personvern og gdpr - universitetet i bergen · 2020. 1. 31. · personvern i internasjonal...
TRANSCRIPT
Personvern og GDPR31. januar 2020
Dr. Malgorzata Cyndecka
Førsteamanuensis
Det juridiske fakultet
Hva er personvern?
Personvernkommisjonen i NOU 2009: 1,
Individ og integritet - Personvern i det digitale
samfunnet:
«Personvern dreier seg om ivaretakelse av
personlig integritet; ivaretakelse av
enkeltindividets mulighet for privatliv,
selvbestemmelse (autonomi) og selvutfoldelse.»
Personvern i internasjonal lovgivning
FNs verdenserklæring om menneskerettighetene av 1948 art. 12:
«Ingen må utsettes for vilkårlig innblanding i privatliv,
familie, hjem og korrespondanse, eller for angrep på ære
og anseelse. Enhver har rett til lovens beskyttelse mot
slik innblanding eller slike angrep.»
• FN-konvensjonen om sivile og politiske rettigheter (SP) av 1966, art.17
• FN-konvensjonen om barns rettigheter av 1989, art.16
• Den europeiske menneskerettskonvensjonen av 1950 (EMK), art. 8
• EUs charter om grunnleggende rettigheter av 2000, art. 7 og 8
• Europarådets persondatakonvensjon av 1981.
Grunnloven § 102
«Enhver har rett til respekt for sitt privatliv og
familieliv, sitt hjem og sin kommunikasjon.
Husransakelse må ikke finne sted, unntatt i
kriminelle tilfeller. Statens myndigheter skal sikre
et vern om den personlige integritet.»
(tatt inn etter grunnlovsrevisjonen i 2014)
MenneskerettslovenLov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes
stilling i norsk rett
Inkorporerte EMK (art.8) og SP (art.17) - forrang• EMK - vedlegg 2 til menneskerettsloven:
1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin
korrespondanse.
2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne
rettighet unntatt når dette er i samsvar med loven og er nødvendig i et
demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige
trygghet eller landets økonomiske velferd, for å forebygge uorden eller
kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres
rettigheter og friheter.
• SP - vedlegg 6 til menneskerettsloven:
1. Ingen må utsettes for vilkårlige eller ulovlige inngrep i privat- eller
familieliv, hjem eller korrespondanse, eller ulovlige inngrep på ære eller
omdømme
2. Enhver har rett til lovens beskyttelse mot slike inngrep eller angrep.
Ny personvernlovgivning i hele EU/EØS
25. juni 2018 - EUs personvernforordning -
General Data Protection Regulation (GDPR)
vedtatt i 2016
Lov om behandling av personopplysninger
(personopplysningsloven) - 20. juli 2018
Hvorfor en forordning?
• Personopplysningsloven 2000 - personverndirektivet av 1995
o Direktiv: fastsetter et mål som medlemsstatene skal oppnå,men hver enkelt stat velger form og utformer innholdet i denasjonale rettsakter som skal sørge for å målene blir nådd
o Forordning: en bindende rettsakt, skal følges i alle detaljer ihele EU, hvor den også har direkte virkning, ingen ytterligeregjennomføring
• Forordning like regler i hele EU/EØS
• Tilpasninger kun tillatt av selve GDPR (f.eks.barn på sosiale media – allerede et problem!)
Personopplysningsloven av 20. juli 2018
Ny personopplysningslov:
1. Nasjonale regler med norske tilpasninger
(Kapittel 1-9)
2. EUs personvernforordning - (EU) 2016/679 -
General Data Protection Regulation GDPR
Fortale – ikke bindende, men brukes som en
tolkningshjelp som utfyller/forklarer artiklene
Artikler (Kapittel I-XI) - bindende.
EUs personvernforordning og norsk rett
• Personvernforordningen skal gå foran norsk lov ved
konflikt
• Ingen store muligheter for nasjonale tilpasninger
• Andre lover som ivaretar personvernet - særlovgivning
som inneholder nasjonale tilpasninger innen ulike
sektorer:
• Pasientjournalloven
• Politiregisterloven
• Forskrift om kameraovervåking på arbeidsplassen o.l.
