Systemer, krav og konsekvenser. Om personvern (og sånt) Gisle Hannemyr. Hvorfor trenger informatikere å vite noe om personvern (og sånt)

Transkript

1 IN1030 Systemer, krav og konsekvenser Om personvern (og sånt) Gisle Hannemyr Hvorfor trenger informatikere å vite noe om personvern (og sånt) Informatikere vil gjerne, når de er ute i yrkeslivet, arbeide med design av informasjonssystemer og med gjennomføring av IKT-prosjekter. Til slike systemer og prosjekter stilles det ikke bare tekniske krav: Informasjonssystemer og IKT-prosjekter må også tilfredsstille en rekke krav mht. personvern og datasikkerhet. Når ulike opplysninger, inklusive personopplysninger og beskyttede åndsverk, behandles i et informasjonssystem kan både den behandlingsansvarlige og databehandler (definisjoner følger) pådra seg straffeansvar og sivilrettslig ansvar dersom lover blir brutt eller rettigheter krenket. IN1030 Side #2 1

2 Mest relevant for utviklere Personopplysningsvern og datasikkerhet: Personopplysningsloven (inklusive GDPR) Ekomloven (regulerer «cookies») Andre lover: Arbeidsmiljøloven (informasjon og medstemmelse i samband med systemendringer) Åndsverkloven (deling av verk på sosiale medier, hvem har rettighetene til et dataprogram?) Forskrift om universell utforming av informasjons- og kommunikasjonsteknologiske (IKT)-løsninger og WAD (Web Accessibility Directive) blir snart også (2020) gjeldende for Norge. 35 spesifikke krav hentet fra WCAG 2.0 INF3272/5272 Side #3 Relevant for innholdsadministratorer («webmaster», «content manager») Ulike innholdskrenkelser: Åndsverkloven («tilgjengeliggjøring av beskyttet verk») Åndsverkloven («retten til eget bilde») Straffeloven, særlig: 266: hensynsløs adferd 267: krenkelse av privatlivets fred Skadeerstatningsloven («ærekrenkelser») Evt. medansvar for brukerskapt innhold følger av: Ehandelsloven INF3272/5272 Side #4 2

3 GDPR (General Data Protection Regulation) Den 20. juli 2018 ble EUs Personvernforordning (vanligvis bare referert til ved initialordet «GDPR») en del av personopplysningsloven. GDPR viderefører i hovedsak dagens regulering, men den vektlegger personvernhensynene i informasjonssystemer og IKT-prosjekter enda mer enn tilfellet er i dag. IN1030 Side #5 Personvernforordningen (GDPR) Innebærer nye krav om eller øker fokus på blant annet: Den registrertes rettigheter Dokumentasjon for overholdelse Risikobasert tilnærming Data Protection Impact Assessment Innebygget personvern Rutiner for varsling ved sikkerhetsbrudd. Retten til å bli glemt, dataportabilitet etc. Strengere sanksjoner! IN1030 Side #6 3

4 GDPR artikkel 4: Definisjoner (det er i alt 26 definisjoner her er de 6 mest sentrale) Personopplysning (1): «enhver opplysning om en identifisert eller identifiserbar fysisk person ( den registrerte ); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres» Behandling (2): «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring» Register (6): «enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag» IN1030 Side #7 GDPR artikkel 4: Definisjoner Behandlingsansvarlig (7): «en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes» Databehandler (8): «en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige» Samtykke (11): «enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende» IN1030 Side #8 4

5 GDPR artikkel 6: Behandlingens lovlighet Personopplysninger (jf. art. 4(1)) kan bare behandles dersom a. den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål, b. behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse, c. behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, d. behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser, e. behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, f. behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. IN1030 Side #9 GDPR artikkel 9: Behandling av særlige kategorier personopplysninger Punkt 1: Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt. IN1030 Side #10 5

6 GDPR artikkel 9: Behandling av særlige kategorier personopplysninger Punkt 1 får ikke anvendelse dersom: a. Det foreligger samtykke b. Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett c. Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser dersom den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke. d. Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter e. Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort. f. Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet. g. Behandlingen er nødvendig av hensyn til viktige allmenne interesser, h. Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin i. Behandlingen er nødvendig av allmenne folkehelsehensyn, j. Behandlingen er nødvendig for arkivformål eller statistiske formål i allmennhetens interesse IN1030 Side #11 GDPR artikkel 10 Behandling av personopplysninger om straffedommer og lovovertredelser Behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak på grunnlag av artikkel 6 nr. 1 skal bare utføres under en offentlig myndighets kontroll [ ] Alle omfattende registre over straffedommer må bare føres under en offentlig myndighets kontroll. IN1030 Side #12 6

