Viktigste avgjørelser fra Personvernnemnda2 siste åradvokat Eva I.E. Jarbekk
Temaer• Innledning• Kort om nemnda• Nøkkelinformasjon 2013, saksbehandling• Viktige enkeltsaker og trender• RefleksjonerJu...
Om nemndaJune 20, 20133
Personvernnemnda• Behandler klager på vedtak fra Datatilsynet• Saksområder avhenger av Datatilsynets fokusområder• 7 medle...
PersonvernnemndaJune 20, 20135
PersonvernnemndaJune 20, 20136Saksbehandlingstid: snitt på fire til seks månederKomplekse saker har vært behandlet i en re...
PersonvernnemndaJune 20, 20137Av de 22 sakene nemnda avgjorde i 2012:•syv klager fra privatpersoner•resten av sakene var k...
Enkeltsaker, trenderJune 20, 20138
June 20, 20139
Prinsipielt om PVNs betydningPVN-2012-12 Livmorhalsprogram• Klage på Datatilsynets oppheving av vedtak om å tillate regist...
PVN-2012-12 Livmorhalsprogram• Dagen etter at nemnda hadde avsagt sitt vedtak i PVN-2012-12Livmorhalsprogram:• Forslag til...
June 20, 201312
PVN-2012-12 LivmorhalsprogramJune 20, 201313
Legalitetsprinsippet PVN-2011-09 Toll• Spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum ien...
PVN-2011-09 Toll• Datatilsynet tatt som standpunkt at tollmyndighetene ikke kan spørre enprivatperson om identifiserte utt...
PVN-2011-09 Toll – tilgang til valutaregisteretValutaregisterloven § 6 gir enkelte etater tilgang til opplysningene i regi...
PVN-2011-09 Toll• Når det gjaldt innsyn i valutaregisteret, var hovedgrunnen til at nemnda ikkekunne dele tilsynets vurder...
PVN-2011-11 Visma Retail – ny teknologiJune 20, 201318• Ny teknologi kan gi rettsutvikling• Det vises til PVN-2011-11 Vism...
• Nemnda legger avgjørende vekt på skillet mellom autentisering og identifisering• Identifisering dreier seg om å knytte e...
• Autentisering er et fenomen som angår sannhet av en påstand. Eksempler påslike påstander kan være:• Jeg har rettmessig t...
PVN-2011-11 Visma RetailJune 20, 201321•Nemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet elle...
PVN-2011-11 Visma RetailJune 20, 201322•Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse nårbehand...
Hva er «anonymt»? PVN-2012-10 SUSSJune 20, 201323• Et forhold som går igjen over tid, er manglende forståelse av hva begre...
PVN-2012-10 SUSS• Klager tilbyr seksualopplysning til ungdom pr mobil• SUSS nettside: man kan henvende seg til SUSS "uten ...
Trend: fokus på sanksjonsapparatJune 20, 201325• Flere saker har fokus på manglende bruk av regelverkets sanksjonsapparat•...
Sanksjoner - pol § 46” Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges ve...
Bruk av sanksjonsapparatJune 20, 201327Saken om Avfallsservice, PVN-2011-04Datatilsynet bekymret for situasjoner hvor arbe...
Avfallsservice Rt-2013-143 – mer om denneJune 20, 201328• Datatilsynet: Ulovlig bruk av opplysninger• Personvernnemnda: Ul...
Sitat fra Høyesteretts avgjørelse• ikke helt enkelt å få tak i forholdet mellom § 11 første ledd bokstav c og § 8bokstav f...
Sitat fra Høyesteretts avgjørelse• « Personvernnemnda antar at loven ikke kan tolkes slik at det stilles strengerekrav til...
Sitat fra Høyesteretts avgjørelse• Etter min mening gir imidlertid ikke dette uttrykk for en riktig rettsoppfatning.June 2...
Sitat fra Høyesteretts avgjørelse• Jeg peker først på at denne tolkningen av loven innebærer at § 11 første leddbokstav c ...
