Prinsippet om lovlig, rettferdig og åpen behandling
Dag Wiese Schartum, SERI
- og litt generelt om personvernprinsippene
OECD Guidelines (1980/2013)
• Openness
• Use Limitation
• Collection Limitation
• Purpose Specification
• Data Quality
• Security Safeguards
• Individual Participation
• Accountability
• Utarbeidet i nær sammenheng med utarbeidelsen av Europarådets personvernkonvensjon (1981)
• Formål: både å ivareta personvern og hindre
hindringer for internasjonal handel (jf. PVF art. 1)
• Anbefaling: «that Member countries take into account in their domestic legislation the principles concerning the protection of privacy and individual liberties set forth in the Guidelines contained in the Annex to this Recommendation which is an integral part thereof»
Prinsipper har blitt retningsgivende for lovgivning på flere måter:
• Først som retningsgivende for nasjonal lovgivning blant OECDs og Europarådets medlemmer; (1980/1981)
• deretter som del av felles direktiv for nasjonal lovgivning i land i EU- + EFTA (EØS), (1995)
• og nå som del av bindende lovgivning for alle land i EU + EFTA, (2016)
Personvernforordningen, «PVF» (2016)
• Lovlighet, rettferdighet og åpenhet
• Dataminimering
• Lagringsbegrensning
• Formålsbegrensning
• Riktighet
• Integritet og konfidensialitet
Begynnelsen
Prinsipper
• «Prinsipp» blir brukt om en rekke overordnede normer
•
Kan f.eks. være rettslige eller politiske
• Og OECDs prinsipper var i 1980 primært politiske
• Dagens personvernprinsipper kan både sies være rettslige og politiske
• Som del av PVF er de åpenbart rettslige
• De ville også hatt rettskildemessig betydning selv om de ikke var del av forordningen, fordi de i stor grad er lagt til grunn i rettspraksis
• I tillegg kan personvernprinsippene ses på som abstraksjoner som gir forventninger om hvordan fremtidig lovgivning på personvernområdet kommer til å være: normative utgangspunkter for rettspolitisk diskurs, på lignende måte som «Interesseteorien»
(Se f.eks. Høringsnotat om forslag til ny E-tjenstelov: «Forslagene til bestemmelser bygger på de krav som kan utledes av Grunnloven og internasjonale personvernforpliktelser, herunder EMK. I tillegg vil grunnleggende
personvernprinsipper gi viktige retningslinjer.» (s. 308))
•
«Rettslig prinsipp» er en rettsgrunnsetning, dvs. en rettslig norm som danner eller kan danne grunnlaget for en rekke andre avledede normer
• Kan uttrykke gjeldende rettslige normer som har bestemmende innvirkning på løsningen av rettsspørsmål
• Kan være utgangspunkt for rettspolitiske overveielser men likevel ikke alltid ha fullt gjennomslag
«Målene og prinsippene i direktiv 95/46/EF er fremdeles gyldige
…», (fortalen nr. 9)
(a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); (PVF)
(a) processed fairly and lawfully; (PVD)
(b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving
purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);
(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of data for historical,
statistical or scientific purposes shall not be considered as incompatible provided that Member States provide appropriate safeguards;
(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are
processed (‘data minimisation’);
(c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;
(d)accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that
personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;
(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);
(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. Member States shall lay down appropriate safeguards for personal data stored for longer periods for historical, statistical or scientific use.
