Personvern og GDPR31. januar 2020

Dr. Malgorzata Cyndecka

Førsteamanuensis

Det juridiske fakultet

Hva er personvern?

Personvernkommisjonen i NOU 2009: 1,

Individ og integritet - Personvern i det digitale

samfunnet:

«Personvern dreier seg om ivaretakelse av

personlig integritet; ivaretakelse av

enkeltindividets mulighet for privatliv,

selvbestemmelse (autonomi) og selvutfoldelse.»

Personvern i internasjonal lovgivning

FNs verdenserklæring om menneskerettighetene av 1948 art. 12:

«Ingen må utsettes for vilkårlig innblanding i privatliv,

familie, hjem og korrespondanse, eller for angrep på ære

og anseelse. Enhver har rett til lovens beskyttelse mot

slik innblanding eller slike angrep.»

• FN-konvensjonen om sivile og politiske rettigheter (SP) av 1966, art.17

• FN-konvensjonen om barns rettigheter av 1989, art.16

• Den europeiske menneskerettskonvensjonen av 1950 (EMK), art. 8

• EUs charter om grunnleggende rettigheter av 2000, art. 7 og 8

• Europarådets persondatakonvensjon av 1981.

Grunnloven § 102

«Enhver har rett til respekt for sitt privatliv og

familieliv, sitt hjem og sin kommunikasjon.

Husransakelse må ikke finne sted, unntatt i

kriminelle tilfeller. Statens myndigheter skal sikre

et vern om den personlige integritet.»

(tatt inn etter grunnlovsrevisjonen i 2014)

MenneskerettslovenLov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes

stilling i norsk rett

Inkorporerte EMK (art.8) og SP (art.17) - forrang• EMK - vedlegg 2 til menneskerettsloven:

1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin

korrespondanse.

2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne

rettighet unntatt når dette er i samsvar med loven og er nødvendig i et

demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige

trygghet eller landets økonomiske velferd, for å forebygge uorden eller

kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres

rettigheter og friheter.

• SP - vedlegg 6 til menneskerettsloven:

1. Ingen må utsettes for vilkårlige eller ulovlige inngrep i privat- eller

familieliv, hjem eller korrespondanse, eller ulovlige inngrep på ære eller

omdømme

2. Enhver har rett til lovens beskyttelse mot slike inngrep eller angrep.

Ny personvernlovgivning i hele EU/EØS

25. juni 2018 - EUs personvernforordning -

General Data Protection Regulation (GDPR)

vedtatt i 2016

Lov om behandling av personopplysninger

(personopplysningsloven) - 20. juli 2018

Hvorfor en forordning?

• Personopplysningsloven 2000 - personverndirektivet av 1995

o Direktiv: fastsetter et mål som medlemsstatene skal oppnå,men hver enkelt stat velger form og utformer innholdet i denasjonale rettsakter som skal sørge for å målene blir nådd

o Forordning: en bindende rettsakt, skal følges i alle detaljer ihele EU, hvor den også har direkte virkning, ingen ytterligeregjennomføring

• Forordning like regler i hele EU/EØS

• Tilpasninger kun tillatt av selve GDPR (f.eks.barn på sosiale media – allerede et problem!)

Personopplysningsloven av 20. juli 2018

Ny personopplysningslov:

1. Nasjonale regler med norske tilpasninger

(Kapittel 1-9)

2. EUs personvernforordning - (EU) 2016/679 -

General Data Protection Regulation GDPR

Fortale – ikke bindende, men brukes som en

tolkningshjelp som utfyller/forklarer artiklene

Artikler (Kapittel I-XI) - bindende.

EUs personvernforordning og norsk rett

• Personvernforordningen skal gå foran norsk lov ved

konflikt

• Ingen store muligheter for nasjonale tilpasninger

• Andre lover som ivaretar personvernet - særlovgivning

som inneholder nasjonale tilpasninger innen ulike

sektorer:

• Pasientjournalloven

• Politiregisterloven

• Forskrift om kameraovervåking på arbeidsplassen o.l.

