Innledning og overordnede betraktninger
IT-politisk råd i den norske dataforening viser til høring av 6. juli 2017 fra Justis- og beredskapsdepartementet– med forslag til lovendringer som skal gjennomføre EUs personvernforordning (General Data Protection Regulation) i norsk rett.
IT-politisk råd er grunnleggende bekymret for om konsekvensene av personvernforordningen er erkjent av norske myndigheter. På tross av at de fleste prinsippene er kjent fra gjeldende lovverk, innebærer forordningen vesentlige endringer på flere områder. For alle norske offentlige og private virksomheter vil behovet for dokumenterte vurderinger øke markant, noe som vil ha vesentlige økonomiske og administrative konsekvenser.
Samtidig er en rekke av de grunnleggende bestemmelsene i forordningen uklare, med et tilhørende stort tolkningsrom. Eksisterende praksis forankret i personopplysningsloven og -forskriften vil ha begrenset vekt i fortolkningen av det som nå blir et tilnærmet fullharmonisert europeisk regelverk. De veiledninger som til nå er publisert fra datatilsynenes europeiske fellesorgan (artikkel 29-gruppen) gir i begrenset grad klargjøringer, og vekter tilsynelatende personverninteresser meget sterkt i avveiningen mot andre viktige samfunnsinteresser.
Modenhetsnivået hos norske offentlige og private virksomheter er også generelt sett lavt på dette området. Med unntak av enkelte av landets største virksomheter, vil virksomhetene ikke være i stand til å fullt ut tilpasse seg forordningens krav innen 25. mai 2018.
IT-politisk råd stiller på bakgrunn av dette spørsmål ved om Norge bør innføre personvernforordningen før vi er rettslig forpliktet til det etter EØS-avtalen. Departementet viser i høringsnotatet til at man tar sikte på innføring i EØS-avtalen i løpet av våren 2018, men dette er så vidt vi forstår bare et estimat.
Vi har vanskelig for å se hva man har å tjene på å foregripe innføring av forordningen i forhold til den ordinære prosessen for innføring av EU-lovgivning i norsk rett. Etter vårt syn bør man vurdere å avvente innføringen til man har fått noe mer erfaring fra europeisk nivå.
Endringer fra gjeldende rett
Slik IT-politisk råd ser det kan endringene personvernforordningen medfører kategoriseres som følger:
- Rettskilde- og fortolkningsmessige endringer
Med dette menes at man går fra et relativt veletablert norsk regelverk, hvor EØS-retten er en fortolkningsfaktor, til et tilnærmet fullharmonisert EU-rettslig regime. Dette medfører at norske virksomheter i mye større grad selv vil måtte tolke og anvende prinsipper og uklare regler i forordningen. For eksempel vil svært mange behandlinger i privat sektor måtte ha behandlingsgrunnlag i forordningen artikkel 6 (1) f – hvor det skal foretas en interesseavveining mellom virksomhetens berettigede interesser og «den registrertes interesser eller grunnleggende rettigheter og friheter». Hvordan denne avveiningen skal foretas er p.t. svært uklart, og det vil ta lang tid før eventuelle klare «kjøreregler» har utkrystallisert seg tilstrekkelig til at det er mulig å gjøre denne vurderingen uten ekspertbistand.
På samme måte skal det foretas en vurdering av om formålene er «forenelige» før personopplysninger kan brukes til andre formål, jf. artikkel 6 (4). Utover noen helt overordnede momenter gis det få føringer for hvordan denne vurderingen skal foretas, og de ulike momentene vektes. Dersom dette gjøres feil vil det kunne argumenteres for at dette er et brudd på de grunnleggende personvernprinsippene i artikkel 5 (1), noe som utløser de strengeste sanksjonshjemlene.
- Vurderings- og dokumentasjonskrav
Det er vår vurdering at alle norske virksomheter, uavhengig av størrelse og antall ansatte, vil måtte føre protokoll over behandling av personopplysninger. Dette er siden unntakene i artikkel 30, som er ment å gi små og mellomstore virksomheter en mindre administrativ belastning, i realiteten er ubrukelige.
Generelt sett vil alle virksomheter etter forordningen måtte vurdere og dokumentere behandlingen av personopplysninger i større grad enn etter gjeldende rett. I mange tilfeller vil dette være positivt, da slike vurderinger vil kunne forhindre uforholdsmessig behandling av personopplysninger. Samtidig er det per nå svært uklart når det for eksempel må foretas en dokumentert risikovurdering, og hvilket omfang den da skal ha. Kravet i artikkel 5 (2) om at den behandlingsansvarlige må «påvise» at personvernprinsippene overholdes i virksomheten er etter vårt syn meget uklart, og skaper i praksis stor forvirring hos de virksomheter som ønsker å etterfølge forordningen på en god måte.
