Personopplysninger
Når trenger man samtykke for å hente inn personopplysninger?
Del denne Casen
Hei og velkommen til LØRN, 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.
Silvija Seres: Hei og velkommen til vår tredje samtale i en miniserie om gdpr som LØRN og BI gjør da med vår tidligere grumpy, nå veldig blide Miloš Novović og Rie Aleksandra Walle. Dere to har også en podcast som heter Grumpy GDPR, det er derfor jeg ler litt av navnet. Hvor kan man høre den og hvor kan vi gå for å lære litt mer om tema, hvis vi begynner denne samtalen i det hjørnet?
Miloš Novović: Ja, det er flere steder. Altså, det er Spotify som er den store plattformen, også tror jeg at Via legger ut lenkene, både på LinkedIn.
Silvija: Hvis vi søker på Grumpy GDPR, så finner vi dere. Ja, veldig bra. Rie, du skriver også.
Rie Aleksandra Walle: Ja, jeg har skrevet om GDPR på en mest mulig folkelig måte i flere år. Så der har jeg en en fagblogg på bedrebedrift.no. Jeg må jo nevne at den er rettet mot småbedriftseieren, for som småbedriftseier selv, så vet jeg hvor vanskelig det er å skulle settes ned og forstå et regelverk. For jeg elsker jo alt som har med gdpr å gjøre, men hvis det kommer til regnskap og bokføring, da får jeg helt hetta. Så jeg kan virkelig sette meg inn i hvordan det er å slite med personvern, så jeg har prøvd å gjøre en god innsats der.
Silvija: Veldig bra dere. Vi har snakket om noen grunnkonsepter rundt gdpr, og jeg sitter igjen med en veldig forenkling. Jeg liker å gå helt ned til sånn lego språk. Da tenker jeg, husk at dataene dine har en verdi både i dag og i fremtiden, og vær bevisst på hvilke data du legger fra deg og du som da bruker disse dataene for et forretningsformål eller samfunnoppdrag, må være litt tydelig på hva det oppdraget er og respektfull overfor folks data og ikke samle mer enn du trenger. Så vi snakket littegrann om dette samtykke dilemmaet, og forvirringen hos meg er ganske total. Hvis dere bare hjelper oss veldig enkelt å forklare som en oppsummering av tidligere. Rie, du snakket om at det finnes noen betingelser og vilkår man må akseptere. Eller man inngår i en slags kontrakt om disse dataene. Også finnes det en erklæring, og det er to forskjellige ting.
Rie: Så når man kjøper en tjeneste, enten som forbruker eller som bedriftseier, så signerer man jo ofte en eller annen form for kontrakt. Om det er en boks man sjekker av på til en saas tjeneste, software as a service, eller om det er en avtale om konsulenttjenester. Eller om du vil bruke Facebook, så signerer du også vilkår og inngår en avtale, så det skjer helt utenfor gdpr, så det er helt uavhengig av gdpr, men det er med en gang. Der er behandling av personopplysninger involvert, så skal den du behandler personopplysninger til få tilstrekkelig informasjon. Og det gjelder enten det er meg Rie som bruker Instagram eller hva det skulle være, eller om det er bedre bedrift AS og jeg er ansatt i den virksomheten og har navnet mitt på en eller annen kontrakt. Da skal man ha informasjon om, hva er det slags personopplysninger som behandles i hvilken sammenheng, hva er det lovlige grunnlaget for å gjøre det og en hel rekke andre ting. Det trenger man ikke nødvendigvis samtykke til. Så når du begynner å behandle personopplysninger, så må du ha et rettslig grunnlag der samtykket er en av de seks mulighetene du har for å basere den behandlingen på.
Silvija: Kult, Miloš vil du legge til noe som du merker studentene ofte spør om relatert til samtykke?
