Høringssvar fra Datatilsynet

Dato: 29.09.2020

Svartype: Med merknad

KULTURDEPARTEMENTET

Postboks 8030 DEP

0030 OSLO



Dykkar referanse

Vår referanse

Dato

20/3673

20/02897-2

29.09.2020

Høyringsfråsegn - ny lov om pengespel

Vi viser til departementets høyringsbrev 29. juni 2020.

Datatilsynet ønskjer særleg å knyte merknader til departementets vurderingar i pkt. 21.2.2 i høyringsnotatet og § 40 i lovframlegget. Vi siterer frå framlegget til § 40:

«Behandling av personopplysninger

For å sikre at pengespill skjer på en ansvarlig måte og for å forebygge negative konsekvenser av pengespill, jf. § 1 første ledd, kan enerettsaktørene behandle kundenes personopplysninger gjennom å registrere, analysere og følge opp kundenes spillatferd.»

Behov for å presisere framlegget til § 40

Datatilsynet er positiv til at eit rettsleg grunnlag blir fastsett i lov, jf. personvernforordninga artikkel 6 nr. 1 bokstav e og nr. 3. Så langt vi kan sjå, peikar lovframlegget på formålet med behandlinga, i tråd med kravet i artikkel 6 nr. 3.

Datatilsynet er vidare einig i departementets uttale i høyringsnotatet at det er spelselskapa som er ansvarleg for å følgje personvernreglane, jf. ansvarlegprinsippet i art. 5 nr. 2 i personvernforordninga.

Vi vil likevel oppmode departementet til å presisere det rettslege grunnlaget for behandling av personopplysningar ytterlegare i lova, eller forskriftene til lova. Det er særleg alternativet «følgje opp kundenes spillatferd» i framlegget til § 40, som etter vårt syn bør presiserast nærare.

Vi viser til avsnitt 41 i fortalen til personvernforordninga, som krev at det rettslege grunnlaget for behandling av personopplysningar er tydeleg og presist og at bruken av det skal være «forutsigbar for personer som omfattes av det».

Personvernforordninga artikkel 6 nr. 3 opnar for at det rettslege grunnlaget kan innehalde særlege føresegner for å tilpasse bruken til personvernregelverket. Av eksempla i artikkel 6 nr. 3, vil vi særleg peike på:

- Kva type personopplysningar som skal behandlast

- Framgangsmåte for behandlinga

- Kven personopplysningane kan bli utlevert til og formåla med dette

- Formålsavgrensing

- Lagringsperiode

Vi meiner at personar som speler pengespel mellom anna bør få vite på førehand kor lenge opplysningar om spelemønster blir lagra. Det er også behov for å regulere om opplysningane kan bli utlevert til for eksempel forsking.

Særlege krav til behandling av personopplysningar om spelemønster

I tillegg til dei generelle krava til eit klart og presist rettsleg grunnlag i lova, kjem det at opplysningar om spelemønster er sensitive for dei det gjeld. Opplysningane kan gje indikasjonar på spelarens økonomiske situasjon og helsetilstand. Opplysningane skal dessutan kunne føre til at spelaren for ein periode blir nekta å bruke tilbodet frå einerettsaktørane.

Helseopplysningar og særlege krav i artikkel 9 i personvernforordninga

For opplysningar som blir rekna som særlege kategoriar i personvernforordninga artikkel 9, blir det stilt ekstra strenge krav, både til det rettslege grunnlaget for behandlinga av personopplysningar og til sjølve handteringa av opplysningane. Helseopplysningar er ein av kategoriane som er nemnde i artikkel 9 og som er relevant for å vurdere lovframlegget.

Helseopplysningar er i artikkel 4 nr. 15 definert som

«personopplysninger om en fysisk persons fysiske eller psykiske helse, (…), som gir informasjon om vedkommendes helsetilstand».

Etter Datatilsynets syn, vil opplysningar om spelemønster i visse situasjonar kunne utgjere helseopplysningar. At det er ei medisinsk diagnose å vere speleavhengig, trekkjer i denne retninga. Slik vi les definisjonen i artikkel 4, er det ikkje noko krav om at opplysningane faktisk blir brukt til diagnostisering eller medisinsk behandling, for å bli rekna som helseopplysningar.

Vi registrerer at departementet har vurdert at opplysningane om spelemønster ikkje er helseopplysningar. Departementets vurdering inneber at dei særlege krava etter art. 9 ikkje gjeld. Vi vil likevel gjere greie for pliktene som følgjer av artikkel 9 nedanfor.

Under føresetnad av at opplysningar om spelemønster blir rekna som helseopplysningar, er føresegna i artikkel 9 nr. 2 bokstav g aktuell for å tillate å behandle opplysningane. Vi siterer frå føresegna:

«Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.»

Datatilsynet legg til grunn at unntak frå det generelle forbodet mot behandling av særlege kategoriar av personopplysningar stiller enda strengare krav til eit klart rettsgrunnlag enn det tilsvarande grunnlaget i artikkel 6 nr. 1 bokstav e, som omtalt ovanfor.

Datatilsynet vil vidare peike på vilkåret om at dei nasjonale reglane som opnar for behandlinga må stå i eit rimeleg forhold til dei måla som styresmaktene ønskjer å oppnå med tiltaket. Også utanfor artikkel 9 gjeld det eit generelt krav om at all behandling av personopplysningar må vere forholdsvis, jf. artikkel 5 nr. 1 bokstav b-d.

Dessutan skal dei nasjonale behandlingsreglane vere i samsvar med dei generelle krava til vern av personopplysningar, og dei skal sikre grunnleggjande rettar og fridomar for dei registrerte. Dette inneber at dei pengespellova eller forskrifter bør innehalde særlege tiltak for å verne dei registrerte.

Krav til risikovurdering og vurdering av personvernkonsekvensar i personvernforordninga

I høyringsnotatet har departementet føresett at einerettsaktørane vil ha gode prosessar, for

«risikostyring, avvikshåndtering og revisjoner for behandling av personopplysninger, i tråd med personopplysningslovens krav.»

Datatilsynet har ikkje undersøkt einerettsaktøranes praksis i dag. Vi vil minne om plikta til å risikovurdere personopplysingstryggleiken etter artikkel 32. I tillegg inneber kartlegging av spelemønster ei form for profilering, som truleg gjev plikt til å vurdere personvernkonsekvensar etter artikkel 35.

Vi stiller gjerne på eit møte for å gjere nærare greie for vårt syn.

Med vennleg helsing

Jørgen Skorstad

avdelingsdirektør, jus

Kaja Breivik Furuseth

juridisk seniorrådgiver

Dokumentet er elektronisk godkjent og har difor ingen handskrivne signaturar