Består EUs personvernforordning (GDPR) koronatesten?
Allerede før koronakrisen oppstod var det mange som mente at EUs personvernforordning (GDPR) oppstiller altfor strenge vilkår for å behandle personopplysninger. Mindre enn to år etter at forordningen fikk virkning i EU, står vi overfor en krise som virkelig setter forordningen på prøve.
Et dynamisk, men krevende regelverk
Kan myndighetene lovlig overvåke borgernes bevegelser, ved hjelp av en app eller ved å hente inn trafikkdata fra teleselskapene?
Det europeiske personvernrådet har erklært at EUs personvernforordning ikke er til hinder for at det iverksettes tiltak i kampen mot koronaviruset. Dette er et nokså selvsagt utgangspunkt: Retten til liv veier tyngre enn retten til privatliv. Samtidig understreker Personvernrådet at personvernet skal respekteres, også i en unntakstilstand. Altså har vi ikke fått noe carte blanche.
Uttalelsen fra Personvernrådet viser at personvernregelverket er dynamisk, og ikke setter noen absolutte grenser. Regelverket er da også bygget på svært skjønnsmessige kriterier, som nødvendighet, egnethet og forholdsmessighet. Forordningen gir på den måten vide rammer, både til lovgiver og til virksomheter som behandler personopplysninger. Men det forutsettes at man på forhånd gjør konkrete og dokumenterte vurderinger av hvilke negative konsekvenser behandlingen kan få for de registrertes rettigheter og friheter, og at man iverksetter tiltak for å begrense disse. Dette kan være krevende nok i seg selv, og særlig når en krise gjør det nødvendig å handle raskt.
Over hele Europa har myndigheter og private virksomheter iverksatt tiltak for å bekjempe koronaepidemien. Flere av disse gjør store inngrep i personvernet, og forholdsmessigheten diskuteres vidt og bredt. Kan myndighetene lovlig overvåke borgernes bevegelser, ved hjelp av en app eller ved å hente inn trafikkdata fra teleselskapene? Kan disse opplysningene samles i en sentral database, eller må det etableres en distribuert modell med lagring lokalt i den enkeltes mobile enhet? Når skal opplysningene slettes? Kan opplysningene også benyttes til andre formål enn å bekjempe epidemien, f.eks. forskning? Ikke minst diskuteres det hvorvidt tiltakene må, eller kan, baseres på den enkeltes frivillighet. Dette er utvilsomt vanskelige vurderinger, men personvernprinsippene i forordningen gir god veiledning for dem som har et reelt ønske om å ivareta personvernet.
Demokratiet står på spill
Vi bor i et land hvor borgerne generelt har høy tillit til myndighetene, og mange vil mer enn gjerne oppgi deler av sitt privatliv i en krisesituasjon. Men også i krisetider er vi nødt til å ta inn over oss hvilke konsekvenser det kan få at myndighetene vet for mye om hver og en av oss.
Personvern er en forutsetning for andre personlige rettigheter og friheter, som f.eks. ytrings- og informasjonsfrihet. Personvernet er også i seg selv nødvendig for at vi skal kunne ha et samfunn av reelt autonome og fire borgere. Når vi i Norge vurderer å iverksette overvåkingstiltak som er inspirert av totalitære regimer, er det verdt å ha i bakhodet at personvern er en forutsetning for et fortsatt demokrati.
Et godt formål er nødvendig, men aldri tilstrekkelig
I fortalepunkt 4 til EUs personvernforordning heter det at behandling av personopplysninger bør ha som formål «å tjene menneskeheten». Selv om det kan diskuteres hva som ligger i dette vilkåret, er det liten tvil om at det «å bekjempe en pandemi» er et formål som de aller fleste vil stille seg bak. Men det er viktig å merke seg at dette er et bredt og overordnet formål, som kan romme mange delformål og tiltak av ulik art. Det kan blant annet begrunne at myndighetene kontrollerer borgerne, og sanksjonerer uønsket adferd. Det kan også begrunne svært inngripende forskningsprosjekter, og til og med utestengelse fra arbeids- eller samfunnslivet.
Personvernforordningens prinsipp om formålsbestemthet krever at alle behandlingsformål identifiseres og konkretiseres, slik at også konsekvensene for de berørtes rettigheter og friheter kan vurderes isolert og konkret.
Alle tiltak må utredes – på godt og vondt
For at det skal være mulig å gjennomføre en forsvarlig balansetest, slik forordningen i alle tilfelle krever, er det en forutsetning at tiltakene utredes.
Effektivitet
Det må blant annet utredes hvorvidt et tiltak er effektivt, med tanke på å oppfylle formålet. Hvis tiltaket ikke har ønsket effekt kan det bli ansett å være unødvendig, og dermed ulovlig. Når det gjelder FHI sin smittesporingsapp, som omtales nærmere nedenfor, er det flere som har stilt spørsmål ved akkurat dette. Det er foreløpig usikkert om man vil oppnå en så høy brukerandel i befolkningen som er nødvendig for at appen skal ha ønsket effekt.
