foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
DESCRIPTION
Foredrag om Personvernnemndas siste avgjørelser, vår 2013TRANSCRIPT
Viktigste avgjørelser fra Personvernnemnda 2 siste år
advokat Eva I.E. Jarbekk
Temaer
• Innledning • Kort om nemnda• Nøkkelinformasjon 2013, saksbehandling
• Viktige enkeltsaker og trender
• Refleksjoner
April 13, 20232
Om nemnda
April 13, 20233
Personvernnemnda
• Behandler klager på vedtak fra Datatilsynet
• Saksområder avhenger av Datatilsynets fokusområder
• 7 medlemmer • Leder, nestleder velges av Stortinget• 5 medlemmer velges av Regjeringen
• Ny nemnd fra 2013
April 13, 20234
Personvernnemnda
April 13, 20235
Personvernnemnda
April 13, 20236
Saksbehandlingstid: snitt på fire til seks måneder
Komplekse saker har vært behandlet i en rekke nemndsmøter gjennom 2011 og 2012
PVN-2011-09 Toll, PVN-2011-10 Simonsen, PVN-2011-11 Visma Retail, PVN-2012-01 Barn med påførte dødelige skader, PVN-2012-03 Nettby og PVN-2012-10 SUSS
Fremdeles fokus på å redusere saksbehandlingstiden og har derfor utvidet møtetiden for hvert møte
Ingen restanser ved årets slutt
Personvernnemnda
April 13, 20237
Av de 22 sakene nemnda avgjorde i 2012:
•syv klager fra privatpersoner
•resten av sakene var klaget inn av ulike bedrifter og statlige organer (helseforetak)
Enkeltsaker, trender
April 13, 20238
April 13, 20239
Prinsipielt om PVNs betydningPVN-2012-12 Livmorhalsprogram
• Klage på Datatilsynets oppheving av vedtak om å tillate registrering av negative funn ved livmorhalsscreening uten samtykke fra de registrerte
• Personvernnemnda er ikke i tvil: Registrering av negative funn krever eksplisitt samtykke
• Nemnda forstår ønske om en rettsendring slik at oppbevaring av enkelte personopplysninger som navn, fødselsnummer, adresse og lignende, oppbevares i Kreftregisteret uten samtykke, også ved negative funn• Problemet er at dette ikke er tillatt med dagens lovgivning
April 13, 202310
PVN-2012-12 Livmorhalsprogram
• Dagen etter at nemnda hadde avsagt sitt vedtak i PVN-2012-12 Livmorhalsprogram:
• Forslag til endring av kreftregisterforskriften fra Helse- og omsorgsdepartementet
April 13, 202311
April 13, 202312
PVN-2012-12 Livmorhalsprogram
April 13, 202313
Legalitetsprinsippet PVN-2011-09 Toll
• Spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak og om tollvesenet kunne bruke valutaregisteret
• Ofte spørsmål om personvern i saker om hvorvidt forvaltningen har hjemmel til ulike kontrolltiltak
• Nemnda finner, i likhet med Datatilsynet, grunn til å understreke at legalitetsprinsippet oppstiller grenser for hvilke kontrolltiltak forvaltningen kan iverksette
• Nemnda presiserte at legalitetsprinsippet er gradert og at hjemmelskravet er relativt, jf PVN-2011-09 Toll
April 13, 202314
PVN-2011-09 Toll
• Datatilsynet tatt som standpunkt at tollmyndighetene ikke kan spørre en privatperson om identifiserte uttak/forbruk i utlandet, i ettertid, og om hva disse penger ble brukt til• Tilsynet mener at slikt spørsmål krever hjemmel i lov, jf
legalitetsprinsippet• Nemnda delte ikke denne rettslige forståelse• Personvernnemnda: tollmyndighetene kan be om opplysninger fra
privatperson fordi legalitetsprinsippet er gradert og hjemmelskravet relativt
April 13, 202315
PVN-2011-09 Toll – tilgang til valutaregisteretValutaregisterloven § 6 gir enkelte etater tilgang til opplysningene i registeret: •Politiet, skatteetaten, toll- og avgiftsetaten, Arbeids- og velferdsdirektoratet og Finanstilsynet skal ha elektronisk tilgang til opplysningene i registeret. Søk i registeret skal kun skje ut fra disse etatenes behov for opplysninger i forbindelse med forebygging og bekjempelse av kriminalitet, kontrollvirksomhet og tilsyn.
