Innebygd personvern

(1)

Innebygd personvern

Innholdet i den behandlingsansvarliges ansvar etter reglene om innebygd personvern i personvernforordningen artikkel 25 første ledd

Kandidatnummer: 536 Leveringsfrist: 25.04.19 Antall ord: 14 111

(2)

1 INNLEDNING ... 1

1.1 Bakgrunn ...1

1.2 Presiseringer og avgrensninger ... 2

1.3 Aktualitet og rettskildebildet ... ... 3

1.4Harmonisering og EU-rettslig metode ... 4

1.4.1 Forordningens ordlyd………..4

1.4.2 Formål og fortale……….4

1.4.3 Rettspraksis……….5

1.4.4 Forvaltningspraksis og etterfølgende praksis………..5

1.4.5 Juridisk teori………6

1.5 Problemstilling ... 6

2 PROSESSEN FREM MOT PERSONVERNFORORDNIGNEN ...7

2.1 Den moderne personverndebatten ... 7

2.2 Personverndirektivet ... 8

2.3 Personvernforordningen ... 8

3 PERSONVERNFORORDNINGENS VIRKEOMRÅDE OG OVERORDNEDE BESTEMMELSER ... 10

3.1 Forordningens geografiske virkeområde ... 10

3.2 Forordningens saklige virkeområde ... 11

3.3 Definisjoner ... 12

3.3.1 Behandling………...12

3.3.2 Personopplysningsbegrepet………...12

3.3.2.1 "Enhver opplysning"………...………..13

3.3.2.2 "Om"……….13

3.3.2.3 "Identifisert eller identifiserbar fysisk person"…………...…..14

3.3.2.4 Særlig om sensitive personopplysninger………...……...15

3.3.3 Aktørene…………..………15

3.3.3.1 Den registrerte………...………..16

3.3.3.2 Den behandlingsansvarlige………....………...16

3.3.3.3 Databehandleren………....…………...………17

(3)

4 TANKEN OM Å BYGGE PERSNVERN INN I TEKNISKE LØSNINGER ... 19

4.1 Forhistorie ... 19

4.2 Privacy Enhanching Technologies (PETs) ... 19

4.3 Fra visjon til forordning ... 20

i 5 PERSONVERNFORORDNINGEN ARTIKKEL 25 FØRSTE LEDD...22

5.1 Bestemmelsens utforming ... 22

5.2 Generelle betrakninger ... 23

5.3 Bestemmelsens innhold ... 24

5.3.1 "Både på tidspunktet for fastsettelsen av midlene som skal brukes i forbindelse med behandling, og på tidspunktet for selve behandlingen»...24

5.3.2 "Utformet med sikte på en gjennomføring av prinsippene for vern av personopplysninger"………...26

5.3.2.1 Prinsippene om lovlighet, rettferdighet og åpenhet…………...…….26

3.3.2.1.1 Lovlighet………...…... 26 3.3.2.1.2 Rettferdighet, åpenhet og gjennomsiktighet………...27

5.3.2.2 Prinsippet om formålsbegrensning………..………..29

5.3.2.3 Prinsippet om dataminimering………...………...………..30

5.3.2.4 Prinsippet om riktighet……….31

5.3.3 Generelt om kravet til "egnede tekniske og organisatoriske tiltak"...32

5.3.3.1 Organisatoriske tiltak………...33

5.3.3.2 Tekniske tiltak……….34

5.3.3.3 Tiltakets egnethet……….………34

5.3.4 "Idet det skal tas hensyn til"………..34

5.3.5 "Gjennomføre egnede tiltak"………..…….36

5.3.6 5.3.5.1 Pseudonymisering og kryptering ……….37

5.3.5.2 Anonymisering ………...……….38

5.3.7 Fire dimensjoner om innholdet i artikkel 25 første ledd………….….39

5.4 Forholdet til artikkel 35 ... 40

5.5 I retningen av en internasjonal standard for innebygd personvern?..………….41

6 OVERTREDELSESGEBYR ... 43

7 AVSLUTTENDE BEMERKSNINGER ... 45

8 LITTERATURLISTE…………..………46

(4)

1 Innledning

1.1 Bakgrunn

Den økende graden av digitalisering i samfunnet gjør at vi etterlater oss mer informasjon enn noensinne.¹ Informasjonen blir brukt av virksomheter til å tilby oss tilpassede løsninger og produkter gjennom å bygge omfattende profiler på bakgrunn av våre preferanser og hvem vi er.

Profilene med flest opplysninger og detaljer gir høyest markedsverdi.² Personopplysninger har blitt «big business». Ved å miste kontrollen over personopplysninger mister vi også kontrollen over den personlige autonomi og muligheten til å definere hvem vi selv er.³ Det forårsaker også en skjev balanse i maktforholdet mellom virksomheter eller offentlig myndigheter og privatpersoner.

I mars 2018 sprakk nyheten om at appselskapet Cambridge Analytica hadde fått personopplysningene til 50 millioner facebook-brukere uten deres samtykke. Dette ble gjort via et smutthull i Facebook sine retningslinjer, og ble brukt til å påvirke amerikanske presidentvalget i 2016.⁴ Hendelsen illustrerer hvor stor betydning personopplysningene har, og hvor lett de kan misbrukes. Dette viser nødvendigheten av å møte den digitale utviklingen med rammebetingelser og tekniske løsninger som prioriterer vernet av personopplysninger.

Til tross for at ny teknologi kan utfordre personvernet, viser den nye trenden av teknologi et forsøk på å lage tekniske løsninger som beskytter personopplysningene til brukeren og på den måten skaper tillitt. Teknologi kan derfor i noen tilfeller designes slik at de fremmer personvernet.⁵

Teknologirådet og datatilsynet har utformet en rapport som særlig peker på tre trender som vil være gjeldende for personverndebatten fremover. De tre trendene som blir trukket frem i rapporten er: 1. emosjonell overvåkning – som for eksempel bruk av fingeravtrykk som betalingsmiddel eller ansiktsgjenkjenning, 2. Smart mobilitet – som for eksempel selvkjørende biler og

1 Tamò-Larrieux (2018) s. 4

2 Datatilsynet (2018a) s. 5

3 Datatilsynet (2018a) s. 5

4 Wessel-Aas Og Ødegaard (2018) s. 202

5 Thomas Olsen (2014) s. 45, vedlegg 4 til NOU 2009: 1 Individ og integritet. Personvern i det digitale samfunnet

(5)

3. blokkjedeteknologi – som for eksempel bitcoin og andre kryptovalutta.⁶

Det å forsøke å finne en gylden middelvei som skaper balanse mellom personvernet og den tekniske utviklingen, må derfor være målet for den videre utviklingen. Virksomheter som tjener penger på menneskers personopplysninger, må ta sin del av ansvaret for at personvernet jobbes inn i løsningene. Virksomheter er også avhengig av menneskers tillitt, og det er derfor også til deres gunst å skape løsninger som både er effektive og setter personvernet i høysetet.

The General Data Protection Regulation eller EUs personvernforordning⁷ ble vedtatt av EU i 2016, og ble tatt i bruk 25. mai 2018.⁸ Forordningen artikkel 25 oppstiller hovedregelen om innebygd personvern, som representerer en av de viktigste endringene i forordningen.⁹ Innebygd personvern innebærer å bygge personvern inn i tekniske løsninger. På denne måten kan teknologi designes på en måte som fremmer og øker personvernet.

1.2 Presiseringer og avgrensning

I originalteksten blir forordningens artikkel 25 første ledd betegnet som «privacy by design», mens artikkel 25 andre blir betegnet som «privacy by default». Et slikt språklig skille finnes ikke i den norske oversettelsen av forordningen. Artikkel 25 har tittelen «innebygd personvern som standardinnstilling». Det er særlig ordet «standardinnstilling» som knytter seg til «privacy by default».

