Foto: Shutterstock.com

Dette bør du vite om de nye personvernreglene

Skoler, bedrifter og barnehager – alle må skjerpe seg når det gjelder personvern i 2018.

Den nye personvernforordningen trer i kraft 25. mai 2018 og gjelder for EU – og Norge.

En uoffisiell oversettelse av den nye loven er på over 49 000 ord, så det er mye å sette seg inn for alle som samler inn opplysninger om deg og barna. Det gjelder for eksempel når et spill logger hvor barnet ditt befinner seg til enhver tid.

Her finner du de nye personvernreglene

Barnevakten skummet gjennom loven og sendte noen spørsmål til Datatilsynet. Etaten svarer innledningsvis at teksten er fersk og at implementeringen av loven ikke er ferdig, og det kan hende at norske myndigheter vil gjøre nasjonale tilpasninger.

Mulig 13 år som aldersgrense

Vi spurte om et barn kan si ok til hva en tjenesteyter skal samle inn av opplysninger eller om det innføres aldersgrenser.

Datatilsynet svarer at myndighetene kan velge å sette aldersgrensen på 13, 14, 15 eller 16 år. I Justisdepartementets forslag som er på høring nå, foreslår man 13 år som aldersgrense. Dette innebærer at det i så fall vil bli tillat å samle inn personlig informasjon fra barn fra 13 år uten at foreldre må bes om samtykke. For yngre barn må foresatte gi sitt samtykke.

Foto: Datatilsynet
Eirin Oda Lauvset, seniorrådgiver i Datatilsynet.

Ulik lovgivningsteknikk i Norge og EU

Når lover skal tolkes i Norge, er vi vant med blant annet å se på forarbeidene til loven. I EU-rett har man ikke forarbeider, men man kan se på fortalepunktene.

– I tillegg til de 99 artiklene som Personvernforordningen består av, så er det 173 fortalepunkter som skal bidra til å forklare artiklene. Det er viktig å skille mellom disse to tekstene. Alle rettigheter og plikter fremgår av artiklene i forordningen. Fortalen og andre rettskilder gir kun bidrag til tolkningsmomenter. Man kan ikke utlede rettigheter og plikter ut fra fortalen eller andre rettskilder alene, forklarer Eirin Oda Lauvset som er seniorrådgiver i Datatilsynet.

Dermed forklarer hun også litt om vårt neste spørsmål. Vi fant nemlig et avsnitt som vi forsto lite av:

«Samtykke fra den som har foreldreansvaret, bør ikke være nødvendig i forbindelse med forebyggings- eller rådgivningstjenester som tilbys direkte til barn.»

Vi spurte Datatilsynet hva avsnittet handler om. Datatilsynet svarer at avsnittet ikke er en regel, men et fortalepunkt, og at det er for tidlig å si noe om hva lovgiver egentlig mener med avsnittet.

Barns innsynsrett

Ved hvilken alder oppnår man retten til innsyn i personopplysninger som andre har samlet inn? Kan et barn be om innsyn i sin pasientjournal eller hva står om barnet i barnevernets mappe?

Datatilsynet svarer at man kan ta utgangspunkt i at dagens regler vil fortsette, ut fra Justisdepartementets høringsnotat. I dagens personvernregelverk er man barn til man er 18 år.  Samtidig skal man ifølge barneloven ta hensyn til at barnet etter hvert blir i stand til å danne seg egne meninger. Noen ganger blir derfor barn ansett for å ha samtykkekompetanse før det er 18 år.

– Når det gjelder innsyn i pasientjournal, så er dette noe som er særregulert i pasientjournalloven. Med mindre disse reglene blir ansett for å være i motstrid med personvernforordningen, så vil de ikke endres, forklarer Lauvset.

Hva bør foreldre eller barn passe på?

Vi spurte Datatilsynet om hva foreldre og barn må passe på når det gjelder de kommende reglene. Datatilsynet svarer at det er for tidlig å komme med noen råd.

– Hvis vi skulle gi et lite varsko, så må det kanskje bli at vi alle bør bli flinkere til å undersøke hvordan de tjenestene vi tar i bruk på nett og mobil behandler våre og våre barns opplysninger. Lokasjonsopplysninger er et eksempel på en opplysning som har vist seg å være særlig attraktiv. Samtidig er det et stor inngrep i personvernet at en fremmed kan ha full oversikt over hvor vi ferdes til enhver tid.