(f) processed in a manner that ensures appropriate security of the personal data,
including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures
(‘integrity and confidentiality)
the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing
involves the transmission of data over a network, and against all other unlawful forms of processing. (PVD art. 17(1))
Prinsippene i personvernforordningen
• Vanlig å skille mellom (retts)prinsipper og regler
• Se f.eks. fortalen til personvernforordningen, nr. 17 og 51
• Prinsipper er typisk mer overordnet og abstrakt formulert enn regler
• Personvernforordningen er så overordnet/abstrakt formulert at skillet mellom typiske prinsipper og typiske rettsregler ikke alltid blir tydelig
• Prinsippene i personvernforordningen
• har selvstendig betydning som rettsregler
• kommer dessuten til uttrykk i form av rettsregler, mange andre steder i forordningen
• kan ha betydning som momenter ved fortolkningen av andre
bestemmelser i forordningen
Prinsipper i fortalen
• Prinsippene i art. 5 blir i begrenset grad brukt i fortalen:
• Generelle henvisninger (2, 26, 51, 72, 73, 153)
• Prinsippene om rettferdig og åpen behandling (60)
• Prinsippet om åpenhet (39, 58)
• Dataminimering (156)
• I tillegg omtales enkelte bestemmelser i tillegg til art. 5 som «prinsipper»:
• Prinsippet om innebygget personvern og personvern som standardinnstilling (78, 108)
• Prinsipper for overføring av personopplysninger i et konsern (48)
• En rekke andre prinsipper blir også trukket frem:
• Allmenne prinsipper i unionsretten og i TEU (148)
• Nærhetsprinsippet (170)
• Rettslig vern (148)
• Rettferdig rettergang (148)
• Rettsstatsprinsippet (104)
• Forholdsmessighetsprinsippet (170)
• Ansvarlighetsprinsippet (85)
Prinsippet om lovlighet, rettferdighet og åpenhet (art. 5(1)(a))
• Kan ses på som et grunnprinsipp, som de øvrige prinsippene forutsetter/bygger på
• Jf. «Rettferdighet og rettmessighet» («Fairly and lawfully») i PVD art. 6(1)(a) og Europarådskonvensjonen om personvern, art. 5(a)
• PVF art. 5(1)(a) er typisk formulert som prinsipp (løser ingen bestemte rettsspørsmål)
• Består av 3 relativt selvstendige elementer (kunne også vært formulert for seg)
• Lovlig behandling
• Rettferdig behandling
• Åpen behandling
• Retter seg primært til behandlingsansvarlig, men til en viss grad også nasjonale lovgivende myndigheter og lovgivende myndigheter i Unionen (jf. f.eks. art. 6(3), siste del)
«Personopplysninger skal
a) behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte»
Lovlig behandling
• TEU, f.eks. art. 2 og 3
• Innenfor rammene av annen EU-rettslig regulering
• EMK art. 8 og Gr.l. § 102
• I samsvar med PVF selv
• «lovlig» brukes i art. 6 (men ikke i art. 9), jf. pol §§ 8 og 9
• Er neppe av spesiell betydning at «lovlig»/«ulovlig» brukes i
noen bestemmelser, men ikke andre
Rettferdig behandling
• Mulige forståelser
• Respekt for den registrertes interesser og rimelige forventninger
• Forholdsmessighet
• Ikke manipulering av registrerte personer
• Særlig (men ikke bare) aktuelt å vektlegge når det eksplisitt skal skje interesseavveininger
• «vitale interesser», «registrertes interesser eller grunnleggende rettigheter og friheter»; «viktige allmenne interesser»; «registrertes …berettigede interesser»; «økonomiske eller finansielle interesser»
• Mer enn 20 slike interesseavveininger i forordningen (se f.eks. tilfeller i art. 6(1)(d) og (f); 9(2)(b), (c), (g) og (j); 22(2)(b), (3) og (4); og 49(1)(d) og (f) og 49(5))
• Også andre bestemmelser enn art. 5(1)(a) stiller krav til rettferdighet
• gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling art. 13(2) og 14(2), 40(2)(a)
• Rettferdig rettergang 58(4), 83(8)
Åpen behandling
• Det mest konkrete elementet i art. 5(1)(a)
• Konkretiseringer av åpenhetsprinsippet
• Skje i åpenhet (ikke skjult) – «at» og «hvor»
• Gjennomsiktig – «hva»
• Forståelig – «hva» og «hvordan»
• Skape forutberegnelighet (jf. utredning av personvernkonsekvenser)
• Forutberegnelighet om både rettslige og faktiske forhold(?)
• Referanse: den alminnelige innbygger; spesielle hensyn til barn (og generelt mottakergruppen?)
• Krever ofte en formidlingsstrategi, jf. art. 24(1) om behandlingsansvarliges ansvar
• Forordningen bruker fire hovedvirkemidler for fremme åpenhet
• Informasjonsplikt for behandlingsansvarlige
• Innsynsrett for registrerte personer (i faste informasjonselementer + egne opplysninger)
• Krav til klart og enkelt språk og tilrettelegging (jf. særlig art. 12)
• Krav til innebygget personvern (jf. art. 25)
• Både informasjon og innsyn er bygget opp rundt ti typer faste informasjonselementer:
