Det kan være verdt en liten pause til refleksjon i iveren etter å fange din favoritt-Pokemon– min er for øvrig Charmander.

Det er skrevet noe om personvern i tilknytning til Pokemon GO. Sentralt har vært hva appen, det vil si spillet, har tilgang til. Dette er da forklart på en måte som er lettere å forstå enn de noe vage uttalelsene i personvernpolicyen som følger med fra Niantic. Sistnevnte har antagelig sitt på det tørre, i hvert fall etter amerikansk standard, i og med at vi som spiller har samtykket i alle vilkårene da vi startet spillingen.

Jeg ønsker likevel å komme med noen betraktninger om personvern og Pokemon GO.

Fra en Android-telefon kan man se at spillet har tilgang til:

• kamera
• kontakter
• lagring
• posisjon

Tre av disse er naturlige ettersom spillet benytter posisjon for å finne Pokemon, og kamera for å «fange» dem. At opplysninger lagres på mobilen er også ganske greit å forstå. Tilgang til dine kontakter er derimot ikke så naturlig. Jeg leste på et amerikansk nettsted at det er fordi Niantic ser for seg en multiplayerversjon i fremtiden.

Dette er kanskje ikke så inngripende – de informerer om det, og det er mulig å se det på telefonen spillet er installert på og på den måten ha en viss kontroll over hva som skjer med opplysningene du genererer når du spiller.

Det som er vanskelig å finne ut av, er hva Niantec samler, lagrer og senere bruker av opplysninger som du og jeg sender til sine servere.

Her er det som står om bruk av lokaliseringsinformasjon i personvernerklæringen (min oversettelse og understrekning):

«Vi kan bare bruke og dele informasjon din plassering i forbindelse med vår rett beskrevet i «Informasjon som kreves av lov og opplysninger for å beskytte sikkerhet og sikkerheten til våre tjenester og annet» nedenfor og til å:

• tilpasse tjenesten til aktuelt land og standardspråk for å vise deg de produkter og tjenester i ditt valgte språk og land
• levere produktene og tjenestene du ber om
• tilpasse innhold og opplevelser i våre tjenester, herunder gi deg anbefalinger basert på dine preferanser
• tilpasse nyhetsbrev, tilbud og kampanjer for våre produkter og tjenester, tredjepartsprodukter og -tjenester, eller spesielle hendelser
• levere reklame, inkludert annonsering, basert på din aktivitet på våre nettsteder eller aktivitet på tredjeparters nettsteder og applikasjoner
• optimalisere eller forbedre våre produkter og tjenester
• oppdage, etterforske og forhindre aktiviteter som bryter våre retningslinjer eller er ulovlige
• generere statistikk og gjennomføre demografiske- og markedsføringsanalyser av brukerne av nettsteder og deres kjøpemønstre.»

Det er i praksis ganske mye de forbeholder seg retten til å gjøre med opplysninger om hvor du er og hva du gjør. De sier også at de leverer ut opplysninger til tredjepartsleverandører som de samarbeider med. Innledningen «Vi kan bare bruke» høres bra ut inntil de sier … «og til»: Dette viser til en liste som egentlig inneholder få begrensninger. Jeg viser til rapporten vår om kommersialisering av personopplysninger som blant annet ser nærmere på opplysninger som danner grunnlag for markedsføring.

Dette er ikke den verste personvernerklæringen jeg har lest. De sier blant annet uttrykkelig at de ikke skal selge opplysninger om deg uten samtykke.

Det positive inntrykket blekner likevel noe med den til dels vage språkbruken om hva de ønsker å samle inn. Uansett forbedring er det fortsatt vanskelig å ha god oversikt over hva Niantic faktisk gjør med opplysninger om deg og meg. Det kan se ut til at dette fortsatt vil være en utfordring for datatilsynsmyndigheter fremover.