•valutaregisterloven § 1: •Formålet med loven er å forebygge og bekjempe kriminalitet og å bidra til riktig skatte- og avgiftsbetaling, ved at kontroll- og etterforskningsorganene får tilgang til opplysninger om valutavekslinger og fysisk eller elektronisk overføringer av betalingsmidler inn og ut av Norge
•Datatilsynet problematiserte at kapittel 13 i tolloven, «alminnelige bestemmelser om tollkontroll», synes å gi tolletaten en kontrollkompetanse innen forholdsvis snevre rammer. I hovedsak kan undersøkelser som gjelder enkeltpersoner kun skje på stedet, jf § 13-1.
April 13, 202316
PVN-2011-09 Toll
• Når det gjaldt innsyn i valutaregisteret, var hovedgrunnen til at nemnda ikke kunne dele tilsynets vurdering nettopp ulikt syn på legalitetsprinsippet
• Datatilsynet mener at legalitetsprinsippet fordrer at innsyn i et slikt register har eksplisitt lovhjemmel. Etter nemndas syn må legalitetsprinsippet forstås slik at det foreligger tilstrekkelig lovhjemmel for innsyn i registeret
April 13, 202317
PVN-2011-11 Visma Retail – ny teknologi
April 13, 202318
• Ny teknologi kan gi rettsutvikling
• Det vises til PVN-2011-11 Visma Retail der nemnda foretar en avvikende/presiserende rettstolkning i forhold til tidligere biometri-saker. Tilsvarende vurderinger ble gjort i PVN-2011-12 Adgangskontroll ubetjent treningssenter
• Saken var ikke sammenlignbar med de tidligere sakene om biometri som Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon
• Poeng: hva gjør man med fingeravtrykket? Identifisering eller autentisering
• Nemnda legger avgjørende vekt på skillet mellom autentisering og identifisering• Identifisering dreier seg om å knytte en entydig identifikator til en bestemt ressurs (som kan
være en fysisk person). • Autentisering innebærer at et (informasjons)-system er tilrettelagt for å kunne bekrefte (eller
avkrefte) at en påstand er sann
• Identifisering muliggjør å samle inn, lagre og sammenknytte informasjon om et identifisert objekt på tvers av informasjonssystemer. Dette kan gjøres helt uavhengig av om informasjonen er sann eller usann
April 13, 202319
• Autentisering er et fenomen som angår sannhet av en påstand. Eksempler på slike påstander kan være: • Jeg har rettmessig tilgang til ressurs X• Jeg er over 18 år• Denne personen kan entydig identifiseres av fødselsnummeret 01010012345
• Kun siste alternativ som faktisk innebærer en identifisering. I de to første kan det, dersom systemet er tilrettelagt for det, gjøres en autentisering uten at det samtidig behøver å skje noen form for identifisering. Dette avhenger av at bakveisidentifisering ikke er mulig
April 13, 202320
PVN-2011-11 Visma Retail
April 13, 202321
•Nemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebar identifisering eller at fingeravtrykk ble brukt som «entydig identifikasjonsmiddel».
•Bruken begrenses til å gi svar på spørsmålet: Er kunden gammel nok til å kjøpe den aktuelle vare?
•Det er altså kun tale om autentisering, ikke identifisering
•Vilkåret for at det kan gjøres et slikt skille, er at det ikke kan foretas noen ”bakveis identifisering” av individet slik at autentisering likevel er en identifisering.
