger som navn, fødselsnummer, adresse og lignende, oppbevares i Kreftregisteret uten samtykke, også ved negative funn• Problemet er at dette ikke er tillatt med dagens lovgivning

April 13, 202310

PVN-2012-12 Livmorhalsprogram

• Dagen etter at nemnda hadde avsagt sitt vedtak i PVN-2012-12 Livmorhalsprogram:

• Forslag til endring av kreftregisterforskriften fra Helse- og omsorgsdepartementet

April 13, 202311

April 13, 202312

PVN-2012-12 Livmorhalsprogram

April 13, 202313

Legalitetsprinsippet PVN-2011-09 Toll

• Spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak og om tollvesenet kunne bruke valutaregisteret

• Ofte spørsmål om personvern i saker om hvorvidt forvaltningen har hjemmel til ulike kontrolltiltak

• Nemnda finner, i likhet med Datatilsynet, grunn til å understreke at legalitetsprinsippet oppstiller grenser for hvilke kontrolltiltak forvaltningen kan iverksette

• Nemnda presiserte at legalitetsprinsippet er gradert og at hjemmelskravet er relativt, jf PVN-2011-09 Toll

April 13, 202314

PVN-2011-09 Toll

• Datatilsynet tatt som standpunkt at tollmyndighetene ikke kan spørre en privatperson om identifiserte uttak/forbruk i utlandet, i ettertid, og om hva disse penger ble brukt til• Tilsynet mener at slikt spørsmål krever hjemmel i lov, jf

legalitetsprinsippet• Nemnda delte ikke denne rettslige forståelse• Personvernnemnda: tollmyndighetene kan be om opplysninger fra

privatperson fordi legalitetsprinsippet er gradert og hjemmelskravet relativt

April 13, 202315

PVN-2011-09 Toll – tilgang til valutaregisteretValutaregisterloven § 6 gir enkelte etater tilgang til opplysningene i registeret: •Politiet, skatteetaten, toll- og avgiftsetaten, Arbeids- og velferdsdirektoratet og Finanstilsynet skal ha elektronisk tilgang til opplysningene i registeret. Søk i registeret skal kun skje ut fra disse etatenes behov for opplysninger i forbindelse med forebygging og bekjempelse av kriminalitet, kontrollvirksomhet og tilsyn.

•valutaregisterloven § 1: •Formålet med loven er å forebygge og bekjempe kriminalitet og å bidra til riktig skatte- og avgiftsbetaling, ved at kontroll- og etterforskningsorganene får tilgang til opplysninger om valutavekslinger og fysisk eller elektronisk overføringer av betalingsmidler inn og ut av Norge

•Datatilsynet problematiserte at kapittel 13 i tolloven, «alminnelige bestemmelser om tollkontroll», synes å gi tolletaten en kontrollkompetanse innen forholdsvis snevre rammer. I hovedsak kan undersøkelser som gjelder enkeltpersoner kun skje på stedet, jf § 13-1.

April 13, 202316

PVN-2011-09 Toll

• Når det gjaldt innsyn i valutaregisteret, var hovedgrunnen til at nemnda ikke kunne dele tilsynets vurdering nettopp ulikt syn på legalitetsprinsippet

• Datatilsynet mener at legalitetsprinsippet fordrer at innsyn i et slikt register har eksplisitt lovhjemmel. Etter nemndas syn må legalitetsprinsippet forstås slik at det foreligger tilstrekkelig lovhjemmel for innsyn i registeret

April 13, 202317

PVN-2011-11 Visma Retail – ny teknologi

April 13, 202318

• Ny teknologi kan gi rettsutvikling

• Det vises til PVN-2011-11 Visma Retail der nemnda foretar en avvikende/presiserende rettstolkning i forhold til tidligere biometri-saker. Tilsvarende vurderinger ble gjort i PVN-2011-12 Adgangskontroll ubetjent treningssenter

• Saken var ikke sammenlignbar med de tidligere sakene om biometri som Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon

• Poeng: hva gjør man med fingeravtrykket? Identifisering eller autentisering

• Nemnda legger avgjørende vekt på skillet mellom autentisering og identifisering• Identifisering dreier seg om å knytte en entydig identifikator til en bestemt ressurs (som kan

være en fysisk person). • Autentisering innebærer at et (informasjons)-system er tilrettelagt for å kunne bekrefte (eller

avkrefte) at en påstand er sann

• Identifisering muliggjør å samle inn, lagre og sammenknytte informasjon om et identifisert objekt på tvers av informasjonssystemer. Dette kan gjøres helt uavhengig av om informasjonen er sann eller usann

