1 Seminar DRI februar 2005 Interessen i å bestemme over tilgangen til opplysninger om egen person Stipendiat Thomas Olsen, AFIN (Avd. for forvaltningsinformatikk, UiO)

2 Personvernidealet Personverninteresser Krav Tiltak Personvergarantier Personverntiltak ellers -Rendyrket tilstand -Vil ofte komme i motstrid med andre idealer eller møte andre hindringer -Betegner de sidene ved personvernidealet som er synliggjort og dermed aktualisert -Feks sider som er brakt inn i den offentlige debatt -Konkretisering av interessene -Feks interessen i å bestemme over til- gangen til oppl. om egen person kan bli konkretisert til krav til etabl. tillitsforhold, konfidensialitet, beskyttet privatliv og vern av individets identitetsbilde Lovgiver og andre kan imøtekomme kravene ved tiltak: Lover, organisa- toriske tiltak, tekniske tiltak…

3 Interessen i å bestemme over opplysninger om egen person Utgangspunktet: Det er opp til den enkelte selv å velge når, til hvem og under hvilke forutsetninger personopplysninger skal utleveres og behandles Ved daglig samkvem med andre og ved vanlig deltakelse i samfunnet må nødvendigvis andre håndtere opplysninger om deg –MEN: Opplysninger skal i minst mulig grad behandles med grunnlag i tvang eller ved at noen tar seg til rette

4 Interessen i å bestemme over opplysninger om egen person Bygger på grunnleggende verdier: Nær sammenheng med menneskets selvbestemmelsesrett og verdighet Den europeiske menneskeretts-konvensjon av 1950, art 8: –”Enhver har rett til respekt for sitt privat- og familieliv, sitt hjem og sin korrespondanse” –Inngrep må være tilstrekkelig hjemlet og nødvendig i et demokratisk samfunn for å ivareta nærmere bestemte interesser. Lovsprinsippet i EMK og legalitetsprinsippet i norsk rett: –Behandling av personopplysninger er et inngrep som krever rettslig grunnlag (hjemmel)

5 Utviklingstrekk innen personvernlovgivningen Lov om personregistre (1978) –Fokus på registre som inneholdt personopplysninger –Konsesjonsplikt (forhåndsgodkjennelse av myndighetene, Datatilsynet) Lov om behandling av personopplysninger (pol) (2000) –Fokus på behandling av personopplysninger (innsamling, sammenstilling, utlevering, etc) –Stor vekt på den enkeltes selvbestemmelse (samtykke) –Mindre vekt på konsesjonsplikt (kun for sensitive opplysninger)

6 Rettslig grunnlag for å behandle personopplysninger, pol § 8 § 8. Vilkår for å behandle personopplysninger Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for a) å oppfylle en avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse, c) å vareta den registrertes vitale interesser, d) å utføre en oppgave av allmenn interesse, e) å utøve offentlig myndighet, eller f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen

7 Områder hvor utgangspunktet om selvbestemmelsesrett over egne opplysninger er innskrenket ved lov Offentlige myndigheter: -Kriminalitetsbekjempelse/etterforskning -Skatt og avgiftsinnkreving - Medisinske registre (fødsels-,dødsårsaks-, kreftregisteret etc) Private: -Kredittopplysningsvirksomhet

8 Reelle muligheter til å bestemme over tilgangen til egne opplysninger Pol § 2 (1) 7) Samtykke: ”en frivilllig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv” Selvbestemmelse til besvær? Hvor informert er man egentlig? Tvungent samtykke? (for eksempel jobbsøknad, forsikring, registrering på Internett for å få tilgang til tjenester)

9 Elektroniske spor og overvåkningssamfunnet Økende bruk av kameraovervåkning –Offfentlig sted, kollektivtrafikk, veitrafikk etc Økt bruk av elektroniske betalingsmidler –Hvem, hva, hvor, når, etc Internett og mobiltelefoni –Hvem, hva, hvor, når: logger med detaljerte transaksjonsopplysninger –Viktigere enn fingeravtrykk i kriminaletterforskningen?