– Alle apper bør ha en personvernerklæring som sier noe om hvilke personopplysninger de behandler og hvordan. Både voksne og barn bør også bli mer kritiske til hva en app trenger tilgang til for å installeres. Vi har opplevd at en app som skulle fungere som lommelykt krevde tilgang til lokasjonen til den som brukte appen. Dette er selvsagt ikke nødvendig. Ved å være mer kritiske til hva vi gir tilgang til av opplysninger om oss selv kan vi bidra til at apputviklerne skjerper seg, avslutter Lauvset.

Smakebiter fra de nye reglene

I resten av denne artikkelen gir Barnevakten noen smakebiter på hva de nye reglene handler om. Du kan selv sjekke lovteksten ved å gå til de ulike avsnittene i denne lenken.

Vi presiserer at vi ikke har hentet inn juridisk kompetanse til de følgende avsnittene og at norsk tolkning av reglene vil bli tydeligere desto nærmere vi kommer 25. mai 2018, da loven trer i kraft.

Appen har ingen fordel av å rømme ut av EU

Avsnitt 23 sier at reglene gjelder også dersom en bedrift etablerer seg utenfor EU for å påvirke folk innenfor EU. Så langt vi forstår, kan altså ikke en appleverandør blåse i de nye reglene ved selge appen fra et sted utenfor EU.

Avsnitt 23 kan også bety at Google må spørre hver enkelt av oss om lov til å logge hvor vi befinner oss og til å logge hva vi søker etter på nettet.

Samtykketeksten skal være kort

Avsnitt 32 i det nye regelverket sier at hver enkelt person må samtykke i at personopplysninger samles inn av en bedrift. Samtykket kan for eksempel skje ved å krysse av i en boks. Forhåndsavkryssede bokser bør unngås.

Videre står det at forklaringen til samtykket skal være kortfattet. Det blir altså ulovlig å lage milelange forklaringer i mikroskrift som ingen orker å lese.

Avsnitt 39 sier at språket skal være klart og enkelt når det gjelder kommunikasjon mellom bedrift og privatperson angående personvernopplysninger. Punktet sier også at opplysningene som samles inn, skal være begrenset til formålet og at de «…ikke lagres lenger enn det som er strengt nødvendig.» Og videre: «For å sikre at personopplysningene ikke lagres lenger enn nødvendig bør den behandlingsansvarlige fastsette frister for sletting eller for regelmessig gjennomgåelse.

Hva med DNA-et ditt?

Avsnitt 34 sier at genetiske opplysninger kommer innunder reglene.

Må kunne vise til en regel

Hvis du oppdager at en bedrift har samlet inn opplysninger om deg, kan du kreve at bedriften peker på hvilken regel som gir dem rett til å samle inn opplysningene. Bedriften må også vite hvor opplysningene stammer fra.

Barn har særlig beskyttelse

Avsnitt 38 sier at barn har en særlig personvernbeskyttelse.

Bedriften har bevisbyrden

Avsnitt 42 sier at den som samler inn personopplysninger, må kunne bevise at du har gitt ditt samtykke. Teksten sier også:

«For at innhentingen av opplysninger skal være lovlig, må privatpersonen kunne forstå hvem som henter inn opplysningene.» Og: «Samtykket skal ikke anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende.»

Unntak ved katastrofer

Avsnitt 47 sier det er unntak hvis det er snakk om bevare enkeltpersoner liv, for eksempel ved katastrofer eller epidemier.

Må holde seg til saken

Avsnitt 50 sier at man kan ikke bruke personopplysningene til et annet formål enn hva de opprinnelig ble samlet inn for.

Etnisk opprinnelse

Avsnitt 51 sier at opplysninger om etnisk opprinnelse og lignende, har et særskilt vern. Det ser ut til at reglene sier at det er ulovlig å la dataprogrammer tolke personbilder og sortere dem etter utseende, for eksempel hudfarge eller antatt hjemland.

Trygghet for demokrati

Avsnitt 56: «Dersom det i forbindelse med valgaktiviteter i en medlemsstat, for å sikre at det demokratiske systemet fungerer, kreves at politiske partier samler inn personopplysninger om forskjellige personers politiske oppfatninger, kan behandling av slike opplysninger være tillatt av hensyn til allmennhetens interesse, forutsatt at det foreligger nødvendige garantier.»

