3 Personopplysningsvern
3.1 Innledning
Personvernforordningen er inkorporert i norsk rett gjennom personopplysningsloven. Personvernforordningen gjelder for helt eller delvis automatisert (elektronisk) behandling av personopplysninger og ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register, jf. personopplysningsloven § 2.
Personopplysninger er i personvernforordningen artikkel 4 nr. 1 definert som enhver opplysning om en identifisert eller identifiserbar fysisk person. Eksempler på personopplysninger er navn, adresse, telefonnummer, e-postadresse, fødselsnummer og IP-adresse. Også bilder og videoopptak regnes som personopplysninger dersom personer kan gjenkjennes.
3.2 Valg av behandlingsgrunnlag
3.2.1 Innledning
Boligbyggelag, borettslag og eierseksjonssameier som velger å ta i bruk de digitale løsningene dette lovforslaget åpner for, vil behandle personopplysninger. De må derfor forholde seg til kravene i personvernforordningen. Departementet presiserer at det er viktig at boligselskapene implementerer gode rutiner som ivaretar personvernet.
All behandling av personopplysninger må tilfredsstille grunnkravene i personvernforordningen artikkel 5 nr. 1. Det er blant annet krav om at det skal være åpenhet rundt behandlingen, og at personopplysninger skal behandles på en lovlig måte. Personopplysninger kan dessuten bare samles inn for spesifikke og berettigede formål. Det gjelder et grunnleggende krav om dataminimering – det vil si at opplysningene skal være begrenset til det som er nødvendig for formålet. Dessuten skal opplysningene være riktige og oppdaterte i forhold til formålet. Det skal iverksettes tiltak for å hindre at uvedkommende får tilgang til eller kan endre opplysningene. Eksempler på det siste er kryptering og autentisering.
All behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig. Det betyr at det på forhånd må klarlegges om det finnes et behandlingsgrunnlag. Aktuelle behandlingsgrunnlag kan være samtykke eller en nødvendighetsgrunn, jf. artikkel 6 i personvernforordningen. Dersom behandlingsgrunnlaget er en av nødvendighetsgrunnene i artikkel 6, krever personvernforordningen også i en del tilfeller at det må foreligge et supplerende rettsgrunnlag i nasjonal rett. Departementet vil i punkt 3.2.2 og 3.2.3 redegjøre for sitt syn på hvilket eller hvilke behandlingsgrunnlag den behandlingsansvarlige kan basere behandlingen av relevante personopplysninger på.
Forordningen er ment å fullharmonisere reglene om behandlingsgrunnlag – det vil si at den ikke åpner for å fravike reglene i artikkel 6 om behandlingsgrunnlag i nasjonal rett. For bokstav a (samtykke) og bokstav f (interesseavveining) gjelder dette uten unntak. Det innebærer også at lovgiver ikke kan fastsette at en konkret behandling kan baseres på bokstav a eller f. Lovgiver kan imidlertid mene noe om spørsmålet, og utforme annen lovgivning ut ifra en forutsetning om at ett eller flere konkrete behandlingsgrunnlag vil være anvendelige. Departementets forslag i dette høringsnotatet bygger følgelig på en forutsetning om at den behandlingsansvarlige (styret) kan basere sin behandling på et av grunnlagene i artikkel 6.
3.2.2 Digitale generalforsamlinger og årsmøter
Departementet foreslår i kapittel 4 å åpne for at generalforsamling og årsmøte kan gjennomføres helt eller delvis uten fysisk oppmøte. Boligselskapene er behandlingsansvarlige etter personvernforordningen artikkel 4 nr. 7. I praksis vil dette oftest være styret. For det tilfelle hvor generalforsamlingen eller årsmøtet skal avholdes på en digital plattform, kan det være krav om at det inngås en databehandleravtale med den som drifter den tekniske løsningen. Kravene til en slik avtale følger av artikkel 28 i personvernforordningen. En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket, og avtalen skal sette en klar ramme for hvordan databehandleren kan behandle opplysninger.
Digital deltakelse på generalforsamling og årsmøte via møteapplikasjoner og videokonferanseløsninger vil typisk skje ved bruk av en smarttelefon eller en datamaskin. Etter det departementet forstår, varierer det fra løsning til løsning om møtedeltakerne må bruke e-postadresse for å registrere seg, og om de må oppgi navn. Opplysninger om tid og sted for innlogging vil være personopplysninger. I tillegg kan personopplysninger behandles i selve møtet. Hvorvidt personopplysninger blir behandlet i møtet, vil bero på hvilke saker som står på møteagendaen og på hva som skal drøftes. Departementet legger til grunn at det forholdsvis sjelden er aktuelt å behandle personopplysninger på generalforsamlinger og årsmøter. Hvis man ser bort fra at navn og adresser kan være gjengitt i dokumenter, er det i det alt vesentligste tale om det man vil benevne som selskapsinformasjon i form av regnskaper, årsberetninger etc. All informasjon som kan knyttes til en beboer, vil imidlertid være personopplysninger. Et eksempel på dette kan være forslag til styremedlemmer. Også bilder og videoopptak regnes som en personopplysning dersom personer kan gjenkjennes. For at behandlingen av personopplysninger skal være lovlig, må boligselskapet ha et behandlingsgrunnlag.
Den behandlingsansvarlige må selv vurdere hvilket behandlingsgrunnlag behandlingen kan basere seg på. Den behandlingsansvarlige må gjøre denne vurderingen før han eller hun velger applikasjon eller videokonferanseløsning. Departementet vil likevel kort redegjøre for sitt syn på hvilket grunnlag det kan være naturlig å basere behandlingen på.
Samtykke kan være et lovlig behandlingsgrunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav a. Boligselskapet kan med andre ord alltid velge å innhente samtykke til behandlingen. Samtykkegrunnlaget krever imidlertid at den behandlingsansvarlige har et bevisst forhold til personvernforordningens krav til gyldig samtykke, og det er neppe gitt at alle boligselskaper har nødvendig kompetanse til å gjøre dette riktig og vellykket på egen hånd. Samtykkegrunnlaget er dessuten usikkert, i den forstand at det kun er gyldig inntil det trekkes tilbake. Videre er det viktig å påpeke at dersom man som behandlingsansvarlig baserer seg på samtykke som behandlingsgrunnlag for en behandling av personopplysninger, så kan man ikke i ettertid bytte til et annet behandlingsgrunnlag. Som følge av en viss «samtykketretthet» i befolkningen, er det muligens heller ikke alltid et enkelt behandlingsgrunnlag å benytte. Slik departementet vurderer det, vil ikke samtykkegrunnlaget nødvendigvis alltid være veldig egnet. Dette gjelder spesielt for mindre borettslag og sameier, som ikke har profesjonelle forretningsførere til å bistå seg ved utforming, innhenting og dokumentasjon av samtykker.
Personvernforordningen artikkel 6 nr. 1 bokstav f fastslår at behandlingen er lovlig hvis den «er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn». Etter dette alternativet skal hensynet til personvernet veies mot hensynet til den behandlingsansvarliges interesser. Dersom den behandlingsansvarliges interesser ikke er særlig sterke, kan behandlingen bare iverksettes dersom personvernkonsekvensene er små. Dersom personvernkonsekvensene er større, må den behandlingsansvarliges interesse i behandlingen være mer tungtveiende. I hvor stor grad den behandlingsansvarlige iverksetter personvernfremmende tiltak vil derfor ha mye å si. Det handler om å finne en balanse slik at inngrepet i personvernet blir forholdsmessig. I vurderingen kan det legges vekt på en rekke momenter på begge sider. I fortalen til personvernforordningen punkt 47 står det blant annet at det kan foreligge en berettiget interesse når det er «et relevant og passende forhold mellom den registrerte og den behandlingsansvarlige.» At den registrerte er kunde av den behandlingsansvarlige brukes i fortalen som et eksempel på en berettiget interesse. Slik departementet ser det, foreligger det et «relevant og passende forhold» mellom styret og beboerne. Beboerne eier bolig sammen, har mange felles interesser og har valgt et styre til å representere dem og må ha tillit til at styret ikke misbruker personopplysningene. På den behandlingsansvarliges side er det videre særlig relevant å se hen til hvor viktig behandlingen er for den behandlingsansvarlige. Departementet mener at boligselskapene har et berettiget behov for å kunne effektivisere møtene sine, og at behandlingen (derfor) er viktig for boligselskapet. Det følger som nevnt av fortalen til personvernforordningen at det skal tas hensyn til den registrertes «rimelige forventninger» på grunnlag av forholdet til den behandlingsansvarlige. På den registrertes side vil det særlig være relevant å se hen til i hvilken grad behandlingen griper inn i personvernet, og om den registrerte vil ha mulighet til å reservere seg mot behandlingen. Tar man i betraktning opplysninger om e-postadresse isolert, må inngrepet etter departementets syn betraktes som svært beskjedent. De fleste gir fra seg e-postadresse til svært mange og opplysningen er ikke veldig beskyttelsesverdig. Mange deltar i digitale møter i andre sammenhenger. Departementet mener at personvernulempene er så beskjedne at de klart oppveies av gevinstene ved tiltaket, og at boligselskapene derfor kan basere behandlingen på bokstav f.
Departementet har vurdert om behandlingen også kan baseres på artikkel 6 nr. 1 bokstav c, som fastslår at behandlingen er lovlig hvis den «er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige». Slik departementet ser det, vil det imidlertid være tvilsomt om det er «nødvendig» å avholde møtet digitalt når fysisk møte er et alternativ.
3.2.3 Elektroniske meldinger til andelseiere og seksjonseiere
E-postadresse
En e-postadresse er en personopplysning. Samtykke vil være et lovlig behandlingsgrunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav a. Forordningens artikkel 6 nr. 1 bokstav f fastslår at behandlingen er lovlig hvis den «er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn». De fleste gir fra seg e-postadresse til svært mange og vil normalt ikke anse behandlingen av denne opplysningen som spesielt inngripende. Den registrerte kan vanskelig sies å ha en rimelig forventning om at ikke e-postadressen blir brukt, hvis den først er kjent. Departementet mener derfor at boligselskapene kan basere behandlingen på artikkel 6 nr. 1 bokstav f.
Innholdet i e-poster
Svært mye vil kunne utgjøre informasjon om den enkelte beboer. Når en e-post inneholder personopplysninger, vil det også være behov for behandlingsgrunnlag for personopplysningene som inngår i e-posten.
Departementet legger til grunn at e-postene i all hovedsak skal inneholde informasjon som er nødvendig for å utføre lovpålagte oppgaver. Et klart eksempel på dette er innkalling til generalforsamling og årsmøte.
Et annet eksempel, som ikke handler om informasjon knyttet til utførelse av lovpålagte oppgaver, kan være informasjon fra styret om at et vedtatt rehabiliteringsprosjekt skal starte opp, med tilhørende praktisk informasjon om hva beboerne kan forvente av støy, varigheten av arbeidene mv. Et ytterligere eksempel kan være e-postkorrespondanse knyttet til at det skal installeres heis for en beboer med alvorlig funksjonsnedsettelse.
Samtykke vil være et lovlig behandlingsgrunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav a. Dagens regler om elektronisk kommunikasjon i boligbyggelagsloven og borettslagsloven forutsetter at det gis samtykke. Som nevnt i punkt 3.2.1, krever samtykkegrunnlaget at den behandlingsansvarlige har et bevisst forhold til kravene i personvernforordningen. Personvernforordningen artikkel 6 nr. 1 bokstav f fastslår at behandlingen er lovlig hvis den «er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn». Som redegjort for i punkt 3.2.2, skal hensynet til personvernet etter dette alternativet veies mot hensynet til den behandlingsansvarliges interesser. Slik departementet ser det, foreligger det et «relevant og passende forhold» mellom styret og beboerne, jf. også punkt 3.2.2.
Det følger av fortalen til personvernforordningen at det skal tas hensyn til den registrertes «rimelige forventninger» på grunnlag av forholdet til den behandlingsansvarlige. Her vil det særlig være relevant å se hen til i hvilken grad behandlingen griper inn i personvernet, og om den registrerte vil ha mulighet til å reservere seg mot behandlingen.
Etter departementets oppfatning vil personvernulempene i de fleste tilfeller være så beskjedne at de klart oppveies av gevinstene ved tiltaket. Departementet legger til grunn at nødvendig behandling av personopplysninger i e-post vil kunne baseres på bokstav f, og ser følgelig ikke behov for å regulere dette nærmere i boliglovene.
Det er samtidig grunn til å understreke at det er en forutsetning at styrene iverksetter tiltak for å begrense mengden personopplysninger som sendes ut og graden av identifikasjon.
Styret må altså vurdere konkret om informasjonen inneholder personopplysninger som det vil være for inngripende å sende på e-post. Opplysninger om funksjonsnedsettelse, vil for eksempel omfattes av personvernforordningen artikkel 9. Behandling av særlige kategorier av personopplysninger omfattet av artikkel 9 er i utgangspunktet forbudt. Behandling av slike opplysninger forutsetter at et av unntakene fra forbudet i artikkel 9 nr. 2 kommer til anvendelse. Artikkel 9 har ikke et unntak som tilsvarer artikkel 6 nr. 1 bokstav f. Det innebærer at det normalt vil være nødvendig med samtykke, jf. artikkel 9 nr. 1 bokstav a.
I likhet med vurderingen om digitale møter, mener departementet at det etter omstendighetene også vil kunne finnes behandlingsgrunnlag i artikkel 6 nr. 1 bokstav c. Dette vil bero på en konkret vurdering. Det vil imidlertid i praksis kunne oppstå tvil om det er «nødvendig» å sende informasjon på e-post for å oppfylle den rettslige forpliktelsen når andre kommunikasjonsformer, slik som brev, kan brukes i stedet.
Kravene til sikkerhet ved behandlingen, jf. personvernforordningen artikkel 32, vil forøvrig på selvstendig grunnlag medføre at man ikke kan sende opplysninger på e-post som er for sensitive for den kommunikasjonsformen. Ukryptert e-post er en mindre trygg form for kommunikasjon enn brev som sendes i ordinær post. E-post er i utgangspunktet ukryptert, noe som betyr at det kan være mulig for andre å lese innholdet. Ukryptert e-post går ikke direkte fra sender til mottaker, men via mange forskjellige knutepunkt før den kommer frem. Kommunikasjonen kan derfor overvåkes og styrene bør av den grunn oppfordre beboerne til ikke å sende sensitive personopplysninger på e-post.