Fra papirutgaven

EUs nye personvernforordning: Revolusjonen som aldri kom

EUs nye personvernforordning er ikke så viktig som mange vil ha det til, mener tidligere statssekretær Ove Vanebo.

Bilde: Thijs ter Haar / Flickr / CC BY 2.0

Flere omtaler GDPR, EUs nye personvernforordning, som en revolusjon eller et kvantesprang. Men endringene er små, og kan innebære svekkede rettigheter.

Den 25. mai 2018 vil EUs personvernforordning tre i kraft i samtlige EU-land. Forordningen erstatter EUs gjeldende personverndirektiv. Justis- og beredskapsdepartementet har i et høringsnotat av 6. juli 2017 foreslått at dagens personopplysningslov oppheves og erstattes av en lov som slår fast at forordningen gjelder som norsk lov.

Det er flere grunner til at forordningen ble vedtatt: Oppdateringer innenfor det teknologiske landskapet, ivaretagelse av personvern, økonomiske gevinster, mål om harmonisering og fjerning av administrative byrder.

En akademisk blogg som beskriver endringer i europeisk forbrukerlovgivning, hevder at «GDPR is certainly a quantum leap».[i] Skribenten og programmereren Bjørn Stærk skrev i Aftenposten 29. september 2017 en kronikk med overskriften «Personvernrevolusjonen er på vei».

Etter å ha satt meg inn i forordningen, både som statssekretær i Justisdepartementet og som advokat, er det imidlertid min påstand at forordningen medfører få substansielle endringer. Fremstillinger om at den snur opp ned på rettstilstanden, er skapt av teknologibedrifter og advokater som ser sitt snitt til å selge tjenester. Det er riktignok et stort behov for denne type tjenester, siden de færreste virksomheter etterlever kravene som stilles allerede i dag.

Gjenspeiler dagens rettstilstand

Mange virksomheter er bekymret for strengere krav til behandling av opplysninger. Men i all hovedsak vil kravene i forordningen gjenspeile krav til internkontroll og informasjonssikkerhet i personopplysningslovens kapittel II. Som teoretikerne Voigt og von dem Bussche skriver: «Most of these articles [concerning general organizational data protection] only repeat pre-existing obligations that had already been embedded in the Data Protection Directive».[ii] De grunnleggende prinsippene i forordningen tilsvarer også i betydelig grad prinsippene som følger av dagens lov.

Selv om forordningen fremstilles som et viktig grep for å sikre enkeltindividers rettigheter, er det min påstand at det blir enda vanskelige å få oversikt over krav og rettigheter – både for fysiske personer og for virksomheter som skal følge opp kravene. Den danske professoren Peter Blume påpeker at det er «mange regler og en stor kærlighed til ord. […] Forordningen er generelt set en svært tilgængelig tekst, der nok kun forstås af de særlig indviede.»[iii]

Den norske (foreløpig uoffisielle) oversettelsen av forordningen er på hele 88 sider. I tillegg til forordningens 99 artikler inneholder den 173 fortalepunkter som skal kaste lys over artiklenes innhold ved tolkning. Tenketanken The Information Technology and Innovation Foundation har påpekt at den enorme detaljreguleringen «will be onerous in practice – like trying to sail with an anchor overboard».[iv]

Fiksjonen om sterkere rettigheter

Forordningen regulerer helt eller delvis automatisert behandling av personopplysninger og ikke-automatisert behandling av personopplysninger i et register. Med personopplysninger menes opplysninger om en identifisert eller identifiserbar fysisk person, f.eks. telefonnummer eller bilde. Med behandlingsansvarlig menes aktøren som bestemmer formålet med behandlingen av personopplysninger, og hvilke midler som skal benyttes.

Etter dagens rettigheter i personopplysningsloven har registrerte rett til bl.a. innsyn i hvilke behandlinger som skjer, og i opplysninger om seg selv, å motta informasjon om behandlinger, retting eller sletting av bestemte opplysninger, og å kreve manuell behandling ved fullt automatiserte avgjørelser. Forordningen skulle styrke individets rettigheter. Men som det heter i Justisdepartementets høringsutkast: «Bestemmelsene [i forordningen] innebærer i stor grad en videreføring av dagens rettstilstand.»[v]

I praksis vil det knapt være noen rett til å bli glemt i offentlig sektor.

I tillegg til justeringer og presiseringer av de eksisterende rettighetene, er det fire tilsynelatende nye rettigheter: Rett til å bli glemt, dataportabilitet, begrensning av behandling, og til å protestere mot behandling av personopplysninger. Etter mitt skjønn tilfører disse rettighetene lite ut over det som allerede finnes.

