Menneskerettigheten personvern handler om retten til et privatliv hvor man som enkeltmenneske kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker. GDPR ble innført for å styrke personvernet og individets rett til å bestemme over egne personopplysninger. Det vil si at all bruk av andres personopplysninger er i utgangspunktet ulovlig, med mindre man oppfyller alle krav i personopplysningsloven.
Personopplysninger - alle spor fører til deg
Personopplysninger er alle opplysninger som kan, direkte eller indirekte, knyttes til deg som enkeltperson. Hva som defineres som en personopplysning er beskrevet i Lov om behandling av personopplysninger:
Pesonvernopplysninger: «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet»
En personopplysning er altså alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Ofte tenker man ikke over alle personopplysningene vi legger igjen som digitale spor. Opplysninger om atferd regnes også som personopplysninger, som for eksempel hva du søker etter på nettet, hva og hvor du handler, hvilke tv-serier du ser på - og ikke minst - hvor du fysisk beveger deg i løpet av en dag. Andre eksempler er informasjon om hvilke tiltak du er ansvarlig for, hvilke møter du deltar i eller hvordan du bruker et IT-system på jobben.
Bruk av personopplysninger
Før noen kan samle, bearbeide, lagre eller levere videre denne type informasjon, må en rekke krav i personopplysningsloven være innfridd. Alle reglene i personopplysningsloven bygger på det grunnleggende prinsippet om at behandling av personopplysninger skal skje på en måte som i størst mulig grad sikrer forutsigbarhet og forholdsmessighet for enkeltmennesket.
Behandling: «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring»
Alle virksomheter må forstå at opplysninger om ansatte, kunder, leverandører, besøkende på nettsiden - rett og slett alle man får eller henter opplysninger på eller fra - er personopplysninger som omfattes av Personopplysningsloven (GDPR). Det er også viktig å være klar over at det stilles spesielle krav for å behandle særlige kategorier personopplysninger (tidligere kalt sensitive personopplysninger) som omfatter blant annet etnisk opprinnelse, politisk oppfatning, religion, helseopplysninger og seksuell legning.
Personvernprinsippene
Kapittel II i personopplysningsloven omhandler flere juridisk bindende prinsipper for behandling av personopplysninger. Alle som behandler personopplysninger må kjenne til, og handle i samsvar med, disse prinsippene for å etterleve GDPR-kravene:
Prinsippet om lovlighet, rettferdighet og åpenhet
"Personopplysninger skal behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte."
For å kunne behandle personopplysninger må virksomheten ha et juridisk grunnlag, som f.eks samtykke, oppfyllelse av avtale eller at det er pålagt ved lov. I tillegg må den registrerte bli informert om behandlingen på en god måte slik at den registrerte faktisk forstår hva som skjer med opplysningene, på hvilket grunnlag behandlingen skjer, av hvem, hvor lenge og hvilke rettigheter den registrerte har.
Prinsippet om formålsbegrensning
"Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene (..)
Virksomheten må ha et legitimt formål (hensikt) med behandlingen av personopplysningene.
Formålet må være tydelig identifisert og beskrevet på en slik måte at alle (her: de som er berørt) skal kunne forstå dem. Personopplysningene som er inngitt kan ikke gjenbrukes til nye formål som er uforenlig med det opprinnelige formålet.
Prinsippet om dataminimering
"Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for."
Det finnes enormt mye informasjon om hver enkelt av oss. Med dataminimering er det blitt et krav at de som behandler personopplysninger ikke skal samle inn, eller lagre, flere personopplysninger enn det som trenges for å oppnå formålet. Enhver bedrift må vurdere hvilke opplysninger man faktisk behøver for å oppfylle det gitte formålet - og denne vurderingen må være dokumentert.
Prinsippet om riktighet
"Personopplysninger skal være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes."
Enhver person har rett til å få korrigert informasjonen som er lagret om dem. Den som behandler personopplysningene har ansvaret for at personopplysningene er riktige, og skal holde opplysningene oppdaterte eller slette dem hvis de er uriktige. For å sikre at dataene er korrekte bør man ha interne rutiner for datakvalitet og oppdatering av opplysninger. Hvis det gjøres en korrigering har virksomheten en plikt til å informere andre de har delt dataene til.
Prinsippet om lagringsbegrensning
"Personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for (..)
Når virksomheten ikke lenger trenger de inngitte personopplysningene for det oppgitte formålet, skal opplysningene anonymiseres eller slettes. Lagringsbegrensning betyr at systemer, programmer og rutiner må være oppdatert for å sikre at unødige personopplysninger slettes.
Prinsippet om integritet og konfidensialitet
"Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak."
Etter å ha sikret at man ikke behandler mer data enn nødvendig, handler dette prinsippet om at de dataene man behandler skal beskyttes. Den som skal behandle personopplysninger må sikre dataene mot utilsiktet eller uautorisert forandring eller sletting ved å ha robuste og oppdaterte datasystemer. Virksomheten må ha oversikt over hvem som skal ha, og har, tilgang til personopplysningene og sørge for at utenforstående ikke får tilgang. I tillegg må man kunne spore, varsle og håndtere eventuelle sikkerhetsbrudd.
