MANGEL PÅ KONTROLL

Mer enn åtte av ti føler at de ikke har full kontroll over personopplysningene sine på nettet. To tredjedeler av disse sier de er bekymret på grunn av dette. Respondentene ble bedt om å rangere seks ulike hverdagslige aktiviteter ut i fra hva de er mest bekymret for når det kommer til sporing av personopplysninger. Flest (55 prosent) var bekymret i forbindelse med bruk av betalingskort, og ved bruk av mobiltelefon og mobilapper.

LIKER IKKE Å BETALE MED PERSONOPPLYSNINGER OG TILPASSET REKLAME

Over halvparten av respondentene er uenig i et utsagn om at de ikke har noe imot å oppgi personopplysninger i bytte mot gratis tjenester på nettet. En tredjedel er enig i utsagnet – de har altså ikke noe imot å betale med personopplysninger for tjenester på nettet. Det er ganske interessant at såpass få synes det er greit, med tanke på at nesten alle av oss faktisk gjør det, for eksempel ved å bruke Gmail eller Facebook.

Det er også verdt å merke seg at over halvparten sier de ikke er komfortabel med å få personlig tilpasset reklame på nett.

ØNSKER KONTROLL, MEN VET LITE HVORDAN PERSONOPPLYSNINGENE BLIR BRUKT

Sju av ti mener at bruk av deres personopplysninger kun bør skje hvis de har gitt sitt eksplisitte samtykke. Like mange er bekymret for at opplysningene deres blir brukt for andre formål enn det de var ment brukt til i utgangspunktet. Hele ni av ti ønsker å bli informert hvis opplysninger om dem kommer på avveier eller blir stjålet.

Kun én av fem respondenter sier at de alltid er informert om hvilke avtalevilkår som ligger til grunn når de oppgir personopplysninger på nett. Omtrent like få sier at de leser hele personvernerklæringen. De fleste synes at slike erklæringer for lange og vanskelige å forstå.

FIRE AV TI HAR ALDRI ENDRET PERSONVERNINNSTILLINGENE SINE

Fire av ti av de som bruker sosiale nettjenester har aldri endret personverninnstillingene sine. Av de som ikke har endret innstillingene sine var det flest (24 prosent) som svarte at årsaken var at de stolte på at tjenesten de bruker har satt de mest hensiktsmessige innstillingene som standard.

REDD FOR SVINDEL OG IDENTITETSTYVERI

Respondentene ble spurt om hva de ser på som de største risikoene for egne personopplysninger. Å bli et offer for svindel (50 prosent), identitetstyveri (40 prosent) og at opplysningene deres ble brukt uten at de vet det (32 prosent) er det folk er mest bekymret for.

Når respondentene ble spurt om hvem som er ansvarlig for at personopplysninger blir behandlet på en sikker måte er det interessant å se at hoveddelen (42 prosent) peker på seg selv først. 33 prosent mener at nettjenester er hovedansvarlig og 21 prosent mener at myndighetene har dette ansvaret.

VIL HA PERSONVERNRETTIGHETER PÅ TVERS AV GRENSER

En viktig drivkraft bak å få et nytt europeisk personvernlovverk er at de samme reglene skal gjelde i alle europeiske land. Ideen er at det skal bli lettere for både virksomheter og enkeltindivider å forholde seg til lovverket på tvers av landegrenser. Undersøkelsen viser at dette er det også stemning for i befolkningen: Ni av ti sier at det er viktig for dem å ha de samme rettighetene og den samme beskyttelsen av personopplysningene sine uavhengig av i hvilket land tjenesten de bruker er basert.

Om undersøkelsen: Special Eurobarometer 432 Data protection er utført på vegne av den Europeiske kommisjonen. Undersøkelsen ble gjennomført i februar/mars 2015 og resultatene ble publisert i juni 2015. Last ned sammendraget og hele rapporten her.

Undersøkelsen samsvarer forøvrig også godt med personvernundersøkelsen vi selv gjennomførte for godt og vel et år siden.

Mye stod på spill da justisministrene fra de 27 EU-landene nylig møttes i Rådet i EU i et forsøk på å definere spillereglene for behandling av personopplysninger i Europa.