PVN-2011-11 Visma Retail
April 13, 202322
•Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse når behandlingen ikke foretas med det formål å oppnå «sikker identifisering» som § 12 beskriver
•Det antas at denne rettsforståelsen vil åpne for nye teknologiske utnyttelser, noe nemnda vurderer som positivt
•Samtidig innebærer rettssituasjonen at det ved slike nye utnyttelser, må foretas betydelige tekniske og juridiske vurderinger for å sikre at ”bakveis identifisering” ikke kan skje
Hva er «anonymt»? PVN-2012-10 SUSS
April 13, 202323
• Et forhold som går igjen over tid, er manglende forståelse av hva begrepet ”anonym” innebærer
• Begrepet anonym er ikke definert i personopplysningsloven. • Behandlingsansvarlige har ikke alltid den samme forståelse som Datatilsynet og
Personvernnemnda av hva ”anonym” innebærer.
• Problemer når loven kommer inn med full tyngde i situasjoner der den behandlingsansvarlige trodde at den behandlingen de foretok, ikke var omfattet av lovens virkeområde.
• Spesielt ofte en manglende forståelse av at såkalt indirekte identifikasjon, der man finner identiteten til en person ved å sammenstille opplysninger fra flere kilder
PVN-2012-10 SUSS• Klager tilbyr seksualopplysning til ungdom pr mobil• SUSS' nettside: man kan henvende seg til SUSS "uten at vi som svarer vet hvem du
er"• Personvernnemnda forstår dette som løfte om anonymitet• Nemnda er enig med tilsynet i at bruk av begrepet "anonym" ikke kan benyttes
dersom dette vil være misvisende overfor brukerne. Tjenesten kan ikke presenteres på nettsiden som at "vi som svarer" ikke vet hvem innringeren er, eller at det bare er de som kontakter SUSS "flere ganger" som blir registrert
• Dette fremstår som villedende idet det ikke bare er de som henvender seg flere ganger som blir registrert – slik nemnda forstår det blir man registrert allerede ved første henvendelse
• Det samme gjelder sms-tjenesten, hvor man ikke bare blir registrert dersom man henvender seg flere ganger, man blir registrert allerede ved første gangs henvendelse
April 13, 202324
Trend: fokus på sanksjonsapparat
April 13, 202325
• Flere saker har fokus på manglende bruk av regelverkets sanksjonsapparat• PVN-2011-13 Sletting fra Brillelands kunderegister • PVN-2012-04 Arbeidsgivers innsyn i e-post
• Klager har ønsket at Datatilsynet i større grad skulle benyttet sitt sanksjonsapparat
• Nemnda har i nevnte avgjørelser stillet seg bak Datatilsynets vurdering av at sanksjoner ikke har vært påkrevet, jf en vurdering av momentene i personopplysningsloven § 46
Sanksjoner - pol § 46
” Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på
a) hvor alvorlig overtredelsen har krenket de interesser loven verner,
b) graden av skyld,
c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen,
d) om overtredelsen er begått for å fremme overtrederens interesser,
e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen,
f) om det foreligger gjentakelse,
g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og
h) overtrederens økonomiske evne.”
