Dette innlegget stod på trykk i Morgenbladet fredag 24. september og er skrevet av Dag Mostuen Grytli og meg selv – vi jobber begge i Seksjon for utredning, analyse og politikk i Datatilsynet.

I 1962 publiserte den amerikanske biologen Rachel Carson Den tause våren, som er kjent som en av de viktigste ledestjernene for den globale miljøbevegelsen. Carsons oppgjør med sprøytemiddelindustrien førte til konkrete samfunnsendringer, og bidro til en forståelse av miljøødeleggelser som kollektiv skade: alles liv forringes og trues når økosystemene vi er en del av, dør.

Tiden er overmoden for å gjøre det samme med personvern. I en kommentar i Morgenbladet etterlyser Lena Lindgren politikere som vil jobbe for digital selvråderett. Den regjeringsutnevnte Personvernkommisjonen er et godt sted å starte, og kommisjonen bør benytte anledningen til å sette de kollektive skadevirkningene av personvernkrenkelser og inngripende overvåkning på dagsordenen.

«Jeg samtykker til at demokratiet forvitrer»

Et menneske er ingen øy, og de siste årene har det skjedd en merkbar endring i hvordan personvernrettigheter forstås og debatteres. Beskyttelse av enkeltindividets grunnleggende rettigheter og friheter vil alltid være personvernets kjernefunksjon, men den kollektive verdien som følger av enkeltindividets vern, og de kollektive skadevirkningene av at personvernet svekkes, blir stadig mer presserende å snakke om.

Når en fellesressurs ødelegges fordi alle brukerne av ressursen handler til sitt eget beste, selv om de på lang sikt skader seg selv, kalles for allmenningens tragedie. Vår tids digitale utfordringer bærer i seg et element av dette: de digitale økosystemenes annonsedrevne overvåkningsmodell forurenser offentlighetssfærer og skader demokratier over hele kloden. På samme måte som en lang rekke ressursproblemer som vannmangel, overfiske og global oppvarming.

I tråd med den digitale tidsalderens ånd står vi fritt til å inngå avtaler med verdens største selskaper, hvor vi tvinges til å akseptere vilkår som bryter med grunnleggende rettigheter. Det finnes mange grunner til at personvernerklæringer og «jeg godtar»-knapper ikke fungerer. En av dem er at de kollektive skadevirkningene av individuelle valg er vanskelige å få øye på. Dette er også allmenningens tragedie.

Summen av den omfattende sporingen endrer forutsetningene for demokratiske friheter, som ytringsfriheten og muligheten til å søke informasjon. Hvis vi konstant mistenker at vi er overvåket, vil mange legge bånd på seg, noe som fører til en nedkjølingseffekt. Nedkjølingseffekten er spesielt kritisk for utsatte grupper som allerede føler seg utpekt og mistenkeliggjort, som varslere, minoriteter og andre som kanskje har meninger som ikke følger midtstrømmen.

Uintenderte metaforer

Mennesker er den eneste arten som forstår verden gjennom historier, myter og metaforer. Denne måten å forstå tilværelsen på kan belyse og mørklegge. Metaforer kan også fungere på måter som sannsynligvis ikke var intensjonen når metaforen først ble lansert.

Klisjeen om at data er den nye oljen, er en slik metafor. I utgangspunktet skulle sammenligningen peke mot de enorme verdiene som ligger i storskalainnsamling og analyse av personopplysninger. Metaforen fungerer (muligens utilsiktet) også i kraft av at selskapene som dominerer de digitale markedene, utøver monopolmakt, på samme måte som oljeselskapene gjorde for et århundre siden.

I dag vet vi at den fossile energien som har revolusjonert vår verden, også potensielt kan ødelegge den. Og selv om livsstilsendringer på individnivå kan hjelpe, er det bred enighet om at klimakrisen må løses politisk.

Parallellene er flere. Vi kan observere at de mest personvernfiendtlige aktørene markedsfører sine tjenester som de mest personvernvennlige, med dyre reklamekampanjer og sponsing av konferanser og utredninger. Personvernvasking kan legges til begrepslisten ved siden av grønnvasking og rosavasking.

Datasølet, liksom oljesølet, treffer også ulikt. Vi har sett stygge eksempler på at folk med mørk hudfarge blir feilpredikert av ansiktsgjenkjenningsteknologi eller at algoritmer diskriminerer på kjønn i rekrutteringsprosesser. Cambridge Analytica ble på samme måte et skandalisert selskap da de ekstremt inngripende valgmanipulasjonsmetodene deres ble avslørt i USA og Storbritannia. Lite ble skrevet om de trettitalls valgene de manipulerte i land på den sørlige halvkule. Vi ser også en tendens til at invaderende overvåkning av arbeidstagere er mest utbredt i lavtlønnede yrker.

