Forslag til kommunikasjonsvernforordning

Forslag til forordning frå Det europeiske parlament og Rådet om respekt for privatliv og beskyttelse av persondata i elektronisk kommunikasjon

Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 06.06.2017

Spesialutvalg: Kommunikasjoner

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Samferdselsdepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester

Kapittel i EØS-avtalen:

Status

Forslag til forordning vart lagt fram av EU-kommisjonen 10. januar 2017. Det er no til handsaming i Rådet og Europaparlamentet. Forslaget var tema i spesialutvalet for kommunikasjonar sitt møte 24. mars 2017.

Samandrag av innhald

Formål

Målet med revisjonen av regelverket og den foreslåtte forordninga er å sikre effektiv og god beskyttelse av konfidensialitet, effektiv beskyttelse mot reklame ein ikkje har bede om, og harmonisering, forenkling og oppdatering av regelverket. Dette skal sikrast ved å oppdatere reglane i tråd med den teknologiske utviklinga og utviklinga i marknaden, og ved å tilpasse regelverket til personsvernforordninga frå mai 2016 som trer i kraft i mai 2018.

Rekkevidde

Bruk av elektronisk kommunikasjon avdekker ei rekkje opplysningar som er knytt til den enkelte disponent. Dette kan vere informasjon om geografisk bevegelsesmønster, kontaktnett og liknande opplysningar som rører ved den enkeltes private sfære og personlige integritet. Forordninga skal gjelde for handsaming av opplysningar som kjem fram i samanheng med tilbod og bruk av elektroniske kommunikasjonstenester og informasjon om sjølve bruken av terminalutstyret til sluttbrukarar.

Innhald

Kapittel 1 inneheld generelle føresegner, inkludert formål, rekkevidde og definisjonar.

Kapittel 2 inneheld føresegner som skal sikre konfidensialitet ved elektronisk kommunikasjon, reglane for prosessering/behandling av kommunikasjonsdata, inkludert reglar for lagring og sletting av data, reglar for informasjonen i og knyta til sluttbrukarar sitt terminalutstyr, reglar for sluttbrukarar sitt samtykke, reglar for programvareleverandørar sine plikter og til slutt reglar for medlemsstatar sine moglege avgrensingar av plikter og rettar etter artiklane 5-8.

Kapittel 3 inneheld mellom anna rettane sluttbrukarar har til å kontrollere sending og mottaking av elektronisk kommunikasjon for å beskytte sin personlige integritet, under dette rett til anonymitet med avgrensingar av retten, moglegheita til å avgrense mottak av uønskte oppringingar, reglar for tilgang og bruk av sluttbrukar sin informasjon i telefonkatalogar/nummeroppslagstenester, og vilkår for direktemarknadsføring.

Kapittel 4 inneheld reglar for tilsyn og kontroll.

Kapittel 5 inneheld reglar for rettsmiddel for sluttbrukarar og reglar for sanksjonar. 

Dei foreslåtte endringane i den nye kommunikasjonsvernforordninga inkluderer

  • like krav til sikkerhet, konfidensialitet og brukarrettar til nye, digitale internettbaserte kommunikasjonstenester, såkalla Over-The-Top-tenester (OTT-tenester) som WhatsApp, Facebook, Messenger og Skype, som til tradisjonelle ekomtilbydarar.
  • endring til samtykke frå brukaren til at informasjonen som blir etterlaten kan delast med tredjepart gjennom innstillingar i teminalutstyret. Dette går i retning av ei "opt in-løysing" i staden for ei "opt out-løysing" for bruk av informasjonskapslar ("cookies").
  • endring frå dagens ordning med valfrihet med reservasjonsrett (opt-out) til krav om aktivt samtykke og reservasjonsrett (opt-in). Etter forslaget må alle personar gi aktivt samtykke til å vere med i nummeropplysning. Alle selskap kan reservere seg.
  • plassering av tilsynsansvar. I forslaget legg kommisjonen opp til at same organ skal vere tilsynsmyndigheit for kommunikasjonsvernforordninga som for personvernforordninga. I Norge er det Datatilsynet.

Merknadar
Rettslege konsekvenser

Forslaget til forordning fører, dersom det blir vedteke, til behov for fleire endringar i ekomloven. I tillegg vil det sannsynlegvis oppstå behov for endring i marknadsføringsloven (§ 15).

Økonomiske og administrative konsekvensar

Ei utviding av virkeområdet til å omfatte all prosessering (innhenting, lagring og bruk) av elektronisk kommunikasjonsdata i samband med levering og bruk av elektroniske kommunikasjonstenester, under dette eit breitt spekter av nye digitale tenester, OTT og programvareleverandørar m.v., vil gi både økonomiske og administrative konsekvensar for norsk næringsliv. Dette må greiast ut nærmare når endeleg forordning er vedteken.

Utvidinga av virkeområdet vil også utvide myndigheitsansvaret fordi nye tenester og pliktsubjekt blir inkludert. Det ville kunne ha ført til behov for auka ressursar for ansvarleg tilsynsmyndigheit etter gjeldande kommunikasjonsverndirektiv, Nasjonal kommunikasjonsmyndigheit (Nkom). Ressursbehovet vil kunne auke ytterlegare dersom tilsynsmyndigheita blir flytta frå Nasjonal kommunikasjonsmyndigheit til Datatilsynet i tråd med forslaget til ny forordning. Dette må greiast ut nærmare når endeleg forordning er vedteken. Eventuelle økninger i ressurser til Nkom eller Datatilsynet vil måtte vurderes i de ordinære budsjettprosessene.

Sakkyndige instansar sine merknadar

Saka er behandla i spesialutvalet for kommunikasjonar.

Nasjonal høyring

Forslaget har vore send på alminneleg høyring, og departementet fekk 26 høyringssvar.