Har klart å bli enige

Rådets siste bragd er en delvis enighet om ordlyden i to helt sentrale bestemmelser i den fremtidige personvernforordningen:

• Prinsippet om én behandling. Prinsippet om «én behandling – én myndighet» (one-stop-shop) omfatter regler for samarbeid mellom personvernmyndigheter i viktige transnasjonale saker. Tanken er at den behandlingsansvarlige skal kun forholde seg til én myndighet, selv om de behandler opplysninger i flere europeiske land. Bestemmelsene fastsetter hva oppgavene til de nasjonale personvernmyndighetene er, hvordan de skal håndtere en eventuell uenighet seg imellom og hvilke beslutninger som skal løftes til europeisk nivå. Bestemmelsene fastsetter også hvilke beslutningsmekanismer som skal til for å sikre enslydende tolkning av lovbestemmelsene. Dette er gode nyheter for store, multinasjonale bedrifter som opererer i flere land, og en hard nøtt å knekke for de av oss som jobber med å håndheve personvernrett i Europa.
• Hvordan beskytte personopplysninger. Bærebjelkene i beskyttelse av personopplysninger reguleres i forordningens kapittel II. Det er mye kjent stoff i teksten: Bestemmelser om behandlingsgrunnlag, grunnkrav til behandling av personopplysningene, vilkår for at samtykket skal kunne anses som gyldig, og regler som har å gjøre med samtykke fra barn. De strenge kravene vi i dag har til behandling av sensitive personopplysninger beholdes, og det er gitt adgang for medlemslandene til å vedta spesiallovgivning vedrørende behandling av personopplysninger på utvalgte områder (blant annet helse, arbeid, offentlig sektor, forskning og statistikk med offentlig interesse).

Med denne avtalen i boks på det som er det nest siste rådsmøtet i det latviske presidentskapet, kan det se ut som om drømmen om en fornyet, mer sammenhengende og mer moderne regelverk på personvernområdet er innen rekkevidde.

Fra før har flere brikker i den nye rettsakten falt på plass:

• Forordningens geografiske virkeområde. Kort oppsummert vil ikke-europeiske virksomheter måtte følge de samme reglene som de europeiske, dersom de velger å tilby tjenester eller varer til europeiske borgere, eller for eksempel å kartlegge bruksmønsteret til europeiske nettbrukere.
• Forordningens anvendelse i offentlig sektor. Dette er ingen overraskelse for oss, siden personopplysningsloven gjelder også behandlingen av personopplysninger i offentlige virksomheter. Det som virkelig er gledelig for oss er at Norge vil kunne beholde særreglene for behandling av personopplysninger i offentlig sektor, selv om disse skulle avvike fra forordningens bestemmelser.
• De behandlingsansvarliges og databehandlernes plikter. Denne delen skal vi komme tilbake til ved en senere anledning, siden temaet er verdt en egen diskusjon.
• Overføring av personopplysninger. Det er oppnådd enighet om bestemmelsene omkring overføring av personopplysninger til tredjeland eller internasjonale organisasjoner.
• Særskilte behandlinger av personopplysninger.  I praksis får medlemslandene adgang til å gjøre unntak fra forordningens regler når det gjelder behandling av personopplysninger for journalistiske, artistiske eller akademiske formål, i forhold til ytringsfriheten, vedrørende behandling av fødselsnummer og liknende. Det blir også muligheter for unntak når det gjelder arbeidsforhold eller til formål knyttet til arkivering, statistikk eller forskning.

… men alt er ikke bare en dans på roser …

Der 27 ulike nasjonale prioriteringer og interesser forsøkes forent, er det ikke overraskende at resultatet ikke blir optimalt. Sterke stemmer har allerede uttrykt bekymring for innholdet i Rådets forslag, som på noen områder legger opp til et lavere beskyttelsesnivå enn det som utgjør status quo etter personverndirektivet. Leder Isabelle Falque-Pierrotin i Artikkel 29-gruppen, EUs arbeidsgruppe for personvern, har i kjølvannet av EU-rådets vedtak forrige fredag kommet med en pressemelding der hun uttrykker bekymring for utvanningen av prinsippet om formålsbestemthet. Art 6 (4) i Rådets forslag tillater nemlig gjenbruk av personopplysninger som er innhentet til ett formål, til andre, uforenlige formål, dersom den behandlingsansvarlige har en berettiget interesse i at behandlingen finner sted. Denne bestemmelsen blir av personvernmyndighetene sett på som et frontalangrep på personvernet, sammen med det faktum at direkte markedsføring og forskning blir forstått som to forenlige formål for bruk av personopplysninger. Disse bestemmelsene vil mest sannsynligvis ikke stå uimotsagt verken i forkant av, eller i løpet av den såkalte trialogen mellom EU-rådet, -kommisjonen og -parlamentet.