Staten glemmer ikke

Retten til å bli glemt ble omtalt hos ABC Nyheter på følgende måte: «Om ett år innføres personvernforordningen (GDPR) i Norge. Da kan nordmenn velge å «bli glemt» på nett»[vi]. Allerede i dag eksisterer det imidlertid en slik adgang til sletting, fastslått i EU-domstolens Google-dom.[vii] Den nye rettigheten er riktignok noe mer vidtgående, ved bl.a. at kretsen som kan kreve sletting, utvides, og det ikke bare er lenker til opplysninger som slettes. Men den inneholder flere sentrale unntak, f.eks. «for å utøve retten til ytrings- og informasjonsfrihet».

Det kanskje mest dramatiske unntaket fra retten til å bli glemt er behandling som gjøres i samfunnets interesse eller som ledd i offentlig myndighetsutøvelse. I praksis vil det knapt være noen rett til å bli glemt i offentlig sektor.

Departementet presiserer også at retten er «først og fremst en tydeliggjøring og ingen vesentlig utvidelse av plikten til sletting».[viii] I juridisk teori hevdes det at rettigheten er blitt så uthulet at man nærmest har fått det motsatte av en rett til å få slettet opplysninger, og at bestemmelsene derfor må oppfattes som keiserens nye klær, en rettighet som seiler under falsk flagg.[ix]

Begrenset portabilitet

Retten til dataportabilitet innebærer at den registrerte har rett til å motta opplysninger om seg selv og å overføre disse til andre. Et vanlig eksempel er at en person kan få overført fra Spotify og over til Tidal musikkspillelister han selv har laget. Datatilsynets direktør Bjørn Erik Thon mener denne retten er av de «mer spennende» endringene.[x] Også her mener jeg rettigheten er av begrenset nytte.

For det første omfatter den kun opplysninger som den registrerte «har gitt til en behandlingsansvarlig». Det betyr at en rekke interessante opplysninger som er generert med mer avledede aktiviteter, ikke er omfattet av retten – f.eks. analyser av informasjon om den registrerte som den behandlingsansvarlige har laget.

Et annet praktisk eksempel som ikke omfattes, er studenter som vil overføre data fra en utdanningsinstitusjon til en annen: I dette tilfellet vil f.eks. karakterer eller meldinger mottatt i den personlige profilen være tilført av institusjonen, ikke av den registrerte selv. For det annet gjelder retten kun behandlingen som baserer seg på samtykke eller en kontrakt.

Til sist nevner jeg også at det er en rekke unntak fra retten, f.eks. at portabiliteten ikke skal krenke andres rettigheter eller frihetsrettigheter. Det betyr eksempelvis at bildemateriale og kommentarer fra andre brukere i sosiale medier i stor grad ikke kan overføres fordi de er omfattet av opphavsrett. Rettigheten får heller ikke anvendelse på behandling som er nødvendig for å utføre en oppgave i almenhetens interesse, eller for å utøve offentlig myndighet. Akademikerne Diker Vanberg og Ünver har derfor trolig rett når de konkluderer med at rettigheten «might not deliver the intended results due to its ambiguity and due to the inherent limitations contained therein such as the rights and freedoms of other data subjects.»[xi]

Begrenset behandling

Retten til begrensning av behandling gjør at den registrerte kan «merke» lagrede personopplysninger med det som mål å begrense behandlingen av dem i fremtiden. Et eksempel er at en registrert person mener at en organisasjons personopplysninger om den aktuelle registrerte ikke behandles på lovlig vis, og derfor krever at disse opplysningene ikke vises på en nettside eller utleveres til andre. Dette gjøres typisk ved at personene som opplysningene gjelder, retter en henvendelse til den som behandler data. Retten er betinget av at det foreligger nærmere angitte grunner, f.eks. at opplysningenes riktighet er omtvistet.

Begrensningsretten har trolig noe for seg, men også den har snevre rammer. I tilfeller der man krever begrensninger, vil det ofte dreie seg om opplysninger man ikke ønsker at andre skal se. Men det er trolig slik at bl.a. de alminnelige reglene om rett til innsyn etter offentleglova og forvaltningsloven fremdeles vil gjelde, slik at andre i stor grad har mulighet til å se opplysninger som er gjort, begrenset.[xii] Juridisk litteratur antar at retten til begrensning vil bli lite brukt.[xiii]

Jeg protesterer!

