Fare for å overbelaste loven med personvern

Vil det nye personverndirektivet medføre en overregulering for IKT bransjen?

Den nye regulatoriske pakken for elektronisk kommunikasjon ble vedtatt 12. februar i år og skal implementeres innen 25 juli 2003. I Norge har Samferdselsdepartementet sent forslag til 'Lov om elektronisk kommunikasjon' ut på høring (kommunikasjonsloven), en lov som skal overta for teleloven. Samtidig utvides virkeområdet til all elektronisk kommunikasjon.

Den nye regulatoriske pakken inneholder også et personverndirektiv. Det var mye strid om direktivet, og det ble først vedtatt 12. juli, lenge etter resten av pakken. For Norge, som allerede har et godt regelverk for personvern, er spørsmålet om det nye direktivet vil medføre en overregulering for IKT bransjen.

Markedet for elektronisk kommunikasjon, og da også elektronisk handel som er en integrert del av elektronisk kommunikasjon, fikk i 2000 et nytt regelverk for personvern gjennom personopplysningsloven. Regelverket gjelder i prinsippet all elektronisk behandling av personopplysninger. Utgangspunktet er at enhver behandling, lagring o.l. skal ha et rettslig grunnlag, slik som et samtykke fra den det registreres opplysninger om. Et samtykke skal være uttrykkelig, informert og frivillig. Det kan også legges til at så lenge det ikke er tale om sensitive personopplysninger, så er utgangspunktet at behandlingen skal meldes til Datatilsynet. Behandling av sensitive opplysninger samt enkelte typer virksomheter, slik som teleoperatører og finansvirksomheter, må ha konsesjon.

En kan være uenig med Datatilsynet, som er tilsynsmyndighet, om hva som ligger i begrepene uttrykkelig, informert og frivillig i forhold til en gitt behandling, men regelverket har gitt et solid fundament for personvern i Norge. Når nå Samferdselsdepartementet ønsker å innføre det nye personverndirektivet i form av forskrift, er spørsmålet om ikke virksomheter innen elektronisk kommunikasjon har en juridisk usikker fremtid i vente. Fra å måtte forholde seg til Datatilsynet vil en også måtte forholde seg til Post- og teletilsynet. I en slik hverdag må en for markedet og dets forutsigbarhet spørre om ikke det hadde vært enklere å la Datatilsynet, med sin kompetanse ta seg av enhver behandling av personopplysninger, noe de allerede gjør.

Det er flere grunner som taler for at det nye direktivet burde innordnes personopplysningsloven fremfor kommunikasjonsloven. For det første er det fordi direktivet selv sier at det skal supplere direktivet som ligger til grunn for personopplysningsloven. Dermed er forrangen allerede slått fast. For det andre er det fordi det nye direktivet ikke slår fast annet enn hva som egentlig allerede følger av personopplysningsloven, med mindre en ønsker å skape forskjeller. Det er mulig at Samferdselsdepartementet ønsker en slik forskjell, men det må i så fall skje eksplisitt for å gi aktørene i markedet forutsigbarhet. I et marked hvor risikokapitalen er vanskelig tilgjengelig, og arbeidsplassene færre, er det viktig å ikke gi flere investorer kalde føtter.

Hva er så innholdet i det nye direktivet? Direktivet fokuserer på den nye elektroniske hverdagen hvor IT-, tele- og mediesektorene smelter sammen, dvs konvergens. Men samtidig reguleres enkelte spesielle sider av elektronisk kommunikasjon. Av de mer sentrale sider reguleres for det første bruk av trafikkdata, lokasjonsdata, informasjonskapsler (cookies) og utsendelse av elektronisk kommunikasjon. Av disse er det kun trafikkdata som er regulert i kommunikasjonsloven. I prinsippet er trafikkdata regulert slik det følger av dagens lovgivning, dvs at teleoperatørene har kun lov til å bruke disse av hensyn til faktura.

For lokasjonsdata slås det fast at disse kun kan brukes hvis bruker eller abonnementseier gir sitt samtykke. Lokasjonsdata er data som teleoperatørene i dag har mulighet til å innhente for å bestemme hvor den som bruker telefonen er. I bystrøk skal det være mulig, i alle fall på sikt, å bestemme dette med en feilmargin på få meter. Kravet til samtykke for slik bruk sier seg selv, og følger av dagens regelverk. Uten et slikt samtykke vil en fort kunne overvåke sin ansatt eller ektefelle. Det som derimot ikke følger av direktivet er forholdet mellom abonnementseier og bruker. Dette kan komme på spissen f.eks mellom foreldre som kjøper og betaler for telefonen til sitt barn, eller mellom arbeidsgiver og arbeidstaker. Ønsker en å verne den enkeltes personvern, bør samtykkekravet kun relateres til brukeren. Dette er en løsning som allerede følger av personopplysningsloven.

Deretter følger det en regel om bruk av informasjonskapsler, eller cookies, dvs små informasjonsfiler på en datamaskin som f.eks lagrer de steg en person gjør på et enkelt nettsted. Slik dagens datamaskiner fungerer kan en spørre seg om regelverket legger opp til at enhver bruk av cookies medfører et krav om samtykke, dvs at den enkelte bruker må gi sitt samtykke for hver enkelt gang et nytt nettsted besøkes. Dagens datamaskiner har prosessorer med individualiserte nummer og ved IP-nummer vil det teknisk sett være mulig å koble dette sammen slik at den enkelte bruker kan identifiseres, forutsatt at en maskin kan skille mellom brukere. Med krav om samtykke kan nettbruk bli tyngre. Dagens nettlesere, som Netscape, kan programmeres slik at det kommer opp et vindu for hver gang en cookie settes, men det gjør nettsurfing tung og kjedelig - dermed blir det intet reelt samtykke. Regelen bør derfor implementeres slik at samtykke er nødvendig kun hvor det er en direkte kobling med personen som besøker et nettsted, slik som hvor brukernavn finnes.

Når det gjelder utsendelse av elektronisk kommunikasjon, er dette i dag regulert i Markedsføringsloven § 2b som forbyr utsendelse til forbrukere uten denne samtykke. Etter den nye regelen, skal dette ikke lenger være tillatt for enhver utsendelse av direkte markedsføring uansett mottaker. Løsningen bør etter dette være at regelen implementeres i markedsføringsloven og ikke kommunikasjonsloven, med mindre alt overføres til kommunikasjonsloven. Dette for å ha en klarere regelverk.

Avslutningsvis kan det påpekes at det nye regelverket kan sin betydning ved at det setter fokus på viktige sider av elektronisk kommunikasjon. Samtidig er det viktig at det norske regelverket ikke overreguleres. Det norske regelverket har til nå vært generelt og dermed dynamisk. I en teknologisk utviklende hverdag er det viktig å beholde en slik tilnærming. Annet gir markedet og aktørene usikre vilkår - det er unødvendig i dagens situasjon.

Les tidligere saker om emnet:

Til toppen