(Forslag) Europaparlaments- og rådsforordning (EU) .../... om respekt for privatliv og beskyttelse av persondata i elektronisk kommunikasjon og om oppheving av direktiv 2002/58/EF (forordning om personvern og elektronisk kommunikasjon)
Kommunikasjonsvernforordningen (revisjonsforslag 2017)
Omtale publisert i Stortingets EU/EØS-nytt 17.2.2021
Kommunikasjonsverndirektivet fra 2002 om e-databeskyttelse gjelder bare for tradisjonelle teleoperatører. Forslaget til revisjon tar blant annet sikte på å utvide regelverket til å gjelde nye e-tjenester som WhatsApp, Facebook Messenger, Skype og Gmail. Kommisjonen ønsker samtidig at lovverket vedtas som forordning i stedet for direktiv for å sikre samtidig og lik anvendelse i alle medlemslandene. Forslaget innebærer en oppmyking av "cookie"-reglene, men skjerper bestemmelser om spam, både via data og telefon.
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 11.6.2021)
Samandrag av innhald
Formål
Målet med revisjonen av regelverket og forslaget til kommunikasjonsvernforordning, er å sikre eit effektivt og godt vern av konfidensialitet, effektivt vern mot reklame ein ikkje har bede om, og harmonisering, forenkling og oppdatering av regelverket. Dette skal sikrast ved å oppdatere reglane i tråd med den teknologiske utviklinga og utviklinga i marknaden, og ved å tilpasse regelverket til personvernforordninga frå mai 2016, som trådde i kraft i mai 2018.
Rekkevidde
Bruk av elektronisk kommunikasjon avdekker ei rekkje opplysningar som er knytt til den enkelte disponent. Dette kan vere informasjon om geografisk bevegelsesmønster, kontaktnett og liknande opplysningar som rører ved privatsfæren og den personlege integriteten til den einskilde. Forordninga skal gjelde for handsaming av opplysningar som kjem fram i samanheng med tilbod og bruk av elektroniske kommunikasjonstenester og informasjon om sjølve bruken av terminalutstyret til sluttbrukarar.
Reglane skal gjelde når sluttbrukarane er i EU/EØS. Det inkluderer også tilfelle der behandlinga skjer utanfor EU/EØS eller kor tilbydar av tenester er etablert eller lokalisert utanfor EU/EØS.
Utkastet til kommunikasjonsvernforordning vil oppheve gjeldande kommunikasjonsverndirektiv. Som ein lex specialis samanlikna med personvernforordninga (GDPR), vil kommunikasjonsvernforordninga avklare og supplere personvernforordninga. I motsetning til GDPR vil mange av føresegnene om kommunikasjonsvern (e-databeskyttelse) gjelde for både fysiske og juridiske personar.
Innhald
Kapittel 1 inneheld generelle føresegner, inkludert formål, rekkevidde og definisjonar.
Kapittel 2 inneheld føresegner som skal sikre konfidensialitet ved elektronisk kommunikasjon, reglane for prosessering/behandling av kommunikasjonsdata, inkludert reglar for lagring og sletting av data, reglar for informasjonen i og knytt til sluttbrukarar sitt terminalutstyr, reglar for sluttbrukarar sitt samtykke, reglar for programvareleverandørar sine plikter, og til slutt reglar for medlemsstatar sine moglege avgrensingar av plikter og rettar..
Kapittel 3 inneheld mellom anna rettane sluttbrukarar har til å kontrollere sending og mottaking av elektronisk kommunikasjon for å beskytte sin personlege integritet, under dette rett til anonymitet med avgrensingar av retten, moglegheita til å avgrense mottak av uønskte oppringingar, reglar for tilgang og bruk av sluttbrukar sin informasjon i telefonkatalogar/nummeroppslagstenester, og vilkår for direktemarknadsføring.
Kapittel 4 inneheld reglar for tilsyn og kontroll.
Kapittel 5 inneheld reglar for rettsmiddel for sluttbrukarar og reglar for sanksjonar.
Forslaget frå Kommisjonen inkluderte
- like krav til tryggleik, konfidensialitet og brukarrettar til nye, digitale internettbaserte kommunikasjonstenester, såkalla Over-The-Top-tenester (OTT-tenester) som WhatsApp, Facebook, Messenger og Skype, som til tradisjonelle ekomtilbydarar.
- endring til samtykke frå brukaren til at informasjonen som blir etterlaten kan delast med tredjepart gjennom innstillingar i teminalutstyret. Dette går i retning av ei "opt in-løysing" i staden for ei "opt out-løysing" for bruk av informasjonskapslar ("cookies").
- endring frå dagens ordning med valfridom med reservasjonsrett (opt-out) til krav om aktivt samtykke og reservasjonsrett (opt-in). Etter forslaget må alle personar gje aktivt samtykke til å vere med i nummeropplysning. Alle selskap kan reservere seg.
