4. Personvernnemnda
• Behandler klager på vedtak fra Datatilsynet
• Saksområder avhenger av Datatilsynets fokusområder
• 7 medlemmer
• Leder, nestleder velges av Stortinget
• 5 medlemmer velges av Regjeringen
• Ny nemnd fra 2013
June 20, 20134
6. Personvernnemnda
June 20, 20136
Saksbehandlingstid: snitt på fire til seks måneder
Komplekse saker har vært behandlet i en rekke nemndsmøter
gjennom 2011 og 2012
PVN-2011-09 Toll, PVN-2011-10 Simonsen,
PVN-2011-11 Visma Retail, PVN-2012-01
Barn med påførte dødelige skader,
PVN-2012-03 Nettby og PVN-2012-10 SUSS
Fremdeles fokus på å redusere saksbehandlingstiden og har derfor
utvidet møtetiden for hvert møte
Ingen restanser ved årets slutt
7. Personvernnemnda
June 20, 20137
Av de 22 sakene nemnda avgjorde i 2012:
•syv klager fra privatpersoner
•resten av sakene var klaget inn av ulike bedrifter og statlige organer
(helseforetak)
10. Prinsipielt om PVNs betydning
PVN-2012-12 Livmorhalsprogram
• Klage på Datatilsynets oppheving av vedtak om å tillate registrering av
negative funn ved livmorhalsscreening uten samtykke fra de registrerte
• Personvernnemnda er ikke i tvil: Registrering av negative funn krever
eksplisitt samtykke
• Nemnda forstår ønske om en rettsendring slik at oppbevaring av enkelte
personopplysninger som navn, fødselsnummer, adresse og lignende,
oppbevares i Kreftregisteret uten samtykke, også ved negative funn
• Problemet er at dette ikke er tillatt med dagens lovgivning
June 20, 201310
11. PVN-2012-12 Livmorhalsprogram
• Dagen etter at nemnda hadde avsagt sitt vedtak i PVN-2012-12
Livmorhalsprogram:
• Forslag til endring av kreftregisterforskriften fra Helse- og omsorgsdepartementet
June 20, 201311
14. Legalitetsprinsippet PVN-2011-09 Toll
• Spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i
en sak og om tollvesenet kunne bruke valutaregisteret
• Ofte spørsmål om personvern i saker om hvorvidt forvaltningen har hjemmel til
ulike kontrolltiltak
• Nemnda finner, i likhet med Datatilsynet, grunn til å understreke at
legalitetsprinsippet oppstiller grenser for hvilke kontrolltiltak forvaltningen kan
iverksette
• Nemnda presiserte at legalitetsprinsippet er gradert og at hjemmelskravet er
relativt, jf PVN-2011-09 Toll
June 20, 201314
15. PVN-2011-09 Toll
• Datatilsynet tatt som standpunkt at tollmyndighetene ikke kan spørre en
privatperson om identifiserte uttak/forbruk i utlandet, i ettertid, og om
hva disse penger ble brukt til
• Tilsynet mener at slikt spørsmål krever hjemmel i lov, jf
legalitetsprinsippet
• Nemnda delte ikke denne rettslige forståelse
• Personvernnemnda: tollmyndighetene kan be om opplysninger fra
privatperson fordi legalitetsprinsippet er gradert og hjemmelskravet
relativt
June 20, 201315
16. PVN-2011-09 Toll – tilgang til valutaregisteret
Valutaregisterloven § 6 gir enkelte etater tilgang til opplysningene i registeret:
•Politiet, skatteetaten, toll- og avgiftsetaten, Arbeids- og velferdsdirektoratet og Finanstilsynet skal ha
elektronisk tilgang til opplysningene i registeret. Søk i registeret skal kun skje ut fra disse etatenes behov
for opplysninger i forbindelse med forebygging og bekjempelse av kriminalitet, kontrollvirksomhet og
tilsyn.