Miloš: Det er veldig mange ting som man kan snakke om samtykke i dagesvis, fordi det er veldig mange strenge vilkår som man stiller til samtykke, feks etterrettelig aktivt informert spesifikt samtykke. Og alle disse vilkårene tolkes ganske strengt og restriktiv. Så for eksempel for at samtykke skal være frivillig gitt, så må man se på hva slags balanse det finnes mellom den personen som samtykker og den behandlingsansvarlige. Så la oss si at sjefen min kommer inn på kontoret og sier Miloš nå har delt skjema hvor du skal samtykke til at vi skal henge opp overvåkningskamera for å behandle personopplysningene dine. Så sier jeg ja, det går greit. Så selv om jeg har signert og sagt ja og gitt mitt samtykke, så er dette ikke et rettslig samtykke fordi det ikke anses som frivillighet. Så det er et eksempel. Jeg tror ikke, at det egentlig er en del av nettopp dette compliance kurset, fordi vi har et helt kurs som bare handler om personvern hvor vi snakker om samtykke i 4-5 timer. Så det er veldig mye å sette seg inn i og det er derfor vi sa, start med artikkel fem, med det som er common sense som for eksempel chat du hvilke trenger. For da blir det fort enda mer komplisert, fordi det er enkelt sagt. Du må slette det du ikke trenger, også starter du å snakke med en som jobber med IT. Så sier, betyr det 90 dager, 50 dager? Du, du jobber med personvern, kan du ikke si det til meg? Ok, jeg gjør alt de sier, men altså, hvordan skal jeg sette deg opp? Det er der GDPR starter å bli litt vanskelig.
Silvija: Jeg jeg har to praktiske eksempler som jeg lurer på om dere kan hjelpe meg veldig kort å tenke på. Det ene er, jeg har en hage, og jeg har et lite hønsehus og i det hønsehuset har jeg i noe sykler og jeg har et kamera som peker mot inngangen til huset og dekker også hønsehuset. Vi hadde to sykler frastjålet i sommer, og man ser en person som kommer og stjeler de syklene og vi fikk ikke bruke det som noe grunnlag. Det er et eller annet med at det ikke er lov egentlig. Jeg blir veldig forvirret for hva du egentlig kan bruke. Det er det ene, hva kan man egentlig filme på sitt eget sin egen eiendom? Og det er mulig igjen at jeg har tolket feil, men vi har bare fått beskjed om at fordi vi ikke søkte om tillatelse om å sette opp dette kameraet så mente noen at dette, kan vi ikke egentlig bruke til noen ting.
Rie: Ja, det høres interessant ut. Nå skal det jo sies at vi har jo egne regler for kameraovervåking i Norge som er veldig viktig å ta stilling til i tillegg til gdpr hvis man da skal filme personer, men man har jo lov til å filme på egen eiendom. Så blir jo spørsmålet da, vil noe av kameraets synsvinkel kunne dekke det offentlige rom? For eksempel så er det mange som har kameraet ut mot veien, også tar det kanskje med seg en bit av veien der det ferdes folk hele tiden. Det er noe som kan gjøre kamerainstallasjon ulovlig, men ikke nødvendigvis. Så her er det både en vurdering man selv må gjøre, også vil det være vurdering som for eksempel datatilsynet vil måtte gjøre. Nå skal vi sikkert ikke gå så dypt inn i det her med kamerareglene her, men så lenge det er andre personer som blir involvert, så må man være litt obs, men hvis det er kun på egen eiendom, så må jeg jo ærlig si at jeg ikke ser helt hvordan det skulle vært problematisk å bruke.
Silvija: Nei, og det andre er at jeg akkurat har begynt å laste opp bildene mine på Google Photos, og det er så mye mer han ber om tillatelse for, eller det ber om tillatelse for av deling av bilder, og det er ikke måte på. Du føler deg veldig fanget av disse systemene. Når du først begynner å bruke dem, så blir det liksom ikke noe grenser for hva de skal ha samtykke til, hvordan avgrenser man dette her?