I vår felles bakgård

Hvis data er den nye oljen, må vi snakke mer om forurensingen, utslippene og de kollektive skadevirkningene stordataalderen har medført. Bevisste forbrukervalg, nettvett og kunnskap om informasjonssikkerhet er viktig, men langt fra nok i dataforurensingens tidsalder. Vi må løfte samtalen og politikkutformingen mot en forståelse av personvern som et kollektivt gode, i tillegg til en fundamental rettighet på individnivå.

Hvordan kan vi konkret jobbe for at de kollektive konsekvensene av overvåkning og sporing blir en like naturlig del av samtalen som de kollektive konsekvensene av global oppvarming? En god start vil være at Personvernkommisjonen sørger for å koble det individuelle og forbrukerorienterte med det kollektive og samfunnsmessige.

Kina har vokst frem som et gigantisk laboratorium for eksperimentell databruk. Tre av de ti største internettselskapene i verden er nå kinesiske: Baidu, Alibaba og Tencent, populært kalt BAT. På enkelte områder, for eksempel innen finansiell teknologi og mobile betalingsløsninger, er Kina i førersetet for utvikling av nye og innovative løsninger. Tiden da Kina kun var en etteraper som laget billige kopier av produkter fra vesten, er definitivt over.

Nå vil Kina bli supermakt på kunstig intelligens. Kinesiske myndigheter investerer hundretalls milliarder kroner i utviklingen av kunstig intelligens og målet er å bli verdensledende på dette området innen 2030. Med seg på laget har de BAT-selskapene.

For å utvikle kunstig intelligens er man avhengig tilgang til mye data. Data, som i mange tilfeller er personopplysninger, er drivstoffet som gjør at systemer kan lære og blir intelligente. Her har Kina en stor fordel i kappløpet om å utvikle verdens beste kunstige intelligens.

Med sine 1,4 milliarder innbyggere og omfattende dataregistre, har Kina tilgang til enorme datamengder. I tillegg har landet den fordelen at det er få restriksjoner knyttet til hvordan data kan utnyttes. Myndigheter og kommersielle virksomheter kan derfor utvikle kunstig intelligens uten de samme begrensningene som personvernlovgivningen setter i Europa.

I Europa kan for eksempel myndigheter og selskaper ikke uten videre kan bruke data de har samlet inn fra oss til andre og nye formål vi ikke kjenner til. De må også begrense innsamlingen av opplysninger til det som er strengt nødvendig. Disse prinsippene skal gi oss kontroll over våre egne opplysninger og utviklingen av kunstig intelligens må finne sted innenfor disse rammene.

Takket være enorme databaser med bilder av befolkningen, er Kina verdensledende på utvikling av ansiktsgjenkjenningsteknologi. Kina har installert det mest omfattende kameraovervåkningssystemet i verden. 150 millioner kameraer er utplassert og innen fire år skal 400 millioner nye kameraer monteres opp. I byen Guiyang har kameraovervåkningssystemet samlet inn bilder av alle byens 3,4 millioner innbyggere og koblet dem til den enkeltes ID-nummer, ifølge BBC.

Ansiktsgjenkjenning brukes allerede av banker, restauranter og til og med på offentlige toaletter i Kina for å fastslå folks identitet. Det er likevel politi- og sikkerhetsmyndighetene som er mest ivrige etter å ta i bruk teknologien. Det nasjonale kameraovervåkningssystemet er utrustet med ansiktsgjenkjenningsteknologi, og kan i tillegg fastslå kjønn, alder og etnisitet. BBC-journalist John Sudworth fikk tillatelse til å teste ut systemet i Guiyang. Basert på et bilde av ham som han sendte til politiet i forkant av et besøk i byen, tok det kun syv minutter fra Sudworth gitt ut på gaten i Guiyang, til ansiktsgjenkjenningssystemet hadde lokalisert ham og politiet kunne «anholde» ham. Siste nytt er at politiet har utvidet sitt overvåkningsarsenal med briller med ansiktsgjenkjenningsteknologi. Med disse brillene på kan politiet pågripe suspekte individer enda mer effektivt.

