Forbrukerombudets høringsuttalelse til forslag om ny personopplysningslov
1. Innledning
Vi viser til Justis- og beredskapsdepartementets høringsbrev av 6. juli 2017 vedrørende utkast til ny personopplysningslov – gjennomføring av EUs personvernforordning (GDPR) i norsk rett.
Forbrukerombudet fører tilsyn med at næringsdrivendes markedsføring og bruk av standardvilkår i kontrakter som inngås med forbrukere er i tråd med kravene som følger av markedsføringsloven.
Innledningsvis vil vi fremheve at vi er positive til at den nye personvernforordningen på flere områder vil kunne bidra til et sterkere forbrukervern. For at rettighetene i forordningen skal være effektive er det viktig at det ses hen til forbrukerne når praksis skal fastlegges rundt de rettigheter og skjerpede krav til behandling av personopplysninger som introduseres med forordningen.
Forordningen vil få stor betydning for norske forbrukere og for Forbrukerombudets tilsynsarbeid. I implementeringen er det begrenset handlingsrom for de enkelte statene. Imidlertid åpner forordningen for at medlemslandene ved lov kan fravike forordningens aldersgrense for barns samtykke til behandling av personopplysninger i forbindelse med informasjonssamfunnstjenester. Vi konsentrerer oss særlig om dette i høringssvaret vårt.
Oppsummert er Forbrukerombudets konklusjoner:
- Forbrukervern og personvern må sees i sammenheng, fordi de to regelverkene overlapper og utfyller hverandre i den digitale økonomien.
- Aldersgrensen for barns samtykke til behandling av personopplysninger i forbindelse med informasjonssamfunnstjenester, uten samtykke fra foreldrene, må være 16 år. Tilbyderne av digitale tjenester må være ansvarlige for å tilpasse innhentingen av personopplysninger til de målgruppene de ønsker å nå.
- For å sikre barns rettigheter ved sensitive personopplysninger bør det komme tydelig fram i lovutkastet § 8 at bestemmelsen ikke omfatter innhenting av sensitive personopplysninger.
2. Samspill mellom forbrukervern og personvern i den digitale økonomien
Forbrukerombudets prosjekt «Avtalevilkår og forbrukerdata i den digitale økonomien»
Forbrukerombudet gjennomfører prosjektet «Avtalevilkår og forbrukerdata i den digitale økonomien» med finansiering av Barne- og likestillingsdepartementet. I prosjektet samarbeider vi med Datatilsynet for å legge til rette for en mer effektiv behandling av saker som reiser spørsmål etter både forbruker- og personvernregelverket. Arbeidet skal bidra til en klargjøring av rettstilstanden gjennom praksis og diskusjoner om overlapping mellom forbrukervern og personvern, og foregår i internasjonale fora i tillegg til nasjonalt.
Siden problemstillingene gjør seg gjeldende på tvers av landegrensene, har Forbrukerombudet vært pådriver for opprettelse av fora som Digital Clearinghouse hos European Data Protection Supervisor og mellom myndighetene i det europeiske nettverket av forbrukertilsyn og art. 29-arbeidsgruppen. I tillegg har vi bidratt til å sette forholdet mellom person- og forbrukervern på agendaen i det internasjonale nettverket av håndhevingsmyndigheter på forbrukerfeltet, ICPEN.
Prosjektet, og den internasjonale oppslutningen om arbeidet med problemstillingene det tar opp, viser den nære sammenhengen mellom person- og forbrukervern. Forbrukerombudet (fra 1. januar 2018 Forbrukertilsynet) vil også etter implementeringen av GDPR drive tilsynsarbeid med betydning for Datatilsynets kompetanseområde, og vice versa, og det vil være viktig for å sikre at reglene i GDPR blir effektive overfor forbrukere. Vi gir i det følgende noen eksempler på dette.
Forbrukervern og personvern
Den digitale økonomien har medført utbredelse av forretningsmodeller basert på kommersiell utnyttelse av forbrukerdata. Dette utfordrer grunnleggende forbruker- og personvern på flere måter.
Forbrukerne har for det første lite kontroll over, og er i liten grad klar over, hvordan personopplysningene deres benyttes når de gir dem fra seg for å bruke forskjellige digitale tjenester. Avtalevilkårene for digitale tjenester og produkter er i mange tilfeller vanskelig tilgjengelige for forbrukerne. Vilkårene er ofte svært lange, og utformet i et vanskelig teknisk og juridisk språk.
