SlideShare uma empresa Scribd logo

Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx

Transferir como PPT, PDF
Eva Jarbekk
Eva Jarbekk

Foredrag om Personvernnemndas siste avgjørelser, vår 2013

Negócios
1 de 51
Viktigste avgjørelser fra Personvernnemnda 2 siste år advokat Eva I.E. Jarbekk
Temaer • Innledning • Kort om nemnda • Nøkkelinformasjon 2013, saksbehandling • Viktige enkeltsaker og trender • Refleksjoner June 20, 20132
Om nemnda June 20, 20133
Personvernnemnda • Behandler klager på vedtak fra Datatilsynet • Saksområder avhenger av Datatilsynets fokusområder • 7 medlemmer • Leder, nestleder velges av Stortinget • 5 medlemmer velges av Regjeringen • Ny nemnd fra 2013 June 20, 20134
Personvernnemnda June 20, 20135
Personvernnemnda June 20, 20136 Saksbehandlingstid: snitt på fire til seks måneder Komplekse saker har vært behandlet i en rekke nemndsmøter gjennom 2011 og 2012 PVN-2011-09 Toll, PVN-2011-10 Simonsen, PVN-2011-11 Visma Retail, PVN-2012-01 Barn med påførte dødelige skader, PVN-2012-03 Nettby og PVN-2012-10 SUSS Fremdeles fokus på å redusere saksbehandlingstiden og har derfor utvidet møtetiden for hvert møte Ingen restanser ved årets slutt
Personvernnemnda June 20, 20137 Av de 22 sakene nemnda avgjorde i 2012: •syv klager fra privatpersoner •resten av sakene var klaget inn av ulike bedrifter og statlige organer (helseforetak)
Enkeltsaker, trender June 20, 20138
June 20, 20139
Prinsipielt om PVNs betydning PVN-2012-12 Livmorhalsprogram • Klage på Datatilsynets oppheving av vedtak om å tillate registrering av negative funn ved livmorhalsscreening uten samtykke fra de registrerte • Personvernnemnda er ikke i tvil: Registrering av negative funn krever eksplisitt samtykke • Nemnda forstår ønske om en rettsendring slik at oppbevaring av enkelte personopplysninger som navn, fødselsnummer, adresse og lignende, oppbevares i Kreftregisteret uten samtykke, også ved negative funn • Problemet er at dette ikke er tillatt med dagens lovgivning June 20, 201310
PVN-2012-12 Livmorhalsprogram • Dagen etter at nemnda hadde avsagt sitt vedtak i PVN-2012-12 Livmorhalsprogram: • Forslag til endring av kreftregisterforskriften fra Helse- og omsorgsdepartementet June 20, 201311
June 20, 201312
PVN-2012-12 Livmorhalsprogram June 20, 201313
Legalitetsprinsippet PVN-2011-09 Toll • Spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak og om tollvesenet kunne bruke valutaregisteret • Ofte spørsmål om personvern i saker om hvorvidt forvaltningen har hjemmel til ulike kontrolltiltak • Nemnda finner, i likhet med Datatilsynet, grunn til å understreke at legalitetsprinsippet oppstiller grenser for hvilke kontrolltiltak forvaltningen kan iverksette • Nemnda presiserte at legalitetsprinsippet er gradert og at hjemmelskravet er relativt, jf PVN-2011-09 Toll June 20, 201314
PVN-2011-09 Toll • Datatilsynet tatt som standpunkt at tollmyndighetene ikke kan spørre en privatperson om identifiserte uttak/forbruk i utlandet, i ettertid, og om hva disse penger ble brukt til • Tilsynet mener at slikt spørsmål krever hjemmel i lov, jf legalitetsprinsippet • Nemnda delte ikke denne rettslige forståelse • Personvernnemnda: tollmyndighetene kan be om opplysninger fra privatperson fordi legalitetsprinsippet er gradert og hjemmelskravet relativt June 20, 201315
PVN-2011-09 Toll – tilgang til valutaregisteret Valutaregisterloven § 6 gir enkelte etater tilgang til opplysningene i registeret: •Politiet, skatteetaten, toll- og avgiftsetaten, Arbeids- og velferdsdirektoratet og Finanstilsynet skal ha elektronisk tilgang til opplysningene i registeret. Søk i registeret skal kun skje ut fra disse etatenes behov for opplysninger i forbindelse med forebygging og bekjempelse av kriminalitet, kontrollvirksomhet og tilsyn. •valutaregisterloven § 1: •Formålet med loven er å forebygge og bekjempe kriminalitet og å bidra til riktig skatte- og avgiftsbetaling, ved at kontroll- og etterforskningsorganene får tilgang til opplysninger om valutavekslinger og fysisk eller elektronisk overføringer av betalingsmidler inn og ut av Norge •Datatilsynet problematiserte at kapittel 13 i tolloven, «alminnelige bestemmelser om tollkontroll», synes å gi tolletaten en kontrollkompetanse innen forholdsvis snevre rammer. I hovedsak kan undersøkelser som gjelder enkeltpersoner kun skje på stedet, jf § 13-1. June 20, 201316
PVN-2011-09 Toll • Når det gjaldt innsyn i valutaregisteret, var hovedgrunnen til at nemnda ikke kunne dele tilsynets vurdering nettopp ulikt syn på legalitetsprinsippet • Datatilsynet mener at legalitetsprinsippet fordrer at innsyn i et slikt register har eksplisitt lovhjemmel. Etter nemndas syn må legalitetsprinsippet forstås slik at det foreligger tilstrekkelig lovhjemmel for innsyn i registeret June 20, 201317
PVN-2011-11 Visma Retail – ny teknologi June 20, 201318 • Ny teknologi kan gi rettsutvikling • Det vises til PVN-2011-11 Visma Retail der nemnda foretar en avvikende/presiserende rettstolkning i forhold til tidligere biometri-saker. Tilsvarende vurderinger ble gjort i PVN-2011-12 Adgangskontroll ubetjent treningssenter • Saken var ikke sammenlignbar med de tidligere sakene om biometri som Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon • Poeng: hva gjør man med fingeravtrykket? Identifisering eller autentisering
• Nemnda legger avgjørende vekt på skillet mellom autentisering og identifisering • Identifisering dreier seg om å knytte en entydig identifikator til en bestemt ressurs (som kan være en fysisk person). • Autentisering innebærer at et (informasjons)-system er tilrettelagt for å kunne bekrefte (eller avkrefte) at en påstand er sann • Identifisering muliggjør å samle inn, lagre og sammenknytte informasjon om et identifisert objekt på tvers av informasjonssystemer. Dette kan gjøres helt uavhengig av om informasjonen er sann eller usann June 20, 201319
• Autentisering er et fenomen som angår sannhet av en påstand. Eksempler på slike påstander kan være: • Jeg har rettmessig tilgang til ressurs X • Jeg er over 18 år • Denne personen kan entydig identifiseres av fødselsnummeret 01010012345 • Kun siste alternativ som faktisk innebærer en identifisering. I de to første kan det, dersom systemet er tilrettelagt for det, gjøres en autentisering uten at det samtidig behøver å skje noen form for identifisering. Dette avhenger av at bakveisidentifisering ikke er mulig June 20, 201320
PVN-2011-11 Visma Retail June 20, 201321 •Nemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebar identifisering eller at fingeravtrykk ble brukt som «entydig identifikasjonsmiddel». •Bruken begrenses til å gi svar på spørsmålet: Er kunden gammel nok til å kjøpe den aktuelle vare? •Det er altså kun tale om autentisering, ikke identifisering •Vilkåret for at det kan gjøres et slikt skille, er at det ikke kan foretas noen ”bakveis identifisering” av individet slik at autentisering likevel er en identifisering.