April 13, 202326
Bruk av sanksjonsapparat
April 13, 202327
Saken om Avfallsservice, PVN-2011-04
Datatilsynet bekymret for situasjoner hvor arbeidsgivere spekulerer i å samle og/eller sammenstille opplysninger for senere bruk i tvister i arbeidsforholdet til tross for at det fremstår som brudd på personopplysningsregelverket
Personvernnemnda uttalte at man støtter Datatilsynets uttalelse om at sanksjonsapparatet må vurderes brukt i slike saker fremover
Nemnda ser det som positivt at fleksibiliteten i sanksjonssystemet brukes når de nødvendige vurderinger i henhold til personopplysningsloven § 46 er gjennomført
Avfallsservice Rt-2013-143 – mer om denne
April 13, 202328
• Datatilsynet: Ulovlig bruk av opplysninger
• Personvernnemnda: Ulovlig bruk av opplysninger
• Høyesterett: ulovlig bruk av informasjon, ikke stor nok krenkelse til erstatning
Sitat fra Høyesteretts avgjørelse
• ikke helt enkelt å få tak i forholdet mellom § 11 første ledd bokstav c og § 8 bokstav f, noe som reflekteres i avgjørelsene til de tidligere rettsinstanser. Både lagmannsretten og tingretten har lagt til grunn at de to bestemmelsene kan være alternative hjemler for gjenbruk av personopplysninger til nytt formål. Begge instanser har således først drøftet om gjenbruken hadde hjemmel i § 11 første ledd bokstav c, og deretter – etter å ha konkludert negativt på dette – om § 8 bokstav f ga hjemmel. En slik tolkning har støtte i praksis fra Datatilsynet og Personvernnemnda. I vedtak PVN-2004-3 fra Personvernnemnda het det:
April 13, 202329
Sitat fra Høyesteretts avgjørelse
• « Personvernnemnda antar at loven ikke kan tolkes slik at det stilles strengere krav til gjenbruk enn til bruk av opplysninger innsamlet første gang. Bestemmelsen om gjenbruk må ses på som en lemping av kravene i personopplysningsloven § 8 og § 9. Når vilkårene for anvendelse av denne mer lempelige bestemmelsen ikke er oppfylt, må man falle tilbake til lovens hovedregel, og vurdere om kravene er oppfylt etter personopplysningsloven § 8. »
April 13, 202330
Sitat fra Høyesteretts avgjørelse
• Etter min mening gir imidlertid ikke dette uttrykk for en riktig rettsoppfatning.
April 13, 202331
Sitat fra Høyesteretts avgjørelse• Jeg peker først på at denne tolkningen av loven innebærer at § 11 første ledd
bokstav c får liten selvstendig betydning. Bestemmelsen gir uttrykk for et formålsprinsipp – også omtalt som finalité-prinsippet – som innebærer at innsamling av opplysninger skal skje til uttrykkelig angitte og saklige formål, og at senere behandling ikke må være uforenlig med disse formål. Dette prinsippet, som er nedfelt i artikkel 6 første ledd bokstav b i nevnte direktiv 95/46/EF, regnes internasjonalt som et fundamentalt og viktig prinsipp på personopplysningsrettens område, jf. Waaben og Nielsen, Lov om behandling af personoplysninger (2. udgave) side 146. Det har formodningen mot seg at loven skal forstås slik at dette prinsippet langt på vei bortfortolkes
April 13, 202332
Sitat fra Høyesteretts avgjørelse
• … gjenbruk ikke kan forankres direkte i § 8 bokstav f alene; vilkårene i § 11 første ledd bokstav c må også være tilfredsstilt. Foruten at dette siste kan utledes av ordlyden i § 11 første ledd bokstav c, følger det uttrykkelig av det som videre uttales i proposisjonen:• « I tillegg oppstilles det som et særskilt vilkår at det nye formålet ikke må være uforenlig med
det eller de formålene som opprinnelig lå til grunn for innsamlingen av personopplysningene, jf. bokstav c. Vilkåret gir uttrykk for det såkalte finalitetsprinsippet og vil utgjøre en viktig begrensning bl.a for adgangen til å bruke elektroniske spor og til å samkjøre registre eller andre informasjonssamlinger ... . Kravet om forenlighet innebærer at det til tross for at det nye formålet er hjemlet i § 8, kan være slik at de innsamlede opplysningene likevel ikke kan brukes for dette formålet. I så fall må den behandlingsansvarlige samle opplysningene inn på nytt. »
April 13, 202333
Sitat fra Høyesteretts avgjørelse
• Avfallsservice AS' nye bruk av opplysningene måtte ha grunnlag både i § 11 første ledd bokstav c og § 8 bokstav f.
• Drøftelsen ovenfor vil ha vist at det ikke er helt klart at Avfallsservice AS brukte personopplysningene til et formål som var uforenlig med det opprinnelige formålet, jf. § 11 første ledd bokstav c. Etter min mening trekker imidlertid de nevnte momenter samlet sett i retning av at den nye bruken ikke kunne forankres i bestemmelsen. Jeg legger særlig vekt på at kontrollformålet skiller seg markert fra det opprinnelige formålet.