•valutaregisterloven § 1:
•Formålet med loven er å forebygge og bekjempe kriminalitet og å bidra til riktig skatte- og
avgiftsbetaling, ved at kontroll- og etterforskningsorganene får tilgang til opplysninger om
valutavekslinger og fysisk eller elektronisk overføringer av betalingsmidler inn og ut av Norge
•Datatilsynet problematiserte at kapittel 13 i tolloven, «alminnelige bestemmelser om tollkontroll»,
synes å gi tolletaten en kontrollkompetanse innen forholdsvis snevre rammer. I hovedsak kan
undersøkelser som gjelder enkeltpersoner kun skje på stedet, jf § 13-1.
June 20, 201316
17. PVN-2011-09 Toll
• Når det gjaldt innsyn i valutaregisteret, var hovedgrunnen til at nemnda ikke
kunne dele tilsynets vurdering nettopp ulikt syn på legalitetsprinsippet
• Datatilsynet mener at legalitetsprinsippet fordrer at innsyn i et slikt register har
eksplisitt lovhjemmel. Etter nemndas syn må legalitetsprinsippet forstås slik at
det foreligger tilstrekkelig lovhjemmel for innsyn i registeret
June 20, 201317
18. PVN-2011-11 Visma Retail – ny teknologi
June 20, 201318
• Ny teknologi kan gi rettsutvikling
• Det vises til PVN-2011-11 Visma Retail der nemnda foretar en
avvikende/presiserende rettstolkning i forhold til tidligere biometri-saker.
Tilsvarende vurderinger ble gjort i PVN-2011-12 Adgangskontroll ubetjent
treningssenter
• Saken var ikke sammenlignbar med de tidligere sakene om biometri som
Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en
nøkkel inn i en kundedatabase og således benyttes til identifikasjon
• Poeng: hva gjør man med fingeravtrykket? Identifisering eller autentisering
19. • Nemnda legger avgjørende vekt på skillet mellom autentisering og identifisering
• Identifisering dreier seg om å knytte en entydig identifikator til en bestemt ressurs (som kan
være en fysisk person).
• Autentisering innebærer at et (informasjons)-system er tilrettelagt for å kunne bekrefte (eller
avkrefte) at en påstand er sann
• Identifisering muliggjør å samle inn, lagre og sammenknytte informasjon om et
identifisert objekt på tvers av informasjonssystemer. Dette kan gjøres helt
uavhengig av om informasjonen er sann eller usann
June 20, 201319
20. • Autentisering er et fenomen som angår sannhet av en påstand. Eksempler på
slike påstander kan være:
• Jeg har rettmessig tilgang til ressurs X
• Jeg er over 18 år
• Denne personen kan entydig identifiseres av fødselsnummeret 01010012345
• Kun siste alternativ som faktisk innebærer en identifisering. I de to første kan
det, dersom systemet er tilrettelagt for det, gjøres en autentisering uten at det
samtidig behøver å skje noen form for identifisering. Dette avhenger av at
bakveisidentifisering ikke er mulig
June 20, 201320
21. PVN-2011-11 Visma Retail
June 20, 201321
•Nemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller
kundens avgivelse av fingeravtrykk i samband med alderskontroll innebar identifisering
eller at fingeravtrykk ble brukt som «entydig identifikasjonsmiddel».
•Bruken begrenses til å gi svar på spørsmålet: Er kunden gammel nok til å kjøpe den
aktuelle vare?
•Det er altså kun tale om autentisering, ikke identifisering
•Vilkåret for at det kan gjøres et slikt skille, er at det ikke kan foretas noen ”bakveis
identifisering” av individet slik at autentisering likevel er en identifisering.
22. PVN-2011-11 Visma Retail
June 20, 201322
•Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse når
behandlingen ikke foretas med det formål å oppnå «sikker identifisering» som § 12
beskriver
•Det antas at denne rettsforståelsen vil åpne for nye teknologiske utnyttelser, noe
nemnda vurderer som positivt
•Samtidig innebærer rettssituasjonen at det ved slike nye utnyttelser, må foretas
betydelige tekniske og juridiske vurderinger for å sikre at ”bakveis identifisering” ikke
kan skje
23. Hva er «anonymt»? PVN-2012-10 SUSS
June 20, 201323
• Et forhold som går igjen over tid, er manglende forståelse av hva begrepet ”anonym”
innebærer
• Begrepet anonym er ikke definert i personopplysningsloven.