Sitat fra Høyesteretts avgjørelse• … gjenbruk ikke kan forankres direkte i § 8 bokstav f alene; vilkårene i § 11 førsteled...
Sitat fra Høyesteretts avgjørelse• Avfallsservice AS nye bruk av opplysningene måtte ha grunnlag både i § 11første ledd bo...
Sitat fra Høyesteretts avgjørelseKonklusjonen blir at Avfallsservice AS har behandlet personopplysningene i stridmed beste...
Avfallsservice Rt-2013-143 – mindretalletJune 20, 201336
Fremover:Formalkrav rundt kontrolltiltak av ansatte må bli strengereJune 20, 201337
Arbeidsbelastning hos DatatilsynetJune 20, 201338• Datatilsynet har en stor arbeidsbelastning og begrensede ressurser• Tem...
Overføring av personopplysninger til utlandet PVN-2011-06ConocoPhillipsJune 20, 201339• Norskregistrert utenlandsk foretak...
Hvem i alle dager er behandlingsansvarlig?PVN-2011-10 SimonsenJune 20, 201340• Simonsen bistår rettighetshaverorganisasjon...
PVN-2011-10 SimonsenJune 20, 201341•Simonsen har ingen selvstendig evne til å rettslig forfølge rettighetskrenkere, det må...
PVN-2011-10 SimonsenJune 20, 201342•De nevnte forhold påberopt av Simonsen, var helt typiske situasjoner for mangedatabeha...
Data fra sosiale medier PVN-2012-03 NettbyJune 20, 201343• Nettby ble nedlagt – skulle innholdet slettes – gis til forskni...
Nettby – fra PVNs avgjørelseHovedregelen er at den behandlingsansvarlige ikke skal lagre opplysningene lengerenn det som e...
Nemnda er således kommet til at det ikke foreligger hjemmel for fortsatt lagring.Materialet skal da slettes, jf personoppl...
Nemnda forstår dette slik at det fantes en åpen del av Nettby som vartilgjengelig for alle som var tilknyttet internett, o...
June 20, 201347• de ikke-åpne delene av Nettby, som ikke var åpent tilgjengelig på internett, men vartilgjengelig for Nett...
June 20, 201348Personvernnemnda skal avslutningsvis bemerke at den ikke uten videre er enig medDatatilsynet i at Nettby, s...
June 20, 201349Datatilsynet:En konsekvens av EF-domstolens tolkning er at de som lager private hjemmesider medopplysninger...
Tendenser – fokus fremoverJune 20, 201350•Personvern dekker mange områder – sanksjonsapparatet vil få mer fokus•En viss mo...
• Takk for oppmerksomheten!June 20, 201351
Upcoming SlideShare
Loading in …5
×

Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx

241 views

Published on

Foredrag om Personvernnemndas siste avgjørelser, vår 2013

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
241
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx

  1. 1. Viktigste avgjørelser fra Personvernnemnda2 siste åradvokat Eva I.E. Jarbekk
  2. 2. Temaer• Innledning• Kort om nemnda• Nøkkelinformasjon 2013, saksbehandling• Viktige enkeltsaker og trender• RefleksjonerJune 20, 20132
  3. 3. Om nemndaJune 20, 20133
  4. 4. Personvernnemnda• Behandler klager på vedtak fra Datatilsynet• Saksområder avhenger av Datatilsynets fokusområder• 7 medlemmer• Leder, nestleder velges av Stortinget• 5 medlemmer velges av Regjeringen• Ny nemnd fra 2013June 20, 20134
  5. 5. PersonvernnemndaJune 20, 20135