Hva er en «personopplysning»?

Tre elementer – GDPR artikkel 4:

1. En fysisk person som kan identifiseres (den registrerte);

opplysninger om juridiske personer som selskap eller

organisasjon er ikke personopplysninger, (om den

avdøde?)

2. Opplysning som gjør det mulig å identifisere en fysisk

person, direkte eller indirekte, for eksempel navn, adresse,

telefonnummer, e-postadresse, dynamisk IP-adresse,

informasjonskapsler, bilnummer, bilde, fødselsdato,

fingeravtrykk, irismønster, alder, lydopptak...

3. En kobling mellom den fysiske personen og opplysningen,

dvs. at anonymiserte opplysninger ikke er

personopplysninger.

Dialog med elever - personopplysninger

• Gi eksempler på informasjon/opplysninger som kan regnes som personopplysninger - biometriske data, ny teknologi o.l.

• Opplysninger om adferdsmønster: hva du kjøper, liker på FB, ser på Netflix, hvor du beveger deg i løpet av dagen

• Diskuter telefonnummeret som (person)opplysning: eieren som en fysisk person/firma

• Den avdøde?

• Anonymisering v. pseudonymisering.

Sensitive personopplysninger - særskilte kategorier

• rasemessig eller etnisk opprinnelse

• politisk oppfatning, religion og filosofisk overbevisning

• fagforeningsmedlemskap

• genetiske opplysninger

• biometriske opplysninger med det formål å entydig identifisere noen

• helseopplysninger

• seksuelle forhold og legning

• opplysninger om straffedommer og lovovertredelser

NB! Strengere krav til å behandle slike personopplysninger.

Dialog med elever - sensitive personopplysninger

• Hvorfor er disse personopplysningene «sensitive»?

• Hvorfor trenger slike personopplysninger ekstra vern?

• Tenk på ulike konsekvenser, både økonomiske og ikke-økonomiske av å behandle slike personopplysninger

• Diskriminering o.l. (helseforsikring, banklån, arbeidsmarked).

Dialog med elever: Hvorfor vern av personopplysninger?

• Forbrukerrådet: Google manipulerer deg

gjennom utspekulert design og misvisende

informasjon til å akseptere konstant

overvåkning:

https://www.youtube.com/watch?v=o-pPdhC1YxQ

• Om EU-domstolen og personvern: “The Court of

Justice in the Digital World”:

https://www.youtube.com/watch?v=7GTVL2d0VW

0

GDPR – personopplysningsloven – sentrale begrep

• Personopplysning

• Behandling – innsamling, registering,

organisering, spredning, samkjøring, sletting

osv.

• Den registrerte – fysisk person

• Behandlingsansvarlig – bestemmer hvilke

personopplysninger som skal behandles,

hvorfor og hvordan

• Databehandler – utfører oppgaver gitt av den

behandlingsansvarlige

• Datatilsynet og Personvernnemnd.

GDPRs geografiske område

Et større geografisk område og flere som er omfattet:

• Behandlingsansvarlige registrerte utenfor EU/EØS, men som tilbyr varer og tjenester til EU/EØS-borgere

❑ Eksempel: nettbutikker som ikke er etablert i Europa, men som selger varer over nett, og tilbyr frakt til europeiske land og kanskje betaling i norske kroner

• Behandlingsansvarlige etablerte utenfor EU/EØS, men som overvåker adferden til EU/EØS-borgere innenfor EU/EØS

❑ Eksempel: amerikanske selskaper som profilerer nordmenn på bakgrunn av nettbruken deres.

Dialog med elever: GDPRs geografiske område

• Et større geografisk område og flere som er omfattet: hva er konsekvensene for behandlingsansvarlige?• Store bøter - GDPR åpner for meget høye administrative gebyr på opp

til EUR 20 mill./4 % av global årlig omsetning

• Vanskelig regelverk, men bedre personvern

• Adferdsbasert markedsføring• Et amerikansk selskap som monitorerer adferd til norske brukere for å

kunne forutsi flere kjøp

• Er det greit å få tilpasset reklame?