Miloš: Det er et veldig godt spørsmål. Det er alltid utfordringer for store selskaper, men også utfordrende for oss. Vi rett tilbake til artikkel fem, at det ikke er lov å gjenbruke det som man har samlet inn til andre formål, med mindre man faktisk gjennomfører en type vurdering, compatibility test. Alt i dag handler om videoovervåking, men det var for eksempel flere arbeidstakere som ble tatt opp på video eller hadde en GPS på bilden de kjørte på jobb. Så for disse opplysningene ble opprinnelig ble samlet inn for et formål, som for eksempel er å sikre et område også plutselig sier de, nå skal jeg bruke det for å sparke noen. Vi hadde faktisk en nettopp slik sak i høyesterett her som helt tydelig sa, du har kanskje lov til å samle det til ett formål, men du kan ikke bare endre det uten å gjennomføre denne type sjekk. Så det må egentlig alle tenke på, hvis du tar opp av lyden i dag, så er det ikke lov for deg å gjenbruke det til andre ting med mindre det er på plass.
Rie: Men så er det jo forskjell på i privat sammenheng og ikke, og det gjelder virkelig gdpr i dette tilfellet, for du har jo noe som er et unntak i privat regi kan man si, så det må man jo også vurdere. Er det her i ren privat regi eller er det ikke det? Og jeg må jo bare nevne raskt, med tanke på de studentene som sitter og tar det her kurset. At GDPR ikke er en altomfattende lov som gjelder absolutt alt. Som en bruker å si, the GDPR is not the law of everything. Så må man huske på at det finnes masse andre lover som man må forholde seg til, når jeg snakker om nyhetsbrev der formålet er å markedsføre produkter og tjenester som må man kunne markedsføringsloven også. Man må kunne kjenne til ekomloven, særlovgivning på helseområdet, bank, finans, forsikring. GDPR en generell lov for behandling av personopplysninger, men så er det kjempeviktig at hvis du sitter i en virksomhet, så må du også ha litt perspektiv utover, hvilke andre lover, forskrifter og regler gjelder for det som jeg driver med?
Rie: Så bare ett steg tilbake, for jeg har lyst til å avslutte det private, også går vi inn på bedriftssiden her. Det du sa nå Rie, er superviktig, tenker jeg, men privat. For eksempel, vi hadde nylig denne saken med NRK blogging og noen som la ut bilder fra fest hvor det var noe ulovlig substanser som kunne lage problemer for andre folk. Det er dumt å legge ut sånne ting. Det er ikke sikkert det er ulovlig, ikke sant?
Miloš: Man kan tolke det på andre måter, men jeg husker at det faktisk var en sak fra Nederland hvor myndighetene sa at en bestemor som lastet opp et bilde av egne barnebarn på Facebook, ikke er omfattet av dette unntaket, i familiemessige aktiviteter. Så det kommer jo litt an på hvordan man tolker gdpr, og det kan være ulike tolkninger på tvers av land. Så jeg er litt usikker på datatilsynet, og deres stilling der.
Silvija: Så har jeg bare et spørsmål til dere, fordi det virker som om det er veldig mye her som er juridiske finurligheter og man prøver å beskytte seg, men så gjør teknologien så utrolig mange nye muligheter og skaper nye risiko. Jeg sitter og tenker på at alle vi har et bilde. Det finnes nesten ikke et menneske i dag på jorda som ikke har et bilde av seg et eller annet sted på internett. Da kan AI og bildegjenkjenning etter hvert både kjenne deg igjen i alle de andre bildene, og det går an å lage disse deep fakes hvor det egentlig etter hvert ser ganske overbevisende ut om at du sier ting du aldri har sagt også videre, men det er ikke forbudt?
Rie: Jo, til en viss grad så vil det være det. Det kommer litt an på igjen, og det er jo ulik praksis mellom land også, men Clearview AI er jo et veldig godt eksempel på et selskap som har fått bøter i mange titalls millioner euro i flere land på grunn av ulovlig innsamling og behandling av personopplysninger i form av bilder.