  6. 6. PersonvernnemndaJune 20, 20136Saksbehandlingstid: snitt på fire til seks månederKomplekse saker har vært behandlet i en rekke nemndsmøtergjennom 2011 og 2012PVN-2011-09 Toll, PVN-2011-10 Simonsen,PVN-2011-11 Visma Retail, PVN-2012-01Barn med påførte dødelige skader,PVN-2012-03 Nettby og PVN-2012-10 SUSSFremdeles fokus på å redusere saksbehandlingstiden og har derforutvidet møtetiden for hvert møteIngen restanser ved årets slutt
  7. 7. PersonvernnemndaJune 20, 20137Av de 22 sakene nemnda avgjorde i 2012:•syv klager fra privatpersoner•resten av sakene var klaget inn av ulike bedrifter og statlige organer(helseforetak)
  8. 8. Enkeltsaker, trenderJune 20, 20138
  9. 9. June 20, 20139
  10. 10. Prinsipielt om PVNs betydningPVN-2012-12 Livmorhalsprogram• Klage på Datatilsynets oppheving av vedtak om å tillate registrering avnegative funn ved livmorhalsscreening uten samtykke fra de registrerte• Personvernnemnda er ikke i tvil: Registrering av negative funn krevereksplisitt samtykke• Nemnda forstår ønske om en rettsendring slik at oppbevaring av enkeltepersonopplysninger som navn, fødselsnummer, adresse og lignende,oppbevares i Kreftregisteret uten samtykke, også ved negative funn• Problemet er at dette ikke er tillatt med dagens lovgivningJune 20, 201310
  11. 11. PVN-2012-12 Livmorhalsprogram• Dagen etter at nemnda hadde avsagt sitt vedtak i PVN-2012-12Livmorhalsprogram:• Forslag til endring av kreftregisterforskriften fra Helse- og omsorgsdepartementetJune 20, 201311
  12. 12. June 20, 201312
  13. 13. PVN-2012-12 LivmorhalsprogramJune 20, 201313
  14. 14. Legalitetsprinsippet PVN-2011-09 Toll• Spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum ien sak og om tollvesenet kunne bruke valutaregisteret• Ofte spørsmål om personvern i saker om hvorvidt forvaltningen har hjemmel tilulike kontrolltiltak• Nemnda finner, i likhet med Datatilsynet, grunn til å understreke atlegalitetsprinsippet oppstiller grenser for hvilke kontrolltiltak forvaltningen kaniverksette• Nemnda presiserte at legalitetsprinsippet er gradert og at hjemmelskravet errelativt, jf PVN-2011-09 TollJune 20, 201314
  15. 15. PVN-2011-09 Toll• Datatilsynet tatt som standpunkt at tollmyndighetene ikke kan spørre enprivatperson om identifiserte uttak/forbruk i utlandet, i ettertid, og omhva disse penger ble brukt til• Tilsynet mener at slikt spørsmål krever hjemmel i lov, jflegalitetsprinsippet• Nemnda delte ikke denne rettslige forståelse• Personvernnemnda: tollmyndighetene kan be om opplysninger fraprivatperson fordi legalitetsprinsippet er gradert og hjemmelskravetrelativtJune 20, 201315
  16. 16. PVN-2011-09 Toll – tilgang til valutaregisteretValutaregisterloven § 6 gir enkelte etater tilgang til opplysningene i registeret:•Politiet, skatteetaten, toll- og avgiftsetaten, Arbeids- og velferdsdirektoratet og Finanstilsynet skal haelektronisk tilgang til opplysningene i registeret. Søk i registeret skal kun skje ut fra disse etatenes behovfor opplysninger i forbindelse med forebygging og bekjempelse av kriminalitet, kontrollvirksomhet ogtilsyn.•valutaregisterloven § 1:•Formålet med loven er å forebygge og bekjempe kriminalitet og å bidra til riktig skatte- ogavgiftsbetaling, ved at kontroll- og etterforskningsorganene får tilgang til opplysninger omvalutavekslinger og fysisk eller elektronisk overføringer av betalingsmidler inn og ut av Norge•Datatilsynet problematiserte at kapittel 13 i tolloven, «alminnelige bestemmelser om tollkontroll»,synes å gi tolletaten en kontrollkompetanse innen forholdsvis snevre rammer. I hovedsak kanundersøkelser som gjelder enkeltpersoner kun skje på stedet, jf § 13-1.June 20, 201316