Advokatforeningen meiner at forslaget til ny forordning gjer at også vern av innhald kan sikrast gjennom sletting eller presisering, og stiller spørsmål ved om det er mogleg å anonymisere kommunikasjonsdata som er innhald.  Foreininga meiner derfor at all kommunikasjon som er innhald bør slettast framfor å blir anonymisert, for å unngå at innhaldet kjem på avvege eller risikerer å blir brukt i strid med reglane elles.

Advokatforeningen meiner vidare at konsekvensutgreiinga frå EU-kommisjonen ikkje i tilstrekkeleg grad har kasta lys over eventuelle uheldige konsekvensar av å endre tilsynsmyndigheit, og foreininga meiner derfor det er nødvendig å arbeide for i endring som gjer det mogleg å bevare tilsynsmyndigheitkompetansen hos nasjonal ekommyndigheit dersom ei nasjonal konsekvensutgreiing skulle vise at tilsynsoppgåvene framleis bør vere ei oppgåve for ekommyndigheita. 

Barne- og likestillingsdepartementet (BLD) vurderer at artikkel 16 i den foreslåtte forordninga om direkte marknadsføring ved elektronisk- og telefonisk kommunikasjon ikkje krev materielle endringar i norsk rett.

BLD meiner forordninga avgrensar dei nasjonale myndigheitene sitt handlingsrom ved å stenge for ei "opt-in"-løysing for telefonmarknadsføring (førehandssamtykke), og meiner dette er uheldig. BLD meiner det ikkje er nokon grunn til å ha eit så strengt skilje mellom kva for eit system som skal leggjast til grunn for dei ulike marknadsføringskanalane, og meiner medlemsstatane bør kunne velje eit system for førehandssamtykke om dei vurderer at det er behov for dette og at omsynet til eit enkelt og klart regelverk også talar for at det bør vere mogleg å innføre same system for dei ulike marknadsføringskanalane. Difor meiner BLD at artikkel 13 nr. 3 i gjeldande kommunikasjonsverndirektiv, som gir medlemsstatane kompetanse til å avgjere korleis telefonmarknadsføring skal regulerast, bør vidareførast.

BLD meiner det er viktig at det vert sikra at forordninga ikkje stengjer for at medlemsstatane på nasjonalt nivå kan vedta reguleringar for å imøtekome leads-problem, eventuelt vurdere om det er hensiktsmessig at forordninga tek opp denne problematikken.

BLD meiner til slutt at det bør vere opp til medlemsstatane å velje tilsynsmyndigheit etter forordninga, og under dette at medlemsstatane sjølv bør velje tilsynsmyndigheit for direkte marknadsføring. 

Broadnet ser positivt på at det vert foreslått å gå frå eit direktiv til ei forordning, for å gjere regelverket meir føreseieleg og sikre meir likeverdige konkurranseforhold på tvers av landegrensene, og også positiv til at reglane vert sette i samanheng med personvernforordninga. Vidare er Broadnet også positive til at EU-kommisjonen utvidar moglegheitene til å bruke metadata til nytte for selskap, forbrukarar og samfunnet som heilheilt, og er eining med kommisjonen at informert samtykke er ein nødvendig føresetnad for annen kommersiell bruk av metadata enn til å gjennomføre kommunikasjonen. Broadnet støttar forslaget om å underlegge såkalla OTT-tenester same krav som tradisjonelle ekomtenester, både av omsyn til likebehandling av marknadsaktørar og omsyn til forbrukarar.

Broadnet støttar forslaget om å overføre tilsynskompetansen frå Nasjonal kommunikasjonsmyndigheit til Datatilsynet, fordi selskapet meiner den sektorovergripande fagmyndigheita har betre faglege føresetnader for å følgje opp regulatoriske krav som ligg i kjernen av personvernet, fordi det meiner det er ein styrke at same myndigheit forvaltar personvernforordninga og kommunikasjonsvernforordninga, og fordi det meiner det er enklare og ressursbesparande for bransjen å forholde seg til eitt tilsynsorgan.

Datatilsynet er einig med kommisjonen at det er nødvendig med eit oppdatert regelverk som vernar alle borgarar sin kommunikasjon uavhengig av kva plattform dei måtte nytte og støttar eit regelverk som stiller krav til kommunikasjonsvern for OTT-tenester og IoT-tenester, og meiner at dagens regelverk ikkje har vore tydeleg nok når det gjeld regulering av teknologi som gjer det mogleg å spore borgarane si atferd på nett. Datatilsynet meiner derfor det er viktig å få på plass tydelegare reglar for behandling av denne typen data som avslører mykje om privatlivet vårt. Under føresetnaden av at nivået på beskyttelsen i det nye regelverket generelt sett blir heva i forhold til i dag, støttar Datatilsynet målet om eit harmonisert regelverk.

Datatilsynet meiner at ei samling av tilsynsansvaret hos Datatilsynet er positivt, og grunngjev dette med å vise til kommisjonen sine utgreiingar som viser at handhevinga av reglane etter kommunikasjonsverndirektivet ikkje har fungert godt nok, og til kommisjonens argument om at harmonisert regelverk vil føre til effektiv etterleving og handheving av regelverket.

Datatilsynet skriv vidare at tilsynet er klare for å ta over tilsynsoppgåver frå Nkom og Forbrukerombudet, men ber om ein analyse av kva ressursar arbeidet krev hos desse organa i dag, i tillegg til kva det kan kome til å krevje som følgje av eit utvida virkeområdet for forordninga. Datatilsynet meiner likevel at artikkel 11 i forslaget til forordning gir eit nasjonalt handlingsrom som departementet bør bruke til å ikkje flytte saksbehandling av søknadar om dispensasjon frå teieplikt frå Nasjonal kommunikasjonsmyndigheit til Datatilsynet.

