I mai 2018 får vi nye personvernregler. Dette er den største utviklingen på personvernfeltet på neste 20 år. Og det er jammen på tide. Hverdagen vår er svært annerledes enn i 2001, da dagens personopplysningslov trådte i kraft. Hvordan treffer så det nye regelverket oss som jobber med kommunikasjon?
Innlegget stod på trykk i Kommunikasjon nr. 2 – 2018.
Personopplysninger er drivkraften i og mange ganger også en helt nødvendig komponent i digital kommunikasjon, sosiale nettverk, persontilpassende tjenester og kunstig intelligens. I tillegg samler, bruker og lagrer nesten alle duppeditter og dingser vi omgir oss med inn personopplysningene våre. De aller fleste kommunikatorer er flittige brukere av alle slike verktøy. Det betyr at hverdagen vår består både av å samle inn andres personopplysninger og å dele egne opplysninger med andre.
Hva betyr så dette for oss kommunikatører?
Det første vi må gjøre er å lage en fullstendig oversikt over hvilke opplysninger dere behandler. Å behandle personopplysninger inkluderer alt fra å samle inn, bruke, dele, lagre til å videreformidle dem. Alle personopplysninger skal behandles lovlig og rettferdig og ikke brukes til noe annet enn det de er samlet inn for. Når dere har fullstendig oversikt må dere gå gjennom og dokumentere om dere har lov til å samle dem inn, bruke og lagre dem (lovlighet), hvorfor dere samler dem (formål), om dere har behov for all informasjonen dere samler inn (dataminimalitet) og hvordan dere informerer de dere samler inn informasjon om (gjennomsiktighet). Dette handler i bunn og grunn mye om å bruke sunn fornuft og fortelle om hva du gjør. Still deg spørsmålet – ville jeg synes det var greit at noen samlet inn denne typen opplysninger om meg, hvorfor eller hvorfor ikke?
Samtykke
All behandling av personopplysninger krever et behandlingsgrunnlag. I mange tilfeller vil personopplysningene vi kommunikatører ønsker å samle inn, kreve et samtykke fra den som eier opplysningene. Dette gjelder for eksempel abonnement på nyhetsbrev eller medlemskap i en kundeklubb. Men dette er et krav som også gjelder i dag. Det som er nytt, er at det ikke holder å hente inn et generelt samtykke til å bruke innsamlede personopplysningene til hva dere vil. Ulik bruk, for eksempel i ulike kanaler trenger individuelle samtykker. I tillegg skal brukeren skjønne hva hun sier ja til, samtykket skal være frivillig og det skal være like lett å trekke tilbake som å gi. Gå gjennom hva dere bruker ulike opplysningene til og sørg for å be om samtykke til hver ulik bruk. Bruker du opplysninger til å sende nyhetsbrev, i en medlemsliste på nettsidene, å utvikle nye tjenester eller å sende brukertilpassede salgstilbud krever hver av disse et eget samtykke.
Klarspråk
Når dere henter inn et samtykke, skal det gjøres i et klart språk tilpasset målgruppenes forståelsesnivå. Det nye personvernregelverket er trolig det eneste som stiller krav til formidlingen av rettigheter og informasjon. All informasjonen om virksomhetens behandling av personopplysninger skal følge klarspråkkravene. Dette blir et stort løft for personvernet. Alle som melder seg på nyhetsbrevet deres, samtykker til forskningsprosjekter, blir medlem i kundeklubben eller laster ned appen skal nå forstå hvordan dere behandler personopplysningene deres og hvorfor. Klarspråkarbeidet gir kommunikasjonsavdelingen en nøkkelrolle i å hjelpe egen virksomhet å oppfylle kravene det nye regelverket. Vi anbefaler at dere samler all informasjon om virksomhetens behandling av personopplysninger i en personvernerklæring. Denne skal være lett tilgjengelig for eksempel på nettsidene deres.
Hvor behandler vi personopplysninger i kommunikasjonsavdelingen?
Hvor skal dere starte når dere skal lage en oversikt over kommunikasjonsavdelingens behandling av personopplysninger? Det avhenger selvsagt av hvem dere er og hva dere gjør. Her kommer likevel noen tips til hvor dere kan begynne og hvilke kontrollspørsmål dere kan starte med. Husk også å dokumentere dette arbeidet og særlig de vurderingene dere gjør. Det er hva vi i Datatilsynet vil spørre etter når vi kommer på kontroll.
Nettsider
De aller fleste av oss har nettsider som bruker analyseverktøy, men er dere bevisst på hvilke opplysninger dere samler inn? Trenger dere å samle inn alle disse? Hva bruker dere informasjonen til og formidler dette til brukeren av nettsidene?
Sosiale medier
Sosiale medier har mange funksjoner, men de er ubrukelige hvis vi ikke deler noe. Har dere et bevisst forhold til kontoinnstillingene? Det er ofte muligheter for å begrense det andre deler på deres konto, for eksempel ved å ikke ha en «åpen vegg». Husk at dere ansvarlig for personopplysninger som deles der. Kjenner dere og er dere bevisste på reglene for deling av bilder og andre personopplysninger? Vær også klar over krav og rettigheter knyttet til profilering.
Kontaktlister
Dette er noe vi alle har mange av og som for de fleste av oss er viktige for å kunne gjøre en god jobb. Har dere et bevisst forhold til hvorfor har dere akkurat disse opplysningene? Kunne dere klart dere med færre opplysninger? Alle lister krever et behandlingsgrunnlag. Selv om mange av listene i kommunikasjonsavdelingen krever samtykke, vil for eksempel medie- eller presselister kunne behandles ut fra en interesseavveining og derfor ikke kreve samtykke.
Husk at godt personvern skaper tillit!
Fire råd for å komme i gang med arbeidet med nye personvernregler i kommunikasjonsavdelingen:
- Skaff dere oversikt over hvor dere behandler personopplysninger
- Gå gjennom disse og se om behandlingen er lovlig og rettferdig
- Dokumenter alle vurderinger og valg dere har gjort.
- Bruk sunn fornuft. Ville du ha syntes det var greit om det var dine opplysninger som ble behandlet på denne måte? Og husk at behandling av personopplysninger er et ledelsesansvar.