GDPR: Fem år med spennende utfordringer – og litt magi
Personvern er et praktisk fag. Alle norske virksomheter må, i en eller annen utstrekning, forholde seg til personvernregelverket – personvernforordningen (GDPR) og personopplysningsloven. Det å tilegne seg både grunnleggende kunnskap om selve regelverket og praktisk personvern gir derfor en svært relevant kompetanse.
I dag, 25. mai 2023, feirer hele Europa at GDPR, eller personvernforordningen, er fem år. Personvernforordningen trådte egentlig i kraft i EU den 24. mai 2016. Det var imidlertid først fra 25. mai 2018 at alle virksomheter i EU måtte følge reglene og tilsynsmyndighetene kunne begynne håndhevingen. For oss i Norge trådte personvernforordningen i kraft først den 20. juli 2018. Komplisert skal det være, men det som er sikkert er at vi feirer sammen med våre søstertilsyn i dag. Vi har hatt en bratt læringskurve. Regelverket er komplisert, og det har vært krevende både for virksomheter og tilsyn å sørge for best mulig etterlevelse. Heldigvis er det en større mening og verdi bak det hele: Personvern er en menneskerettighet vi ikke kan ofre for digitaliseringsiveren. Personvernet er i dag viktigere enn noen gang, som en grunnleggende forutsetning for vårt demokratiske samfunn.
Men hva er egentlig personvern i dag?
Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvernkommisjonen uttaler følgende i sin rapport NOU 2022: 11 Ditt personvern – vårt felles ansvar – Tid for en personvernpolitikk, på side 29:
«Personvern kan defineres og beskrives på ulike måter. Uansett hvilken innfallsvinkel du velger, står det enkelte menneskets ukrenkelighet og krav på respekt fra andre mennesker, virksomheter og myndigheter, respekt for egen integritet og privatlivets fred, sentralt. Personvern er derfor nært knyttet til enkeltindividers muligheter for privatliv, selvbestemmelse og selvutfoldelse. I tillegg kan personvernet sies å være et grunnleggende premiss for et fullverdig demokratisk samfunn».
Retten til personvern beskrives her som en absolutt forutsetning for et fullverdig demokrati. I dagens digitale samfunn og den teknologiske revolusjonen vi står midt oppi, er personopplysningsvernet helt sentralt for å ivareta grunnleggende personvern, integritet og privatlivets fred. I den digitale tidsalderen vi er i, trer nemlig data frem som det definerende symbolet på vekst, fremskritt og makt. Og byggesteinene i dagens digitale økonomi er i stor grad personopplysninger.
Personvern er ikke bare en viktig menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet og privatliv. Personvern er også viktig for å sikre felles goder i et demokratisk samfunn. Uten retten til å ha et privatliv vil det ikke være mulig for den enkelte å skape seg et rom til å utvikle refleksjoner og vurderinger på et selvstendig grunnlag, uten å bli forstyrret eller kontrollert av andre.
Intet personvern, intet demokrati
Personvernforordningen er et viktig og komplekst regelverk, som har løftet personvernet på alle områder av samfunnet. GDPR gir både private og offentlige virksomheter plikt til å sørge for grunnleggende personopplysningsvern for alle de behandler opplysninger om – det være seg ansatte, kunder, pasienter, brukere eller innbyggere. Den gir også enkeltindivider rettigheter som de behandlingsansvarlige, altså virksomhetene som behandler dine data, må møte.
Plikt- og rettighetsbestemmelsene i forordningen gir til sammen et omfattende regelvern for ivaretagelse av personvernet og personopplysningsvernet til enkeltindivider. På et mer overordnet nivå er summen av plikter og rettigheter med på å regulere samfunnets ivaretagelse av personvernet og personopplysningsvernet. Denne felles innsatsen er derfor et viktig fundament i det norske demokratiet. Intet personvern, intet demokrati.
Krevende regelverk gir også magi
Innføringen av GDPR i 2018 var et vannskille for personvernet og personopplysningsvernet. Mange har dog erfart at regelverket kan være teoretisk og vanskelig tilgjengelig, og ikke minst krevende å omsette i praksis.