GPS-lokalisering er på hele tiden

En annen realitet som kanskje ikke alle spillere og foresatte tenker på er at posisjonsdata MÅ være på for at spillet skal fungere. Joda – mange tenker nok på det, men ikke konsekvensen av det, tror jeg. Det er både skrevet mye om og diskutert mange steder at spillet bruker mye strøm, og at dette blant annet har sammenheng med at GPS-posisjonering må være slått på hele tiden. I tillegg til å være en del av Pokemon GO, er telefonen også på nett hele tiden med de konsekvensene det har. Hva operativsystemet ditt sender til Google og til Apple er et like relevant spørsmål. I praksis betyr det at alle appene som du allerede har gitt tilgang til posisjonen din også vil kunne spore deg når du er opptatt med å fange de de små monstrene.

Fortsatt god sommer!

Blant sakene som står på agendaen er e-læring, bruk av biometri for autentisering, smarte TVer og smarte biler. Berlingruppen lager skriftlige anbefalinger som blir flittig brukt av datatilsyn verden over i arbeidet med å oppnå best mulig personvern ved bruk av teknologi.

Tilsynsrepresentanter fra blant annet Sør-Korea, Marokko, Georgia, Frankrike, Israel og Japan er på plass i Oslo. I tillegg til datatilsyn deltar også Federal Trade Commission (FTC) fra USA og et knippe organisasjoner som jobber med personvern, herunder Electronic Privacy Information Center (EPIC) og EUs European Data Protection Supervisor (EDPS).

Siste anbefaling handlet om sporing av mobilt utstyr
Den siste anbefalingen fra Berlingruppen kom høsten 2015 og handler om lokasjonssporing av mobilt utstyr. Det handler om for eksempel hvordan en smarttelefon kan bli identifisert og sporet via trådløse nettverk. En av hovedutfordringene ved denne type sporing er at den ofte er skjult. Hvis du har skrudd på muligheten for å bruke trådløse nettverk på telefonen din kan det å være i nærheten av, eller gå forbi, et trådløst nettverk være nok til at det trådløse nettverket kan samle inn og analysere informasjon fra din mobil.

Berlingruppen kommer med en rekke praktiske anbefalinger om tiltak aktørene bak trådløse nettverk og mobilt utstyr kan iverksette for å ivareta personvernet til brukeren. De anbefaler også at denne type teknologi ikke fanger opp innholdet i kommunikasjonen til brukeren (som tekstmeldinger eller innhold i e-post) på grunn av en private karakteren til denne type innhold.

Om Berlingruppen
Berlingruppen er en internasjonal sammenslutning av datatilsynsmyndigheter organisert under the International Conference of Data Protection and Privacy Commissioners. Gruppen møtes to ganger årlig og består av tilsynsmyndigheter, andre nasjonale myndigheter, internasjonale organisasjoner og forskere innen personvernfeltet fra hele verden.

Gruppen produserer anbefalinger som er veiledende for tilsynsmyndighetene på ulike teknologifelt, med hovedfokus på ulike internettrelaterte saker. Skytjenester, Big Data, overvåkning fra luften og kroppsnær teknologi er eksempler på temaer som Berlingruppen har kommet med anbefalinger for de siste par årene. Du finner en komplett oversikt over anbefalinger gruppen har kommet med siden oppstarten i 1983.

Diskusjonene er allerede godt i gang, og vi ser fram til to produktive personverndager i et kaldt men vårlig Oslo.

EUs arbeidsgruppe for personvern, Artikkel 29-gruppen, var samlet i Brussel da enigheten mellom EU og USA var et faktum. Også vi i det norske Datatilsynet møter i denne gruppen, og vi fikk inn i møtet de første opplysningene om hva avtalen mellom EU og USA inneholdt.

Analysen av hva som ligger i denne nye enigheten vil nå starte.

Kjernespørsmålet er kanskje rett og slett: Vil EU – U.S. Privacy Shield oppfylle EUs krav?

Vil EU – U.S. Privacy Shield oppfylle de fire garantiene som Artikkel 29 mener gir et tilstrekkelig beskyttelsesnivå? Det er det avgjørende spørsmålet.