Mens første ledd «privacy by design» i korte trekk omhandler å opprette systemer som på angitte måter ivaretar personvernprinsippene og de registrertes rettigheter, innebærer annet ledd

«privacy by default» å sette personvern som standard ved utformingen av de tekniske og organisatoriske løsningene.¹⁰

6 Rapport fra Datatilsynet: Personlige finanser: Hvordan ut-viklingstrekk i finanssektoren påvirker personvern, rapport, februar 2018 s. 6

7 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

8 For 2016/679/EU art. 99 nr. 2

9 For 2016/679/EU art. 25

10 Wessel-Aas Og Ødegaard (2018) s. 203

(6)

Både første og annet ledd danner hovedregelen for innebygd personvern.¹¹ Jeg har likevel valgt å begrense meg til en redegjørelse av første ledd. Bakgrunnen for dette er at bestemmelsen som helhet har et så stort innhold at en vurdering av alle deler ville gjøre overfladisk. Da det ikke er et klart skille mellom artikkel 25 første og annet ledd, vil det imidlertid forekomme at jeg kommer inn på innhold som typisk hører under annet ledd.

1.3 Aktualitet og rettskildebildet

Personvernforordningen (GDPR) har fått enormt mye fokus både i virksomheter, media og virker å være noe de fleste har et forhold til. Dette er ikke uten grunn. Forordningen innebærer den største endringen innen personvernlovgivningen på over 20 år, og medfører store endringer i virksomheters plikter.¹² Til tross for at flere av prinsippene er videreført fra det tidligere Personverndirektivet, tilkommer også nye. Virksomheter har måtte omstille sine arbeidsmetoder slik at de er i samsvar med reglene. Brudd på reglene kan innebære store økonomiske konsekvenser for den behandlingsansvarlige.¹³ Den behandlingsansvarlige har derfor et ekstra initiativ til å sette seg inn i reglene og sørge for at de overholdes.

Tolkning av forordningen har vært en særdeles krevende oppgave. Til tross for at personvernforordningen nå har trådt i kraft, er det lite kilder på området, og fortsatt lite rettspraksis. En god del av forordningen består av tidligere eksisterende bestemmelser, blant annet det som er videreført fra den fremdeles eksisterende personopplysningsloven.¹³ Her er det blant annet tale om definisjonene som fremgår av bestemmelsen og prinsippene. For disse temaene eksisterer det en god del kilder. Når det kommer til selve hovedinnholdet i oppgaven

«innebygd personvern», representerer dette en nytt krav som fremgår av forordning. Konseptet er imidlertid ikke nytt. Eldre kilder som sier noe om konseptet vil derfor kunne tillegges noe vekt.

11 For 2016/679/EU art. 25 (3) omhandler sikkerhetsmekanismer

12 https://www.datatilsynet.no/aktuelt/2016/personvernforordningen-vedtatt-i-eu2/

13 Se punkt 6

13 Lov 15.06.2018 nr.38 Lov om behandling av personopplysninger (personopplysingsloven)

(7)

1.4 Harmonisering og EU-rettslig metode

Personvernforordningen er en rettskilde skapt av EU og må derfor tolkes i lys av den metoden som EU-domstolen anvender. Den EU-rettslige metode skiller seg fra den norske rettskildelære på flere måter, noe som gjør tolkning av bestemmelsen komplisert. Utgangspunktet for fortolkningen er ifølge Fredriksen og Mathisen en «selvstendig og ensartet fortolkning av EU- rettslige bestemmelser, uavhengig av nasjonal begrepsbruk, rettskultur og juridisk metode i de enkelte medlemslandene».¹⁴ Det er derfor den EU-rettslige metode som vil legges til grunn i det videre.

1.4.1 Forordningens ordlyd

Utgangspunktet for fortolkning av en bestemmelse både i EU-retten og nasjonal rett er den naturlige språklige forståelsen – ordlyden. Forordningsteksten danner grunnlaget for fortolkningen. Forordningen er vedtatt på 24 forskjellige språk, noe som kan skape en viss variasjon.¹⁵ Hvert av språkene har som hovedregel like stor vekt.¹⁶ Utgangspunktet i det videre vil derfor naturlig være forordningsteksten på norsk.

1.4.2 Formål og fortale

Etter vurdering av ordlyden vil formålsbetraktninger og kontekstuelle tolkningen være av betydning. Formålsbetraktningen kan fremgå av selve forordningsteksten eller være skapt av EUdomstolen. Det grunnleggende formål innenfor EU/EØS-området er å legge til rette for fri flyt av økonomiske forbindelser og sikre harmonisering mellom medlemslandene.¹⁷

Forordningens fortale er lang med 173 punkter, og kan være med på å utdype meningsinnholdet i de ulike bestemmelsene. Fortalen har imidlertid en svakhet i å være av overordnet og generell karakter, og sier lite om det konkrete innholdet. Fortalen kan imidlertid tillegges vekt da den sier noe om lovgivers vilje og mening, og fungerer som et støtteargument ved tolkning.¹⁸ EUdomstolen har imidlertid i flere avgjørelser vist aktsomhet med å undersøke at fortalen ikke er rettslig bindende.¹⁹

14 Fredriksen mfl. (2014) s. 218

15 Forordningen åpner i noen grad for nasjonalt handlingsrom. Vedtakelsen av den nye personvernloven er et eksempel på dette, se Skullerud (2018) s. 35

16 Sejersted mfl. (2011) s. 45

17 EØS-avtalen art. 1

19 Sak C-7/11, Caronna, [A5] dom av 28 juni 2012 (avsnitt 40)

(8)

1.4.3 Rettspraksis

EU-domstolens rettspraksis er ved siden av ordlyden den rettskilden som skal tillegges med verdi. Dette er blant annet slått fast av Fredriksen og Mathisen som legger vekt på at EU- domstolens avgjørelser er «tungtveiende rettskilder som det kreves gode grunner for å fravike».²⁰

Artikkel 25 er så ny at det per dags dato ikke eksisterer noe rettspraksis på området. Som tidligere nevnt må det videre innholdet søkes og hentes i andre bestemmelser. Her vil det være rettspraksis som kan si noe om innholdet og følgelig vil kunne gi stor rettskildemessig vekt.

Til tross for at ikke menneskerettskonvensjonen artikkel 8 om respekt for sitt privatliv eksplisitt gir vern ved behandling av personopplysninger, må dette innfortolkes.²¹ Dette er slått fast i flere dommer fra den Europeiske menneskerettsdomstolen (EMD).²² Praksis fra EMD vil derfor kunne være nyttig for tolkning av bestemmelsen.

1.4.4 Forvaltningspraksis og etterfølgende praksis

Forvaltningspraksis og etterfølgende retningslinjer har tradisjonelt lite rettskildemessig vekt i EU-rettslig metode.²⁴ På personvernområde kan det imidlertid av flere grunner anføres at det bør tillegges betydning.

Det første og mest åpenbare er at personvernområde, og særlig hovedområdet for denne avhandlingen, nærmest er blottet for rettskilder. For å beskrive innholdet må man derfor i noen grad kunne senke listen for hva som er en rettskilde av betydning. For det andre bør forvaltningspraksis og etterfølgende retningslinjer kunne tillegges vekt på personvernområdet.

Dette da området grunnet fortløpende bidrag av ny teknologi, er av særlig dynamisk karakter.

Dette skaper et behov for å kunne komme med uttalelser løpende, i stedet for å revidere hele teksten.

21 Skullerud (2018) s. 32

22 S. And Marper vs. United Kingdom s. 68 og I v Finland s. 47-48

24 Sejersted mfl. (2011) s. 57

(9)

Sentrale typer forvaltningspraksis er uttalelser fra Artikkel 29-gruppen (Article 29 Data protection working party A29WP)²³ og uttalelser fra EUs rådgivende organ, European Data Protection Board (EDPB)²⁴, vil derfor tillegges vekt i denne avhandlingen. Uttalelser fra disse, da særlig A29WP, har også verdi i kraft av å være dokumenter som belyser utviklingen av forordningen fra et rettshistorisk perspektiv. Også uttalelser og forvaltningspraksis fra datatilsynet vil være av betydning og vil bli lagt vekt på i denne avhandlingen.