  17. 17. PVN-2011-09 Toll• Når det gjaldt innsyn i valutaregisteret, var hovedgrunnen til at nemnda ikkekunne dele tilsynets vurdering nettopp ulikt syn på legalitetsprinsippet• Datatilsynet mener at legalitetsprinsippet fordrer at innsyn i et slikt register hareksplisitt lovhjemmel. Etter nemndas syn må legalitetsprinsippet forstås slik atdet foreligger tilstrekkelig lovhjemmel for innsyn i registeretJune 20, 201317
  18. 18. PVN-2011-11 Visma Retail – ny teknologiJune 20, 201318• Ny teknologi kan gi rettsutvikling• Det vises til PVN-2011-11 Visma Retail der nemnda foretar enavvikende/presiserende rettstolkning i forhold til tidligere biometri-saker.Tilsvarende vurderinger ble gjort i PVN-2011-12 Adgangskontroll ubetjenttreningssenter• Saken var ikke sammenlignbar med de tidligere sakene om biometri somPersonvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som ennøkkel inn i en kundedatabase og således benyttes til identifikasjon• Poeng: hva gjør man med fingeravtrykket? Identifisering eller autentisering
  19. 19. • Nemnda legger avgjørende vekt på skillet mellom autentisering og identifisering• Identifisering dreier seg om å knytte en entydig identifikator til en bestemt ressurs (som kanvære en fysisk person).• Autentisering innebærer at et (informasjons)-system er tilrettelagt for å kunne bekrefte (elleravkrefte) at en påstand er sann• Identifisering muliggjør å samle inn, lagre og sammenknytte informasjon om etidentifisert objekt på tvers av informasjonssystemer. Dette kan gjøres heltuavhengig av om informasjonen er sann eller usannJune 20, 201319
  20. 20. • Autentisering er et fenomen som angår sannhet av en påstand. Eksempler påslike påstander kan være:• Jeg har rettmessig tilgang til ressurs X• Jeg er over 18 år• Denne personen kan entydig identifiseres av fødselsnummeret 01010012345• Kun siste alternativ som faktisk innebærer en identifisering. I de to første kandet, dersom systemet er tilrettelagt for det, gjøres en autentisering uten at detsamtidig behøver å skje noen form for identifisering. Dette avhenger av atbakveisidentifisering ikke er muligJune 20, 201320
  21. 21. PVN-2011-11 Visma RetailJune 20, 201321•Nemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet ellerkundens avgivelse av fingeravtrykk i samband med alderskontroll innebar identifiseringeller at fingeravtrykk ble brukt som «entydig identifikasjonsmiddel».•Bruken begrenses til å gi svar på spørsmålet: Er kunden gammel nok til å kjøpe denaktuelle vare?•Det er altså kun tale om autentisering, ikke identifisering•Vilkåret for at det kan gjøres et slikt skille, er at det ikke kan foretas noen ”bakveisidentifisering” av individet slik at autentisering likevel er en identifisering.
  22. 22. PVN-2011-11 Visma RetailJune 20, 201322•Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse nårbehandlingen ikke foretas med det formål å oppnå «sikker identifisering» som § 12beskriver•Det antas at denne rettsforståelsen vil åpne for nye teknologiske utnyttelser, noenemnda vurderer som positivt•Samtidig innebærer rettssituasjonen at det ved slike nye utnyttelser, må foretasbetydelige tekniske og juridiske vurderinger for å sikre at ”bakveis identifisering” ikkekan skje
  23. 23. Hva er «anonymt»? PVN-2012-10 SUSSJune 20, 201323• Et forhold som går igjen over tid, er manglende forståelse av hva begrepet ”anonym”innebærer• Begrepet anonym er ikke definert i personopplysningsloven.• Behandlingsansvarlige har ikke alltid den samme forståelse som Datatilsynet ogPersonvernnemnda av hva ”anonym” innebærer.• Problemer når loven kommer inn med full tyngde i situasjoner der denbehandlingsansvarlige trodde at den behandlingen de foretok, ikke var omfattet avlovens virkeområde.• Spesielt ofte en manglende forståelse av at såkalt indirekte identifikasjon, der manfinner identiteten til en person ved å sammenstille opplysninger fra flere kilder
  24. 24. PVN-2012-10 SUSS• Klager tilbyr seksualopplysning til ungdom pr mobil• SUSS nettside: man kan henvende seg til SUSS "uten at vi som svarer vet hvem duer"• Personvernnemnda forstår dette som løfte om anonymitet• Nemnda er enig med tilsynet i at bruk av begrepet "anonym" ikke kan benyttesdersom dette vil være misvisende overfor brukerne. Tjenesten kan ikke presenterespå nettsiden som at "vi som svarer" ikke vet hvem innringeren er, eller at det bare erde som kontakter SUSS "flere ganger" som blir registrert• Dette fremstår som villedende idet det ikke bare er de som henvender seg flereganger som blir registrert – slik nemnda forstår det blir man registrert allerede vedførste henvendelse• Det samme gjelder sms-tjenesten, hvor man ikke bare blir registrert dersom manhenvender seg flere ganger, man blir registrert allerede ved første gangs henvendelseJune 20, 201324
  25. 25. Trend: fokus på sanksjonsapparatJune 20, 201325• Flere saker har fokus på manglende bruk av regelverkets sanksjonsapparat• PVN-2011-13 Sletting fra Brillelands kunderegister• PVN-2012-04 Arbeidsgivers innsyn i e-post• Klager har ønsket at Datatilsynet i større grad skulle benyttet sittsanksjonsapparat• Nemnda har i nevnte avgjørelser stillet seg bak Datatilsynets vurdering av atsanksjoner ikke har vært påkrevet, jf en vurdering av momentene ipersonopplysningsloven § 46
  26. 26. Sanksjoner - pol § 46” Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt påa) hvor alvorlig overtredelsen har krenket de interesser loven verner,b) graden av skyld,c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebyggetovertredelsen,d) om overtredelsen er begått for å fremme overtrederens interesser,e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen,f) om det foreligger gjentakelse,g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne avdenne, blant annet om noen enkeltperson blir ilagt straff ogh) overtrederens økonomiske evne.”June 20, 201326
  27. 27. Bruk av sanksjonsapparatJune 20, 201327Saken om Avfallsservice, PVN-2011-04Datatilsynet bekymret for situasjoner hvor arbeidsgivere spekulerer i å samle og/ellersammenstille opplysninger for senere bruk i tvister i arbeidsforholdet til tross for at detfremstår som brudd på personopplysningsregelverketPersonvernnemnda uttalte at man støtter Datatilsynets uttalelse om atsanksjonsapparatet må vurderes brukt i slike saker fremoverNemnda ser det som positivt at fleksibiliteten i sanksjonssystemet brukes når denødvendige vurderinger i henhold til personopplysningsloven § 46 er gjennomført
  28. 28. Avfallsservice Rt-2013-143 – mer om denneJune 20, 201328• Datatilsynet: Ulovlig bruk av opplysninger• Personvernnemnda: Ulovlig bruk av opplysninger• Høyesterett: ulovlig bruk av informasjon, ikke stor nok krenkelse til erstatning
  29. 29. Sitat fra Høyesteretts avgjørelse• ikke helt enkelt å få tak i forholdet mellom § 11 første ledd bokstav c og § 8bokstav f, noe som reflekteres i avgjørelsene til de tidligere rettsinstanser. Bådelagmannsretten og tingretten har lagt til grunn at de to bestemmelsene kan værealternative hjemler for gjenbruk av personopplysninger til nytt formål. Beggeinstanser har således først drøftet om gjenbruken hadde hjemmel i § 11 førsteledd bokstav c, og deretter – etter å ha konkludert negativt på dette – om § 8bokstav f ga hjemmel. En slik tolkning har støtte i praksis fra Datatilsynet ogPersonvernnemnda. I vedtak PVN-2004-3 fra Personvernnemnda het det:June 20, 201329
  30. 30. Sitat fra Høyesteretts avgjørelse• « Personvernnemnda antar at loven ikke kan tolkes slik at det stilles strengerekrav til gjenbruk enn til bruk av opplysninger innsamlet første gang.Bestemmelsen om gjenbruk må ses på som en lemping av kravene ipersonopplysningsloven § 8 og § 9. Når vilkårene for anvendelse av denne merlempelige bestemmelsen ikke er oppfylt, må man falle tilbake til lovenshovedregel, og vurdere om kravene er oppfylt etter personopplysningsloven § 8.»June 20, 201330
  31. 31. Sitat fra Høyesteretts avgjørelse• Etter min mening gir imidlertid ikke dette uttrykk for en riktig rettsoppfatning.June 20, 201331
  32. 32. Sitat fra Høyesteretts avgjørelse• Jeg peker først på at denne tolkningen av loven innebærer at § 11 første leddbokstav c får liten selvstendig betydning. Bestemmelsen gir uttrykk for etformålsprinsipp – også omtalt som finalité-prinsippet – som innebærer atinnsamling av opplysninger skal skje til uttrykkelig angitte og saklige formål, og atsenere behandling ikke må være uforenlig med disse formål. Dette prinsippet,som er nedfelt i artikkel 6 første ledd bokstav b i nevnte direktiv 95/46/EF,regnes internasjonalt som et fundamentalt og viktig prinsipp påpersonopplysningsrettens område, jf. Waaben og Nielsen, Lov om behandling afpersonoplysninger (2. udgave) side 146. Det har formodningen mot seg at lovenskal forstås slik at dette prinsippet langt på vei bortfortolkesJune 20, 201332
  33. 33. Sitat fra Høyesteretts avgjørelse• … gjenbruk ikke kan forankres direkte i § 8 bokstav f alene; vilkårene i § 11 førsteledd bokstav c må også være tilfredsstilt. Foruten at dette siste kan utledes avordlyden i § 11 første ledd bokstav c, følger det uttrykkelig av det som videreuttales i proposisjonen:• « I tillegg oppstilles det som et særskilt vilkår at det nye formålet ikke må være uforenlig meddet eller de formålene som opprinnelig lå til grunn for innsamlingen av personopplysningene, jf.bokstav c. Vilkåret gir uttrykk for det såkalte finalitetsprinsippet og vil utgjøre en viktigbegrensning bl.a for adgangen til å bruke elektroniske spor og til å samkjøre registre eller andreinformasjonssamlinger ... . Kravet om forenlighet innebærer at det til tross for at det nyeformålet er hjemlet i § 8, kan være slik at de innsamlede opplysningene likevel ikke kan brukesfor dette formålet. I så fall må den behandlingsansvarlige samle opplysningene inn på nytt. »June 20, 201333
  34. 34. Sitat fra Høyesteretts avgjørelse• Avfallsservice AS nye bruk av opplysningene måtte ha grunnlag både i § 11første ledd bokstav c og § 8 bokstav f.• Drøftelsen ovenfor vil ha vist at det ikke er helt klart at Avfallsservice AS bruktepersonopplysningene til et formål som var uforenlig med det opprinneligeformålet, jf. § 11 første ledd bokstav c. Etter min mening trekker imidlertid denevnte momenter samlet sett i retning av at den nye bruken ikke kunneforankres i bestemmelsen. Jeg legger særlig vekt på at kontrollformålet skiller segmarkert fra det opprinnelige formålet.June 20, 201334
  35. 35. Sitat fra Høyesteretts avgjørelseKonklusjonen blir at Avfallsservice AS har behandlet personopplysningene i stridmed bestemmelser i personopplysningsloven.June 20, 201335
  36. 36. Avfallsservice Rt-2013-143 – mindretalletJune 20, 201336
  37. 37. Fremover:Formalkrav rundt kontrolltiltak av ansatte må bli strengereJune 20, 201337
  38. 38. Arbeidsbelastning hos DatatilsynetJune 20, 201338• Datatilsynet har en stor arbeidsbelastning og begrensede ressurser• Tema i PVN-2012-15 Kamera på privat grunn• Generelt er Datatilsynet gitt en vid skjønnsmessig adgang til å vurdere om detforeligger tilstrekkelige personverninteresser til at saken børrealitetsbehandles eller om man av prioriteringshensyn bør la saken ligge• Personvernnemnda vil i alminnelighet legge terskelen relativt høyt for åoverprøve Datatilsynets avgjørelse om nedprioritering og var i denne sakenenig med Datatilsynets vurderinger
  39. 39. Overføring av personopplysninger til utlandet PVN-2011-06ConocoPhillipsJune 20, 201339• Norskregistrert utenlandsk foretak (NUF); amerikanske selskapet og NUF’et er sammejuridiske enhet• Overføring av opplysninger om ansatte, kunder og leverandører til USA vurderes i henholdtil § 30• Terrorscreening foretas i USA: Spørsmålet om det forelå adgang til å foreta screening avdenne informasjonen i USA lå etter Personvernnemndas syn utenfor vår jurisdiksjon• Etter nemndas syn hadde overføringen hjemmel i personopplysningsloven § 30 bokstav c),det vil si at det er nødvendig for å oppfylle en avtale.• Avgjørelsen tar ikke opp forholdet til § 11 i POL
  40. 40. Hvem i alle dager er behandlingsansvarlig?PVN-2011-10 SimonsenJune 20, 201340• Simonsen bistår rettighetshaverorganisasjoner med å overvåke fildelingssystemer• Spørsmålet var om Simonsen var databehandler for rettighetsorganisasjonene – dakunne de ikke få konsesjon• Simonsen hevdet at de• bestemmer eller detaljerer formålet med behandlingen• utfører oppdraget, bearbeider funn, legger data inn, sikrer bevis etc.• Dissens. Flertall la avgjørende vekt på ordlyden i loven og at Simonsen ikke kunnevære behandlingsansvarlig
  41. 41. PVN-2011-10 SimonsenJune 20, 201341•Simonsen har ingen selvstendig evne til å rettslig forfølge rettighetskrenkere, det mågjøres i samråd med og på vegne av rettighetsorganisasjonene•Rettighetshaverne har bestemt og definert formålet innledningsvis•Fra forarbeidene om behandlingsansvar:• hvem bestemmer formålet• hvem bestemmer virkemidlene• hvem har nærhet/daglig befatning med personopplysningene
  42. 42. PVN-2011-10 SimonsenJune 20, 201342•De nevnte forhold påberopt av Simonsen, var helt typiske situasjoner for mangedatabehandlere•Flertallet av den klare oppfatning at det er mulig at Simonsen både foreslår ogbestemmer hvilke praktiske hjelpemidler som brukes, men det errettighetshaverorganisasjonene som overordnet bestemmer virkemidlene ogfremgangsmåten, herunder valget å bruke Simonsen
  43. 43. Data fra sosiale medier PVN-2012-03 NettbyJune 20, 201343• Nettby ble nedlagt – skulle innholdet slettes – gis til forskning?• Klagen ble ikke tatt til følge, men nemnda kom frem til en annen løsning ennDatatilsynet• Nemnda kom til at det forelå avleveringsplikt for de dokumenter VG ønsket å lagrei denne saken, det vil si innholdet i de åpne fora/områdene som var åpen forindeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men somvar tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3og 4• Materialet slettes etter avlevering