PVN-2011-11 Visma Retail June 20, 201322 •Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse når behandlingen ikke foretas med det formål å oppnå «sikker identifisering» som § 12 beskriver •Det antas at denne rettsforståelsen vil åpne for nye teknologiske utnyttelser, noe nemnda vurderer som positivt •Samtidig innebærer rettssituasjonen at det ved slike nye utnyttelser, må foretas betydelige tekniske og juridiske vurderinger for å sikre at ”bakveis identifisering” ikke kan skje
Hva er «anonymt»? PVN-2012-10 SUSS June 20, 201323 • Et forhold som går igjen over tid, er manglende forståelse av hva begrepet ”anonym” innebærer • Begrepet anonym er ikke definert i personopplysningsloven. • Behandlingsansvarlige har ikke alltid den samme forståelse som Datatilsynet og Personvernnemnda av hva ”anonym” innebærer. • Problemer når loven kommer inn med full tyngde i situasjoner der den behandlingsansvarlige trodde at den behandlingen de foretok, ikke var omfattet av lovens virkeområde. • Spesielt ofte en manglende forståelse av at såkalt indirekte identifikasjon, der man finner identiteten til en person ved å sammenstille opplysninger fra flere kilder
PVN-2012-10 SUSS • Klager tilbyr seksualopplysning til ungdom pr mobil • SUSS' nettside: man kan henvende seg til SUSS "uten at vi som svarer vet hvem du er" • Personvernnemnda forstår dette som løfte om anonymitet • Nemnda er enig med tilsynet i at bruk av begrepet "anonym" ikke kan benyttes dersom dette vil være misvisende overfor brukerne. Tjenesten kan ikke presenteres på nettsiden som at "vi som svarer" ikke vet hvem innringeren er, eller at det bare er de som kontakter SUSS "flere ganger" som blir registrert • Dette fremstår som villedende idet det ikke bare er de som henvender seg flere ganger som blir registrert – slik nemnda forstår det blir man registrert allerede ved første henvendelse • Det samme gjelder sms-tjenesten, hvor man ikke bare blir registrert dersom man henvender seg flere ganger, man blir registrert allerede ved første gangs henvendelse June 20, 201324
Trend: fokus på sanksjonsapparat June 20, 201325 • Flere saker har fokus på manglende bruk av regelverkets sanksjonsapparat • PVN-2011-13 Sletting fra Brillelands kunderegister • PVN-2012-04 Arbeidsgivers innsyn i e-post • Klager har ønsket at Datatilsynet i større grad skulle benyttet sitt sanksjonsapparat • Nemnda har i nevnte avgjørelser stillet seg bak Datatilsynets vurdering av at sanksjoner ikke har vært påkrevet, jf en vurdering av momentene i personopplysningsloven § 46
Sanksjoner - pol § 46 ” Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på a) hvor alvorlig overtredelsen har krenket de interesser loven verner, b) graden av skyld, c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen, d) om overtredelsen er begått for å fremme overtrederens interesser, e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, f) om det foreligger gjentakelse, g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og h) overtrederens økonomiske evne.” June 20, 201326
Bruk av sanksjonsapparat June 20, 201327 Saken om Avfallsservice, PVN-2011-04 Datatilsynet bekymret for situasjoner hvor arbeidsgivere spekulerer i å samle og/eller sammenstille opplysninger for senere bruk i tvister i arbeidsforholdet til tross for at det fremstår som brudd på personopplysningsregelverket Personvernnemnda uttalte at man støtter Datatilsynets uttalelse om at sanksjonsapparatet må vurderes brukt i slike saker fremover Nemnda ser det som positivt at fleksibiliteten i sanksjonssystemet brukes når de nødvendige vurderinger i henhold til personopplysningsloven § 46 er gjennomført
Avfallsservice Rt-2013-143 – mer om denne June 20, 201328 • Datatilsynet: Ulovlig bruk av opplysninger • Personvernnemnda: Ulovlig bruk av opplysninger • Høyesterett: ulovlig bruk av informasjon, ikke stor nok krenkelse til erstatning
Sitat fra Høyesteretts avgjørelse • ikke helt enkelt å få tak i forholdet mellom § 11 første ledd bokstav c og § 8 bokstav f, noe som reflekteres i avgjørelsene til de tidligere rettsinstanser. Både lagmannsretten og tingretten har lagt til grunn at de to bestemmelsene kan være alternative hjemler for gjenbruk av personopplysninger til nytt formål. Begge instanser har således først drøftet om gjenbruken hadde hjemmel i § 11 første ledd bokstav c, og deretter – etter å ha konkludert negativt på dette – om § 8 bokstav f ga hjemmel. En slik tolkning har støtte i praksis fra Datatilsynet og Personvernnemnda. I vedtak PVN-2004-3 fra Personvernnemnda het det: June 20, 201329
Sitat fra Høyesteretts avgjørelse • « Personvernnemnda antar at loven ikke kan tolkes slik at det stilles strengere krav til gjenbruk enn til bruk av opplysninger innsamlet første gang. Bestemmelsen om gjenbruk må ses på som en lemping av kravene i personopplysningsloven § 8 og § 9. Når vilkårene for anvendelse av denne mer lempelige bestemmelsen ikke er oppfylt, må man falle tilbake til lovens hovedregel, og vurdere om kravene er oppfylt etter personopplysningsloven § 8. » June 20, 201330
Sitat fra Høyesteretts avgjørelse • Etter min mening gir imidlertid ikke dette uttrykk for en riktig rettsoppfatning. June 20, 201331
Sitat fra Høyesteretts avgjørelse • Jeg peker først på at denne tolkningen av loven innebærer at § 11 første ledd bokstav c får liten selvstendig betydning. Bestemmelsen gir uttrykk for et formålsprinsipp – også omtalt som finalité-prinsippet – som innebærer at innsamling av opplysninger skal skje til uttrykkelig angitte og saklige formål, og at senere behandling ikke må være uforenlig med disse formål. Dette prinsippet, som er nedfelt i artikkel 6 første ledd bokstav b i nevnte direktiv 95/46/EF, regnes internasjonalt som et fundamentalt og viktig prinsipp på personopplysningsrettens område, jf. Waaben og Nielsen, Lov om behandling af personoplysninger (2. udgave) side 146. Det har formodningen mot seg at loven skal forstås slik at dette prinsippet langt på vei bortfortolkes June 20, 201332
Sitat fra Høyesteretts avgjørelse • … gjenbruk ikke kan forankres direkte i § 8 bokstav f alene; vilkårene i § 11 første ledd bokstav c må også være tilfredsstilt. Foruten at dette siste kan utledes av ordlyden i § 11 første ledd bokstav c, følger det uttrykkelig av det som videre uttales i proposisjonen: • « I tillegg oppstilles det som et særskilt vilkår at det nye formålet ikke må være uforenlig med det eller de formålene som opprinnelig lå til grunn for innsamlingen av personopplysningene, jf. bokstav c. Vilkåret gir uttrykk for det såkalte finalitetsprinsippet og vil utgjøre en viktig begrensning bl.a for adgangen til å bruke elektroniske spor og til å samkjøre registre eller andre informasjonssamlinger ... . Kravet om forenlighet innebærer at det til tross for at det nye formålet er hjemlet i § 8, kan være slik at de innsamlede opplysningene likevel ikke kan brukes for dette formålet. I så fall må den behandlingsansvarlige samle opplysningene inn på nytt. » June 20, 201333
Sitat fra Høyesteretts avgjørelse • Avfallsservice AS' nye bruk av opplysningene måtte ha grunnlag både i § 11 første ledd bokstav c og § 8 bokstav f. • Drøftelsen ovenfor vil ha vist at det ikke er helt klart at Avfallsservice AS brukte personopplysningene til et formål som var uforenlig med det opprinnelige formålet, jf. § 11 første ledd bokstav c. Etter min mening trekker imidlertid de nevnte momenter samlet sett i retning av at den nye bruken ikke kunne forankres i bestemmelsen. Jeg legger særlig vekt på at kontrollformålet skiller seg markert fra det opprinnelige formålet. June 20, 201334
Sitat fra Høyesteretts avgjørelse Konklusjonen blir at Avfallsservice AS har behandlet personopplysningene i strid med bestemmelser i personopplysningsloven. June 20, 201335
Avfallsservice Rt-2013-143 – mindretallet June 20, 201336
Fremover: Formalkrav rundt kontrolltiltak av ansatte må bli strengere June 20, 201337
Arbeidsbelastning hos Datatilsynet June 20, 201338 • Datatilsynet har en stor arbeidsbelastning og begrensede ressurser • Tema i PVN-2012-15 Kamera på privat grunn • Generelt er Datatilsynet gitt en vid skjønnsmessig adgang til å vurdere om det foreligger tilstrekkelige personverninteresser til at saken bør realitetsbehandles eller om man av prioriteringshensyn bør la saken ligge • Personvernnemnda vil i alminnelighet legge terskelen relativt høyt for å overprøve Datatilsynets avgjørelse om nedprioritering og var i denne saken enig med Datatilsynets vurderinger
Overføring av personopplysninger til utlandet PVN-2011-06 ConocoPhillips June 20, 201339 • Norskregistrert utenlandsk foretak (NUF); amerikanske selskapet og NUF’et er samme juridiske enhet • Overføring av opplysninger om ansatte, kunder og leverandører til USA vurderes i henhold til § 30 • Terrorscreening foretas i USA: Spørsmålet om det forelå adgang til å foreta screening av denne informasjonen i USA lå etter Personvernnemndas syn utenfor vår jurisdiksjon • Etter nemndas syn hadde overføringen hjemmel i personopplysningsloven § 30 bokstav c), det vil si at det er nødvendig for å oppfylle en avtale. • Avgjørelsen tar ikke opp forholdet til § 11 i POL
Hvem i alle dager er behandlingsansvarlig? PVN-2011-10 Simonsen June 20, 201340 • Simonsen bistår rettighetshaverorganisasjoner med å overvåke fildelingssystemer • Spørsmålet var om Simonsen var databehandler for rettighetsorganisasjonene – da kunne de ikke få konsesjon • Simonsen hevdet at de • bestemmer eller detaljerer formålet med behandlingen • utfører oppdraget, bearbeider funn, legger data inn, sikrer bevis etc. • Dissens. Flertall la avgjørende vekt på ordlyden i loven og at Simonsen ikke kunne være behandlingsansvarlig
PVN-2011-10 Simonsen June 20, 201341 •Simonsen har ingen selvstendig evne til å rettslig forfølge rettighetskrenkere, det må gjøres i samråd med og på vegne av rettighetsorganisasjonene •Rettighetshaverne har bestemt og definert formålet innledningsvis •Fra forarbeidene om behandlingsansvar: • hvem bestemmer formålet • hvem bestemmer virkemidlene • hvem har nærhet/daglig befatning med personopplysningene
PVN-2011-10 Simonsen June 20, 201342 •De nevnte forhold påberopt av Simonsen, var helt typiske situasjoner for mange databehandlere •Flertallet av den klare oppfatning at det er mulig at Simonsen både foreslår og bestemmer hvilke praktiske hjelpemidler som brukes, men det er rettighetshaverorganisasjonene som overordnet bestemmer virkemidlene og fremgangsmåten, herunder valget å bruke Simonsen
Data fra sosiale medier PVN-2012-03 Nettby June 20, 201343 • Nettby ble nedlagt – skulle innholdet slettes – gis til forskning? • Klagen ble ikke tatt til følge, men nemnda kom frem til en annen løsning enn Datatilsynet • Nemnda kom til at det forelå avleveringsplikt for de dokumenter VG ønsket å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4 • Materialet slettes etter avlevering
Nettby – fra PVNs avgjørelse Hovedregelen er at den behandlingsansvarlige ikke skal lagre opplysningene lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28 første ledd. Nettby er nedlagt og formålet med behandlingen foreligger derfor ikke lenger. Nemnda er enig med Datatilsynet i at det ikke foreligger annet behandlingsgrunnlag for videre oppbevaring av opplysningene. June 20, 201344
Nemnda er således kommet til at det ikke foreligger hjemmel for fortsatt lagring. Materialet skal da slettes, jf personopplysningsloven § 28 første ledd. Imidlertid er nemnda av den oppfatning at deler av materialet er omfattet av "lov om avleveringsplikt for allment tilgjengelege dokument" (pliktavleveringsloven). Nettby var et lukket forum, noe som kunne tilsi at det ikke var allment tilgjengelig. Det fremgår imidlertid følgende av brukervilkårene for Nettby, jf brev av 20.1.2012 fra klager: "Nyheter som du skriver i åpne grupper vil være tilgjengelig for alle som er knyttet til internett og vil også kunne bli indeksert av søkemotorer som f.eks Google.com." June 20, 201345
Nemnda forstår dette slik at det fantes en åpen del av Nettby som var tilgjengelig for alle som var tilknyttet internett, og dermed "tilgjengeleg for allmenta" jf pliktavleveringsloven §§ 3 og 4. Det betyr at dette materialet uten hinder kunne bli indeksert av søkemotorer, inkludert Nasjonalbibliotekets søkemotor. Når det gjelder denne åpne delen av Nettby, er nemnda således av den oppfatning at disse dokumentene omfattes av pliktavleveringsloven June 20, 201346
June 20, 201347 • de ikke-åpne delene av Nettby, som ikke var åpent tilgjengelig på internett, men var tilgjengelig for Nettbys anslagsvis 750 000 borgere, så kan det diskuteres hvorvidt dette var gjort "tilgjengeleg for allmenta" og "utanfor ein privat krins", jf pliktavleveringsloven § 3 annet ledd • Det springende punkt vil da være om 750 000 personer er å anse som en "privat krins« • Bing: antas å falle sammen med det åndsverkloven kaller "offentliggjørelse« • Åvl §8: tilgjengelig for allmennheten når det gjøres tilgjengelig utenfor det private område • Kopiering av noter til kor/orkester er ikke privat • Nettby, med opptil 750 000 borgere, kan ikke sies å være en privat krets
June 20, 201348 Personvernnemnda skal avslutningsvis bemerke at den ikke uten videre er enig med Datatilsynet i at Nettby, så lenge nettstedet var i drift, ikke var omfattet av personopplysningsloven personopplysningsloven § 3, annet ledd, det vil si at loven ikke gjelder for behandling for rent private eller personlige formål sak C-101/01 "Bodil Lindqvist mot Åklagarkammaren i Jönköping", der det ble lagt til grunn at unntaket ("private formål") ikke gjelder for personopplysninger som er "tilgjängliga för ett ubestämt antall personer»
June 20, 201349 Datatilsynet: En konsekvens av EF-domstolens tolkning er at de som lager private hjemmesider med opplysninger om andre personer må forholde seg til reglene i personopplysningsloven. Personvernnemnda tar ikke stilling til dette, men ser at ansvarsforholdet rundt håndtering av personopplysninger i sosiale medier reiser prinsipielt viktige spørsmål som trenger en avklaring.
Tendenser – fokus fremover June 20, 201350 •Personvern dekker mange områder – sanksjonsapparatet vil få mer fokus •En viss motsetning mellom ønsker fra forskere/forvaltning, effektivitetskrav og personvern •Definisjonen av behandlingsansvarlig vil bli mer sentral •Autentisering blir en praktisk viktig funksjon •Kontroll i arbeidslivet vil få fokus – tverrjuridisk •Internasjonalisering øker – og er vanskelig – derfor også bruk av BCR i store konsern
• Takk for oppmerksomheten! June 20, 201351

Recomendados

Retail Payment Allan Ludvigsen
Retail Payment Allan LudvigsenRetail Payment Allan Ludvigsen
Retail Payment Allan LudvigsenBjørn Sloth
 
Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EUEva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
Brukerundersøkelse 2012 oppsummeringsrapport
Brukerundersøkelse 2012 oppsummeringsrapportBrukerundersøkelse 2012 oppsummeringsrapport
Brukerundersøkelse 2012 oppsummeringsrapportLotteri- og stiftelsestilsynet
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxEva Jarbekk
 

Recomendados

Retail Payment Allan Ludvigsen
Retail Payment Allan LudvigsenRetail Payment Allan Ludvigsen
Retail Payment Allan LudvigsenBjørn Sloth
 
Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EUEva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
Brukerundersøkelse 2012 oppsummeringsrapport
Brukerundersøkelse 2012 oppsummeringsrapportBrukerundersøkelse 2012 oppsummeringsrapport
Brukerundersøkelse 2012 oppsummeringsrapportLotteri- og stiftelsestilsynet
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxEva Jarbekk
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxEva Jarbekk
 
Virke: Forenkling i småskala reiseliv
Virke: Forenkling i småskala reiselivVirke: Forenkling i småskala reiseliv
Virke: Forenkling i småskala reiselivHilde Charlotte Solheim
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feideSenter for IKT i utdanningen, redaksjon
 
Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014
Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014
Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014Espen Sjøvoll
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxEva Jarbekk
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxEva Jarbekk
 
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014Steinar Skagemo
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Senter for IKT i utdanningen, redaksjon
 
EDAG i skyene
EDAG i skyeneEDAG i skyene
EDAG i skyeneFlemming Ottosen
 
Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Snorre Løvås
 
Leverandørrettigheter - Anskaffelsesforum september 2016
Leverandørrettigheter - Anskaffelsesforum september 2016Leverandørrettigheter - Anskaffelsesforum september 2016
Leverandørrettigheter - Anskaffelsesforum september 2016Arntzen de Besche
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvernNTNU Accel
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler Senter for IKT i utdanningen, redaksjon
 
Leverandørrettigheter anskaffelsesforum september 2016 slide share
Leverandørrettigheter anskaffelsesforum september 2016 slide shareLeverandørrettigheter anskaffelsesforum september 2016 slide share
Leverandørrettigheter anskaffelsesforum september 2016 slide shareRonny Rosenvold
 
Veien utenom fallgruvene ved digital markedsføring
Veien utenom fallgruvene ved digital markedsføringVeien utenom fallgruvene ved digital markedsføring
Veien utenom fallgruvene ved digital markedsføringAnders Hoff
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxEva Jarbekk
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Eva Jarbekk
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Eva Jarbekk
 

Mais conteúdo relacionado

Semelhante a Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx

Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxEva Jarbekk
 
Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014
Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014
Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014Espen Sjøvoll
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxEva Jarbekk
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxEva Jarbekk
 
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014Steinar Skagemo
 
Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Snorre Løvås
 
Leverandørrettigheter - Anskaffelsesforum september 2016
Leverandørrettigheter - Anskaffelsesforum september 2016Leverandørrettigheter - Anskaffelsesforum september 2016
Leverandørrettigheter - Anskaffelsesforum september 2016Arntzen de Besche
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvernNTNU Accel
 
Leverandørrettigheter anskaffelsesforum september 2016 slide share
Leverandørrettigheter anskaffelsesforum september 2016 slide shareLeverandørrettigheter anskaffelsesforum september 2016 slide share
Leverandørrettigheter anskaffelsesforum september 2016 slide shareRonny Rosenvold
 
Veien utenom fallgruvene ved digital markedsføring
Veien utenom fallgruvene ved digital markedsføringVeien utenom fallgruvene ved digital markedsføring
Veien utenom fallgruvene ved digital markedsføringAnders Hoff
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxEva Jarbekk
 

Semelhante a Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx (20)

Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT Datalagringsdirektivet
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
 
Virke: Forenkling i småskala reiseliv
Virke: Forenkling i småskala reiselivVirke: Forenkling i småskala reiseliv
Virke: Forenkling i småskala reiseliv
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feide
 
Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014
Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014
Innovasjon og utvikling av nye tjenester i EVRY - Sak og Portalkonferansen 2014
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptx
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptx
 
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
Slipp dataene min fri - Innovation@Altinn - Altinn-dagen 2014
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
 
EDAG i skyene
EDAG i skyeneEDAG i skyene
EDAG i skyene
 
Hva er identitetsforvaltning?
Hva er identitetsforvaltning?Hva er identitetsforvaltning?
Hva er identitetsforvaltning?
 
Leverandørrettigheter - Anskaffelsesforum september 2016
Leverandørrettigheter - Anskaffelsesforum september 2016Leverandørrettigheter - Anskaffelsesforum september 2016
Leverandørrettigheter - Anskaffelsesforum september 2016
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvern
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
 
Leverandørrettigheter anskaffelsesforum september 2016 slide share
Leverandørrettigheter anskaffelsesforum september 2016 slide shareLeverandørrettigheter anskaffelsesforum september 2016 slide share
Leverandørrettigheter anskaffelsesforum september 2016 slide share
 
Veien utenom fallgruvene ved digital markedsføring
Veien utenom fallgruvene ved digital markedsføringVeien utenom fallgruvene ved digital markedsføring
Veien utenom fallgruvene ved digital markedsføring
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
 

Mais de Eva Jarbekk

Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Eva Jarbekk
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Eva Jarbekk
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013Eva Jarbekk
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenEva Jarbekk
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxEva Jarbekk
 
Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Eva Jarbekk
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptxEva Jarbekk
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEva Jarbekk
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxEva Jarbekk
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxEva Jarbekk
 

Mais de Eva Jarbekk (10)

Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjen
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
 
Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptx
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptx
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
 

Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx

  • 1. Viktigste avgjørelser fra Personvernnemnda 2 siste år advokat Eva I.E. Jarbekk
  • 2. Temaer • Innledning • Kort om nemnda • Nøkkelinformasjon 2013, saksbehandling • Viktige enkeltsaker og trender • Refleksjoner June 20, 20132
  • 4. Personvernnemnda • Behandler klager på vedtak fra Datatilsynet • Saksområder avhenger av Datatilsynets fokusområder • 7 medlemmer • Leder, nestleder velges av Stortinget • 5 medlemmer velges av Regjeringen • Ny nemnd fra 2013 June 20, 20134
  • 6. Personvernnemnda June 20, 20136 Saksbehandlingstid: snitt på fire til seks måneder Komplekse saker har vært behandlet i en rekke nemndsmøter gjennom 2011 og 2012 PVN-2011-09 Toll, PVN-2011-10 Simonsen, PVN-2011-11 Visma Retail, PVN-2012-01 Barn med påførte dødelige skader, PVN-2012-03 Nettby og PVN-2012-10 SUSS Fremdeles fokus på å redusere saksbehandlingstiden og har derfor utvidet møtetiden for hvert møte Ingen restanser ved årets slutt
  • 7. Personvernnemnda June 20, 20137 Av de 22 sakene nemnda avgjorde i 2012: •syv klager fra privatpersoner •resten av sakene var klaget inn av ulike bedrifter og statlige organer (helseforetak)
  • 10. Prinsipielt om PVNs betydning PVN-2012-12 Livmorhalsprogram • Klage på Datatilsynets oppheving av vedtak om å tillate registrering av negative funn ved livmorhalsscreening uten samtykke fra de registrerte • Personvernnemnda er ikke i tvil: Registrering av negative funn krever eksplisitt samtykke • Nemnda forstår ønske om en rettsendring slik at oppbevaring av enkelte personopplysninger som navn, fødselsnummer, adresse og lignende, oppbevares i Kreftregisteret uten samtykke, også ved negative funn • Problemet er at dette ikke er tillatt med dagens lovgivning June 20, 201310
  • 11. PVN-2012-12 Livmorhalsprogram • Dagen etter at nemnda hadde avsagt sitt vedtak i PVN-2012-12 Livmorhalsprogram: • Forslag til endring av kreftregisterforskriften fra Helse- og omsorgsdepartementet June 20, 201311
  • 14. Legalitetsprinsippet PVN-2011-09 Toll • Spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak og om tollvesenet kunne bruke valutaregisteret • Ofte spørsmål om personvern i saker om hvorvidt forvaltningen har hjemmel til ulike kontrolltiltak • Nemnda finner, i likhet med Datatilsynet, grunn til å understreke at legalitetsprinsippet oppstiller grenser for hvilke kontrolltiltak forvaltningen kan iverksette • Nemnda presiserte at legalitetsprinsippet er gradert og at hjemmelskravet er relativt, jf PVN-2011-09 Toll June 20, 201314
  • 15. PVN-2011-09 Toll • Datatilsynet tatt som standpunkt at tollmyndighetene ikke kan spørre en privatperson om identifiserte uttak/forbruk i utlandet, i ettertid, og om hva disse penger ble brukt til • Tilsynet mener at slikt spørsmål krever hjemmel i lov, jf legalitetsprinsippet • Nemnda delte ikke denne rettslige forståelse • Personvernnemnda: tollmyndighetene kan be om opplysninger fra privatperson fordi legalitetsprinsippet er gradert og hjemmelskravet relativt June 20, 201315
  • 16. PVN-2011-09 Toll – tilgang til valutaregisteret Valutaregisterloven § 6 gir enkelte etater tilgang til opplysningene i registeret: •Politiet, skatteetaten, toll- og avgiftsetaten, Arbeids- og velferdsdirektoratet og Finanstilsynet skal ha elektronisk tilgang til opplysningene i registeret. Søk i registeret skal kun skje ut fra disse etatenes behov for opplysninger i forbindelse med forebygging og bekjempelse av kriminalitet, kontrollvirksomhet og tilsyn. •valutaregisterloven § 1: •Formålet med loven er å forebygge og bekjempe kriminalitet og å bidra til riktig skatte- og avgiftsbetaling, ved at kontroll- og etterforskningsorganene får tilgang til opplysninger om valutavekslinger og fysisk eller elektronisk overføringer av betalingsmidler inn og ut av Norge •Datatilsynet problematiserte at kapittel 13 i tolloven, «alminnelige bestemmelser om tollkontroll», synes å gi tolletaten en kontrollkompetanse innen forholdsvis snevre rammer. I hovedsak kan undersøkelser som gjelder enkeltpersoner kun skje på stedet, jf § 13-1. June 20, 201316
  • 17. PVN-2011-09 Toll • Når det gjaldt innsyn i valutaregisteret, var hovedgrunnen til at nemnda ikke kunne dele tilsynets vurdering nettopp ulikt syn på legalitetsprinsippet • Datatilsynet mener at legalitetsprinsippet fordrer at innsyn i et slikt register har eksplisitt lovhjemmel. Etter nemndas syn må legalitetsprinsippet forstås slik at det foreligger tilstrekkelig lovhjemmel for innsyn i registeret June 20, 201317
  • 18. PVN-2011-11 Visma Retail – ny teknologi June 20, 201318 • Ny teknologi kan gi rettsutvikling • Det vises til PVN-2011-11 Visma Retail der nemnda foretar en avvikende/presiserende rettstolkning i forhold til tidligere biometri-saker. Tilsvarende vurderinger ble gjort i PVN-2011-12 Adgangskontroll ubetjent treningssenter • Saken var ikke sammenlignbar med de tidligere sakene om biometri som Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon • Poeng: hva gjør man med fingeravtrykket? Identifisering eller autentisering
  • 19. • Nemnda legger avgjørende vekt på skillet mellom autentisering og identifisering • Identifisering dreier seg om å knytte en entydig identifikator til en bestemt ressurs (som kan være en fysisk person). • Autentisering innebærer at et (informasjons)-system er tilrettelagt for å kunne bekrefte (eller avkrefte) at en påstand er sann • Identifisering muliggjør å samle inn, lagre og sammenknytte informasjon om et identifisert objekt på tvers av informasjonssystemer. Dette kan gjøres helt uavhengig av om informasjonen er sann eller usann June 20, 201319
  • 20. • Autentisering er et fenomen som angår sannhet av en påstand. Eksempler på slike påstander kan være: • Jeg har rettmessig tilgang til ressurs X • Jeg er over 18 år • Denne personen kan entydig identifiseres av fødselsnummeret 01010012345 • Kun siste alternativ som faktisk innebærer en identifisering. I de to første kan det, dersom systemet er tilrettelagt for det, gjøres en autentisering uten at det samtidig behøver å skje noen form for identifisering. Dette avhenger av at bakveisidentifisering ikke er mulig June 20, 201320
  • 21. PVN-2011-11 Visma Retail June 20, 201321 •Nemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebar identifisering eller at fingeravtrykk ble brukt som «entydig identifikasjonsmiddel». •Bruken begrenses til å gi svar på spørsmålet: Er kunden gammel nok til å kjøpe den aktuelle vare? •Det er altså kun tale om autentisering, ikke identifisering •Vilkåret for at det kan gjøres et slikt skille, er at det ikke kan foretas noen ”bakveis identifisering” av individet slik at autentisering likevel er en identifisering.
  • 22. PVN-2011-11 Visma Retail June 20, 201322 •Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse når behandlingen ikke foretas med det formål å oppnå «sikker identifisering» som § 12 beskriver •Det antas at denne rettsforståelsen vil åpne for nye teknologiske utnyttelser, noe nemnda vurderer som positivt •Samtidig innebærer rettssituasjonen at det ved slike nye utnyttelser, må foretas betydelige tekniske og juridiske vurderinger for å sikre at ”bakveis identifisering” ikke kan skje