Forslaget frå Parlamentet 19. oktober 2017
Parlamentet gjekk i sitt forslag blant anna inn for å forby såkalla "cookie walls", som blokkerer tilgang til ein nettstad dersom personen ikkje godtar at hans eller hennar data blir brukt av den same nettstaden. Parlamentet gjekk også inn for at all programvare som brukast til elektronisk kommunikasjon skal ha "personvern som standard"-innstillingar, og tenestetilbydaren må sørge for sterk kryptering. I tillegg foreslo Parlamentet å sette strenge grenser for databehandling, og at data berre skulle brukast til det formålet som den enkelte har gitt samtykke til. Såkalla “metadata”, som kan gi informasjon om ringte numre, besøkte nettstader, geografisk plassering eller tidspunkt og dato for ein samtale og andre sensitive data, skal bli behandla konfidensielt og ikkje kunne bli vidareført til ein tredjepart.
Forslaget frå Rådet 10. februar 2021
I det vedtekne mandatet frå Rådet er det foreslått at datalagring knytt til nasjonal tryggleik ikkje skal være ein del av verkeområdet til forordninga.
Utgangspunktet er at elektroniske kommunikasjonsdata skal vere konfidensielle. Innbrot, inkludert avlytting, overvaking og behandling av data av andre enn sluttbrukaren, er forbode med mindre det er tillate i kommunikasjonsvernforordninga. Tillaten behandling av elektroniske kommunikasjonsdata utan samtykke frå brukaren, kan til dømes omfatte å sikre integriteten til kommunikasjonstenester, kontrollere eventuell skadeleg programvare eller virus, eller i tråd med EU-lovgiving eller nasjonal lovgiving, forfølging av straffbare forhold eller forhindring av truslar mot offentleg tryggleik.
For å sikre eit fullt vern av retten til privatliv og fremme eit påliteleg og sikkert "tingenes internett", vil reglane også omfatte data mellom maskinar som vert overført via eit offentleg nettverk.
Ifølgje mandatet til Rådet skal forordninga omfatte elektronisk kommunikasjonsinnhald som vert overført via offentleg tilgjengelege tenester og nettverk og metadata knytt til kommunikasjon. Metadata inkluderer til dømes informasjon om tid og stad og om mottakaren av kommunikasjonen. Metadata kan blant anna bli behandla for faktureringsformål eller for å oppdage eller stoppe svindel. Med samtykke frå brukaren, kan tilbyder av teneste også t.d. bruke metadata for å vise trafikkrørsler for å hjelpe offentlege myndigheiter og transportselskap med å utvikle ny infrastruktur der det er mest behov. Metadata kan også bli behandla for å ivareta samfunnsomsyn og omsynet til den einskilde brukar, t.d. i samband med overvaking av epidemiar eller naturkatastrofar.
I nokre tilfelle kan tilbyder av elektroniske kommunikasjonsnett og -tenester behandle metadata for eit anna formål enn det dei vart samla inn for, sjølv om brukaren ikkje har samtykka eller det heller ikkje går fram av bestemte føresegner om lovgivingsmessige tiltak i medhald av EU-lovgivinga eller nasjonal lovgiving. Slik behandling for eit anna formål må vere foreinleg med det opphavelege formålet, og gjeld berre strenge spesielle tryggleiksmekanismar.
Sidan brukarens terminalutstyr, både maskinvare og programvare, kan lagre svært personleg informasjon, slik som bilde og kontaktlister, vil bruk av prosesserings- og lagringsfunksjonar og innsamling av informasjon frå eininga berre vere lov når brukaren har samtykka, eller for andre spesifikke, transparente formål som er fastsett i forordninga. Sluttbrukaren bør ha eit reelt val om å godta informasjonskapslar eller liknande identifikatorar. Det vil vere lov å gjere tilgang til ein nettstad avhengig av samtykke til bruk av informasjonskapslar til andre formål som eit alternativ til eit betalingssystem (cookie walls), dersom brukaren kan velje mellom dette tilbodet og eit liknande tilbod frå same leverandør, som ikkje inneber samtykke til informasjonskapslar.
For å unngå samtykkeutmatting med omsyn til informasjonskapslar, vil ein sluttbrukar kunne gje samtykke til bruk av visse typar informasjonskapslar ved å lage ei positiv liste over ein eller fleire leverandørar i nettlesarinnstillingane. Programvareleverandørar vil bli oppfordra til å gjere det enkelt for brukarar å lage og endre positive lister i nettlesarane, og å kunne trekke tilbake samtykke når som helst.
