Et nytt personvernregelverk
En grunnleggende forutsetning for å kunne utøve rettighetene personvernregelverket gir, er at man kjenner til dem. Vi har derfor spurt om folks kjennskap til det nye personvernregelverket og rettighetene der.
Bakgrunn
I 2018 fikk Norge en ny personopplysningslov. Loven består av nasjonale regler og EUs personvernforordning (General Data Protection Regulation, GDPR). Personvernforordningen inneholder et sett med regler som gjelder for alle EU/EØS-land, og gir virksomhetene flere plikter når de behandler personopplysninger. Regelverket har også gitt nye personvernrettigheter til norske borgere, samt videreført mange av rettighetene fra det gamle regelverket.
Virksomhetenes etterlevelse av det nye regelverket har vært varierende. Det har vært en sterk økning i antall innmeldte brudd på personopplysningssikkerheten (avviksmeldinger) i etterkant av at regelverket ble innført. Det har også vært vedtatt store overtredelsesgebyrer for brudd av loven, både i Norge og Europa for øvrig.
Datatilsynet mottar mange spørsmål fra enkeltpersoner om personvern og deres rettigheter. Vi har derfor undersøkt hvor godt folk kjenner til regelverket og rettighetene sine, og hvorvidt de mener at personvernet har blitt styrket som følge av innføringen av personvernforordningen.
Kjennskap til det nye personvernregelverket
Svarene viser:
- Om lag to av tre nordmenn kjenner til det nye personvernregelverket. 37 prosent svarer at de ikke kjenner til regelverket.
- Kjennskapen til regelverket er lavest blant de under 30 og de over 60 år.
- Høyt utdannede har best kjennskap til regelverket. Åtte av ti nordmenn med mer enn fire års universitets- eller høyskoleutdanning kjenner til regelverket, mens det samme gjelder for kun seks av ti med videregående skole som høyeste utdanning.
- Av de som har en årslønn på over 600 000,- kroner har 86 prosent kjennskap til regelverket. 54 prosent av de som tjener mindre enn 400 000,- kroner oppgir at de ikke kjenner til regelverket.
Det er positivt at et stort flertall av norske borgere kjenner til det nye europeiske regelverket. Den store mediedekningen og det store antallet e-poster mange fikk før forordningen ble innført – knyttet til fornying av samtykke til å behandle personopplysningene deres – har sannsynligvis bidratt til dette. Det er likevel et stort antall av befolkningen (37 prosent) som ikke kjenner til regelverket. Dette kan ha betydning for om folk har kunnskap om sine rettigheter, og er i stand til å utøve dem. Ifølge en studie utført på vegne av EU-kommisjonen, kjenner 67 prosent av europeere til personvernforordningen (GDPR). Kjennskapen i Norge ligger med andre ord litt under det europeiske gjennomsnittet.
Svarene viser:
- Nesten halvparten av respondentene (48 prosent) mener at innføringen av det nye personvernregelverket har styrket deres personvern fra liten og opp til stor grad.
- Like mange (48 prosent) svarer at de ikke vet.
- Fem prosent oppgir at det ikke har styrket personvernet.
Med unntak av de som svarer «vet ikke», så oppgir de fleste at innføringen av det nye regelverket har styrket deres personvern. Det er få som mener at regelverket ikke har styrket deres personvern.
Det er likevel nesten halvparten av respondentene som ikke har tatt et standpunkt til spørsmålet. At det er et så stort antall som svarer «vet ikke», reflekterer delvis at det er en relativt stor andel som ikke kjenner til regelverket. Mange kan nok også synes at det er vanskelig å ta stilling til spørsmålet ettersom de ikke har hatt tid til å opparbeide seg en personlig erfaring med regelverket, eller at de synes at det er for komplisert å gjøre en vurdering.