April 13, 202319

• Autentisering er et fenomen som angår sannhet av en påstand. Eksempler på slike påstander kan være: • Jeg har rettmessig tilgang til ressurs X• Jeg er over 18 år• Denne personen kan entydig identifiseres av fødselsnummeret 01010012345

• Kun siste alternativ som faktisk innebærer en identifisering. I de to første kan det, dersom systemet er tilrettelagt for det, gjøres en autentisering uten at det samtidig behøver å skje noen form for identifisering. Dette avhenger av at bakveisidentifisering ikke er mulig

April 13, 202320

PVN-2011-11 Visma Retail

April 13, 202321

•Nemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebar identifisering eller at fingeravtrykk ble brukt som «entydig identifikasjonsmiddel».

•Bruken begrenses til å gi svar på spørsmålet: Er kunden gammel nok til å kjøpe den aktuelle vare?

•Det er altså kun tale om autentisering, ikke identifisering

•Vilkåret for at det kan gjøres et slikt skille, er at det ikke kan foretas noen ”bakveis identifisering” av individet slik at autentisering likevel er en identifisering.

PVN-2011-11 Visma Retail

April 13, 202322

•Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse når behandlingen ikke foretas med det formål å oppnå «sikker identifisering» som § 12 beskriver

•Det antas at denne rettsforståelsen vil åpne for nye teknologiske utnyttelser, noe nemnda vurderer som positivt

•Samtidig innebærer rettssituasjonen at det ved slike nye utnyttelser, må foretas betydelige tekniske og juridiske vurderinger for å sikre at ”bakveis identifisering” ikke kan skje

Hva er «anonymt»? PVN-2012-10 SUSS

April 13, 202323

• Et forhold som går igjen over tid, er manglende forståelse av hva begrepet ”anonym” innebærer

• Begrepet anonym er ikke definert i personopplysningsloven. • Behandlingsansvarlige har ikke alltid den samme forståelse som Datatilsynet og

Personvernnemnda av hva ”anonym” innebærer.

• Problemer når loven kommer inn med full tyngde i situasjoner der den behandlingsansvarlige trodde at den behandlingen de foretok, ikke var omfattet av lovens virkeområde.

• Spesielt ofte en manglende forståelse av at såkalt indirekte identifikasjon, der man finner identiteten til en person ved å sammenstille opplysninger fra flere kilder

PVN-2012-10 SUSS• Klager tilbyr seksualopplysning til ungdom pr mobil• SUSS' nettside: man kan henvende seg til SUSS "uten at vi som svarer vet hvem du

er"• Personvernnemnda forstår dette som løfte om anonymitet• Nemnda er enig med tilsynet i at bruk av begrepet "anonym" ikke kan benyttes

dersom dette vil være misvisende overfor brukerne. Tjenesten kan ikke presenteres på nettsiden som at "vi som svarer" ikke vet hvem innringeren er, eller at det bare er de som kontakter SUSS "flere ganger" som blir registrert

• Dette fremstår som villedende idet det ikke bare er de som henvender seg flere ganger som blir registrert – slik nemnda forstår det blir man registrert allerede ved første henvendelse

• Det samme gjelder sms-tjenesten, hvor man ikke bare blir registrert dersom man henvender seg flere ganger, man blir registrert allerede ved første gangs henvendelse

April 13, 202324

Trend: fokus på sanksjonsapparat

April 13, 202325

• Flere saker har fokus på manglende bruk av regelverkets sanksjonsapparat• PVN-2011-13 Sletting fra Brillelands kunderegister • PVN-2012-04 Arbeidsgivers innsyn i e-post

• Klager har ønsket at Datatilsynet i større grad skulle benyttet sitt sanksjonsapparat

• Nemnda har i nevnte avgjørelser stillet seg bak Datatilsynets vurdering av at sanksjoner ikke har vært påkrevet, jf en vurdering av momentene i personopplysningsloven § 46

Sanksjoner - pol § 46

” Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på

a) hvor alvorlig overtredelsen har krenket de interesser loven verner,

b) graden av skyld,

c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen,

d) om overtredelsen er begått for å fremme overtrederens interesser,

e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen,

f) om det foreligger gjentakelse,

g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og

h) overtrederens økonomiske evne.”