Silvija: Det blir utrolig spennende å følge lovgivningen på alt dette her fremover, og disse artister som saksøker alle disse AI generative verktøy også videre. Så masse- som Miloš ville sagt- spennende ting fremover.
Miloš: Men det er faktisk en ting til å nevne her. I tillegg til dette unntaket som handler om rent personlige aktiviteter, så finnes det også unntak hvor GDPR ikke gjelder. Det blir bare en liten del av GDPR som gjelder hvis man behandler personopplysninger for å utøve alle de rettigheter knyttet opp mot litterære ytringer, journalistiske formål og kunstneriske former og andre typer ting. Så det er ikke slik at det er ikke er lov for meg å skrive en bok på grunn av GDPR, for eksempel.
Silvija: Du, vi må rett og slett bare følge med. Og håpe at loven utvikler seg like raskt som teknologien. Rie, du hadde så utrolig fin oppsummering nå i forhold til å komme i gang eller stokke beina riktig. Kan vi gå gjennom det bare en gang til vær så snill? Praktisk anvendelse.
Rie: Ja, absolutt. Det er hvis man må lese på i selve lovverket, så gå til artikkel 5 og lese gjennom den, for den er ikke veldig lang og den er veldig godt skrevet, så godt skrevet som en lov kan være vil jeg faktisk påstå, så sørg for at du vet hvilke personopplysninger du har, at du har et rettslig grunnlag for å behandle dem, at du ikke ber om flere personopplysninger enn det du trenger for å oppfylle det formålet som du har definert og at du beskytter personopplysningen. Det er jo kjempeviktig. Det er jo dataprotection som er i selve betegnelsen GDPR. Det er jo ikke privacy og det får bli en helt annen podcast, men i alle fall. Tenkt på de prinsippene. Det andre jeg ville si er, lag en oversikt over hvilke personopplysninger du har, for hvis ikke du vet hva det er du har, så klarer du ikke å gjennomføre GDPR, så det som på fint heter behandlingsprotokoll eller på engelsk, records of processing activities, det er hele kjernen i gdpr. Der lager du den fullstendige oversikten over de personopplysningene du behandler i virksomheten. Der definerer du alle de ulike tingene som vi har snakket om. Det er dem som Datatilsynet ofte ber om hvis de nå kommer og banker på døren din.
Silvija: To ting jeg gjerne vil gå tilbake til er data protection versus privacy. Dette her er vanskelige store ord likevel, si veldig kort hva hver av dem er, også har jeg lyst til å gå tilbake til dette med record of processing activity superkort. Jeg tror det er kjernen i det og at de fleste bedrifter har et altfor vagt forhold til hvilke data de faktisk har, og hva er det som er grønne, gule eller røde data eller kall det hva du vil. Vil du Miloš si to ord om data protection versus privacy? Hva betyr det bare?
Miloš: Ja egentlig, det er veldig lang og litt komplisert forskjell der, men la oss si at data protection altså GDPR gir en veldig konkret liste av det du må gjøre hvis du behandler personopplysninger. Så det er litt konkretisert, men man får en del forpliktelser som er klare. Altså hva er gang vi skal behandle personopplysninger så må man få det på plass, mens personvern betyr noe som går litt utover det. Det er rett til privatliv, rett og slett, så det handler ikke om en konkret liste av ting som må være på plass, men du trenger ikke å behandle personopplysningene mine for å krenke rett til privatliv. Altså hvis en fra politi bryter seg inn og ser på alt jeg gjør uten å behandle personopplysninger på en automatisert eller en ikke automatisert måte eller alt som GDPR sier, så er det fortsatt krenkelse. Det er ikke så veldig relevant i dette kurset, da.
Silvija: Jeg har en god venninne som heter Ria, som jeg driver å kaller deg hele tiden. Rie, jeg likte veldig godt dette konseptet med record of processing activities. Altså er det noen steg man kunne gjentatt der?