Den kunstig intelligente fremtiden er ikke bare dystopisk. Teknologien vil også løse mange viktige samfunnsoppgaver fremover. Det er derfor avgjørende at Norge og Europa for øvrig ikke blir sinker på dette området. Utviklingen vi ser i Kina berører oss derfor, både som utviklere og brukere av teknologien.

Kunstig intelligens kan selges som programvare på det globale markedet. Google og IBM tilbyr sine kunstig intelligens-løsninger til private og offentlige aktører over hele verden. Om noen år kan den beste kunstige intelligensen i verden være utviklet av et kinesisk selskap. Når denne programvaren tilbys på verdensmarkedet, vil det da være OK for et norsk sykehus eller bank å velge denne? Spørsmålet er om vi fremover må stille etiske krav til den kunstige intelligensen vi tilbys på samme måte som vi stiller etiske krav til hvordan andre forbruksvarer er fremstilt og produsert, som for eksempel matvarer og klær.

For å holde tritt med utviklingen av kunstig intelligens i Kina, kan det bli fristende for europeiske virksomheter å flytte produksjonsmiljøene som jobber med kunstig intelligens dit. Vi har allerede sett de første eksemplene på dette. Det britiske teknologiselskapet Medopad flyttet utviklingen av sin kunstig intelligens-baserte helseapplikasjon til Kina. I Storbritannia hadde de ikke tilgang til store nok datamengder for å kunne trene opp algoritmene sine. Ved å samarbeide med Tencent, Kinas ledende sosiale nettsamfunn, fikk selskapet tilgang til brukerdata i en helt annen målestokk enn hjemme i Storbritannia. Nylig opprettet også Google en kunstig intelligens-avdeling i Kina.

Samtidig som kinesiske myndigheter utvikler og bruker kunstig intelligens på autoritære måter, er det tegn som tyder på at de kinesiske teknologigigantene ser nødvendigheten av å sette personvern på dagsordenen. Teknologiselskapene ønsker å ekspandere vestover på jakt etter mer brukerdata som de kan bruke i utviklingen av kunstig intelligens. Skal de levere tjenester som har tillit i de vestlige markedene, må de bygge løsninger som ivaretar grunnleggende personvernhensyn. Det er imidlertid mer tvilsomt om kinesiske myndigheter vil ta slike hensyn i sitt arbeid med å realisere ambisjonen om å bli verdensledende innen kunstig intelligens.

«Det er den draumen me ber på, at noko vidunderlig skal skje.» Ordene fra lyrikeren Olav H. Hauge oppsummerer kanskje de store forhåpningene vi har til kunstig intelligens. Allerede i dag kan algoritmer gjenkjenne ansikter eller treffe beslutninger basert på enorme mengder data i løpet av et sekund. Teknologien har potensial til å revolusjonere sektorer som helse og finans.

Alt som er teknisk mulig er ikke alltid til det beste – og det er heller ikke alltid tillatt.

Skjeve algoritmer
Domstolene i noen av statene i USA har tatt i bruk maskinlæring i et system for utmåling av straff og kausjonsbetingelser. Dobbelt så mange afroamerikanere som hvite ble feilaktig ansett å ha høy risiko for å begå nye lovbrudd.

Vi er bare i startgropen på noe som vil ha en betydelig effekt på samfunnet. Derfor er det viktig at vi tar diskusjonen nå – hvilke rammer trenger vi for å kunne realisere mulighetene i kunstig intelligens på en oversiktlig, trygg og rettferdig måte?

Svarte bokser og dype nett
En enkel og forståelig algoritme for å kjenne igjen et ansikt kan være å kun se på om håret er lyst eller mørkt. Da er det én regel som styrer ansiktsgjenkjenningen.

Såkalte dype nett er den nyeste utviklingen og selskaper som Google og Facebook ligger helt i front. Dype nett kan ha millioner av parametre, som hver for seg beskriver en enkel sammenheng. Millioner av slike enkle biter gir modeller som er komplekse og presise, men som også kan være vanskelige å forstå selv for dem som har laget dem – såkalte svarte bokser.

Algoritmene kan ikke gjøre som de vil
De nye personvernreglene fra EU (GDPR) som trer i kraft i mai stiller større krav til dem som behandler personopplysninger og setter grenser for bruk av teknologi. Sentralt for bruk av kunstig intelligens i de nye reglene er dataminimering, rettferdig behandling og ikke minst gjennomsiktighet.