Datatilsynet meiner inkluderinga av OTT-tenester i virkeområdet er eit stort framsteg for personvernet, og at det er svært positivt at forslaget gir ei tydeleg anerkjenning av at metadata er dekka av kommunikasjonsvernet.

Datatilsynet meiner det finst fleire deler av kommunikasjonsvernforordninga som kan resultere i at borgarane får eit dårlegare vern av kommunikasjonen sin enn det som er tilfelle etter personvernforordninga. Datatilsynet ønsker at norske myndigheiter skal jobbe for at det vert stilt krav om samtykke for å kunne spore enkeltpersonar ved hjelp av berbare einingar sine MAC-adresser. Datatilsynet meiner vidare at hovudregelen for å kunne analysere metadata om enkeltpersonar sin kommunikasjon, som representerer eit betydeleg inngrep i borgarane si private sfære, bør vere samtykke på like line med krava som vert stilt for å analysere innhaldsdata. Datatilsynet meiner også at norske myndigheiter skal jobbe for at det vert stilt krav om at maskinvare og programvare skal ha standardinnstillingar som gjer at urettmessig inngrep automatisk blir forhindra og for et forbud mot «tracking walls».

IT-politisk råd i Den Norske Dataforening deler kommisjonens vurdering av at det er nødvendig med særregulering av kommunikasjons- og personvern i digitale tenester, og at den nye personvernforordninga ikkje fullt ut kan dekke behovet.

IT-politisk råd peikar på at virkeområdet til forordninga er utvida samanlikna med kommunikasjonsverndirektivet, fordi kommunikasjonstenester som e-post, videosamtalar og chat levert over internett er omfatta, og fordi tenester der kommunikasjonen berre er ein mindre del vert omfatta. IT-politisk råd meiner at virkeområdet derfor blir svært omfattande, og er redd for at særregelverket og moglegheita for høge sanksjonar vil hindre innovasjon og inkludering av enkle kommunikasjonstenester innan t.d. spel og kontorstøtteprogramvare. IT-politisk råd anbefaler derfor ein klarare og snevrare avgrensing av virkeområdet mot tenester der kommunikasjon mellom brukarar inngår som ein mindre del. Også den generelle utvidinga av virkeområdet byr etter IT-politisk råd si meining på utfordringar og gir behov for omfattande informasjonsarbeid frå myndigheitene og investeringar frå leverandørar for å tilpasse seg regelverket.

Vidare meiner IT-politisk råd at det vert lagt opp til omfattande og streng regulering av elektronisk direktemarknadsføring i forslaget til forordning, eit område som også er regulert i marknadsføringsloven og e-handelsloven. IT-politisk råd peikar på at fordi Datatilsynet skal handheve reglane i forslaget til kommunikasjonsvernforordning, medan øvrig regulering framleis skal handhevast av Forbrukerombudet, vil marknadsføringsaktørane kunne møte fleire tilsynsorgan med delvis overlappande kompetanse. IT-politisk råd anbefaler derfor forenkling og harmonisering av regelsetta.

IT-politisk råd er positivt til ei ny tilnærming når det gjeld reglar for cookies og meiner den foreslåtte reguleringa kan synast god, men meiner at også dette inneber ei omfattande utviding av forordninga sitt virkeområde til andre aktørar, og at det derfor også her er viktig med god informasjon til dei aktuelle aktørane før forordninga trer i kraft. 

IT-politisk råd meiner også at kommersiell bruk av IMSI-catchere og IMSI-nummer ikkje bør vere lovleg, og ber departementet arbeide for ei klargjering i forordninga om dette. [SDs merknad: det blir sannsynligvis her vist til fortalen pkt. 25 jf. art 8 som kan tolkast slik at det er "ok" med bruk av IMSI-catchere (også for private aktørar) så lenge det er varsla om dette ved skilt e.l. på det aktuelle området (på same måte som for kameraovervaka område). Teknologien blir brukt i ein del land av kjøpesenter mv. for direkte reklame mv. til besøkande kundar. Problemstillinga har elles også ei side mot anna regulering, slik som frekvensreguleringa, under dette lovleg frekvensbruk og utstyrsregulering. Bruk av frekvensar (IMSI-catching) har som ein føresetnad avtale med dei aktuelle frekvensløyveinnehavarane eller annan heimel. Når det gjelder lovlegheita av slikt utstyr så er IMSI-catcher i dag ikkje CE-merka mellom anna på grunn av at utstyret kan forstyrre anna elektronisk utstyr og derfor ikkje er lovlig omsetningsvare.]

IT-politisk råd meiner at det i utgangspunktet er naturleg at tilsyn etter kommunikasjonsvernforordninga vert lagd til same organ som tilsynet etter personvernforordninga. Samtidig viser IT-politisk råd til at det framleis er mange henvisingar til, og overlappande virkeområde med, den nye Electronic Communications Code som Nkom handhevar og at Nkom er tilsynsmyndigheit etter gjeldande kommunikasjonsverndirektiv. IT-politisk råd peikar på at det også etter innføringa av kommunikasjonsverndirektivet vil vere store avhengigheiter mellom dei to tilsyna sitt arbeid. Særleg peikar IT-politisk råd på at krava til kommunikasjonsvern og teieplikt heng nært saman med sikkerheits- og beredskapslovgivinga i sektoren, og at den nærmare avgrensinga av tilsynsansvar derfor vil bli viktig både for samfunnet og omsynet til føreseielege vilkår for bransjen. Når det gjeld fritak frå teieplikt meiner IT-politisk råd et tida er inne for å revurdere eksisterande ordning, framfor å eventuelt overføre ansvaret uendra til Datatilsynet.