Arbeidet vil starte så snart vi ser selve avtalen mellom EU og USA. Det er vanskelig å si at alt har gått i orden uten å ha sett konkret hvilke lovnader som USA har kommet med overfor Europa.

Artikkel 29-gruppen har utformet fire grunnleggende garantier som må være oppfylt for at personvernet skal være ivaretatt av en ny avtale (min oversettelse):

1. Behandling av personopplysninger må være basert på klare og tilgjengelige regler. Dette betyr at alle som er rimelig informert skal kunne forutse hva som kan skje med hennes/hans opplysninger om de blir behandlet av statlige myndigheter inkludert overfør til andre.
2. Behandlingen må være basert på nødvendighet og forholdsmessighet for det aktuelle formålet. Det må med andre ord være balanse mellom formålet med innsamlingen og behandlingen (ofte omtalt som nasjonal sikkerhet) og rettighetene til den enkelte.
3. En uavhengig tilsynsmekanisme må være tilgjengelig og den må være upartisk og effektiv. Dette kan enten være en domstol eller en annen uavhengig instans, så lenge den har tilstrekkelig fullmakter til å gjennomføre nødvendig kontroll.
4. Det må være effektive rettsmidler tilgjengelig for den enkelte registrerte. Alle skal ha rett og mulighet til å kreve egne rettigheter hos et uavhengig organ.

Disse garantiene gjelder selvfølgelig ikke bare overføring til USA, men også alle andre tredjeland. Det vil si land utenfor EU/EØS eller land som EU mener har gode nok regler og rutiner for beskyttelse av personopplysninger.

Enigheten kom så å si innenfor den tidsramme som Artikkel 29-gruppen hadde gitt som ytre ramme for forhandlingene mellom USA og EU. Etter 31. januar var det enighet mellom datatilsynene i Europa om å starte kontroller rettet mot overføring av opplysninger til USA om det ikke ble noen avklaring på hva som kom til å skje etter Safe Harbor avtalens endelikt.

Det er nedlagt betydelig innsats fra EU og USA for å søke en løsning innen utgangen av januar 2016, og det blir interessant å se om de ha lykkes i å lage et system som er godt nok. Politisk mener EU-kommisæren for justis, forbrukersaker og likestilling, Vera Jourova, at de har det. Så får tiden vise om det er tilfellet når analysen er klar.

Kommisær Jourova forklarte noe om hva som ligger i enigheten. Jeg oppfattet at målet med forhandlingene var å se om det var mulig å kompensere for de mangler i Safe Harbor-avtalen som EU-domstolen pekte på i Schrems-saken, da Safe Harbor-avtalen ble kjent ugyldig. Blant annet pekte dommen på mangel på forutberegnelighet for hva amerikanske myndigheter kan gjøre med opplysninger som er overført til USA og mangelen på mulighet til å klage eller på annen måte angripe en innsamling og behandling av opplysningene.

På amerikansk side skal det blant annet opprettes en ombudsordning for å sikre klagemulighet for enkeltindivider. Ordningen skal ligge under det amerikanske State Department, og etter hva jeg oppfattet rett under Secretary of State for å sikre tilstrekkelig gjennomslagskraft. I tillegg vil Federal Trade Commission (FTC) kunne ta klager til behandling som tidligere. Svakheten med FTC er at de ikke er forpliktet til å ta klager opp til behandling. Det vil si at den enkelte ikke har noen effektiv klagemulighet, noe Europa mener må komme på plass.

Etterretningsorganisasjoner skal videre «prioritere å samle inn opplysninger om konkrete personer» og ikke masse-innhente opplysninger om «alle» («bulk collection»). Flere har kritisert denne formuleringen. Den sier egentlig ikke så mye om hva som kan skje med opplysningene. Det er en forbedring fra tidligere, da ingen visste noe om hva etterretningsorganisasjonene gjorde med opplysninger om ikke-amerikanere, men den er fortsatt uklar. Hvem skal for eksempel foreta vurderingen av hva som skal prioriteres? Om det er etterretningen selv, er det en klar svakhet.

