Finansfokus

Nye og bedre rettigheter

Svein Åge Eriksen

26. mai 2018 trer den nye personvernloven i kraft i Norge. General Data Protection Regulation, GDPR, vil gi deg som forbruker og kunde, helt nye rettigheter og stille strengere krav til hvordan virksomhetene behandler personopplysninger.

Det nye regelverket gir deg rett til å motsette deg at dine personopplysninger kun blir behandlet av en maskin. Hvis du er blitt utsatt for en automatisert beslutning, får du rett til å få en forklaring på logikken som ligger bak. Retten til dataportabilitet er en helt ny rettighet. Nå har du krav på å få utlevert alle opplysninger om deg som finnes hos en tjeneste, for å få dem overført til annen leverandør.

VIKTIGSTE ENDRINGER

Algoritmestyrte beslutninger og kunstig intelligens er ikke lenger bare fancy begrep uten innhold. Nå blir stadig flere avgjørelser tatt av maskiner og ikke av mennesker. Det er ikke enkelt å forstå eller å bestride de beslutningene som blir tatt. Denne utfordringen tar det nye lovverket på alvor. Nå vil du få rett til å motsette deg at dine personopplysninger kun blir behandlet av en maskin. Det betyr at du kan kreve menneskelig involvering i en beslutningsprosess som vil ha betydelige konsekvenser for nettopp deg.

Retten til forklaring vil kanskje få enda større betydning for deg. Hvis du er utsatt for en automatisert beslutning, gir de nye personvernreglene deg rett til å få en forklaring på logikken som ligger bak. Dette skal gi oss mennesker en mulighet til å forstå hvordan algoritmene fungerer, noe som blir spesielt viktig når det gjelder den videre utviklingen av kunstig intelligens.

Med det nye regelverket kommer også en helt ny rettighet du ikke har hatt tidligere: Nå vil du ha krav på å få utlevert alle personopplysninger som du har gitt til en tjeneste, for å få disse overført til en annen tjeneste. Dette vil kunne få stor betydning når det nye betalingstjenestedirektivet PSD2 blir innført neste år.

SKJERPEDE RETTIGHETER

Den nye personvernforordningen skjerper dessuten eksisterende rettigheter. Dette gjelder blant annet kravet til samtykke og retten til å få sine opplysninger slettet. Virksomhetene blir pålagt å lage samtykkeerklæringer som folk forstår. Vide formålsformuleringer av typen «vi vil bruke dine data til å forbedre våre tjenester», vil ikke bli akseptert. Retten til å få sine data slettet blir også skjerpet. Den ansatte kan når som helst trekke tilbake sitt samtykke til at personopplysninger samles inn om henne og kreve at alle data som er samlet inn, blir slettet. Dette betyr at virksomheter som samler inn store mengder personopplysninger, må passe på at de utvikler rutiner og programvarer som legger til rette for sletting, innsyn og utlevering av alle opplysninger.

TØFFERE LINJE

EU er med sine 500 millioner forbrukere ett av de viktigste markedene for amerikanske selskap. Men nå har beslutningstakere i EU begynt å se med kritiske øyne på hvordan amerikanske selskap dominerer den digitale verden.

I 2016 var både Google og Facebook i EUs søkelys. Google ble anklaget av EU for urettmessig å favorisere egne digitale tjenester fremfor konkurrentenes på sin Android-plattform. Facebook ble anklaget av EU for å ha feilinformert myndighetene i forbindelse med godkjenning av deres oppkjøp av WhatsApp. Facebook blir også gransket av det franske og tyske konkurransetilsynet hvorvidt de misbruker sin dominerende markedsposisjon ved måten de samler inn og behandler personopplysninger på.

Det vil ikke bli lettere for amerikanske bedrifter i tiden fremover. Med innføringen av personvernforordningen vil amerikanske selskap måtte forholde seg til europeisk personvernlovgivning. Loven forplikter virksomheter utenfor EU som tilbyr varer og tjenester til EU-borgere, å etterleve det nye regelverket. Virksomheter som ikke gjør dette, risikerer å måtte betale dyrt. Brudd på det nye personvernregelverket vil fra mai neste år kunne koste virksomheter opp mot 20 millioner euro eller fire prosent av global omsetning.

Kilde: Datatilsynet og Teknologirådet: Personvern 2017.

Les mer: www. finansforbundet.no/aktuelt/nye-personvernregler/


HVA BØR DERE GJØRE NÅ

1 - Ha oversikt over hvilke personopplysninger dere behandler.

Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som gjelder også etter dagens lov.

2 - Sørg for å oppfylle dagens lovkrav. 

Overgangen til de nye reglene blir lettere om dere etterlever kravene i personopplysningsloven, som gjelder i Norge i dag. Har dere gode rutiner for internkontroll som fungerer etter hensikten og er kjent i organisasjonen, er det lettere å få oversikt over hva dere må endre.

3 - Sett dere inn i det nye regelverket. 

Dere finner forordningsteksten på Datatilsynets nettsider. Der fyller tilsynet også på med artikler om de nye reglene etter hvert som de blir utarbeidet.

4 - Lag rutiner for å følge de nye reglene. 

Gå gjennom rutinene dere har for behandling av personopplysninger. Oppdater dem etter nytt regelverk der det trengs. Dokumenter de nye rutinene, og legg en plan for nødvendige endringer. Er systemene deres laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Klarer dere å fange opp og besvare henvendelser fra borgerne innen én måned? Endringer i systemer og rutiner tar tid. Begynn allerede nå!

LES MER: www.datatilsynet.no/forordning 

FOTO: Shutterstock