Pass på personopplysningene dine – og andres!

 

Snart kan du med lov i hånd få fjernet personopplysninger om deg selv på steder hvor du ikke ønsker å være registrert. Den nye personvernloven slår fast at enhver person har rett til vern av personopplysninger om seg selv. EUs nye forordning, omtalt som GDPR, skal gjelde over hele Europa fra slutten av mai i år.

 
Seniorrådgiver Anna Skaset i Tieto har satt seg grundig inn i GDPR. – Det handler om prosesser, sier hun, og lister opp seks punkter.

Personopplysninger på avveie er svært problematisk. Den nye loven skal motvirke dette. GDPR har gitt opphav til enorm aktivitet de siste par årene.  Sju millioner treff på Google-søk taler et tydelig språk.

FIRE BOKSTAVER
Det er ingen mystikk bak de fire bokstavene i den tungvinte kombinasjonen GDPR. De betyr rett og slett «The General Data Protection Regulation», som er det formelle navnet på EUs forordning om personvern. Forordningen skal gjelde i EU-land fra 25. mai i år. Island og Norge forhandler nå med EU om å innlemme den i EØS, slik at den skal gjelde i disse landene også. Forordningen krever at personinformasjon skal ajourføres og være tilgjengelig bare for de som trenger slik informasjon, og bare så lenge det er behov for informasjonen. Når det ikke lenger er bruk for opplysningene, skal de slettes. Den enkelte borger kan be om å få vite hvilken informasjon som er lagret og kan kreve å få den slettet.

STRAFFES MED STORE BØTER
Lovfestede plikter og rettigheter for personvern er ikke noe nytt. I Norge vil den nye loven erstatte loven fra 1978 (endret i 2000). Hva er så det nye? Grovt sett kan en si at enkeltpersoner får utvidet sine rettigheter, og virksomhetene blir pålagt flere krav. Dessuten blir den nye loven svært mye strengere når det gjelder å slå ned på den som ikke oppfyller lovens krav. Det skal bøtelegges med kraftige bøter, regnet i prosent av omsetning.

SAMTYKKE
Samtykke er et begrep som innføres med full tyngde. Virksomheter forbereder seg på den nye loven. Det er stadig flere virksomheter som i tydelige ordelag nå ber om samtykke til at en bedrift kan beholde opplysningene om deg etter at du for eksempel har fått svar på henvendelsen din. Dette er godt nytt for den enkelte borger. Vi kan selv bestemme om vi vil være registrert hos en bedrift eller leverandør.

Det skal bli slutt på kronglete og lange avtaler, hvor en skal gi sin godkjenning, for eksempel ved installasjon av programvare. Ifølge GDPR skal informasjonen være kortfattet, klar og tydelig, lett forståelig og lett tilgjengelig. I tilfeller som gjelder personopplysninger om barn, skal informasjonen være utformet slik at barna kan forstå den.

RETTEN TIL Å BLI GLEMT
Dersom en person ønsker å bli slettet, er det den aktuelle virksomheten som må sørge for det. Unntaket er betalingsinformasjon knyttet til personen. Slik informasjon kan ikke slettes når som helst. Ifølge norsk lov for eksempel skal regnskapsdata lagres i minst fem år, og denne loven går foran loven om GDPR og retten til å bli glemt.

ANONYMISERING
Mange virksomheter har personopplysninger fra tidligere kurs, arrangementer og tiltak, og en kan ha lyst å beholde data om hvor mange som deltok, hvor mange kvinner og menn, aldersgrupper mv. Slike statistiske data kan en beholde dersom en anonymiserer informasjonen. Navn og personlige data slettes mens antall blir beholdt. Antallet må likevel være så høyt at deltakerne ikke kan identifiseres.

PROSESS
- GDPR handler om prosesser, påpeker seniorrådgiver og GDPR-ekspert i Tieto, Anna Skaset, i en prat med DialogWeb.
- Prosessene kan oppsummeres i seks punkter: innsamling av data, lagring av data, sikkerhetskopier, overføring av data, å forhindre datatap og overvåke data, og til sist å vise at en etterlever regelverket.

Med mange brudd på personvernloven, også av offentlige virksomheter, kan en lure på om europeiske virksomheter virkelig er klare for dette i praksis. Ved å stille noen kontrollspørsmål kan en sjekke om egen virksomhet har rutiner som holder mål: Hvor er dataene om en person lagret, hvorfor er de lagret, hva kan vi bruke dem til, hvem har tilgang til dem, hvor er de sikkerhetskopiert, og hvordan holder vi dataene oppdatert, inkludert sikkerhetskopier?

Det er ikke nok at for eksempel ledelsen i en virksomhet tar ansvar for å etterleve GDPR. Alle som har tilgang til et system hvor det registreres personopplysninger, får plikter med det nye lovverket. De må kjenne de nye reglene, og hver enkelt har et ansvar for at egen praksis stemmer med reglene.

STØRRE KONTROLL OVER EGNE DATA
GDPR i et nøtteskall: Hold dataene dine oppdatert og tilgjengelig for de som trenger dem. Skjul den for alle andre. Hver person innenfor EU har klare, rimelige rettigheter. Vi har rett på tilgang til egne data, rett til å korrigere dem, rett til å ha dem med oss til andre formål og rett til å fjerne den.  Med den nye forordningen blir rettighetene utvidet, og det blir også større krav til kontroll over egne personopplysninger.

HVA MÅ KURSARRANGØRER PASSE PÅ?
- Organisasjoner og frivillige virksomheter som tilbyr kurs for voksne, hva må de særlig passe på?

- De må først av alt tenke på hva som er godt personvern. Det rettslige grunnlaget for å innhente personopplysninger må være klart og ha et legitimt formål. Det er ikke lov å gjenbruke opplysningene i en deltakerliste, fra et kurs for eksempel, uten å innhente nytt samtykke. Det vil si at en må ha et nytt rettslig grunnlag. En kan heller ikke utlevere personopplysninger til andre, påpeker Skaset.
- Et viktig prinsipp er at en ikke skal innhente flere opplysninger enn det en trenger. Det er også viktig å slette opplysninger når de ikke lenger er nødvendige, eller når formålet er oppnådd. Dessuten må opplysninger være oppdaterte og korrekte.

- Klarer virksomheter å ordne dette sjøl, eller må en innhente eksperthjelp?

- En må begynne med å skaffe seg oversikt over hva en har av personopplysninger, og hvilke lagringssystemer en har. Det er viktig å rydde og slette, og innføre rutiner for dette. Dessuten må en sørge for å ha en teknisk sikkerhet for personopplysningene, slik at de ikke kommer på avveie eller blir tilgjengelige for uvedkommende, påpeker Anna Skaset.

Hvor vidt en trenger eksperthjelp for eksempel til datasikkerheten, vil avhenge av hvordan en drifter datasystemer og hvilken kompetanse en har selv.

PERSONVERNOMBUD
Mange virksomheten må utnevne et personvernombud, blant andre offentlige virksomheter, virksomheter som har systematisk overvåking av personer som kjerneaktivitet og virksomheter som behandler sensitive personopplysninger i stort omfang. Dette blir ikke et krav til mindre virksomheter, men det kan likevel være nyttig med et personvernombud.