Personvern er en forutsetning for andre personlige rettigheter og friheter, som f.eks. ytrings- og informasjonsfrihet.
Negative konsekvenser
For at det skal være mulig å vurdere forholdsmessigheten i et tiltak, er det selvsagt en forutsetning at man utreder hvilke negative konsekvenser tiltaket kan få for dem som omfattes, og hvordan disse eventuelt kan begrenses eller unngås. Her er det særlig viktig å identifisere de konsekvensene tiltaket kan få for barn eller andre sårbare grupper.
Det er verdt å merke seg at forordningen krever at man utreder ikke bare konsekvenser for de berørtes rett til privatliv og personopplysningsvern, men også blant annet for forsamlingsfrihet, religionsfrihet og bevegelsesfrihet. Kan f.eks. bruk av en smittesporingsapp medføre at smittede personer blir nektet tilgang til steder eller tjenester som de ellers ville ha rett til å benytte? Hvilke konsekvenser kan det på sikt få for ytrings- og informasjonsfriheten at myndighetene også kartlegger journalisters bevegelser? Vil hver og en av oss legge bånd på oss selv, med tanke på å utøve religion eller søke helsehjelp, av frykt for hvilke konsekvenser det kan få at myndighetene vet for mye om oss?
Personvernprinsippene i forordningen gir god veiledning for dem som har et reelt ønske om å ivareta personvernet.
Misbrukspotensialet
I forlengelsen av dette må også misbrukpotensialet utredes. Kan opplysningene brukes av kriminelle for å skape seg økonomisk vinning, eller av fremmede makter for å skaffe seg innflytelse? Kan tiltaket brukes av en mistenksom ektemann eller forelder til å kontrollere sine nærmeste? Hvor fristende blir det for våre egne myndigheter å bruke opplysningene i strid med forutsetningene – enten nå eller senere? Vil arbeidsgivere, kanskje urettmessig og ubevisst, legge vekt på opplysningene i forbindelse med ansettelses- eller permitteringsprosesser? Det er ikke all misbruk som lar seg forhindre gjennom gode informasjonssikkerhetstiltak.
Alternative tiltak
Det må også utredes om formålet kan nås tilfredsstillende gjennom alternative, mindre inngripende, tiltak. Hvis formålet kan nås uten at det behandles identifiserbare personopplysninger, eller ved bruk av pseudonymer, så vil det normalt ikke være tillatt å behandle direkte identifiserbare personopplysninger. Og myndigheten kan ikke pålegge borgerne tiltak som like gjerne kunne vært basert på den enkeltes frivillighet. Det kan også stilles spørsmål ved lovligheten av å samle personopplysninger i en sentral database hos myndighetene, dersom formålet i stedet kan oppnås gjennom en distribuert modell.
Åpenhet
Åpenhet og informasjon er også et grunnleggende personvernprinsipp, som er nedfelt i personvernforordningen. Åpenhet sikrer at individet settes i stand til å forstå sin egen rettslige posisjon og gis mulighet til å innrette seg i henhold til denne. I tillegg vil åpenhet gi borgerne mulighet til å kontrollere at de tiltakene de omfattes av er, og forblir, forholdsmessige og lovlige. I debatten om smittesporingsappen er det flere som mener at kildekoden må offentliggjøres for at sikkerhetshull skal kunne avdekkes og tettes. Spørsmålet er imidlertid om offentliggjøring i seg selv innebærer en uforholdsmessig sikkerhetsrisiko. Her strides foreløpig de lærde.
Særlig om frivillighet og FHIs smittesporingsapp
Den 27. mars 2020 fikk Folkehelseinstituttet hjemmel til å «etablere et system for digital og automatisert sporing av nærkontakter til personer som er smittet av koronaviruset SARS CoV-2 og informasjon til nærkontaktene». Den 16. april lanserte instituttet app-en Smittestopp. I medhold av forskriften planlegger Folkehelseinstituttet å tilby bruk av en mobilapp som skal gi myndighetene adgang til å registrere hvor brukerne av appen oppholder seg, og hvem de er i nærheten av. Dersom en bruker senere får påvist covid-19, vil man raskt og enkelt kunne få ut informasjon til disse, gjennom et SMS-varsel. På denne måten vil man automatisere og effektivisere en ellers tungvint prosess med å kartlegge hvem en person har hatt nærkontakt med.
Det er utvilsomt at et slikt tiltak potensielt kan få svært store personvernkonsekvenser, hvilket allerede er påpekt av en rekke aktører. Dette gjelder også Datatilsynet, som nettopp derfor anser som vesentlig at det er helt frivillig å laste ned appen.
Det er verdt å merke seg at selv om lovgiver har forutsatt at det skal være frivillig å laste ned appen, så skal behandlingen av opplysninger likevel ikke baseres på den enkeltes samtykke. Lovgiver erkjenner at det «vil kunne oppstå en viss tvil om hvorvidt den enkeltes samtykke oppfyller de strenge kravene i personvernforordningen». Det rettslige grunnlaget for behandlingen av personopplysningene er derfor at den er nødvendig for å utføre en oppgave i allmennhetens interesse og av allmenne folkehelsehensyn.
