Sjekklistebasert revisjon for behandling av elektroniske samtykker
Studenteropgave: Master afgangsprojekt
- Svein Olaf Bennæs
4. semester, Master i Informationsforvaltning (Efter- og videreuddannelse) (Masteruddannelse)
Denne oppgaven fokuserer på hvordan behandlingen av samtykker må gjøres på en mer strukturert måte etter ikrafttredelsen av den generelle personvernforordningen den 25. mai 2018. Det er et forsøk på å sette sammen et sett med verktøy, en sjekkliste, som en praktisk måte å løse problemene med håndtering av elektroniske samtykker.
Sluttresultatet er primært rettet mot kontrollører, informasjonsforvaltere, personvernombud og andre som har en interesse i compliance, enten det handler om juridiske forhold eller overholdelse av dokumentasjonskrav.
De fleste av oss har i den senere tiden mottatt en rekke henvendelser fra ulike virksomheter som ønsker vårt samtykke til å fortsatt kunne behandle personopplysninger etter at den nye personvernforordningen ble innført i EU den 25. mai 2018.
Vera Jourová, EUs justiskommisjonær, understreker at selskaper som tjener penger på bruk av personopplysninger, får et spesielt ansvar.
«Personopplysninger er vår tids gull. Og vi gir fra oss opplysninger ved så godt som hvert eneste skritt vi tar, spesielt i det digitale rommet. Det er som om folk står nakne i en gullfiskbolle.»
Dette gjelder naturligvis ikke bare selskaper som tjener penger på bruken. Overordnet i målsettingen for personvernforordningen, er gi borgerne bedre kontroll over hvilke personopplysninger ulike virksomheter samler inn om dem, og hva de bruker opplysningene til.
Krav om samtykker ligger i kjernen av dette.
Virksomhetene som behandler personopplysninger, har etter den nye forordningen bevisbyrden, følgelig også dokumentasjonsbehovet, for samtykker som er inngått etter forordningens ikrafttredelse.
Saken mot Facebook og deres deling av personopplysninger til blant andre Cambridge Analytica har bidratt til at oppmerksomheten rundt behandling basert på samtykke fra den registrerte har nådd uante høyder, og har medført at mange virksomheter tar temaet mer på alvor enn tidligere.
I perioden hvor jeg har befattet meg med problemstillingen for denne oppgaven, har temaet ofte kommet opp i samtaler med kolleger, medstudenter og andre i min omgangskrets. I retrospekt er jeg overrasket over hvor ofte jeg har funnet meg selv langt nede i detaljene, av ren nødvendighet, for å gjøre rede for hva dette handler om. Oppgaven vil av mange oppfattes som relativt teoritung, men grunnen vil forhåpentligvis være tydelig når teorien settes sammen til praktiske verktøy. Samtykker spiller en svært viktig rolle i personvernsammenheng, og – som erfaringene fra bl.a. Cambridge Analytica-saken indikerer – så vil denne rollen bli enda mer sentral i fremtiden.
I arbeidet med å utvikle denne sjekklisten har det vært viktig å kunne isolere livsyklusprinsippet for samtykkeobjektet fra den samlede forretningsprosessen, og hvordan dette beviset må behandles spesielt i lys av de nye dataene beskyttelsesforskrifter.
Kontrollmekanismer oppført i sjekklisten adresserer de spesifikke kravene til personvernforordningen, og er relatert til prosesser beskrevet i internasjonalt anerkjente standarder og rammer. Kontrollene gjøres ved å svare på spørsmålene i sjekklisten, med eventuelle referanser i tilfeller der det ikke er umiddelbare svar i behandlingsprosessen.
En gang i fremtiden vil det bli et forsøk hovedspørsmål vil være om samtykket kan aksepteres som autentisk dokumentasjon eller ikke. Etter det, eller forhåpentligvis før det, vil flere behandlingsansvarlige og databehandlere undersøke hvor langt deres egne systemer, rutiner og prosedyrer støtter kravene fra forordningen.
Inntil da kan denne sjekklisten brukes som grunnlag for gjennomgang av samtykkebaserte personopplysninger. Den er samlet av elementer fra anerkjente prinsipper og standarder, og vil bidra til å sikre at samtykkeobjektet i seg selv er sikret på en forsvarlig måte. Det kan implementeres som en del av en større revisjon, som en del av en risiko- og sårbarhetsanalyse, eller bare brukt som et frittstående verktøy.