7 Krav til samtykke Frivillig samtykket må ikke være et resultat av press, som for eksempel at den som ikke samtykker ikek får en ytelse som den registrerte har rett til. Spesifikt må være knyttet opp til de ulike formål som personopplysninger behandles for (jf. formålsutglidning). Informert brukeren har krav på å få vite hvilke personopplysninger som blir samlet inn, hvordan de blir lagret, hva de skal brukes til, hvor lenge de vil bli lagret, hvordan man kan få innsyn i egne personopplysninger, og annet som er relevant. Utvetydig må bekreftes ved en aktiv handling såkalt «stilltiende samtykke» bør unngås (men såkalte klikk-lisenser er sannsynligvis tilstrekkelig). IN1030 Side #13 GDPR artikkel 30: Protokoller over behandlingsaktiviteter Dersom et datasystem behandler personopplysninger er krav om at den behandlingsansvarlige skal etablere og holde vedlike en protokoll over planlagte og systematiske tiltak for å oppfylle loven. Den behandlingsansvarlige skal også dokumentere tiltakene, og dokumentasjonen skal være tilgjengelig for Datatilsynet og Personvernnemnda. Les mer hos Datatilsynet: Også GDPR artikkel 25 (innebygd personvern) og artikkel 32 (sikkerhet) drøftet av AJ 21. februar. IN1030 Side #14 7

8 Ekomloven 2-7 b. Bruk av informasjonskapsler/cookies Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette. Første punktum er ikke til hinder for teknisk lagring av eller adgang til opplysninger: 1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett 2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel. IN1030 Side #15 Cookie-direktivet Regjeringen.no benytter informasjonskapsler (cookies) slik at vi kan yte deg bedre service. Informasjonskapslene blir hovedsakelig benyttet for trafikkmåling og optimalisering av tjenesten. Du kan lese mer om vår bruk av informasjonskapsler eller fortsette å bruke regjeringen.no som vanlig hvis du godtar dette. IN1030 Side #16 8

9 Tre dokumenter Personvernerklæring: Angir hvordan nettstedet vil behandle personopplysninger. Bør oppfylle de konkrete kravene i GDPR og ecomloven («cookies»). Vilkår for bruk: Ingen juridiske krav til denne (i motsetning til personvernerklæringen), men brukes ofte til å gjøre eksplisitt retningslinjer for sosialitet, samt rettigheter i forhold til brukerskap innhold. Universell utforming: Redegjør for hvordan nettstedet oppfyller kravene til universell utforming (minstekravet er spesifisert av Difi). IN1030 Side #19 Nettverts medvirkningsansvar for innhold publisert av brukere Reguleres av et EU-direktiv 2003/31/EF («ehandelsdirektivet») som er innarbeidet i norsk lov («ehandelsloven»). Svært kompleks juss, drøftes blant annet av Bing (2008, ss ) og Bainbridge (2007, s. 408). IN1030 Side #20 9

10 Nettverts medvirkningsansvar for deltagerens handlinger Ehandelsloven 18 slår fast at en tjenesteyter bare kan straffes for medvirkning til ulovlig virksomhet dersom han har utvist forsett. Det følger av rettspraksis og juridisk teori at forsett foreligger dersom handlingen er tilsiktet, eller dersom gjerningsmannen har regnet følgen som sikker eller overveiende sannsynlig. For erstatningsansvar er det krav om forsett eller grov uaktsomhet. Samme paragraf sier videre: «Tjenesteyteren er i alle tilfelle straffri eller fri fra erstatningsansvar dersom han uten ugrunnet opphold treffer nødvendige tiltak for å fjerne eller sperre tilgangen til informasjonen etter at forsettet eller den grove uaktsomheten etter første ledd forelå.» IN1030 Side #21 Typisk svar fra TPB på henvedelse fra USA-advokat: As you may or may not be aware, Sweden is not a state in the United States of America. Sweden is a country in northern Europe. Unless you figured it out by now, US law does not apply here. For your information, no Swedish law is being violated. Please be assured that any further contact with us, regardless of medium, will result in: a) a suit being filed for harassment b) a formal complaint lodged with the bar of your legal counsel, for sending frivolous legal threats. It is the opinion of us and our lawyers that you are. morons, and that you should please go sodomize yourself with retractable batons. Please also note that your and letter will be published in full on Go fuck yourself. Polite as usual, anakata IN1030 Side #22 10

11 Resultat IN1030 Side #23 Nettverts medvirkningsansvar i praksis I det øyeblikk den som er ansvarlig for driften og råder over innholdet mottar en melding som indikerer at brukere av nettstedet benytter dette til å gjøre materiale lovstridig tilgjengelig oppstår det et medansvar for innholdet. Dersom den ansvarlige «uten unødig opphold» ikke foretar en selvstendig vurdering av lovligheten av materialet og fjerner det dersom det er lovstridig, oppstår det et medvirkningsansvar. IN1030 Side #24 11