Her avventer jeg den endelige konklusjonen til vi har sett hva avtalen sier – noe som tar noen uker å få skrevet ned, ifølge kommisær Jourova.

Analysen som nå skal gjøres vil også omfatte de andre rettelige grunnlagene for overføring av opplysninger til tredjeland – inkludert USA. Vil EUs standardkontrakter (Standard Contractual Clauses (SSC)) og Binding Corporate Rules (BCR) fortsatt være gyldige grunnlag for overføring av opplysninger, eller vil de måtte modifiseres i tråd med det nye Privacy Shield? Eller vil det være umulig å skape rettslige gode rammer for overføring av opplysninger til USA uten mer radikale endringer i amerikansk lovgivning?

For norske virksomheter er dette det viktigste: Frem til Artikkel 29-gruppen har sett på dette, gjelder det samme som etter at Safe Harbor-avtalen ble kjent ugyldig.

Kjernespørsmålet er kanskje rett og slett: Vil EU – U.S. Privacy Shield oppfylle EUs krav?

For norske virksomheter er dette det viktigste å vite: I tiden frem til Artikkel 29-gruppen har sett på dette, gjelder det samme som etter at Safe Harbor-avtalen ble kjent ugyldig. Standardkontrakter fra EU og binding corporate rules er fortsatt rettslige grunnlag for overføring.

Det er planlagt et ekstraordinært møte i Artikkel 29-gruppen i mars for å ta stilling til hva som skal skje videre fremover.

Kort oppsummert: Så kjedelig det enn er, er vi her nødt til å vente og se hva som blir det rettslige bildet i EU på dette området.

Som direktøren vår har skrevet om, kom endelig teksten til en etterlengtet personvernforordning 15. desember 2015. Det er en del formelle runder som gjenstår før forordningen er helt ferdig, men vi har nå oversikt over hva som kommer til å styre personvernet i årene fremover.

Alle direktørene i de nasjonale europeiske datatilsynene var samlet i Brussel i går og diskuterte noen elementer av den nye forordningen. EU-kommisjonen var også der og snakket om hva som var oppnådd på personvernets vegne.

Det første de trakk frem var at samtykke var styrket – eller presisert er kanskje en bedre beskrivelse. Fortalen til forordningen krever at samtykke ikke kan være implisitt – det må en aktivitet til fra den som samtykker sin side. Jeg er spent på hva som blir nedre grense for hva som kan utgjøre en slik «samtykkeaktivitet». Det skal praksis avklare, og det blir viktig for oss som tilsynsmyndigheter å følge opp. Det blir alle personers første og siste skanse for medbestemmelse og påvirkning av eget personvern.

Fortalens punkt 25:
«Consent should be given by a clear affirmative action establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to personal data relating to him or her being processed, such as by a written, including electronic, or oral statement.»

Det andre temaet som ble nevnt var muligheten til å ilegge sanksjoner, og da typisk i form av overtredelsesgebyr. Det er ikke alle tilsynsmyndigheter som har denne muligheten i dag. Datatilsynet i Norge har det, en mulighet vi har brukt i de mest alvorlige sakene og saker hvor vi mener det er viktig at det kommer en synlig reaksjon i tillegg til en korrigering.

Det EU-kommisjonen sa om dette var interessant. De sa at det var bra at gebyrnivået nå var besluttet, og at nivået nærmet seg det som gjelder for konkurransemyndighetene. Mitt inntrykk er at de var godt fornøyd med akkurat dette.

Jeg trekker ut av det de sa at brudd på personvernreglene nå stiller i samme klasse som brudd på konkurransereglene.

Det som blir spennende, er hvilket nivå personvernmyndighetene legger seg på i Europa når det gjelder overtredelsesgebyr når lovverket nå tillater at vi gir gebyrer på inntil fire prosent av et selskaps årlige, globale omsetning.