• Behandlingsansvarlige har ikke alltid den samme forståelse som Datatilsynet og
Personvernnemnda av hva ”anonym” innebærer.
• Problemer når loven kommer inn med full tyngde i situasjoner der den
behandlingsansvarlige trodde at den behandlingen de foretok, ikke var omfattet av
lovens virkeområde.
• Spesielt ofte en manglende forståelse av at såkalt indirekte identifikasjon, der man
finner identiteten til en person ved å sammenstille opplysninger fra flere kilder
24. PVN-2012-10 SUSS
• Klager tilbyr seksualopplysning til ungdom pr mobil
• SUSS' nettside: man kan henvende seg til SUSS "uten at vi som svarer vet hvem du
er"
• Personvernnemnda forstår dette som løfte om anonymitet
• Nemnda er enig med tilsynet i at bruk av begrepet "anonym" ikke kan benyttes
dersom dette vil være misvisende overfor brukerne. Tjenesten kan ikke presenteres
på nettsiden som at "vi som svarer" ikke vet hvem innringeren er, eller at det bare er
de som kontakter SUSS "flere ganger" som blir registrert
• Dette fremstår som villedende idet det ikke bare er de som henvender seg flere
ganger som blir registrert – slik nemnda forstår det blir man registrert allerede ved
første henvendelse
• Det samme gjelder sms-tjenesten, hvor man ikke bare blir registrert dersom man
henvender seg flere ganger, man blir registrert allerede ved første gangs henvendelse
June 20, 201324
25. Trend: fokus på sanksjonsapparat
June 20, 201325
• Flere saker har fokus på manglende bruk av regelverkets sanksjonsapparat
• PVN-2011-13 Sletting fra Brillelands kunderegister
• PVN-2012-04 Arbeidsgivers innsyn i e-post
• Klager har ønsket at Datatilsynet i større grad skulle benyttet sitt
sanksjonsapparat
• Nemnda har i nevnte avgjørelser stillet seg bak Datatilsynets vurdering av at
sanksjoner ikke har vært påkrevet, jf en vurdering av momentene i
personopplysningsloven § 46
26. Sanksjoner - pol § 46
” Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på
a) hvor alvorlig overtredelsen har krenket de interesser loven verner,
b) graden av skyld,
c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget
overtredelsen,
d) om overtredelsen er begått for å fremme overtrederens interesser,
e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen,
f) om det foreligger gjentakelse,
g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av
denne, blant annet om noen enkeltperson blir ilagt straff og
h) overtrederens økonomiske evne.”
June 20, 201326
27. Bruk av sanksjonsapparat
June 20, 201327
Saken om Avfallsservice, PVN-2011-04
Datatilsynet bekymret for situasjoner hvor arbeidsgivere spekulerer i å samle og/eller
sammenstille opplysninger for senere bruk i tvister i arbeidsforholdet til tross for at det
fremstår som brudd på personopplysningsregelverket
Personvernnemnda uttalte at man støtter Datatilsynets uttalelse om at
sanksjonsapparatet må vurderes brukt i slike saker fremover
Nemnda ser det som positivt at fleksibiliteten i sanksjonssystemet brukes når de
nødvendige vurderinger i henhold til personopplysningsloven § 46 er gjennomført
28. Avfallsservice Rt-2013-143 – mer om denne
June 20, 201328
• Datatilsynet: Ulovlig bruk av opplysninger
• Personvernnemnda: Ulovlig bruk av opplysninger
• Høyesterett: ulovlig bruk av informasjon, ikke stor nok krenkelse til erstatning
29. Sitat fra Høyesteretts avgjørelse
• ikke helt enkelt å få tak i forholdet mellom § 11 første ledd bokstav c og § 8
bokstav f, noe som reflekteres i avgjørelsene til de tidligere rettsinstanser. Både
lagmannsretten og tingretten har lagt til grunn at de to bestemmelsene kan være
alternative hjemler for gjenbruk av personopplysninger til nytt formål. Begge
instanser har således først drøftet om gjenbruken hadde hjemmel i § 11 første
ledd bokstav c, og deretter – etter å ha konkludert negativt på dette – om § 8
bokstav f ga hjemmel. En slik tolkning har støtte i praksis fra Datatilsynet og
Personvernnemnda. I vedtak PVN-2004-3 fra Personvernnemnda het det:
June 20, 201329
30. Sitat fra Høyesteretts avgjørelse
• « Personvernnemnda antar at loven ikke kan tolkes slik at det stilles strengere
krav til gjenbruk enn til bruk av opplysninger innsamlet første gang.