Etterretningstjenesten meiner det er særdeles viktig å oppretthalde det sentrale prinsippet om at medan kommunikasjonsvern og personvern høyrer under EU sin kompetanse, har EU ikkje nokon kompetanse til å regulere utanlandsetterretningstenester si verksemd, og ber norske myndigheiter framheve dette i dialogen med EU om kommunikasjonsvernforordninga. Etterretningstjenesten peikar på at kommunikasjonsvern og personvern er sentrale rettar, men at det ikkje er rettar utan unntak og at det er rettar som i enkelte tilfelle og på bestemte vilkår må vike for omsynet til rikets sikkerheit når dette er nødvendig og proporsjonalt. Etterretningstjenesten meiner derfor det er sentralt at det ikkje vert danna ei rettsoppfatning om at lagring og behandling av kommunikasjonsdata for utanlandsetterretningsformål vert regulert av kommunikasjonsvernforordnigna. I tråd med dette legg Etterretningstjenesten også til grunn at Datatilsynet ikkje vil få kompetanse som tilsynsmyndigheit for E-tenesta, som vert kontrollert av EOS-utvalet for alle deler av tenesta si verksemd.

Forbrukerombudet er positivt til at forslaget til forordning på fleire område gir eit sterkare forbrukarvern og at også OTT-tenester vert omfatta. Ombudet støttar at forbrukaren skal ha same vern mot elektronisk direktemarknadsføring uavhengig av kva for medium eller teneste som vert nytta. Vidare meiner ombudet at forbrukaren bør ha tilsvarande vern mot telefonisk marknadsføring som for elektronisk post, og at det derfor bør krevjast eit førehandssamtykke for samtlege marknadsføringskanalar, utan rom for unntak. Ombudet viser til at dette både vil sikre sterkare vern og meir effektiv beskyttelse av forbrukarane og eit enklare regelverk for næringsdrivande.

Forbrukerombudet viser til undersøkingar som viser motstand mot telefonmarknadsføring som marknadsføringsmetode og meiner kommunikasjonsvernforordninga bør ha tilsvarande reglar om førehandssamtykke for telefonmarknadsføring som for elektronisk direktemarknadsføring. Forbrukerombudet ber norske myndigheiter jobbe for at hovudregelen om førehandssamtykke også skal gjelde ved telefonmarknadsføring.

Forbrukerombudet har dei siste åra sett ein stor auke i direktemarknadsføring på bakgrunn av såkalla leads, der næringsdrivande hentar samtykke til marknadsføring frå forbrukarar gjennom konkurranse eller spørjeundersøkingar, og der det blir hevda at forbrukarane har akseptert å bli kontakta for marknadsføringsformål ved å akseptere vilkåra for konkurransen eller undersøkinga.  Forbrukarproblema oppstår ifølgje ombodet særleg når slike leads er innhenta via ein tredjepart, på vegne av fleire aktørar. Ombodet meiner forslaget til forordning ikkje løyser forbrukarproblemet som "leads" utgjer og ikkje set nødvendige avgrensingar. Forbrukerombudet ønsker difor at norske myndigheiter arbeider for at det i artikkel 16 punkt 1 blir tatt inn at samtykke til marknadsføringshenvendingar berre kan bli gitt direkte til éin næringsdrivande.

Forbrukerombudet erfarer at mange næringsdrivande ikkje informerer kundane sine om at kontaktopplysningane vil bli brukt til marknadsføring, og at forbrukarane difor ikkje får høve til å reservere seg mot dette når den elektroniske adressa blir samla inn, og vidare at mange næringsdrivande også er av den oppfatninga at adresser dei har fått frå kundar, eller til og med har kjøpt frå andre aktørar, fritt kan brukast til marknadsføring. Ombodet erfarer også at ein stor del av næringsdrivande sender ut marknadsføring på bakgrunn av eit enkeltkjøp av ei vare eller teneste, utan at det er etablert eit kundeforhold. På bakgrunn av at mange aktørar ikkje ser ut til å forstå kva som er dei grunnleggande føresetnadane for utsending av elektronisk post til kundane sine, samt at fleire av vilkåra i føresegna opnar for tolkingstvil, bør unntaket frå hovudregelen om førehandssamtykke for å sende elektronisk post til eigne kundar i art. 16 nr. 2 etter Forbrukerombudet sitt syn fjernast.

Forbrukerombudet ønsker vidare at norske myndigheiter arbeider for at det skal vere obligatorisk å registrere telefonnummer som blir nytta til marknadsføring, slik at det berre kan ringast frå søkbare nummer. I tillegg meiner ombodet at det for telefonmarknadsføring bør bli nytta særskilte nummer. Dette krev endringar i art. 16 nr. 3 og art. 15 nr. 3. Vidare meiner ombodet at norske myndigheiter bør støtte forslaget om å gjere regelverket teknologinøytralt, og arbeide for at det i større grad blir klargjort kva typar marknadsføringsmeldingar som er omfatta av samtykkekravet, særleg i sosiale medier.

Forbrukerombudet meiner det bør vere opp til kvart land å velje tilsynsmyndigheit, og ønsker at norske myndigheiter arbeider for å endre artikkel 18 slik at det er opp til kvart enkelt medlemsland å utpeike kva myndigheit som skal føre tilsyn med reglane i forordninga.

Forbrukerombudet ønsker også at norske myndigheiter arbeider for at det i forordninga blir tatt inn heimel til å fastsetje avgrensingar for kva tidspunkt næringsdrivande kan drive telefonmarknadsføring.

Kommunal- og moderniseringsdepartementet (KMD) viser til kommisjonens forslag om at det er det same uavhengige tilsynsorgan som fører tilsyn med personvernforordninga som skal føre tilsyn med kommunikasjonsvernforordninga og at kapitla VI og VII i personvernforordninga også skal gjelde for kommunikasjonsvernforordninga, og viser til kommisjonens grunngjeving om viktigheita av eit harmonisert regelverk. KMD sluttar seg til forslaget frå kommisjonen og meiner forslaget er godt eigna til å gje betre harmonisering og betre kommunikasjonsvern, og støttar at tilsynsansvaret vert samla hos Datatilsynet.

