Den 25. mai 2018 blir General Data Protection Regulation (GDPR) innført i hele EU. Det er snakk om en europeisk forordning om personvern som kommer til å omdefinere forholdet til personlige opplysninger, både på brukersiden og for tjeneste-leverandøren. Som internett-bruker mener vi at dette blir til en stor forbedring av personvernet i Norge.

GDPR er på mange måter ikke noe nytt. Forordningen bygger på eksisterende lover og retningslinjer, men er mer omfattende. Dette gjelder både selve definisjonen av personopplysninger, de påbudte prosedyrene for å håndtere dem, og rettighetene som sluttbrukere vil få. Omfanget av loven blir mye større, og ventes å ha større effekt enn tidligere lovgivning. Det er flere grunner til dette; for det første kommer GDPR til å tre i kraft uendret i de fleste europeiske land, og for det andre vil prinsippene gjelde personlige opplysninger til alle europeere, uavhengig av hvor leverandøren er basert. Samtidig er det en lang rekke muligheter for nasjonale unntak og egen regulering av offentlig sektor.

Siden “alle europeere” er en så stor brukerbase, som representerer en betydelig omsetning, vil de fleste leverandører ønske å forholde seg til GDPR for å beholde tilgangen til markedet, uavhengig av hvor personvernet er regulert lokalt hos dem.

Her bør det nevnes at det er flere punkter der forordningen viser muskler. Om en leverandør bryter loven risikerer de større straffer enn noensinne. Høyeste tak for sanksjoner er i størrelsesorden 20 millioner Euro eller 4% av selskapets globale omsetning, det som er høyest. Til sammenligning kan Datatilsynet idag gi i pålegg inntil 10 ganger grunnbeløpet i folketrygden (omtrent 930.000 norske kroner). Så kan vel hende at dette blir tatt på alvor.

Hva betyr GDPR for internett-brukere?

GDPR definerer beskyttelse av personvern som en grunnleggende rettighet for alle europeiske borgere.

Det er individet som eier sine personopplysninger. Når man har gitt samtykke til at data er samlet inn og behandles kan man også endre eller trekke dette samtykket. De fleste internett-brukere kan i dag si de i løpet av livet sitt har gitt samtykke til håndtering av sine personopplysninger, men at formålet for dette ofte ikke har vært krystallklar. Her vil vi kunne stille radikale nye forventninger til tjeneste-leverandørene. Mer om dette senere.

GDPR definerer også personopplysninger som all informasjon som kan knyttes til eller identifisere et individ: navn, telefonnummer, bilde, kredittkortnummer, epost-adresse, o.a.. Inkludert i begrepet er også metadata, eller digitale spor som kan lede tilbake til identiteten vår. Vi snakker også om utledede data som kan brukes til å profilere oss i markedsføringsøyemed.

Men det er også en kjent effekt av digital profilering at om man samler nok metadata om et individ, vet man ganske nøyaktig hvem personen er, driver med, befinner seg til enhver tid, og hvem personen treffer regelmessig. Man kan få en fullstendig oversikt av privatlivet til subjektet. Derfor er det også viktig å tenke på “profilen vår” som personopplysninger.

Det skal altså bli lettere å forstå hva man gir samtykke til. Det er ikke lenger greit å bli vist en lang juridisk tekst, gjerne forhåndsutfylt med “jeg samtykker”. Den spartanske løsningen “ved å bruke denne tjenesten, gir du automatisk samtykke til håndtering av din personlig data” er heller ikke grei.

Hva bør vi vite før vi gir samtykke?

For at samtykket skal gis i samsvar med GDPR er det nødvendig å fylle ut et skjema som er så enkel at til og med et barn eller en eldre person må kunne forstå det. Skjemaet bør spesifikt be om samtykke til:

1. formålet til innsamling av personopplysningene
2. lagring av data for et definert tidsrom
3. levering av data til eventuelle tredjeparter (hver eneste av dem skal oppgis)
4. hvis aktuelt, at opplysningene kan flyte ut av europeiske grenser

Leverandøren av tjenesten kan ikke beholde data i et lengre periode enn det som er rimelig til formålet av innsamlingen, og kan ikke bruke opplysningene til noe annet enn det som har blitt spesifisert som formål i skjemaet.

Dersom skjemaet er forhåndsutfylt skal det være med de alternativene som gir mest personvern. Enkle ikoner eller grafikk skal brukes, for eksempel for å understreke alvorligheten av et punkt. Samtykket kan endres eller trekkes når som helst, og det skal være like lett å gjøre det som å gi det.

Det finnes også situasjoner der data kan brukes uten samtykke, for eksempel hvis man blir bedt om å gi informasjon til politiet eller eller andre som har et lovgrunnlag for det. Det er også andre unntak der GDPR ikke gjelder, f.eks. nasjonal sikkerhet, krav i regnskapsloven, fordi det er snakk om historisk eller vitenskapelig informasjon, eller for å redde liv til subjektet eller andre.

GDPR går mye mer i detalj om dette og andre tilfeller, så vi ønsker i det minste å gi inntrykket at forordningen gjør det vanskelig å kunne havne i en gråsone, uansett situasjon.

Hva skjer med personopplysningene etter samtykke er gitt?

Vi kan når som helst be om å få utlevert alle opplysningene som har blitt samlet, enten for å korrigere eller videreføre opplysningene til en annen leverandør. Dataene må gis i et maskinlesbart standardformat som for eksempel kan brukes når man ønsker å bytte bank eller strømleverandør. Opplysningene skal alltid være korrekte og leverandøren av tjenesten må holde dem oppdaterte. Dette gjelder også kopier som er levert til tredjeparter. På samme vis, om du ber om sletting av alle opplysningene må leverandøren sørge for at også tredjepartene sletter dem. Leverandøren kan når som helst bli bedt om å bevise at opplysningene er ansvarlig håndtert i samsvar med direktivet. I tilfellet datalekkasje eller sikkerhetsbrudd, må leverandøren gi beskjed til Datatilsynet innen 72 timer, og øyeblikkelig til eiere av opplysningene om avviket.

GDPR oppfordrer leverandørene til å samle minst mulig data, og å ha god kontroll over tilgang til disse, samt rutiner for krisehåndtering. Forordningen påpeker eksplisitt at leverandøren kan unngå eller forenkle mange utfordringer ved å kryptere, anonymisere eller pseudonymisere sine data.

Persondata som ble samlet før GDPR kan håndteres i samsvar med GDPR uten å hente inn nytt samtykke dersom samtykket opprinnelig ble gitt i tråd med kravene GDPR stiller. Alle rettighetene – inkludert muligheten til å få levert ut data, korrigere, og “the right to be forgotten” (slette), skal gjelde her.

Til slutt er det verdt å understreke at bevegelsen av data ut av EU har fått noe spesielt oppmerksomhet i forordningen. Man blir bedt spesifikt å gi samtykke til akkurat dette fordi det har blitt vanlig praksis å lagre data i skytjenester utenlands, med varierende nivåer av sikkerhet og hensyn til personvern. Delvis skyldes dette også politiske forhold der data er lagret eller i landet hvor leverandøren er basert.

Vi anbefaler å lese lovteksten på Engelsk, og begynne midt i dokumentet (søk etter “Chapter II” og “Principles”) for å gjøre det lettere å komme i gang. GDPR fact sheet er også verdt å besøke. Datatilsynet har også skrevet om hva som er nytt i GDPR.

Gjesteblogger

ISOC-NO sin gjesteblogger er anonym, med støtte fra styremedlemmene Salve J. Nilsen og Torgeir Waterhouse.