10 Peter Steiner, The New Yorker, 1993

11 Tom Toles, Buffalo News, 2000

12 Eksempelet ”Buddy” y.html Tilstrekkelig informasjon om tjenesten? Hvor lett er det å ivareta eget personvern? Invitasjon Slik inviterer du en ny Buddy: Send kodeordet INVITER og din Buddy sitt mobilnummer. Du kan også legge til navn eller kallenavn du vil benytte på din Buddy. Returmelding SMS til den som blir invitert: Dette er en Buddy-invitasjon fra. For å finne/lokalisere hverandre, svar JA og navnet på den som inviterte.

13

14 Konsekvenser av interessen i å bestemme over tilgangen til opplysninger om en selv Samfunnet bør innrettes slik at det reelt sett er mulig å velge om man vil utlevere opplysninger Eksempler –Begrenset bruk/utlevering av transaksjons- opplysninger ved bruk av mobiltelefoni og Internett-tjenester –Sporingsfrie epenger –Anonym ferdsel i bompengeringer:

15 I Krav om etablert tillitsforhold Behovet for at behandling av personopplysninger i størst mulig grad skal bygge på et tillitsforhold mellom den registrerte og den behandlingsansvarlige Forutsetter at den behandlingsansvarlige skal anerkjenne og behandle den registrerte som en meningsberettiget person i spørsmål som gjelder behandling av opplysninger om vedkommende

16 Tiltak som kan sikre et tillitsforhold mellom den registrerte og den behandlingsansvarlige Frivillig og informert samtykke Informasjonsplikt pol kap III Varsling av registrerte Veiledningsplikt (pol § 6 og forvaltningsloven § 11) Rett til innsyn og til retting sletting av feilaktige opplysninger

17 II Krav om konfidensialitet Utgpkt at spredningen av opplysninger om den registrerte skal begrenses til det omfang og på den måte som den registrerte selv ønsker eller ville ha ønsket Fokuset er (først og fremst) på andres håndtering av opplysninger om den registrerte –Opplysninger (om den registrerte) hos andre og vernet mot tredjeparter –(sml Schartum og Bygrave kap )

18 Tiltak som kan ivareta konfidensialitet - Informasjonssikkerhet Tilfredstillende tekniske og organisatoriske tiltak som sikrer at ikke uvedkommmende får tilgang til opplysninger Pol § 13 Informasjonssikkerhet: ”Planlagte og systematiske tiltak” sørge for tilfredstillende konfidensialitet, integritet og tilgjengelighet

19 Tiltak som kan ivareta konfidensialitet - Taushetsplikt Taushetsplikt –Stillingsbestemt (for eksempel forvaltningstjenestemenn, fvl § 13 flg) –Profesjonsbestemt (for eksempel leger, advokater etc) Unntak fra taushetsplikt (opplysningsplikt) –Hvitvaskingsloven –Opplæringsloven

20 Tiltak som kan ivareta konfidensialitet - Restriksjoner på måten opplysninger spres på Eksempler Innsyn i skattelister, ligningsloven § 8-8 Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten, Forskrift til pol § 9-2.

21 III Krav om beskyttet privatliv Forutsetter at opplysninger om private / huslige forhold ikke spres til andre Tiltak som ivaretar kravet: –Staffeloven § 390 ”offentlig meddelelse om huslige forhold” –Straffeloven § 390a ”ved plagsom opptreden krenke andres fred” –Pol § 26 reservasjonsregisteret –Markedsføringsloven

22 IV Krav om vern av individets identitetsbilde Beskyttelse av egen oppfatning om seg selv Fokuset er på individets evne til selv å bestemme over og beskytte hvordan det fremstår over for seg selv –Opplysninger fra andre til datasubjektet Sammenliknet med konfidensialitet –Opplysninger fra andre til tredjeparter

23 Tiltak som kan ivareta individets identitetsbilde Eksempler: Pol § 23 (1) c) – Opplysninger som det anses utilrådelig at den registrerte får kjennskap til Forvaltningsloven § 19 (1) c) Bioteknologiloven § 6a-1(4) og (5) –Begrenset adgang til å drive oppsøkende genetisk veilledning