Lyse Tele viser til at EU-kommisjonen anerkjenner at kommunikasjonsverndirektivet ikkje har halde følgje med den teknologiske utviklinga og at dette gjer at kommunikasjon via internettbaserte tenester ikkje nyt same grad av vern, men meiner EU-kommisjonen vel feil framgangsmåte ved å underleggje OTT-operatørar dei same reguleringane som i gjeldande kommunikasjonsverndirektiv. Lyse grunngjev dette med å vise til at den elektronisk kommunikasjonsmarknaden har lite til felles med marknaden slik han var for 20 år sidan då ekomspesifikk regulering av kommunikasjonsvern vart innlemma i europeisk rett. Lyse meiner vidare at den føreslåtte nye reguleringa allereie snart vil vere utdatert igjen, og meiner derfor at reguleringa burde vore inkorporert i personvernforordninga.

Lyse Tele etterlyser vidare klarheit når det gjeld tilsynsansvar, og åtvarar mot at deling av ansvaret potensielt kan føre til uklare grensedragningar og i verste fall overlappande ansvar.

Lyse Tele meiner til slutt at to andre endringar i reguleringa, forenkling av cookie-regelverket og styrking av reglane rundt unsolicited electronic communications (uønsket elektronisk kommunikasjon), kan vere fornuftige, men at dei ikkje høyrer til i sektorspesifikk regulering men på eit nivå som sikrar harmonisering av marknadsføringsaktivitet på tvers av sektorar.

Nasjonal kommunikasjonsmyndigheit (Nkom) viser først til at forslaget gir sterkare vern for juridiske personar enn gjeldande regulering. Nkom støttar vidare vurderinga til kommisjonen om å halde fast ved sektorspesifikk regulering for konfidensialitet innan elektronisk kommunikasjon.

Til artikkel 1 peikar Nkom på at artikkelen likestiller fysiske og juridiske personar med omsyn til bruk av elektronisk kommunikasjon, mot svakare vern for juridiske personar i gjeldande regulering.

Når det gjeld artikkel 2 viser Nkom til at den inneber ei utviding av virkeområdet til å gjelde all prosessering (innhenting, lagring og bruk) av elektronisk kommunikasjonsdata i samband med levering og bruk av elektroniske kommunikasjonstenester, og at OTT-ar vil bli omfatta og der såkalla "Hotspots" med internettaksess på offentlege stader blir omfatta når tilgangen blir gitt til ei udefinert gruppe. Vidare skal reglane også gjelde for informasjon relatert til sluttbrukar sitt terminalutstyr, noko som fangar opp smarttelefonar der stadig meir prosessering av personopplysningar skjer.

Til artikkel 3 noterer Nkom at forordninga også skal gjelde for elektroniske kommunikasjonstenester der det ikkje blir ytt vederlag, og at dette er eit presisering av gjeldande regulering og tilpassing til nye typar tenester der til dømes reklame eller vidareformidling/sal av innsamla personopplysningar kan vere det som finansierer tenesta. Vidare stiller Nkom spørsmål når det gjeld artikkelen sin del om ein stadleg representant for alle elektroniske kommunikasjonstenester kva eining i EU som skal ha ansvar for å ha en oversikt over og følge opp ei slik registreringsplikt overfor alle OTT-tenester som blir tilbydde i samlege EU-land. Nkom meiner at ei slik eining også bør påleggast ei rettleiingsplikt overfor stadleg representant.

Når det gjeld definisjonane i artikkel 4 meiner Nkom at dei nye definisjonane av elektroniske kommunikasjonsmetadata og elektronisk kommunikasjonsinnhald er hensiktsmessige definisjonar. Nkom meiner omgrepet "elektronisk mail" burde vore bytt til "elektronisk melding" fordi forordningsforslaget inkluderer alle former for elektroniske meldingar.

I artikkel 6, som listar opp tilfella der behandling av elektroniske kommunikasjonsdata er tillate, meiner Nkom det i artikkelen pkt. 1 a) burde innførast ein referanse til artikkel 3 pkt. 4 i TSM-forordninga  (2015/2120/EU), som regulerer anledninga til å behandle personopplysning i forbindelse med trafikkstyring (nettnøytralitet). Når det gjeld pkt. 2 c) om behandling av kommunikasjonens metadata, som gir nye moglegheiter for aktørane når det gjeld å gjere seg nytte slike data der sluttbrukar har gitt samtykke, viser Nkom til at dette er ei vesentleg endring i forhold til gjeldande kommunikasjonsverndirektiv artikkel 6, jf. ekomloven § 2-7, tredje ledd. Dette er ei tilpassing til nye digitale tenester der gjenbruk av data kan vere del av tenesta og/eller inntektsgrunnlaget. Gjenbruken kan både knytte seg til forretningsutvikling internt i verksemda eller til innsamling og anonymisering før vidaresal av stordata. Nkom viser i den samanhengen til Lysneutvalet sin rapport i NOU 2015:13 «Digital sårbarhet-sikkert samfunn», der det på side 113 blir vist til risiko ved analyse av stordata og kopling mellom ulike informasjonskjelder.

Nkom peikar på at artikkel 6 og 7 i forslaget ikkje inneheld reglar om varsling til myndigheita og/eller abonnent ved kofidensialitetsbrot for personvernopplysningar slik gjeldande kommunikasjonsverndirektiv (artikkel 4, nr. 2 og 3) gjer. Etter reglane i GDPR artikkel 34 skal brot når det gjeld personvernopplysningar varslast "utan ugrunna opphald", medan varsling til tilsynsmyndigheita må skje innan 72 timar. Nkom viser til at forordningsforslaget derfor gir eit dårlegare vern slutbrukarane, fordi tilsynsmyndigheita vil kunne bli varsla seinare og dermed kome seinare i gang med oppfølging av kofidensialitetsbrot, og fordi ordlyden "utan ugrunna opphald" gir rom for større tolking enn når det er sett ein absolutt tidsfrist slik som gjeldande kommunikasjonsverndirektiv har med formuleringa "utan ugrunna opphald og seinast innan 24 timar."

