• No results found

Sensitive personopplysninger, jf. personopplysningsloven § 2 nr. 8

N/A
N/A
Info
Nedlasting
Protected

Academic year: 2022

Share "Sensitive personopplysninger, jf. personopplysningsloven § 2 nr. 8"

Copied!
71
0
0

Laster.... (Se fulltekst nå)

Last ned nå ( 71 sider )

Fulltekst

(1)

Sensitive personopplysninger, jf.

personopplysningsloven § 2 nr. 8

Med fokus på lokasjonsdata fra smarttelefoner og mobilapplikasjoner

Kandidatnummer: 774 Leveringsfrist: 25.4.2016 Antall ord: 17725

(2)

i

Innholdsfortegnelse

1 INNLEDNING ... 1

1.1 Tema... 1

1.2 Problemstilling ... 2

1.3 Den videre fremstillingen... 2

1.4 Historikk... 3

2 METODE ... 4

2.1 Rettskildebildet ... 4

2.1.1 Forvaltningspraksis ... 4

2.1.2 Rettsteori ... 5

2.1.3 Internasjonale rettskilder ... 6

2.1.4 Generelt om rettskildebruken og IKT ... 8

3 LOKASJONSDATA OG PERSONOPPLYSNINGER ... 9

3.1 De faktiske forutsetninger ... 9

3.1.1 Lokasjonsdata ... 9

3.1.2 Smarttelefoner og apper ... 10

3.1.3 Koblingsmuligheter ... 11

3.2 Er lokasjonsdata personopplysninger? ... 12

3.2.1 Er en slik løsning i overensstemmelse med norsk rett? ... 13

3.2.2 Datasubjektet ... 13

3.2.3 Når blir omgivelsene personopplysninger? ... 13

3.2.4 Hvilke tilfeller faller utenfor lovens rekkevidde? ... 14

3.3 Konklusjon og oppgavens videre forutsetninger ... 15

4 FORHOLD SOM ER RELEVANTE FOR SKILLET MELLOM SENSITIVE OG IKKE SENSITIVE PERSONOPPLYSNINGER, JF. PERSONOPPLYSNINGSLOVEN § 2 NR. 8 ... 16

4.1 Personopplysningsloven § 2 nr. 8 ... 16

4.1.1 «Opplysning»... 17

4.1.2 «Opplysningstype» og «Opplysningsverdi» ... 17

4.1.3 Hvilket krav til forbindelse ligger i «opplysninger om», jf. § 2 nr. 8... 22

4.1.4 Forhåndsvurdering av behandlingen som helhet ... 26

4.1.5 Konklusjon... 30

4.2 De forskjellige kategoriene i personopplysningsloven § 2 nr. 8 bokstav a-e ... 30

4.2.1 Forhold relatert til kulturell bakgrunn eller livsoppfatning ... 31

(3)

ii

4.2.2 Opplysninger om strafferettslige forhold ... 32

4.2.3 Helseforhold ... 33

4.2.4 Seksuelle forhold ... 34

4.2.5 Medlemskap i fagforeninger ... 34

4.3 Formålsbestemmelsen og menneskerettigheter ... 35

4.3.1 Personopplysningsloven § 1 ... 35

4.3.2 Sensitivitetsprinsippet ... 36

4.4 Formålsangivelsen og forhåndsvurderingen av sensitive personopplysninger ... 40

4.4.1 Noen faktiske utviklingstrekk ... 40

4.4.2 Flere aktører ... 41

4.4.3 Rettspolitisk vurdering av formålsangivelsens betydning for lokasjonsdatabehandling ... 42

5 GENERELL SENSITIVITET ... 43

5.1 Generelt sensitive personopplysninger i norsk rett ... 43

5.2 Generelt sensitive personopplysninger i internasjonal rett ... 44

5.3 Andre muligheter for å særregulere teknologier/opplysninger ... 45

5.4 Kort om framtidsutsiktene for lokasjonsdata som generelt sensitiv opplysningskategori ... 45

6 HVORFOR BØR LOKASJONSDATA VÆRE GENERELT SENSITIV? ... 46

6.1 Lokasjonsdata og evnen til å avsløre sensitive personopplysninger ... 46

6.1.1 Tidsmomentet ... 47

6.2 Lokasjonsdata og grunnleggende personvernhensyn ... 48

6.2.1 Integritetsperspektivet og privatlivets sfære ... 48

6.2.2 Beslutningsperspektivet ... 49

6.2.3 Maktperspektivet ... 50

6.2.4 Det informasjonsstrukturelle perspektiv ... 51

6.3 Konklusjon ... 52

7 DEN NYE FORORDNINGEN ... 53

7.1 Sensitive personopplysninger ... 53

7.2 Lokasjonsdata... 54

7.3 Forholdet til profiling ... 55

8 AVSLUTNING ... 56

LITTERATURLISTE ... 58

(4)

1

1 Innledning

1.1 Tema

Personvernet har siden introduksjonen av informasjonsteknologien vært et nødvendig sty- ringsredskap for avveiningen av teknologiens muligheter mot samfunnspolitiske krav. Av de senere teknologiske nyvinninger har særlig smarttelefoner og mobilapplikasjoner synliggjort nødvendigheten av at personvernet spiller sin rolle. Til tross for at mennesket har beveget seg i all tid, og selv om mobile teknologier lenge har vært på markedet, er rettens paradigme at mennesket er stasjonært.1 Det er i stor grad oversett at våre bevegelser i seg selv genererer opplysninger, og at disse opplysningene etterhvert blir flere, nå som smarttelefoner er alle- mannseie. Opplysninger fra smarttelefoner vil i mange tilfeller også være «personopplysning- er» som definert i personopplysningsloven2 (pol). § 2 nr. 1.

Opplysninger om hvor folk oppholder seg rent geografisk, kaller jeg lokasjonsdata.3 Behand- ling av slike opplysninger har vist seg å være attraktivt for markedsførere, og andre aktører som har en interesse av å vite mer om brukerne.4 Baksiden er at lokasjonsdata også har en tendens til å si noe om svært private forhold, også slike som loven kaller sensitive.5 Utgangs- punktet er derimot at lokasjonsdata ikke er en sensitiv personopplysning.

Sensitive personopplysninger forekommer når det registreres opplysninger som knytter gene- relt sensitive forhold etter pol. § 2 nr. 8 bokstav a-e til en fysisk person. For ikke-sensitive personopplysninger gjelder lovens øvrige bestemmelser. Bestemmelsen oppstiller således et grunnleggende skille mellom behandling av ikke-sensitive og sensitive personopplysninger, med de konsekvenser det får.

Tradisjonelt har man forhåndsvurdert hvorvidt det vil forekomme sensitive personopplys- ninger under den forestående persondatabehandlingen. I vurderingen av den forventede fore-

1 Blume (2013) s. 192.

2 LOV-2000-04-14-31, «personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson».

3 Begrepet gis et nærmere innhold i kapittel 3.

4 Behandling av personopplysninger innebærer «enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter» jf. pol § 2 nr. 2

5 En sensitiv personopplysning er en opplysning om forholdene som oppstilles i pol. § 2 nr. 8

(5)

2

komsten av slike opplysninger er det nærliggende å ta utgangspunkt i blant annet formålet ved behandlingen og hvem som behandler opplysningene.6 Dagens behandling av personopplys- ninger fra smarttelefoner er derimot preget av stor ugjennomsiktighet, og det er usikkert hvil- ke opplysninger som samles inn, formålet ved innsamlingen, og hva de brukes til.7 Disse ut- viklingstrekkene gjør det mer utfordrende enn noensinne å forutsi hvorvidt det behandles sen- sitive eller ikke-sensitive personopplysninger.

Ikke minst gjelder dette for lokasjonsdata fra smarttelefoner, som gjerne viser seg å bli mer sensitive over tid og i kombinasjon med andre opplysninger.

1.2 Problemstilling

Oppgavens forutsetning er at det forekommer sensitive personopplysninger under dagens be- handling av lokasjonsdata. Likevel er ikke lokasjonsdata underlagt et lignende vern som andre sensitive personopplysninger. Motivasjonen har vært å undersøke dette forholdet nærmere.

Den overordnede problemstillingen er dermed om dagens behandling av «lokasjonsdata» pas- ser inn under personopplysningsloven § 2 nr. 8, og det skillet som oppstilles mellom sensitive og ikke-sensitive personopplysninger.

Personopplysningsloven § 2 nr. 8 oppstiller i hovedsak to vilkår. For det første, må det fore- ligge en «personopplysning», hvilket innebærer at den kan knyttes til en enkeltperson, jf. § 2 nr. 1. For det andre må den være en «opplysning om» de forskjellige kategoriene i § 2 nr. 8 bokstav a-e.