Den siste nye rettigheten, registrertes rett til å protestere mot behandling av personopplysninger om vedkommende, har også klare begrensninger. Når den registrerte protesterer, må den behandlingsansvarlige stoppe behandlingen av personopplysningene med mindre nærmere angitte grunner foreligger, bl.a. for å forsvare et rettskrav. Typiske tilfeller vil være at opplysninger behandles med henblikk på direkte markedsføring. Dersom den registrerte gjør innsigelse, skal personopplysningene ikke lenger behandles for slike formål.

Retten gjelder imidlertid kun i bestemte tilfeller, bl.a. når behandlingen foretas på grunnlag av almene oppgaver/myndighetsutøvelse eller private behandlingsansvarliges behandling som er basert på deres berettigede interesser. Det vil i prinsippet omfatte alle lovlige interesser, for eksempel for å drive næringsvirksomhet.

Bli abonnent på Minerva, høyresidens nettavis: Kun 1,- første måneden!

I tillegg mener jeg rettigheten trolig er snevrere enn dagens rettsregler: Selv om personopplysningsloven ikke inneholder en rett til å protestere mot behandling, ble det vurdert å innføre en slik rett i forbindelse med vedtagelsen av dagens lov. Justisdepartementet mente imidlertid at en slik rett allerede fantes i det ulovfestede «vern om personligheten» – som er personvernprinsipper som kan forby visse personverninngrep, i tillegg til spredte lovbestemmelser.[xiv] Det var derfor ikke behov for ytterligere lovregulering av adgangen til å motsette seg behandling. Disse eksisterende rettighetene gjelder forøvrig mer generelt, mens den nye rettigheten har et mer begrenset virkeområde.

Oppsummert er jeg derfor skeptisk til om forordningen vil innebære så mye nytt og interessant for enkeltmennesker. Jeg er derfor enig med Peter Blume når han konstaterer at: «Mindre åbenbart er det, om de nye rettigheder, som forordningen indfører, medfører en forbedring.»[xv]

Behov for alt dette?

Et annet spørsmål som man saktens kan stille, er om det er noen vits å videreføre alle de eksisterende rettighetene. Har personene som opplysningene gjelder, virkelig behov for å bli informert om mottagere eller kategorier av mottagere av personopplysningene, tidsrom personopplysningene vil bli lagret i, eller kriteriene som brukes for å fastsette dette?

Eller retten til begrensning av behandling som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet og retten til å klage til en tilsynsmyndighet? Dette er bare noe av informasjonen som i utgangspunktet skal gis uoppfordret til den registrerte etter forordningen. Det er tilsynelatende liten refleksjon rundt hva som er mer eller mindre viktig å ha av rettigheter.

Også svekkede rettigheter?

Få har sett nærmere på svekkede rettigheter i forordningen sammenlignet med i dag. Noen helt åpenbare eksempler finnes. F.eks. heter det i personopplysningsloven at «[en]hver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få [nærmere angitt] informasjon om en bestemt type behandling». Denne retten blir nå borte, og etter den nye loven vil kun den registrerte ha innsynsrett.

Det eksisterer også en rekke uklarheter som skaper tvil om den nye forordningen vil videreføre eller redusere dagens ordninger.

Svekket rett til erstatning

En mulig endring som innebærer svekkelse av rettighet, vedrører retten til erstatning for rettsbrudd: I dag skal den behandlingsansvarlige i utgangspunktet erstatte skade som er oppstått som følge av at personopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven. Det omfatter også oppreisningserstatning for ikke-økonomisk skade («tort og svie»).

Etter forordningens artikkel 82 heter det at «[en]hver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden.» Den nye reguleringen kan synes å gå ut på det samme som dagens løsning, men det er langtfra klart. Teoretikeren Eoin O’Dell har påpekt at formuleringen etterlater tvil om EU-/EØS-statene må regulere retten til erstatning ytterligere i en egen rettslig mekanisme for at det skal foreligge en rett til erstatning.[xvi]

At man fratas adgangen til samtykke, fremstår som umyndiggjørende.

De danske forarbeidene til implementeringen av forordningen i dansk rett påpeker at de nærmere vilkår for erstatning er mangelfullt beskrevet i artikkel 82, og at det tradisjonelt sett ikke er et ensartet skadebegrep i EU-retten.[xvii] På denne bakgrunn mener Justisministeriet at det ikke vil være noen rett til oppreisningserstatning dersom dette ikke følger av den øvrige lovgivning i en stat. Er dette riktig, vil opphevelse av dagens regulering i personopplysningsloven medføre at registrerte vil miste rett til erstatning i mange tilfeller.

Samtykke svekkes

Med dagens regulering er det vanlig å mene at samtykke skal være hovedregelen som grunnlag for behandling av personopplysninger. Datatilsynet skriver på sine nettsider følgende: «Når verksemder handsamar personopplysningar, skal dei i størst mogleg grad basere det på samtykke. Det inneber at du godtek at verksemda behandlar personopplysningar om deg.»