Nå har alle datatilsynsmyndighetene samme utgangspunkt med likt regelverk, og jeg kan ikke skjønne annet enn at nivået på gebyrene også må være likt i hele Europa.

Alle må nå forholde seg til en praksis som i lagt større grad vil være farget av hva som gjøres i andre land. Slik jeg oppfattet EU-kommisjonen, ser de for seg at reaksjonene skal ligge opp mot nivåene som konkurransemyndighetene bruker. Det betyr for mange datatilsynsmyndigheter i Europa at de kan komme med betydelig strengere reaksjoner i fremtiden.

• Se også Bjørn Erik Thons innlegg: – Enighet om nye personvernregler i EU
• Ny forordning for personvern gir flere rettigheter  (datatilsynet.no)

Jeg var så heldig nå i vår å få være med i International Visitor Leadership Programme (IVLP) i regi av State Department i USA, et tre ukers program om personvern og informasjonssikkerhet i USA. Det er ikke mulig å reise til USA og ha personvern og informasjonssikkerhet som tema uten at det er noe høyteknologi på programmet. Vi besøkte tre selskaper i tillegg til statlige myndigheter i California for å lære mer om hvordan de så på personvern.

Facebook som religion?

Facebook er stort, og kontoret er en by. Ikke bare nesten, det fremstår som en liten norsk by. Som alt annet i Facebook-verdenen er den designet. Området og kontorene er designet av en av de som har bidratt til Disneyworld. Det synes delvis på hovedgaten i «byen», der det ligger restauranter av forskjellige slag, fritidsaktiviteter og verksteder. En egen iskrembar var det selvfølgelig også, det er varme dager i California.  Tanken er at ikke noe skal forstyrre kreativiteten, og alt skal være lett tilgjengelig for de ansatte. De ansatte blir det for øvrig stadig flere av. Da vi var der ble de 100 flere i måneden.

Lite kritisk tenkning

Det er som en egen verden når du kommer inn på Facebook-området. Noen vi traff tok dette mer til seg enn andre, er mitt inntrykk. Hun som var vår guide omtalte det å jobbe der som en religion, og Mark Zuckerberg nærmest som en profet. Det hele ble nesten komisk. Uansett om det skal legges til rette for kreativitet og at alles forslag skal opp og frem, virket det vi fikk høre lite kritisk til egen organisering og betydning. Det å fremstille det som om alle har lik mulighet til å skinne i et firma med så mange ansatte virker for det første lite troverdig, og for det andre som en logistikkutfordring som vil kreve mye tid å realisere. Jeg noterer det i beste fall som en god intensjon.

Facebook som politisk rådgiver

Noe av det vi fikk høre om hos Facebook var innholdsforvaltningen de driver med og hva de gjør for å skape et større publikum for det innholdet som legges inn. De analyserer hvem som leser hvilke innlegg og formen på innleggene. Jeg antar at de ser på hvor lenge brukeren er på det enkelte innlegg. Kunnskapen de får av dette brukes til å gi råd til profesjonelle aktører som har et budskap som de skal ut, og de nevnte politikere som eksempel. Akkurat det skremte meg!

Facebook gir altså råd og bistand til politikere som ønsker å nå ut med sitt budskap. Kunnskapen om hva som skal sies og hvordan dette skal presenteres på har de – og publikum har de. Det ble skremmende å tenke på hva de kan oppnå med kunnskapen de har. De kan rett og slett bestemme hva jeg skal se og høre. Jeg tviler ikke på at de er gode til det, heller – og jeg er ikke på noen måte sikker på at vi som leser alltid evner å ha motforestillinger eller tilstrekkelig kritisk holdning til det som kommer opp som en nyhet på våre Facebook-sider.