Når det gjeld nummeropplysningstenester, foreslår Rådet at medlemsstatane ved lov kan fastsetje at det skal vere tillate å inkludere personopplysningar om ein sluttbrukar som er ein fysisk person i ein offentleg tilgjengeleg katalog, forutsett at sluttbrukaren har rett til å nekte å bli inkludert.
Utkastet til forordning inneheld også reglar om direkte marknadsføring.
Merknadar
Rettslege konsekvensar
Forslaget til forordning fører, dersom det blir vedteke, til behov for fleire endringar i ekomloven. I tillegg vil det sannsynlegvis oppstå behov for endring i marknadsføringsloven (§ 15).
Økonomiske og administrative konsekvensar
Ei utviding av verkeområdet til å omfatte all prosessering (innhenting, lagring og bruk) av elektronisk kommunikasjonsdata i samband med levering og bruk av elektroniske kommunikasjonstenester, under dette eit breitt spekter av nye digitale tenester, OTT og programvareleverandørar mv., vil gje både økonomiske og administrative konsekvensar for norsk næringsliv. Dette må greiast ut nærmare når endeleg forordning er vedteken.
Utvidinga av verkeområdet vil også utvide myndigheitsansvaret fordi nye tenester og pliktsubjekt blir inkludert. Det ville kunne føre til behov for auka ressursar for ansvarleg tilsynsmyndigheit. Dette må greiast ut nærmare når endeleg forordning er vedteken.
Sakkyndige instansar sine merknadar
Saka er behandla i spesialutvalet for kommunikasjonar.
Nasjonal høyring
Forslaget har vore send på alminneleg høyring, og departementet fekk 26 høyringssvar. Høyringssvara finst samla her Høyring – EU-kommisjonens forslag til kommunikasjonsvernforordning - regjeringen.no
Vurdering
Kommunal- og moderniseringsdepartementet støttar formålet med forordninga om effektiv og god beskyttelse av konfidensialitet, effektiv beskyttelse mot reklame ein ikkje har bede om, og harmonisering, forenkling og oppdatering av regelverket.
Departementet er samde med fleirtalet av høyringsinstansar som er positive til ei utviding av verkeområdet til at forordninga også omfattar nye internettbaserte kommunikasjonstenester (Over-The-Top tenester, OTT-tenester). Departementet er skeptisk dersom fortalen 25 jf. artikkel 8 skal forståast slik at informasjon til eller frå sluttbrukar sitt terminalutstyr (IMEI- og IMSI nummer og bruk av blåtann, wi-fi mv.) skal kunne overtakast og/eller avlesast ved bruk av utstyr som IMSI catcher e.l. på grunnlag et avleia "samtykke" som skilting eller annan varsling satt opp i det offentlege rom eller på private område som til dømes kjøpesentre.
Eit godt personvern i dagens samfunn vil avhenge av at den enkelte brukar kan stole på at konfidensialiteten er ivaretatt ved bruken av elektronisk kommunikasjon. Departementet er derfor ikkje samde med dei høyringsinstansane som meiner det ikkje er behov for ei eiga regulering av kommunikasjonsvern i elektronisk kommunikasjon, som er ein svært viktig infrastrukturteneste i dagens samfunn.
Departementet er samde med dei høyringsinstansane som understrekar at regelverket ikkje må vere til hinder for ein effektiv kamp mot kriminalitet, men ser òg at dette må vegast mot grunnleggande rettar som person- og kommunikasjonsvern. Departementet meiner unntaka i artikkel 2, punkt 2, sikrar dette. Departementet ser at personvern- og forbrukarsida representert ved til dømes Datatilsynet og Forbrukerombudet støttar ein utbreidd bruk av samtykke, medan spesielt dei større ekomtilbydarane peikar på at ei slik tilnærming vil hindre dei i å utnytte informasjon om personar sin bevegelse i ein meir kommersiell tenesteutviklingssamanheng. Ein del av sistnemnde tenester kan ha klare samfunnsnyttige sider, slik som kø- og trafikkavvikling. Frå eit forbrukarsynspunkt kan det også peikast på at den enkelte i for stort omfang kan bli tvungen til å ta stilling til om ein skal gje samtykke eller ikkje. Departementet peikar i denne samanheng på at det allereie i dag finst gode løysingar for å handtere slike utfordringar på ein oversikteleg og god måte, jf. for eksempel Googles privacy dashboard eller spesialutvikla app-ar, der alle samtykke kan samlast, trekkast tilbake eller reaktiverast. Departementet meiner elles at det må vere ein balanse slik at kommunikasjonsvernet blir oppretthalde utan at det i for stor grad går utover innovasjon og tenesteutvikling, og ekomtilbydarane sin konkurranseevne.
