Personvernet vårt er nedfelt i Grunnloven og sikrer at enkeltmennesker ikke må forsvare hvorfor man vil beholde egne data, og ikke dele dem med andre. Det gjelder alle opplysninger som kan knyttes til fysiske personer.
Likevel føles det ikke alltid slik når man handler i en butikk, leverer en bil på verksted eller abonnerer på et nyhetsbrev fra en nettside.
Før EU strammet inn og implementerte et nytt personvernregime i medlemslandene sine i mai 2018, var det få advokater i Norge som jobbet utelukkende med personvern og kunne oppnå partnerstatus.
Men etter at GDPR ble en forkortelse alle måtte forholde seg til, ble rådgivning knyttet til håndtering av opplysninger om fysiske personer et stadig oftere etterspurt tema også.
Bjørn Ofstad er partner i Deloitte og personvernekspert. Han minner oss på at vi i Norge, i lang tid, forholdt oss til den gamle og utdaterte personopplysningsloven fra 2000.
Tøffere sanksjoner
– I vår tidsalder, med tett digital tilknytning og spredning av data, så måtte det endringer til, sier han.
GDPR kom fordi det var behov for en mer moderne lov.
– Men avstanden for å etterleve regelverket i personopplysningsloven og GDPR var ikke så stor. Den største forskjellen er nok riset bak speilet om du ikke følger regelverket i dag, sier han.
Nå er sanksjonene kostbare for bedrifter, og det har tvunget toppledere til å ha orden i egne rekker hva gjelder personvern.
Man kan bli ilagt en straff på fire prosent av et konserns brutto omsetning eller 20 millioner euro. Det tilsvarer i dag 232 millioner kroner.
Men de strenge bøtene er absolutt mulig å unngå. Reglene kan riktignok åpne for skjønnsmessige vurderinger og enkelte gråsoner, men med et stykke godt forarbeid skal det være fullt mulig å etterleve regelverket, mener Ofstad.
– Det handler ofte om vanlig folkeskikk når man skal bruke andres personlige opplysninger. Derfor er det viktig å si fra om hva du skal bruke opplysningene til.
Spesifikke bruksområder
Samtidig er det ikke slik at man bare kan bruke opplysningene fordi det er kjekt. Man må ha et formål og et juridisk behandlingsgrunnlag. Har man ikke det, så har man ikke lov til å behandle opplysningene.
– Man skal ikke bruke mer data enn det man trenger. Og dataene skal kun brukes til det formålet de er samlet inn for, sier Ofstad.
Dermed kan data som er hentet inn gjennom en spørreundersøkelse, bare benyttes til den spesifikke undersøkelsen.
– Virksomheter har virkelig fått øynene opp for verdien av å ha kunnskap om mennesker. Og det kan være fristende å bruke opplysninger som tidligere er samlet inn for en pakkereise til noe helt annet, fordi kanskje et flyselskap er interessert i å kjøpe dataene, sier Ofstad.
Samtidig er det ikke forbudt å bruke opplysninger flere ganger.
– Man kan rette markedsføringsaktiviteter mot eksisterende kunder, så lenge aktiviteten er relatert til tidligere handler.
En enkel huskeregel er at alle bedrifter må behandle personopplysninger som tilhører både leverandører, kunder og egne ansatte.
Likevel tror Ofstad det syndes en god del, både bevisst og ubevisst. Og ofte er det forståelig. Det å ha ansvaret for en virksomhets behandling av personopplysninger krever kompetanse og kapasitet, og gjerne litt motivasjon.
– Men Datatilsynet sier det rett ut, det er slutt på tiden hvor man kom unna med å hevde man fortsatt er i en planleggingsfase, sier han.
Kunstig intelligens
Verden står også overfor et nytt og stort personvernspørsmål; bruken av kunstig intelligens, også omtalt som AI.
Siden det er strenge krav til innsamling, behandling og lagring av personopplysninger, tvinges KI-selskaper å tilpasse seg disse kravene. Hvis ikke bryter de personvernreguleringene.
– Det kommer også krav om at KI-produkter og -tjenester må være designet så de sikrer at personopplysninger ikke blir misbrukt, og at data slettes eller anonymiseres etter bruk, sier Ofstad.
Vi har nå hatt en GDPR-forordning i fem år. Den har inspirert EU til å utvikle en KI-forordning. Formålet er å regulere utviklingen og bruken av kunstig intelligens i EU.
Brudd på den nye forordningen vil kunne medføre enda høyere bøter enn brudd på GDPR-regelverket. Opp til 30 millioner euro, eller seks prosent av et selskaps brutto globale omsetning, kan bli ilagt som en sanksjon.
– Forordningen er til behandling i EU, men det er ikke klart når den trer i kraft, sier Ofstad.