1.3 Den videre fremstillingen

Hvilket innhold oppgaven legger i «lokasjonsdata», og hvorvidt det er en personopplysning undersøkes i kapittel 3. Under kapittel 4 vurderes relevante forhold for skillet mellom sensiti- ve og ikke sensitive personopplysninger, jf. § 2 nr. 8 og hvordan disse forholdene får anven- delse på lokasjonsdata. Hvorvidt lokasjonsdata er, eller bør være en sensitiv personopplys- ning, fremgår av henholdsvis kapittel 5 og 6, før det avslutningsvis gis noen bemerkninger om den kommende persondataforordningen i punkt 7.

6 Formålet med behandlingen og hvilke hjelpemidler som skal benyttes bestemmes av «behandlingsansvarli- ge», jf. pol § 2 nr. 4.

7 Blume (2013) s. 173.

(6)

3

Sensitiviteten av opplysninger om din geografiske posisjon, er verken regulert i loven eller behandlet i norsk praksis.8 Dette påvirker selvfølgelig en eventuell ambisjon om å skrive en rettsavklarende oppgave.

1.4 Historikk

Tanken om å gi enkelte opplysninger særlig vern ble til under lovforarbeidene til personregis- terloven.9 Selv om mange opplysninger i konkrete tilfeller kan være sensitive, reiste lovutval- get spørsmål om noen opplysninger representerte en særlig integritetskrenkelsesrisiko og så- ledes måtte regnes for å være generelt sensitive.10 Dette måtte i så tilfelle gjelde opplysninger som, hvis de ble kjent, «ville representere en særlig belastning for vedkommende eller som ellers i særlig grad oppfattes som private».11 I forarbeidene til personregisterloven klassifiser- te dermed lovgiver et utvalg opplysninger som sensitive, på bakgrunn av en antakelse om hva befolkningen generelt ønsket å holde skjult for uvedkomne. En slik abstrakt forhåndsinnde- ling, har medført at myndighetenes og befolkningens oppfatning av hva som konstituerer sen- sitive personopplysninger, ikke alltid er i overensstemmelse.12 Det innebærer at opplysninger som for den enkelte oppfattes som sensitivt, ikke automatisk faller innunder lovens definisjon.

Tanken om å gi et særlig vern til opplysningskategorier som generelt sett nesten alltid ville være sensitive, ble inntatt i Europarådskonvensjonen (81-konvensjonen)13 og senere i EU’s personverndirektiv (95-direktivet).14 Ved Norges implementering av direktivet videreførte man rettstilstanden fra personregisterloven, men tilpasset seg opplysningskategoriene fra di- rektivet.15

8 Under arbeidet med oppgaven ble Datatilsynet kontaktet, de kunne ikke vise til noe praksis som uttrykkelig tok stilling til spørsmålet. Seneste kontakt, den 12.4.16.

9 LOV-1978-06-09-48.

10 NOU 1975:10 s. 56.

11 ibid.

12 For eksempel er opplysninger om medlemskap i fagforeninger inntatt, en opplysningskategori som ikke generelt har vært ansett for å være sensitiv i Norge. Motsatt viste en undersøkelse fra 2005 at 80 % anså opplysninger om privatøkonomi som sensitive, jf. Scahrtum og Bygrave (2011) s. 129-130.

13 Europarådets konvensjon av 28. januar 1981 nr. 108.

14 EUs direktiv 95/46/EF av 24. oktober 1995.

15 I personregisterloven var opplysninger om familieforhold ansett som sensitive. Denne kategorien ble byttet ut med opplysninger om tilslutning til fagforeninger i tråd med 95-direktivet art. 8 (1).

(7)

4

2 Metode

Oppgaven har som formål å undersøke et spesifikt spørsmål i dybden. En slik tilnærming gir ikke plass til lengre prinsipielle redegjørelser. Personvernprinsippene, som utledes av for- målsbestemmelsen og menneskerettighetene,16 vil således i stor grad vurderes under spørsmål om deres relevans for sensitivitetsvurderingen, i motsetning til lengre redegjørelser av deres materielle innhold.

Oppgaven er en juridisk avhandling og den juridiske metode er utgangspunktet for vurde- ringene. Likevel behandles innslag av informatiske problemstillinger. De tverrfaglige innslag er gjort for å reflektere at personopplysningsvernet er en integrert del av samfunnet, især in- formatikkens område. Således bør de rettslige regler bli forsøkt forstått i den sammenheng.17

2.1 Rettskildebildet

Personopplysningsloven er gjort teknologinøytral,18 og forarbeidene legger opp til at lovens regler skal kunne akkomodere i møte med ny teknologi.19 For eksempel reguleres også dagens behandling av lokasjonsdata av loven, såfremt det er «personopplysninger», jf. § 2 nr.1. Lo- ven gir ingen nærmere bestemmelser om lokasjonsdata, og besvarelsen av oppgavens problemstilling må i tillegg støtte seg til rettskildene som gjennomgås i det følgende.

2.1.1 Forvaltningspraksis

Forvaltningspraksis er en relevant rettskilde20 og har i alle tilfelle stor betydning for forvalt- ningen selv.21 Innenfor persondatarettens område finnes det holdepunkter for å tillegge retts- kilden vekt utover dette. For eksempel fremheves «administrativ praksis» i forarbeidene som

16 Ettersom vi befinner oss på personvernområdet vil Grunnloven § 102 og Den europeiske menneskerettskonvensjonen (EMK) art. 8 spille en rolle.

17 Sml. Blume (2014) s. 282.

18 Med unntak av “kameraovervåkning”, jf. pol. kapitel VII.

19 Jf. Ot.prp. nr. 92 (1998-99) s. 100.

20 Eckhoffs klassiske rettskildelære legges her til grunn for relevansbegrepet. Se for eksempel Eckhoff (1997) s. 23 flg.

21 Jf. Boe (2010) s. 324.

(8)

5

særlig relevante rettskilder, i tillegg til rettsteori.22 I fravær av annen rettspraksis er det natur- lig at «administrativ praksis» blir en vektig rettskilde.23 Dette gjelder særlig for nærværende tema og personopplysningsloven § 2 nr. 8, der Nemndas begrunnelse hittil har utgjort den høyeste autorative fortolkningen.24

2.1.1.1 Datatilsynet (også Tilsynet) og Personvernnemnda (også Nemnda)

Av forvaltningspraksis er det Datatilsynet som i første omgang bestemmer innholdet i § 2 nr.

8. Dette følger av Tilsynets kontrollfunksjon med loven, jf. § 42 (3) nr. 3. Datatilsynet er et uavhengig forvaltningsorgan, jf. § 42 (1), som blant annet er gitt skjønnsmyndighet til å gjøre behandling av ikke-sensitive personopplysninger konsesjonspliktig, jf. § 33 (2); en rettsfølge som vanligvis inntrer ved behandling av sensitive personopplysninger, jf. § 33 (1).

I de tilfeller Datatilsynet fatter avgjørelser i medhold av § 9, som omhandler behandlingsvil- kår for sensitive personopplysninger, kan disse påklages til Nemnda, jf. § 42 (4). Dertil kan Nemnda, som overordnet organ, også overprøve om behandlingen innebærer sensitive per- sonopplysninger, jf. § 2 nr. 8.

Innenfor nærværende rettsområde styrkes den generelle vekten av forvaltningspraksis som følge av at både Datatilsynet og Personvernnemnda besitter betydelig spesialkompetanse på området.25

2.1.2 Rettsteori

Ovenfor er rettsteori fremhevet som en relevant rettskilde.26

Det skal i det følgende redegjøres kort for en teoretisk fremstilling som har vært inspirasjons- kilde for flere av de faktiske forutsetninger oppgaven bygger på.

22 Ot.prp. nr. 92 (1998-99) s. 101. Se punkt 2.1.2.

23 Jf. Boe (2010) s. 326.

24 For eksempel Nemndas tolkning av pol. § 2 nr. 8 i PVN 2005-12.

25 Jf. for eksempel Rt-2013-143, avs. 99; mindretallet baserer resultatet sitt på blant annet «forvaltningspraksis fra de forvaltningsorgan som har spesialkompetanse på området».

26 Se fotnote 22

(9)

6

Schartum, Hannemyr og Tranvik (Schartum 2014) skrev en rapport om «Use of personal lo- cationdata by the police» med en grundig fremstilling av lokasjonsbaserte teknologiene og en påfølgende juridisk analyse.27 Konklusjonen var at «personal location data should be regarded as generally sensitive by its own».28 Boken må dermed klassifiseres som rettspolitisk, og re- sultatet kan ikke tillegges avgjørende vekt under bedømmelsen av gjeldende rett. Forfatternes konklusjon knytter seg heller ikke spesifikt til 95-direktivet art. 8 (1), jf. (2) (tilsvarende pol. § 2 nr. 8),29 men viser til at det også finnes andre måter å særregulere «location data».