Så lett at også barn forstår

Avsnitt 58: «Ettersom barn fortjener et særlig vern, bør all informasjon og kommunikasjon, dersom behandlingen gjelder barn, være formulert på et klart og enkelt språk som barnet lett kan forstå.»

Gratis utlevering og en måneds svarplikt

Avsnitt 59 sier at det skal være gratis og lett å be om å få sine personopplysninger utlevert, rettet eller slettet. Bedriften har svarplikt innen fire uker og må begrunne sitt svar ved et eventuelt avslag.

Plikt eller ikke?

Avsnitt 60: «Dersom personopplysningene samles inn fra den registrerte, bør den registrerte også informeres om hvorvidt vedkommende har plikt til å gi personopplysningene, og om konsekvensene dersom de ikke gis. Nevnte informasjon kan gis sammen med standardiserte ikoner, slik at det gis en oversikt over den tiltenkte behandlingen på en lett synlig, forståelig og lettlest måte.»

Videresending av personopplysninger

Avsnitt 61: «Dersom personopplysninger rettmessig kan utleveres til en annen mottaker, bør den registrerte informeres første gang personopplysningene utleveres til nevnte mottaker.»

Retten til å bli glemt

Avsnitt 65 sier at ved feil opplysninger eller ulovlige innhentede opplysninger, har du retten til å bli glemt, altså slettes helt. Avsnitt 65 indikerer også at du har rett til å trekke tilbake samtykke.

«Denne retten er særlig relevant når den registrerte har gitt sitt samtykke som barn og ikke har fullstendig kjennskap til risikoene forbundet med behandlingen, og senere ønsker å fjerne slike personopplysninger, særlig på internett. Den registrerte bør kunne utøve denne retten selv om vedkommende ikke lenger er et barn.»

Avsnitt 66 sier at hvis du ønsker du å bli slettet, må bedriften også slette lenker og kopier som har oppstått ved bruk.

Rett til manuelle vedtak

Avsnitt 71 sier at du har rett til at avgjørelser som bedriften tar overfor deg, kan skje manuelt og at avgjørelsen ikke bare bygger på automatiske dataprogrammer som bruker personopplysningene.

Det er ikke lov å bruke statistikk eller matematiske fremgangsmåter som diskriminerer folk ut fra fagforerningsmedlemskap, seksuell orientering, religion og så videre.

Må varsle innen tre dager

Avsnitt 85 sier at bedriften må varsle myndighetene innen 72 timer dersom bedriften ser at det er lekkasjer i sine systemer.

EU kan sette begrensninger

Avsnitt 107 sier at EU kan forby bedrifter å sende personopplysninger videre til enkelte land eller organisasjoner.

Må ha skikkelig klageskjema

Avsnitt 141 sier at myndighetene må legge til rette for å rette klager til tilsynsmyndighetene: «For å forenkle inngivelsen av klager bør hver tilsynsmyndighet treffe tiltak som f.eks. å utarbeide et klageskjema som også kan fylles ut elektronisk, uten at andre kommunikasjonsmidler utelukkes.»

Unntak for aviser

Avsnitt 153 sier at det er er lov for en bedrift, for eksempel en avis, å lage et et register som forteller hvem eller hva som er på et bilde. Selv om man har en personvernlov, skal samtidig ytringsfriheten beskyttes, og i den forbindelse vil det være lov for en avis å lage et bildearkiv der det er knyttet en del opplysninger til hvert bilde, for eksempel hvem som er avbildet.

Hva betyr GDPR?

GDPR står for General Data Protection Regulation.

Hjelpeside

Datatilsynet har laget en hjelpeside for bedrifter som skal forberede seg på de nye kravene. Leser du den, får du også vite hva som gjelder deg som privatperson. Her er lenker:

Hva blir nytt med forordningen?

Hva betyr de nye personvernreglene for din virksomhet?

Se høring om ny personopplysningslov

Justisdepartementets forslag til ny personopplysningslov (og gjennomføring av personvernforordningen i norsk rett) er ute på høring nå med frist 10. oktober 2017.

Du finner forslaget som er til høring her

Problemstillinger knyttet til behandling av personopplysninger om barn er drøftet på sidene 113-116.

Illustrasjonsfoto: Shutterstock.com