At det er frivillig å bruke appen har selvsagt avgjørende betydning når personverninteressen skal avveies mot hensynet til å hindre smittespredning. Det forutsettes imidlertid at frivilligheten er reell. Folkehelseinstituttet har uttalt om appen at «om den skal gi ønsket effekt, må mesteparten av befolkningen ta den i bruk». Allerede her ligger det en forventning, og mange vil nok oppleve et sosialt press fra venner, familie, naboer, skole og ikke minst arbeidsgiver. Det er vel ikke utenkelig at f.eks. arbeidsgivere, tjenesteytere eller butikkeiere vil ønske å se at vi har lastet ned appen og (hvis teknisk mulig) hvilken smittestatus vi har registrert, før vi slipper inn i deres lokaler. I så tilfelle blir frivilligheten neppe reell.
For å sikre frivilligheten må vi også ha informasjon som setter oss i stand til å overskue hvilke konsekvenser det får for oss å ta i bruk appen – også på lengre sikt. Vet vi at informasjonssikkerheten er god, slik at opplysningene ikke havner hos uvedkommende? Kan vi kreve at opplysningene om oss slettes, dersom vi senere ombestemmer oss? Vet vi hvilke formål opplysningene skal brukes til, utover smittesporing, og hvilke rettigheter vi har i den forbindelse? Her har både lovgiver og Folkehelseinstituttet et klart ansvar for å gi informasjon, selv om behandlingen ikke skal baseres på et egentlig samtykke.
Hastetiltak og dugnadsånd
Folkehelseinstituttet er ikke den eneste virksomheten som driver digitalt nybrottsarbeid i denne krisen. Råd om sosial distansering, stengte skoler og hjemmekontor betyr at hverdagen brått ble flyttet over på ulike digitale samhandlingsverktøy. Kommersielle virksomheter som opplever nedgangstider utvikler raskt nye tjenester og produkter som innebærer eller påvirker behandling av personopplysninger. Også dette byr på utfordringer knyttet til personvern og sikkerhet. I en krise er det en klar risiko for at man etablerer eller tar i bruk løsninger som man ellers ville forkastet fordi de ikke oppfyller kravene til personvern og informasjonssikkerhet. Eller, hvilket er like ille, at man ikke engang tar seg tid til å utrede disse tingene før man tar nye løsninger i bruk.
Når krisen er over bør både myndigheter og private virksomheter bidra med en ny dugnad. Senest da må de ta seg tid til å vurdere om det i denne perioden er etablert løsninger eller tiltak som bør endres eller skrotes.
Det er forståelig at det i en krisesituasjon ikke bestandig er tid til å gjøre like grundige utredninger og avveininger som man ellers ville gjort. Selv Datatilsynet har sagt at de vil være fleksible i denne vanskelige situasjonen.
Det har vært mye snakk om at vi alle må vise dugnadsånd i disse krisetider. Det forventes at alle stiller opp til fellesskapets beste, herunder at vi tillater myndighetene å overvåke oss på måter som ellers vil være utenkelige. Men når krisen er over bør både myndigheter og private virksomheter bidra med en ny dugnad. Senest da må de ta seg tid til å vurdere om det i denne perioden er etablert løsninger eller tiltak som bør endres eller skrotes, databehandleravtaler som bør reforhandles, personopplysninger som bør slettes eller informasjonsskriv som bør redigeres. Bare gjennom en slik opprydding kan vi bygge den tilliten som er nødvendig for å sikre at vi alle bidrar frivillig med våre personopplysninger når en ny krise rammer.
Består GDPR koronatesten?
Det er selvsagt for tidlig å konkludere om hvorvidt GDPR vil bestå koronatesten eller ikke.
Uavhengig av ståsted bør det være enighet om at EU bør foreta en gjennomgang av hvordan forordningen virket under press, for å identifisere eventuelle svakheter og gjøre nødvendige justeringer.
At ulike pandemibekjempende tiltak har blitt skrotet eller endret med henvisning til personvernprisippene er både sannsynlig og tilsiktet. Noen vil nok hevde at personvernhensyn har tatt liv under koronakrisen, og at GDPR derfor må revideres. Andre vil hevde at de tiltakene som blir iverksatt er for inngripende, og at GDPR derved ikke gir tilstrekkelig beskyttelse av personvernet, slik det ble forutsatt.
Uavhengig av ståsted bør det være enighet om at EU bør foreta en gjennomgang av hvordan forordningen virket under press, for å identifisere eventuelle svakheter og gjøre nødvendige justeringer. GDPR er et komplisert og nokså nytt regelverk. Vi kan derfor ikke se bort fra at eventuelle uheldige konsekvenser ikke skyldes regelverket i seg selv, men medlemsstatenes praktisering.
Ekspertkommentaren er den første i en serie spesialkommentarer om koronakrisens effekt på rettskildene og utvalgte rettsfelt.