Hvis en borger eller en kunde ønsker å få informasjon om hvilke av hans/hennes personopplysninger som virksomheten behandler om barna deres, i deres byggesak, hos renovasjonen eller ved kjøp av en vare, så er det naturlig å oppsøke virksomhetenes websider for å finne informasjon.
Vi gjorde en enkel test ved å gå inn på 20 kommuners websider for å se hvilken informasjon som var tilgjengelig. På 19 av websidene fant vi kun generelle personvernerklæringer. På en webside fant vi konkret og detaljert informasjon om behandlingene.
Vi gjorde deretter samme sjekk på et utvalg av websider til private bedrifter som behandler mye personopplysninger. Også her fant vi at websidene hadde 1 personvernerklæring for alle behandlingene. Men hos de private inkluderte erklæringene mye mer konkret informasjon, men også svært mye informasjon og noe komplisert å finne fram.
HVA OG HVORDAN SKAL DET INFORMERES
Virksomheter skal gi kort og forståelig informasjon om behandlingen av dine personopplysninger. Informasjon skal være konkret og det skal ikke være nødvendig for deg å måtte lete etter informasjonen. En personvernerklæring som forsøker å gjemme viktig informasjon er i strid med loven. Les om dette på Datatilsynets webside.
Det er også krav om at personvernerklæringene skal gis i det personopplysningene samles inn, noe som i praksis betyr at virksomheten ved innsamling må ha personvernerklæringen publisert et sted som borger eller kunde kan nå der og da, eksempelvis som en link på websiden til virksomheten, eller som vedlegg.
Likevel er det sånn at de alle fleste virksomheter har 1 felles- og generell personvernerklæring som sier svært lite konkret om hvilke behandlinger som utføres og hvilke- og hvordan opplysningene konkret behandles. Generelle personvernerklæringer gjør det svært vanskelig å bruke rettighetene som personvernlovgivningen gir deg og meg.
LUKKET OG URETTFERDIG BEHANDLING
Den nye Personvernforordningen er ment å styrke rettighetene til borgere og kunder. Personopplysningene er våre og de som bruker dem skal ha et lovlig behandlingsgrunnlag for den enkelte behandling, formålet skal være konkret og det skal listes opp hvilke opplysninger som behandles, hvem de deles med, når de slettes og hvor og hvordan de lagres etc.
Ved å ha tilgang på denne konkrete og åpne informasjonen kan borgere og kunder benytte de rettigheter som den nye lovgivningen gir, så som å be om innsyn, rettelser, begrensning av behandling og korrigering av opplysninger. Les mer om rettighetene hos Datatilsynet. Hvis vi bare er opplyst overordnet og generelt - kan ikke behandlingen anses som åpen eller rettferdig.
Virksomheter behandler mange personopplysninger med ulike formål. Eksempelvis har norske kommuner har ca. 100 ulike behandlinger som inkluderer personopplysninger, både om borgere og ansatte, så som jobbsøkere, barn på helsestasjon, barnehage og skole, i byggesøknader, ved inntak av eldre på sykehjem etc.
UTFORDRENDE FOR VIRKSOMHETENE
På grunn av omfanget av personopplysninger og antall behandlinger er det utfordrende for kommuner og andre virksomheter å møte kravene. Men det betyr ikke at en kan la erklæringene være generelle eller for store og uoversiktlige. Det er tross alt andres opplysninger som behandles. En kan si at bruk av kontaktinformasjon, handlevaner og helseopplysninger er en del av forretningsideen til virksomhetene, private som offentlige.
ET TEKNOLOGISK PROBLEM
Virksomhetene er stort sett gode til å utarbeide protokoller for behandlingene. Protokollene utarbeides svært ofte i manuelle systemer som Word og Excel. Protokollene for de enkelte behandlingene inneholder det som skal være med i personvernerklæringene. Men med 100 Excelark er det ikke enkelt når disse skal publiseres og holdes oppdatert. Vi tror at dette er hovedgrunnen til at personvernerklæringene er så generelle. Det er altså et teknologisk problem, ikke uvilje fra virksomhetene - informasjonen finnes.
"I en elektronisk personvernerklæring kan for eksempel den viktigste informasjonen oppsummeres kort i det første laget, samtidig som brukerne har mulighet til å klikke seg videre til de andre lagene dersom det er ønskelig med mer utfyllende informasjon. En lagvis personvernerklæring må være godt strukturert og oversiktlig slik at det er lett å finne frem til informasjonen. En personvernerklæring som forsøker å gjemme viktig informasjon er i strid med loven. Datatilsynet anbefaler at virksomheten i tillegg har all informasjon om behandling av personopplysninger tilgjengelig på ett sted. Dette er viktig dersom kunder eller brukere i etterkant trenger å gå gjennom informasjonen".
FINNES DET EN TEKNOLOGISK LØSNING?
Ovenfor har vi beskrevet utfordringen til virksomhetene er at de har mange behandlinger og mange opplysninger, som er fanget opp i Word eller Excel (protokoller), og som gjør det krevende å legge oppdaterte erklæringer ut på en pedagogisk måte.
I Personvernappen har vi løst denne utfordringen med at protokollene er utarbeidet som strukturerte data, der informasjonen "tagges" istedenfor å skrives inn i Excel/word-felter. Taggene gjør at det i Personvernappen automatisk lages en personvernerklæring per behandling. Det er også muligheter for å slå sammen behandlinger som har like registrerte, opplysninger etc.
Vi har også utviklet en egen løsning der virksomheten kan publisere alle personvernerklæringene på en egen weblink. Weblinken gjøres tilgjengelig på virksomhetens webside eller via e-poster og andre kommunikasjonskanaler. På weblinken kan borgeren/kunden selv skrive inn hvem han er, eksempelvis en elev, og dermed få fram alle personvernerklæringene som inkluderer elever. Han kan da enkelt se hvilke- og hvordan opplysningene behandles, og han kan enkelt klikke fram hvilke rettigheter han har og hva han skal gjøre for å benytte seg av rettighetene.
Så - det finnes en teknologisk løsning - les om den her.