Nkom meiner det er uklart kva som er omfatta av og kva som er bakgrunnen for unntaket i artikkel 8 d) frå hovudprinsippet om at lagring av opplysningar i brukaren sitt kommunikasjonsutstyr ikkje er tillate.

Nkom meiner det er positivt at forslaget til forordning artikkel 9 pkt. 2 stadfester at samtykke kan bli gitt gjennom innstilling i nettlesaren, slik gjeldande kommunikasjonsverndirektiv har vore implementert i norsk rett, fordi bruken av "pop-ups" har vist seg som lite hensiktsmessig fori mange sluttbrukarar har opplevd det som forstyrrande for brukaropplevinga på internett. 

Nkom peikar på at artikkel 10 sine føringar om at sluttbrukar skal måtte velje personverninnstillingar før det blir tillate at installasjonen av programvare blir sluttført, den såkalla "opt-in" løysinga for cookies, i realiteten vil medføre at også programvareleverandørar vil bli omfatta av ny regulering.

Nkom viser vidare til at artikkel 11 vidarefører tilretteleggingsplikta for lovbestemt tilgang til informasjon etter gjeldande kommunikasjonsverndirektiv artikkel 15, jf. ekomloven § 2-8, altså ei vidareføring av anledninga til å fråvike forordninga sine krav til kommunikasjonsvern der det eksisterer anna nasjonalt regelverk innafor spesifikke samfunnsområde.

Nkom peikar på at Artikkel 12 medfører ei endring og utviding av pliktsubjekta i forhold til gjeldande regulering når det gjeld krav til nummervising og reservasjon mot nummervisning, jf. ekomforskriften §6-1, noko som inneber at både tilbydarar av offentleg telefonteneste og nye tenester, slik desse er definert i Code artikkel 2, vil bli omfatta av krav om å kunne tilby nummervising og funksjonalitet for reservasjon mot nummervising. Artikkel 13 og 14 foretar tilsvarande utviding iht. Code artikkel 2.

Nkom meiner artikkel 17 om informasjon om detekterte sikkerheitsrisikoar, slik den er utforma, burde vore flytta over til Code, og peikar på at den også er noko svakare utforma ved at det ikkje blir sagt noko om fristar for å gje informasjon til sluttbrukarane, jf. Nkom sine innspel når det gjeld artikkel 6 og 7.

Når det gjeld artikkel 18 meiner Nkom det framleis bør vere ei nasjonal avgjerd å utpeike relevant nasjonal myndigheit/myndigheiter for oppfølging og tilsyn med konfidensialitet og personvern innan elektronisk kommunikasjon. Gjeldande kommunikasjonsverndirektiv er i hovudsak gjennomført i ekomregelverket med Nkom som tilsynsmyndigheit. Nkom meiner at både globalisering av ekommarkedet, oppkjøp/samanslåing av aktørar og utvikling av nye tenester i marknaden, medfører at vurderingar knytt til kommunikasjonsvern innan elektronisk kommunikasjon blir stadig meir komplekse. Spørsmål om sikring av konfidensialitet og ivaretaking av personvernet er i dag ein integrert del av dei tilsynsoppgåvene som blir ivaretekne av ekommyndigheita. Nkom viser mellom anna til oppfølging av tilbydar si teieplikt ved politi- og påtalemyndigheitene sine oppmodingar om utlevering av trafikkdata og til alle saker med gjennomgang og oppfølging av iverksetting av krav om sikkerheit og stabilitet til tilbydar av elektronisk kommunikasjonsnett og -tenester (både innan leveransar av kommersielle nett og tenester og nasjonale naudnettfunksjonar). Spørsmål om ivaretaking av konfidensialitet er også avgjerande viktig eksempelvis ved vurderingar om løyve til bruk av RCS-tenester (Rich Communication Services) på global basis. Nkom meiner at ekommyndigheita sitt heilskaplege ansvar for tilsyn med sikkerheit, stabilitet og konfidensialitet i ekomtenester og –nett (kommunikasjonsvernet) er det mest føreseielege for ekombransjen, både for tradisjonelle tilbydarar og nye aktørar, og på den måten det det beste utgangspunktet for ei effektiv oppfølging av krava i den foreslåtte kommunikasjonsvernforordninga.

Politidirektoratet har inkludert innspel frå Kripos, og både Politidirektoratet og Kripos er positive til ei regulering av krav til sikkerheit, konfidensialitet og brukarrettar til nye, digitale internettbaserte kommunikasjonstenester på same måte som for tradisjonelle tilbydarar av elektronisk kommunikasjon. Kripos meiner at tilbydarane av desse nye tenestene bør underleggjast same plikta om å tilretteleggje nett og teneste slik at lovbestemt tilgang til informasjon om sluttbrukar og elektronisk kommunikasjon vert sikra, jf. ekomloven § 2-8.

Politiets sikkerhetstjeneste (PST) meiner at det er viktig at norske myndigheiter forsikrar seg om at forordninga ikkje etablerer eit rettsleg hinder for etablering av nasjonal lovgiving angåande datalagring, og viser til tidlegare høyringsuttalar når det gjeld PSTs syn på politiets behov for datalagring. PST viser vidare til slettekrav og krav til samtykke for annan bruk enn teneste- og faktureringsformål, og meiner dette inneber at trafikkdata, både innhalds- og metadata, vil kunne måtta slettast på eit mykje tidlegare tidspunkt enn per i dag. PST meiner derfor det er viktig at Norge nyttar seg av ein eventuell moglegheit til å sjølv lovregulere eigne føresegner for datalagring for formålet kriminalitetsbekjempelse innanfor rammene av EU-domstolens avgjerd om datalagringsdirektivet. PST meiner at det i tilfelle nasjonale føresegner om datalagring med heimel i forordninga, er viktig sett frå eit kriminalitetsbekjempande perspektiv å inkludere OTT-tenester i virkeområdet.