April 13, 202326

Bruk av sanksjonsapparat

April 13, 202327

Saken om Avfallsservice, PVN-2011-04

Datatilsynet bekymret for situasjoner hvor arbeidsgivere spekulerer i å samle og/eller sammenstille opplysninger for senere bruk i tvister i arbeidsforholdet til tross for at det fremstår som brudd på personopplysningsregelverket

Personvernnemnda uttalte at man støtter Datatilsynets uttalelse om at sanksjonsapparatet må vurderes brukt i slike saker fremover

Nemnda ser det som positivt at fleksibiliteten i sanksjonssystemet brukes når de nødvendige vurderinger i henhold til personopplysningsloven § 46 er gjennomført

Avfallsservice Rt-2013-143 – mer om denne

April 13, 202328

• Datatilsynet: Ulovlig bruk av opplysninger

• Personvernnemnda: Ulovlig bruk av opplysninger

• Høyesterett: ulovlig bruk av informasjon, ikke stor nok krenkelse til erstatning

Sitat fra Høyesteretts avgjørelse

• ikke helt enkelt å få tak i forholdet mellom § 11 første ledd bokstav c og § 8 bokstav f, noe som reflekteres i avgjørelsene til de tidligere rettsinstanser. Både lagmannsretten og tingretten har lagt til grunn at de to bestemmelsene kan være alternative hjemler for gjenbruk av personopplysninger til nytt formål. Begge instanser har således først drøftet om gjenbruken hadde hjemmel i § 11 første ledd bokstav c, og deretter – etter å ha konkludert negativt på dette – om § 8 bokstav f ga hjemmel. En slik tolkning har støtte i praksis fra Datatilsynet og Personvernnemnda. I vedtak PVN-2004-3 fra Personvernnemnda het det:

April 13, 202329


• « Personvernnemnda antar at loven ikke kan tolkes slik at det stilles strengere krav til gjenbruk enn til bruk av opplysninger innsamlet første gang. Bestemmelsen om gjenbruk må ses på som en lemping av kravene i personopplysningsloven § 8 og § 9. Når vilkårene for anvendelse av denne mer lempelige bestemmelsen ikke er oppfylt, må man falle tilbake til lovens hovedregel, og vurdere om kravene er oppfylt etter personopplysningsloven § 8. »

April 13, 202330


• Etter min mening gir imidlertid ikke dette uttrykk for en riktig rettsoppfatning.

April 13, 202331

Sitat fra Høyesteretts avgjørelse• Jeg peker først på at denne tolkningen av loven innebærer at § 11 første ledd

bokstav c får liten selvstendig betydning. Bestemmelsen gir uttrykk for et formålsprinsipp – også omtalt som finalité-prinsippet – som innebærer at innsamling av opplysninger skal skje til uttrykkelig angitte og saklige formål, og at senere behandling ikke må være uforenlig med disse formål. Dette prinsippet, som er nedfelt i artikkel 6 første ledd bokstav b i nevnte direktiv 95/46/EF, regnes internasjonalt som et fundamentalt og viktig prinsipp på personopplysningsrettens område, jf. Waaben og Nielsen, Lov om behandling af personoplysninger (2. udgave) side 146. Det har formodningen mot seg at loven skal forstås slik at dette prinsippet langt på vei bortfortolkes

April 13, 202332


• … gjenbruk ikke kan forankres direkte i § 8 bokstav f alene; vilkårene i § 11 første ledd bokstav c må også være tilfredsstilt. Foruten at dette siste kan utledes av ordlyden i § 11 første ledd bokstav c, følger det uttrykkelig av det som videre uttales i proposisjonen:• « I tillegg oppstilles det som et særskilt vilkår at det nye formålet ikke må være uforenlig med

det eller de formålene som opprinnelig lå til grunn for innsamlingen av personopplysningene, jf. bokstav c. Vilkåret gir uttrykk for det såkalte finalitetsprinsippet og vil utgjøre en viktig begrensning bl.a for adgangen til å bruke elektroniske spor og til å samkjøre registre eller andre informasjonssamlinger ... . Kravet om forenlighet innebærer at det til tross for at det nye formålet er hjemlet i § 8, kan være slik at de innsamlede opplysningene likevel ikke kan brukes for dette formålet. I så fall må den behandlingsansvarlige samle opplysningene inn på nytt. »

April 13, 202333


• Avfallsservice AS' nye bruk av opplysningene måtte ha grunnlag både i § 11 første ledd bokstav c og § 8 bokstav f.