Brukeren har rett til å få grunnleggende informasjon om behandlingen. Ved en helautomatisert avgjørelse med betydelig konsekvens for den registrerte kan vedkommende også ha rett til en forklaring på hvordan avgjørelsen er tatt. Å ikke følge reglene kan gi bøter eller pålegg om å endre praksis eller slutte å behandle personopplysninger.

Innsyn i algoritmene er teknisk mulig
Vi har den siste tiden sett flere eksempler på utprøving av tekniske løsninger som gjør det mulig å se inn i algoritmene uten å avsløre mer enn den registrerte har krav på å få vite. En algoritme henter ut en forståelig forklaring på hvordan algoritmen har vurdert akkurat dine data. Slik metodikk for å se inn i algoritmer uten å kjenne dem i detalj – en slags kunstig intelligens for å forklare den kunstige intelligensen – forskes det aktivt på i dag.

Videre utvikling er avhengig av folks tillit
En bærekraftig utvikling av personaliserte tjenester forutsetter at folk er villige til å dele opplysningene sine og at de stoler på at opplysningene deres blir ivaretatt på en ansvarlig måte. Hvis din virksomhet vil ta i bruk kunstig intelligens bør du først vurdere mulige personvernkonsekvenser, ha gode systemer for å ta vare på de registrertes rettigheter og teste løsningene jevnlig for å unngå innebygd, urimelig forskjellsbehandling. Det kan dessuten være at du må velge mellom en modell som gir best mulig resultater og en modell det også er mulig å forklare.

Til slutt: Det offentlige må gå foran med etiske og personvernvennlige løsninger og det bør forskes mer på løsninger som sikrer personvernvennlig kunstig intelligens og gjør det lettere å følge reglene. Dette kan også bli en konkurransefordel for norske virksomheter.

Denne teksten ble trykket som kronikk i Dagens Næringsliv sin teknologispalte fredag 12. januar med Anders Løland fra Norsk Regnesentral og Bjørn Erik Thon fra Datatilsynet som medforfattere i tillegg til meg selv. Samme dag ble Datatilsynets rapport om personvern og kunstig intelligens lansert, les mer om den her.

Regelverket stiller ingen spesifikke krav når det kommer til utdanningsbakgrunn eller sertifiseringer, men det stilles tydelige krav til kompetanse og egnethet. Ombudet skal velges på grunnlag av:

• Faglige kvalifikasjoner. Ombudets faglige kvalifikasjoner bør stå i forhold til hvor omfattende behandling av personopplysninger virksomheten har, og hvor sensitive og komplekse opplysningene er. Hvis en virksomhet behandler store mengder personopplysninger eller overfører data i stor skala til tredjeland er det ekstra viktig å utnevne et personvernombud med sterk faglig tyngde.
• Dybdekunnskap om personvernlovgivning og praksis på området. Personvernombudet forventes å ha oversikt over, og å gi råd om, rammene for etterlevelse av både forordningen og annet personvernrelevant regelverk med betydning for virksomheten. Behovet for dybdekunnskap om tilstøtende regelverk vil naturlig nok variere. I noen tilfeller vil det ikke være annet relevant regelverk, mens det i andre vil det være sektorspesifikk lovgivning som kan ha bestemmelser av betydning for personvernet. Det er også en fordel at ombudet har erfaring fra og kjennskap til sektoren. Ombudet bør også ha en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten.
• Evne til å utføre oppgavene sine. Dette referer både til personlige egenskaper og kunnskap, men også til ombudets posisjon i virksomheten. Når det kommer til personlige egenskaper er det relevant å vurdere integritet og evne til å gjøre etiske vurderinger, samt evnen til å stimulere resten av virksomheten til å behandle personopplysninger i tråd med regelverket.

Hva slags utdanningsbakgrunn bør personvernombudet ha?

Regelverket setter ingen krav til hva slags type utdanningsbakgrunn et personvernombud skal ha. I dagens ordning ser vi at ombudene kommer fra mange ulike slags bakgrunner. Men det er kanskje en overvekt av jurister, IT-rådgivere, HR-personell, revisorer og personell som jobber med compliance, organisasjonsstruktur, sikkerhet og regelverketterlevelse.

Som nevnt over er det viktig at personvernombudet har en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten. I tillegg er god forståelse av regelverket avgjørende. Et godt personvernombud trenger ikke nødvendigvis å være ekspert på alle disse feltene. Det viktige her er at det er en person som evner å tilknytte seg de personene og den kunnskapen hun eller han trenger i organisasjonen.

Hva slags kurs eller utdanning trenger et personvernombud?

