Personvern i koronatider

Skrevet av Dag Wiese Schartum, professor ved Senter for rettsinformatikk, UiO og forfatter av Personvernforordningen - en lærebok.

Innsamling av opplysninger om personers bevegelsesmønster kan være et viktig våpen mot koronaviruset, men personvernhensyn gjør at det finnes grenser for hva som er lov å samle inn, og hvordan disse opplysningene skal behandles. Hvilke vurderinger plikter myndighetene å gjøre i forbindelse med innføringen av appen Smittestopp?

Et av tiltakene for å stoppe koronapandemien er å skaffe mest mulig kunnskap om hvordan smitte spres i befolkningen. Da trenger vi opplysninger om smitteveier, blant annet om enkeltpersoners bevegelser og kontakt med andre som har brakt smitten videre. Løsningen i Norge har vært å utvikle appen Smittestopp. Det er frivillig å bruke appen. Lignende apper er utviklet i flere andre land. Målet med appen er å kunne gi tidlig helsehjelp til smittede og unngå videre smitte. Appen Folkehelseinstituttet (FHI) har fått utviklet, bruker smarttelefoners mulighet for å spore enkeltpersoners bevegelser og registrerer når personer har vært i kontakt på en slik måte at smitteoverføring har kunnet skje. Dette er en form for overvåkning.

For den som er en opptatt av personvern, er det et poeng at de opplysningene appene bruker, regnes som «personopplysninger» fordi opplysningene kan knyttes til bestemte enkeltpersoner. De aller fleste tilfellene av slik behandling av personopplysninger kommer inn under personvernforordningen, eller General Data Protection Regulation (GDPR). Her finner vi regler som er felles for EØS om hvordan myndigheter og private må forholde seg hvis de ønsker å samle inn og behandle personopplysninger.

I tillegg til felles regler er det åpnet for en viss grad av nasjonal særlovgivning, for eksempel slik at den norske smittevernloven kan inneholde bestemmelser om å behandle opplysninger for å bekjempe korona. Den nasjonale lovgivningen må imidlertid holde seg innenfor de grensene personvern­forordningen stiller opp. Slik regulerer forordningen personvern på minst tre nivåer ved å

i) stille krav til lovgiver
ii) stille krav til den som behandler personopplysninger (for eksempel FHI)
iii) gi rettigheter til personer det er registrert opplysninger om

Om vi spør hvorvidt personvernforordningen gir et godt personvern, vil vi ikke finne noe enkelt svar. En åpenbar effekt av forordningen er imidlertid at den skaper oppmerksomhet om personvernspørsmålet og gjør det umulig for regjeringen, lovgiveren og FHI å ta lett på disse spørsmålene. De må alle forholde seg til mange og skjønnsmessige regler i forordningen, og forordningen tvinger dem til å vurdere om og begrunne hvordan tiltak som smitteappen er i tråd med kravene til personvern.

Da FHI utviklet Smittestopp-appen, måtte de for eksempel ta stilling til om de skulle gjøre det frivillig å bruke appen eller ikke: Appen trengte ikke være basert på samtykke, men hadde myndighetene ønsket å pålegge innbyggerne å bruke den, måtte lovgiveren ha vedtatt en plikt, og denne måtte ha vært innenfor de grensene Grunnloven og Den europeiske menneskerettighetskonvensjonen (EMK) stiller. Da de først valgte å basere seg på samtykke, måtte de følge reglene i forordningen om dette, inkludert reglene om informasjon og tilbaketrekking av samtykke.

Videre måtte de fastsette hva opplysningene skulle brukes til, for eksempel om de bare ville spore personer, eller om de også ville ha mulighet til å varsle dem, om formålet var å gi helsehjelp, eller om det var å forske på smittespredning. De kunne velge alle de nevnte formålene, og flere. Men hvert formål ville innebære rettslige krav som kunne være byrdefulle å etterleve.

Et siste eksempel på vurdering opp mot reglene i forordningen er at myndighetene måtte forholde seg til «dataminimeringsprinsippet». Det innebærer krav til å finne frem til den tekniske løsningen som krever minst mulig personopplysninger, og som gjør det så vanskelig som mulig å finne ut hvilke konkrete personer opplysningene gjelder. Er det for eksempel mulig å klare seg uten sentral lagring av opplysningene og bare basere seg på kommunikasjon og lagring i hver enkelt smarttelefon? Hvis det er det, og det ikke har vesentlige høyere kostnader enn en sentralisert løsning, innebærer forordningen at det oppstår en plikt til å velge «minimumsløsningen». Det kan også oppstå en situasjon der FHI får plikt til å endre appen fordi ny og mer personvernvennlig teknologi har blitt tilgjengelig.

Her har jeg bare nevnt noen av de vurderingene personvernforordningen innebærer en plikt til å gjøre. Det er altså mange flere vurderinger, og til sammen innebærer de et tett og tilsynelatende strengt regime. Problemet er at det ikke finnes klare svar på mange av spørsmålene forordningen aktualiserer, og det er derfor stor usikkerhet om hva som er lovlig og akseptabelt. For å bidra til rettsenhet innen EU har Det europeiske personvernrådet utarbeidet retningslinjer, men i siste instans er det primært EU-domstolen som på autoritativ måte kan fastsette hvor grensen mellom det lovlige og det ulovlige går. Domstolen har imidlertid ikke kapasitet til å behandle mange saker, og det tar tid før avgjørelser foreligger.

Det er nærliggende å mene at det avgjørende – i praksis – er i hvilken grad norske myndigheter respekterer personvernet, til tross for den formelle makt og myndighet i personvernspørsmål som er plassert i EU. Personvernforordningen gir ikke automatisk et godt vern om personopplysninger. Ja, den stiller opp noen stabbesteiner og har flere fartsdumper og regler for datatrafikk, men hvor godt vi er vernet, er først og fremst avhengig av «sjåføren».

Er du interessert i å lære mer om personvernforordningen? Du kan kjøpe boken på fagbokforlaget.no eller der du ellers kjøper bøker.

Bla i et utdrag eller