Sjekklistebasert revisjon for behandling av elektroniske samtykker

Abstract

Denne oppgaven fokuserer på hvordan behandlingen av samtykker må gjøres på en mer strukturert måte etter ikrafttredelsen av den generelle personvernforordningen den 25. mai 2018. Det er et forsøk på å sette sammen et sett med verktøy, en sjekkliste, som en praktisk måte å løse problemene med håndtering av elektroniske samtykker. Sluttresultatet er primært rettet mot kontrollører, informasjonsforvaltere, personvernombud og andre som har en interesse i compliance, enten det handler om juridiske forhold eller overholdelse av dokumentasjonskrav. De fleste av oss har i den senere tiden mottatt en rekke henvendelser fra ulike virksomheter som ønsker vårt samtykke til å fortsatt kunne behandle personopplysninger etter at den nye personvernforordningen ble innført i EU den 25. mai 2018. Vera Jourová, EUs justiskommisjonær, understreker at selskaper som tjener penger på bruk av personopplysninger, får et spesielt ansvar. «Personopplysninger er vår tids gull. Og vi gir fra oss opplysninger ved så godt som hvert eneste skritt vi tar, spesielt i det digitale rommet. Det er som om folk står nakne i en gullfiskbolle.» Dette gjelder naturligvis ikke bare selskaper som tjener penger på bruken. Overordnet i målsettingen for personvernforordningen, er gi borgerne bedre kontroll over hvilke personopplysninger ulike virksomheter samler inn om dem, og hva de bruker opplysningene til. Krav om samtykker ligger i kjernen av dette. Virksomhetene som behandler personopplysninger, har etter den nye forordningen bevisbyrden, følgelig også dokumentasjonsbehovet, for samtykker som er inngått etter forordningens ikrafttredelse. Saken mot Facebook og deres deling av personopplysninger til blant andre Cambridge Analytica har bidratt til at oppmerksomheten rundt behandling basert på samtykke fra den registrerte har nådd uante høyder, og har medført at mange virksomheter tar temaet mer på alvor enn tidligere. I perioden hvor jeg har befattet meg med problemstillingen for denne oppgaven, har temaet ofte kommet opp i samtaler med kolleger, medstudenter og andre i min omgangskrets. I retrospekt er jeg overrasket over hvor ofte jeg har funnet meg selv langt nede i detaljene, av ren nødvendighet, for å gjøre rede for hva dette handler om. Oppgaven vil av mange oppfattes som relativt teoritung, men grunnen vil forhåpentligvis være tydelig når teorien settes sammen til praktiske verktøy. Samtykker spiller en svært viktig rolle i personvernsammenheng, og – som erfaringene fra bl.a. Cambridge Analytica-saken indikerer – så vil denne rollen bli enda mer sentral i fremtiden. I arbeidet med å utvikle denne sjekklisten har det vært viktig å kunne isolere livsyklusprinsippet for samtykkeobjektet fra den samlede forretningsprosessen, og hvordan dette beviset må behandles spesielt i lys av de nye dataene beskyttelsesforskrifter. Kontrollmekanismer oppført i sjekklisten adresserer de spesifikke kravene til personvernforordningen, og er relatert til prosesser beskrevet i internasjonalt anerkjente standarder og rammer. Kontrollene gjøres ved å svare på spørsmålene i sjekklisten, med eventuelle referanser i tilfeller der det ikke er umiddelbare svar i behandlingsprosessen. En gang i fremtiden vil det bli et forsøk hovedspørsmål vil være om samtykket kan aksepteres som autentisk dokumentasjon eller ikke. Etter det, eller forhåpentligvis før det, vil flere behandlingsansvarlige og databehandlere undersøke hvor langt deres egne systemer, rutiner og prosedyrer støtter kravene fra forordningen. Inntil da kan denne sjekklisten brukes som grunnlag for gjennomgang av samtykkebaserte personopplysninger. Den er samlet av elementer fra anerkjente prinsipper og standarder, og vil bidra til å sikre at samtykkeobjektet i seg selv er sikret på en forsvarlig måte. Det kan implementeres som en del av en større revisjon, som en del av en risiko- og sårbarhetsanalyse, eller bare brukt som et frittstående verktøy.

This paper sets focus on how the management of consents have to be done in a more structured manner after May 25 and the enforcement of the General Data Protection Regulation. It is an attempt to assemble a set of tools, a check list, as a practical way of addressing the issues concerning management of electronic consents. The end result is primarily directed towards controllers, record managers, Data Protection Officers and others that have an deeper interest in compliance, whether it is GDPR compliance or records management compliance. Most of us have recently received a number of requests from various companies that wish to continue to process our personal data after GDPR was introduced in the EU on May 25, 2018. Vera Jourová, the EU justice commissioner, emphasizes that companies that earn their money by the use of personal data, are given more responsibility. "Personal information is the gold of our time. And we provide information about virtually any step we take, especially in the digital space. It's as if people are naked in a goldfish bowl. " The overall goal of GDPR is to give citizens better control over what personal information different businesses collect from them. Consent requirements form the core of this. Companies that process personal data have, according to the new regulation, the burden of proof, consequently also the obligation to provide documentation, for consents entered into after the entry into force of this Regulation. The case against Facebook and their sharing of personal information with, among other things, Cambridge Analytica has contributed to the attention of treatment based on the consent of the registrant has reached unprecedented heights and has resulted in many businesses taking the issue more seriously than before. In the time period in which I have addressed this problem area, the subject has often come up for discussion with colleagues, fellow students and others in my network. In retrospect, I am surprised at how often I have found myself having to go far down into the details, of pure necessity, to manage to explain what this is all about. This paper will by many be perceived as quite theoretical, but the reason will hopefully be clear as the theory is put together into practical tools in the end. Consents play a very important role in the context of data protection, and - as the recent experience from the Cambridge Analytica case indicates - this role will become even more critical in the future. In the work of developing this check list, it has been important to be able to isolate the life cycle principle of the consent object from the overall business process, and how this piece of evidence must be treated in particular in the light of the new data protection regulations. Control mechanisms listed in the checklist address the specific requirements of the GDPR, and are related to processes described in globally recognized standards and frameworks. The controls are done by answering the questions in the checklist, with any references in cases where there are no immediate answers in the treatment process. Once in the future, there will be a trial main question will be whether the consent can be accepted as authentic documentation or not. After that, or hopefully before that, more data controllers will investigate how far their own systems, routines and procedures support the requirements deriving from GDPR. Until then, this checklist can be used as a basis for reviewing consent-based personal data processes. It is assembled by elements from recognized principles and standards, and will help to ensure that the consent object in itself is safeguarded in a proper manner. It can be implemented as part of a larger audit, as part of a risk and vulnerability analysis, or simply used as a stand-alone tool.

A master programme thesis from Aalborg University

Sjekklistebasert revisjon for behandling av elektroniske samtykker

[Revising the management of consents as records by check lists]