1.4.5 Juridisk teori

Heller ikke juridisk litteratur er formelt tillagt betydning i EU-rettslig metode. Dette er imidlertid brukt som støttelitteratur i det følgende. Juridisk litteratur er nyttig for å gi bakgrunnsinformasjon om rettstilstanden. Blant annet vil den norske kommentarutgaven til personvernforordningen bli hyppig brukt. Boken er skrevet at jurister med ekspertise på personvernområdet, som forsøker å tolke de ulike bestemmelsene i forordningen.

1.5 Problemstilling

I denne avhandlingen vil jeg foreta en vurdering av innholdet i den behandlingsansvarliges ansvar til å bygge personvern inn i tekniske løsninger. Utgangspunktet for vurderingen vil være forordningens artikkel 25 første ledd.

Bestemmelsen utgjør hovedreglene om innebygd personvern. Bestemmelsen gir imidlertid lite holdepunkter alene når det kommer til hele innholdet. Det videre innholdet må derfor finnes i andre bestemmelser i forordningen.²⁷ Den behandlingsansvarlige er pliktsubjektet ved brudd på bestemmelsen. Det er derfor den behandlingsansvarliges ansvar i henhold til reglene om innebygd personvern som vil bli gitt mest oppmerksomhet.

23 Artikkel 29-gruppen: EUs tidligere rådgivende organ i personvernspørsmål. Organet ble ved innføringen av Personvernforordningen 25.mai 2018 erstattet med European Data Protection Board (EDPB)

24 EDPS: EUs nåværende rådgivende organ i personvernspørsmål. Ansvaret følger av forordningen artikkel 41(2)

27 Se for eksempel personvernforordningen artikkel 4, 5, 24, 32, 35 og 83

(10)

2 Prosessen frem mot personvernforordningen

2.1 Den moderne personverndebatten

Begynnelsen på personverndebatten knyttes gjerne til 1960-tallet i USA, og hadde sammenheng med økende grad av digitalisering, og da særlig, fremkomsten av datamaskinen²⁵. Den myndighetsstyrte datamaskinen skapte mulighet for å effektivisere offentlig forvaltning ved å samordne den enkeltes opplysninger i store databanker.²⁶ Denne utviklingen foregikk også i Norge. I sin forskningsrapport knyttet til de personvernmessige utfordringene med statlige databanker konstaterte at:

«Et typisk trekk ved debatten om de farer som den nye teknologi representerer for individet, er bruken av en rekke uklare begreper. Det tales om at «privatlivets fred» er i fare. Det påpekes at datamaskinene medfører «inngrep i den personlige integritet». Behovet for «personvern»

understrekes til stadighet».²⁷

1960- og 1970-årene var særlig knyttet til at et sterkt skille mellom borgerne og myndigheter.

Vietnamkrigen, Watergateskandalen og tanken om myndighetene som en overvåkende storebror²⁸ var alle faktorer som var med på å skape mistillit til myndighetene.

Med inntoget av den personlige datamaskinen 1980, ble fokuset flyttet fra myndighetens misbruk til mistro til maskinen selv, og det ble knyttet særlig uro til hvilke spor vi etterlot oss.

Det er imidlertid utviklingen av internettet (World Wide Web), som virkelig har satt sitt preg på personverndebatten. Internettets inntog medførte spredning av personopplysninger i en helt annen skala enn før, på tvers av landegrenser.²⁹

I nyere tid har debatten rundt personvernet særlig vært knyttet til tiltak for å bekjempe elektronisk kriminalitet og terror. EUs innføring av datalagringsdirektivet (DLD) representerte et tiltak som forsøkte å avhjelpe dette. Datalagringsdirektivet mottok stor motstand da det på

25 Thomas Olsen (2014) s. 30

27 Samuelsen (1972) s. 15

28 «Big Brother» brukt i George Orwells «1984» et symbol på den overvåkende staten. Boken kom som et resultat på McCarthy-tidens overvåkning av sosialister og kommunister. Boken er fremdeles et viktig symbol på frihet fra myndighetenes overvåkning og ble særlig populær i etterkant av debatten rundt datalagringsdirektivet.

29 Wessel-Aas og Ødegard (2018) s. 202

(11)

visse vilkår ga myndighetene anledning til å innhente personopplysninger.³⁰ Direktivet ble kjent ugyldig av EU-domstolen³¹ i 2014.

2.2 Persondirektivet

EU vedtok i 1995 et personverndirektiv³²³³ som skulle gjelde for hele EU/EØS. Målet var å sammenstille regler med det formål å sikre et beskyttelsesnivå av personopplysninger på tvers av unionen. Direktivet gjennomførte en rekke grunnleggende personvernprinsipper som prinsippet om dataminimering og formålsbestemthet, og innførte rettigheter til fysiske personer ble harmonisert i EU. Disse prinsippene er videreført i den nye

personvernforordningen. Personverndirektivet ble gjennomført i Norge i den nå opphevde personopplysningsloven³⁴ av år 2000.

2.3 Personvernforordningen

Prosessen med å utforme forordningen har tatt lang tid. Arbeidet startet med at Kommisjonen fremmet et forslag om å erstatte personverndirektivet med en personvernforodning som skulle omhandle mer enn tidligere og gjelde for hele EU og EØS. EUs personvernforordning

2016/679 (heretter forordningen eller GDPR) ble formelt vedtatt i april 2016, og begynte å gjelde i EU 25 mai 2018. Forordningen erstattet EUs gjeldende personverndirektiv 94/46/EC heretter (personverndirektivet) Forordningen representerer en av de største endringene vi har sett på personvernområdet på lang tid.

Det at en forpliktelse er gjort til forordning gir den en annen vekt enn ved innføring av et direktiv. Mens et direktiv må implementeres i det enkelte medlemsland, representerer

forordningen en rettsakt som har direkte bindende virkning for medlemslandene. De nordiske land har tradisjonelt hatt en dualistisk tilnærming til gjennomføring av internasjonale

forpliktelser.

31 Se forente saker C-239/12 og C-594/12, Digital Right Ireland, 8 april 2014

32 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on theprotection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281,

33 .11.1995, p. 31.Directive 95/46/EC

34 Lov 14.04.2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) (opphevet)

(12)

Som utgangspunkt er det to metoder for gjennomføring av internasjonale forpliktelser etter norsk rett, inkorporasjon og transformasjon. Ved transformasjon omgjøres de internasjonale regler om til å passe det norske system. Den andre metoden for å gjennomføre internasjonale forpliktelser tas uendret inn i norsk lov og dermed inkorporeres. Forordningen er tatt inn i sin helhet i personopplysningsloven og gjort om til norsk lov.³⁵ Bakgrunnen for valget om å ta inn reglene i forordningsform, var å sørge for harmonisk etterlevelse i hele EU/EØS-området.³⁶

Forordningens formål er å harmonisere lovgivning i alle medlemsland og bidra til at det indre markedet fungerer på en tilfredsstillende måte slik at det er fri bevegelighet for informasjonstjenester mellom medlemslandene.³⁷ Informasjon skiller seg fra andre fysiske ting da de ikke kjenner landegrenser. Det å skape et regelverk som harmoniserer i hele Unionen er derfor nødvendig. Meningsinnholdet kunne lett blitt et annet dersom det var opp til de enkelte medlemslandene å forme forordningen etter sitt egen system.