Facebook driver også innholdskontroll, for eksempel om noen klager på innholdet. De forsøker å redigere ut innhold som er ulovlig (overgrepstilfeller) eller som er så støtende at de ikke ønsker å identifisere seg med innholdet. De erkjente at det er en vanskelig balansegang. Det er jo egentlig sensur, og kan lett komme i konflikt med ytringsfriheten, som også står sterkt i USA. Det er antagelig nødvendig at de ser på klager som kommer inn og tar bort noe innhold. Utfordringen ligger i at det er forskjellige terskler for hva som oppleves som støtende forskjellige steder i verden. De erkjente at det er en utfordring, men de anså seg selv som pålagt å gjøre dette. Med et skråblikk er det sensur i en viss grad. Og hva som skal sensureres bestemmer de «over there».

Hos Dropbox

Dropbox fremstod som mer ærlige i mine øyne, sammenliknet med Facebook. De hadde som mål å være sikre og transparente, og besøket hos de gav meg et godt inntrykk. De har vokst mye de siste årene, men de forsøkte å bevare noe av «gründer»-følelsen i selskapet. De var opptatt av at alle kundene skulle være informert om deres betingelser i form av vilkår og jurisdiksjonsspørsmål. Disse forholdene kan være kompliserte, og de var også opptatt av utfordringene med å kommunisere om dette på grunn av kompleksiteten.

For å forsøke å holde seg innenfor egne definerte rammer har de fire prinsipper de følger:

1. De skal representere forutberegnelighet og transparens overfor brukerne.
2. De ønsker å beskytte alle brukeres data, ogskiller ikke på amerikanere og andre kunder.
3. De er motstandere av pålagte bakdører for politi og etterretning.
4. De er motstandere av masselagring (bulk collecting) av data – slik som her i Norge var ønsket å gi rom for med det nå avlystee
5. Datalagringsdirektivet..

Hos Mozilla

Mozilla var nok likevel det selskapet som gav best inntrykk på meg. De hadde et mer idealistisk utgangspunkt for sin virksomhet sammenliknet med andre vi møtte. De ønsker at det skulle være mer åpenhet på nettet og at alle som bruker det skal ha en stemme. Dette gjør de også med sine produkter, det mest kjente er Firefox. På sammen måte som mange andre aktører, samler de også inn opplysninger om egne brukere, men de er klare på at dette skal komme brukerne til gode og ikke skje i hemmelighet. Det er etter hva jeg oppfattet mulighet å velge mye av innsamlingen bort. Med andre ordaltså en faktisk mulighet for «opting out» av denne funksjonen.

Jeg synes de også traff spikeren på hodet da de beskrev hva som var den største utfordringen i dag: Avstanden mellom brukernes holdning til eget personvern holdt opp mot brukernes faktiske handlinger. Mange vil ha personvern (data privacy), men det skulle man rett og slett ikke tro om man analyserer hva de gjør.

Ikke overraskende er det fortsatt ikke gratis

Et generelt inntrykk fra de sentrale amerikanske teknologibedriftene jeg besøkte er at det er mye reklamepenger i spill. Annonser finansierer nok mye av virksomheten rettet mot den jevne bruker. Konsekvensen er at de ønsker å vite stadig mer om deg og meg for å kunne tilby skreddersydde kanaler for sine annonsører. Nok en gang må jeg konkludere med at gratistjenester IKKE er gratis på noen måte. De blir derimot dyrere og dyrere i form av at vi betaler med mer og mer opplysninger om oss selv enten vi selv legger det ut eller blir profilert!

Samtidig har jeg inntrykk av at temaet personvern også har bedre vilkår i USA enn på mange år, slik Bjørn Erik Thon skrev om i et blogginnlegg nylig. Eksempelet er Mozilla, som tenker at personvern være en del av tjenesten de tilbyr (se vår rapport Tilstand og trender 2015 for mer om personvern som konkurransefaktor (pdf)). Det kan være uttrykk for at presset fra Europa nytter når vi ser på vilkår og funksjoner som er implementert i Facebook og Google den siste tiden. Ikke dermed sagt at vi er i mål.