April 13, 202334
Sitat fra Høyesteretts avgjørelse
Konklusjonen blir at Avfallsservice AS har behandlet personopplysningene i strid med bestemmelser i personopplysningsloven.
April 13, 202335
Avfallsservice Rt-2013-143 – mindretallet
April 13, 202336
Fremover:
Formalkrav rundt kontrolltiltak av ansatte må bli strengere
April 13, 202337
Arbeidsbelastning hos Datatilsynet
April 13, 202338
• Datatilsynet har en stor arbeidsbelastning og begrensede ressurser• Tema i PVN-2012-15 Kamera på privat grunn
• Generelt er Datatilsynet gitt en vid skjønnsmessig adgang til å vurdere om det foreligger tilstrekkelige personverninteresser til at saken bør realitetsbehandles eller om man av prioriteringshensyn bør la saken ligge
• Personvernnemnda vil i alminnelighet legge terskelen relativt høyt for å overprøve Datatilsynets avgjørelse om nedprioritering og var i denne saken enig med Datatilsynets vurderinger
Overføring av personopplysninger til utlandet PVN-2011-06 ConocoPhillips
April 13, 202339
• Norskregistrert utenlandsk foretak (NUF); amerikanske selskapet og NUF’et er samme juridiske enhet
• Overføring av opplysninger om ansatte, kunder og leverandører til USA vurderes i henhold til § 30
• Terrorscreening foretas i USA: Spørsmålet om det forelå adgang til å foreta screening av denne informasjonen i USA lå etter Personvernnemndas syn utenfor vår jurisdiksjon
• Etter nemndas syn hadde overføringen hjemmel i personopplysningsloven § 30 bokstav c), det vil si at det er nødvendig for å oppfylle en avtale.
• Avgjørelsen tar ikke opp forholdet til § 11 i POL
Hvem i alle dager er behandlingsansvarlig?PVN-2011-10 Simonsen
April 13, 202340
• Simonsen bistår rettighetshaverorganisasjoner med å overvåke fildelingssystemer
• Spørsmålet var om Simonsen var databehandler for rettighetsorganisasjonene – da kunne de ikke få konsesjon
• Simonsen hevdet at de • bestemmer eller detaljerer formålet med behandlingen• utfører oppdraget, bearbeider funn, legger data inn, sikrer bevis etc.
• Dissens. Flertall la avgjørende vekt på ordlyden i loven og at Simonsen ikke kunne være behandlingsansvarlig
PVN-2011-10 Simonsen
April 13, 202341
•Simonsen har ingen selvstendig evne til å rettslig forfølge rettighetskrenkere, det må gjøres i samråd med og på vegne av rettighetsorganisasjonene
•Rettighetshaverne har bestemt og definert formålet innledningsvis
•Fra forarbeidene om behandlingsansvar: • hvem bestemmer formålet• hvem bestemmer virkemidlene• hvem har nærhet/daglig befatning med personopplysningene
PVN-2011-10 Simonsen
April 13, 202342
•De nevnte forhold påberopt av Simonsen, var helt typiske situasjoner for mange databehandlere
•Flertallet av den klare oppfatning at det er mulig at Simonsen både foreslår og bestemmer hvilke praktiske hjelpemidler som brukes, men det er rettighetshaverorganisasjonene som overordnet bestemmer virkemidlene og fremgangsmåten, herunder valget å bruke Simonsen
Data fra sosiale medier PVN-2012-03 Nettby
April 13, 202343
• Nettby ble nedlagt – skulle innholdet slettes – gis til forskning?
