Ansvar ved lokal lagring
I dette sandkasseprosjektet vil Ruter ha behandlingsansvar for tjenesten med personaliserte reiseforslag i Ruter-appen. Men hvilket ansvar har Ruter ved lokal lagring i forberedelsesfasen?
Vi har i prosjektet diskutert hvor langt ansvaret strekker seg. Det er avgjørende for når informasjonsplikten trer inn. Spørsmålet har dukket opp i tilknytning til personopplysninger som Ruter ikke vil ha tilgang til.
Ruter vil som et dataminimeringstiltak legge til rette for lokal lagring av opplysninger på kundenes enheter i forberedelsesfasen. Formålet med lokal lagring i dette prosjektet er at Ruter på et senere tidspunkt skal kunne bruke reiseopplysningene til å utvikle KI, dersom kunden samtykker til det i utviklingsfasen. Ved jevne mellomrom vil da en logg, som inkluderer personopplysninger, kunne sendes til Ruter sentralt for KI-utvikling.
Mens personopplysninger ligger lagret lokalt på kundenes enheter, vil ikke Ruter ha tilgang til dem. For kundene som ikke samtykker til sentral lagring, vil Ruter aldri ha tilgang til opplysningene. Kunden vil også kunne slette favorittreiser direkte i appen. Alle øvrige opplysninger kan slettes av kunden gjennom å reinstallere appen, eller tilbakestille telefonen til fabrikkinnstilling.
Gjelder personvernregelverket ved lokal lagring?
Og hvilken rolle vil Ruter i så fall ha?
Utgangspunktet er at personvernregelverket kommer til anvendelse ved behandling av personopplysninger, jf. personopplysningsloven § 2 første ledd og personvernforordningen artikkel 2 nr. 1. Første spørsmål er om det skjer en behandling av personopplysninger i henhold til disse bestemmelsene. Her er det delte meninger mellom Datatilsynet og Ruter. Datatilsynet mener at personopplysninger behandles allerede ved lokal lagring. Ruter mener at dette ikke kan sees som en behandling av personopplysninger inn mot Ruter. Med en slik tolkning vil ikke personvernregelverket komme til anvendelse, og Ruter vil ikke ha ansvar etter regelverket i forberedelsesfasen. I sandkasseprosjektet har vi likevel sett videre på de øvrige vurderinger man må gjøre når man legger Datatilsynets forståelse til grunn.
Selv om man vurderer det slik at personopplysninger behandles, så får ikke regelverket alltid anvendelse. Unntak gjelder blant annet hvis behandlingen av personopplysninger utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter, jf. personopplysningsloven § 2 andre ledd, bokstav a og personvernforordningen artikkel 2 nr. 2, bokstav c. I henhold til personvernforordningens fortalepunkt 18 kan slike aktiviteter omfatte korrespondanse og føring av adresselister eller aktiviteter på sosiale nettverk, samt tilknyttede aktiviteter på internett. Regelverket får likevel anvendelse på behandlingsansvarlige eller databehandlere som stiller til rådighet midler for slike personlige eller familiemessige aktiviteter. Kundens egen behandling av personopplysninger i Ruter-appen, gjennom å for eksempel lagre og slette nyttige reisesøk, vil være en aktivitet som faller utenfor regelverket.
En virksomhet har behandlingsansvar når den bestemmer formålet med behandlingen og hvilke midler som skal brukes, se faktaboksen.
Behandlingsansvar
En behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger (dvs. hvorfor) og hvilke midler som skal brukes for behandlingen (dvs. hvordan), jf. personvernforordningen artikkel 4 nr. 7.
Den behandlingsansvarlige har overordnet ansvar for å overholde personvernprinsippene og regelverket. Det følger av ansvarlighetsprinsippet i personvernforordningen artikkel 5.
Formålet med lagringen av personopplysninger lokalt, er at kunden senere skal kunne samtykke til at personopplysninger sendes til Ruter sentralt for utvikling av KI. Når det gjelder denne lagringen, har vi i diskusjonene kommet frem til at Ruter bestemmer formålet og hvilke midler som skal brukes. For denne delen av behandlingen vil Ruter altså ha rolle som behandlingsansvarlig.
Uavhengig av om regelverket kommer til anvendelse eller ikke, planlegger Ruter å gjøre tiltak som innebærer at de ivaretar ansvaret som påhviler den behandlingsansvarlige for denne aktiviteten. Flere av unntakene fra pliktene til den behandlingsansvarlige er likevel aktuelle i forberedelsesfasen, ettersom Ruter ikke har tilgang til personopplysningene. For eksempel trenger man ikke oppfylle alle rettighetene til de registrerte hvis man kan påvise at man ikke kan identifisere den registrerte, jf. personvernforordningen artikkel 11 nr. 2 og 12 nr. 2.
Les mer om hvilke krav som stilles til den behandlingsansvarlige.
For sandkasseprosjektet er det kravene til informasjon som er relevant. Ruter planlegger å gi informasjon til kundene allerede før reiseopplysningene vil lagres lokalt. I de påfølgende kapitlene vil vi se nærmere på hvordan.
Diskusjonene i sandkasseprosjektet om når ansvaret for å gi informasjon trer inn har avdekket noen mulige paradokser. Ruter har valgt å bruke lokal lagring som et dataminimeringstiltak i forberedelsesfasen. Hvis personvernregelverket kommer til anvendelse i denne fasen – slik Datatilsynets forståelse er – er en mulig konsekvens at Ruter må be kunden om tilgang til flere personopplysninger enn Ruter opprinnelig ønsket. Hvis en kunde ber om å få en rettighet oppfylt, som for eksempel dataportabilitet, må Ruter få tilgang til personopplysningene for å oppfylle plikten. Spørsmål om ansvar ved lokal lagring kan være relevant for mange aktører, uavhengig av bransje og om de bruker KI. Datatilsynet ser denne formen for dataminimering som positivt, og ønsker å bidra til at aktører skal kunne oppfylle regelverket på en enkel og hensiktsmessig måte om de velger dette tiltaket.
Ansvar etter andre regelverk
I sandkasseprosjektet har vi bare diskutert ansvaret som følger av personopplysningsregelverket. Også andre regelverk kan oppstille plikter for Ruter, for eksempel ekomloven. Loven setter vilkår for å kunne lagre og skaffe seg tilgang til opplysninger på kundens utstyr. Det faller imidlertid utenfor dette prosjektet å se på hvilket ansvar Ruter har etter andre regelverk.