Den europeiske arbeidsgruppen  Article 29 Working Party, som gir råd og veiledning om implementering av personverndirektivet, har kommet med felles retningslinjer for hvordan EU-domstolens avgjørelse i den såkalte Google-saken skal tolkes. EU-domstolen fastslo i avgjørelsen som ble avsagt 13. mai 2014 at europeiske borgere har rett til å gå til søkemotorer etablert i Europa og be om å få søketreff fjernet.

Det har vært usikkerhet om individer kan kreve søketreff fjernet kun fra nasjonale domener (.no) eller om de også kan kreve søketreff fjernet fra internasjonale domener (.com). Fjerning fra nasjonale domener kan gi begrenset virkning for «retten til å bli glemt», fordi internettbrukere i så fall kan velge å bruke et internasjonalt domene for å finne informasjonen de søker etter om personen.

Arbeidsgruppen legger til grunn at søketreff skal fjernes også fra relevante .com-domener. Hva «relevante» domener betyr, er ikke nærmere forklart. Men sikkert er det at Google og andre søkemotorer ikke kan nøye seg med å fjerne søketreff kun fra nasjonale EU-domener, som .no, .se, og så videre.  Arbeidsgruppen uttaler i en pressemelding at dette er nødvendig for å sikre reell beskyttelse av personvernet.

Uttalelsene fra arbeidsgruppen er rådgivende, men de blir generelt tillagt stor vekt fordi de gir uttrykk for personvernmyndighetene i Europas felles tolking av personverndirektivet.

Hva skal til for å få fjernet et søketreff?
Søketreff på Google eller andre søkemotorer kan si noe om hva vi har gjort og hvem vi er. Arbeidsgivere, naboer, venner, familie og bekjente kan finne ut mye om oss ved hjelp av søkemotorene. Noen personer står det mye om på nett – andre lite. Felles for alle er at vi hittil har hatt relativt liten innflytelse over hvilke søketreff som skal vises på søkemotorene når noen søker etter treff på navnet vårt.

Søketreff kan nå kreves fjernet, såkalt avindeksering, dersom personopplysningene som søketreffet viser er feilaktige, misvisende, irrelevante eller utdaterte. De kan også kreves fjernet dersom personopplysningene er belastende eller klart private.

Internettbrukeres mulighet til å finne informasjon på nett skal likevel i ethvert tilfelle tas i betraktning før et søketreff kan fjernes. Retten til å spre og dele informasjon er viktig. Dersom søketreff har allmenn interesse, typisk fordi de forteller noe om en person som har eller har hatt en offentlig rolle, kan det hende man ikke får fjernet dem. Dette skal vurderes konkret.

Kriterier for å vurdere krav om fjerning av søketreff
Man må først sende en anmodning til Google eller andre søkemotorer og be om å at søketreff om seg skal fjernes. Personer som ikke får medhold hos Google eller andre søkemotorer, og som er uenig med søkemotoren i at søketreffet har offentlig interesse, kan klage til datatilsynsmyndighetene i sitt land.

Arbeidsgruppens kriterier tar for seg hvordan datatilsynene i Europa skal behandle enkeltsaker som klages inn til tilsynene. 13 kriterier skal brukes for å vurdere om vilkårene for å fjerne et søketreff er til stede. Kriteriene må ses samlet, ingen av dem skal enkeltvis kunne avgjøre utfallet av en sak. Stikkord er: den registrertes rolle i det offentlige liv, opplysningenes sensitivitet, den registrertes alder, opplysningenes egenart (fakta eller meninger), personopplysningenes alder.

