Lynkurs: Nytt i personvernretten

Denne uken kom den første gigaboten etter EUs personvernforordning (GDPR) – en fransk bot på 50 millioner euro til Google. Juridika Innsikt presenterer her en oversikt over viktige endringer i rettskildebildet etter at ny personopplysningslov ble innført i 2018, og hva som er verdt å følge med på fremover.

Personvern er et varmt tema for jurister om dagen etter innføringen av GDPR forrige sommer. Denne uken, 21. januar, falt den første gigaboten etter det nye regelverket: 50 millioner euro i bot til Google fra det franske datatilsynet. Som Juridika Innsikt skrev i sommer, blir GDPR antakelig advokatmat i årevis.

Det neste store EU-regelverket som kan påvirke personvernreglene, er EUs kommunikasjonsvernforordning (ePrivacy Regulation). Forordningen, som vil regulere bruken av e-post, sosiale medier, chat-tjenester og andre digitale kommunikasjonstjenester, blir neste stopp i EUs personvernløp etter personvernforordningen. GDPR er innført i Norge gjennom ny personopplysningslov, som trådte i kraft 20. juli 2018.

I høst har vi fått en prøvesmak av virkningen og Juridika Innsikt har intervjuet eksperter om hvilke avklaringer vi har fått så langt.

Det har så langt ikke kommet noen virkelig store, avgjørende dommer eller avklaringer eller signalsaker, men for dem som jobber mye med personvern, er rettskildebildet allerede endret i løpet av 2018. Juridika Innsikt har sett på hvordan.

Personvern som standard

Mange forsøker å gi gode svar på hva GDPR betyr for jussen. Både Gyldendal og Universitetsforlaget har gitt ut litteratur, Datatilsynet har lansert et helt fornyet nettsted, og advokatfirmaer og andre driver aktiv opplysningsvirksomhet overfor sine kunder.

Kort oppsummert stiller den nye EU-forordningen krav til alle virksomheter som behandler personopplysninger. Personopplysninger er definert som alle opplysninger som kan knyttes til privatpersoner, uansett om de er sensitive eller ei. Programvare og ulike typer tjenester er fra nå av pålagt å bruke strengest mulige personverninnstillinger innlagt som standard, ikke bare som en mulighet brukerne kan velge.

Personvernombud

Flere store organisasjoner må etter den nye loven innføre personvernombud. Det gjelder alle offentlige etater. Over 1500 ombud er registrert pr. januar 2019.

– Å sjekke om ombudsordningen etterleves, blir en av prioritetene for Datatilsynet i 2019, sa Datatilsynets direktør Bjørn Erik Thon da den norske juridiske «personverneliten» var samlet til årets personvernkurs i regi av Juristenes Utdanningssenter i oktober.

Thon sa da at tilsynet kun etter at den nye loven trådte i kraft i juli, hadde mottatt flere meldinger om avvik enn i hele 2017 sammenlagt. Han la til at tilsynet jobbet med flere alvorlige saker, inkludert lemfeldig håndtering av personnummer og feilsending av straffesaksdokumenter. Nettavisen Rett 24 meldte om en slik sak i høst, der dokumenter som skulle gått fra politi til forsvarsadvokat, havnet rett i redaksjonen.

Datatilsynets veiledere

Datatilsynet har utarbeidet veiledere for alle bransjer som vil etablere egne personvernnormer. Advokatforeningen har laget retningslinjer for advokatbransjen. Tilsynet selv har laget ulike veiledere for å gjøre det enklere for behandlingsansvarlige og databehandlere å etterleve regelverket. Blant disse veilederne finnes en veileder om behandlingsansvarlig og databehandler, en veileder om vurdering av personvernkonsekvenser og en veileder om programvareutvikling med innebygd personvern.

Megabøtene i Europa

Sanksjonene kan med ny lov bli langt høyere. I Norge er gebyrtaket på 10 G (én million kroner) fjernet. Alt etter hvilke regler som blir brutt, kan de som bryter personvernregelverket, nå ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes.

Datatilsynet går fra å gi konsesjon til å gi konsultasjon.

Thon har tidligere sagt at det norske tilsynet ikke ønsker å gi store bøter, men bøtenivået skal i fremtiden bestemmes i samråd med datatilsyn i andre EU-land. Rettspraksisen blir først og fremst felleseuropeisk, ikke nasjonal.

– Vi vil nok se et par store signalsaker veldig snart. Kanskje først fra det franske, tyske eller britiske datatilsynet, forklarte en av forfatterne av Personvernforordningen (GDPR): Kommentarutgave, advokat Cecilie Rønnevik i Simonsen Vogt Wiig, til Juridika Innsikt.

Rettspraksis etter GDPR

I påvente av signalsaker har Thomas Olsen, advokat i Simonsen Vogt Wiig og medforfatter av Personvernhåndboken, gjort opp status for norske regler og rettspraksis per årsslutt 2018. På det årlige personvernkurset i oktober forklarte Olsen hvordan personvernforordningen er gjort til norsk rett, og hvilke presiseringer og unntak som er gjort.