• Drøftelsen ovenfor vil ha vist at det ikke er helt klart at Avfallsservice AS brukte personopplysningene til et formål som var uforenlig med det opprinnelige formålet, jf. § 11 første ledd bokstav c. Etter min mening trekker imidlertid de nevnte momenter samlet sett i retning av at den nye bruken ikke kunne forankres i bestemmelsen. Jeg legger særlig vekt på at kontrollformålet skiller seg markert fra det opprinnelige formålet.

April 13, 202334


Konklusjonen blir at Avfallsservice AS har behandlet personopplysningene i strid med bestemmelser i personopplysningsloven.

April 13, 202335

Avfallsservice Rt-2013-143 – mindretallet

April 13, 202336

Fremover:

Formalkrav rundt kontrolltiltak av ansatte må bli strengere

April 13, 202337

Arbeidsbelastning hos Datatilsynet

April 13, 202338

• Datatilsynet har en stor arbeidsbelastning og begrensede ressurser• Tema i PVN-2012-15 Kamera på privat grunn

• Generelt er Datatilsynet gitt en vid skjønnsmessig adgang til å vurdere om det foreligger tilstrekkelige personverninteresser til at saken bør realitetsbehandles eller om man av prioriteringshensyn bør la saken ligge

• Personvernnemnda vil i alminnelighet legge terskelen relativt høyt for å overprøve Datatilsynets avgjørelse om nedprioritering og var i denne saken enig med Datatilsynets vurderinger

Overføring av personopplysninger til utlandet PVN-2011-06 ConocoPhillips

April 13, 202339

• Norskregistrert utenlandsk foretak (NUF); amerikanske selskapet og NUF’et er samme juridiske enhet

• Overføring av opplysninger om ansatte, kunder og leverandører til USA vurderes i henhold til § 30

• Terrorscreening foretas i USA: Spørsmålet om det forelå adgang til å foreta screening av denne informasjonen i USA lå etter Personvernnemndas syn utenfor vår jurisdiksjon

• Etter nemndas syn hadde overføringen hjemmel i personopplysningsloven § 30 bokstav c), det vil si at det er nødvendig for å oppfylle en avtale.

• Avgjørelsen tar ikke opp forholdet til § 11 i POL

Hvem i alle dager er behandlingsansvarlig?PVN-2011-10 Simonsen

April 13, 202340

• Simonsen bistår rettighetshaverorganisasjoner med å overvåke fildelingssystemer

• Spørsmålet var om Simonsen var databehandler for rettighetsorganisasjonene – da kunne de ikke få konsesjon

• Simonsen hevdet at de • bestemmer eller detaljerer formålet med behandlingen• utfører oppdraget, bearbeider funn, legger data inn, sikrer bevis etc.

• Dissens. Flertall la avgjørende vekt på ordlyden i loven og at Simonsen ikke kunne være behandlingsansvarlig

PVN-2011-10 Simonsen

April 13, 202341

•Simonsen har ingen selvstendig evne til å rettslig forfølge rettighetskrenkere, det må gjøres i samråd med og på vegne av rettighetsorganisasjonene

•Rettighetshaverne har bestemt og definert formålet innledningsvis

•Fra forarbeidene om behandlingsansvar: • hvem bestemmer formålet• hvem bestemmer virkemidlene• hvem har nærhet/daglig befatning med personopplysningene

PVN-2011-10 Simonsen

April 13, 202342

•De nevnte forhold påberopt av Simonsen, var helt typiske situasjoner for mange databehandlere

•Flertallet av den klare oppfatning at det er mulig at Simonsen både foreslår og bestemmer hvilke praktiske hjelpemidler som brukes, men det er rettighetshaverorganisasjonene som overordnet bestemmer virkemidlene og fremgangsmåten, herunder valget å bruke Simonsen

Data fra sosiale medier PVN-2012-03 Nettby

April 13, 202343

• Nettby ble nedlagt – skulle innholdet slettes – gis til forskning?