Her finner du kriteriene fra arbeidsgruppen

Enhetlig og effektiv beskyttelse av personvernprinsippene
Arbeidsgruppen uttaler følgende hovedpunkter om «retten til å bli glemt» i en pressemelding datert 26. november 2014:

• Saker om avindeksering av søketreff skal løses enhetlig innenfor EU
• Alle personer med klar tilknytning til EU kan kreve søketreff om seg avindeksert – for eksempel innbyggere eller personer bosatt i EU-land
• Avindeksering skal få virkning for alle relevante domener, også .com-domener
• Søkemotorer skal ikke rutinemessig informere webmastere om at søkeresultater knyttet til deres nettsider har blitt fjernet
• Retningslinjene består av 13 kriterier som skal benyttes i en helhetlig vurdering av om et søketreff kan fjernes
• Et krav om fjerning av søketreff må hele tiden vurderes opp mot internettbrukeres interesse i å finne informasjon som har offentlig interesse

Her finner du pressemeldingen

Er Google-avgjørelsen en trussel mot informasjonsfriheten?
Google-avgjørelsen blir av enkelte sett på som en trussel mot fri tilgang til og deling av informasjon. Det er en berettiget innsigelse. Ytrings- og informasjonsfriheten har imidlertid aldri vært absolutt. Den må ses i lys av andre grunnleggende rettigheter. Vår rett til å henvende oss til søkemotorer og be om å få søketreff fjernet innebærer ikke at informasjon forsvinner fra internett eller at den ikke kan gjenfinnes ved bruk av søkemotorer. Den gir kun individet rett til å kreve at enkelte søketreff ikke lenger skal dukke opp ved navnesøk.  Dette vil være informasjon som er feilaktig, misvisende, irrelevant eller utdatert, eller informasjon som er belastende eller klart privat. For denne typen opplysninger, står ytringsfriheten uansett ikke sterkt.

Google-avgjørelsen stadfester vår rett til innflytelse over hva slags informasjon som skal fremgå av vår «elektroniske CV» på søkemotorer. Det er bra, både for ytringsfriheten og for personvernet.

Personvernutfordringene knyttet til apper er i hovedsak at mange apper har tilgang til personopplysninger de strengt tatt ikke trenger (typisk lommelykt-app med tilgang til kontaktlisten din). I tillegg gir mange apper brukeren lite eller ingen informasjon om hvordan appen bruker personopplysninger og i liten grad mulighet for at brukeren selv kan administrere appens bruk av egne personopplysninger.

Mobilsikkerhetsselskapet Lookout Mobile Security er en av aktørene som holdt innlegg på konferansen. Selskapet har spesialisert seg på sikkerhet i apper. Selskapet mener at dårlig personvern er et design-problem.  De oppfordrer utviklere av apper til å tenke personvern fra start og å unngå å ”overraske” brukerne ved å samle inn informasjon brukeren ikke er klar over. Lookout sier at personvern er lønnsomt; ved å skape tillitt til en tjeneste øker man betalingsviljen til brukerne.

App-deklarasjon

Medlemslandene på konferansen har blitt enige en deklarasjon som ble publisert i dag. Målet med deklarasjonen er å bidra til at apper ivaretar personvernet til brukerne på en bedre måte. Deklarasjonen uthever følgende punkt:

• Appen bør gi tydelig og forståelig informasjon om bruken av personopplysninger. Brukere bør kunne selv bestemme hvilken informasjon som skal deles med andre og for hvilke formål.
• For at app-utviklere skal kunne følge kravene i eksisterende personvernregelverk, samtidig som de sikrer mest mulig funksjonelle apper, er det viktig at de følger stegene for innebygd personvern fra starten av utviklingen.
• Aktørene bak operativsystemene (for eksempel Google med Android og Apple med iOS) bør styrke personvernkravene til appene som tilbys via sine plattformer. De bør også vurdere å innføre personvernmerkeordninger eller lignende for å gjøre det lettere for brukeren å vurdere personvernet i ulike apper.

Personvernmyndighetene som var tilstede var enige gjøre en ekstra innsats i året som kommer for å spre kunnskap og bevissthet rundt personvern blant både i app-sektoren og blant brukere av apper. Se også vår rapport om apper og personvern fra 2011.