• Hva hvis man får «feiltilpasset» reklame? Eksempler: kun dyre klokker, flybilletter, ferier, jobbtilbud som ikke blir vist av ulike grunner

• Talestyrte assistenter – «Alexa – hører du meg nå?».

Når gjelder ikke personopplysningsloven?

• Behandling av personopplysninger - all bruk avpersonopplysninger, slik som innsamling, registrering,sammenstilling, lagring og utlevering, eller en kombinasjon avslike bruksmåter – som utføres:

• av fysiske personer som ledd i rent personlige ellerfamiliemessige aktiviteter – ikke kommersielle!

❑ Eksempel: kameraovervåking av eget hus, privateadressebøker for korrespondanse med familie/venner

• av myndighetene for å forebygge, etterforske ellerstraffeforfølge straffbare forhold; ivareta offentlig sikkerhet.

• for utelukkende journalistiske, akademiske, kunstneriske oglitterære formål, men andre regler gjelder som «Vær varsom-plakaten».

Personvernprinsippene – GDPR artikkel 5

Behandlingen må være:

1. Lovlig – rettslig grunnlag

2. Rettferdig – respekt for de registrertes interesser og rimelige forventninger

3. Gjennomsiktig – skape tillit, forutsigbarhet

4. Formålsbegrensning – spesifikke, uttrykkelige, angitte og legitime formål

5. Dataminimering – behandle bare det som er nødvendig for å oppnå formålet

6. Riktighet – personopplysningene må være korrekte, oppdaterte, uriktige skal slettes

7. Integritet, konfidensialitet og tilgjengelighet

8. Ansvarlighet – virksomhet må dokumentere ansvaret.

Personvernprinsippene – dialog med elevene

• Hvorfor trenger man disse prinsippene?

• Hvordan skal man forstå dem?

• Hva betyr de for meg , for samfunnet, for demokratiet?

❑ Eksempler: skandalen knyttet til Facebook og selskapet Cambridge Analytica – påvirkning av valget i USA og «Brexit», NRKs eksperiment før kommunevalget

• Eldre elever: Se på enkelte bestemmelser som for eksempel behandlingsgrunnlaget som samtykke og prøv å identifisere de ovennevnte prinsippene.

Behandlingsgrunnlag (I) – et absolutt krav

• All behandling må ha et rettslig grunnlag - lovlighet

• Formålet med behandling av personopplysninger må være tydelig spesifisert, avklart på forhånd og formidlet til den registrerte

• Hva hvis personopplysninger skal brukes til andre formål enn de var innhentet for?

1. Er det nye formålet forenlig med det gamle?

2. Hvis ikke, skal man innhente samtykke eller finne en annen behandlingsgrunnlag

3. Hvis det ikke finnes, er behandlingen ulovlig.

Behandlingsgrunnlag – GDPR artikkel 6

a) Samtykke

b) Nødvendig for å oppfylle en avtale (kjøpe på nettet)

c) Nødvendig for å oppfylle en rettslig plikt (arbeidsgiver må rapportere om arbeidstakere)

d) Nødvendig for å beskytte vitale interesser (liv, død, helse – foreldrenes personopplysninger og barns helse)

e) Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet (staten, men også private som barnehager)

f) Nødvendig for å ivareta legitime interesser –interesseavveiing (Legelisten, forebygging av tyveri).

Samtykke

Jeg samtykker til alt…?

Ofte oppskrytt, overvurdert, risikabelt for virksomheter, og ikke minst plagsomt hvis misbrukt...

