Personvern er et praktisk fag. Alle norske virksomheter må, i en eller annen utstrekning, forholde seg til personvernregelverket – personvernforordningen (GDPR) og personopplysningsloven. Det å tilegne seg både grunnleggende kunnskap om selve regelverket og praktisk personvern gir derfor en svært relevant kompetanse.
I dag, 25. mai 2023, feirer hele Europa at GDPR, eller personvernforordningen, er fem år. Personvernforordningen trådte egentlig i kraft i EU den 24. mai 2016. Det var imidlertid først fra 25. mai 2018 at alle virksomheter i EU måtte følge reglene og tilsynsmyndighetene kunne begynne håndhevingen. For oss i Norge trådte personvernforordningen i kraft først den 20. juli 2018. Komplisert skal det være, men det som er sikkert er at vi feirer sammen med våre søstertilsyn i dag. Vi har hatt en bratt læringskurve. Regelverket er komplisert, og det har vært krevende både for virksomheter og tilsyn å sørge for best mulig etterlevelse. Heldigvis er det en større mening og verdi bak det hele: Personvern er en menneskerettighet vi ikke kan ofre for digitaliseringsiveren. Personvernet er i dag viktigere enn noen gang, som en grunnleggende forutsetning for vårt demokratiske samfunn.
Men hva er egentlig personvern i dag?
Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvernkommisjonen uttaler følgende i sin rapport NOU 2022: 11 Ditt personvern – vårt felles ansvar – Tid for en personvernpolitikk, på side 29:
«Personvern kan defineres og beskrives på ulike måter. Uansett hvilken innfallsvinkel du velger, står det enkelte menneskets ukrenkelighet og krav på respekt fra andre mennesker, virksomheter og myndigheter, respekt for egen integritet og privatlivets fred, sentralt. Personvern er derfor nært knyttet til enkeltindividers muligheter for privatliv, selvbestemmelse og selvutfoldelse. I tillegg kan personvernet sies å være et grunnleggende premiss for et fullverdig demokratisk samfunn».
Retten til personvern beskrives her som en absolutt forutsetning for et fullverdig demokrati. I dagens digitale samfunn og den teknologiske revolusjonen vi står midt oppi, er personopplysningsvernet helt sentralt for å ivareta grunnleggende personvern, integritet og privatlivets fred. I den digitale tidsalderen vi er i, trer nemlig data frem som det definerende symbolet på vekst, fremskritt og makt. Og byggesteinene i dagens digitale økonomi er i stor grad personopplysninger.
Personvern er ikke bare en viktig menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet og privatliv. Personvern er også viktig for å sikre felles goder i et demokratisk samfunn. Uten retten til å ha et privatliv vil det ikke være mulig for den enkelte å skape seg et rom til å utvikle refleksjoner og vurderinger på et selvstendig grunnlag, uten å bli forstyrret eller kontrollert av andre.
Intet personvern, intet demokrati
Personvernforordningen er et viktig og komplekst regelverk, som har løftet personvernet på alle områder av samfunnet. GDPR gir både private og offentlige virksomheter plikt til å sørge for grunnleggende personopplysningsvern for alle de behandler opplysninger om – det være seg ansatte, kunder, pasienter, brukere eller innbyggere. Den gir også enkeltindivider rettigheter som de behandlingsansvarlige, altså virksomhetene som behandler dine data, må møte.
Plikt- og rettighetsbestemmelsene i forordningen gir til sammen et omfattende regelvern for ivaretagelse av personvernet og personopplysningsvernet til enkeltindivider. På et mer overordnet nivå er summen av plikter og rettigheter med på å regulere samfunnets ivaretagelse av personvernet og personopplysningsvernet. Denne felles innsatsen er derfor et viktig fundament i det norske demokratiet. Intet personvern, intet demokrati.
Krevende regelverk gir også magi
Innføringen av GDPR i 2018 var et vannskille for personvernet og personopplysningsvernet. Mange har dog erfart at regelverket kan være teoretisk og vanskelig tilgjengelig, og ikke minst krevende å omsette i praksis.
Magien skjer når du klarer å omsette personvernforordningen fra teoretisk lovtekst til operasjonelt og funksjonelt personvern. Jeg har ofte beskrevet det som en «oversetterjobb» – kravene som følger av lovteksten må omsettes til praktiske og gjennomførbare tiltak hos den behandlingsansvarlige. Slik er det til en viss grad med all lovtekst – den må tolkes og forstås opp mot en faktisk og praktisk virkelighet. Men for personvernregelverket kommer dette særlig på spissen, ettersom ansvarlighetsprinsippet medfører at det er den behandlingsansvarlige som må vurdere, velge og prioritere tiltak, og gjennomføre og dokumentere hvilke grep som sikrer etterlevelse i den konkrete virksomheten.
Veien fra lovtekst til personvern i praksis må læres. Med kunnskap om både lov og praksis, har du et godt grunnlag for å være med på å forstå en viktig grunnsten i det norske demokratiet.
Gratulerer med femårsdagen!