Telenor støttar eit harmonisert regelverk på tvers av EU/EØS, men meiner at det hadde vore vesentleg meir framsynt å avvikle dagens sektorspesifikke regulering og samle all regulering av personvern, inkludert kommunikasjonsvern, i personvernforordninga underlagt eitt tilsyn.

Dersom sektorspesifikk regulering likevel vert vidareført, meiner Telenor det er eit bra forslag å inkludere alle former for person-til-person kommunikasjon.

Telenor meiner imidlertid at EU/EØS går glipp av ei viktig moglegheit til regelverksforenkling ved å vidareføre denne særreguleringa: Elektroniske kommunikasjonsnett og -tenester vert i stadig større grad realiserte basert på generisk informasjonsteknologi og internett framfor dedikert telekommunikasjonsteknologi, og Telenor meiner derfor at det gir lite meining å vidareføre særregulering av akkurat dei offentlege nett og tenester som ber person-til-person-kommunikasjon, men ikkje andre samanliknbare digitale plattformer og tenester (f.eks. app’ar) som formidlar tilsvarande beskyttelsesverdige personopplysingar. I tillegg viser Telenor til at elektroniske kommunikasjonstenester vert stadig tettare integrerte med andre former for elektroniske nett, tenester og funksjonalitet som ikkje let seg definere som person-til-person-kommunikasjon og at "smarte" tenester vert produserte og distribuerte gjennom ulike former for samarbeid mellom fleire leverandørar. Dette gjer det etter Telenor si meining endå meir upraktisk, komplekst og kostbart for alle partar – inkl. regulerande myndigheter – å forholde seg til ulike regelsett, og står i vegen for nyskapande digitale tenester og samhandlingsbasert innovasjon.

Gitt at vidare lovgiving skjer med utgangspunkt i EU-kommisjonen sitt forslag til forordning, meiner Telenor at kommunikasjonsvernforordninga bør bringast mest mogleg i samsvar med personvernforordninga, og berre avvike på punkt som vert sett på som absolutt nødvendige og forholdsmessige. Telenor meiner difor at "legitime interesser" "legitimate interests" må takast inn i kommunikasjonsvernforordninga som et lovlig grunnlag for å handsama metadata, slik som det er i personvernforordninga, og at kommunikasjonsvernforordninga i tråd med personvernforordninga bør anerkjenne retten til å prosessere metadata til andre formål som er kompatible med det opphavelege formålet som dataa blei samla inn for.

Telenor meiner forslaget til forordning i noverande form vil ha som konsekvens at europeiske ekomtilbydarar i framtida blir stilt konkurransemessig vesentleg dårlegare enn aktørar som berre er omfatta av den generelle personvernforordninga, GDPR, når det gjeld moglegheita til å utnytte data både kommersielt og til gavn for storsamfunnet.

Telenor støttar at det skjer en forenkling og framtidsretting i administrasjonen av lovgivinga relatert til person- og kommunikasjonsvern (ePrivacy) og gjerne ein reduksjon i talet på myndigheiter som har ei rolle på dette området. Det viktigaste er likevel ifølgje Telenor at den eller dei myndigheiten(e) som skal forvalte to så krevjande og potensielt overlappande regelverk som personvernforordninga og kommunikasjonsvernforordninga har tilstrekkeleg juridisk og IT/telefaglig kompetanse. Dersom forordninga blir foreslått som vedteke med ei samling av tilsynsansvar hos Datatilsynet, ber Telenor norske myndigheiter vurdere om kompetansen og erfaringa som er bygd opp i Nkom bør overførast til Datatilsynet.

Telia meiner personvernforordninga gir ei hensiktsmessig og balansert tilnærming for å sikre enkeltindivid sitt personvern og samtidig tilbydarane får rimelege moglegheiter til å innovere og utvikle tenester som er nyttige for enkeltindivid og samfunnet, og at det ikkje er behov for ei spesifikk regulering av personvernet knytt til elektroniske kommunikasjonstenester.

Telia meiner vidare at lista over lovlige databehandlingsgrunnlag er for snever til å dekke rimelege behov hos tenestetilbydarane, Telia meiner for eksempel at tenestetilbydarane må ha moglegheit til å nytte allereie innsamla metadata til å sikre hensiktsmessig kapasitet og kvalitet i nettverket, og at det også bør vere mogleg å analysere forbruksmønsteret til ein kunde for å gi anbefalingar om abonnement som er betre tilpassa den enkelte kunde sitt bruksmønster. Begge desse eksempla meiner Telia ville vore tillatne etter "legitim interesse"-kriteriet i personvernforordninga, og at personverninteressene til kundane vert ivaretekne på ein god måte i personvernforordninga gjennom dei generelle personvernprinsippa om dataminimalisering, sikkerheit osv., samt gjennom kundane sin moglegheit til å reservere seg mot behandlinga av data for dei aktuelle formål.

Telia meiner at føresegnene knytt til nummervisning m.m. i artikkel 12-14 er i ferd med å bli utdaterte som følge av den tekniske utviklinga.