Derimot er det flere metodiske grep som demonstrer hvordan lokasjonsdata bør angripes ved anvendelse av gjeldende rett. For eksempel følges forfatternes anbefaling om å drøfte loka- sjonsdata som en opplysning, på bekostning av å være teknologispesifikk. Videre legges det til grunn at vi lever i en informasjonsinfrastruktur der all data som utgangspunkt kan kobles.30 I sin omtale av «location data» mener forfatterne at rettsanvender bør gis betydelig frihet når slike opplysninger anvendes på dagens lovgivning. Dette følges ikke fullt ut, men rettskilde- bruken vil være noe «friere» enn normalt innen rettsdogmatikken, se for eksempel punkt 4.1.4.2.

I likhet med Schartum (2014) setter oppgaven personvernet i forgrunnen – hvilket ikke impli- serer at det skal gis forrang i møte med andre hensyn, men det øker sjansen for at de person- vernrettslige bemerkningene får en synlig effekt.31

2.1.3 Internasjonale rettskilder

Personopplysningsloven er en implementering av våre internasjonale forpliktelser, herunder 95-direktivet32 og 81-konvensjonen.33 Fortolkningen av de internasjonale avtalene vil således være av betydning for tolkningen av lovens nærmere bestemmelser.34 Oppgaven tar utgangs-

27 Boken har delvis basis i nasjonale rapporter i forbindelse med RESPECT prosjektet; «RFID, Geolocation and Internet of Things», og delvis basis i rapporter fra nasjonale Interpol-kontorer og deres besvarelser.

Forskningsprosjektet var underlagt EU og FP7, jf. (Nettside 1)

28 Schartum (2014) s. 132, at fremstillingen er ment rettspolitisk følger også av introduksjonen på s. 127.

29 Ibid. s. 131-132.

30 Undersøkes nærmere under punkt 3.1.3.

31 Schartum (2014) s. 125.

32 Personopplysningsloven gjennomfører Europaparlaments- og rådsdirektiv 95/46/EF, som er EØS-relevant (jf. EØS-komiteens beslutning 83/99 av 25. juni 1999 og St.prp. nr. 34 (1999-2000))

33 Ratifisert av Norge 20.2.1984, jf. (Nettside 2)

34 Bing (2014) s.131.

(10)

7

punkt i personopplysningsloven, men suppleres av de internasjonale traktatene ved avklaring- en av spørsmål som ikke kan løses på bakgrunn av loven alene.

2.1.3.1 The Article 29 Data Protection Working Party (WP)

WP utleder sin kompetanse av 95-direktivet art. 29. Det er et rådgivende organ for person- vernrettslige spørsmål i EU, og består av representanter fra alle medlemstatene. Norge er også representert ved Datatilsynet, som formelt sett kun har observatørstatus.35

WP gir veiledning om anvendelsen av 95-direktivet. Disse uttalelsene vil være viktige retts- kilder, både ved fravær av og ved utfyllelse av gjeldende regler. For eksempel ble WPs utta- lelse om begrepet «personal data» lagt til grunn da Integritetsutvalget skulle fastlegge innhol- det i det nasjonale tvillingbegrepet «personopplysninger».36

For den konkrete bedømmelsen av lokasjonsdata fra smarttelefoner37 og mobilapplikasjoner (apper),38 har WP gitt en rekke relevante uttalelser som vil være viktige rettskilder i den føl- gende fremstillingen.39

2.1.3.2 Ny forordning og Europakommisjonen

Den 25. januar 2012 presenterte Europakommisjonen en reform for modernisering av EUs persondatarett,40 med hjemmel i art. 16 i EU-traktaten.41 Rettsakten erstatter 95-direktivet og som EØS-relevant vil det få virkninger for det norske regelverket. Teksten er formelt vedtatt

35 NOU 2009:1 s. 59

36 Ibid. s. 46.

37 Som definert av WP; “Smart mobile devices that can connect with the Internet and are equipped with loca- tion sensitive sensors such as GPS”, jf. WP 185 s. 3.

38 «Apper» er et dataprogram designet for å utføre spesifikke oppgaver for diverse smart-teknologi slik som smarttelefon, nettbrett og TV. Apper kan benyttes til forskjellige formål, deriblant lokasjonsbaserte tjenester jf. WP 202 s. 4.

39 Opinion 02/2013 «on apps on smart devices» (WP 202)

Opinion 13/2011 «on Geolocation services on smart mobile devices» (WP 185) Opinion 4/2007 «on the concept of personal data» (WP 136)

Advice paper on special categories of data (“sensitive data”) WP (2011)

40 COM(2012) 11 final.

41 Traktaten om den europeiske unions virkemåte (TEUV).

(11)

8

og skal anvendes fra 2018.42 Med mindre noe annet spesifiseres tar oppgaven utgangspunkt i teksten etter Rådets politiske enighet den 12.2.2016.43

2.1.4 Generelt om rettskildebruken og IKT

Siden digitaliseringen av samfunnet begynte har spørsmålene meldt seg om hvordan skriftlig formulerte regler skal kunne anvendes under datamaskinbaserte avgjørelser.44 Behovet for en lett håndterlig lovgivning som kan «oversettes» til programspråk i en datamaskin vil således alltid være et bakenforliggende hensyn.45

Kravet om firkantede lover står i et spenningsforhold til den juridiske skjønnsutøvelse, etter- som datamaskiner (foreløpig) mangler den sunne fornuften, som vi mennesker er utstyrt med.46 Slik Schartum påpeker, kan dette medføre en rigid rettsanvendelse som i noen tilfeller oppleves «urettferdig».47 Således er det desto mer nødvendig med samarbeid mellom juristen og informatikeren ved utviklingen av systemer – slik at de juridiske avveiningene implemen- teres i risikovurderinger, kontrollmekanismer og systemets design.48 Utfordringen for juristen i en slik samhandling er å kunne tolke rettsregler slik at de «samsvarer med egenskaper ved informasjonsteknologien».49 Således vier oppgaven plass til å beskrive dagens informatiske virkelighet, i den utstrekning det er relevant for å anvende jussen.

2.1.4.1 Litteraturen innen rettsinformatikken

I den grad det har vært skrevet om relatert tematikk, så har det kommet fra senteret for rettsin- formatikk med Schartum og Bygrave og nå avdøde Bing.

42 Member of the European Parliament (MEP) godkjente teksten 14.4.2016, jf. Europaparlamentets pressemel- ding (2016).

43 2012/0011 (COD) (2016), refereres som: GDPR.

44 Boe (2012) s. 428.

45 Synliggjort av Bing da han introduserte begrepet «automatiseringsvennlig lovgivning» mot slutten av 70- tallet, se Bing (1977).

46 Boe (2012) s. 430.

47 Schartum (2008) s. 214.

48 Sml. Boe (2012) s. 429.

Personvern som implementeres i systemet kalles «privacy by design», se mer i punkt 4.1.2.2.1.

49 Schartum (2008) s. 225.

(12)

9

I oppgaven står vi ovenfor en lignende problemstilling som Bing gjør i sin artikkel om overfø- ring av personopplysninger til utlandet.50 I begge fremstillingene undersøkes semantikken i persondataretten, og ikke behandlingsvilkårene. Som Bing påpeker, er tolkningen av enkelte begreper i personopplysningsloven, i mindre grad representert i rettskildene enn vilkårene for selve behandlingen.51 Dermed vil fastleggingen av det nærmere innholdet i enkeltbegreper måtte bero på ordlydstolkninger, med ulik grad av autorativ forankring.

3 Lokasjonsdata og personopplysninger

Oppgaven oppstiller ikke et strengt skille mellom teknologiene, eller de forskjellige aktørene som behandler våre personopplysninger. Det vesentlige er hvilke opplysninger som kan for- ventes å vokse frem, etter hvert som våre lokasjonsdata bytter hånd i «overvåkningsøkonomi- ens».52 Særlig rettes fokuset mot apper og deres katalyserende rolle for innsamlingen av loka- liseringsdata fra smarttelefoner. Til tross for at oppgaven kunne vært behandlet som en ren teoretisk problemstilling, inkluderes noen faktiske forhold som underbygger at problemstil- lingen i aller høyeste grad er reell.

De forskjellige behandlingene av personopplysninger kan variere stort rent faktisk, i sitt avta- lemessige innhold, og hva gjelder vilkår. Derfor fremheves i stedet noen tendenser som går igjen hos forskjellige aktører, og som anses å være representativt for en rekke tjenester i dag.53

3.1 De faktiske forutsetninger 3.1.1 Lokasjonsdata

Lokasjonsdata er i sin alminnelighet en opplysning om hvor du er til et bestemt tidspunkt.54 Med lokasjonsdata innsamlet fra smarttelefoner kan man registrere en persons posisjon ned på

50 Bing (2014) s. 131.

51 Ibid.

52 Begrepet benyttes av både Datatilsynet og Teknologirådet, jf. (Nettside 3)

53 Sml. Schartum (2014) s. 43.

54 Om teknologiene som muliggjør lokaliseringen se Schartum (2014) s. 17-35, og WP 185 s. 3-6. Blant tekno- logiene er GPS, GSM, og Wifi/WLan, men smarttelefoner og apper benytter også WLAN, RFID, Blåtann og iBeacons m.fl. for økt presisjon.

