Personvernprinsippene
Vi kan arbeide med personopplysninger på mange måter. Innsamling, registrering, sammenstilling, lagring eller viderelevering er noen eksempler på hvordan personvernopplysninger blir brukt. Vi bruker begrepet behandle for å omfatte alle typer bruk av personopplysninger.
Personopplysningsloven gjelder ikke når vi behandler personopplysninger som ledd i rent personlige eller familiemessige aktiviteter. For eksempel har du lov til å ha adresselister over venner og familie, og du kan lage lister over fødselsdatoer og lignende på dem.
- Lovlig, rettferdig og gjennomsiktig
- Formålsbegrensning
- Dataminimering
- Riktighet
- Lagringsbegrensning
- Integritet, konfidensialitet og tilgjengelighet
- Ansvarlighet
Lovlighet
Det er laget en liste over betingelser som kan gjøre det lovlig å behandle personopplysninger. Minst en av disse betingelsene må være dekket for at det skal være lovlig å behandle personopplysninger.
- Samtykke fra personen opplysningene gjelder (den registrerte). Samtykke kan når som helst trekkes tilbake, og opplysningene skal da slettes, med mindre ett av de andre vilkårene gjelder.
- Opplysningene er nødvendige for å inngå eller oppfylle en avtale den registrerte personen er part i.
- Opplysningene er nødvendige for å oppfylle rettslige plikter hos den som skal behandle opplysningene.
- Behandlingen er nødvendig for å verne den registrertes, eller en annen fysisk persons, vitale interesser.
- Opplysningene er nødvendige for at offentlige interesser eller myndighet skal kunne gjøre sine oppgaver.
For mer detaljert informasjon kan du lese i artikkel 6 av GDPR hos lovdata.no.
Eksempel:
Vi tenker oss et idrettslag. Laget har en medlemsliste, og trenger dermed noen personopplysninger om sine medlemmer. Eksempel på slik informasjon kan være navn, adresse, fødselsdato og kontonummer. Fordi idrettslaget har en avtale med hvert enkelt medlem, kan de også ta vare på disse dataene i sine medlemslister.
Dette er lovlig så lenge den registrerte har et medlemskap i laget. Når avtalen er ferdigstilt, skal personopplysningene slettes.
Behandling av særskilte kategorier av personopplysninger (tidligere kalt sensitive personopplysninger) er i utgangspunktet ulovlig. Men det finnes noen vilkår som kan gjøre det lovlig å behandle dem.
For detaljer, se artikkel 9 av GDPR hos lovdata.no.
Særskilte kategorier av personopplysninger inkluderer blant annet opplysninger om:
- rasemessig eller etnisk opprinnelse
- politisk oppfatning
- religion og filosofisk overbevisning
- seksuell legning
- straffedommer
- biometriske data
- helseopplysninger
- fagforeningsmedlemskap
Eksempel:
Flere butikker har i dag selvbetjeningkasser hvor man selv registrerer inn varene man ønsker å kjøpe. Dette er praktisk, men skaper noen utfordringer. En sånn utfordring kan være hvis man skal kjøpe varer som krever at man er over atten år, for eksempel alkohol. Det flere butikker nå tilbyr, er at man ved første gangs kjøp av slike varer må legitimere seg for en ansatt i butikken, og at man samtidig kan registrere inn fingeravtrykk for senere bruk. Neste gang man kjøper en vare som krever at man er over 18 år, vil man kunne bruke fingeravtrykket direkte og slippe kontroll av betjening.
Fingeravtrykket er biometriske data og dermed i særskilt kategori av personopplysninger. Men fordi man gir samtykke og ordningen er frivillig, kan dette gjøres lovlig.
Butikkene kan ikke bruke fingeravtrykkene til noe annet enn verifisering av alder, de må beskytte informasjonen og man skal kunne trekke tilbake samtykke senere. Da må fingeravtrykket slettes.
Rettferdig og gjennomsiktig
Skal vi behandle personopplysninger, kreves det at vi gjør behandlingen med respekt for den registrertes interesser. Vi må innfri rimelige forventninger som den registrerte har til sikkerhet og personvern.
Det skal være forståelig for den registrerte hva informasjonen skal brukes til og det er ikke lov å mislede den registrerte.