Hva er en «personopplysning»?
Tre elementer – GDPR artikkel 4:
1. En fysisk person som kan identifiseres (den registrerte);
opplysninger om juridiske personer som selskap eller
organisasjon er ikke personopplysninger, (om den
avdøde?)
2. Opplysning som gjør det mulig å identifisere en fysisk
person, direkte eller indirekte, for eksempel navn, adresse,
telefonnummer, e-postadresse, dynamisk IP-adresse,
informasjonskapsler, bilnummer, bilde, fødselsdato,
fingeravtrykk, irismønster, alder, lydopptak...
3. En kobling mellom den fysiske personen og opplysningen,
dvs. at anonymiserte opplysninger ikke er
personopplysninger.
Dialog med elever - personopplysninger
• Gi eksempler på informasjon/opplysninger som kan regnes som personopplysninger - biometriske data, ny teknologi o.l.
• Opplysninger om adferdsmønster: hva du kjøper, liker på FB, ser på Netflix, hvor du beveger deg i løpet av dagen
• Diskuter telefonnummeret som (person)opplysning: eieren som en fysisk person/firma
• Den avdøde?
• Anonymisering v. pseudonymisering.
Sensitive personopplysninger - særskilte kategorier
• rasemessig eller etnisk opprinnelse
• politisk oppfatning, religion og filosofisk overbevisning
• fagforeningsmedlemskap
• genetiske opplysninger
• biometriske opplysninger med det formål å entydig identifisere noen
• helseopplysninger
• seksuelle forhold og legning
• opplysninger om straffedommer og lovovertredelser
NB! Strengere krav til å behandle slike personopplysninger.
Dialog med elever - sensitive personopplysninger
• Hvorfor er disse personopplysningene «sensitive»?
• Hvorfor trenger slike personopplysninger ekstra vern?
• Tenk på ulike konsekvenser, både økonomiske og ikke-økonomiske av å behandle slike personopplysninger
• Diskriminering o.l. (helseforsikring, banklån, arbeidsmarked).
Dialog med elever: Hvorfor vern av personopplysninger?
• Forbrukerrådet: Google manipulerer deg
gjennom utspekulert design og misvisende
informasjon til å akseptere konstant
overvåkning:
https://www.youtube.com/watch?v=o-pPdhC1YxQ
• Om EU-domstolen og personvern: “The Court of
Justice in the Digital World”:
https://www.youtube.com/watch?v=7GTVL2d0VW
0
GDPR – personopplysningsloven – sentrale begrep
• Personopplysning
• Behandling – innsamling, registering,
organisering, spredning, samkjøring, sletting
osv.
• Den registrerte – fysisk person
• Behandlingsansvarlig – bestemmer hvilke
personopplysninger som skal behandles,
hvorfor og hvordan
• Databehandler – utfører oppgaver gitt av den
behandlingsansvarlige
• Datatilsynet og Personvernnemnd.
GDPRs geografiske område
Et større geografisk område og flere som er omfattet:
• Behandlingsansvarlige registrerte utenfor EU/EØS, men som tilbyr varer og tjenester til EU/EØS-borgere
❑ Eksempel: nettbutikker som ikke er etablert i Europa, men som selger varer over nett, og tilbyr frakt til europeiske land og kanskje betaling i norske kroner
• Behandlingsansvarlige etablerte utenfor EU/EØS, men som overvåker adferden til EU/EØS-borgere innenfor EU/EØS
❑ Eksempel: amerikanske selskaper som profilerer nordmenn på bakgrunn av nettbruken deres.
Dialog med elever: GDPRs geografiske område
• Et større geografisk område og flere som er omfattet: hva er konsekvensene for behandlingsansvarlige?• Store bøter - GDPR åpner for meget høye administrative gebyr på opp
til EUR 20 mill./4 % av global årlig omsetning
• Vanskelig regelverk, men bedre personvern
• Adferdsbasert markedsføring• Et amerikansk selskap som monitorerer adferd til norske brukere for å
kunne forutsi flere kjøp
• Er det greit å få tilpasset reklame?