Etter forordningen vil det ikke lenger være adgang til å sette opp samtykke som foretrukket behandlingsgrunnlag.[xviii] Ulike grunnlag for behandlingen, f.eks. for å oppfylle en kontrakt eller fordi legitime hensyn tilsier det, vil derfor være sidestilt med samtykke. Det er hevdet at samtykke skal brukes i mindre grad etter den nye forordningen.[xix]

Bakgrunnen for at samtykke i mange tilfeller anses som et lite hensiktsmessig grunnlag, kan sees i kravet om at et samtykke må være en «frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte».[xx] Det kreves tiltak for å følge opp med tilstrekkelig informasjon for at et samtykke skal være gyldig.

Men det største problemet er å sikre reell frivillighet i lovverkets forstand, som også er en problemstilling etter dagens lov. I personvernforordningens fortalepunkter 42 slås det fast at samtykke ikke er frivillig når en person «ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende». Fortalepunkt 43 påpeker at et samtykke ikke er frivillig når det er «en klar skjevhet mellom den registrerte og den behandlingsansvarlige».

Paternalismen vinner

I utgangspunktet er dette en sympatisk tilnærming, men den kan også ende opp i paternalisme. Ved at det stilles strenge krav til at mennesker er «uberørte» av ytre faktorer og press, kan man begrunne mange inngrep med at folk ikke vet sitt eget beste. Men hva er vel egentlig et «frivillig» valg? Vi påvirkes alle av ulike situasjoner og relasjoner. At man fratas adgangen til samtykke, fremstår som umyndiggjørende. Problematikken viser også at det kan være et spenn mellom individuell autonomi og personvern: Mange av reguleringene som skal sikre personvern, vil i realiteten frata folk selvråderett.

Vi får tilsynelatende også et klart paradoks: Svært viktige valg, der betydningsfulle personopplysninger skal behandles, kan man ikke samtykke til – selv om det er i slike situasjoner enkeltmennesket trolig ønsker å ha det avgjørende ordet. Dette kan f.eks. være i tilfeller der en arbeidstager vil samtykke til rusmiddeltesting etter forespørsel fra sin arbeidsgiver. Og i situasjoner der mer bagatellmessige opplysninger skal behandles, kan man samtykke – men det har liten betydning for folk.

Forøvrig er det også et spenn mellom ytringsfrihet og personvern. Med den nye forordningen vil en rekke sosiale medier være underlagt forordningens virkeområde, f.eks. hvis man har en helt åpen profil og kommuniserer mer enn personlige opplysninger.[xxi] Det er tenkelig at forordningen kommer til anvendelse på bl.a. en åpen Facebook-profil.

Kjente bloggeres aktivitet er utvilsomt omfattet av forordningen. Det betyr at eierne av profiler i sosiale medier blir behandlingsansvarlige – med omfattende plikter for eksempel knyttet til å gi informasjon til de registrerte på brukersidene, samt å ha tekniske og organisatoriske virkemidler for å hindre uberettiget utlevering av personopplysninger. Men dersom forordningen i stor grad regulerer sosiale medier, vil (omfattende) krav til reguleringer også legge en demper på viljen og evnen til å utforme brukerprofiler og utøve ytringsfriheten.

Nytt og viktig?

Det er neppe tvil om at det er et behov for å oppdatere dagens regulering av personopplysninger. Jeg tror det har vært for store forhåpninger til at forordningen vil løse problemer som eksisterer i dag, og at det er behov for ytterligere reformer. La meg oppsummere hvorfor jeg tror forordningen er en mangelfull løsning:

Det er ikke slik at Datatilsynet alltid har rett.

For det første tviler jeg på at flere reguleringer eller rettigheter er svaret i en kompleks teknologihverdag. Kravene tar tid å følge opp, og spiller liten rolle for de registrerte. Jeg tror også man kunne utvidet unntakene fra forordningens reguleringer ytterligere.

På grunn av regelmengden vil de fleste behandlingsansvarlige eller databehandlere trolig forholde seg til Datatilsynets standardmaler eller veiledninger. Men det vil flytte stor definisjonsmakt til tilsynet, og det er ikke slik at Datatilsynet alltid har rett. En kritisk artikkel av Bjarne Kvam gjennomgikk klagesakene som Personvernnemnda behandlet fra 2001 til 2010. Hans gjennomgang viste at tilsynets vedtak ble omgjort helt eller delvis i omlag 50 prosent av tilfellene.[xxii]

For det annet har mange sett for ensidig på forordningen som et instrument til å sikre personvern. Men forordningen skal også sikre fri flyt av personopplysninger. Det er slått fast i formålsbestemmelsen i artikkel 1 nr. 3. Forsøkene på å ivareta ulike, motstridende hensyn har skapt dårlige reguleringer.