(13)

10

meternivå,55 forutsatt at eieren er på samme sted som telefonen.56 I tillegg til operativsyste- mene (for eksempel iOS fra Apple og Android fra Google) kan også apper få tilgang til enhe- tens lokasjon,57 hvilket representerer en betydelig spredningsrisiko. Ved registrering av fire eller flere punkter kan man unikt identifisere mobilens eier, med høy grad av sannsynlighet.58 Eventuelt kan brukeren identifiseres ved kobling av lokasjonsdata og annen informasjon.59 Ved gjennomføringen av EUs direktiv om kommunikasjonsvern (2002/58/EF) ble det bestemt at de nærmere regler om «lokaliseringsdata» skulle gis ved forskrift,60 dette ble gitt under Ekomforskriften § 7-1 (2) tredje punktum som oppstiller definisjonen; «[m]ed lokaliserings- data menes data som angir den geografiske plasseringen av terminalutstyr». Fortalen i EUs direktiv avsnitt 14 legger også opp til en svært vid definisjon. Her inkluderes alle data som sier noe om den geografiske plasseringen til et utstyr, inkludert tid for plasseringen, og beve- gelsene til enheten. Dette er forenlig med hvordan oppgaven benytter begrepet «lokasjonsda- ta». Den endelige begrepsavklaringen av «lokasjonsdata» utdypes i punkt 3.3, først skal be- grepet tillegges ytterligere innhold.

3.1.2 Smarttelefoner og apper

Ved nedlasting og bruk av apper samtykker ofte brukeren til behandlingen av sine opplys- ninger, inklusiv lokasjonsdata, uten å være innforstått med avtalevilkårene.61 Således er det opprettet et behandlingsgrunnlag for lokasjonsdata, jf. § 8 (1), jf. § 11.

Av de 110 mest populære appene deler 47 % av iOS appene, og 33 % av Android appene bru- keren sine lokasjonsdata, inklusiv koordinater, videre til tredjeparter.62 Tatt i betraktning at gjennomsnittsbrukeren har lastet ned 37 apper,63 er sannsynligheten stor for at den jevne bru-

55 GPS: Kapland (2005) s. 375. WP opererer med 4-15 meter, jf. WP 185 s. 5. GPS kombineres med mobilmaster for såkalt «triangulering» og med øvrige lokasjonsteknologier for ytterligere presisjon jf. ibid.

56 Marr (2015) s. 73.

67 % av nordmenn drar ikke hjemmefra uten mobilen jf. Datatilsynet (2013) s. 21.

57 I Datatilsynets undersøkelse av 20 norske og 20 utenlandske apper krevde ca. halvparten tilgang til

«detaljert» lokasjonsdata jf. Datatilsynet (2011) s. 14. At apper ofte krever lokalisering av en person var en av motivasjonsfaktorene bak WP’s uttalelse om apper, jf. Schartum (2014) s. 104.

58 Montjoye m.fl. (2013).

59 For eksempel lokasjonsdata fra 2 forskjellige apper jf. Riederer m.fl. (2016).

60 Ot.prp.nr.58 (2002-2003) s. 71.

61 Kun 14 % oppgir at de leser gjennom avtalen jf. Datatilsynet (2013) s. 13.

62 Zang m.fl. (2015).

63 WP 202 s. 2.

(14)

11

kers lokasjon er eksponert. Brukerne kan følges på tvers av tjenester, enheter og systemer gjennom innloggingsløsninger,64 som gir grunnlag for mer omfattende personprofiler.65 WP skriver at det er et svært uoversiktlig og fragmentert økosystem bak mobilapplikasjoner (app-økosystemet).66 Særlig fremheves at bransjen er preget av gjennomsiktighet. Brukerne er ikke bevisste på behandlingen av sine personopplysninger, blant annet som følge av ugyldige samtykkemekanismer. Videre er det en trend mot datamaksimalisme67 og elastisitet hva angår formålet ved databehandlingen.68

3.1.3 Koblingsmuligheter

Isolert sett trenger ikke lokasjonsdata å være identifiserende eller sensitiv,69 men med dagens databehandling kan lokasjonsdata kobles til et udefinert antall opplysninger og i ulik grad avdekke identitet og sensitive forhold.70 Et slikt syn understøttes også av Digital Sårbarhets- utvalget.71 De skriver at ved dagens muligheter for krysskobling av datasett, kan tidligere uskyldige opplysninger «være svært avslørende».72

Problemstillingen er på ingen måte ny innen elektronisk databehandling (EDB) og dukket opp allerede under lovforarbeidene til personregisterloven.73 Det er likevel grunn til å hevde at nåværende teknologi i enda større grad gir realiseringsmulighet for slike koblinger. Schartum (2014) uttrykker det slik: “Given the nature of current technology (…) there is no reason to place emphasis on the fact that systems/services/functions are formally distinct from each

64 Typisk et sosialt nettverk; 80 % av nordmenn var på slike nettverk i januar 2013, jf. Datatilsynet (2013) s.

10.

65 Jf. Datatilsynet (2016) s. 16.

For eksempel Schibsted og deres SPiD-tjeneste, lokasjonsdata fremheves som den viktigste opplysningen de samler inn jf. (Nettside 4)

Personopplysningsloven § 21 stiller krav til bruk av slike profiler.

66 WP 202 s. 27.

67 Å samle inn mest mulig data

68 WP 202 s. 27.

69 Feks: 48.8993433 ° N, 15.6857319 ° E.

70 For eksempel GPS koordinater som kobles med adressen til et sykehus, jf. Schartum (2014) s. 127.

71 NOU 2015:13 digital sårbarhet

72 Ibid. s. 45.

73 «Muligheten til å sammenholde en stor mengde allment tilgjengelige persondata med hverandre ved hjelp av EDB kan føre til at opplysninger som isolert er uskyldige, blir sensitive» jf. NOU 1975:10 s. 87.

(15)

12

other”.74 En mer realistisk tilnærming er dermed å ta utgangspunkt i at informasjon sammen- kobles. Dette kaller forfatterne for et «informasjonsstrukturelt» perspektiv.

Det presumeres altså at lokasjonsdata, på et eller annet tidspunkt, nærmest alltid kobles med annen informasjon. Følgelig vil det være vanskelig å si noe sikkert om sensitiviteten av slike kombinasjoner under en forhåndsvurdering. Problemstillingen behandles gjennomgående fra kapittel 4.

3.2 Er lokasjonsdata personopplysninger?

Personopplysningsbegrepet omfatter også indirekte identifiserende opplysninger,75 og loka- sjonsdata faller inn under begrepet såfremt det er en personopplysning.76

For den konkrete bedømmelsen av lokasjonsdata fra smarttelefoner og apper, vises det til utta- lelsene WP 136, WP 185 og WP 202.

Personopplysningsbegrepet har et svært vidt nedslagsfelt. WP skriver i generell form at; “in- formation can be considered to “relate” to an individual when it is about that individual”.77 Med andre ord vil informasjon som sier hvor en person er, i hvilken hastighet vedkommende beveger seg og til hvilken tid – klart handle om personen.78

For identifikasjonsprosessen heter det i WP 185 at smarttelefonen tillater «tracking» i den grad at brukeren blir «“singled out” even if his/her real name is not known».79 På bakgrunn av den samlede identifiseringsrisikoen var konklusjonen at «[l]ocation data from smart mobile devices are personal data».80 Konklusjonen legges til grunn for oppgaven og forståelsen av

«personopplysningsbegrepet», jf. § 2 nr. 1.

74 Schartum (2014) s. 128.

75 Ot.prp.nr.92 (1998-1999) s. 101.

76 95-direktivet gjelder; “in every case where personal data are being processed as a result of the processing of location data.” Jf. (WP 185) s. 7.

77 WP 136 s. 10.

78 Schartum (2014) s. 109.

79 WP 185 s. 19 det fremheves særlig at «smart mobile devices» spores under formål som «behavioural advertising».

80 WP 185 s. 20 premiss 6.1 punkt 1. Se også NOU 2015:13 s. 46. Rekkevidden av WP 185 begrenser seg i utgangspunktet til de nevnte teknologiene (GPS, GSM, og Wi-Fi), uten at det kommer på spissen i denne oppgaven.