35 Lov av 29. november 1992 nr. 109 om gjennomføring i norsk rett av hoveddelen i avtale om Det europeiske økonomiske samarbeidsområde (EØS) m.v Personopplysningsloven (2018) §§ 1og 32

36 For 2016/679/EU fortalepunkt 3 og Skullerud (2018) s. 25

37 For 2016/679/EU fortalepunkt 4 og 21

(13)

3 Personforordningens virkeområde og overordnede bestemmelser

Personvernforordningen oppstiller noen overordnede bestemmelser og legaldefinisjoner som det er nødvendig å klargjøre. Dette da de klargjør grensene for forordningen og om den får anvendelse.

3.1 Forordningens geografisk virkeområde

Det geografiske virkeområde til forordningen fremgår av artikkel 3. Det følger av bestemmelsen at forordningen først og fremst får anvendelse på behandling av personopplysninger som:

«Utføres i forbindelse med aktiviteten ved virksomheten til en behandlingsansvarlig eller en databehandler i Unionen uavhengig av om behandlingen finner sted i Unionen eller ikke».³⁸

Bestemmelser representerer en videreføring av virkeområdet slik det definert i personverndirektivet³⁹. At ordet «eller» er anvendt må bety at det holder at enten databehandleren eller den behandlingsansvarlige er etablert i EU/EØS-området. Den registrertes nasjonalitet er derfor uten betydning.

Ordet «etablert» fremgår ikke av den norske versjonen av forordningen, men kan finnes i både den engelske, danske og svenske.⁴⁰ Det er derfor naturlig å innfortolke et etableringsvilkår også i Norge. Dette har også støtte i den norske oversettelsen av fortalepunkt 22. Det avgjørende er derfor ikke om behandlingen finner sted innenfor EU/EØS. Det er den kontekstuelle tilknytning som er av betydning.

Etableringsvilkåret ble særlig drøftet i C-131/12⁴¹, bedre kjent som Google-dommen. I avgjørelsen tok EU-domstolen stilling til om den spanske personopplysningsloven kom til anvendelse til tross for at Google Inc ikke hadde eget hovedkontor i landet.

Det ble lagt vekt på at behandlingen ble:

38 For 2016/679/EU art. 3 nr 1

39 Se prop. 56 LS (2017-018) s. 30

41 Sak C 131/12, dom 13. mai 2014, Google Spain SL and Google Inc. V. Agencia Espanõla de Proteción de Datos (AEPD) and Mario Costeja Gonzáles (Google Spain)

(14)

«Carried out in the context of the activities of an establishment of the controller on the territory of a Member State, within the meaning of that provision, when the operator of a search engine sets up in a Member State a branch or subsidiary which is intended to promote and sell advertising space offered by the engine and which orientates its activity towards the inhabitants of that Member State”⁴²

Personopplysningsloven kom derfor til anvendelse fordi tilbyder av søkemotoren hadde etablert en filial i Spania.

Videre oppfører bestemmelsens andre ledd tilfeller der det geografiske området kan utvides ytterligere.

3.2 Forordningens saklige virkeområdet Personvernforordningen får anvendelse på:

«Helt eller delvis automatisert behandling av personopplysninger og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register»⁴³

Forordningsteksten gir anvisning på at virkeområdet er vidt. Dette støttes i kommentarutgaven der det fremgår at forordningen vil få anvendelse på enhver informasjonsmengde som er laget på en måte der det er mulig å identifisere personopplysningene, uavhengig av om den er elektronisk eller fysisk⁴⁴

Forordningen er teknologinøytral. I dette ligger det at forordningen kommer til anvendelse uavhengig av hvilket valg av teknologi man har foretatt seg.⁴⁵ Til tross for at verden går mer og mer i en digitaliseringsretning er det nødvendig å fange opp alle tilfeller der det foregår behandling av personopplysninger. A29-WP fremhevet teknologinøytralitet som en viktig

42 C-131/12 avsnitt 43

43 For 2016/679/EU art. 2 nr 1

45 For 2016/679/EU fortalepunkt 15

(15)

element på personvernområdet i arbeidet forut for forordningen.⁴⁶ Uten et slikt element kunne forordningen lettere kunne omgås.

Videre omhandler personvernforordningen alle «personopplysninger».⁴⁷ Anonymiserte opplysninger faller utenfor bestemmelsens virkeområde, faller derfor utenfor virkeområdet til forordningen.⁴⁸ I PVN-2006-04 (Microsoft Windows XP)⁴⁹ det ble slått fast at databehandling som ikke omhandlet personopplysninger måtte falle utenfor personopplysningsloven

3.3 Definisjoner 3.3.1 Behandling

Personvernforordningen stiller krav til at det må være foregått ”en behandling».⁵⁰

«Behandling er enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger», jfr. forordningen artikkel 4 (2).

Bestemmelsen oppstiller en rekke aktiviteter som er å anse som behandling, deriblant organisering, lagring, innsamling osv. Momentene er ikke ment å være uttømmende, og behandlingsvilkåret kan derfor tenkes også i andre tilfeller enn de som fremgår av bestemmelsen.⁵¹ Definisjonen må derfor ansees som vidt anvendelsesområde.

For hver behandling skal det fastsettes et formål. Dersom det er usikkerhet rundt om flere operasjoner utgjør en eller flere behandling er det naturlig å se hen til formålet til behandlingen.

3.3.2 Personopplysningsbegrepet

Forordningen art 4 nr.1 definerer personopplysninger som:

“enhver opplysning om en identifisert eller identifiserbar fysisk person”.

46 A29WP (2019) s. 12

47 Se 3.punkt 2.2

48 Se punkt 3.2.2 og 5.4.4.2

49 PVN-2006-04 (Microsoft Windows XP) Personvernnemndas avgjørelse av 14. september 2006 punkt 5

50 For 2016/679/EU art. 4 nr 2

(16)

Ordlyden gir anvisning på at begrepet skal tolkes vidt. Dette er også slått fast i flere avgjørelser fra EU-domstolen.⁵²

Definisjonen kan deles inn i tre bestanddeler, (1) enhver opplysning (2) om (3) identifiserbar eller identifisert fysisk person. Tredelingen er inspirert av Artikkel 29-gruppens Opinion 4/2007 on the concept of personal data.⁵³

3.3.2.1 ”Enhver opplysning”

For det første er «enhver opplysning» et vilkår som etter en naturlig språklig forståelse må sies å favne vidt. «Enhver informasjon» må derfor antas å innebære all tenkelig informasjon uavhengig av form, innhold eller art⁵⁴. Eksempler som navn, personnummer og

bostedsadresse er derfor klart innenfor, men også subjektiv informasjon som for eksempel beskrivelse av en person. Beskrivelsene behøver ikke være korrekt og innholdet i

informasjonen har derfor ingenting å si. Det stilles ikke krav til informasjonens form eller hvor disse opplysningene skriver seg fra.

Det første elementet gir derfor få holdepunkter for hva personopplysninger innebærer da det så å si ikke er grenser for hva som må ansees som «enhver informasjon».

3.3.2.2 ”Om”

«Om» er et tilknytningselement som er ment som et koblingsbegrep mellom «enhver informasjon» og «identifiserbar eller identifisert fysisk person». Rent språklig ligger det i dette at det må angå eller omhandle en fysisk person. Mange opplysninger vil assosieres med den fysiske personen som for eksempel pasientjournal eller gjennom et bilde av en person knyttet til et intervju ⁵⁷. Ved andre opplysninger er ikke alltid tilknytningen like klar. Dette gjelder særlig ved fysiske ting som bilsalg eller hussalg.

52 Bla. C-434/16 Peter Nowak v. Data Protection Commissioner in Ireland, ECLI:EU:C:2017:994 premiss. 34

53 A29WP (2007) s

(17)

Indirekte tilknytning mellom den fysiske personen og informasjonen er tilstrekkelig. Av den grunn vil gentester selv om den angår en person også være indirekte gi informasjon om barnet og omvendt, jfr. blant annet fortalepunkt 39.