Sluttresultatet er primært rettet mot kontrollører, informasjonsforvaltere, personvernombud og andre som har en interesse i compliance, enten det handler om juridiske forhold eller overholdelse av dokumentasjonskrav.
De fleste av oss har i den senere tiden mottatt en rekke henvendelser fra ulike virksomheter som ønsker vårt samtykke til å fortsatt kunne behandle personopplysninger etter at den nye personvernforordningen ble innført i EU den 25. mai 2018.
Vera Jourová, EUs justiskommisjonær, understreker at selskaper som tjener penger på bruk av personopplysninger, får et spesielt ansvar.
«Personopplysninger er vår tids gull. Og vi gir fra oss opplysninger ved så godt som hvert eneste skritt vi tar, spesielt i det digitale rommet. Det er som om folk står nakne i en gullfiskbolle.»
Dette gjelder naturligvis ikke bare selskaper som tjener penger på bruken. Overordnet i målsettingen for personvernforordningen, er gi borgerne bedre kontroll over hvilke personopplysninger ulike virksomheter samler inn om dem, og hva de bruker opplysningene til.
Krav om samtykker ligger i kjernen av dette.
Virksomhetene som behandler personopplysninger, har etter den nye forordningen bevisbyrden, følgelig også dokumentasjonsbehovet, for samtykker som er inngått etter forordningens ikrafttredelse.
Saken mot Facebook og deres deling av personopplysninger til blant andre Cambridge Analytica har bidratt til at oppmerksomheten rundt behandling basert på samtykke fra den registrerte har nådd uante høyder, og har medført at mange virksomheter tar temaet mer på alvor enn tidligere.
I perioden hvor jeg har befattet meg med problemstillingen for denne oppgaven, har temaet ofte kommet opp i samtaler med kolleger, medstudenter og andre i min omgangskrets. I retrospekt er jeg overrasket over hvor ofte jeg har funnet meg selv langt nede i detaljene, av ren nødvendighet, for å gjøre rede for hva dette handler om. Oppgaven vil av mange oppfattes som relativt teoritung, men grunnen vil forhåpentligvis være tydelig når teorien settes sammen til praktiske verktøy. Samtykker spiller en svært viktig rolle i personvernsammenheng, og – som erfaringene fra bl.a. Cambridge Analytica-saken indikerer – så vil denne rollen bli enda mer sentral i fremtiden.
I arbeidet med å utvikle denne sjekklisten har det vært viktig å kunne isolere livsyklusprinsippet for samtykkeobjektet fra den samlede forretningsprosessen, og hvordan dette beviset må behandles spesielt i lys av de nye dataene beskyttelsesforskrifter.
Kontrollmekanismer oppført i sjekklisten adresserer de spesifikke kravene til personvernforordningen, og er relatert til prosesser beskrevet i internasjonalt anerkjente standarder og rammer. Kontrollene gjøres ved å svare på spørsmålene i sjekklisten, med eventuelle referanser i tilfeller der det ikke er umiddelbare svar i behandlingsprosessen.
En gang i fremtiden vil det bli et forsøk hovedspørsmål vil være om samtykket kan aksepteres som autentisk dokumentasjon eller ikke. Etter det, eller forhåpentligvis før det, vil flere behandlingsansvarlige og databehandlere undersøke hvor langt deres egne systemer, rutiner og prosedyrer støtter kravene fra forordningen.
Inntil da kan denne sjekklisten brukes som grunnlag for gjennomgang av samtykkebaserte personopplysninger. Den er samlet av elementer fra anerkjente prinsipper og standarder, og vil bidra til å sikre at samtykkeobjektet i seg selv er sikret på en forsvarlig måte. Det kan implementeres som en del av en større revisjon, som en del av en risiko- og sårbarhetsanalyse, eller bare brukt som et frittstående verktøy.
| Sprog | Norsk |
|---|---|
| Udgivelsesdato | 14 jun. 2018 |
| Antal sider | 26 |
| Emneord | samtykke, livssyklus, personvernforordningen |
|---|