• Klagen ble ikke tatt til følge, men nemnda kom frem til en annen løsning enn Datatilsynet
• Nemnda kom til at det forelå avleveringsplikt for de dokumenter VG ønsket å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4
• Materialet slettes etter avlevering
Nettby – fra PVNs avgjørelse
Hovedregelen er at den behandlingsansvarlige ikke skal lagre opplysningene lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28 første ledd. Nettby er nedlagt og formålet med behandlingen foreligger derfor ikke lenger. Nemnda er enig med Datatilsynet i at det ikke foreligger annet behandlingsgrunnlag for videre oppbevaring av opplysningene.
April 13, 202344
Nemnda er således kommet til at det ikke foreligger hjemmel for fortsatt lagring. Materialet skal da slettes, jf personopplysningsloven § 28 første ledd. Imidlertid er nemnda av den oppfatning at deler av materialet er omfattet av "lov om avleveringsplikt for allment tilgjengelege dokument" (pliktavleveringsloven).
Nettby var et lukket forum, noe som kunne tilsi at det ikke var allment tilgjengelig. Det fremgår imidlertid følgende av brukervilkårene for Nettby, jf brev av 20.1.2012 fra klager:
"Nyheter som du skriver i åpne grupper vil være tilgjengelig for alle som er knyttet til internett og vil også kunne bli indeksert av søkemotorer som f.eks Google.com."
April 13, 202345
Nemnda forstår dette slik at det fantes en åpen del av Nettby som var tilgjengelig for alle som var tilknyttet internett, og dermed "tilgjengeleg for allmenta" jf pliktavleveringsloven §§ 3 og 4. Det betyr at dette materialet uten hinder kunne bli indeksert av søkemotorer, inkludert Nasjonalbibliotekets søkemotor. Når det gjelder denne åpne delen av Nettby, er nemnda således av den oppfatning at disse dokumentene omfattes av pliktavleveringsloven
April 13, 202346
April 13, 202347
• de ikke-åpne delene av Nettby, som ikke var åpent tilgjengelig på internett, men var tilgjengelig for Nettbys anslagsvis 750 000 borgere, så kan det diskuteres hvorvidt dette var gjort "tilgjengeleg for allmenta" og "utanfor ein privat krins", jf pliktavleveringsloven § 3 annet ledd
• Det springende punkt vil da være om 750 000 personer er å anse som en "privat krins«
• Bing: antas å falle sammen med det åndsverkloven kaller "offentliggjørelse«
• Åvl §8: tilgjengelig for allmennheten når det gjøres tilgjengelig utenfor det private område• Kopiering av noter til kor/orkester er ikke privat
• Nettby, med opptil 750 000 borgere, kan ikke sies å være en privat krets
April 13, 202348
Personvernnemnda skal avslutningsvis bemerke at den ikke uten videre er enig med Datatilsynet i at Nettby, så lenge nettstedet var i drift, ikke var omfattet av personopplysningsloven
personopplysningsloven § 3, annet ledd, det vil si at loven ikke gjelder for behandling for rent private eller personlige formål
sak C-101/01 "Bodil Lindqvist mot Åklagarkammaren i Jönköping", der det ble lagt til grunn at unntaket ("private formål") ikke gjelder for personopplysninger som er "tilgjängliga för ett ubestämt antall personer»
April 13, 202349
Datatilsynet: En konsekvens av EF-domstolens tolkning er at de som lager private hjemmesider med opplysninger om andre personer må forholde seg til reglene i personopplysningsloven.
Personvernnemnda tar ikke stilling til dette, men ser at ansvarsforholdet rundt håndtering av personopplysninger i sosiale medier reiser prinsipielt viktige spørsmål som trenger en avklaring.
Tendenser – fokus fremover
April 13, 202350
•Personvern dekker mange områder – sanksjonsapparatet vil få mer fokus
•En viss motsetning mellom ønsker fra forskere/forvaltning, effektivitetskrav og personvern
•Definisjonen av behandlingsansvarlig vil bli mer sentral
•Autentisering blir en praktisk viktig funksjon
•Kontroll i arbeidslivet vil få fokus – tverrjuridisk
•Internasjonalisering øker – og er vanskelig – derfor også bruk av BCR i store konsern
• Takk for oppmerksomheten!
April 13, 202351