WP 202 nevner eksplisitt «Location» som en personopplysning med potensielt store konsekvenser for personvernet, jf. s. 8.

(16)

13

3.2.1 Er en slik løsning i overensstemmelse med norsk rett?

Hvorvidt lokaliseringsdata er personopplysninger har vært oppe for Høyesterett ved en anled- ning. I Rt-2013-143 kom Høyesterett enstemmig frem til at flåtestyring, som innebar bruk av GPS for å loggføre posisjonen til en yrkessjåfør, var omfattet av personopplysningsloven.81 Det ble vist til at personopplysningsloven ikke stiller nærmere krav til «opplysningens art».82 Således er det ingen norsk rettspraksis som stenger fra å legge WP’s konklusjon til grunn.

3.2.2 Datasubjektet

WP (185) oppretter en klar forbindelse mellom smarttelefonen og eieren (datasubjektet). På side 9 heter det: “Smart mobile devices are inextricably linked to natural persons. There is usually direct and indirect identifyability”.83

Begrepet «datasubjekt» benyttes i oppgaven om det digitale speilbildet av en person. En vik- tig observasjon er at slutninger om datasubjektet ikke nødvendigvis er i overensstemmelse med virkeligheten. Med andre ord er det ingen nødvendighet at den fysiske personen og smarttelefonen faktisk er på samme sted. For eksempel kan den ha blitt stjålet. I ytterste kon- sekvens kan den frastjålne smarttelefonen kort tid etterpå observeres på et åsted for alvorlig kriminalitet. I slike tilfeller identifiseres likevel smarttelefonen og datasubjektet, som igjen kan få rettslige følger for den fysiske personen (eieren). Derfor må alle opplysninger om et datasubjekt som er koblet til en identifiserbar person regnes som, og underlegges samme be- skyttelse, som en personopplysning.

3.2.3 Når blir omgivelsene personopplysninger?

Selv kombinasjon av flere anonymiseringsteknikker, gjør det i dag vanskelig å hindre identifikasjon jf. WP 216 s. 23-24.

81 Dissensen dreide seg ikke om hvorvidt personopplysningsloven kom til anvendelse.

82 Jf. premiss 39 og 40.

83 WP 185 s. 9.

(17)

14

Videre må med foretas en vurdering av hvilke opplysninger fra omgivelsene som er relevante personopplysninger. Som et eksempel på generell stedsinformasjon som ikke kan knyttes til personen, nevnes historiske data om en turistattraksjon.84

Schartum (2014) skriver at når datasubjektets identitet er etablert med tilstrekkelig sikkerhet, vil mye av informasjon fra vedkommendes omgivelser være knyttet til henne eller han.85 En slik tolkning finnes det også holdepunkter for i Lindqvist-saken86 der ECJ uttalte at: “The term ‘personal data’ undoubtedly covers the name of a person in conjunction with his tele- phone number or information about his working conditions or hobbies”.87 Altså der det er en forbindelse mellom identifikatoren (navn) og opplysningene (arbeidsforhold eller hobbyer), vil sistnevnte også være personopplysninger.

Anvendt på lokasjonsdata vil adressen til et sykehus, kirke, rusklinikk o.l. være en personopp- lysning, så snart det kobles opp mot en person. I informasjonsstrukturen forutsettes det at det- te gjøres automatisk, jf. punk 3.1.3.

3.2.4 Hvilke tilfeller faller utenfor lovens rekkevidde?

En app som loggfører joggeturer kan tenkes å falle utenfor loven, såfremt dataene utelukken- de benyttes til personlige formål, jf. personopplysningsloven § 3 (2). Dette gjelder kun i den utstrekning ingen tjenesteleverandører behandler lokasjonsdatasettet.88

En interessant vinkling som presenteres i Schartum (2014) er at dagens teknologi kan gjøre brukeren til behandlingsansvarlig, eller med andre ord; «den som bestemmer formålet», jf. § 2 nr. 4. Under en slik vinkling er tjenesteleverandøren den som prosesserer dataene, slik bruke- ren befaler. I følge forfatterne forutsetter dette at brukeren har kontroll over og kan flytte sine data mellom tjenesteleverandører, og muligens også sletting og korrigering av data.89 Behand- lingen kan da tenkes å være omfattet av det samme unntaket som joggetur-eksempelet.

84 Schartum (2014) s. 109.

85 Ibid. s. 108.

86 Bodil Lindqvist v Aklagarkammaren i Jonkoping, ECJ (2003).

87 Ibid. avsnitt 24.

88 Schartum (2014) s. 107, fotnote 135.

89 Ibid. s. 107.

(18)

15

Etter min mening kan det bli høyaktuelt å forfølge dette perspektivet ved innførselen av den nye forordningen, som gir løfter om å innføre flere slike brukerrettigheter. 90

3.3 Konklusjon og oppgavens videre forutsetninger

Gjennomgangen indikerer at det behandles store mengder detaljert lokasjonsdata om en bety- delig brukergruppe (også norske), hvorav brukerdataen (i deres uvitenhet) kan sammenstilles med annen data for å avsløre identitet og sensitive forhold. Dette er de faktiske forutsetninger for den teknologiske virkeligheten som skal subsumeres under rettsreglene. Når oppgaven henviser til «dagens behandling av lokasjonsdata», eller «dagens lokasjonsdatabehandling», vises det til de ovennevnte bakenforliggende forholdene.

For den videre besvarelsen utvides det konkrete begrepet «lokasjonsdata» til å ha følgende innhold: «Bevegelser, tid- og stedfesting av identifiserbar person, på bakgrunn av opplysning- er fra smarttelefoner og apper».

Den rettslige forutsetningen er at slike lokasjonsdata, med tilhørende relevante omgivelser, er personopplysninger, jf. § 2 nr. 1.

I den følgende delen vil innholdet i § 2 nr. 8 undersøkes nærmere. Underveis knyttes funnene opp mot lokasjonsdata.

90 Forordningen innfører blant annet retten til fri flytting av persondata mellom tjenesteleverandører jf. Euro- paparlamentets pressemelding (2016).

(19)

16

4 Forhold som er relevante for skillet mellom sensitive og ikke sensitive personopplysninger, jf. personopplysningsloven § 2 nr. 8

4.1 Personopplysningsloven § 2 nr. 8

Personopplysningsloven § 2 nr. 8 har følgende ordlyd;

- «sensitive personopplysninger: opplysninger om» forholdene i bokstav a-e.

Bestemmelsen forutsetter at opplysningen kan knyttes til en identifiserbar person, jf. «person- opplysning». Videre må det være en «opplysning om» en eller flere av de generelt sensitive opplysningskategoriene som oppstilles i § 2 nr. 8 litra a-e. I lovens forstand vil opplysninger om rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, helsefor- hold, seksuelle forhold, eller medlemskap i fagforeninger som utgangspunkt alltid være sensi- tive. Kategoriene svarer i all hovedsak til de som er inntatt i 95-direktivet artikkel 8 nr. 1.91 I tillegg er opplysninger om strafferettslige forhold inntatt i bokstav b,92 der opplysninger om hvorvidt du har vært mistenkt for en straffbar handling er inntatt som en særnorsk bestemmel- se.93

Bestemmelsen oppstiller med dette et grunnleggende skille mellom sensitive og ikke-sensitive personopplysninger.94 Hvis opplysningene er sensitive etter § 2 nr. 8, må blant annet tilleggs- vilkårene i § 9 være oppfylt før personopplysningene kan behandles.95 Videre utløses som utgangspunkt konsesjonsplikten, jf. § 33 (1).96 Med andre ord legger § 2 nr. 8 opp til en for-

91 Jf. Ot.prp.nr.92 (1998-1999) s. 104.

92 I tråd med 95-direktivet art. 8 (5).

93 Kvam anfører at 95-direktivet stiller krav til fullharmonisering jf. Kvam (2014) s. 59. Følgelig vil Norges tilføyelse av «mistanke» om straffbare forhold, konstituere et brudd på EØS-avtalen. Motsetningsvis har 95- direktivet blitt anført å være et «minimumsdirektiv», se fotnote 120.

Spørsmålet var oppe i PVN-2014-01. Nemnda minnet om begrensningene i sitt mandat, men bemerket også at man ikke kan komme trekkende med direktivsmotstrid «der lovgiver bevisst har anvendt sin

skjønnsmyndighet etter direktivet» jf. Finnanger-dommen Rt-2000-1811. Hvorvidt Norges tilføyelse er tillatt tar ikke oppgaven stilling til, dagens ordlyd legges til grunn som uttrykk for gjeldende rett.

94 Jakobsen (2009) s. 567.

95 Minimumskravet er at et vilkår i § 8 er oppfylt og et av vilkårene i § 9 (1) litra a til h er oppfylt.

96 Det er tilstrekkelig at én opplysningtype har et sensitivt innhold for at hele behandlingen er konsesjonspliktig, jf. Innst. 175 L (2011–2012) premiss 1.4. Hva opplysningtype innebærer, følger av punkt 4.1.2.