3.3.2.3 ” Identifisert eller identifiserbar fysisk person”

For at det skal være tale om en personopplysning må opplysningen omhandle en fysisk person. Juridiske personer som institusjoner og virksomheter er med andre ord ikke dekket av forordningen. Det fremgår av fortalepunkt 27 at heller ikke avdøde personer er omfattet⁵⁵.

Videre må den fysiske personen være identifisert eller være gjenstand for identifisering.

Identifikasjon har forekommet dersom det er mulig å skille den fysiske personer fra en gruppe med andre. Det direkte kravet til identifikasjon fremgår gjerne klart.⁵⁶ Det som imidlertid kan skape vanskeligheter er hvorvidt den fysiske personen er identifiserbar. Opplysninger kan fremstå som anonyme, men likevel være personopplysninger i forordningens forstand.⁵⁷

I Breyer-saken⁵⁸ tok EU-domstolen stilling til om dynamiske IP-adresser var å regne som personopplysninger. Statiske IP-adresser har alltid blitt ansett som personopplysning da disse i karakter av å være statiske ikke endrer seg og dermed kan knyttes til en person. EU-domstolen slo i avgjørelsen fast at også dynamiske IP-adresser er å regne som personopplysninger.⁵⁹ Dette til tross for at denne type IP-adresser endrer seg hver gang det skjer en ny kobling til internettet. Dynamiske IP-adresser er å regne som personopplysninger der nettstedeieren får mulighet til å identifisere brukeren ved tilleggsinformasjon.⁶⁰

Det kan diskuteres hvor grensen for identifiserbar går. Datatilsynets har for eksempel i sin veiledning for anonymisering sett på risikoen for reidentifisering av anonymiserte

opplysninger.⁶¹ Reidentifisering av anonyme personopplysninger vil medføre at opplysninger som tidligere ikke var ansatt å være personopplysninger det kan bli det. Dette illustrerer vanskeligheten av vilkåret om identifiserbarhet.

55 2016/679/EU Fortalepunkt 27, men også gjentatt i 158 og 160

57 Se premiss 5.2.2.1

58 Case C-582/14 Bundesrepublik Deauchland v Patrick Breyer

59 Case C-582/14 Breyer avsnitt 16

61 Datatilsynet (2015) s. 8

(18)

3.2.2.4 Særlig om sensitive personopplysninger

Personvernforordningen har i artikkel 9 en bestemmelse som omhandler en «særlig kategori av personopplysninger». Denne grupperingen blir i bestemmelsens fortale premiss 10 omtalt som «sensitive opplysninger», som språklig sett gir bedre veiledning på hva opplysningene omhandler.

Sensitive personopplysninger kan for eksempel være opplysninger om religion, genetiske opplysninger og opplysninger om helsetilstanden.⁶² I Lindquist-dommen⁶³ slo EU-domstolen fast at opplysningene på bakgrunn av sykemelding var å anse som sensitive opplysninger.

Videre ble det slått fast at helseopplysninger skulle omfatte både psykisk og fysisk helsetilstand.

Sensitive opplysninger er typisk opplysninger av privat karakter, som dermed behøver sterkere grad av vern, enn andre personvernopplysninger.⁶⁴

Helseopplysninger er sensitive opplysninger der kravet til tekniske og organisatoriske tiltak er skjerpet. Dersom det er tale om en helsesituasjon, kan det å raskt få tilgang til helsejournalen og den tidligere helsesituasjon være forskjell på liv og død. Det er viktig at personopplysningene ikke kommer på avveie, men det er enda viktigere å få rask tilgang på de ved en akutt helsesituasjon.⁶⁵

3.3.3 Aktørene

Forordningen oppstiller tre primære subjekter: Den registrerte, den behandlingsansvarlige og databehandleren. Det er nødvendig å skille aktørene. Dette for å slå fast hvem som er vernet av bestemmelsen og hvem som har ansvaret ved brudd. Fortalepunkt 79 presiserer viktigheten av dette skillet.

3.3.3.1 Den registrerte

62 For 2016/679/EU art. 9 (1)

63 C-101/01 Bodil Lindquist, avsnitt 50-51

64 Wessel-Aas og Ødegaard s. 123

65 Skullerud (2018) s. 200

(19)

Menes enkeltpersonen som den lagrede informasjonen kan tilknyttes. Den registrerte er den som vernes av personopplysningslovens regler. Før personopplysningene kan benyttes til behandling må det derfor foreligge et rettslig grunnlag fra den registrerte, typisk samtykke.

3.3.3.2 Den behandlingsansvarlige

Den behandlingsansvarlige er personvernsforordningens sentrale pliktobjektet. I forordningen artikkel 4 nr. 7⁶⁹ er den behandlingsansvarlige definert som:

«en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett»

Definisjonen kan deles opp i tre hovedbestanddeler⁶⁶, og er laget over samme lest som personverndirektivet, og er videre utformet av Artikkel 29-gruppen.⁶⁷

For det første må den behandlingsansvarlige være en «fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ». Bestemmelsen stiller få krav til hvem som kan være behandlingsansvarlig. Den behandlingsansvarlige må skilles fra de andre aktørene.

Det andre elementet som må vurderes er derfor om den behandlingsansvarlige er en eller flere.

Det tredje avgjørende elementet er hvem som «bestemmer behandlingens formål og hvilke midler som skal benyttes». Det er særlig sistnevnte som er av interesse når det kommer til å bedømme hvem som er den behandlingsansvarlige.

Det er den som har kompetansemyndigheten som bestemmer formålet og dermed er den behandlingsnansvarlig. Kompetansemyndigheten kan erverves ved rettslige beslutninger, faktiske beslutninger eller hva som følger av lov. Hva som er avtalt mellom partene er alltid relevant ved vurdering av kompetanseskillet.

66 Wessel-Aas og Ødegaard s. 176

67 A29WP (2010) s. 3

(20)

Artikkel 29-gruppen har uttalt at «midler» innebærer alle beslutninger og tiltak som benyttes for å oppnå det etablerte behandlingsformålet. «Midler» innebærer derfor mer enn tekniske hjelpemidler. Innsamling av midler innebærer derfor også hvilke opplysninger som skal behandles, når opplysningene skal slettes osv.⁶⁸ Dette er nærmere vurdert i punkt 5.4.3.2.

Det må presisere at dette ikke forhindrer en virksomhet fra både å være behandlingsansvarlig og databehandler. I praksis er dette imidlertid ikke så vanlig da virksomheter vanligvis benytter underleverandører med en større grad av ekspertise på andre områder enn de selv innehar.

Når alt kommer til alt er det imidlertid den behandlingsansvarlige som sitter med det primære ansvaret og som risikerer store bøter og tap av omdømme ved eventuelle brudd. Det er derfor viktig å klargjøre hvem som er behandlingsansvarlig.⁶⁹

At den behandlingsansvarlige er det primære pliktsubjekt etter forordningen kan problematiseres. Begrunnelsen for dette er sannsynligvis at det er den behandlingsansvarlige som definerer behandlingens formål og dermed har størst kunnskap om behandlingen. I tillegg må den behandlingsansvarlige sies å være nærmest til å vurdere om forordningens bestemmelser skal ivaretas ved en aktuelle behandlingen.⁷⁰

3.3.3.3 Databehandleren

Definisjonen av databehandler fremgår av forordningen art 4 nr. 2 som:

«en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige»

69 Se punkt 6

70 Skullerud (2018) s. 188

(21)

Et databehandlerforhold foreligger derfor bare dersom behandlingen gjøres på vegne av den behandlingsansvarlige. I dette ligger det at databehandleren gjennomfører behandlingen for det formålet som den behandlingsansvarlige har fastlagt.⁷¹

Forordningens artikkel 28 nr. 3 stiller krav til at alle virksomheter som benytter underleverandører er pliktig til å ha en databehandleravtale. Avtalen skal beskrive hele behandlingen, definere rollefordelingen, behandlingsansvarlige og databehandlerens forpliktelser etter avtalen og.⁷² Det at databehandleravtalens funksjon er å avklare rollefordelingen er fremhevet fortalepunkt 73.

