hvor går datatilsynets grenser? norvegfinans – konferansen 18. september 2012
DESCRIPTION
Hvor går Datatilsynets grenser? Norvegfinans – konferansen 18. september 2012. Direktør Bjørn Erik Thon Twitter @bjornerikthon. Datatilsynet. -Håndhever personopplysningsloven, helseregisterloven og helseforsknings-loven Saksbehandling Tilsyn/kontroll Veiledning/informasjon Ombud - PowerPoint PPT PresentationTRANSCRIPT
Hvor går Datatilsynets grenser? Norvegfinans – konferansen 18. september 2012
Direktør Bjørn Erik ThonTwitter @bjornerikthon
Datatilsynet
- Håndhever personopplysningsloven, helseregisterloven og helseforsknings-loven• Saksbehandling• Tilsyn/kontroll• Veiledning/informasjon• Ombud
- 40 medarbeidere ( jurister, teknologer, samfunnsvitere, informasjonsfolk, administrativt personale)
Hva er en personopplysning?
En opplysning som kan knyttes til en enkeltperson
19. november 2009 Side 3
22.08.2012 Side 4
Dette er grunnkravene for behandling av personopplysninger • Registrering og bruk av personopplysninger må ha et rettslig grunnlag
( lov eller avtale)
• Personopplysninger kan bare brukes til det avtalte formålet, ikke til uforenelige formål
( fakturering av bompassering, ikke reklame)
• Registreringen må være saklig begrunnet ( må være nødvendig å registrere og lagre opplysninger)
• Opplysningene må ikke lagres lenger enn det som er nødvendig ( kontantkort = ikke nødvendig å registrere opplysninger)
• Det må velges den minst mulig personverninngripende løsningen
Datatilsynet har vært engasjert i samferdselssektoren i mange år – her et klipp fra 2004
Bomstasjoner
Fullanonymitet
22.08.2012 Side 7
22.08.2012 Side 8
Mulighetforanonymitet
22.08.2012 Side 9
Ingenanonymitet
Datatilsynets konsesjon til helautomatiske bomstasjoner
- Trafikantene skal ha mulighet til å betale kontant for enkeltpasseringer i umiddelbar nærhet til bomstasjonen
- Bomselskapene skal informere aktivt om den alternative betalingsløsningen, og at denne reelt sett er tilgjengelig for alle som måtte ønske å benytte den.
Retten til anonym ferdsel
- Denne retten er slått fast i flere stortingsmeldinger
- Følger av menneskerettighetskonvensjonens § 8 – retten til privatliv
- Unntak fra retten til anonym ferdsel må være tungveiende og velbegrunnet
Hvorfor er dette viktig?
- Elektroniske spor:- Trafikkdata – epost, sms, mobil, nettsurfing etc etc- Bomstasjoner en rekke ganger på en rekke ulike steder - Kollektivreiser - Båt, tog og fly - Økonomiske transaksjoner - En rekke elektroniske spor i arbeidslivet - Trener og bruker GPS- Kamera en rekke steder
- Den teknologiske utviklingen gjør det enkelt å bruke elektroniske opplysninger til nye formål
Hvorfor er dette viktig?
- Opplysninger om reisemønster er potensielt avslørende
- Andres bruk er ofte et sekunderformål; data om bompasseringer ønskes brukt av andre enn bomselskapene
- Opplysningene kan være interessante for mange:- Politi, kriminelle, ektefeller og tidligere ektefeller, journalister,
markedsfører, arbeidsgivere, skattemyndigheter osv
- Derfor må det stilles strenge krav om registrering, oppbevaring, bruk og sletting
Tilsyn med bomselskaper i 2009
- Mangelfull informasjon om: - Hvilke data som samles inn - Hvor lenge passeringsdata lagres- Når og hvor det blir tatt bilde
- Mangelfulle sletterutiner - Kamera feil stilt inn- Det ble lagret for mye informasjon - Informasjonssikkerhet – åpne profiler
Personvernnemndas ulykkelig avgjørelse
- Vår påstand:- Sletting av forskuddsbetalt passeringsdata innen 1 måned - Sletting av etterskuddsbetalt passeringsdata innen 5 måneder
- Fjelllinjen ønsket å avvente konklusjonene fra en arbeidsgruppe bestående av bl.a. justisdepartementet, Samferdselsdepartementet, Vegdirektoratet og Datatilsynet.
- Nemnda: Passeringsdata skal oppbevares i 10 år!!
Passeringsdata i bompengeringen
Vår strategi:• Politisk spor – møte m tidligere samferdselsminister • DLD- avtale mellom Høyre og AP: I påvente av avklaring av muligheter for å begrense innsyn i
lovlig lagrede data i elektroniske betalingsanlegg, er partene enige om at bomselskapene ikke skal utlevere passeringsopplysninger til ligningsmyndighetene.
- Møte med Skattedirektoratet- Arbeidet pågår fremdeles
Noen ord om framtida - med personvernbriller
switch
22. August 2012 Side 20
Ecall og svarte bokser
- Alle biler utstyres med en gps, en gsm-oppkobling og en mikrofon
- Fra trafikksikkerhet til ???
- Kampen om av-knappen
Framtidig bruk – ecall
- Det stilles krav om bruk av ecall/svart boks for å få forsikring - Det rabatt ved bruk av ecall/svart boks på forsikringen - Forsikringen avkortes dersom du ikke har ecall skrudd på - Jf her: En bussjåførs hverdag - Avbrutt av lokal reklame
Datalagringsdirektivet og samferdsel
- Alle trafikkdata skal registreres og lagres i seks måneder - Sms, epost, oppkoblinger og lokalisering.
- En smarttelefon kobler seg ustanselig opp mot nettet
- Kontinuerlig registrering av våre bevegelser?
Teknologirådets anbefalinger
- Personvern må inn i kravspesifikasjonen ved alle relevante offentlige innkjøp. Det er ikke nok å skylde på at leverandørene ikke leverer løsninger som tar hensyn til personvernet. Dersom personvern er etterspurt og det er tilstrekkelig betalingsvilje, kommer noen til å levere det.
- Evaluer bruken og effekten av teknologier som settes inn for å bedre trafikksikkerheten. Kan det tenkes at det finnes alternative tiltak med like bra effekt som ikke krenker personvernet?
- Fjern tiltak som krenker personvernet dersom de ikke virker.
Behandling av personopplysninger
- Anonym ferdsel må være mulig
- Prinsippet om dataminimalisering- Ikke registreres mer personopplysninger enn det som er nødvendig for
å gjennomføre tjenesten
- Prinsippet om innebygd personvern/privacy by design - Godt personvern bygges inn i løsningen fra starten
- Selvbestemmelse som betingelse- Kampen om av-knappen