Noen nye personvernombud vil ha med seg personvernrelevant erfaring fra tidligere, mens andre ombud vil være helt ferske og kanskje ikke ha noen erfaring med personvern. Virksomheten og ombudet må sammen se på hva slags kompetanseheving og kursing ombudet trenger for å kunne ivareta oppgavene sine på en god måte.

Vi anbefaler alle personvernombud å ta kurs eller utdanning som er relevant for sin oppgave. De aller fleste vil trenge det, eller i hvert fall ha stor glede av denne måten å tilegne seg kunnskap på. I dag er den mange som tilbyr kurs eller seminarer, med ulik profil og med ulik varighet. Kanskje finnes det også samlinger eller kurs som er spesifikk rettet mot en ønsket bransje, eller mot en bruk av personopplysninger som er særlig relevant for deres virksomhet?

Det viktige er at den enkelte finner en vei som passer dem samt utfordringen som virksomheten står overfor i sin bruk av personopplysninger. For noen er det naturlig å ta litt av gangen, eller å kombinere forskjellige kurs. For andre vil det beste være å finne en generell opplæring av en varighet som gjør det mulig å gå mer i dybden, typisk et større kurs som er ment for å gi et god fundament for personvernombud. For de som stiller på bar bakke kunnskapsmessig, anbefaler vi å ta kurs utover en dag eller to for å få kunnskapen og oversikten som trengs for å utføre ombudsoppgavene.

Datatilsynet tilbyr to dager med kurs for personvernombud i høst – disse er dessverre fullbooket, men vi vurderer å sette opp nye kurs våren 2018. Mer info kommer på Datatilsynets nettsiderdette er endelig bestemt. Våre kurs gir en innføring, men er ikke omfattende nok som fundament for et personvernombud med stort kunnskapsbehov.

Det er i tillegg en rekke personvernkurs på markedet som er relevante for personvernombudene.

Les mer

Vår samleside om personvernombudsordningen

Veiledere og annen informasjon om det nye personvernregelverket

Over mange år har forbrukermakten blitt gradvis styrket. Kombinasjonen av rettigheter, klagemuligheter og sterke institusjoner har bidratt til å balansere makten mellom forbruker- og næringslivssiden. Bransjer som har klart å se på klager og andre tilbakemeldinger fra forbrukerne som en ressurs har oppnådd suksess.

På personvernområdet har dette vært annerledes. Det har vært liten tradisjon for å se på personvern som et forbrukerspørsmål. Dette er i endring. I stadig flere forbrukertjenestene vi benytter daglig, er innsamling og analyse av personopplysninger en del av produktet Tjenester personifiseres i stadig større grad. Når vi leser nettaviser får vi annonser som passer vår personlige profil og kundekortene vi alle bruker samler opplysninger og gir oss tilbud og rabatter på det vi kjøper mest av. Personopplysninger brukes kommersielt, og tjenester som tilbys som gratis er selvsagt ikke det, men vi betaler med personopplysninger istedenfor med penger. Når datasamling er en viktig del av forretningsmodellen, blir personvern en viktig del av forbrukervernet

Nytt europeisk personvernregelverk styrker forbrukerrettighetene

Den nye personvernforordningen styrker forbrukernes rettigheter. Det dreier seg bl.a. om større rett til å kreve data slettet, og til å motsette seg profilering. Såkalte «take it or leave it»-løsninger blir ikke lengre tillat. I tillegg innføres det såkalt dataportabilitet, som betyr at forbrukerne kan kreve å ta med seg dataene sine fra et selskap til et annet. Opplysningene har altså en verdi som jeg selv kan velge å omsette til et bedre tilbud, eller kreve å få overført til et selskap som ikke benytter dataene mine på en måte jeg misliker. Dette minner litt om nummerportabilitet, altså at man kunne ta med seg mobilnummeret sitt når man skiftet teleoperatør. Da dette ble innført i 2001, ble det virkelig fart i konkurransen. Å flytte store datamengder er selvsagt mye mer komplisert enn å overføre et mobilnummer. Men tenkningen er lik: Konkurransen skal stimuleres og eiendomsretten til egne data skal styrkes. I dag er det ofte slik at den som har mest data kan tilby de beste tjenestene. Det har en innelåsende effekt, hindrer konkurranse og innovasjon, omtrent som en evig lang bindingstid på en forbrukerkontrakt. Samtidig kan vi være låst til et selskap som behandler personopplysningene våre på en måte vi ikke liker, eller vi kan presenteres for vilkår vi enten må akseptere, eller vi må la være å bruke tjenesten.