Det som fremgår av databehandleravtalen må vike dersom det er databehandleren som sitter med det reelle ansvaret. Dersom databehandleren i realiteten gjennomfører behandlingen for sitt eget formål, og ikke av ren kommersiell interesse, er databehandleren selv å anse som behandlingsansvarlig.⁷³ Den behandlingsansvarlige har heller ikke mulighet til å avtale seg vekk fra ansvar, ved at ansvaret flyttes over til databehandleren.

Det er den behandlingsansvarlige har ansvaret for å velge en forsvarlig databehandler, og å sørge for at vedkommende forholder seg til avtalen. Det kan stilles spørsmålstegn med hvor heldig dette er med tanke på at det ofte er databehandleren som sitter med den største kompetansen når det kommer til utforming av systemet.

72 For 2016/679/EU art 28 (3)

73 A29WP (2010) s. 4-5

(22)

4 Tanken om å bygge personvern inn i tekniske løsninger

4.1 Forhistorie

Tidligere ble informasjonssikkerhet og personvern ansett som et problem som hovedsakelig hørte under det juridiske området. Den teknologiske utviklingen, og da særlig utviklingen av

«the world wide web» har skapt behov for en tverrfaglig tilnærming til problemstillingene rundt informasjonssikkerhet.

En tilnærming der den juridiske etterlevelsesprosessen står på den ene siden og den dynamiske innovasjonsprosessen manøvrert av ingeniører og IT-arbeidere på den andre siden er derfor nødvendig for å holde tritt med utviklingen.⁷⁴. Tanken om at teknologiutviklingen ikke bare var et risikoelement for personvernet, men kunne benyttes aktivt som en del av løsningen for å minimere personvernkonsekvenser vokste frem på 1970-tallet.⁷⁵

4.2 Privacy Enhanching Technologies (PETs)

Tanken om å bygge personvern inn i tekniske løsninger er ingen ny ide. Både internasjonalt og nasjonalt⁷⁶ har det vært knyttet oppmerksomhet rundt det å anvende teknologi aktivt i arbeidet med systemer. Til tross for dette var det lite bevisst het rundt personsøkende teknologier, som i liten grad har blitt løftet frem av myndighetene.⁷⁷

«Privacy enhanging technologies» (PETS)⁷⁸ var en rapport utarbeidet i Ontario Canada i 1995, som et samarbeid mellom Canadiske og Nederlandske personvernmyndigheter i 1995.

Rapporten viste at identifikasjonssystemer kunne lages på en slik måte at personvernet ble inkorporert i løsningen⁷⁹. Ønsket var å se på tekniske løsninger for å minimere

personvernrisikoen for enkeltpersoner, og dermed begrense muligheten for identifisering. Det

74 Tsormpatzoudi mfl. (2016) s.7-8

75 European Data Protection Supervisor Opinion 5/2018 Preliminary Opinion on privacy by design premiss. 15

76 Se for eksempel Boe-utvalgets pionerarbeid i Norge tidlig på 1990-tallet om personsøkende teknologi på helseområdet.

77 Olsen (2014) s. 45

78 http://www.ontla.on.ca/library/repository/mon/10000/184530.pdf

79 Olsen (2014) s. 36

(23)

finnes ingen konkret definisjon på hva personvernsøkende identitetsforvaltning er, men må ansees som mekanismer for å styrke personvernet i løsninger.⁸⁰

Mekanismene som det ble lagt vekt på i rapporten var blant annet kryptering, anonymisering og løsninger som skulle bidra til mer selvbestemmelse for brukeren er eksempler på løsninger som ble trukket frem. Dette er alle bidrag som i dag fremgår av forordningen og blir sett på som viktige elementer for å oppnå innholdet om innebygd personvern.⁸¹

Til tross for at utviklingen i personvernøkede løsninger har gått riktig vei har manglende konkrete juridiske rammer og lovgivning medført en inkonsekvens i etterlevelse.

4.3 Fra visjon til forordning

På den internasjonale personvernkonferansen i 2010 ble syv prinsipper for innebygd

personvern vedtatt⁸².Prinsippene ble utformet av en ledende pioner bak tanken om «privacy enchancing technologies», Dr Ann Cavoukin.

Cavoukin utformet prinsipper der visjonen bak PETs ble videre konkretisert og endte i syv steg til innebygd personvern⁸³. Prinsippene kan i dag finnes igjen i forordningens

bestemmelser og må sies å ha vært et viktig bidrag til innholdet i forordningens artikkel 25.

De syv prinsippene oversatt av det norske datatilsynet er som følger:

1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet

5. Ivareta informasjonssikkerheten 6. Vis åpenhet

80 Olsen (2014) s. 36

81 European Data Protection Supervisor Opinion 5/2018 Preliminary Opinion on privacy by design premiss. 15

82 Den 32. International Conference of Data Protection and Privacy Commisioners in Jerusalem

83 https://www.datatilsynet.no/globalassets/global/english/7foundationalprinciples_anncavoukian2.pdf

(24)

7. Respekter brukerens personvern

Prinsippene har blitt kritisert for å være for overordnede og ikke i stor nok grad prioriterer den registrerte.⁸⁴ Prinsippene er vage og ser ut som helt generelle prinsipper om systemutvikling heller enn prinsipper som sier noe konkret om innebygd personvern. De sier også lite om hva man må foreta seg i praksis for å lage tilfredsstillende løsninger. Dette har også gjort de vanskelig å håndheve.

Til tross for at utviklingen i personvernøkede løsninger har gått riktig vei har manglende konkrete juridiske rammer⁸⁵ og harmonisering medført en inkonsekvens i etterlevelse.

25. januar 2012 fremmet EU-Kommisjonen⁸⁶ et forlag til ny personvernforordning.

Reformens formål var å sikre enkeltpersoner med hensyn til behandling av

personopplysninger, samt sikre fri bevegelse av slik data. I tillegg ble det pekt på et behov for en felles harmoniserende europeisk lovgivning. Et kjennemerke med den nye forordningen er innføring av mer eksplisitte krav til å bygge personvern inn i løsningen, bedre kjent som innebygd personvern⁸⁷. Innebygd personvern (DPBD) minner om PET, men omhandler i større grad fokus på innbygging av tekniske løsninger gjennom strategi, organisering og teknologi.

Den europeiske menneskerettsdomstolen har tidlig vist at de har omfavnet ideer som i dag kan sees igjen i artikkel 25. I I v Finland⁸⁸ ble Finland ansett å ha brutt sine forpliktelser etter artikkel 8 i den Europeiske Menneskerettskonvensjonen, som følge av

84 Jeoren Van Rest (2012) s. 55

85 Om det tidligere har vært et krav til innebygd personvern i tidligere lovgivning kan diskuteres.

Personopplysningsloven § 13 omhandlet informasjonssikkerhet og stilte krav til tekniske tiltak. Dette har imidlertid aldri blitt tolket til hen i EU-domstolen.

86 REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)

87 For 2016/679/EU art 25

88 Case of I v. Finland Application no. 20511/03

(25)

5 Personvernforordningen artikkel 25 første ledd

Med innebygd personvern menes å utvikle et teknisk system eller løsning på en slik måte at personvernet blir ivaretatt i alle ledd av utviklingsprosessen.⁸⁹

I det videre vil jeg først ta for meg noen generelle betraktninger om bestemmelsen, for derfor å vurdere bestemmelsens innhold.