  44. 44. Nettby – fra PVNs avgjørelseHovedregelen er at den behandlingsansvarlige ikke skal lagre opplysningene lengerenn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28første ledd. Nettby er nedlagt og formålet med behandlingen foreligger derforikke lenger. Nemnda er enig med Datatilsynet i at det ikke foreligger annetbehandlingsgrunnlag for videre oppbevaring av opplysningene.June 20, 201344
  45. 45. Nemnda er således kommet til at det ikke foreligger hjemmel for fortsatt lagring.Materialet skal da slettes, jf personopplysningsloven § 28 første ledd. Imidlertid ernemnda av den oppfatning at deler av materialet er omfattet av "lov omavleveringsplikt for allment tilgjengelege dokument" (pliktavleveringsloven).Nettby var et lukket forum, noe som kunne tilsi at det ikke var allment tilgjengelig.Det fremgår imidlertid følgende av brukervilkårene for Nettby, jf brev av 20.1.2012fra klager:"Nyheter som du skriver i åpne grupper vil være tilgjengelig for alle som er knyttettil internett og vil også kunne bli indeksert av søkemotorer som f.eks Google.com."June 20, 201345
  46. 46. Nemnda forstår dette slik at det fantes en åpen del av Nettby som vartilgjengelig for alle som var tilknyttet internett, og dermed "tilgjengeleg forallmenta" jf pliktavleveringsloven §§ 3 og 4. Det betyr at dette materialetuten hinder kunne bli indeksert av søkemotorer, inkludertNasjonalbibliotekets søkemotor. Når det gjelder denne åpne delen avNettby, er nemnda således av den oppfatning at disse dokumenteneomfattes av pliktavleveringslovenJune 20, 201346
  47. 47. June 20, 201347• de ikke-åpne delene av Nettby, som ikke var åpent tilgjengelig på internett, men vartilgjengelig for Nettbys anslagsvis 750 000 borgere, så kan det diskuteres hvorvidt dettevar gjort "tilgjengeleg for allmenta" og "utanfor ein privat krins", jf pliktavleveringsloven §3 annet ledd• Det springende punkt vil da være om 750 000 personer er å anse som en "privat krins«• Bing: antas å falle sammen med det åndsverkloven kaller "offentliggjørelse«• Åvl §8: tilgjengelig for allmennheten når det gjøres tilgjengelig utenfor det privateområde• Kopiering av noter til kor/orkester er ikke privat• Nettby, med opptil 750 000 borgere, kan ikke sies å være en privat krets
  48. 48. June 20, 201348Personvernnemnda skal avslutningsvis bemerke at den ikke uten videre er enig medDatatilsynet i at Nettby, så lenge nettstedet var i drift, ikke var omfattet avpersonopplysningslovenpersonopplysningsloven § 3, annet ledd, det vil si at loven ikke gjelder for behandling forrent private eller personlige formålsak C-101/01 "Bodil Lindqvist mot Åklagarkammaren i Jönköping", der det ble lagt tilgrunn at unntaket ("private formål") ikke gjelder for personopplysninger som er"tilgjängliga för ett ubestämt antall personer»
  49. 49. June 20, 201349Datatilsynet:En konsekvens av EF-domstolens tolkning er at de som lager private hjemmesider medopplysninger om andre personer må forholde seg til reglene i personopplysningsloven.Personvernnemnda tar ikke stilling til dette, men ser at ansvarsforholdet rundthåndtering av personopplysninger i sosiale medier reiser prinsipielt viktige spørsmål somtrenger en avklaring.
  50. 50. Tendenser – fokus fremoverJune 20, 201350•Personvern dekker mange områder – sanksjonsapparatet vil få mer fokus•En viss motsetning mellom ønsker fra forskere/forvaltning, effektivitetskrav ogpersonvern•Definisjonen av behandlingsansvarlig vil bli mer sentral•Autentisering blir en praktisk viktig funksjon•Kontroll i arbeidslivet vil få fokus – tverrjuridisk•Internasjonalisering øker – og er vanskelig – derfor også bruk av BCR i store konsern
  51. 51. • Takk for oppmerksomheten!June 20, 201351

×