(20)

17

håndsundersøkelse, der resultatet av undersøkelsen blir avgjørende for den videre behand- lingsadgangen.

4.1.1 «Opplysning»

Personopplysningsloven benytter begrepet «opplysning» som dekkende for både «data» og

«informasjon». Dette er ikke i samsvar med hvordan begrepene benyttes innen informatik- ken.97 Jon Bing forklarer skillet mellom data og informasjon på en lettfattet måte; Data blir ikke til informasjon før de har kommet frem til noen som har midler til å forstå dem, og først da kan dataene transformeres til kunnskap hos mottakeren.98 Med andre ord er data i seg selv uforståelig. For at data skal gjøres forståelig for mennesker vil det stort sett være nødvendig med tilleggsinformasjon for å gi dem innhold (ofte kalt «Metadata»).99 Selv om Bygrave i ettertid har etterlyst en avklaring av «data»-begrepet,100 har han konkludert med at opplys- ningsbegrepet under loven kan defineres som «katalysator for kommunikasjon, innhold i kommunikasjon og (muligens) resultat av kommunikasjon - d.v.s. «opplysthet»».101 Begrepet går med andre ord svært vidt. Legges Bygraves forståelse til grunn er det ikke tvilsomt at «lo- kasjonsdata», selv i sin enkleste form (for eksempel koordinater), er en «opplysning» etter loven.

4.1.2 «Opplysningstype» og «Opplysningsverdi»

Begrepene følger ikke direkte av ordlyden, men er nyttige hjelpestørrelser for å forstå hvordan et informasjonssystem forholder seg til de sensitive kategoriene i § 2 nr. 8 bokstav a-e.

I teorien er beskrivelsen av en opplysning omtalt som «opplysningstype», mens opplysning- ens korresponderende innhold er referert til som «opplysningsverdi».102

På samme måte som i den analoge verden er det mange opplysninger som ikke gir mening med mindre de er gitt en tilleggsopplysning. For eksempel vil et skriftlig skjema, med en rek- ke tidspunkter under hverandre, fortelle svært lite isolert sett. Men dersom man legger til

97 NOU 2009:1 s. 45.

98 Bing (1982) s. 67.

99 I sin videste betydning kan metadata defineres som «Data om data», jf. Datatilsynet (2014) s. 46.

100 Bygrave (2006) s. 117-126.

101 Bygrave (2002) avsnitt 16.

102 Se Schartum og Bygrave (2011) s. 127-129.

(21)

18

overskriften «Bompasseringer ved Atlanterhavsveien», gir plutselig tallene mer mening. I dette tilfellet vil overskriften være opplysningstypen, mens tidspunktene er gyldige opplys- ningsverdier. Med andre ord er opplysningstypen beskrivende, mens opplysningsverdiene gir opplysningen innhold.

Andre eksempler på slike opplysningstyper kan være «adresse», «kjønn», «postnummer», og

«betalingsinformasjon».103 I alle disse tilfellene er det begrenset hva som kan være gyldige opplysningsverdier. Hvis for eksempel opplysningstypen er «norske postnummer» så vil de eneste gyldige opplysningsverdiene være tall med fire siffer som korresponderer til de for- skjellige postkretsene i Norge.

En fast og bestemt oppstilling av opplysningstyper er dermed viktig for å vite hvilke opplys- ninger man har, kunne finne de igjen, og anvende dem. Dette gjelder ikke minst ved behand- ling av opplysninger i digitale informasjonssystemer. Ved innretningen av registre og databa- ser angis først opplysningstypene, lenge før det eventuelt registreres noen opplysningsverdier.

For eksempel utformes en database med opplysningstypen «psykiatrisk diagnose» med konk- rete diagnoser som tilhørende verdier. I slike tilfeller er opplysningstypen en sterk indikasjon på at behandlingen vil omfatte opplysningsverdier med helserelaterte opplysninger, og således utløses konsesjonsplikten, jf. § 33 (1), jf. § 2 nr. 8 bokstav e. Samtidig vil opplysningstypen også i seg selv kunne være sensitiv. At opplysningen «psykiatrisk diagnose» kobles til et navn, kan være like skadelig og uopprettelig for vedkomne, som den konkrete diagnosen.104 Som det fremgår av det ovennevnte, er bruken av opplysningstyper godt egnet når en skal legge til grunn hvilke personopplysninger det planlegges at behandlingen omfatter. Følgelig harmoniserer bruken av opplysningstyper godt med en forhåndsvurdering. Bestemmelsene om meldeplikt, som krever at Datatilsynet får beskjed om en forestående behandling, har for eksempel inntatt en henvisning til opplysningstyper. Slik det følger av § 31 (1) bokstav a skal Tilsynet varsles før behandling av personopplysninger. Meldingen skal inneholde en oversikt over «hvilke typer personopplysninger som skal behandles» (min kursivering), jf. § 32 (1) bokstav e.

Motsetningsvis inneholder ikke § 2 nr. 8 noen lignende presisering. Følgelig sier ikke ordly- den at det kun er forhåndsdefinerte opplysningstyper som kan si noe «om» sensitive forhold – også senere registrerte opplysningsverdier kan si noe «om» sensitive forhold.

103 Sml. Schartum (2005) s. 57

104 Sml. Schartum og Bygrave (2011) s. 128.

(22)

19

4.1.2.1 Schartum og Bygraves utredning fra 2005

I en utreding fra 2006 ønsket Schartum og Bygrave en klargjøring av forholdet.105 De skriver at hvis § 2 nr. 8 eksplisitt bruker «opplysningstype» vil det kun være «opplysninger som er klassifisert/tydeliggjort som opplysning om helseforhold mv. som skal anses som sensitive».

Hvis ordlyden blir stående vil «opplysninger som kan ses som opplysninger med slikt sensitivt innhold som loven angir som sensitiv», også være omfattet. Som eksempel oppstiller de;

«”NN, Ila fengsel, forvarings- og sikringsanstalt Jøssingveien 33, 1359 Eiksmarka” hører til opplysningstypen ”adresse”, men sier samtidig, med stor grad av sannsynlighet, at NN har ufrivillig opphold på anstalten. I så fall er adressen en opplysning ”om at en person er […]

dømt for en straffbar handling”, og dermed sensitiv, se § 2 nr. 8 bokstav b.»106 I eksempelet som gjengis kan behandlingsansvarlig ha forhåndsangitt en «uskyldig» opplysningsverdi (adresse), men endte opp med en opplysning som sa noe om NN’ sensitive forhold (straffbare forhold).

Utredningen ønsket dermed å endre ordlyden i § 2 nr. 8 slik at bestemmelsen i større grad understreker at den gjelder for forhåndsvurderingen. Dette kunne oppnås ved en uttrykkelig henvisning til sensitive opplysningstyper. Samtidig vil en slik endring, fra et personvernper- spektiv, være betenkelig. For den krenkede har det liten betydning om det kan utledes infor- masjon om sensitive forhold fra en opplysningstype- eller verdi.107

Derfor ønsket man i tillegg at behandlingsansvarlige ble tvunget til å foreta en konkret vurde- ring av opplysningstypens iboende risiko for å avsløre noe sensitivt. Forslaget om å endre ordlyden i § 2 nr. 8 lød følgelig; «sensitive personopplysninger: opplysningstyper som er eg- net til å åpenbare» noe om de sensitive forhold. Forslaget la dermed opp til en mer omfatten- de forhåndskontroll, og en innskrenking i etterkontrollen. Forslaget ble ikke tatt til følge.

Selv om ikke dagens ordlyd stenger fra å klassifisere opplysninger som sensitive ved en etter- kontroll,108 er det heller ikke nødvendig å undersøke den potensielle forekomsten av slike opplysninger ved en forhåndsundersøkelse.

105 Schartum og Bygrave (2006) s. 16-17.

106 Ibid. s. 17.

107 Ibid. s. 16.

108 Se for eksempel punkt 4.1.2.2.1

(23)

20

4.1.2.2 Opplysningstype og opplysningsverdi i dagens databehandling

Schartum og Bygrave skriver at det i noen tilfeller kan føles påtvunget å anvende opplys- ningstyper og verdier.109 For eksempel vil det være usikkert hvilken opplysningstype man skal tillegge nyere former for indeksering110 (for eksempel søkemotorer, slik som Google). Ved

«klassisk» indeksering, slik som i et bibliotek, kunne opplysningstypene være «boktittel» eller

«forfatter». I en søkemotor vil et program lese gjennom utallige sifre, symboler, bokstaver mv, «memorere» deres plassering, og lede brukeren tilbake ved relevante søk. Man har i et slikt tilfelle liten idé om hvilke søketreff (opplysninger) programmet kommer til å generere, og det vil derfor være utfordrende å anvende en forhåndsbestemt opplysningstype/verdi.

Dermed er det også vanskelig å forhåndsbedømme sensitiviteten av behandlingen. Opplys- ningene som kan utledes fra søketreffene har derimot vist seg å kunne være sensitive ved et- terkontroll, jf. PVN-2015-06.

Samme resultat kan forekomme ved lokasjonsdatabehandling, der den sensitive informasjo- nen ofte blir til etter hvert. Det vises til eksempelet i punkt 4.1.2.1. Opplysningstypen «NN’s posisjon», med koordinater som tilhørende opplysningsverdier, vil som utgangspunkt ikke være sensitiv. Men der koordinatene plasserer NN ved et sykehus, fengsel, mental institusjon, rusklinikk e.l. kan det utledes sensitiv informasjon av verdiene. Med den forståelse som er lagt til grunn av § 2 nr. 8, kan etterfølgende innsamling av opplysningsverdier (koordinater) løpende medføre at lokasjonsdata blir sensitive. I dette eksemplet fikk opplysningstypen

«adresse» plutselig et sensitivt innhold.

4.1.2.2.1 Google-sakene som eksempel

I EU-domstolens avgjørelse Google mot Spania var spørsmålet om søketreff på Google måtte fjernes som følge av sitt innhold (avindeksering). Domstolen la i slutningen, blant annet vekt på sensitiviteten av informasjonen som kom frem av søketreffene på Google.111

Google gjennomfører ingen forhåndsvurdering av om vilkårene for behandling er oppfylt.

Retten til avindeksering tar utgangspunkt i en etterfølgende innsigelse fra den registrerte, jf.

95-direktivet art. 14(1)(a).112

109 Schartum og Bygrave (2011) s. 128.

110 Innordning av data slik at de blir mulig å gjenfinne.

111 C-131/12, avsnitt 98.

(24)

21

I ettertid har Personvernnemnda avgitt vedtak i en tilsvarende sak, PVN-2015-06. Her gjaldt søketreffene på Google opplysninger om straffbare forhold knyttet til en identifiserbar person.

Datatilsynet vurderte behandlingsgrunnlaget etter proporsjonalitetsvurderingen i § 8 bokstav f uten å være tydelig nok på at § 9 var en del av behandlingsgrunnlaget.113 Nemnda opphevde Tilsynets vedtak under henvisning til at det forelå behandling av sensitive personopplysning- er, jf. § 2 nr. 8 bokstav b, og § 9 burde uttrykkelig vært vurdert som rettslig grunnlag. Uten at det fremgår av teksten, foretar Nemnda her rent faktisk en etterkontroll av § 2 nr. 8.

Nemnda demonstrerer at en teknologi, som ikke kan forutsi med sikkerhet hvilke opplysning- er som forekommer, og som ikke har som formål å behandle sensitive personopplysninger, likevel risikerer å måtte etteroppfylle behandlingsvilkårene i § 9. Dette forholdet bør inntas som en del av risikovurderingen for alle teknologier som kan generere sensitive personopp- lysninger, også smarttelefoner. En strengere forhåndsregulering ville i større grad tvinge be- handlingsansvarlige til å vurdere forekomsten av sensitive personopplysninger, og bygge per- sonvernfremmende sikkerhetstiltak inn i systemet – såkalt «privacy by design».114

Behandlingsansvarlige selv, vil også kunne ha en interesse av, ikke nødvendigvis en inn- stramming, men en endring av forhåndsvurderingen. Dagens løsning kan anføres å legge util- børlige bånd på behandlingsansvarlige, som til enhver tid risikerer å pådra seg uforutsette forpliktelser. Til nå har dette i mange tilfeller kokt ned til et belønning-for-risiko-forhold.

Hvorav det i mange tilfeller har lønnet seg med ukritisk oppstart av behandlingen, fordi det

112 Norge har ingen tilsvarende bestemmelse som art. 14(1)(a), men manglende implementering av direktivet skal ikke frata den registrerte noen rettigheter jf. PVN-2015-06, premiss 4, jf. Ot prp nr 92 (1998-1999) punkt 5.4.1.5, jf. punkt 5.4.1.3.

113 Ibid. premiss 5; «Datatilsynet har nevnt § 9 i sin avgjørelse, men selve vurderingen synes å være foretatt ut fra personopplysningsloven § 8».

114 Et konsept som vektlegges i den nye forordningen, jf. GDPR art. 23.

(25)

22

sjelden har fått særlige rettslige konsekvenser.115 I fremtiden vil det derimot straffe seg å ikke ta forhåndsregler.116

4.1.3 Hvilket krav til forbindelse ligger i «opplysninger om», jf. § 2 nr. 8 4.1.3.1 Ordlyden

Som utgangspunkt er ordet «om» en vid og udefinert preposisjon som er ment å opprette en

«forbindelse» mellom to forhold. Etter lovteksten kan en opplysning ha et innhold som er svært løst relatert til et sensitivt forhold og likevel være omfattet av ordlyden i § 2 nr. 8. For eksempel vil opplysningen: Peder er muslim etablere en direkte forbindelse mellom opplys- ningens innhold og en avsløring av Peders religiøse oppfatning, jf. § 2 nr. 8 litra a – det kan regnes som sikker viten. Annerledes stiller det seg når informasjonen om Peders religion må deduseres fra opplysningen(e), som for eksempel Peder leser koranen.

Ordlyden isolert sett gir med andre ord få reelle holdepunkter for hvor relevant eller hvor di- rekte forbindelsen trenger å være.117 I både 95-direktivet art. 8 (1) og 81-konvensjonen art. 6 har man i stedet benyttet ordlyden «revealing», som ved første øyekast virker å stille strengere krav til denne forbindelsen.

En nærmere undersøkelse av begrepet «reveal» gir holdepunkter for at førsteinntrykket stem- mer. Oversatt til norsk betyr «reveal» å «avsløre» (verb) eller «avslørende» (adjektiv).118 Etymologien tilsier også en slik forståelse. Ordet «reveal» stammer fra det latinske ordet «re- velare», som består av de to elementene «re» (motsatt av) og «velare» (dekke til, tilsløre).119

115 En illustrerende dom fra Stavanger tingrett (TSTAV-2006-106538): Saken gjaldt brudd på meldeplikten og informasjonsplikten ved utsendinger av e-postreklame. Tingerretn uttalte at slike saker «sjelden eller aldri anmeldes», og i formildende retning la tingretten vekt på at det fremstod som «noe tilfeldig» at det ble straffesak mot siktede. Straffeutmålingen og inndragningen ble for øvrig påanket til Gulating lagmannsrett som implisitt viste til sjeldenheten i saksforholdet ved å påpeke at det ikke forelå tidligere rettspraksis fra tilsvarende saker, jf. RG-2007-961.

PVN-2005-15 og PVN-2011-13 gjaldt brudd på reglene om direkte markedsføring (tidligere personopplysningsloven § 26, nå markedsføringsloven Kapittel 3), ingen av bruddene ble sanksjonsbelagt av Nemnda.

116 Den nye forordningen praktiserer med betydelig strengere bøter (opptil 20 millioner EURO, eller 4 % av årsomsetningen hvis sistnevnte er størst), jf. GDPR art. 79 (3a).

117 Schartum og Bygrave (2011) s. 130.

118 Lingua (1996) s. 306.

119 (Nettside 5).

(26)

23

En språklig forståelse tilsier at ikke enhver opplysning kan sies å avdekke et forhold, det må noe mer til. Dette kan også formuleres som kravet til opplysningens innhold, altså at opplys- ningen er avslørende.

En ordlydstolkning indikerer at personopplysningsloven går lengre enn direktivet forlanger, ved at begrepet “om”, semantisk sett, lettere medfører at en opplysning inneholder noe sensi- tivt.120 Forarbeidene har ikke uttalt seg om spørsmålet, og det er usikkert om lovgiver bevisst tok stilling til spørsmålet under utarbeidelsen av personopplysningsloven.

4.1.3.2 WP

WP har gitt en generell uttalelse om hvordan begrepet skal forstås. WP skriver at op- plysninger som avslører (“reveal”) sensitive forhold ikke bare skal omfatte “data which by its nature contains sensitive information (…)”, men også “data from which sensitive information with regard to an individual can be concluded”.121

Dette forsås slik at opplysninger som ikke er sensitive i seg selv, men har et innhold som det kan konkluderes sensitiv informasjon fra, også er omfattet. For å kunne konkludere noe må beslutningsgrunnlaget gi en viss grad av sikkerhet. Det kan ikke være en hvilken som helst avledet opplysning om et sensitivt forhold. Anvendt på lokasjonsdata kan det tenkes at noen går forbi et sykehus på vei til jobb. I et slikt tilfelle vil ikke nødvendigvis en registrering uten- for sykehuset konstituere en sensitiv personopplysning.