  • 23. Hva er «anonymt»? PVN-2012-10 SUSS June 20, 201323 • Et forhold som går igjen over tid, er manglende forståelse av hva begrepet ”anonym” innebærer • Begrepet anonym er ikke definert i personopplysningsloven. • Behandlingsansvarlige har ikke alltid den samme forståelse som Datatilsynet og Personvernnemnda av hva ”anonym” innebærer. • Problemer når loven kommer inn med full tyngde i situasjoner der den behandlingsansvarlige trodde at den behandlingen de foretok, ikke var omfattet av lovens virkeområde. • Spesielt ofte en manglende forståelse av at såkalt indirekte identifikasjon, der man finner identiteten til en person ved å sammenstille opplysninger fra flere kilder
  • 24. PVN-2012-10 SUSS • Klager tilbyr seksualopplysning til ungdom pr mobil • SUSS' nettside: man kan henvende seg til SUSS "uten at vi som svarer vet hvem du er" • Personvernnemnda forstår dette som løfte om anonymitet • Nemnda er enig med tilsynet i at bruk av begrepet "anonym" ikke kan benyttes dersom dette vil være misvisende overfor brukerne. Tjenesten kan ikke presenteres på nettsiden som at "vi som svarer" ikke vet hvem innringeren er, eller at det bare er de som kontakter SUSS "flere ganger" som blir registrert • Dette fremstår som villedende idet det ikke bare er de som henvender seg flere ganger som blir registrert – slik nemnda forstår det blir man registrert allerede ved første henvendelse • Det samme gjelder sms-tjenesten, hvor man ikke bare blir registrert dersom man henvender seg flere ganger, man blir registrert allerede ved første gangs henvendelse June 20, 201324
  • 25. Trend: fokus på sanksjonsapparat June 20, 201325 • Flere saker har fokus på manglende bruk av regelverkets sanksjonsapparat • PVN-2011-13 Sletting fra Brillelands kunderegister • PVN-2012-04 Arbeidsgivers innsyn i e-post • Klager har ønsket at Datatilsynet i større grad skulle benyttet sitt sanksjonsapparat • Nemnda har i nevnte avgjørelser stillet seg bak Datatilsynets vurdering av at sanksjoner ikke har vært påkrevet, jf en vurdering av momentene i personopplysningsloven § 46
  • 26. Sanksjoner - pol § 46 ” Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på a) hvor alvorlig overtredelsen har krenket de interesser loven verner, b) graden av skyld, c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen, d) om overtredelsen er begått for å fremme overtrederens interesser, e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, f) om det foreligger gjentakelse, g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og h) overtrederens økonomiske evne.” June 20, 201326
  • 27. Bruk av sanksjonsapparat June 20, 201327 Saken om Avfallsservice, PVN-2011-04 Datatilsynet bekymret for situasjoner hvor arbeidsgivere spekulerer i å samle og/eller sammenstille opplysninger for senere bruk i tvister i arbeidsforholdet til tross for at det fremstår som brudd på personopplysningsregelverket Personvernnemnda uttalte at man støtter Datatilsynets uttalelse om at sanksjonsapparatet må vurderes brukt i slike saker fremover Nemnda ser det som positivt at fleksibiliteten i sanksjonssystemet brukes når de nødvendige vurderinger i henhold til personopplysningsloven § 46 er gjennomført
  • 28. Avfallsservice Rt-2013-143 – mer om denne June 20, 201328 • Datatilsynet: Ulovlig bruk av opplysninger • Personvernnemnda: Ulovlig bruk av opplysninger • Høyesterett: ulovlig bruk av informasjon, ikke stor nok krenkelse til erstatning
  • 29. Sitat fra Høyesteretts avgjørelse • ikke helt enkelt å få tak i forholdet mellom § 11 første ledd bokstav c og § 8 bokstav f, noe som reflekteres i avgjørelsene til de tidligere rettsinstanser. Både lagmannsretten og tingretten har lagt til grunn at de to bestemmelsene kan være alternative hjemler for gjenbruk av personopplysninger til nytt formål. Begge instanser har således først drøftet om gjenbruken hadde hjemmel i § 11 første ledd bokstav c, og deretter – etter å ha konkludert negativt på dette – om § 8 bokstav f ga hjemmel. En slik tolkning har støtte i praksis fra Datatilsynet og Personvernnemnda. I vedtak PVN-2004-3 fra Personvernnemnda het det: June 20, 201329
  • 30. Sitat fra Høyesteretts avgjørelse • « Personvernnemnda antar at loven ikke kan tolkes slik at det stilles strengere krav til gjenbruk enn til bruk av opplysninger innsamlet første gang. Bestemmelsen om gjenbruk må ses på som en lemping av kravene i personopplysningsloven § 8 og § 9. Når vilkårene for anvendelse av denne mer lempelige bestemmelsen ikke er oppfylt, må man falle tilbake til lovens hovedregel, og vurdere om kravene er oppfylt etter personopplysningsloven § 8. » June 20, 201330
  • 31. Sitat fra Høyesteretts avgjørelse • Etter min mening gir imidlertid ikke dette uttrykk for en riktig rettsoppfatning. June 20, 201331
  • 32. Sitat fra Høyesteretts avgjørelse • Jeg peker først på at denne tolkningen av loven innebærer at § 11 første ledd bokstav c får liten selvstendig betydning. Bestemmelsen gir uttrykk for et formålsprinsipp – også omtalt som finalité-prinsippet – som innebærer at innsamling av opplysninger skal skje til uttrykkelig angitte og saklige formål, og at senere behandling ikke må være uforenlig med disse formål. Dette prinsippet, som er nedfelt i artikkel 6 første ledd bokstav b i nevnte direktiv 95/46/EF, regnes internasjonalt som et fundamentalt og viktig prinsipp på personopplysningsrettens område, jf. Waaben og Nielsen, Lov om behandling af personoplysninger (2. udgave) side 146. Det har formodningen mot seg at loven skal forstås slik at dette prinsippet langt på vei bortfortolkes June 20, 201332
  • 33. Sitat fra Høyesteretts avgjørelse • … gjenbruk ikke kan forankres direkte i § 8 bokstav f alene; vilkårene i § 11 første ledd bokstav c må også være tilfredsstilt. Foruten at dette siste kan utledes av ordlyden i § 11 første ledd bokstav c, følger det uttrykkelig av det som videre uttales i proposisjonen: • « I tillegg oppstilles det som et særskilt vilkår at det nye formålet ikke må være uforenlig med det eller de formålene som opprinnelig lå til grunn for innsamlingen av personopplysningene, jf. bokstav c. Vilkåret gir uttrykk for det såkalte finalitetsprinsippet og vil utgjøre en viktig begrensning bl.a for adgangen til å bruke elektroniske spor og til å samkjøre registre eller andre informasjonssamlinger ... . Kravet om forenlighet innebærer at det til tross for at det nye formålet er hjemlet i § 8, kan være slik at de innsamlede opplysningene likevel ikke kan brukes for dette formålet. I så fall må den behandlingsansvarlige samle opplysningene inn på nytt. » June 20, 201333
  • 34. Sitat fra Høyesteretts avgjørelse • Avfallsservice AS' nye bruk av opplysningene måtte ha grunnlag både i § 11 første ledd bokstav c og § 8 bokstav f. • Drøftelsen ovenfor vil ha vist at det ikke er helt klart at Avfallsservice AS brukte personopplysningene til et formål som var uforenlig med det opprinnelige formålet, jf. § 11 første ledd bokstav c. Etter min mening trekker imidlertid de nevnte momenter samlet sett i retning av at den nye bruken ikke kunne forankres i bestemmelsen. Jeg legger særlig vekt på at kontrollformålet skiller seg markert fra det opprinnelige formålet. June 20, 201334