Magien skjer når du klarer å omsette personvernforordningen fra teoretisk lovtekst til operasjonelt og funksjonelt personvern. Jeg har ofte beskrevet det som en «oversetterjobb» – kravene som følger av lovteksten må omsettes til praktiske og gjennomførbare tiltak hos den behandlingsansvarlige. Slik er det til en viss grad med all lovtekst – den må tolkes og forstås opp mot en faktisk og praktisk virkelighet. Men for personvernregelverket kommer dette særlig på spissen, ettersom ansvarlighetsprinsippet medfører at det er den behandlingsansvarlige som må vurdere, velge og prioritere tiltak, og gjennomføre og dokumentere hvilke grep som sikrer etterlevelse i den konkrete virksomheten.
Veien fra lovtekst til personvern i praksis må læres. Med kunnskap om både lov og praksis, har du et godt grunnlag for å være med på å forstå en viktig grunnsten i det norske demokratiet.
Gratulerer med femårsdagen!
Vi kan ikke ta pause nå: Ketchup, personvern og hverdags-kunstig intelligens
Det skjer en ketchup-effekt innen utvikling av kunstig intelligens (KI) akkurat nå, eksemplifisert gjennom gøyale bildegenereringstjenester og ikke minst Chat GPT som lynraskt produserer ofte overraskende presis tekst og litt rare dikt – for å nevne noe. Samtidig vil...
Sandbox Experiments: controlled explosions
Dette er et utdrag av et innlegg som ble holdt av Datatilsynets direktør, Line Coll, i EU-parlamentet den 7. mars 2023. Anledningen var et seminar om "EU AI Act", en ny forordning foreslått av EU-kommisjonen for å regulere kunstig intelligens. Coll snakket om...
Kunsten å invitere på teknologisk blåtur
Kunstig intelligens er som en ustoppelig arbeidshingst. Den kan kjapt kan se sammenhenger, som tradisjonell intelligens kanskje aldri ville oppdaget. Kunstig intelligens (KI) kan derfor gi mange nye muligheter. Akkurat til hva, kan likevel være vanskelig å spå før...
Menneskerettslige perspektiver i den digitale tidsalderen
Den grunnleggende retten til en privat sfære, fri for andres blikk, er under press når samfunnets behov for sikkerhet blir ivaretatt ved å ta i bruk kraftige digitale overvåkningsverktøy. Dette truer våre grunnleggende menneskerettigheter. Denne bloggen er basert på...
I møte med ny teknologi trenger vi også luddittenes opprørskraft
Dette innlegget sto på trykk i Morgenbladet 24. januar. Dag Mostuen Grytli er fast bidragsyter i avisens serie "Menneske og maskin". Tonje Brenna kan lære litt av en terrorist fra 1800-tallet. «Du er og blir en ludditt», har jeg flere ganger slengt etter min kone når...
Når er det nok overvåking?
Dette innlegget sto på trykk i Dagsavisen 8. februar, og er skrevet av direktør Line Coll og seniorrådgiver Jan Henrik Mjønes Nielsen. Masseinnsamling av personopplysninger og myndighetsovervåking av hensyn til nasjonal sikkerhet er blitt kraftig utvidet gjennom flere...
God cybersikkerheit er også godt personvern
Dette innlegget er eit innspel til debatten om forskrift om overvaking i arbeidslivet vs. behovet for god informasjonssikring. Innspelet sto på trykk i Dagens Næringsliv 8. februar 2023, og dette er ein forlengd versjon. Personvernet vil lide dersom ei verksemd lar...
Reisebrev fra Israel
Jeg dro til Israel for å dele kunnskap, men den som lærte mest, var nok meg. Idet jeg lander i Tel Aviv, får jeg en melding: Du bør ikke dra til Jerusalem i morgen, for det har vært et terrorangrep der. Jeg fikk også råd om å holde meg unna Tel Aviv sentrum lørdag...
Den personvernpolitiske vendingen
Denne teksten er deler av et innlegg jeg holdt under Personverndagen 2023: Neste generasjons personvern (datatilsynet.no). Personvern er en individfokusert rettighet. Personvernforordningen gir enkeltindivider rettigheter og pålegger virksomheter plikter for å møte...
Digital masseovervåking
Forslaget til ny etterretningslov vil begrense vår frihet og vårt demokrati. Den må endres. Dette innlegget ble først publisert i NRK Ytring 25.10.2022. Innlegget er skrevet av juridisk senirorådgiver Jan Henrik Mjønes Nielsen og direktør Line Coll i Datatilsynet. På...
Siste kommentarer