Rie: Ja, absolutt. Hvis man virkelig skal bruke tid på GDPR som noen som behandler personopplysninger, så start med artikkel fem, også går du til denne oversikten. Det er rett og slett en oversikt, eller et register over alle personopplysninger, som du behandler. Ta for eksempel skylagring, vi har regnskaps og bokføringssystemer, vi har HR systemer. Hvis du har en litt eldre virksomhet, så har du kanskje de fine, flotte papirarkivene som også kan være underlagt gdpr, og hensikten med den her behandlingsprotokollen, det er jo å se og få innsikt i sin egen virksomhet. Jeg kan bare ikke underskrive hvor viktig det her er, ikke bare fra et gdpr-perspektiv, men fra et forretningsperspektiv. For når jeg har gjort denne øvelsen ute sammen med kunder, så sitter folk ofte med bakoversveis for de skjønner og får en helt annen forståelse av sin egen virksomhet. Vi har alle de systemene og de systemene trenger vi jo faktisk ikke. Eller her er det en høy risiko fordi at vi har lagret de her personopplysningene i 40 år, og det skulle vi egentlig ikke gjøre, så de kan vi slette, og kanskje man slipper å betale så mye for lagring samtidig. Når man skal gå i gang med denne, så er det fort gjort å bli litt overveldet, for det er ganske mye som skal inn i den. Så det jeg vil anbefale alle å gjøre, det er å starte med systemene. Se på alle systemene du har, er det personopplysninger inni der ja eller nei? Hvis det er det, så gjelder sannsynligvis gdpr, og da kartlegger man, hva er det slags personopplysninger om hvilke personer. Er det elever, medlemmer, pasienter? Så får man den oversikten også bygger du på det derfra.
Silvija: Miloš, jeg har lyst til å si et par ord, også får du the famous last words. Det sitter og tenker på er at jeg tror veldig mange av oss har litt sånn holdning til data som kanskje til mange andre ting i livene våre. Jeg er litt usikker på om jeg kommer til å trenge dette her noen gang igjen. Jeg orker ikke å sortere det nå, så da får det bare stå der. Det som er veldig viktig er den der bevisstheten som dere begge to kaller her. Det er at unødvendige data ikke har noe verdi. Data du bruker, og du vet hva du skal bruke dem til, det er en verdi. Unødvendige data, det er en stor risiko for deg og dine kunder.
Miloš: Det er rett og slett ulovlig å behandle personopplysninger du ikke trenger.
Silvija: Miloš, hvis det er en ting folk skal huske fra disse samtalene våre, hva vil du at det skal være?
Miloš: Det er veldig vanskelig å oppsummere, men for å være helt teknisk, start med artikkel 5. Jeg tror at man må snakke med andre som man jobber med, man må være nysgjerrig, ha det gøy. Jeg vet ikke om det fremstår veldig klart av denne samtalen hvor gøy det egentlig er å jobbe med GDPR. Jeg tror at man kan bruke det for å samarbeide med de andre, og det er en veldig god måte, for å få en veldig god oversikt over virksomheten sin.
Silvija: Det var veldig fint. Det jeg sitter igjen med er at hvis alle business skal vi bli software business og datadrevne business, så bør vi egentlig alle sammen ha et litt mer bevisst forhold til dette med hvilke data vi har, hvordan behandler vi de dataene? Og til slutt, hvilke risikoer de dataene egentlig innebærer for oss. Hvis folk synes dette her var spennende, både de som er på kurset deres, de lærer deg mer der, men de som ikke har vært på det flotte kurset enda, og det er compliance kurs på BI, kan lære veldig mye mer der. Tusen takk for en god prat begge to.
Miloš: Tusen takk.
Rie: Takk.
Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.
LØRN AS, c/o MESH,
Tordenskioldsgate 2
0160 Oslo, Norway
Bibliotek
Om LØRN
© 2024 LØRN AS