For det andre samles forbrukerdata inn i stadig flere digitale tjenester og produkter, og selges noen ganger videre, bl. a. til annonsører og markedsføringsselskaper. Når forbrukerne gir vekk personlige data mot tilgang til tjenester, blir personopplysningene en handelsvare som kan erstatte penger, og gjøres til en form for betaling. Dette gjør det vanskelig for forbruker å sammenligne de faktiske kostnadene ved ulike tjenester, og om verdien av det du gir vekk, gjenspeiler verdien av hva du får i retur.
Begge problemstillingene reiser åpenbare personvernspørsmål, og implementeringen av GDPR i den nye personopplysningsloven kan bidra til at forbrukerne kan få økt kontroll over egne personopplysninger når de tar i bruk forskjellige digitale tjenester. Dette er imidlertid ikke tilstrekkelig for å sikre at forbrukerrettighetene ivaretas i den digitale økonomien. Forbrukerlovgivningen vil supplere personopplysningsloven på helt sentrale punkter for å sikre at forbrukerne får den informasjonen de trenger for å ta informerte valg i den digitale økonomien. Markedsføringsloven har bestemmelser som gir Forbrukerombudet hjemmel til å gripe inn mot blant annet villedende reklame og urimelige avtalevilkår.
Gjennom tilsyn med urimelige avtalevilkår har Forbrukerombudet i mange år håndhevet krav til klarhet i kontraktsforhold, som vil ha klare likhetstrekk med de nye kravene til klar informasjon etter GDPR. I praksis vil det kunne være overlappinger og vekselvirkninger mellom de to regelsettene: For forbrukerne er det nødvendig at både informasjon om behandling av personopplysninger og om partenes rettigheter og plikter for øvrig gis på en klar, forståelig og anvendbar måte.
Tilsyn med markedsføring og avtaleinngåelsesprosesser vil videre bidra til at opplysninger om produkters og tjenesters funksjonalitet når det gjelder innhenting og bruk av personopplysninger blir gitt på riktig tidspunkt i forbrukernes beslutningsprosesser. Når disse hensynene er ivaretatt, kan forbrukerne se hen til personvernkonsekvensene av forskjellige valg i sine beslutninger som markedsaktører.
Et annet eksempel på vekselvirkningen mellom de to regelsettene er bruk av personopplysninger til direktemarkedsføring. Personopplysninger benyttes i utstrakt grad av næringsdrivende for å rette markedsføring direkte til enkeltforbrukere, for eksempel ved hjelp av telefon, adressert post, e-post, SMS eller meldinger sendt gjennom sosiale medier.
Markedsføringslovens regler om innhenting og bruk av personopplysninger til direktemarkedsføring gjennomfører kommunikasjonsvernsregelverket i EU, men samtykkebegrepet baserer seg på personopplysningslovens krav til samtykke. Hvordan tilgangen til personopplysninger blir regulert i personvernlovgivningen, påvirker derfor i betydelig grad hvordan næringsdrivende kan innhente og bruke personopplysninger i markedsføringsøyemed.
Disse eksemplene på samspillet mellom de to regelsettene får først og fremst betydning for de som anvender regelverket. Samtidig har det betydning at departementet og lovgiver ser forbrukervernet og personvernet i sammenheng når de konkrete bestemmelsene i personopplysningsloven skal utformes, slik at hensynet til de situasjonene forbrukerne står overfor i sin digitale hverdag tas i betraktning.
3. Barns personvern
3.1 Personopplysningsloven § 8
A ) Forslaget om 13 års aldersgrense for samtykke til informasjonssamfunnstjenester
I følge GDPR må et barn være minst 16 år for selv å kunne samtykke til behandling av personopplysninger i forbindelse med informasjonssamfunnstjenester, som f. eks. sosiale medier. De enkelte statene kan fravike bestemmelsen, og sette lavere aldersgrense.
I høringsnotatet er det foreslått at Norge bør benytte seg av muligheten til å fravike utgangspunktet i GDPR, og sette aldersgrensen til 13 år. Etter Justis- og beredskapsdepartementets vurdering vil en aldersgrense på 13 år i størst grad ta hensyn til barnets selvbestemmelsesrett. Forbrukerombudet deler ikke departementets vurderinger, og anbefaler at aldersgrensen settes til 16 år, i samsvar med aldersgrensen i GDPR.