I dag er det ofte slik at den som har mest data kan tilby de beste tjenestene.

Jeg har tro på at særlig denne regelen, men også de andre jeg har nevnt, vil få stor betydning. Når rettighetene styrkes, kan forbrukerne vise sin misnøye ved å bytte leverandør. Dette vil føre til bedre, mer balanserte vilkår og en konkurranse mellom leverandørene om å bli bedre.

Dette til forskjell fra i dag, hvor det finnes få insentiver for å ta personvern på alvor.

Forutsetninger for å lykkes

Men det er noen forutsetninger som må på plass for at dette skal skje.

For det første må folk bruke rettighetene sine. Informasjonsarbeid til forbrukerne blir viktig her. Det samme er konkret hjelp til å få overført dataene sine. Når forbrukerne får en ny rettighet, er det naturlig at Forbrukerrådet bistår forbrukere som ikke får gjennomslag for sin rett, slik de i dag bistår hvis en vare eller tjeneste har en mangel.

For det andre må Datatilsynet håndheve reglene. Virksomhetene må følge lovens regel om å legge til rette for dataportabilitet. De må utvikle teknologiske løsninger, ta initiativ til standardiseringsarbeid og samarbeide for å få dette til. I bakhånd lurer store overtredelsesgebyrer fra Datatilsynet for de som ikke legger til rette for dataportabilitet.

Det er også viktig at samarbeidet mellom personvern, konkurranse- og forbrukermyndigheter blir bedre. European Data Protection Supervisor (det Europeiske Datatilsynet) har tatt initiativ slikt initiativ der vi deltar aktivt, og i Norge har vi de siste årene utviklet et meget god samarbeid mellom Forbrukerrådet, Forbrukerombudet og Datatilsynet, og blant annet samarbeidet tett i behandling av enkeltsaker.

Selv om forbrukerrettighetene er styrket gjennom mange år, er der selvsagt fortsatt en vei å gå. Det er viktig at forbrukerne gjør bevisste og rasjonelle valg i markedet. Tradisjonelt har vi rådet dem til å velge en vare eller tjeneste på grunnlag av pris, kvalitet og miljøegenskaper. Nå må et nytt element inn: Hvor godt er personvernet ivaretatt?

Artikkel 37 i den nye forordningen som kommer fra EU sier at både behandlingsansvarlige og databehandlere skal utpeke et personvernombud dersom:

1. behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som handler innenfor rammen av sin domsmyndighet,
2. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller
3. den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 (sensitive personopplysninger) eller personopplysninger knyttet til straffedommer og straffbare forhold som er nevnt i artikkel 10.

Med mindre det er helt opplagt at en virksomhet ikke er pålagt å ha ombud, anbefaler Datatilsynet at virksomheten dokumenterer de vurderingene som har blitt gjort dersom personvernombud ikke blir opprettet. Dokumentasjonen er nødvendig for å kunne vise at virksomheten har gjennomført en reell vurdering, der alle relevante faktorer har blitt tatt med. Vurderingene bør oppdateres ved behov, for eksempel hvis virksomheten starter nye behandlinger av personopplysninger som kan være omfattet av de tre punktene over.

Hva faller innenfor «offentlig myndighet og organ»?

Forordningen definerer ikke hva offentlig myndighet og organ betyr i vår sammenheng, og det er opp til hvert land å definere ut i fra sitt lovverk og kontekst. I høringsutkastet fra Justisdepartementet er det foreslått at de organene som omfattes av offentlighetsloven § 2 a skal være pålagt å ha ombud. Det vil i så fall innebære at staten, fylkeskommuner og kommuner har plikt til å opprette personvernombud. Hvordan offentlig sektor defineres vil bli endelig avklart når det nye regelverket vedtas i Stortinget.

Hvem innen privat sektor må ha ombud?

Virksomheter som har som hovedvirksomhet å gjøre følgende i stor skala, må opprette personvernombud:

• regelmessig og systematisk monitorering av personer, eller
• behandling av sensitive personopplysninger, eller
• behandling av opplysninger om straffbare forhold

Nedenfor forklarer vi nærmere hvordan de ulike begrepene kan tolkes.

Hovedvirksomhet «Hovedvirksomhet» er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål. Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkter eller tjenester, skal det ses på som en hovedvirksomhet.