Eksempel:
Tidligere var det vanlig at bedrifter hadde kjempelange avtaler (end-user license agreement (EULA)) hvor det var vanskelig for vanlige mennesker å forstå hva de sa ja til, og hvor det ble brukt et veldig vanskelig språk for å skjule hva bedriften hadde tenkt å bruke personopplysningene til. Med GDPR ønsket man blant annet å stoppe slik praksis.
Vi må ha et legitimt formål (hensikt) med behandlingen av personopplysningene.
Formålet må være tydelig identifisert og beskrevet på en slik måte at alle berørte skal kunne forstå dem. Vi kan heller ikke gjenbruke opplysningene til nye formål som er uforenlig med det opprinnelige formålet.
Det finnes mye informasjon om hver enkelt av oss. Med dataminimering er det blitt et krav at de som behandler personopplysninger ikke skal samle inn eller lagre flere personopplysninger enn det som faktisk trenges for å oppnå formålet.
Den som behandler personopplysninger har ansvar for at personopplysningene er riktige, og skal holde opplysningene oppdaterte eller slette dem hvis de blir uriktige.
Eksempel:
En barnehage har samlet inn personopplysninger om barns allergier og laget en oversikt som de ansatte sjekker når de skal lage mat til barna. De ansatte vil stole på at listen er riktig og bruke den aktivt når de skal bestemme innholdet i maten. Hvis listen da er feil og mangler innhold, kan et barn få i seg mat som gir dem allergisk reaksjon. Det kan i ytterste konsekvens være livsfarlig.
Når vi ikke lenger trenger personopplysninger for det oppgitte formålet, skal opplysningene anonymiseres eller slettes. Tidligere var det mange som ikke slettet personopplysninger, også etter at behovet for dem var ferdig. Med det nye fokuset på lagringsbegrensning må systemer, programmer og rutiner oppdateres til å sikre at unødige personopplysninger slettes.
Eksempel:
Vi tenker oss at et medlem melder seg ut av et idrettslag. Da skal personens personopplysninger fjernes fra medlemslistene. Anonymisert informasjon, for eksempel opptelling av antall medlemmer, aldersfordeling, kjønnsfordeling og lignende fra perioden hvor personen var medlem, er ikke identifiserbart til personen, og vi kan beholde denne.
Dette prinsippet er tredelt, og vi skal gå gjennom hvert punkt.
Felles for de tre er at vi som skal behandle personopplysninger, må sikre informasjonen.
Dette gjør vi blant annet ved å ha robuste og oppdaterte datasystemer. Vi må ha oversikt over hvem som skal ha, og har, tilgang til personopplysningene, og at vi må kunne spore, varsle og håndtere eventuelle sikkerhetsbrudd.
Integritet
Personopplysningene skal være sikret mot utilsiktet eller uautorisert forandring eller sletting.
Eksempel:
Din legejournal beskriver alt av kontakt du har hatt med helsevesenet. Her står informasjon om utredninger og prøver du har tatt, hvilke sykdommer du eventuelt har, og behandlingen av dem. Tenk hvis noen fikk tilgang og kunne manipulere disse opplysningene? Konsekvensene ville fort kunne bli alvorlige.
Konfidensialitet
Personopplysninger vi behandler skal sikres mot at eksterne/utenforstående får tilgang. Dette innebærer blant annet å sikre datasystemene våre mot innbrudd, og å ha rutiner for å avdekke om informasjon havner på avveie.
Tilgjengelighet
Når vi behandler personopplysninger, skal vi sikre at bare personer som har et legitimt behov får tilgang.
Hvis du samtykker, kan personopplysninger bli gjort mer tilgjengelig. Fullt navn og kontaktinformasjon kan publiseres på en åpen nettside eller liste. Men dette må være tydelig presentert for personen før samtykke.
Eksempel:
Idrettslag trenger noen personopplysninger om sine medlemmer, men bare kasserer og medlemskomite trenger tilgang til disse opplysningene. Andre medlemmer og folk i styret som ikke trenger informasjonen, skal dermed heller ikke ha tilgang.
Behandling av andres personopplysninger er i utgangspunktet ulovlig. Men gjennom lovverket kan vi få lov hvis vi gjør det riktig.
Ansvarlighet inkluderer å være proaktive og etablere og vedlikeholde de sikkerhetssystemer og rutiner som trengs for å sikre personopplysningene godt. Videre skal vi kunne vise at vi opptrer i samsvar med reglene, hvis myndighetene eller andre ønsker å kontrollere.