5.1 Bestemmelsens utforming

Innebygd personvern fremgår av forordningens artikkel 25 og lyder som følger:

«Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende

sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som

behandlingen medfører, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak, f.eks.

pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering, og for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i denne forordning og verne de registrertes rettigheter»

Den første observasjonen er at forordningsteksten inneholder en lang setning, med vage beskrivelser av hva som er innholdet. Selve strukturen i bestemmelsen gjør den vanskelig å forstå da den består av en hel rekke underordnede krav der viktigheten og betydningen i de enkelte ikke klargjøres nærmere. Tamo-Larrieux beskriver artikkel 25 som en hul norm.⁹⁰ I dette legger hun at innholdet i normen må søkes i andre bestemmelser enn den selv. Artikkel 25 representerer

Dette gjør vurderingen vanskelig da den alene ikke er dekkende for å analysere innholdet i reglene om innebygd personvern etter forordningen. Bestemmelsen gir heller ikke konkrete anvisninger på hvor det videre innholdet skal søkes hentes. Dette gjør det nødvendig å se på flere bestemmelser for å klargjøre innholdet. I den videre klargjøringen av innholdet av

89 Definisjon tatt fra datatilsynets veileder til innebygd personvern https://www.datatilsynet.no/rettigheter-og- plikter/virksomhetenes-plikter/innebygd-personvern/

(26)

innebygd personvern har jeg valgt å trekke ut enkelte deler av forordningsteksten og analysere en og en del hver for seg. Dette for å skape den beste forståelsen av innholdet i den

behandlingsansvarliges ansvar etter forordningen.

I det følgende vil jeg først se på noen generelle betraktninger i bestemmelsen om innebygd personvern i 5.1. Jeg vil i deretter i punkt 5.4.2 – 5.4.5 ta for meg innholdet i bestemmelsen.

For det første stiller bestemmelsen krav til tidspunkt for gjennomføringen. Dette er et naturlig utgangspunkt. Videre stiller bestemmelsen krav til gjennomføring av personvernprinsippene.

Jeg vil derfor foreta en vurdering av et utvalg av prinsippene opp mot innebygd personvern.

Deretter vil jeg se på hva som ligger i kravet til egnede tekniske og organisatoriske tiltak.

Denne vurdering vil bli todelt. For det første innebærer det å ta for seg tiltak som kan tilfredsstiller kravet til dets egnethet. For det andre omhandler valg av tiltak det en mer konkret helhetsvurdering av risiko og sannsynlighet. Videre har jeg i 5.4.6 valg å sammenstille innholdet i fire dimensjoner som kan være nyttig for forståelsen.

5.2 Generelle betraktninger

Innebygd personvern er først og fremst nedfelt i artikkel 25, som er plassert i forordningens kapittel 4 om «generelle forpliktelser». Kapittel 4 oppstiller regler om det generelle ansvaret den behandlingsansvarlige har etter forordningen. Det er derfor den behandlingsansvarlige som er pliktsubjektet etter bestemmelsen, og derfor står ansvarlig for å bygge personvern inn i løsningen etter de vilkår som fremgår av artikkel 25, og er ansvarlig ved eventuelle brudd.

Bygrave beskriver artikkel 25 som en bestemmelse som pålegger den behandlingsansvarlige en kvalifisert plikt til å sette i gang tekniske og organisatoriske tiltak som er utformet for å implementere personvernprinsippene effektivt og å integrere nødvendige garantier for behandling av personopplysninger på en måte der behandling vil sikre beskyttelse av de registrertes rettigheter og for øvrig oppfylle forordningens krav⁹¹. Plikten bygger videre på den mer generelle bestemmelsen om «Den behandlingsansvarliges ansvar» som fremgår av artikkel

24.Hvem som er behandlingsansvarlig er nærmere definert i (3.2.3.3).

91 Bygrave (2017) s.114

(27)

Den norske kommentarutgaven uttaler at formålet med bestemmelsen er å sørge for att informasjonssystemene oppfyller kravene til innebygd personvern og ivaretar registrertes rettigheter gjennom hele utviklingsfasen.⁹²

5.3 Bestemmelsens innhold

5.3.1 ”Både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandling, og på tidspunktet for selve behandlingen”

Den behandlingsansvarlige plikter å implementere tekniske og organisatoriske tiltak:

”både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandling, og på tidspunktet for selve behandlingen”.⁹³

Den behandlingsansvarlige plikter med andre ord å sørge for og å gjennomføre personøkende tiltak gjennom hele livssyklusen av behandlingen, fra planleggingsfasen til avhending av produktet. Dette er en naturlig følge av at de midlene man velger ofte vil legge føringer for hvilke rom man har til å iverksette ulike tiltak ved behandlingen⁹⁸. Dette er viktig da det gir den behandlingsansvarlige en foranledning til å tenke personvern gjennom hele prosessen og sørge for at de løsninger som velges er verner brukerens personopplysninger på best mulig måte.

Starttidspunktet må etter dette være tidspunktet for fastsettelse av midlene, altså på tidspunktet for avgjørelse av formålet. I den videre prosessen bør virksomheter ha gode retningslinjer for hvordan personvernet skal implementeres i de ulike fasene av prosessen på best mulig måte.

EDPS viser til forskningsprosjektet PRIPARE⁹⁴ og til vårt eget datatilsyn⁹⁵ som eksempel på aktører som har arbeidet med å lage metoder for god innføring av innebygd personvern.

Datatilsynets veileder oppstiller 10 punkter der de tre første representerer generelle regler for innebygd personvern, mens de resterende syv konkret går på hvordan innebygd personvern

92 Skullerud (2018) s. 175

93 For 2016/679/EU . Art. 25 første ledd Personverndirektivet hadde også en bestemmelse som forpliktet den behandlingsansvarlige til å foreta tiltak både ved utforming av løsningene og selve behandlingen ⁹⁸ Skullerud (2018) s. 177

94 PRIPARE (Preparing industry to privacy-by-design by supporting its application in research) En forskningsgruppe som har mottatt støtte fra EU-kommisjonen for å lage et rammeverk for implimentering av personvern i hele utviklingsprosessen http://pripareproject.eu/wp-content/uploads/2013/11/PRIPARE-Press- release-Final.pdf

95 Opinion 5/2018 Preliminary Opinion On Privacy by Design section 74

(28)

kan implementeres i løsningen i hele livssyklusene⁹⁶. De syv elementene⁹⁷ som er trukket frem i veilederen er: opplæring, design, koding, test, produksjonssetting og forvaltning. Målet med veilederen er å hjelpe norske virksomheter med å etterleve kravet til innebygd

personvern.

Særlig er det siste punktet, forvaltning, i datatilsynets veileder interessant. Dette illustrerer at den behandlingsansvarlige plikter å vurdere tiltakene også etter at selve løsningen er utformet.

Det kan for eksempel oppstå en «software bug» underveis som gjør at løsningen ikke stiller de krav til personvern som den i utgangspunktet gjorde. Den behandlingsansvarlige plikter derfor å vedlikeholde løsningen. Videre er det ikke nødvendigvis slik at det som er tilfredsstillende kravet til innebygd personvern i dag vil gjøre det senere. Dette som følge av en stadig større trussel for datakriminalitet, samt at den teknologiske utviklingen muliggjør nye og bedre løsninger. Dette stiller krav til at den behandlingsansvarlige utvikler løsningen, og viser særlig bestemmelsens dynamiske karakter.

Plikten til å påse personopplysningsvern i alle utviklingsledd kan ansees som et utslag av ansvarlighetsprinsippet. Ansvarlighetsprinsippet⁹⁸ er stadfestet i forordningens artikkel 5 (2).