• Klagen ble ikke tatt til følge, men nemnda kom frem til en annen løsning enn Datatilsynet

• Nemnda kom til at det forelå avleveringsplikt for de dokumenter VG ønsket å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4

• Materialet slettes etter avlevering

Nettby – fra PVNs avgjørelse

Hovedregelen er at den behandlingsansvarlige ikke skal lagre opplysningene lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28 første ledd. Nettby er nedlagt og formålet med behandlingen foreligger derfor ikke lenger. Nemnda er enig med Datatilsynet i at det ikke foreligger annet behandlingsgrunnlag for videre oppbevaring av opplysningene.

April 13, 202344

Nemnda er således kommet til at det ikke foreligger hjemmel for fortsatt lagring. Materialet skal da slettes, jf personopplysningsloven § 28 første ledd. Imidlertid er nemnda av den oppfatning at deler av materialet er omfattet av "lov om avleveringsplikt for allment tilgjengelege dokument" (pliktavleveringsloven).

Nettby var et lukket forum, noe som kunne tilsi at det ikke var allment tilgjengelig. Det fremgår imidlertid følgende av brukervilkårene for Nettby, jf brev av 20.1.2012 fra klager:

"Nyheter som du skriver i åpne grupper vil være tilgjengelig for alle som er knyttet til internett og vil også kunne bli indeksert av søkemotorer som f.eks Google.com."

April 13, 202345

Nemnda forstår dette slik at det fantes en åpen del av Nettby som var tilgjengelig for alle som var tilknyttet internett, og dermed "tilgjengeleg for allmenta" jf pliktavleveringsloven §§ 3 og 4. Det betyr at dette materialet uten hinder kunne bli indeksert av søkemotorer, inkludert Nasjonalbibliotekets søkemotor. Når det gjelder denne åpne delen av Nettby, er nemnda således av den oppfatning at disse dokumentene omfattes av pliktavleveringsloven

April 13, 202346

April 13, 202347

• de ikke-åpne delene av Nettby, som ikke var åpent tilgjengelig på internett, men var tilgjengelig for Nettbys anslagsvis 750 000 borgere, så kan det diskuteres hvorvidt dette var gjort "tilgjengeleg for allmenta" og "utanfor ein privat krins", jf pliktavleveringsloven § 3 annet ledd

• Det springende punkt vil da være om 750 000 personer er å anse som en "privat krins«

• Bing: antas å falle sammen med det åndsverkloven kaller "offentliggjørelse«

• Åvl §8: tilgjengelig for allmennheten når det gjøres tilgjengelig utenfor det private område• Kopiering av noter til kor/orkester er ikke privat

• Nettby, med opptil 750 000 borgere, kan ikke sies å være en privat krets

April 13, 202348

Personvernnemnda skal avslutningsvis bemerke at den ikke uten videre er enig med Datatilsynet i at Nettby, så lenge nettstedet var i drift, ikke var omfattet av personopplysningsloven

personopplysningsloven § 3, annet ledd, det vil si at loven ikke gjelder for behandling for rent private eller personlige formål

sak C-101/01 "Bodil Lindqvist mot Åklagarkammaren i Jönköping", der det ble lagt til grunn at unntaket ("private formål") ikke gjelder for personopplysninger som er "tilgjängliga för ett ubestämt antall personer»

April 13, 202349

Datatilsynet: En konsekvens av EF-domstolens tolkning er at de som lager private hjemmesider med opplysninger om andre personer må forholde seg til reglene i personopplysningsloven.

Personvernnemnda tar ikke stilling til dette, men ser at ansvarsforholdet rundt håndtering av personopplysninger i sosiale medier reiser prinsipielt viktige spørsmål som trenger en avklaring.

Tendenser – fokus fremover

April 13, 202350

•Personvern dekker mange områder – sanksjonsapparatet vil få mer fokus

•En viss motsetning mellom ønsker fra forskere/forvaltning, effektivitetskrav og personvern

•Definisjonen av behandlingsansvarlig vil bli mer sentral

•Autentisering blir en praktisk viktig funksjon

•Kontroll i arbeidslivet vil få fokus – tverrjuridisk

•Internasjonalisering øker – og er vanskelig – derfor også bruk av BCR i store konsern

• Takk for oppmerksomheten!

April 13, 202351

foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx

Business