Telia meiner at overføring av tilsynskompetanse til eitt organ kan ha ein del fordelar, men meiner likevel at det kan medføre at tilsynsmyndigheitene mister mykje av den sektorspesifikke fagkompetansen Nkom har i dag knytt til sikkerheit og beredskap m,m. Gitt at Nkom skal fortsette å ha tilsyn på desse områda etter ekomloven vil Nkom og Datatilsynet framleis ha dels overlappande tilsynsområde. I ein slik situasjon meiner Telia det er mest hensiktsmessig at Nkom framleis er tilsynsmyndigheit for reguleringa av elektroniske kommunikasjonstenester.

Arbeids- og sosialdepartementet, Helse- og omsorgsdepartementet, Justis- og beredskapsdepartementet, Klima- og miljødepartementet, Kulturdepartementet, Kunnskapsdepartementet, Landbruks- og matdepartementet, Regelrådet, Sametinget og Utanriksdepartementet hadde ingen merknadar i høyringa. Domstolsadministrasjonen ønskjer ikkje å gje svar på høyringa. Riksadvokaten gir ikkje høyringsuttale.

Vurdering

Samferdselsdepartementet støttar formålet med forordninga om effektiv og god beskyttelse av konfidensialitet, effektiv beskyttelse mot reklame ein ikkje har bede om, og harmonisering, forenkling og oppdatering av regelverket.

Departementet er samde med fleirtalet av høyringsinstansar som er positive til ei utviding av virkeområdet til at forordninga også omfattar nye internettbaserte kommunikasjonstenester (Over-The-Top tenester, OTT-tenester). Departementet er skeptisk dersom fortalen 25 jf. artikkel 8 skal forståast slik at informasjon til eller frå sluttbrukar sitt terminalutstyr (IMEI- og IMSI nummer og bruk av blåtann, wi-fi mv.) skal kunne overtakast og/eller avlesast ved bruk av utstyr som IMSI catcher e.l. på grunnlag et avleia "samtykke" som skilting eller annen varsling satt opp i det offentlege rom eller på private område som til dømes kjøpesentre.

Eit godt personvern i dagens samfunn vil avhenge av at den enkelte brukar kan stole på at konfidensialiteten er ivaretatt ved bruken av elektronisk kommunikasjon. Departementet er difor ikkje samde med dei høyringsinstansane som meiner det ikkje er behov for ei eiga regulering av kommunikasjonsvern i elektronisk kommunikasjon, som er ein svært viktig infrastrukturteneste i dagens samfunn.

Departementet er samde med dei høyringsinstansane som understrekar at regelverket ikkje må vere til hinder for ein effektiv kamp mot kriminalitet, men ser òg at dette må vegast mot grunnleggande rettar som person- og kommunikasjonsvern. Departementet meiner unntaka i artikkel 2, punkt 2, sikrar dette.

Departementet ser at personvern- og forbrukarsida representert ved til dømes Datatilsynet og Forbrukerombudet støttar ein utbreidd bruk av samtykke, medan spesielt dei større ekomtilbydarane peikar på at ei slik tilnærming vil hindre dei i å utnytte informasjon om personar sin bevegelse i ein meir kommersiell tenesteutviklingssamanheng. Ein del av sistnemnde tenester kan ha klare samfunnsnyttige sider, slik som kø- og trafikkavvikling. Frå eit forbrukarsynspunkt kan det også peikast på at den enkelte i for stort omfang kan blir tvungen til å ta stilling til om ein skal gje samtykke eller ikkje. Departementet peikar i denne samanheng på at det allereie i dag finst gode løysingar for å handtere slike utfordringar på ein oversiktelig og god måte, jf. for eksempel Googles privacy dashboard eller spesialutvikla app-ar, der alle samtykke kan samlast, trekkast tilbake eller reaktiverast. Departementet meiner elles at det må vere ein balanse slik at kommunikasjonsvernet blir oppretthalde utan at det i for stor grad går utover innovasjon og tenesteutvikling, og ekomtilbydarane sin konkurranseevne.

Norge skal arbeide for at artikkel 15 i forslaget blir endra slik at det framleis kan vere opp til medlemsstatane å velje mellom aktivt samtykke (opt-in) og reservasjonsrett (opt-out) når det gjelder inkludering i nummeropplysningsdatabasar. Norge vil òg arbeide for å endre artikkel 18 i forslaget slik at ein nasjonalt kan få større fleksibilitet på tilsynssida. Det bør blir opp til medlemsstatane å avgjere plasseringa av tilsynsmyndigheit, samtidig som det òg bør leggjast til rette for ei europeisk koordinering etter forordninga.

Det bør i større grad klargjerast i forordninga kva typar marknadsføringsmeldingar (meldingar på sosiale medier mv.) som er omfatta av samtykkekravet i artikkel 16 nr. 1 for elektronisk kommunikasjon. Forordninga bør ikkje stenge for nasjonale reglar som forbyr næringsdrivande å drive telefonmarknadsføring på visse tidspunkt (morgon, kveld, helg, heilagdag). Medlemsstatane bør sjølve kunne bestemme om dei vil ha ei opt-in eller ei opt-out-ordning for telefonmarknadsføring. Forordninga bør ikkje stenge for nasjonale reglar om at telefonmarknadsføring må gjerast med synlig og søkbart telefonnummer. Forordninga bør ikkje stenge for nasjonale reglar for å imøtekome leads-problem, f.eks. at det vert stilt strengare krav til samtykket til å ta imot telefonmarknadsføring.

Konklusjon

Departementet vurderer forslaget som EØS-relevant. Departementet har førebels ikkje teke stilling til om forslaget er akseptabelt.

Innholder informasjon unntatt offentlighet, jf. offl. § 13

Andre opplysninger

Nøkkelinformasjon

Institusjon: Parlament og Råd
Type rettsakt: Forordning
KOM-nr.: KOM(2017)10
Basis rettsaktnr.:

Norsk regelverk

Høringsstart: 02.03.2017
Høringsfrist: 24.03.2017
Frist for gjennomføring:

Lenker