To eksempler på dette:

• Et sykehus sin hovedvirksomhet er å gjøre folk friske, men sykehuset kan ikke gjøre det uten å behandle personopplysninger i stor skala. Sykehuset er derfor pålagt å ha personvernombud.
• Et sikkerhetsselskap utfører kameraovervåking på flere kjøpesentre. Å sørge for sikkerheten er hovedvirksomheten, men dette forutsetter behandling av personopplysninger. Sikkerhetsselskapet blir derfor pålagt å ha personvernombud.

Personaladministrasjon og vanlig IT-støtte er standard i alle virksomheter, og blir i denne sammenheng ikke sett på som hovedvirksomhet. Dermed utløses ikke pålegget om å ha personvernombud.

Stor skala Forordningen definerer ikke hva som ligger i begrepet «stor skala». Følgende faktorer bør imidlertid tas med i en vurdering av om en behandling er i stor skala, eller ikke:

• antallet personer det behandles opplysninger om
• mengden og omfanget av personopplysningene som blir behandlet
• varigheten av behandlingen
• det geografiske omfanget av behandlingen

Eksempler på aktører som foretar behandling av personopplysninger i stor skala er sykehus, offentlige transportsystemer i en by, banker, forsikringsselskaper, søkemotorer på internett og internett- og teletilbydere.

Eksempler på aktører som ikke vil falle inn under begrepet «stor skala» er fastleger eller advokater som kun behandler opplysninger for et begrenset antall pasienter eller kunder.

Regelmessig og systematisk Heller ikke når det gjelder «regelmessig og systematisk» gir forordningen en definisjon, men følgende punkter bør legges til grunn i en vurdering:

• Regelmessig:
  • Behandlingen av personopplysninger skjer løpende eller jevnlig i en bestemt periode
  • Behandlingen gjentas på bestemte tidspunkter
• Systematisk:
  • Behandlingen av personopplysninger skjer etter et system
  • Behandlingen er forhåndsbestemt, organisert eller metodisk
  • Behandlingen skjer som en del av en generell plan for datainnhenting
  • Behandlingen skjer som en del av en strategi

Monitorering «Monitorering» beskrives nærmere i fortalepunkt nummer 24 («fortale» er en innledende forklaring til de enkelte artiklene i lovteksten):

«For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.»

Oppsummert omfatter «monitorering» i denne sammenhengen alle former for sporing og profilering på nettet, inkludert persontilpasset reklame.

Begrepet monitorering begrenses imidlertid ikke bare til aktiviteter på internett. Eksempler på aktiviteter som kan falle inn under begrepet monitorering er:

• drift av et telekommunikasjonsnettverk
• målrettet e-postreklame
• profilering og vurdering i forbindelse med kredittvurdering
• sporing av lokasjon i mobilapplikasjoner
• monitorering ved bruk av helsearmbånd
• kundeklubber eller lojalitetsprogrammer
• kameraovervåking
• bruk av internettilknyttede enheter, som for eksempel smarte biler, automatiske strømmålere, smarthus og lignende

Sensitive opplysninger og straffbare forhold «Særlige kategorier av opplysninger samt personopplysninger knyttet til straffedommer og straffbare forhold» refererer til definisjoner i artikkel 9 og 10:

• Sensitive opplysninger/særlige kategorier av personopplysninger (art. 9):
  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religiøs eller filosofisk overbevisning
  • fagforeningsmedlemskap
  • behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person
  • helseopplysninger
  • opplysninger om en fysisk persons seksuelle forhold eller seksuelle legning
• Straffbare forhold (art. 10):

• personopplysninger i forbindelse med straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak

Kan virksomheten opprette personvernombud på frivillig basis?

Datatilsynet oppfordrer alle virksomheter som gjør en omfattende innsamling og bruk av personopplysninger, eller som behandler opplysninger som er særlig beskyttelsesverdige, om å opprette et personvernombud. Dette gjelder også de som ikke er pålagt å gjøre det. Vær da oppmerksom på at dersom dere oppretter ombud på frivillig initiativ, vil artiklene 37-39 i forordningen gjelde på lik linje som for lovpålagte ombud.

En virksomhet står selvfølgelig fritt til å ansette eller leie inn arbeidskraft for å ivareta personvernet uten at denne eller disse personene har rollen som personvernombud. I slike tilfeller er det viktig at det kommer tydelig fram, både innad og utad i virksomheten, at tittelen, oppgavene og rollen til disse ikke kan forveksles med et personvernombud.

Må også databehandlere opprette personvernombud?