Det bør i større grad klargjerast i forordninga kva typar marknadsføringsmeldingar (meldingar på sosiale medier mv.) som er omfatta av samtykkekravet i artikkel 16 nr. 1 for elektronisk kommunikasjon. Forordninga bør ikkje stenge for nasjonale reglar som forbyr næringsdrivande å drive telefonmarknadsføring på visse tidspunkt (morgon, kveld, helg, heilagdag). Medlemsstatane bør sjølve kunne bestemme om dei vil ha ei opt-in eller ei opt-out-ordning for telefonmarknadsføring. Forordninga bør ikkje stenge for nasjonale reglar om at telefonmarknadsføring må gjerast med synleg og søkbart telefonnummer. Forordninga bør ikkje stenge for nasjonale reglar for å imøtekome leads-problem, f.eks. at det vert stilt strengare krav til samtykket til å ta imot telefonmarknadsføring.
Konklusjon
Departementet vurderer forslaget som EØS-relevant. Departementet har førebels ikkje teke stilling til om forslaget er akseptabelt.
Innholder informasjon unntatt offentlighet, jf. offl. § 13
Status
Målet med kommunikasjonsvernforordninga er å sikre eit effektivt og godt vern av konfidensialitet for elektronisk kommunikasjon, og å oppdatere reglane i tråd med den marknadsmessige og teknologiske utviklinga. Forordninga skal òg tilpasse regelverket til ny personvernforordning (GDPR) som trådde i kraft i 25. mai 2018. Forslaget til kommunikasjonsvernforordning var på nasjonal høyring i Noreg i mars 2017.
Forslaget frå EU-kommisjonen til ny forordning vart lagt fram for Europaparlamentet og Europarådet 10. januar 2017. Parlamentet vedtok 19. oktober 2017 framlegget til rapport frå Borgarretts-, justis- og innanrikskomiteen (LIBE), saman med eit mandat til å starte trilogforhandlingane. Vedtaket vart bekrefta av plenarforsamlinga 26. oktober 2017.
Rådet vart 10. februar 2021 einige om eit forhandlingsmandat for forordninga. Rådets semje opnar for trilogiforhandlingar med Kommisjonen og Parlamentet.
Noreg har kommunisert sin posisjon til Parlamentet og Rådet i mai 2017, og til Rådet igjen i april 2018. Det vart òg sendt ein felles EFTA-posisjon til Parlamentet 22. september 2017 som reflekterte den norske posisjonen. Tidlegare samferdselsminister Ketil Solvik-Olsen og tidlegare barne- og likestillingsminister Solveig Horne sende òg eit brev til kollegaane i det estiske presidentskapet i Rådet 17. oktober 2017, der dei understreka den norske haldninga til ny kommunikasjonsvernforordning. Noreg har vidare kommunisert posisjonen sin til Rådet og ulike formannskap, etter ulike forslag til kompromisstekst.
Fleire av endringane som Parlamentet har foreslått om nummeropplysningstenester og forbrukarvern (artikkel 15 og 16 i utkastet til forordning), går i same retning som innspela frå Noreg og fellesposisjonen med EØS-EFTA-landa. Når det gjeld nasjonal fleksibilitet på tilsynssida (artikkel 18) inneber det siste forslaget større grad av fleksibilitet for medlemslanda, slik Noreg også har kommunisert.
Tidlegare digitaliseringsminister Nikolai Astrup sende 26. juni 2019 eit brev til det finske formannskapet med innspel om endringar i artikkel 15 om at ein må gje samtykke dersom ein skal søke på anna enn namn (t.d. telefonnummer) i nummeropplysninga. Den finske kompromissteksten tok tilsynelatande omsyn til det norske innspelet for dagens nummeropplysningstenester, og dette er vidareført i kompromissteksten til det portugisiske formannskapet.
Noreg leverte skriftleg tredjepartsinnlegg til domstolen i Privacy International-saken som EU-domstolen avgjorde 6. oktober 2020 (sak C-623/17), og heldt innlegg under den munnlege høyringa. Saka dreier seg om ein britisk lov om tryggleiks- og etterretningstenestenes innhenting av kommunikasjonsdata for å ivareta nasjonal tryggleik. Saman med fleire andre statar som leverte innlegg, ga Norge uttrykk for at tiltak innan nasjonal tryggleik ikkje omfattast av kommunikasjonsverndirektivets verkeområde. Etteretningstjenesteloven trådde i kraft 1. januar 2021. Forsvarsdepartementet varsla 10. november 2020 at dei utset iverksetjinga av to av kapitla i lova for å gjere ei grundig analyse av EU-domstolens avgjerder frå oktober 2020.
Det portugisiske formannskapet er det niande formannskapslandet som har arbeidd med kommunikasjonsvernforordninga, og den vedtekne teksten bygger i stor grad på kompromissforslaget frå det finske formannskapet, som vart lagt frem 26. juli 2019.