Tips til å skrive kronikk om personvern

Written By Ida Tho

Photo by Aaron Burden on Unsplash

Jeg skriver mye om personvern. Tidligere i år hadde jeg en kronikk på trykk i Khrono om hvordan det å laste opp eksamensbesvarelser i et plagiatkontrollsystem kan være utfordrende sånn personvernmessig.

Men det var ikke egentlig humble-bragging som er hovedpoenget med denne bloggposten. Jeg har lyst til å fortelle deg hvordan jeg finner ting å skrive om.

Så uten mer om og men, dette er tre ting jeg har gjort i denne kronikken, som du kan adoptere hvis du også synes det er gøy å skrive om personvern.

Behandlingsgrunnlag, behandlingsgrunnlag, behandlingsgrunnlag

Den første, og mest åpenbare tingen du må se på når du skal kritisere en behandling, er om den behandlingsansvarlige har et behandlingsgrunnlag. Det er så elementært, men det er også så lett å trå feil akkurat her. Særlig hvis den behandlingsansvarlige ikke har tatt stilling til personvernspørsmål.

I vår europeiske jurisdiksjon, er jo utgangspunktet har behandlingsansvarlig må ha lov til å behandle personopplysninger. Dette i motsetning til f.eks. amerikansk jurisdiksjon, hvor virksomheter kan gjøre det de vil med personopplysninger, med mindre det finnes et forbud eller en restriksjon hjemlet i lov.

Så se på behandlingsgrunnlag. Har den behandlingsansvarlige uttalt seg om det? Viser de til hjemmel i lov eller forskrift? Great, verifiser om hjemmelen faktisk dekker det som de ønsker å gjøre med personopplysningene.

Viser man til samtykke? Awesome, ta en titt på om samtykke er et passende behandlingsgrunnlag. Har den registrerte egentlig valgfrihet? Hvis nei, er ikke frivillighetskravet oppfylt, og samtykke vil ikke passe i denne konkrete situasjonen.

Et ganske sikkert veddemål er at informasjonskravet ikke er oppfylt

Hvis du kan kritisere behandlingsgrunnlaget, f.eks. fordi den behandlingsansvarlige ikke har tenkt på at dette er en behandling av personopplysninger, er det sannsynlig at den heller ikke har oppfylt sine øvrige forpliktelser etter GDPR.

En av de forpliktelsene som er den mest stemoderlige behandlet, er informasjonsplikten. Behandlingsansvarlige er rett og slett generelt skikkelig dårlige på å informere på en god måte.

Og hvid den behandlingsansvarlige ikke visste at dette var en behandling av personopplysninger, kan du nesten garantere at de heller ikke har informert den registrerte om behandlingen.

Og det er egentlig ganske ille, fordi det å bli informert om at behandlingen skjer, er en forutsetning for å kunne gjøre gjeldende alle andre personvernrettigheter.

Jeg angriper ikke min egen kronikk

Så jeg vet hva svakhetene i kronikken er. Eller rettere sagt, jeg vet hvilke argumenter jeg ville ha brukt hvis jeg var NTNU, og skulle argumentere for at det å laste opp eksamensbesvarelser var helt a-okay personvernmessig.

Men dette er et argument jeg ikke «gir» dem. Fordi utgangspunktet i Nowak-dommen er at en eksamensbesvarelse ER en personopplysning, vil det være opp til NTNU å argumentere for at dette likevel ikke er personopplysninger.

Og det er noe de eventuelt kan gjøre i en egen kronikk, eller i intern etterlevelsesdokumentasjon. Det skal som kjent en del til for at noe IKKE er en personopplysning, så her kommer jeg til å vente i spenning :3


Denne bloggposten er basert på nyhetsbrevet mitt om personvern. Driver du med personvern og kunne tenke deg støtte i form av et ukentlig nyhetsbrev? Meld deg på her!

Ida Tho
Previous

Aldersgrenser på sosiale medier - en rant
Next

Hvordan skille mellom en protest, en slettebegjøring og en klage etter GDPR?