- Krav til personvernombud
IT-politisk råd er positiv til ordningen med lovfesting av personvernombud/personvernrådgiver, og anser at denne kan bidra til et bedre personvern. Samtidig er kriteriene for når et slik ombud skal oppnevnes uklare, og vi antar at mange vil trå feil her. Vi anbefaler at departementet tar initiativ til en klargjøring av dette før forordningen trer i kraft i Norge.
- Forsterkede rettigheter til de registrerte
De registrertes rettigheter er relativt detaljregulert i forordningen. Selv om det nok kan oppleves som tyngende for de behandlingsansvarlige å oppfylle informasjons- og fristkravene her, ser vi det som overordnet positivt at det er klart regulert hva en behandlingsansvarlig faktisk skal foreta seg i disse tilfellene. Vi ser likevel behov for en unntakshjemmel i samme retning som dagens unntak for opplysninger som «utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse», jf. personopplysningsloven § 23 bokstav e.
- Vurdering av personvernkonsekvenser (Data Protection Impact Assessment)
IT-politisk råd er grunnleggende positive til forordningens plikt til å vurdere personvernkonsekvensene av behandlinger som kan ha høy risiko for de registrerte. Det er da helt avgjørende at de behandlingsansvarlige vet når en slik vurdering må foretas, og hvilke metodikk som kan benyttes. Vi noterer oss at det, på bakgrunn av artikkel 29-gruppens veiledning, begynner å bli tydeligere hva som ligger i forordningens svært overordnede kriterier for når en slik vurdering skal foretas. Imidlertid fremstår det fortsatt svært uklart hvilken metodikk som skal benyttes, og hvor grundig en slik vurdering skal være. Artikkel 29 gruppen har i sin veiledning vist til flere metodeverk, men disse må enten modifiseres betydelig eller er svært omfattende (ISO/IEC 29134:2017). Klar og tydelig veiledning fra myndighetene er slik vi ser det en forutsetning for at denne ordningen skal ha den tiltenkte effekt heller enn å bli en unødvendig tidstyv.
Behovet for mer spesifikke lovhjemler for offentlige myndigheters behandling av personopplysninger
IT-politisk råd savner en mer koordinert tilnærming til behandlingshjemler for behandling av personopplysninger for offentlig myndighetsutøvelse. Personvernforordningen stiller innholds- og kvalitetskrav til slik lovgivning, og norske myndigheter må ta stilling til hva som er «godt nok» i så måte. Vi registrerer at det nå sendes en rekke lovforslag på høring med behandlingshjemler i ulike sektorer. Slik vi ser det vil det være en betydelig effektivitetsgevinst dersom for eksempel Justis- og beredskapsdepartementet utarbeider en «modellbestemmelse» for dette, som så andre departementer kan tilpasse til sine behov og formål.
Behov for veiledning
I lys av forordningens kompleksitet og overordnede karakter, vil det oppstå et enormt behov for veiledning og fortolkning. IT-politisk råd vil berømme Datatilsynets arbeid frem til nå med å utarbeide slik veiledning, selv om vi ikke alltid er enige i de konkrete råd og fortolkninger som gis i dette materialet. Forordningen griper imidlertid inn på så mange samfunns- og virksomhetsområder at behovet for veiledning vil være mye større enn hva Datatilsynet kan gi med dagens bemanning og ressurser.
Nasjonale regler om kameraovervåkning og innsyn i e-post mv.
Hva gjelder de foreslåtte reglene om kameraovervåkning slutter vi oss til de øvrige høringsinstanser som har vist til at virkeområdet «arbeidsplass» er utydelig. Eksempelvis vil Oslo Sentralbanestasjon være arbeidsplassen til et stort antall mennesker – samtidig som kameraovervåkningen nok er innrettet mer med henblikk på de reisende og andre besøkende. Det må gjøres klart om man da er innenfor særreglene om kameraovervåkning eller forordningens generelle regler. Vi anser det heller ikke akseptabelt at det overlates til «praksis» hvordan reglene om informasjon om kameraovervåkning skal forstås – dette er et helt sentralt spørsmål som må få sin avklaring før forordningen trer i kraft.
De foreslåtte reglene om innsyn i e-post er i stor grad en videreføring av eksisterende regler på området. Tiden har allerede løpt fra dette regelverket, som hverken er teknologinøytralt eller lett praktiserbart for de behandlingsansvarlige. E-post er i dag bare en av mange kommunikasjonskanaler som brukes av arbeidstakere, i mange virksomheter foregår kommunikasjonen hovedsakelig i andre kanaler. Det gir derfor betydelig tolkningstvil når regelverket om innsyn i e-post, som er tilpasset denne kommunikasjonsformen, skal anvendes på det som nå kun nevnes som «mv.»,
IT-politisk råd mener at det bør utformes nye regler om dette, som på en teknologinøytral måte avveier arbeidsgivers interesser i kontroll med arbeidstakers personvern.