  • 35. Sitat fra Høyesteretts avgjørelse Konklusjonen blir at Avfallsservice AS har behandlet personopplysningene i strid med bestemmelser i personopplysningsloven. June 20, 201335
  • 36. Avfallsservice Rt-2013-143 – mindretallet June 20, 201336
  • 37. Fremover: Formalkrav rundt kontrolltiltak av ansatte må bli strengere June 20, 201337
  • 38. Arbeidsbelastning hos Datatilsynet June 20, 201338 • Datatilsynet har en stor arbeidsbelastning og begrensede ressurser • Tema i PVN-2012-15 Kamera på privat grunn • Generelt er Datatilsynet gitt en vid skjønnsmessig adgang til å vurdere om det foreligger tilstrekkelige personverninteresser til at saken bør realitetsbehandles eller om man av prioriteringshensyn bør la saken ligge • Personvernnemnda vil i alminnelighet legge terskelen relativt høyt for å overprøve Datatilsynets avgjørelse om nedprioritering og var i denne saken enig med Datatilsynets vurderinger
  • 39. Overføring av personopplysninger til utlandet PVN-2011-06 ConocoPhillips June 20, 201339 • Norskregistrert utenlandsk foretak (NUF); amerikanske selskapet og NUF’et er samme juridiske enhet • Overføring av opplysninger om ansatte, kunder og leverandører til USA vurderes i henhold til § 30 • Terrorscreening foretas i USA: Spørsmålet om det forelå adgang til å foreta screening av denne informasjonen i USA lå etter Personvernnemndas syn utenfor vår jurisdiksjon • Etter nemndas syn hadde overføringen hjemmel i personopplysningsloven § 30 bokstav c), det vil si at det er nødvendig for å oppfylle en avtale. • Avgjørelsen tar ikke opp forholdet til § 11 i POL
  • 40. Hvem i alle dager er behandlingsansvarlig? PVN-2011-10 Simonsen June 20, 201340 • Simonsen bistår rettighetshaverorganisasjoner med å overvåke fildelingssystemer • Spørsmålet var om Simonsen var databehandler for rettighetsorganisasjonene – da kunne de ikke få konsesjon • Simonsen hevdet at de • bestemmer eller detaljerer formålet med behandlingen • utfører oppdraget, bearbeider funn, legger data inn, sikrer bevis etc. • Dissens. Flertall la avgjørende vekt på ordlyden i loven og at Simonsen ikke kunne være behandlingsansvarlig
  • 41. PVN-2011-10 Simonsen June 20, 201341 •Simonsen har ingen selvstendig evne til å rettslig forfølge rettighetskrenkere, det må gjøres i samråd med og på vegne av rettighetsorganisasjonene •Rettighetshaverne har bestemt og definert formålet innledningsvis •Fra forarbeidene om behandlingsansvar: • hvem bestemmer formålet • hvem bestemmer virkemidlene • hvem har nærhet/daglig befatning med personopplysningene
  • 42. PVN-2011-10 Simonsen June 20, 201342 •De nevnte forhold påberopt av Simonsen, var helt typiske situasjoner for mange databehandlere •Flertallet av den klare oppfatning at det er mulig at Simonsen både foreslår og bestemmer hvilke praktiske hjelpemidler som brukes, men det er rettighetshaverorganisasjonene som overordnet bestemmer virkemidlene og fremgangsmåten, herunder valget å bruke Simonsen
  • 43. Data fra sosiale medier PVN-2012-03 Nettby June 20, 201343 • Nettby ble nedlagt – skulle innholdet slettes – gis til forskning? • Klagen ble ikke tatt til følge, men nemnda kom frem til en annen løsning enn Datatilsynet • Nemnda kom til at det forelå avleveringsplikt for de dokumenter VG ønsket å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4 • Materialet slettes etter avlevering
  • 44. Nettby – fra PVNs avgjørelse Hovedregelen er at den behandlingsansvarlige ikke skal lagre opplysningene lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28 første ledd. Nettby er nedlagt og formålet med behandlingen foreligger derfor ikke lenger. Nemnda er enig med Datatilsynet i at det ikke foreligger annet behandlingsgrunnlag for videre oppbevaring av opplysningene. June 20, 201344
  • 45. Nemnda er således kommet til at det ikke foreligger hjemmel for fortsatt lagring. Materialet skal da slettes, jf personopplysningsloven § 28 første ledd. Imidlertid er nemnda av den oppfatning at deler av materialet er omfattet av "lov om avleveringsplikt for allment tilgjengelege dokument" (pliktavleveringsloven). Nettby var et lukket forum, noe som kunne tilsi at det ikke var allment tilgjengelig. Det fremgår imidlertid følgende av brukervilkårene for Nettby, jf brev av 20.1.2012 fra klager: "Nyheter som du skriver i åpne grupper vil være tilgjengelig for alle som er knyttet til internett og vil også kunne bli indeksert av søkemotorer som f.eks Google.com." June 20, 201345
  • 46. Nemnda forstår dette slik at det fantes en åpen del av Nettby som var tilgjengelig for alle som var tilknyttet internett, og dermed "tilgjengeleg for allmenta" jf pliktavleveringsloven §§ 3 og 4. Det betyr at dette materialet uten hinder kunne bli indeksert av søkemotorer, inkludert Nasjonalbibliotekets søkemotor. Når det gjelder denne åpne delen av Nettby, er nemnda således av den oppfatning at disse dokumentene omfattes av pliktavleveringsloven June 20, 201346
  • 47. June 20, 201347 • de ikke-åpne delene av Nettby, som ikke var åpent tilgjengelig på internett, men var tilgjengelig for Nettbys anslagsvis 750 000 borgere, så kan det diskuteres hvorvidt dette var gjort "tilgjengeleg for allmenta" og "utanfor ein privat krins", jf pliktavleveringsloven § 3 annet ledd • Det springende punkt vil da være om 750 000 personer er å anse som en "privat krins« • Bing: antas å falle sammen med det åndsverkloven kaller "offentliggjørelse« • Åvl §8: tilgjengelig for allmennheten når det gjøres tilgjengelig utenfor det private område • Kopiering av noter til kor/orkester er ikke privat • Nettby, med opptil 750 000 borgere, kan ikke sies å være en privat krets
  • 48. June 20, 201348 Personvernnemnda skal avslutningsvis bemerke at den ikke uten videre er enig med Datatilsynet i at Nettby, så lenge nettstedet var i drift, ikke var omfattet av personopplysningsloven personopplysningsloven § 3, annet ledd, det vil si at loven ikke gjelder for behandling for rent private eller personlige formål sak C-101/01 "Bodil Lindqvist mot Åklagarkammaren i Jönköping", der det ble lagt til grunn at unntaket ("private formål") ikke gjelder for personopplysninger som er "tilgjängliga för ett ubestämt antall personer»
  • 49. June 20, 201349 Datatilsynet: En konsekvens av EF-domstolens tolkning er at de som lager private hjemmesider med opplysninger om andre personer må forholde seg til reglene i personopplysningsloven. Personvernnemnda tar ikke stilling til dette, men ser at ansvarsforholdet rundt håndtering av personopplysninger i sosiale medier reiser prinsipielt viktige spørsmål som trenger en avklaring.
  • 50. Tendenser – fokus fremover June 20, 201350 •Personvern dekker mange områder – sanksjonsapparatet vil få mer fokus •En viss motsetning mellom ønsker fra forskere/forvaltning, effektivitetskrav og personvern •Definisjonen av behandlingsansvarlig vil bli mer sentral •Autentisering blir en praktisk viktig funksjon •Kontroll i arbeidslivet vil få fokus – tverrjuridisk •Internasjonalisering øker – og er vanskelig – derfor også bruk av BCR i store konsern
  • 51. • Takk for oppmerksomheten! June 20, 201351