Bestemmelsen om gjenbruk må ses på som en lemping av kravene i
personopplysningsloven § 8 og § 9. Når vilkårene for anvendelse av denne mer
lempelige bestemmelsen ikke er oppfylt, må man falle tilbake til lovens
hovedregel, og vurdere om kravene er oppfylt etter personopplysningsloven § 8.
»
June 20, 201330
31. Sitat fra Høyesteretts avgjørelse
• Etter min mening gir imidlertid ikke dette uttrykk for en riktig rettsoppfatning.
June 20, 201331
32. Sitat fra Høyesteretts avgjørelse
• Jeg peker først på at denne tolkningen av loven innebærer at § 11 første ledd
bokstav c får liten selvstendig betydning. Bestemmelsen gir uttrykk for et
formålsprinsipp – også omtalt som finalité-prinsippet – som innebærer at
innsamling av opplysninger skal skje til uttrykkelig angitte og saklige formål, og at
senere behandling ikke må være uforenlig med disse formål. Dette prinsippet,
som er nedfelt i artikkel 6 første ledd bokstav b i nevnte direktiv 95/46/EF,
regnes internasjonalt som et fundamentalt og viktig prinsipp på
personopplysningsrettens område, jf. Waaben og Nielsen, Lov om behandling af
personoplysninger (2. udgave) side 146. Det har formodningen mot seg at loven
skal forstås slik at dette prinsippet langt på vei bortfortolkes
June 20, 201332
33. Sitat fra Høyesteretts avgjørelse
• … gjenbruk ikke kan forankres direkte i § 8 bokstav f alene; vilkårene i § 11 første
ledd bokstav c må også være tilfredsstilt. Foruten at dette siste kan utledes av
ordlyden i § 11 første ledd bokstav c, følger det uttrykkelig av det som videre
uttales i proposisjonen:
• « I tillegg oppstilles det som et særskilt vilkår at det nye formålet ikke må være uforenlig med
det eller de formålene som opprinnelig lå til grunn for innsamlingen av personopplysningene, jf.
bokstav c. Vilkåret gir uttrykk for det såkalte finalitetsprinsippet og vil utgjøre en viktig
begrensning bl.a for adgangen til å bruke elektroniske spor og til å samkjøre registre eller andre
informasjonssamlinger ... . Kravet om forenlighet innebærer at det til tross for at det nye
formålet er hjemlet i § 8, kan være slik at de innsamlede opplysningene likevel ikke kan brukes
for dette formålet. I så fall må den behandlingsansvarlige samle opplysningene inn på nytt. »
June 20, 201333
34. Sitat fra Høyesteretts avgjørelse
• Avfallsservice AS' nye bruk av opplysningene måtte ha grunnlag både i § 11
første ledd bokstav c og § 8 bokstav f.
• Drøftelsen ovenfor vil ha vist at det ikke er helt klart at Avfallsservice AS brukte
personopplysningene til et formål som var uforenlig med det opprinnelige
formålet, jf. § 11 første ledd bokstav c. Etter min mening trekker imidlertid de
nevnte momenter samlet sett i retning av at den nye bruken ikke kunne
forankres i bestemmelsen. Jeg legger særlig vekt på at kontrollformålet skiller seg
markert fra det opprinnelige formålet.