4.1.3.3 Praksis

Spørsmålet var oppe for Personvernnemnda i PVN-2005-12 og PVN-2005-13 i relasjon til kameraovervåkning.122 I sakene problematiserte Nemnda hvilken informasjon som kunne deduseres fra et fotografi. Det fotografiske materialet ble ansett å inneholde sensitive person- opplysninger som følge av at et fotografi vil «kunne» si noe om en persons ”religiøs oppfat-

120 I så tilfelle blir spørsmålet om 95-direktivet er et fullharmoniseringsdirektiv slik Kvam uttrykker det jf.

fotnote 93. Den rådende oppfatning synes likevel å være at direktivet gir utrykk for en minimumsløsning, jf.

for eksempel Meld St. 11 (2012-2013) s. 21. Med det menes at personopplysningsloven ikke bare er et

«speilbilde» av direktivet, men også supplerer direktivet i de tilfeller der personopplysningsloven går lengre i å styrke individets personvern. Se også Schartum og Bygrave (2011) s. 113-114.

121 WP (2011) s. 6.

122 PVN-2005-13 gjengir ordrett vurderingen av fotografiet fra PVN-2005-12. Hvilken betydning avgjørelsene har for besvarelsen av oppgaven håndteres i punkt 4.1.4.2. flg.

(27)

24

ning” – «implisert av utseende, klesdrakt eller lignende».123 Videre kunne fotografiet avsløre opplysninger om helseforhold, hvis den avbildede hadde «bandasjer» eller «synlige sår».124 Nemnda benyttet en vid ordlyd, jf. begrepet «kunne», men det må sees i sammenheng med opplysningens natur (fotografiet), som gir grunnlag for en ganske sikker slutning.

4.1.3.4 Teori

Spørsmålet er tatt opp i teorien av Schartum og Bygrave. De nevner som eksempel en med- lemsoversikt for et nettsted rettet mot en religiøs sekt.125 Selv om medlemsoversikten ikke er en direkte opplysning om vedkommende tro, kan det være «en så sterk indikasjon på en be- stemt tro, at opplysningen om bruk av nettstedet ses på som sensitive personopplysninger».126 Forfatterne benytter med andre ord et «sterkt» indisium som utgangspunkt for at en opplys- ning kan si noe om et sensitivt forhold. En slutning om religiøs tilknytning vil dermed skje på basis av indikasjoner, «snarere enn direkte viten».127

Det er også i denne kategori lokasjonsdata må plasseres. Spørsmålet er for eksempel om loka- sjonsdata inneholder et sterkt nok indisium om sensitive forhold, når noen oppholder seg ved adressen til en kirke.128

4.1.3.5 Reelle hensyn

Det umiddelbare mothensynet som melder seg ved en vid tolkning av begrepet «om», er en potensiell betydelig utvidelse av konsesjonsplikten. En slik utvidelse er ikke nødvendigvis i tråd med lovgiverviljen ved vedtakelsen av loven, jf. punkt 4.1.4.2.

Videre er hensynet til praktikabilitet under press, som følge av at behandlingsansvarlig vil ha store utfordringer med å forutberegne sin rettsstilling. Det kan være svært vanskelig å få en full oversikt over hvilke opplysninger som gir løse indikasjoner om forskjellige sensitive for- hold, og det vil være kostbart å innrette systemet til identifisere konkret sensitivitet i de lø-

123 Jf. PVN-2005-12 premiss 6.3.

124 Ibid.

125 Schartum og Bygrave (2011) s. 130.

126 ibid.

127 Ibid.

128 Se punkt 4.1.3.7.

(28)

25

pende registreringene.129 Derfor legger maskinell behandling opp til en overflatisk, og mer kategorisk bedømmelse av sensitivitetsspørsmålet.130

Disse hensynene må naturligvis veies mot personvernhensynet bak § 2 nr. 8, som er å gi et særlig vern mot all behandling av opplysninger om sensitive forhold.

4.1.3.6 Konklusjon

De kryssende hensyn bak § 2 nr. 8 peker i retning av at det må mer til enn å opprette en løs forbindelse – opplysningen må antakeligvis inneholde et sterkt indisium om et sensitivt for- hold, tilsvarende måten Schartum og Bygraves uttrykte kravet.

Krav om et slikt indisium følger mer naturlig av ordlyden «avsløre» enn av lovens nåværende ordlyd. Ved å adoptere denne ordlyden harmoniserer også loven bedre med de internasjonale opphavsinstrumentene.

I denne fremstillingen benyttes således også «avsløre» om kravet til opplysningens innhold.

4.1.3.7 Anvendt på lokasjonsdata

Forutsatt en kobling mellom koordinater og en adresse, kan det fremkomme at person P be- finner seg på en avsidesliggende psykiatrisk institusjon. Slutningssikkerheten går da på om vedkommende jobber, besøker eller oppholder seg der (under tvang eller frivillig behandling).

Hvis registreringen skjer på kveldstid vil det i sin alminnelighet være færre besøkende, og forholdet pasient per ansatt, være høyere. Dermed vil eksempelet være et ganske sterkt indi- sium om vedkommendes helseforhold, jf. § 2 nr. 8 bokstav c, og kanskje nok til å være konk- luderende.131 Det kan således tenkes tilfeller der lokasjonsdata nærmest oppretter en direkte forbindelse mellom sitt innhold og det sensitive forholdet.132

Likevel vil slike koordinater sjelden oppstå, og eksempelet som her er gitt, fremstår som et konkret sensitivt tilfelle. Fordi nærmest alle opplysninger kan sies å være sensitive under

129 Schartum og Bygrave (2011) s. 130.

130 Ibid.

131 En variabel er hvilken feilmargin en beslutningsprosess operer med. Feilslutninger kan dog være like skade- lig for den berørte se punkt 6.2.2.

132 Som nevnt i punkt 4.1.2 er det tilstrekkelig at informasjonen som kan utledes knytter seg til

opplysningstypen. Med andre ord er det like sensitiv informasjon etter § 2 nr. 8 bokstav c, om personen presumeres å ha en diagnose (typen) som for eksempel kronisk angst (verdien).

Referanser

Last ned nå ( PDF - 71 sider - 705.22 KB )

Outline

Formålsbestemmelsen og menneskerettigheter Lokasjonsdata og grunnleggende personvernhensyn Forholdet til profiling

RELATERTE DOKUMENTER

Om lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Ot.prp. nr. 5

I tillegg til rett til generell informasjon foreslår loven å gi den registrerte rett til innsyn i opplysninger som behandles om den registrerte selv. Denne innsynsretten omfatter

Rett til et sporfritt arbeidsliv? : Arbeidsgivers behandling av personopplysninger i elektronisk kjørebok i arbeidsforhold jf. personopplysningsloven § 8 f

behandles skal være relevante for formålet. Formålet med den elektroniske kjøreboken er å dokumentere skattemessige forhold knyttet til arbeidstakers bruk av arbeidsgiver

Når "misligholdet inntrer", jf. foreldelsesloven § 3 nr. 2

Etter mitt syn vil derfor de nevnte dommene, som gjelder ansvar for rådgivning, der konstatering av mangel vil være avhengig av en etterfølgende utvikling, ha

(Innst.S. nr. 84 (1998-99), jf. Dokument nr. 8:9 (1998-99))

Men det som i grunnen var et hovedpoeng i mitt inn- legg, og som jeg synes at statsråden også gav veldig klart uttrykk for, var at noe av det viktige i dette allikevel er den

2 i europaparlaments- og rådsdirektiv 98/8/EF om markedsføring av biocidprodukter og om endring av forordning (EF) nr

treimpregneringsmidler og som inneholder klotianidin. Godkjenning av produkter for behandling av trevirke som skal brukes utendørs vil forutsette at det framlegges opplysninger

Tabell nr. 2 over godkjente tilsetningsstoffer til fôrvarer etter forordning (EF) nr.1831/2003 Konsolidert 25.03.2015 1. Kategori: Teknologiske tilsetningsstoffer

- Bare tillatt brukt til rå fisk og fiskebiprodukter som fôr, med største tillatte innhold på 9 000 mg kaliumdiformiat/kg rå fisk. Største tillatte innhold i fôr til

2) Beslutning nr

mars 2017 om praktiske ordninger for over- gangsperioden for elektronisk utveksling av opplysninger nevnt i artikkel 4 i forordning (EF) nr.. E5 erstatter

Innstilling fra justiskomiteen om lov om behandling av personopplysninger (personopplysningsloven) Innst. O. nr. 51

Departementet foreslår dessuten i § 33 annet ledd en bestemmelse som gir Datatilsynet adgang til å be- stemme at også annen behandling enn den som gjelder sensitive