210 likes | 335 Views
Internasjonal regulering av personopplysningsvern. Lee A. Bygrave, 17.2.2005. Disposisjon. Personopplysningsvern (pov) etter menneskerettstraktater Internasjonale instrumenter som direkte angår pov Norges spillerom i.f.m. utforming av pov-regelverk. Menneskerettstraktater.
E N D
Internasjonal regulering av personopplysningsvern Lee A. Bygrave, 17.2.2005
Disposisjon • Personopplysningsvern (pov) etter menneskerettstraktater • Internasjonale instrumenter som direkte angår pov • Norges spillerom i.f.m. utforming av pov-regelverk
Menneskerettstraktater • Verdenserklæringen om menneskerettigheter av 1948 – artikkel 12 • FN-konvensjonen om sivile og politiske rettigheter av 1966 (SP) – artikkel 17 • Den europeiske menneskerettskonvensjon av 1950 (EMK) – artikkel 8 • EUs charter om grunnleggende rettigheter av 2000, jf. også EUs grunnlov av 2004
SP (1) Artikkel 17: «1. Ingen må utsettes for vilkårlige eller ulovlige inngrep i privat- eller familieliv, hjem eller korrespondanse, eller ulovlige inngrep på ære eller omdømme. 2. Enhver har rett til lovens beskyttelse mot slike inngrep eller angrep».
SP (2) FNs Menneskerettighetskomite: SP artikkel 17 krever at behandling av personopplysninger (p.o.) innen både offentlig og privat sektor underlegges rettslig regulering i tråd med grunnleggende pov-prinsipper, (jf. General Comment nr. 16 av 23.3.1988)
EMK (1) Artikkel 8: «1. Enhver har rett til respekt for sitt privat- og familieliv, sitt hjem og sin korrespondanse. 2. Offentlig myndighet skal ikke gjøre noe inngrep i utøvelsen av denne rett med mindre dette ingrep er i samsvar med loven og i et demokratisk samfunn er en nødvendig forholdsregel for den nasjonale eller offentlige sikkerhet, for landets økonomiske velstand, for å forebygge uorden eller forbrytelser, beskytte helse eller moral eller beskytte andres rett og friheter».
EMK (2) • Den europeiske menneskerettighetsdomstolen (EMD) har fattet mange avgjørelser vedr. pov etter artikkel 8. • Eksempler på viktige avgjørelser: • Klass mot Germany (1978) • Malone mot United Kingdom (1984) • Leander mot Sweden (1987) • Gaskin mot United Kingdom (1989) • Niemitz mot Germany (1992) • Amann mot Switzerland (2000) • Peck mot United Kingdom (2002) • Von Hannover mot Germany (2004)
EMK (3) • Privatliv definert på bredt vis – omfatter også visse aktiviteter i den offentlige sfære • Behandling av p.o. uten samtykke eller kunnskap = inngrep. • Hensyn til folks rimelige forventninger om hva som er privat. • Innsamling og lagring uten videre bruk = inngrep.
EMK (4) Rettferdiggjøring av inngrep dersom: (i) Rettslig grunnlag som tilfredsstiller vanlige prosessuelle rettssikkerhetskrav; (ii) Nødvendighet, dvs. påtrengende sammfunnsmessig behov («pressing social need») og forholdsmessighet («proportionate to legitimate aim pursued»); (iii) Legitimt formål.
EMK (5) EMDs praksis har hittil ikke utviklet nye pov-prinsipper i.f.t. andre pov-instrumenter, men må legges til grunn ved tolking av andre pov-instrumenter.
EUs menneskerettsinstrumenter Anerkjennelse av pov som grunnleggende rettighet i seg selv: • EUs charter om grunnleggende rettigheter (Charter of Fundamental Rights, 2000) artikkel 8 • EUs grunnlov (jf. Treaty establishing a Constitution for Europe, 2004) artikkel I-50
Europarådets pov-konvensjon Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (1981) • Harmoniseringsformål (bekymringer over regulering av flyt av p.o. over landegrenser) • Lite detaljerte bestemmelser • Utdypende regler vedtatt i form av rekommendasjoner for behandling av p.o. innenfor avgrensede sektorer.
OECDs retningslinjer om pov • Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data (1980) • Innhold og formål svært lik Europarådets konvensjon av 1981, dog forretnings-/handelsinteresser mer fremtredende • Innflytelsesrike – særlig utenfor Europa, jf. APECs nåværende arbeid med utforming av pov-retningslinjer • Merk også OECDs retningslinjer for kryptopolitikk (1997), informasjonssikkerhet (1992, 2002) og forbrukervern i.f.m. e-handel (1999)
FNs retningslinjer om pov Guidelines concerning computerized data files (1990) • Av forholdsvis liten praktisk betydning
EUs pov-direktiv (1) Direktiv 95/46 • Svært innflytelsesrik og detaljert • Folkerettslig bindende for Norge • Harmoniseringsformål er fremtredende • Realisering av det indre marked = viktig begrunnelse, MEN • Økende anerkjennelse av direktivets forankring i menneskerettighetsdoktriner
EUs pov-direktiv (2) EF-domstolen: Direktivet har et idealistisk formål (i tillegg til det markedsmessige), og tolking av direktivet langt på vei beror på EMDs rettspraksis, jf. forente saker 465/00, 138/01 og 139/01, Österreichischer Rundfunk m.fl. (dom avsagt 20. mai 2003).
EUs pov-direktiv (3) EF-domstolens avgjørelse i sak 101/01, Bodil Lindqvist (dom avsagt 6. november 2003): • Offentliggjøring av p.o. på privat hjemmeside • Innskrenkende tolkning av artikkel 3(2) (unntak for behandling «som ledd i rent personlige eller familiemessige aktiviteter») • Innskrenkende tolkning av artikkel 25 (overføring av p.o. til tredjeland)
EUs direktiv om kommunikasjonsvern Direktiv 2002/58 av 12. juli 2002 om behandling av p.o. og beskyttelse av privatlivets fred i den elektroniske kommunikasjonssektor • Erstatter direktiv 97/66/EF • Inneholder bestemmelser om bl.a. • sikring av data og kommunikasjon, • bruk av cookies og spyware, • lagring og viderebruk av trafikk- og debiteringsdata, • utstedelse av spesifiserte regninger, • fremvisning av anropende nummer hos oppringt sluttbruker, automatiske viderekoblinger, • innholdet i abonnentfortegnelser, • uønsket markedsføring
Andre EU tiltak mv. • EUs første ombud for personopplysningsvern (European Data Protection Supervisor) utnevnt 22.12.2003 (Peter Hustinx) • Jf. forordning (EF) Nr. 45/2001 kap. V (jf. art. 47) • Myndighetsutøvelse avgrenset til EF-institusjoner • Artikkel 29 arbeidsgruppen • Rådgivende myndighet men arbeidsom og innflytelsesrik
Utviklingstrekk til bekymring • EØS-medlemsstaters mangelfulle implementering og etterlevelse av EUs direktiver om pov; harmoniseringsmål ikke realisert; nasjonale datatilsynsmyndigheter får ikke nok ressurser • Jf. Europakommisjonens First report on the implementation of the Data Protection Directive (COM (2003) 265 final, 15.5.2003) • Dårlig etterlevelse av Safe Harbor ordningen med USA • APEC som motvekt til EUs pov-politikk
Og lille Norge da? Enkeltnasjoners frihet til å velge særnasjonale løsninger på området er redusert, men ... De får fremdeles betydelig spillerom (eks. bruk og status av adferdskodekser; pov for bedrifter og andre juridiske personer).