June 20, 201334
35. Sitat fra Høyesteretts avgjørelse
Konklusjonen blir at Avfallsservice AS har behandlet personopplysningene i strid
med bestemmelser i personopplysningsloven.
June 20, 201335
38. Arbeidsbelastning hos Datatilsynet
June 20, 201338
• Datatilsynet har en stor arbeidsbelastning og begrensede ressurser
• Tema i PVN-2012-15 Kamera på privat grunn
• Generelt er Datatilsynet gitt en vid skjønnsmessig adgang til å vurdere om det
foreligger tilstrekkelige personverninteresser til at saken bør
realitetsbehandles eller om man av prioriteringshensyn bør la saken ligge
• Personvernnemnda vil i alminnelighet legge terskelen relativt høyt for å
overprøve Datatilsynets avgjørelse om nedprioritering og var i denne saken
enig med Datatilsynets vurderinger
39. Overføring av personopplysninger til utlandet PVN-2011-06
ConocoPhillips
June 20, 201339
• Norskregistrert utenlandsk foretak (NUF); amerikanske selskapet og NUF’et er samme
juridiske enhet
• Overføring av opplysninger om ansatte, kunder og leverandører til USA vurderes i henhold
til § 30
• Terrorscreening foretas i USA: Spørsmålet om det forelå adgang til å foreta screening av
denne informasjonen i USA lå etter Personvernnemndas syn utenfor vår jurisdiksjon
• Etter nemndas syn hadde overføringen hjemmel i personopplysningsloven § 30 bokstav c),
det vil si at det er nødvendig for å oppfylle en avtale.
• Avgjørelsen tar ikke opp forholdet til § 11 i POL
40. Hvem i alle dager er behandlingsansvarlig?
PVN-2011-10 Simonsen
June 20, 201340
• Simonsen bistår rettighetshaverorganisasjoner med å overvåke fildelingssystemer
• Spørsmålet var om Simonsen var databehandler for rettighetsorganisasjonene – da
kunne de ikke få konsesjon
• Simonsen hevdet at de
• bestemmer eller detaljerer formålet med behandlingen
• utfører oppdraget, bearbeider funn, legger data inn, sikrer bevis etc.
• Dissens. Flertall la avgjørende vekt på ordlyden i loven og at Simonsen ikke kunne
være behandlingsansvarlig
41. PVN-2011-10 Simonsen
June 20, 201341
•Simonsen har ingen selvstendig evne til å rettslig forfølge rettighetskrenkere, det må
gjøres i samråd med og på vegne av rettighetsorganisasjonene
•Rettighetshaverne har bestemt og definert formålet innledningsvis
•Fra forarbeidene om behandlingsansvar:
• hvem bestemmer formålet
• hvem bestemmer virkemidlene
• hvem har nærhet/daglig befatning med personopplysningene
42. PVN-2011-10 Simonsen
June 20, 201342
•De nevnte forhold påberopt av Simonsen, var helt typiske situasjoner for mange
databehandlere
•Flertallet av den klare oppfatning at det er mulig at Simonsen både foreslår og
bestemmer hvilke praktiske hjelpemidler som brukes, men det er
rettighetshaverorganisasjonene som overordnet bestemmer virkemidlene og
fremgangsmåten, herunder valget å bruke Simonsen
43. Data fra sosiale medier PVN-2012-03 Nettby
June 20, 201343
• Nettby ble nedlagt – skulle innholdet slettes – gis til forskning?
• Klagen ble ikke tatt til følge, men nemnda kom frem til en annen løsning enn
Datatilsynet
• Nemnda kom til at det forelå avleveringsplikt for de dokumenter VG ønsket å lagre
i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for
indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som
var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3
og 4
• Materialet slettes etter avlevering
44. Nettby – fra PVNs avgjørelse
Hovedregelen er at den behandlingsansvarlige ikke skal lagre opplysningene lenger
enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28
første ledd. Nettby er nedlagt og formålet med behandlingen foreligger derfor
ikke lenger. Nemnda er enig med Datatilsynet i at det ikke foreligger annet
behandlingsgrunnlag for videre oppbevaring av opplysningene.
