Hva er riktig om personvern?

Hva er riktig om personvern? Gebyr på opptil 4%

Å vite hva er riktig om personvern beskytter deg mot at sensitive opplysninger kommer på avveie eller slettes ulovlig. Mange mangler kunnskap om egne rettigheter knyttet til databehandling. En god forståelse av lovverket forhindrer alvorlige overtredelser, sikrer personers rettigheter og minimerer risikoen for strenge økonomiske sanksjoner.

Hva er egentlig riktig om personvern?

Personvern handler om din rett til et privatliv og kontroll over egne personopplysninger. Det er et komplekst felt som kan virke overveldende, men i bunn og grunn hva betyr personvern det at du skal kunne bestemme hvem som vet hva om deg, og hvordan denne informasjonen brukes. Lovverket er forankret i retten til privatliv grunnloven og strengere regulert gjennom GDPR.

Det er en vanlig misforståelse at personvern bare gjelder hemmeligheter. Sannheten er at det handler om digital integritet - alt fra ditt navn og din IP-adresse til din politiske oppfatning og dine bevegelser på nett. I en verden hvor data er den nye oljen, er personvern definisjon selve beskyttelsen av din identitet.

De grunnleggende prinsippene du må kjenne til

For å forstå hva er riktig om personvern, må vi se på de juridiske rammene. I Norge er personvern beskyttet av Grunnloven paragraf 102 og personopplysningsloven, som inkluderer EUs personvernforordning (GDPR). Disse lovene legger ansvaret på de som samler inn data - de behandlingsansvarlige.

Rundt 67% av europeiske borgere har hørt om GDPR, men langt færre vet hvordan de faktisk skal bruke rettighetene sine i hverdagen.^[1] Dette gapet mellom lovverk og praksis er en utfordring. Lovverket krever at all behandling av data må ha et lovlig grunnlag, for eksempel et aktivt samtykke eller en nødvendighet for å oppfylle en avtale.

Jeg husker første gang jeg prøvde å lese gjennom en personvernerklæring på en standard app. Den var på over 30 sider med tung juridisk tekst. Det føltes helt håpløst. Men her er tingen: Loven krever nå at slike erklæringer skal være lettleste og forståelige. Hvis du ikke skjønner hva du skriver under på, er det sannsynligvis bedriften som bryter reglene, ikke deg som er uvitende.

Hva regnes som personopplysninger?

hva er en personopplysning er enhver opplysning som kan knyttes til deg som enkeltperson. Dette inkluderer: Direkte identifikatorer: Navn, personnummer og bilde. Indirekte identifikatorer: IP-adresse, lokasjonsdata og bilnummer. Sensitive opplysninger: Helseinformasjon, seksuell orientering og religiøs overbevisning. Digitale spor: Kjøpshistorikk og søkeadferd på nett.

Dine viktigste rettigheter som digital borger

Du er ikke maktesløs i møte med store teknologiselskaper. dine rettigheter i personvernloven gir deg konkrete verktøy for å ta tilbake kontrollen over dine digitale spor. Men det er en viktig hake som mange overser - jeg skal forklare den i seksjonen om sletting lenger ned.

Du har rett til innsyn i alle data en virksomhet har lagret om deg. Dette betyr at du kan sende en forespørsel og kreve å få utlevert all informasjon innen 30 dager. I tillegg har du rett til å få korrigert feilaktige opplysninger og rett til dataportabilitet - altså å ta med deg dataene dine fra en tjeneste til en annen.

Retten til å bli glemt

Dette er kanskje den mest kjente rettigheten i GDPR. Den innebærer at du kan kreve at data om deg slettes dersom de ikke lenger er nødvendige for formålet de ble samlet inn for. Men her kommer den haken jeg nevnte: Retten er ikke absolutt. Hvis banken din må lagre transaksjonene dine i 5-10 år på grunn av bokføringsloven, kan du ikke kreve dem slettet før den tiden har gått.

Jeg lærte dette på den harde måten da jeg prøvde å slette en gammel profil hos en nettavis. De nektet å slette enkelte loggdata fordi de ble brukt til statistiske formål. Det føltes frustrerende der og da, men det lærte meg at personvern alltid er en avveining mellom ulike interesser.

Hva skjer ved et personvernbrudd?

Et personvernbrudd oppstår når opplysninger kommer på avveie, endres ulovlig eller slettes uten tillatelse. Virksomheter har en streng plikt til å varsle hva er datatilsynets oppgave innen 72 timer dersom bruddet medfører risiko for personers rettigheter. Gebyrene for slike brudd kan i ekstreme tilfeller utgjøre opptil 4% av selskapets globale omsetning. ^[2]

Statistikken viser at over 80% av personvernbrudd skyldes menneskelige feil, ikke avanserte hackerangrep.^[3] En ansatt som sender en e-post med sensitive vedlegg til feil person er det vanligste scenarioet. Dette viser at teknisk sikkerhet bare er halve kampen; rutiner og kunnskap er vel så viktig.

Samtykke vs. Berettiget interesse

Aktivt samtykke

1. Du må utføre en aktiv handling (f.eks. huke av en boks) for å godta
2. Det skal være like enkelt å trekke samtykket som å gi det
3. Formålet må være spesifisert og klart før du sier ja

Berettiget interesse

1. Bedriften vurderer selv at deres behov veier tyngre enn ditt personvern
2. Du må sende en formell innsigelse som bedriften må vurdere
3. Oftest beskrevet i generelle vendinger i personvernerklæringen

Erik og kampen mot de digitale sporene

Erik, en 32 år gammel lærer fra Oslo, oppdaget at en treningsapp han ikke hadde brukt på to år fremdeles sendte ham personlige tilbud basert på pulsen hans. Han følte seg overvåket og ukomfortabel med at dataene fremdeles lå lagret.

Han prøvde først å slette kontoen i appen, men knappen var gjemt dypt inne i en undermeny som ikke fungerte på mobilen hans. Erik ble irritert og holdt på å gi opp hele prosjektet.

Han innså at han ikke trengte appens tillatelse. Han sendte en formell e-post med henvisning til retten til sletting i personopplysningsloven. Da skjedde ting raskt.

Innen to uker bekreftet selskapet at alle hans data var slettet permanent. Erik lærte at loven er hans sterkeste verktøy når teknologien svikter eller bedriftene prøver å være vanskelige.