Et gyldig samtykke – strengere krav

• Frivillig – ekte valg, ikke under press, negative konsekvenser

• Spesifikt – klart hva man samtykker til, samtykke til hvert formål

• Informert – et reelt og informert valg – behandlingsansvarlig, formålet, hvilke personopplysninger, rett til å trekke tilbake, risiko og tiltak i tilfelle overføring utenfor EU/EØS, enkelt språk

• Utvetydig og gitt gjennom en aktiv handling - «opt in»: hake av i en boks, skrive under; ikke «opt out»: ikke passivitet, stillhet, ikke en del av avtaleinngåelse (for eksempel motta nyhetsbrevet mot å gjennomføre kjøpet)

• Dokumenterbart (ikke spesifisert hvordan)

• Mulig å trekke tilbake like lett som det ble gitt.

Samtykke fra mindreårige

• Mindreårige som fylte 15 år kan selv samtykke til innhenting og bruk av egne personopplysninger; under 15 år – de foresette samtykker på vegne av barnet

Unntak:

• Sensitive personopplysninger – bare med samtykke fra foreldre frem til barna har fylt 18 år

• For småkonkurranser o.l., der enkle kontaktopplysninger bare brukes til eventuell premiering og deretter slettes, også barn under 15 år kan samtykke. Sletting etter premiering, personverntrusselen er lav, konkurransen er egnet for den aktuelle aldersgruppen

• Bruk av nettjenester og apper slik som Facebook, Instagram og Snap, er særskilt regulert artikkel 8. I Norge er aldersgrensen for å samtykke selv til bruk satt til 13 år. Under 13 år – de foresatte må samtykke til bruken av tjenesten.

Særlig viktig med god informasjon, språket, muligheten til å forstå.

Dialog med elever - samtykke

• Finn eksempler av samtykke til behandling av dine personopplysninger – FB, andre plattformer

• Oppfyller teksten alle kravene?

• Hvorfor/hvorfor ikke?

• Kunne virksomheten ha brukt en annen behandlingsgrunnlag? (For eksempel, du kjøpte en vare på nettet og vil få den hjem)

• GDPR åpner for at aldersgrensen for å bruke såkalte informasjonssamfunnstjenester (Facebook o.l.) uten samtykke fra foreldrene kan være mellom 16 og 13 år. I Norge er det 13 år. Hva synes du om dette valget av norske myndigheter? Kan man forstå konsekvensene av samtykke når man er 13 år?

Nye og/eller mer presise rettigheter

• Rett til informasjon

• Rett til innsyn

• Rett til retting

• Rett sletting

• Rett til begrensning

• Rett til protestere

• Rettigheter ved automatiserte avgjørelser

• Rett til dataportabilitet.

Rett til informasjon

• Virksomheter må behandle personopplysninger

på en åpen måte

• De må gi kort, forståelig, lett tilgjengelig

informasjon om hvordan de behandler

personopplysningene

• Språket må være enkelt, spesielt når rettet

mot barn

• Informasjon skal være gratis.

Rett til innsyn – dialog med elever

• Hvorfor behandler noen mine personopplysninger? (formålet)

• Hvilke personopplysningene har de lagret om meg?

• Hvor har de hentet dem fra?

• Vil de bli utlevert, til hvem, utenfor EØS (hvor trygt det er)?

• Hvor lenge vil de bli lagret?

• Kan jeg be om retting, sletting, avgrensning eller protestere mot behandlingen?

❑ Spør virksomheten – Facebook eller andre og få en gratis kopi av alle personopplysninger uten ubegrunnet opphold

❑ Diskusjon: er det nyttig/farlig at de vet så mye om meg?

• Tilpasse/forbedre reklame, tjenester, priser

• Salg av personprofiler til markedsførere

• Ingenting er gratis – du betaler med personopplysninger!

Rett til retting – dialog med elever

• Du oppdager at en virksomhet behandler opplysninger om deg som er uriktige (du brukte kanskje innsynsrett?)

• Dan du kreve retting, men må kunne sannsynliggjøre at opplysningene er uriktige og hva som er korrekt

❑ Eksempel: du ble forvekslet med noen andre

• Gir opplysningene et feil inntrykk, kan du kreve at de skal suppleres

❑ Eksempel: Du har fått en diagnose som senere viser seg til å være feil, opplysning om at dette egentlig ikke stemmer må inkluderes i din pasientjournal.