June 20, 201344
45. Nemnda er således kommet til at det ikke foreligger hjemmel for fortsatt lagring.
Materialet skal da slettes, jf personopplysningsloven § 28 første ledd. Imidlertid er
nemnda av den oppfatning at deler av materialet er omfattet av "lov om
avleveringsplikt for allment tilgjengelege dokument" (pliktavleveringsloven).
Nettby var et lukket forum, noe som kunne tilsi at det ikke var allment tilgjengelig.
Det fremgår imidlertid følgende av brukervilkårene for Nettby, jf brev av 20.1.2012
fra klager:
"Nyheter som du skriver i åpne grupper vil være tilgjengelig for alle som er knyttet
til internett og vil også kunne bli indeksert av søkemotorer som f.eks Google.com."
June 20, 201345
46. Nemnda forstår dette slik at det fantes en åpen del av Nettby som var
tilgjengelig for alle som var tilknyttet internett, og dermed "tilgjengeleg for
allmenta" jf pliktavleveringsloven §§ 3 og 4. Det betyr at dette materialet
uten hinder kunne bli indeksert av søkemotorer, inkludert
Nasjonalbibliotekets søkemotor. Når det gjelder denne åpne delen av
Nettby, er nemnda således av den oppfatning at disse dokumentene
omfattes av pliktavleveringsloven
June 20, 201346
47. June 20, 201347
• de ikke-åpne delene av Nettby, som ikke var åpent tilgjengelig på internett, men var
tilgjengelig for Nettbys anslagsvis 750 000 borgere, så kan det diskuteres hvorvidt dette
var gjort "tilgjengeleg for allmenta" og "utanfor ein privat krins", jf pliktavleveringsloven §
3 annet ledd
• Det springende punkt vil da være om 750 000 personer er å anse som en "privat krins«
• Bing: antas å falle sammen med det åndsverkloven kaller "offentliggjørelse«
• Åvl §8: tilgjengelig for allmennheten når det gjøres tilgjengelig utenfor det private
område
• Kopiering av noter til kor/orkester er ikke privat
• Nettby, med opptil 750 000 borgere, kan ikke sies å være en privat krets
48. June 20, 201348
Personvernnemnda skal avslutningsvis bemerke at den ikke uten videre er enig med
Datatilsynet i at Nettby, så lenge nettstedet var i drift, ikke var omfattet av
personopplysningsloven
personopplysningsloven § 3, annet ledd, det vil si at loven ikke gjelder for behandling for
rent private eller personlige formål
sak C-101/01 "Bodil Lindqvist mot Åklagarkammaren i Jönköping", der det ble lagt til
grunn at unntaket ("private formål") ikke gjelder for personopplysninger som er
"tilgjängliga för ett ubestämt antall personer»
49. June 20, 201349
Datatilsynet:
En konsekvens av EF-domstolens tolkning er at de som lager private hjemmesider med
opplysninger om andre personer må forholde seg til reglene i personopplysningsloven.
Personvernnemnda tar ikke stilling til dette, men ser at ansvarsforholdet rundt
håndtering av personopplysninger i sosiale medier reiser prinsipielt viktige spørsmål som
trenger en avklaring.
50. Tendenser – fokus fremover
June 20, 201350
•Personvern dekker mange områder – sanksjonsapparatet vil få mer fokus
•En viss motsetning mellom ønsker fra forskere/forvaltning, effektivitetskrav og
personvern
•Definisjonen av behandlingsansvarlig vil bli mer sentral
•Autentisering blir en praktisk viktig funksjon
•Kontroll i arbeidslivet vil få fokus – tverrjuridisk
•Internasjonalisering øker – og er vanskelig – derfor også bruk av BCR i store konsern