Både den behandlingsansvarlige og databehandleren er pålagt å ha personvernombud hvis kriteriene i artikkel 37 er oppfylt. Avhengig av hvem som oppfyller kriteriene kan det være enten den behandlingsansvarlige eller databehandleren som er pålagt å ha personvernombud, men det kan også være begge.

Et eksempel:

En liten familiebedrift selger hvitevarer og kjøper tjenester av et webanalysebyrå for å tilby målrettet reklame på nettsiden sin. Familiebedriften sin behandling av personopplysninger er såpass begrenset at det ikke faller inn under begrepet «stor skala». Webanalysebyrået derimot har så mange forskjellige kunder at det til sammen tilsvarer behandling av personopplysninger i stor skala. I dette tilfellet skal webanalysebyrået utnevne personvernombud, mens familiebedriften ikke har den samme plikten.

Et personvernombud som er utnevnt av en databehandler har også ansvar for de øvrige behandlingene som virksomheten er behandlingsansvarlig for (for eksempel IT, personal/HR, logistikk og lignende).

Les mer om personvernombudsordningen

Les mer om personvernombud etter ny forordning

Les mer om den nye forordningen 

25. mai 2018 trer personvernforordningen i kraft. Det er en milepæl i personvernets historie, tvunget fram av det teknologiskiftet vi har sett de siste tiårene.

Derfor har personvern også sin naturlige plass på Arendalsuka. Med nær 700 ulike arrangementer er det vanskelig å velge riktig. Sagt med andre ord: hvordan få med seg de viktigste personverndebattene? Personvern har selvsagt en sentral plass i mange flere enn de debattene som er nevnt her. Digitalisering? Smarte byer? Delingsøkononomi? Personvern er viktig, selv om det ikke er angitt som tema! Men her har jeg laget en oversikt over det vi mener er de meste sentrale personverndebattene under Arendalsuka.

 Persontilpasset medisin

En nyttig lærdom for meg var at ca 30 % av oss ikke responderer særlig godt på Paralgin Forte, fordi vi har en gen-sammensetning som reduserer virkningen. Vi vet også at to personer med akkurat samme kreftdiagnose responderer ulikt på akkurat samme medisin. Persontilpasset medisin vil endre alt, men samtidig må man kanskje vite alt? Det er tema i denne viktige debatten.

http://www.arendalsuka.no/event/user-view/4142

 Deit med Datatilsynet

Datatilsynet har selvsagt også egne arrangementer på Arendalsuka. Onsdag ettermiddagen er det mulig å få en egen deit på tomannshånd med Datatilsynets eksperter, vi stiller med både en teknologer, en jurister og samfunnsvitere. De første har allerede bestilt time, så slå til nå!

http://www.arendalsuka.no/event/user-view/5295

 Masseovervåkning til samfunnets beste

Vi har vært så heldig å få tidligere generalløytnant Kjell Grandhagen til å stille opp for å gi sitt syn på digitalt grenseforsvar. Det er Datatilsynet selv som arrangerer også dette møtet.

http://www.arendalsuka.no/event/user-view/4418

 Usikkerhet og sikkerhet – hvem skrudde av serveren

I dette arrangementet, som Tekna står bak, stilles et viktig spørsmål: Er vi rigget for å håndtere datatrafikk, utvikling, drift og forvaltning av kritisk digital infrastruktur og har vi oversikt over de sårbarheter som foreligger?

http://www.arendalsuka.no/event/user-view/4386

 Grov netthets mot arbeidstakere øker – hva gjør vi

Grov hets i arbeidslivet er et økende problem. Særlig utsatt er ansatte i barnevernet og de som jobber i NAV. Hvordan kan vi bedre beskytte arbeidstakerne?

http://www.arendalsuka.no/event/user-view/4417

 Er det mulig å beskytte personvernet i det digitale samfunn

I denne debatten stiller ti tusen kroners spørsmålet: Kan personvernet beskyttes i møte med overvåkningsøkonomien, eller betyr dette at retten til privatliv , slik vi kjenner det, er over?

http://www.arendalsuka.no/event/user-view/5297

 Nye personvernregler – hva betyr det når kundene og brukerne dine har rett til å bli glemt?

BI og Telenor deler ansvar for dette viktige arrangementet, som enda ikke står i programmet, men går av stabelen tirsdag kl 0930. Jeg vil i hvert fall ha svar på et spørsmål: Hvordan skal Norges største selskaper legge til rette for dataportabilitet?

https://www.arendalsuka.no/event/user-view/5535