Selv om dette er mest anvendelse på tekniske løsninger ble det i reformprosessen lagt vekt på viktigheten av å inkludere tekniske løsninger gjennom hele livssyklusen av IKT-prosessen uten at dette ville endre den overordnede teknologinøytrale uttrykket.⁹⁹

5.3.2 ”Utformet med sikte på en gjennomføring av prinsippene for vern av personopplysninger”

Den behandlingsansvarlige plikter å implementere personvernprinsippene i løsningen. Av forordningsteksten pekes det spesifikt på dataminimering som et eksempel på et prinsipp som må tas i betraktning. Dette utgjør imidlertid bare et eksempel på et mulig personvernprinsipp som må overholdes. Med personvernprinsipper siktes det til de generelle

personvernprinsippene for behandling av personopplysninger som fremgår av forordningens

96 https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/programvareutvikling-med-innebygd-personvern/

97 Veilederen er tatt med utgangspunkt i Microsoft Security Development Lifecycle (SDL) og Secure Software Development LifeCycle (S-SDLC)

98 Ansvarlighetsprinsippet innebærer at den behandlingsansvarlige plikter å påvise etterlevelse av personvernprinsippene. Prinsippet er videreført fra dir.95/46, men er langt tydeligere enn det som fremgikk av direktivet. Se Skullerud (2018) s. 79

(29)

artikkel 5.¹⁰⁰ Prinsippene viderefører prinsippene i personverndirektivet artikkel 6, med noen endringer.¹⁰¹

Personvernprinsippene har både betydning i de enkelte bestemmelsene i forordningene og som retningslinjer for datatilsynet skjønnsmessige vurderinger.¹⁰²For å få et bilde av hva innebygd personvern innebærer er det naturlig å ta for seg innholdet av disse prinsippene.

Prinsippene er delvis overlappende noe som gjør det vanskelig å trekke et konkret skille mellom dem.¹⁰³ I det følgende har jeg valg å ta for meg noen av prinsippene som fremgår av artikkel 5, og sett på disse i lys av kravet til innebygd personvern.

5.3.2.1 Prinsippene om Lovlighet, rettferdig og åpenhet

Prinsippet om “lovlighet, rettferdighet og åpenhet¹⁰⁹” kan sies å være overordnet alle de andre bestemmelser da de både genererer og forutsetter dem¹⁰⁴.

5.4.2.1.1 Lovlighet

At behandlingen er lovlig innebærer at det må foreligge et rettslig grunnlag før innhenting av personopplysninger kan foretas. Selv om den behandlingsansvarlige beskytter

personopplysningene, foreligger det en krenkelse av personvernet dersom vedkommende ikke har rettslig grunnlag for det.¹⁰⁵ Rettslig grunnlag kan være samtykke, kontrakt eller et annet av de alternativ som fremgår av artikkel 6 (1).

Lovlighetsprinsippet stiller krav til at nasjonal lovgivning har et regelverk som tilfredsstiller kravet til «klarhet, nødvendighet og forholdsmessighet» når det kommet til de rettslige grunnlagene ¹⁰⁶. Dette har støtte i fortalepunkt 40 og EU-domstolen¹⁰⁷. Ekvivalens i EMK artikkel

100 For 2016/679/EU art. 5 (1)

101 De 11 Prinsippene i direktivet bygger i stor grad på uttallelser fra 29-gruppa og avgjørelser fra EU-domstolen.

102 Schartum og Bygrave (2016) s. 100

103 Se Data privacy Law, Lee A Bygrave Oxford University Press 2014. Published by Oxford University Press (Den som heter core principles) s. 146 ¹⁰⁹ For 2016/679/EU art 5 (1)

104 Se Data privacy Law, Lee A Bygrave Oxford University Press 2014. Published by Oxford University Press (Den som heter core principles) s. 146

105 Også slått fast i fortalepunkt 39

106 Datatilsynet høringsuttalelse s. 10

107 C-465/00 Österreichischer Rundfunk premiss 72

(30)

Prinsippet om lovlighet kan integreres i løsningen gjennom at brukeren samtykker til hver av behandlingene. En måte å designe dette inn i en løsning er å la brukeren avgjøre hva

vedkommende ønsker samtykke til. Dette kan for eksempel gjøres gjennom fargekoder. Apple har blant annet integrert en designfunksjon der de ulike tilbudene som gis er markert med fargene grønn og grå «toggle switch». Dersom brukeren ønsker å godta en tjeneste som for eksempel geolokasjon, kan dette enkelt gjøres et skyv til høyere med tommelen.

For en behandlingsansvarlig å overlate det store og hele ansvaret til brukeren er imidlertid ikke heldig. Å innarbeide et design der samtykke er det beskyttende element kan være nyttig, men har også potensiale til å være skadelig.

Hartzog¹⁰⁸ har kritisert denne brukerstyrte utviklingen, da den behandlingsansvarlige gjennom tankegangen om «FIP» kan fraskrive seg ansvaret. FIP (Follow the Fair Information Practice) Innebærer å minimere mengden personopplysninger som til det brukeren samtykker til. Dette innebærer at brukeren besitter kontrollen. Brukerstyrte løsninger er ikke fokusert på designet av løsningen, og heller ikke hvordan teknologi påvirker brukeren.¹⁰⁹ Brukerstyrt design vil derfor ikke alene oppfylle kravet til innebygd personvern.

5.2.2.1.2 Rettferdighet, åpenhet og gjennomsiktighet

Som kravet til lovlighet er også kravet til rettferdighet et annet grunnleggende prinsipp ved behandling av personopplysninger. Kravet er imidlertid ikke like håndfast. I juridisk teori er det lagt vekt på at rettferdig skal være noe mer enn det som er lovlig¹¹⁰.

Scartum og Bygrave peker på at den behandlingsansvarlige må ha «respekt for den registrertes interesser og rimelige forventinger». Dette har støtte i fortalepunkt 39. Av dette kan det

utledes at de opplysningene som innhentes skal ha en sammenheng med det formålet som søkes å oppnås.

108 Hartzog (2018) s. 59-62

109 Hartzog (2018) s. 61

110 Schartum og Bygrave (2016) s. 101

(31)

Kravet til rettferdighet har sammenheng med at den registrerte skal få tilegnet kunnskap og informasjon om behandlingen for selv å kunne utøve autonomi, knyttet til egne

personopplysninger.¹¹¹ Dette for å skape en åpen og gjennomsiktighet behandling.

Den norske forordningsteksten benytter begrepet «åpenhet» i sin versjon, mens blant annet den engelske originalversjonen benytter «transformation». Det er ingenting som tilsier at disse skal være gitt forskjellig meningsinnhold.

Kravet til gjennomsiktighet er blant annet kommentert av Artikkel 29-gruppen¹¹² i

sammenheng med hvilke krav som stilles til den behandlingsansvarlige når det kommer til å gi informasjon til de registrerte etter artikkel, 12 jfr. artikkel 13 og 14¹¹³. Det ble her lagt vekt på at kravet til gjennomsiktighet tilfredsstilles ved at den behandlingsansvarlige for eksempel klargjør formålet for behandling og hvilke prosesser som utføres for å sikre formålet, hvem opplysningene deles med og om opplysningene behandles utenfor EU/EØS.

Kravet til rettferdighet og gjennomsiktighet kan designes inn i løsningene ved at den behandlingsansvarlige har klare og lett tilgjengelige betingelser, og vilkår som sier noe om hva personopplysningene vil bli brukt til. Brukervilkårene har tradisjonelt vært lange og av teknisk karakter, noe som har medført en form for apati fra brukerens side når det kommer til å godkjenne dem.¹¹⁴ At den behandlingsansvarlige kan unnskylde tiltak ved å vise til at brukeren ikke leste brukervilkårene, er derfor ikke en god måte å bygge personvernet inn i designet. Brukervilkårene bør derfor fremgå klart og tydelig og være begrenset til det som må til for å oppnå formålet.¹¹⁵

5.4.2.2 Prinsippet om formålsbegrensning

Prinsippet om formålsbegrensning innebærer ifølge artikkel 5 (1) bokstav b at personopplysninger skal samles inn for:

111 Olsen (2018) s. 84

112 A29WP (2010) s. 6

113 A29WP (2010) s. 6

114 Hartzog (2018) s. 68

115 Se punkt 5.4.2.2 og 5.4.2.3