Vi registrerer at det i høringsnotatet vises til at Barneombudet, Barne- og likestillingsdepartementet og Medietilsynet også stiller spørsmål ved hensiktsmessigheten av en så lav aldersgrense som 13 år. I tiden etter EU-kommisjonens forslag til forordning og vår høringsuttalelse til denne i 2012, har vi fått enda bedre kunnskapsgrunnlag om hvordan informasjon om rettigheter og plikter i forbindelse med digitale tjenester ofte er utilgjengelig for forbrukerne. Vi viser i den forbindelse til Forbrukerrådets undersøkelser av avtalevilkår i forbindelse med forskjellige digitale tjenester. Spørsmålet er i tillegg satt på agendaen til tilsynsmyndigheter både europeisk og internasjonalt. Problemstillingene dette reiser, gjelder i enda større grad for barn.
Forbrukerombudet er opptatt av at også barn under 16 år skal kunne delta i samfunnet ved å bruke digitale tjenester. Vi mener imidlertid at tjenestene må tilpasse seg til sin yngre målgruppe ved å begrense behandlingen av barns personopplysninger – ellers må foreldrenes samtykke kreves.
Vi vil i det følgende begrunne Forbrukerombudets standpunkt.
Modenhet, erfaring og kunnskap
Barn og unge er en populær forbrukergruppe som raskt tar i bruk ny teknologi, tilkoblede produkter og digitale tjenester som sosiale nettverk og nettbaserte spill. Medietilsynet har kartlagt at nesten halvparten av alle barn mellom 9 og 16 år bruker sosiale medier daglig. Syv prosent av barna i alderen 12-14 år har brukt datingtjenester det siste året, og dette tallet stiger til 18 prosent når barna er 15-16 år. [1] SIFO viser i sin rapport om barn og internettilkoblede teknologier hvordan barn i økende grad eksponeres for grenseflater mot internett med potensiale for innhenting av personopplysninger og distribusjon av markedsføring. [2]
I rapporten «Ungdom og digital sikkerhetskultur» fra NorSIS fremkommer at ungdom har mindre kunnskap om digital sikkerhet enn resten av befolkningen. Rapporten viser at ungdom får lite opplæring i informasjonssikkerhet, sammenlignet med befolkningen for øvrig. Kun 6 av 10 sier at de vet hva informasjonssikkerhet er. Selv om ungdom er opptatt av personvern, mangler de nødvendig kunnskap og ferdigheter som faktisk kan beskytte deres personopplysninger. Kun 4 av 10 sier at de har interesse for teknologi og IT. [3]
Barn har ikke nødvendig kunnskap eller erfaring til å overskue konsekvensene av valgene de tar som digitale forbrukere. Barns modenhet er dessuten ikke utviklet i samme grad som hos voksne. Disse forholdene gjør dem til en sårbar og lettpåvirkelig målgruppe, som trenger og har krav på særlig beskyttelse.
På flere områder anerkjenner lovgiver at barn er avhengig av sine foreldre til å ta avgjørelser om seg selv. Den helserettslige myndighetsalderen er 16 år. Fra den alderen råder barnet selv over beslutninger om egen helse, og har således kontroll over egne helseopplysninger. Disse reglene, og flere tilsvarende, viser at lovgiver anerkjenner at barns rett til å bestemme over egne forhold må tilpasses modenhetsnivået deres.
Barn har heller ikke samme avtalekompetanse som voksne. Barn og mindreårige under 18 år kan ikke sette seg i gjeld, eller kjøpe ting som skal betales gjennom en faktura de får tilsendt i ettertid. De kan heller ikke inngå abonnementsavtaler som koster penger uten at foreldrene samtykker til dette. Det er klart at GDPR ikke er ment å regulere statenes generelle avtalerett, men hvis små barn skal kunne samtykke til behandling av personopplysninger i forbindelse med avtaler med informasjonssamfunnstjenester kan forholdet til vergemålsloven bli uklart. Situasjoner kan oppstå hvor barn har kompetanse til å samtykke til behandling av personopplysninger overfor tjenester de ikke har rettslig handleevne til å inngå avtale om å benytte. Jo lavere aldersgrense for samtykke, jo mer praktisk er denne problemstillingen.