Hvordan er det i dag?

For det tredje har det vært lite oppmerksomhet rundt allerede eksisterende rettigheter og reguleringer, hvordan disse har fungert frem til nå, og behovene for endringer. Hvor mange har i grunnen særlig oversikt over hva slags vern individer har i dag?

Et eksempel på hvordan forordningen beskrives som en nyvinning, men representerer kontinuitet, kan man se i Stærks kronikk, som det er vist til innledningsvis: «Kjernen i GDPR er at du bestemmer over informasjon om deg, og at man ikke skal sitte på flere personopplysninger enn man må. Hvis et firma ikke trenger å vite telefonnummeret ditt, så skal de ikke ha telefonnummeret ditt.»

Men også i dag oppstiller personopplysningslovens § 28 et forbud mot å lagre unødvendige personopplysninger. Etter første ledd skal personopplysninger ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, og de skal slettes med mindre arkivloven eller annen lov pålegger oppbevaring. Videre er det i personopplysningslovens § 11 bokstav d et «minimalitetsprinsipp», som stiller krav til den behandlingsansvarlige om å behandle færrest mulige personopplysninger som er nødvendige for å oppnå behandlingsformålet.

Oppfølging ville vært viktigere

Hvis man virkelig ønsket å styrke personvernet, ville det trolig være et bedre virkemiddel å se på de faktiske mulighetene til å gjennomføre tiltak, f.eks. ved å styrke Datatilsynets veiledningsrolle og mulighet til å følge opp brudd.

Trolig vil forordningen bidra til å få mer fokus på personvern, men i realiteten innebære få substansielle endringer. I så måte representerer den kanskje et «kvantesprang» i ordets egentlige betydning: Det er et sprang som representerer en endring i retning – i den forstand at det knytter seg til at et elektron hopper fra én bane og over til en annen innen samme atom. Men det dreier seg likevel om ørsmå endringer.

Denne artikkelen er hentet fra Minervas papirutgave 4/2017.

Noter

[i] Agnieszka Jabłonowska, GDPR, e-Privacy and beyond (part 2): the struggle over privacy and data protection continues 24. april 2017.

[ii] Paul Voigt og Alex von dem Bussche, The EU General Data Protection (GDPR), 2017 s. 33.

[iii] Peter Blume, Persondataretlige grundfigurer, 2017, sidene 37-38.

[iv] https://itif.org/publications/2016/04/14/new-eu-data-regulation-takes-digital-economy-two-giant-steps-backward-says

[v] Justis- og beredskapsdepartementet, Høringsnotat; Ny personopplysningslov – gjennomføring av personvernforordningen i norsk rett, 6. juli 2017, side 46.

[vi] https://www.abcnyheter.no/livet/2017/05/26/195305078/nordmenn-urolige-sikkerheten-pa-nett

[vii] C-131/12

[viii] Justis- og beredskapsdepartementet 2017, s. 47.

[ix] Peter Blume, Den nye persondataret, 2016 s. 103-104.

[x] Aftenposten 14. februar 2016: https://www.aftenposten.no/norge/i/Eaa5/Nytt-personvern-reglement-i-EU-skal-gi-deg-flere-rettigheter

[xi] Aysem Diker Vanberg og Mehmet Bilal Ünver, The right to data portability in the GDPR and EU competition law: odd couple or dynamic duo?  European Journal of Law and Technology nr. 1 2017, s. 14.

[xii] Justisministeriet 2017, s. 341-342 og 959-966.

[xiii] Blume 2017, s. 110.

[xiv] Ot.prp. nr. 92 (1998-1999) punkt 5.4.1.5, jf. punkt 5.4.1.3.

[xv] Blume 2017, s. 98.

[xvi] Eoin O’Dell, Compensation for Breach of the General Data Protection Regulation, 2017.

[xvii] Justisministeriet s. 910-914.

[xviii] Blume 2017, s. 67.

[xix] L.c.

[xx] Forordningens artikkel 4, nr. 11.

[xxi] Justisministeriet 2017, s. 40-42 og Blume 2016, s. 51-53.

[xxii] Bjarne Kvam, Er Datatilsynets lovtolkning for restriktiv? Lov og Rett nr. 1 2012.

Bli abonnent

Da får du tilgang til alle artikler. Det tar under ett minutt.

Prøv i en måned for 1,-
Allerede abonnent? Logg inn

Fra forsiden