❑ Noen kom med påstander om deg som ikke stemmer. Du kan kreve å supplere med informasjon som avkrefter påstanden

Rett til sletting - gjelder ikke alltid!

Du kan kreve sletting av opplysningene dine hvis:

• Du protesterer mot bruk av personopplysningene dine (for eksempel du motsetter deg direkte markedsføring)

• Virksomheten behandler personopplysningene dine fordi du har gitt samtykke og du trekker tilbake samtykket

• Du er mindreårig og har brukt en digital tjeneste, slik som sosiale medier

• Det er ikke lenger er nødvendig å beholde opplysningene dine –formålet med opplysningene er oppnådd

• Opplysningene har blitt innhentet ulovlig

• Virksomheten har sletteplikt etter loven.

Rett til sletting - unntak

• Personopplysningene inngår i en ytring som er vernet

av ytrings- og informasjonsfriheten.

• Lagring er nødvendig for arkivering i allmenhetens

interesse, vitenskapelige eller historiske

forskningsformål eller statistiske formål

• Virksomheten har lagringsplikt etter lov (for eksempel

bokføringsplikt).

• Lagring er nødvendig for visse typer bruk innen

helsetjenesten

• Lagring er nødvendig for å fastsette, gjøre gjeldende

eller forsvare rettskrav.

«Rett til å bli glemt» og søkemotorer – dialog med elever

• Hva betyr «retten til å gli glemt»?

• Sletting v. avindeksering

• Hvordan ble retten til og hvem gjelder den?

• EU-domstolens dom, alle søkemotorer, fysiske

personer

• Har jeg en ubetinget rett til avindeksering?

• Nei, søkemotoren gjør en konkret vurdering

• Google etterkommer ønsker om fjerning i omtrent 40% av

tilfellene. Samme tall i Norge og resten av Europa.

Les mer om hvor mange forespørsler Google har mottatt,

nettadressene de har fjernet, hvem som sender inn

forespørsler, innholdet på nettstedene og nettadressene i disse

forespørslene

Søkemotoren gjør en konkret vurdering ved sletting/avindeksering –

dialog med elever

Hva vurderer søkemotoren?• Er søketreffet/informasjonen misvisende, irrelevant, feilaktig,

belastende?

• Er saken gammel?

• Er du en offentlig person?

• Gjelder dette et kriminelt forhold?

• Er dette knyttet til yrkesutøvelse?

• Inngår personopplysningene i en ytring som er vernet av ytrings- og

informasjonsfriheten (diskusjon om hva dette er for noe)

• Diskuter eksempler fra rapporten (lenke på forrige slide)

Hva synes du om vekten til disse momentene?

En aktuell sak – diskusjon med elever

• Datatilsynet har mottatt en klage fra Forbrukerrådet mot Grindr, en dating app der homofile er målgruppen. Forbrukerrådet har også klaget inn flere av selskapene som mottar data fra Grindr. Ifølge klagen deler denne annonseindustrien (adtech) data om brukernes legning og lokasjon ulovlig.

• Flere av selskapene som Forbrukerrådet klager på, holder til i USA, men de er trolig underlagt GDPR.

• Selskapene øremerker brukerne, slik at de kan spores på tvers av plattformer. Informasjonen settes sammen bit for bit til selskapene har et komplett blide av hva vi liker, hva vi kjøper, vår fysiske og psykiske helse, seksuelle legning og vårt politiske ståsted

• Din «digitale tvilling» selges til høystbydende på digitale reklamebørser, hvor vinnerne får vise deg målrettet reklame. Det er tilnærmet umulig å få oversikt over hvem som vet hva, og hvordan informasjon blir benyttet.

En vekker?

Grindr har et begrenset antall brukere, men det

potensielle omfanget av brudd på personvern er

betydelig

Facebook gjør mest sannsynlig det samme og

brukes av 74% nordmenn HVER DAG…

Er det greit?

Tusen takk for oppmerksomheten!

©Pierre Kroll