Kjennskap til personvernrettighetene
Personvernforordningen gir enkeltpersoner en rekke rettigheter. For eksempel går retten til innsyn ut på at enkeltpersoner kan spørre en virksomhet om hvilke personopplysninger som er lagret om dem og hvordan opplysningene behandles. Retten til informasjon innebærer at virksomheter har en plikt til blant annet å gi kort og forståelig informasjon om hvordan de behandler personopplysningene de samler inn. Retten til retting betyr at man kan kreve at opplysninger rettes eller suppleres hvis de er uriktige. Retten til sletting innebærer at man i enkelte tilfeller kan kreve at personopplysninger slettes. Dette kalles noen ganger «retten til å bli glemt».
En av de nye rettighetene er retten til dataportabilitet. Denne retten innebærer at man kan få utlevert personopplysningene sine fra en virksomhet og gjenbruke disse som man vil, på tvers av ulike systemer og tjenester. Dette vil gjøre det lettere å bytte tjenesteleverandører, siden man enkelt kan ta med seg opplysningene sine til den leverandøren som tilbyr de beste vilkårene. Retten til dataportabilitet gjelder kun opplysninger som man selv har gitt fra seg bevisst og aktivt.
En grunnleggende forutsetning for å benytte seg av disse rettighetene, er at man kjenner til dem. Derfor har vi spurt respondentene om hvilke rettigheter i personvernregelverket de har hørt om. Siden respondentene blir informert om rettighetene i spørsmålsformuleringene, kan prosentene være høyere enn dersom de ikke ble hjulpet.
Svarene viser:
- Med unntak av retten til dataportabilitet kjenner over halvparten av befolkningen til de ulike rettighetene.
Om lag to av tre er klar over at de har en lovfestet rett til innsyn. Omtrent like mange har kjennskap til at de i visse tilfeller kan be en virksomhet som behandler personopplysninger om å få disse slettet, eller nekte behandlingen av disse opplysningene. Selv om retten til dataportabilitet er minst kjent, oppgir en betydelig andel å vite om den. Vi har imidlertid ikke tall på hvor mange som faktisk benytter seg av denne nye rettigheten.
Sosioøkonomisk status påvirker kjennskap til regelverket
Undersøkelsen viser også at kjennskap til regelverket og rettighetene samsvarer sterkt med inntekt og utdanning. Hvis man har høy inntekt og høyskole-/universitetsutdanning, er det mer sannsynlig at man kjenner til regelverket og rettighetene som følger av det. Hvis man har lavere inntekt og høyeste utdanning fra grunn- eller videregående skole, har man generelt lavere kjennskap til regelverket og de rettighetene loven fastslår at man har.
Uten kjennskap til grunnleggende personvernrettigheter, kan man heller ikke utøve rettighetene slik regelverket legger til rette for. Det er problematisk at de med lavere utdanning og inntekt i så stor grad har mindre kjennskap til regelverket. I ytterste konsekvens betyr det at ressurssterke personer har et sterkere rettsvern enn ressurssvake, fordi de har bedre kjennskap til regelverket og rettighetene sine. Datatilsynet får mange henvendelser om overvåking i arbeidslivet fra ufaglærte og arbeidstakere i lavtlønnsyrker. At vår undersøkelse viser at personer uten høyere utdannelse har mindre kunnskap om sine rettigheter, er bekymringsverdig med tanke på folks personvern på slike arbeidsplasser.
Forbruksforskningsinstituttet (SIFO) har også vist til at sosioøkonomiske forhold er utslagsgivende for enkeltpersoners forhold til personvern og personvernregelverket. I undersøkelsen «Tillit og sårbarhet på nett» viste de at folk som identifiserte seg som «arbeiderklasse», har mindre tro på at personvernforordningen vil gi større trygghet på nett enn de som identifiserte seg som «middelklasse». Samtidig fant de at mens det finnes generell usikkerhet knyttet til personvern og personvernforordningen i alle grupper, er usikkerheten størst blant de yngre, de fra arbeiderklassen og de som ikke er i inntektsgivende arbeid. I en rapport utført på vegne av EU-kommisjonen fant de også at personer med minst økonomiske problemer hadde en større sannsynlighet for å ha hørt om GDPR.