Hva er personvern?
Demokratiet, rettsstaten og menneskerettighetene er bygd opp basert på en aksept for at det enkelte menneske er myndig, selvstendig, ansvarlig og uavhengig. Begrepet personvern er tett knyttet til disse verdiene.
For at vi mennesker skal kunne utvikle selvstendige refleksjoner og vurderinger, trenger vi en privat sfære som ikke er kontrollert av andre.
Samtidig er ikke retten til personvern absolutt. Et samfunn skal ivareta både frihet og trygghet for sine borgere. Mens friheten forutsetter vern av den private sfære, vil en inngripen i denne friheten ofte være en forutsetning for å skape trygghet. I likhet med andre menneskerettigheter må retten til privatliv balanseres mot andre hensyn, og i noen tilfeller må personvernhensyn vike for hensyn til sikkerhet, trygghet og åpenhet – for å nevne noe.
Personvernet som menneskerettighet og overordnet verdi er nedfelt i Den europeiske menneskerettskonvensjonen (EMK) og i Grunnloven hvor personvernet kommer til uttrykk som en rett til privatliv.
«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.» (EMK artikkel 8)
«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.
Statens myndigheter skal sikre et vern om den personlige integritet.» (Grunnloven §102)
Grunnleggende prinsipper for vern av personopplysninger
Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper som er beskrevet i personvernforordningens artikkel fem. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene.
Lovlig, rettferdig og gjennomsiktig
At behandlingen av personopplysninger må være lovlig, innebærer først og fremst at det må finnes et rettslig grunnlag for en planlagt behandling av personopplysninger. Personvernforordningen har en liste over rettslige grunnlag, og minst ett av disse må være oppfylt. Prinsippet om lovlighet kan også sies å inkludere alle de øvrige prinsippene og reglene for behandling av personopplysninger som en behandlingsansvarlig må oppfylle.
At behandlingen av personopplysninger må skje rettferdig betyr at den skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal være forståelig for de registrerte og ikke foregå på skjulte eller manipulerende måter.
Gjennomsiktig betyr at bruken av personopplysninger skal være oversiktlig og forutsigbar for den opplysningene gjelder. Gjennomsiktighet bidrar til å skape tillit og setter enkeltpersonen i stand til å bruke sine rettigheter og ivareta sine interesser.
Formålsbegrensning
Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det betyr at ethvert formål med behandling av personopplysninger skal identifiseres og være forklart på en måte som gjør at alle berørte har samme forståelse av hva opplysningene skal brukes til.
For at formålet skal være legitimt, må det i tillegg ha et rettslig grunnlag som er i samsvar med etiske og rettslige samfunnsnormer. Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet.
Dataminimering
Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysningene ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.
Riktighet
Personopplysninger som behandles skal være korrekte, og skal om nødvendig oppdateres. Dette betyr at den behandlingsansvarlige må sørge for å straks slette eller rette personopplysninger som er uriktige.
Lagringsbegrensning
Prinsippet om lagringsbegrensning innebærer at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for.
Integritet, konfidensialitet og tilgjengelighet
Personopplysninger skal behandles slik at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes. Dette betyr at den behandlingsansvarlige må sørge for tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.
Ansvarlighet
Prinsippet om ansvarlighet understreker ansvaret for å opptre i samsvar med prinsippene for behandling av personopplysninger og for å ivareta de registrertes rettigheter og friheter. Dette ansvaret ligger på alle virksomheter som behandler personopplysninger. Det er ikke nok å bare ha ansvar – man må vise at man tar ansvar.
Dette betyr at virksomheten må kunne dokumentere at den har gjennomført tiltak for å etterleve personvernforordningen. Virksomheten må opptre proaktivt og etablere nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid.