Når er smittesporingsapplikasjoner uforenelige med personvernforordningen? En vurdering av ulike smittesporingsapplikasjoner i EØS-land sett i lys av prinsippene om formålsbegrensning og dataminimering etter personvernforordningens artikkel 5 (1) bokstav b og c.
Master thesis
Permanent lenke
https://hdl.handle.net/11250/2989087Utgivelsesdato
2021-12-10Metadata
Vis full innførselSamlinger
- Faculty of Law [2627]
Sammendrag
Som følge av covid-19-pandemien har mange land utviklet egne smittesporingsapplikasjoner som tilleggsverktøy til manuell smittesporing. De ulike teknologiske løsningene har imidlertid ikke vært problemfrie. Eksempelvis ble norske Smittestopp 1 deaktivert og de innsamlede personopplysningene slettet av Folkehelseinstituttet kun to måneder etter at applikasjonen ble lansert. Foranledningen var Datatilsynets konklusjon om at applikasjonen av ulike årsaker ikke var forenelig med personvernforordningen. Oppgaven er en analyse av tre smittesporingsapplikasjoner i lys av personvernforordningens prinsipper om formålsbegrensning og dataminimering. De tre applikasjonene er tyske Corona-Warn-App, norske Smittestopp 2 og franske TousAntiCovid. I tillegg inneholder oppgaven flere henvisinger til Smittestopp 1. For å kunne operasjonalisere prinsippene tar oppgaven for seg hva slags personopplysninger som samles inn gjennom applikasjonen, hvordan og hvor lenge disse lagres og hvilke formål applikasjonene har. I tillegg adresserer oppgaven de potensielle konsekvensene av at en applikasjons formål utgår på grunn av endringer i smittesituasjonen. Samtlige av de tre applikasjonene lagrer personopplysningene i 14 dager, i tråd med det som er typetilfellene for covid-19 sin inkubasjonstid og det eksisterende rettskildebildet. Videre er TousAntiCovid den eneste av de tre applikasjonene som ikke benytter seg av Google og Apple sitt rammeverk. Franske myndigheter har i stedet valgt å lagres personopplysningene sentralt. Sentraliserte løsninger regnes oftest som mer effektive, et viktig element i smittesporingen. Samtidig krever TousAntiCovid at brukeren registrerer seg som smittet, noe som kan forårsake treghet i smittevarslingen. En desentralisert løsning kan dermed være å foretrekke av hensyn til personvernet. Smittestopp 2 sitt eneste formål er kontaktsporing. Dens europeiske motparter har imidlertid flere funksjoner, deriblant opplasting av koronasertifikat. I motsetning til Smittestopp 1 tillater brukergrensesnittet i TousAntiCovid og Corona-Warn-App at en eksempelvis laster opp sertifikatet sitt uten å aktivere kontaktsporing. På den måten er applikasjonene mer i tråd med prinsippet om formålsbegrensning. Avslutningsvis er det vanskelig å fastslå et konkret tidspunkt for når en applikasjon har utspilt sitt formål, mye på bakgrunn av at smittesituasjonen stadig endrer seg.