- Advokat/partner Arve Føyen og advokatfullmektig Jarle Langeland, Advokatfirmaet Føyen Torkildsen AS
EU-domstolen kom 29. juli i saken Fashion ID til at eiere av nettsider med «like»-knapp fra Facebook er å anse som behandlingsansvarlige for innsamlingen av personopplysninger som skjer via denne funksjonen, og for den automatiske oversendelsen av disse til Facebook. Det er mye å si om denne dommen, her skal vi ta for oss et praktisk viktig spørsmål for alle offentlige etater med egne nettsider.
Datatilsynet har allerede kommet med sine foreløpige kommentarer til dommen. Tilsynet skiller her mellom private nettsider, som kan tenkes å ha grunnlag for å behandle personvernopplysninger i kraft av å ha en legitim interesse i innsamlingen av personopplysninger, og offentlige nettsider hvor det kreves samtykke. Samtykke er ikke mulig å få til per nå, siden samtykke skal gis før innsamlingen skjer – noe Facebooks plugin ikke støtter. Konsekvensen kan i praksis være at «offentlige nettsider må fjerne plugin-en inntil videre».
Datatilsynet som forvaltningsorgan må likevel ha grunnlag i lovgivningen for pålegg og reaksjoner
Datatilsynet begrunner ikke hvorfor «like-knapper» på offentlige og private nettsider skal behandles forskjellig. Vi har grunn til å forvente godt personvern fra offentlige etater og deres nettsider, og det vil nok oppleves feil for mange om Plan- og bygningsetaten sender informasjon om deg til Facebook når det skal søkes om bruksendring. Datatilsynet som forvaltningsorgan må likevel ha grunnlag i lovgivningen for pålegg og reaksjoner, i dette tilfellet har de ikke opplyst hvilke regler som ligger bak dette skillet.
En sannsynlig begrunnelse for Datatilsynets råd er personvernforordningen artikkel 6 (1) siste avsnitt, som slår fast at offentlige myndigheter ikke kan behandle personopplysninger etter en interesseavveining (6 (1) bokstav f)) «som ledd i utførelsen av deres oppgaver». Offentlige myndigheter må derfor ofte ha lovhjemmel for å behandle personopplysninger, lovhjemler som foreslås og vedtas i stort tempo om dagen.
Vi stiller likevel spørsmål ved om driften av en nettside skal forstås som et «ledd i utførelsen av» den offentlige myndighetens oppgaver. Rent språklig virker det naturlig, og en offentlig etat uten nettside vil i 2019 kunne få store problemer med å utføre sine oppgaver på en god måte.
I forarbeidene til ny personopplysningslov skriver departementet under punkt 6.3.1. at «departementet [legger] imidlertid til grunn at unntaket som utgangspunkt bare gjelder behandling av personopplysninger i forbindelse med utøvelse av offentlig myndighet. Det offentlige må altså ha samme adgang som private behandlingsansvarlige til å benytte artikkel 6 nr. 1 bokstav f i for eksempel kommersiell virksomhet eller i egenskap av å være arbeidsgiver. Rekkevidden av unntaket og de grensedragningsspørsmålene som oppstår, må få sin avklaring gjennom praksis.»
Departementet begrenser her regelen fra «som ledd i utførelsen av [den offentlige myndighetens] oppgaver» til «i forbindelse med utøvelse av offentlig myndighet». Fra offentlig virksomhet i bred forstand til offentlig myndighetsutøvelse i snever forstand. Det er gode grunner til å gjøre dette. Offentlige nettsider, som nettsider flest, samler inn personopplysninger om brukerne for mange formål. Brukerundersøkelser, statistikk og tekniske logger inneholder ofte personopplysninger, og kan være nødvendige for å kunne drifte en sikker nettside med god kvalitet. Det finnes ingen «lov om behandling av personopplysninger på offentlige nettsider», noe som nok er bra. Offentlige myndigheter må sannsynligvis kunne behandle personopplysninger som ledd i driften av deres nettsider etter de samme regler som private kan. Så kan vi gjerne være med å diskutere om vurderingene disse reglene legger opp til vil slå ulikt ut for en del offentlige nettsteder. Denne diskusjonen vil være mer nyansert enn hva Datatilsynet tilsynelatende legger opp til.