Barns rett til selvbestemmelse vs. behov for beskyttelse
Forbrukerombudet ser problemstillingen når det gjelder å balansere barnas rett til selvbestemmelse og barnas behov for beskyttelse. Den faktiske konsekvensen av å ha en aldergrense på 16 år for å samtykke til bruk av egne personopplysninger, kan være at barnet ikke får tilgang til enkelte tjenester, som f.eks. sosiale medier dersom ikke foreldrene ønsker å gi dem det. Forbrukerombudet er likevel av den oppfatning at hensynet til barnets selvbestemmelsesrett ikke kan være avgjørende for å fravike forordningens bestemmelse om en aldersgrense på 16 år. Etter vår vurdering må barnas behov for beskyttelse veie tyngst.
Vi stiller dessuten spørsmål ved hvor reell barnas selvbestemmelsesrett egentlig er hvis barnet ikke fullt ut forstår hva det vil innebære å gi samtykke til innhenting og behandling av personopplysningene deres. Selv om barn ofte kan mer enn sine foreldre om nye digitale tjenester, er de ikke alltid i stand til å overskue rekkevidden og konsekvensene av for eksempel å dele bilder og informasjon om seg selv, og spesielt ikke hva slags opplysninger som samles inn til annet bruk i komplekse konstellasjoner av næringsdrivende.
For å illustrere kan vi vise til funnene i et forsøk for å se om barn forstår rettighetene sine i sosiale medier. Under forsøket ble bl. a. 13-åringer konfrontert med dagens avtalevilkår til Instagram. Etter 20 minutter hadde 13-åringene så vidt klart å komme gjennom halvparten av vilkårene og ba om å få stoppe. Noen av tilbakemeldingene var: «Boring! It doesn’t make any sense – Amy, 13 years old», «You have to take about 10 minutes on each sentence – Alex, 13 years old», « Are you sure this is necessary? There are, like, 100 pages – Amy, 13 years old». [4]
Barn er særlig utsatt på grunn av deres naturlige godtroenhet og manglende erfaring og trenger derfor ekstra beskyttelse fra lovverket og tilsynsmyndighetene. Selv om avtalevilkårene i forsøket ovenfor ble forenklet og klargjort i henhold til GDPRs krav, vil det alltid være en utfordring å forklare til et barn hvordan komplekse tjenester faktisk fungerer – på en måte som gjør at de kan ta et veloverveid valg som tar hensyn til potensielle fremtidige konsekvenser.
Næringslivets ansvar
Et argument mot en aldersgrense på 16 år, har vært at det det vil være praktisk vanskelig å hindre at barna gir samtykke til behandling av personopplysningene deres uten foreldrenes samtykke. Flere digitale tjenester opererer i dag med 13 års aldersgrense for å registrere seg, som for eksempel Snapchat. Med 16 års aldersgrense for å samtykke, øker antakelig risikoen for at noen barn feilaktig vil utgi seg for å være over 16 år når de forsøker å registrere seg.
Forbrukerombudet kan likevel ikke se at dette skal være et avgjørende argument mot å innføre en aldersgrense på 16 år. Det har lenge skapt problemer at tilbydere ikke hindrer at barn bruker internettjenester som de er for unge til. Forordningen krever nå i artikkel 8 nr. 2 at behandlingsansvarlige skal treffe rimelige tiltak for å kontrollere at foreldrenes samtykke er gitt. Dette legges det også opp til at det skal utarbeides adferdsnormer om, jf. artikkel 40 nr. 2 bokstav g. Dette kan avhjelpe de eventuelle utfordringene med at aldersgrensen omgås. Å innføre rimelige tiltak for å innhente foreldresamtykke fra barn under aldersgrensen er imidlertid ikke den eneste måten tjenestetilbyderne kan tilpasse seg det nye regelverket.
Dersom det ikke er ønskelig for en tjenestetilbyder å legge til rette for innhenting av foreldrenes samtykke, må heller tjenesten tilpasses til den yngre målgruppen slik at innsamlingen av personopplysninger ikke blir så omfattende at samtykke kreves. Det er ikke uvanlig at tilbydere av forskjellige tjenester tilpasser disse hvis de ønsker barn som brukere. Mobiloperatører tilbyr for eksempel kontantkort eller spesielle abonnementer som tar hensyn til barns behov for tryggere rammer. I bankbransjen tilbys betalingskort til barn på spesielle vilkår som reflekterer at barn har andre behov enn voksne. Ved å lage barnevennlige tjenester eller barnevennlige versjoner av digitale tjenester kan barnets selvbestemmelsesrett og barnets behov for beskyttelse bli ivaretatt.