Blant annet gjelder det særnorske regler for kameraovervåking og innsyn i e-post.

Noen regler som før var i gammel personopplysningslov med tilhørende forskrift, er «flyttet» til arbeidsmiljøloven med tilhørende forskrift. Tidligere paragrafer i personopplysningsloven av 2000 om kameraovervåking i virksomhet er nå inntatt i egen forskrift med hjemmel i arbeidsmiljøloven § 9-6.

En annen særregulering i norsk rett, utdypende regler med hjemmel i enkelte artikler i forordningen, inkluderer 13-årsgrense for samtykke ved informasjonssamfunnstjenester. Norge har her valgt aldersgrense 13 år. Artikkel 23 åpner for at nasjonal lovgiver kan gjøre unntak i de registrertes rettigheter og friheter på enkelte områder gjennom lov, og dette er gjort i personopplysningsloven kapittel 4.

Markedsføring i nytt lys

Personvernforordningen får også følge for reglene om direkte markedsføring. Reglene har vært gjeldende i mange år. Det stilles ulike krav for å kunne ta kontakt med individer gjennom direkte markedsføring på e-post og annet vis, blant annet krav om samtykke.

Den nye personopplysningsloven gjelder parallelt med markedsføringsloven, og begge regelverk må overholdes ved direkte markedsføring, men det er ikke personopplysningsloven og forordningen som alene stiller kravet om samtykke.

– Frykt for brudd på personvernforordningen har gjort at enkelte virksomheter har sendt ut henvendelser om samtykke, selv om de da risikerer å bryte markedsføringsreglene, sier Olsen.

Han tror reglene om direkte markedsføring endres når den nye kommunikasjonsvernforordningen fra EU innføres en gang i fremtiden. Det gjelder også de norske såkalte cookie-reglene.

Cookie-reglene i nytt lys

De norske cookie-reglene har til nå vært mindre strenge enn i mange andre land ellers i Europa. Cookies (informasjonskapsler) er små filer som gjør det mulig for nettstedet å kjenne igjen nettleseren til brukeren og for eksempel tilpasse innholdet på nettstedet til brukerens antatte preferanser. I Norge har det vært tilstrekkelig at en bruker er gitt anledning til å blokkere cookies gjennom innstillinger i nettleseren. Det betyr at et nettsted ikke nødvendigvis trenger å spørre deg om du aksepterer at det benytter cookies, første gang du går inn.

I flere land har cookie-reglene blitt praktisert strengt med krav om uttrykkelig samtykke for bruk av cookies for blant annet markedsføringsformål.

– I den senere tid har vi sett mange virksomheter implementere bannere og pop-ups på nettsidene sine med ulike samtykke- eller reservasjonsløsninger, uten at en slik løsning nødvendigvis er påkrevd juridisk, sier Olsen.

– Det er dessverre en stor risiko for at kundene utvikler en «samtykkeapati» når de må bekrefte så ofte.

Overgangsordning for konsesjoner

I utgangspunktet er den tidligere konsesjons- og meldeplikten i den gamle personvernloven opphevet med personvernforordningen. I en egen forskrift om overgangsordninger er imidlertid enkelte konsesjoner videreført. Det gjelder blant annet konsesjonene som gjelder kredittopplysningsvirksomhet, dopingkontroll i treningssenter og elektronisk publisering av rettsavgjørelser og retten for et selskap til å foreta bakgrunnssjekker av andre selskaper før man inngår kontrakter – såkalt integrity due diligence (en bakgrunnssjekk av samarbeidspartnere).

Rettskildebildet 2019

Dette er en oppsummering av rettskildebildet når det gjelder personvern i 2018:

1. Lov og forordning
2. EU har innført ny personvernforordning, GDPR. Den er gjennomført i Norge gjennom ny personopplysningslov, som erstatter loven fra 2000.
3. Forskrifter
4. To forskrifter til den gamle personopplysningsloven er nå blitt forskrifter til arbeidsmiljøloven:
6. Dommer i EU-domstolen
7. To viktige avgjørelser fra EU-domstolen i 2018:
9. Internasjonale veiledere
10. Den tidligere Artikkel 29-gruppen, som bestod av representanter for datatilsynene i EU og EØS, er erstattet av Personvernrådet (EDPB). Artikkel 29-gruppen gav ut veiledere etter gammel lov, og det nye rådet gir ut veiledere etter GDPR.
11. Personvernrådet tar således over Artikkel 29-gruppens mandat. Rådet har sluttet seg til flere av veilederne utarbeidet av Artikkel 29-gruppen, og de vil gjelde på lik linje med kommende veiledere rådet utgir. Men de veiledere fra Artikkel 29-gruppen som rådet ikke har sluttet seg til, må vurderes konkret mot GDPRs artikler. Personvernrådet har så langt sluttet seg til 16 veiledere.
12. Det nye Personvernrådet vil ha mulighet til å komme med bindende uttalelser om saker.
13. – De vil særlig fokusere på grenseoverskridende tema som bøtenivå. Nasjonale saker skal føres i nasjonale tilsyn og klageorganer, men grenseoverskridende saker vil ofte involvere dette rådet. Det betyr at enkelte saker som før ville gått til Personvernnemnda, vil behandles av Personvernrådet i stedet, sier Thomas Olsen.
14. En sentral veileder er WP248 rev.01 om behandlingsansvarliges plikt til å foreta personvernkonsekvensutredning om hvordan deres aktiviteter påvirker personvernet.
15. I tillegg kommer veiledere om dataportabilitet og automatiserte individuelle avgjørelser.
16. For øvrig gav også Berlingruppen, der datatilsyn i flere land diskuterer sammen med frivillige organisasjoner og næringsliv, en uttalelse om personvern i biler i oktober.
17. Personvernnemndas vedtak
18. Personvernnemnda behandler klager på Datatilsynets vedtak. Nemnden avgjør fortsatt tvister om konsesjoner som ble nektet eller gitt før den nye loven trådte i kraft, men fatter avgjørelser etter ny personopplysningslov. Personvernnemnda har syv medlemmer, hvorav fire er jurister. Nemnden ledes av tingrettsdommer Mari Bø Haugstad, som på årets personverndag gikk gjennom flere vedtak nemnden mener at det er viktig å legge merke til. Det inkluderte saker om følgende:

Bøtenivået så langt i 2018

Bull & Co.s blogg om personvern, Personvernfabrikken, har nylig gått gjennom fire saker som endte i bøter i 2018, for å se hvor streng håndhevingen blir.

– Av interessante bøter vi har merket oss, er den varslede boten mot Bergen kommune på 1,6 millioner kroner som følge av at brukernavn og passord til 35 000 elever og ansatte i Bergensskolen lå åpent tilgjengelig. Dette bør være en vekker for kommuner, og andre offentlige organ som har hatt en holdning om at GDPR og datasikkerhet bare angår næringslivet, sier Jenny Sveen Hovda i Bull & Co.

Foruten Bergenssaken, som kan ha blitt ekstra streng fordi overtredelsen gikk utover barn, gjaldt det et sykehus i Portugal, der enhver lege kunne søke opp informasjon om alle pasienter, og som førte til en bot på ca. 4 millioner kroner. En tysk chatte-plattform som brukte ukrypterte passord kunne vært straffet strengt, men fordi de varslet selv, samarbeidet og innførte nye systemer, ble boten «bare» 200 000 kroner. I Østerrike fikk en gründer, som jobbet alene, en bot på 48 000 kroner fordi et overvåkningskamera filmet deler av fortauet utenfor lokalene.

Kommunikasjonsvernforordning

Det neste store EU-regelverket som kan påvirke personvernreglene, er EUs kommunikasjonsvernforordning (ePrivacy Regulation). EU-kommisjonen foreslo utkast for de nye kommunikasjonsvernreglene i januar 2017, og den opprinnelige planen vår å ha reglene klare samtidig som GDPR. EU-kommisjonen har nylig signalisert at reglene vil bli vedtatt i 2019. Reglene var på høring i Norge våren 2017, og både teleselskapene, PST, Datatilsynet og Forbrukerrådet har uttalt seg.

Forordningen vil mest sannsynlig endre deler av dagens norske markedsføringslov og ekomlov.

– Kommunikasjonsvernforordningen er tenkt som et spesialregelverk, lex specialis, som skal gjelde side om side sammen med GDPR og håndheves likt, forklarer Olsen.

Reglene pålegger leverandører av elektroniske kommunikasjonstjenester taushetsplikt, enten det er Telenor, Facebook eller selskapet bak en app som åpner for individuell kommunikasjon. Det skal ikke være mulig å dele med tredjeparter hva en bruker sier og skriver, eller hva han eller hun bruker tjenestene til, uten etter samtykke eller annet grunnlag i reglene.

Viber, Signal, WhatsApp, Messenger og Snapchat

Tanken bak lovforslaget er å gjøre reglene teknologinøytrale og å omfatte flere tjenester hvor det er behov for å verne kommunikasjonen. Ikke bare telefon og e-post, men også chat-programmer og apper som Viber, Signal, WhatsApp, Messenger og Snapchat vil kunne bli omfattet. Nye gråsoner føyer seg stadig til, som meldingssystemet mellom spillere i et dataspill.

– De store tradisjonelle teletilbyderne opplever at det bare er tradisjonelle kommunikasjonstjenester som reguleres, mens tjenester som tilbyr veldig lik funksjonalitet, slipper unna.

Teletilbyderne som har uttalt seg i den norske høringen om det nye regelverket, er bekymret for at strengere regler kan hindre innovasjon og bli vanskelig å etterleve.

Det gjenstår ennå å se hvordan kommunikasjonsvernforordningen blir seende ut – og om EU lykkes med å vedta forordningen innen året er omme.

Saken er laget i samarbeid med Juristenes Utdanningssenter.