Tre må være med på leken

Forestillingens siste akt er nemlig ikke spilt i Brussel. EU-kommisjonen, -parlamentet og -rådet må vedta likelydende tekster dersom forordningen skal bli vedtatt.

Rådets siste behandling av saken forventes i midten av juni. 14. og 15. juni skal justisministre fra de 27 EU-landene forsøke å lande noen overordnede prinsipper for forordningen. Dokumentet er frem til nå forhandlet kapittelvis under prinsippet «ingenting er avtalt til alt er fremforhandlet». Det skal da få en mer sammenhengende og ordentlig utforming og gjøres klart for den siste etappen i forhandlingene.

I juni vil Rådet få den formelle mandatet til å forhandle med Kommisjonen og Parlamentet. Da kan den myteomspunne «trialogen» begynne.

Personvernmyndigheter i EU- og EØS-landene venter spent på resultatene etter denne forestillingen, der høytstående representanter fra de tre EU-institusjonene vil danse seg frem til enighet etter en selvkomponert melodi.

Uansett hvor vellykket koreografien vil fremstå, vil den for en del av oss bli helt uforglemmelig. I alle fall vil forordningen som kommer som et resultat av den bli den helt sentrale rettsakten i Europa på personvernfeltet.

• Mer om EUs arbeid med ny lovgivning på Datatilsynets sider

I går vedtok EU-parlamenter ganske overraskende et forslag som på flere områder er både fremoverlent og spenstig. Det er ingen hemmelighet at Edward Snowden og PRISM-avsløringene har vakt stor irritasjon og bekymring i mange europeiske land, og at dette har satt fart på arbeidet. Ikke minst først har det ført til at reglene på flere punkter har blitt skjerpet.

Vi har enda ikke hatt mulighet til å studere alle detaljer i teksten, men her er noen foreløpige høydepunkter:

Europeisk rett gjelder for alle – og det skal koste å bryte loven

All behandling av data som skjer i Europa skal følge europeiske regler. Som en representant i parlamentet sa: ” Driver du forretninger i Europa må våre regler følges”. Det betyr at ikke-europeiske selskaper som driver business i Europa ikke lenger kan skjule seg bak sitt eget lands regelverk og si at ”for oss gjelder amerikansk, ikke europeisk rett” ( PS: Eksemplet er ikke tilfeldig valgt). Alvorlig brudd på regelverket vil også kunne bøtelegges kraftig. Max-grensen er 100 000 000 Euro, eller 5% av selskapenes globale omsetning.

Rett til å bli glemt

Folk får en styrket rett til å bli glemt, det vil si en rett til å få sine data slettet. Det finnes tilsvarende regler i dag, men kommer nå klarere fram. Hensikten er ”å styrke  EU-borgerne, og særlig ungdom, sin makt og selvbestemmelse over sin egen identitet på nettet”. Retten gjelder også overfor tredjeparter dataene er delt med.

Innebygd personvern

Datatilsynet har i flere år vært opptatt av at personvern må bygges inn i de teknologiske løsningene så tidlig som overhode mulig etter prinsippene om innebygd personvern. Det blir nå lovbestemt at disse viktige prinsippene skal følges og at personvern skal bygges inn på et ”tidligst mulig tidspunkt”.  Personvern skal også være førstevalget. Her nevnes som eksempel når man er medlem i et sosialt nettsamfunn. Det betyr at brukerne i større grad enn i dag må si JA før det for eksempel innføres nye tjenester, og at tjenestene ikke i like stor grad kan tres nedover hode på folk.

Og hva nå?

EU-kverna er ikke ferdig med å male, og fortsatt gjenstår mye arbeid. Blant annet skal Rådet nå si sitt, og det vil sikkert bli endringer under marsjen. Det er også ting som ikke er bra med vedtaket, bl.a. er det lagt opp til en god del byråkratiske prosesser og det er usikkert hvor stor innflytelse Norge vil få i de nye EU-organene som foreslås. Det kommer jeg tilbake til i nye blogg-innlegg om ikke lenge. I mellomtiden kan hovedpunktene i forslaget leses her.