Forbrukerombudet mener at aldersgrensen i GDPR er en mulighet for å begrense tilbydernes adgang til å utnytte barns personopplysninger, og innføre en ordning som kan begrense de problemene vi så langt har sett med at barn uten foreldrenes involvering bruker internettjenester som ikke passer for unge. Ansvaret for at tjenester med en ung målgruppe ivaretar barns personvern må legges på tilbyderne, og ikke på barna selv.
Forordningens utgangspunkt er at barn skal beskyttes, og at aldersgrensen for samtykke er 16 år
Barnas behov for beskyttelse er forankret flere steder i forordningen – bl. a. i art. 8 nr. 1 og i fortalepunkter 38 og 75. Forordningens fortalepunkt 38 slår fast at: «Barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandlingen av personopplysninger. Et slikt særlig vern bør især få anvendelse på bruk av barns personopplysninger for markedsføringsformål eller for å opprette personlighets- eller brukerprofiler samt på innsamling av personopplysninger om barn når de bruker tjenester som tilbys direkte til barn.»
Betraktningene som kommer fram i fortalen, begrunner godt valget av aldersgrensen på 16 år, og vi kan ikke se at det i høringsnotatet er vist til noen tungtveiende grunner til at Norge skal fravike denne aldersgrensen.
På denne bakgrunnen anbefaler Forbrukerombudet at aldersgrensen for å samtykke til behandling av personopplysninger i forslag til ny personopplysningslov § 8 settes til 16 år, i overensstemmelse med artikkel 8 i personvernforordningen.
B ) Barn og sensitive personopplysninger
Regelen om aldersgrense for samtykke til behandling av personopplysninger kan også ha konsekvenser for behandling av barns sensitive personopplysninger.
Forbrukerombudet er glad for at Justis- og beredskapsdepartementet ser problemstillingen. I høringsnotatet side 116 fremgår det: «Departementet kan ikke se at forordningen positivt regulerer spørsmålet og legger som følge av dette til grunn at bestemmelsene i artikkel 8 må forstås slik at den ikke gjelder samtykke til behandling av sensitive personopplysninger, jf. Artikkel 9 nr. 2 bokstav a.»
Vi mener at det bør tilføyes eksplisitt i loven at aldersgrensen ikke gjelder for samtykke til behandling av sensitive personopplysninger. Ved å klargjøre dette i lovteksten, kan man unngå tvilstilfeller hos næringsdrivende, som ellers kunne resultere i at barns sensitive personopplysninger kan komme på avveie og misbrukes.
Ved et enklere og klarere regelverk med mindre rom for tolkningstvil, vil forbrukerne og barn sikres et sterkere vern og en mer effektiv beskyttelse.
Vi foreslår at det bør tas inn i personopplysningsloven § 8 som et andre ledd:
«Dette gjelder ikke for sensitive personopplysninger, jf. forordningen artikkel 9 nr. 2 bokstav a.»
* * *
Forbrukerombudet stiller seg til disposisjon dersom departementet ønsker videre innspill i forbindelse med utarbeidelsen av forslag til ny personopplysningslov.
Med vennlig hilsen
Elisabeth Lier Haugseth
forbrukerombud
Fotnoter
[1] Medietilsynet (2016): Barn og medier 2016. www.barnogmedier2016.no
[2] SIFO (2017): Barn og internettkoblede leker og teknologier – IoT. http://www.hioa.no/Om-HiOA/Senter-for-velferds-og-arbeidslivsforskning/SIFO/Publikasjoner-fra-SIFO/Barn-og-internettkoblede-leker-og-teknologier-IoT
[3] Norsk senter for informasjonssikring (2017): Ungdom og digital sikkerhetskultur https://norsis.no/ungdom-digital-sikkerhetskultur/
[4] Children’s Commissioner for England (2017):Growing Up Digital https://www.childrenscommissioner.gov.uk/wp-content/uploads/2017/06/Growing-Up-Digital-Taskforce-Report-January-2017_0.pdf