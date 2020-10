Full kontroll på dine data?

GJESTEKOMMENTAR: Holder personvernerklæringene det de lover?

Publisert: Publisert: Nå nettopp

Advokat og personvernguru Jan Sandtrø anbefaler automatisk sletting av e-poster etter en viss tid. Hvis det er uheldig for bedriften din, har du da kontroll? Foto: NTB scanpix

Kristian Kise Haugland Filosof og pedagog

I 2018 fikk vi ny, felles personvernlovgivning i hele EU/EØS (GDPR), med EU-domstolen som tolkende myndighet, slik at personopplysninger skal vernes likt i hele EU-området. Det var kanskje på høy tid. Hvis reglene om for eksempel hvordan opplysningene dine kan forvaltes er radikalt forskjellig fra et land til et annet, blir det jo «et hekkan» å forsøke å ivareta rettighetene i dagens samfunn. Særlig siden informasjonsutveksling, markedsføring og salg over internett har ført til at opplysningene om deg som person knapt kjenner noen landegrenser lenger.

For de er dine, disse opplysningene. Det er ditt navn, din fotballinteresse, dine matallergier, din adresse, dine elektroniske spor, din etnisitet, din sykehistorie, dine politiske overbevisninger og din legning. Disse opplysningene skal jo ikke uten videre kunne overtas av andre og brukes til hva som helst, skal de vel?

Likevel legger de fleste av oss igjen disse opplysningene omtrent overalt og mer eller mindre ukritisk, slik at andre kan bruke dem til å tjene penger på hvem vi er, ved å påvirke hva slags avgjørelser vi tar.

Les også Forskerne gjorde et skjult eksperiment om Facebook. Svarene de fikk, er dårlig nytt for unge og menn

Les også Facebook flytter 1,5 milliarder brukere til USA

Personvern er en relativt ny idé

Med unntak av vernet om privatlivets fred og forbud mot urettmessige krenkelser av personers ære og omdømme, er ideen om personvern relativt ny i juridisk sammenheng. Den har gjerne vokst frem som en konsekvens av stadig mer lagring av opplysninger i ulike registre etter andre verdenskrig, og stadig mer maskinell behandling av opplysningene i disse registrene.

Til sammenligning er ideen om eiendomsrett minst like gammel som restene etter Babylons murer, og de begynner jo som kjent å dra litt på årene.

Siden personvern er relativt nytt, og siden behandling av persondata gjennomgår en rask teknologisk utvikling, er det naturlig at det oppstår noen spenninger mellom mulighetene som ligger i ny teknologi og hvordan disse mulighetene begrenses av vår oppfatning av rett og galt.

Disse spenningene økes ytterligere av at lover og regulering ikke kan utformes for å endre vår felles forståelse av rett og galt, men må komme på etterskudd, som en konsekvens av at en ny felles rettsoppfatning gradvis har slått rot.

Dermed er det helt naturlig at den nye personvernforordningen, tross at den kanskje samsvarer godt med våre felles tanker om personvern som ideal, er milevis unna vår felles omgang med personopplysninger i hverdagen.

Les også Lars Helle: «Storebror har sett deg, lagret deg og vil kjenne deg igjen»

Et enkelt eksempel: e-post

La oss si du eier og leder en mindre bedrift med et par ansatte. Du har få, men langsiktige og forutsigbare oppdrag, og dermed få kunder. Du selger på et godt rykte i et lite miljø, og behøver ikke å samle på en masse adresser for å markedsføre deg. Så du tenker det eneste området som er litt kritisk, er informasjonen til dine ansatte. Der har du sikret deg: Du har like godt outsourcet lønn og regnskap til «noen som kan det», og de har gitt deg et utkast til databehandleravtale som du tenker virker temmelig solid. «Da burde jeg ha kontroll», tenker du.

Men så skjer det. En ansatt i et samarbeidende firma har hatt en del e-postkorrespondanse med både deg og dine ansatte. En av dem har han hatt en lengre feide med, som jo gjerne skjer. Nå mener han at denne personen sprer usanne rykter om ham blant dine øvrige ansatte, og vil ha utlevert alle e-poster din bedrift har hvor han er omtalt, slik at han kan sjekke.

Slapp du egentlig unna?

Problemet ditt nå er at disse opplysningene ikke er virksomhetsinterne opplysninger som tilhører ditt firma. Det er, som jeg pekte på innledningsvis: Opplysninger om ham er hans opplysninger.

Du har i utgangspunktet plikt til å spore opp og utlevere alt sammen. Med mindre det å spore opp disse opplysningene risikerer å bryte med andres rettigheter og friheter, og det gjør det jo. Du kan jo ikke uten videre snoke i dine ansattes e-poster heller, sånn uten videre, selv om det er e-poster de bare skal bruke i jobbsammenheng.

Så da slapp du jo på sett og vis unna, selv om det at du slapp unna egentlig skyldes at du ikke har kontroll på virksomhetens behandling av personopplysninger.

Og kanskje innser du at det ikke var en fullt så god idé som du trodde å skrive «Vi har full kontroll på dine opplysninger» i personvernerklæringen til virksomhetens hjemmeside.

Kontroll?

At vedkommende har rett til å «bli glemt», kommer du imidlertid ikke utenom. Hvis informasjon om denne personen ligger i en e-post eller liste, og denne informasjonen ikke lenger har noe formål, så har du plikt til å sørge for at den informasjonen blir slettet. Hvordan kan du sikre det?

Advokat og personvernguru Jan Sandtrø anbefaler på sine nettsider å sørge for automatisk sletting av e-poster etter en viss tid. Det betyr at alle opplysninger som skal sikre at virksomheten for eksempel følger opp sine avtaler og forpliktelser, må lagres på en mer strukturert og oversiktlig måte enn at det kan søkes opp i e-postprogrammet ditt. Det er jo god internkontroll.

Og kontroll har du vel, har du ikke? E-post lagres vel ikke ukritisk på din arbeidsplass?

Sven Egil Omdal: «Friheten innskrenkes jevnt og trutt»