• Hva hvis man får «feiltilpasset» reklame? Eksempler: kun dyre klokker, flybilletter, ferier, jobbtilbud som ikke blir vist av ulike grunner
• Talestyrte assistenter – «Alexa – hører du meg nå?».
Når gjelder ikke personopplysningsloven?
• Behandling av personopplysninger - all bruk avpersonopplysninger, slik som innsamling, registrering,sammenstilling, lagring og utlevering, eller en kombinasjon avslike bruksmåter – som utføres:
• av fysiske personer som ledd i rent personlige ellerfamiliemessige aktiviteter – ikke kommersielle!
❑ Eksempel: kameraovervåking av eget hus, privateadressebøker for korrespondanse med familie/venner
• av myndighetene for å forebygge, etterforske ellerstraffeforfølge straffbare forhold; ivareta offentlig sikkerhet.
• for utelukkende journalistiske, akademiske, kunstneriske oglitterære formål, men andre regler gjelder som «Vær varsom-plakaten».
Personvernprinsippene – GDPR artikkel 5
Behandlingen må være:
1. Lovlig – rettslig grunnlag
2. Rettferdig – respekt for de registrertes interesser og rimelige forventninger
3. Gjennomsiktig – skape tillit, forutsigbarhet
4. Formålsbegrensning – spesifikke, uttrykkelige, angitte og legitime formål
5. Dataminimering – behandle bare det som er nødvendig for å oppnå formålet
6. Riktighet – personopplysningene må være korrekte, oppdaterte, uriktige skal slettes
7. Integritet, konfidensialitet og tilgjengelighet
8. Ansvarlighet – virksomhet må dokumentere ansvaret.
Personvernprinsippene – dialog med elevene
• Hvorfor trenger man disse prinsippene?
• Hvordan skal man forstå dem?
• Hva betyr de for meg , for samfunnet, for demokratiet?
❑ Eksempler: skandalen knyttet til Facebook og selskapet Cambridge Analytica – påvirkning av valget i USA og «Brexit», NRKs eksperiment før kommunevalget
• Eldre elever: Se på enkelte bestemmelser som for eksempel behandlingsgrunnlaget som samtykke og prøv å identifisere de ovennevnte prinsippene.
Behandlingsgrunnlag (I) – et absolutt krav
• All behandling må ha et rettslig grunnlag - lovlighet
• Formålet med behandling av personopplysninger må være tydelig spesifisert, avklart på forhånd og formidlet til den registrerte
• Hva hvis personopplysninger skal brukes til andre formål enn de var innhentet for?
1. Er det nye formålet forenlig med det gamle?
2. Hvis ikke, skal man innhente samtykke eller finne en annen behandlingsgrunnlag
3. Hvis det ikke finnes, er behandlingen ulovlig.
Behandlingsgrunnlag – GDPR artikkel 6
a) Samtykke
b) Nødvendig for å oppfylle en avtale (kjøpe på nettet)
c) Nødvendig for å oppfylle en rettslig plikt (arbeidsgiver må rapportere om arbeidstakere)
d) Nødvendig for å beskytte vitale interesser (liv, død, helse – foreldrenes personopplysninger og barns helse)
e) Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet (staten, men også private som barnehager)
f) Nødvendig for å ivareta legitime interesser –interesseavveiing (Legelisten, forebygging av tyveri).
Samtykke
Jeg samtykker til alt…?
Ofte oppskrytt, overvurdert, risikabelt for virksomheter, og ikke minst plagsomt hvis misbrukt...
Et gyldig samtykke – strengere krav
• Frivillig – ekte valg, ikke under press, negative konsekvenser
• Spesifikt – klart hva man samtykker til, samtykke til hvert formål
• Informert – et reelt og informert valg – behandlingsansvarlig, formålet, hvilke personopplysninger, rett til å trekke tilbake, risiko og tiltak i tilfelle overføring utenfor EU/EØS, enkelt språk
• Utvetydig og gitt gjennom en aktiv handling - «opt in»: hake av i en boks, skrive under; ikke «opt out»: ikke passivitet, stillhet, ikke en del av avtaleinngåelse (for eksempel motta nyhetsbrevet mot å gjennomføre kjøpet)
• Dokumenterbart (ikke spesifisert hvordan)
• Mulig å trekke tilbake like lett som det ble gitt.
Samtykke fra mindreårige
• Mindreårige som fylte 15 år kan selv samtykke til innhenting og bruk av egne personopplysninger; under 15 år – de foresette samtykker på vegne av barnet
Unntak:
• Sensitive personopplysninger – bare med samtykke fra foreldre frem til barna har fylt 18 år
• For småkonkurranser o.l., der enkle kontaktopplysninger bare brukes til eventuell premiering og deretter slettes, også barn under 15 år kan samtykke. Sletting etter premiering, personverntrusselen er lav, konkurransen er egnet for den aktuelle aldersgruppen
• Bruk av nettjenester og apper slik som Facebook, Instagram og Snap, er særskilt regulert artikkel 8. I Norge er aldersgrensen for å samtykke selv til bruk satt til 13 år. Under 13 år – de foresatte må samtykke til bruken av tjenesten.
Særlig viktig med god informasjon, språket, muligheten til å forstå.
Dialog med elever - samtykke
• Finn eksempler av samtykke til behandling av dine personopplysninger – FB, andre plattformer
• Oppfyller teksten alle kravene?
• Hvorfor/hvorfor ikke?
• Kunne virksomheten ha brukt en annen behandlingsgrunnlag? (For eksempel, du kjøpte en vare på nettet og vil få den hjem)
• GDPR åpner for at aldersgrensen for å bruke såkalte informasjonssamfunnstjenester (Facebook o.l.) uten samtykke fra foreldrene kan være mellom 16 og 13 år. I Norge er det 13 år. Hva synes du om dette valget av norske myndigheter? Kan man forstå konsekvensene av samtykke når man er 13 år?
Nye og/eller mer presise rettigheter
• Rett til informasjon
• Rett til innsyn
• Rett til retting
• Rett sletting
• Rett til begrensning
• Rett til protestere
• Rettigheter ved automatiserte avgjørelser
• Rett til dataportabilitet.
Rett til informasjon
• Virksomheter må behandle personopplysninger
på en åpen måte
• De må gi kort, forståelig, lett tilgjengelig
informasjon om hvordan de behandler
personopplysningene
• Språket må være enkelt, spesielt når rettet
mot barn
• Informasjon skal være gratis.
Rett til innsyn – dialog med elever
• Hvorfor behandler noen mine personopplysninger? (formålet)
• Hvilke personopplysningene har de lagret om meg?
• Hvor har de hentet dem fra?
• Vil de bli utlevert, til hvem, utenfor EØS (hvor trygt det er)?
• Hvor lenge vil de bli lagret?
• Kan jeg be om retting, sletting, avgrensning eller protestere mot behandlingen?
❑ Spør virksomheten – Facebook eller andre og få en gratis kopi av alle personopplysninger uten ubegrunnet opphold
❑ Diskusjon: er det nyttig/farlig at de vet så mye om meg?
• Tilpasse/forbedre reklame, tjenester, priser
• Salg av personprofiler til markedsførere
• Ingenting er gratis – du betaler med personopplysninger!
Rett til retting – dialog med elever
• Du oppdager at en virksomhet behandler opplysninger om deg som er uriktige (du brukte kanskje innsynsrett?)
• Dan du kreve retting, men må kunne sannsynliggjøre at opplysningene er uriktige og hva som er korrekt
❑ Eksempel: du ble forvekslet med noen andre
• Gir opplysningene et feil inntrykk, kan du kreve at de skal suppleres
❑ Eksempel: Du har fått en diagnose som senere viser seg til å være feil, opplysning om at dette egentlig ikke stemmer må inkluderes i din pasientjournal.