Prinsippet om ansvarlighet
"Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»)"
Virksomheten, altså den som er ansvarlig for behandlingen av personopplysninger, skal til enhver tid kunne dokumentere at den faktiske behandlingen av personopplysninger er i samsvar med reglene. Dette er ikke enkelt, så ift. dette punktet er det viktig å fokusere på at de registrerte som har inngitt sine personopplysninger får oppfylt rettighetene sine på en enkel måte.
Den registrertes rettigheter til egne personopplysninger
Personopplysningsloven omhandler ikke bare hvilke plikter virksomhetene som behandler personopplysninger har, også enkeltpersonens ("den registrertes") rettigheter er definert. Disse er omhandlet i Lov om behandling av personopplysninger, Kapittel III.
Du har rett til å få informasjon (personvernforordningen artikkel 13 og 14) som er kortfattet, konkret og forståelig. Det vil si at språket skal være klart og enkelt, uten juridisk eller teknisk sjargong. Informasjon om behandling av personopplysninger skal være skilt ut fra annen informasjon, lett å finne frem til, og i.
Innsynsretten (personvernforordningen artikkel 15) betyr at du ved forespørsel skal få vite hvilke opplysninger en virksomhet har lagret om deg og hvordan disse behandles. Du skal også kunne få kopi av alle opplysningene dine, som for eksempel elektroniske spor og metadata.
Du skal kunne få opplysningene om deg rettet (personvernforordningen artikkel 16) hvis du oppdager at uriktige opplysninger om deg behandles, og kan sannsynliggjøre at opplysningene er uriktige og opplyse om hva som er korrekt.
I noen tilfeller kan du kreve at personopplysninger om deg slettes (personvernforordningen artikkel 17).
Du har «retten til å bli glemt» dersom:
- du benytter deg av din rett til å protestere
- du trekker tilbake et samtykke
- du er mindreårig og har brukt en digital tjeneste, slik som sosiale medier
- formålet med opplysningene er oppnådd
- opplysningene har blitt innhentet ulovlig
- virksomheten har sletteplikt etter loven
Hvis du ber om at behandlingen av personopplysningene dine begrenses (personvernforordningen artikkel 18) kan personopplysningene dine lagres, men ikke brukes til noe. Dette kan for eksempel være hvis du er i en konflikt med bedriften og at opplysningene de har om deg er viktige for å ivareta din sak. Da skal ikke bedriften ha mulighet til å slette og med det fjerne spor.
Retten til dataportabilitet (personvernforordningen artikkel 20) innebærer at personopplysningene dine kan utleveres og gjenbrukes. Retten sikrer at du trygt og enkelt kan flytte persondata på tvers av systemer og tjenester, for eksempel til en annen systemleverandør.
Hvis for eksempel personopplysningene dine behandles uten ditt samtykke og bedriften benytter seg av sin berettigede interesse, har du likevel rett til å protestere (personvernforordningen artikkel 21) mot behandlingen. En protest medfører at virksomheten ikke lenger kan bruke personopplysningene og de skal da slettes.
I tillegg forbyr personvernforordningen (artikkel 22) automatiserte beslutninger uten reell menneskelig innvirkning som er av større konsekvens for enkeltpersoner. Det vil for eksempel si at et dataprogram alene ikke kan bestemme om du har krav på en trygdeytelse eller ikke.
Kort oppsummert om personopplysninger
Enhver opplysning som er knyttet til deg som enkeltmenneske er en personopplysning. Muligheten til å bestemme over egne personopplysninger er en menneskerett. Innføringen av GDPR styrket personvernet, da spesielt for digitale personopplysninger. Personopplysningsloven omhandler alle sider ved behandling av personopplysninger - i hvilke tilfeller en behandlingsansvarlig har anledning til å behandle personopplysninger, regler for hvordan denne behandlingen skal foregå, samt om den den enkeltes rettigheter ved behandlingen.
All behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig. Det betyr at virksomheten på forhånd må ha identifisert om det finnes et behandlingsgrunnlag og informere om dette. Samtykke er et av flere lovlige behandlingsgrunnlag. I enkelte tilfeller, som ved behandling av særlige personopplysninger, må det foreligge et særskilt grunnlag i tillegg til behandlingsgrunnlaget.
Den registrerte skal bli informert om hvilke personopplysninger som blir behandlet og lagret. Den enkelte skal, ved forespørsel om innsyn, også kunne få vite de faktiske opplysningene som behandles. Hvis det er lagret personopplysninger som er feil kan den registrerte kreve feilen rettet. Man har også rett til å trekke et samtykke og å bli slettet. Forordningens artikkel 20 gir den registrerte rett til å motta personopplysninger om seg selv som er gitt til en behandlingsansvarlig og overføre opplysningene til en annen databehandler.
Iconfirm har utviklet en løsning som bistår deg i å oppfylle dine plikter. Be gjerne om en gratis demonstrasjon.
Her får du det store overblikket: Hva er GDPR?