❑ Noen kom med påstander om deg som ikke stemmer. Du kan kreve å supplere med informasjon som avkrefter påstanden
Rett til sletting - gjelder ikke alltid!
Du kan kreve sletting av opplysningene dine hvis:
• Du protesterer mot bruk av personopplysningene dine (for eksempel du motsetter deg direkte markedsføring)
• Virksomheten behandler personopplysningene dine fordi du har gitt samtykke og du trekker tilbake samtykket
• Du er mindreårig og har brukt en digital tjeneste, slik som sosiale medier
• Det er ikke lenger er nødvendig å beholde opplysningene dine –formålet med opplysningene er oppnådd
• Opplysningene har blitt innhentet ulovlig
• Virksomheten har sletteplikt etter loven.
Rett til sletting - unntak
• Personopplysningene inngår i en ytring som er vernet
av ytrings- og informasjonsfriheten.
• Lagring er nødvendig for arkivering i allmenhetens
interesse, vitenskapelige eller historiske
forskningsformål eller statistiske formål
• Virksomheten har lagringsplikt etter lov (for eksempel
bokføringsplikt).
• Lagring er nødvendig for visse typer bruk innen
helsetjenesten
• Lagring er nødvendig for å fastsette, gjøre gjeldende
eller forsvare rettskrav.
«Rett til å bli glemt» og søkemotorer – dialog med elever
• Hva betyr «retten til å gli glemt»?
• Sletting v. avindeksering
• Hvordan ble retten til og hvem gjelder den?
• EU-domstolens dom, alle søkemotorer, fysiske
personer
• Har jeg en ubetinget rett til avindeksering?
• Nei, søkemotoren gjør en konkret vurdering
• Google etterkommer ønsker om fjerning i omtrent 40% av
tilfellene. Samme tall i Norge og resten av Europa.
Les mer om hvor mange forespørsler Google har mottatt,
nettadressene de har fjernet, hvem som sender inn
forespørsler, innholdet på nettstedene og nettadressene i disse
forespørslene
Søkemotoren gjør en konkret vurdering ved sletting/avindeksering –
dialog med elever
Hva vurderer søkemotoren?• Er søketreffet/informasjonen misvisende, irrelevant, feilaktig,
belastende?
• Er saken gammel?
• Er du en offentlig person?
• Gjelder dette et kriminelt forhold?
• Er dette knyttet til yrkesutøvelse?
• Inngår personopplysningene i en ytring som er vernet av ytrings- og
informasjonsfriheten (diskusjon om hva dette er for noe)
• Diskuter eksempler fra rapporten (lenke på forrige slide)
Hva synes du om vekten til disse momentene?
En aktuell sak – diskusjon med elever
• Datatilsynet har mottatt en klage fra Forbrukerrådet mot Grindr, en dating app der homofile er målgruppen. Forbrukerrådet har også klaget inn flere av selskapene som mottar data fra Grindr. Ifølge klagen deler denne annonseindustrien (adtech) data om brukernes legning og lokasjon ulovlig.
• Flere av selskapene som Forbrukerrådet klager på, holder til i USA, men de er trolig underlagt GDPR.
• Selskapene øremerker brukerne, slik at de kan spores på tvers av plattformer. Informasjonen settes sammen bit for bit til selskapene har et komplett blide av hva vi liker, hva vi kjøper, vår fysiske og psykiske helse, seksuelle legning og vårt politiske ståsted
• Din «digitale tvilling» selges til høystbydende på digitale reklamebørser, hvor vinnerne får vise deg målrettet reklame. Det er tilnærmet umulig å få oversikt over hvem som vet hva, og hvordan informasjon blir benyttet.
En vekker?
Grindr har et begrenset antall brukere, men det
potensielle omfanget av brudd på personvern er
betydelig
Facebook gjør mest sannsynlig det samme og
brukes av 74% nordmenn HVER DAG…
Er det greit?
Tusen takk for oppmerksomheten!
©Pierre Kroll