NYE REGLER: 25. mai trådde de nye reglene for personvern i kraft innad i EU. Samme dag ble Google og Facebooksaksøkt for over 70 milliarder kroner. Foto: REUTERS/Dado Ruvic/Illustration/File Photo
NYE REGLER: 25. mai trådde de nye reglene for personvern i kraft innad i EU. Samme dag ble Google og Facebooksaksøkt for over 70 milliarder kroner. Foto: REUTERS/Dado Ruvic/Illustration/File PhotoVis mer

Personvern:

Flommen av e-poster illustrerer den store svakheten med GDPR

Torsdag 20. juli trår EUs nye personvernregler i kraft i Norge. Det er et skritt i riktig retning, men ikke en perfekt løsning.

Kommentar

25. mai ble det mørkt i Europa, i alle fall i husstander med internettstyrte lyspærer fra en bestemt kinesisk produsent. Det var nemlig datoen da EUs nye regler for personvern trådde i kraft. Og siden pærene behandlet personopplysninger, valgte produsenten å slå av lyset for EU-borgere.

De aller fleste har antakelig fått med seg forkortelsen «GDPR». Ikke nødvendigvis fordi du er interessert, men fordi det har vært umulig å unngå brottsjøen av e-poster fra bedrifter og andre som minner om at «GDPR» kommer – og trygler deg om være så snill å samtykke til at de kan fortsette å gjøre hva enn de gjorde med personopplysningene dine før disse EU-reglene.

Torsdag denne uka trår forordningen i kraft også i EØS-landene, inkludert Norge. Den har flere formål. Mest omtalt er målet om å verne privatpersoners rettigheter. Et annet, mindre kjent, og til dels motstridende formål, er å skape fri flyt av personopplysninger innad i unionen.

Ifølge GDPR eier privatpersoner selv sine personopplysninger. De har blant annet rett til å vite hva som blir lagret om dem og hvorfor, til rette feilaktig informasjon, til å overføre opplysninger, og «rett til å bli glemt», det vil si til å kreve opplysninger slettet.

Flere jurister har påpekt at rettstilstanden i Norge ikke forandrer seg stort, og det har de rett i. Som justisdepartementet skriver i sitt høringsutkast, er dette «i stor grad en videreføring» av det som allerede følger av personopplysningsloven.

Men det er ikke dermed sagt at ting blir som før. For selv om reglene ikke er all verden forandret, har verden forandret seg siden det nye regelverkets forløper, Personverndirektivet, ble innført i 1995.

Den gangen kunne få svart på hva de egentlig trengte Internett til. I dag er det helt umulig å leve et normalt liv uten. De siste årene har det gått opp for mange at den overgangen hadde en pris: Vi ga avkall på mye av personvernet vårt.

Måten det skjedde på, minner om en vits som visstnok var populær blant sovjetiske arbeidere på 80-tallet: De later som de betaler, vi later som vi jobber. Avtalene som inntil nå har blitt brukt til å innhente samtykke om å behandle data, har vært basert på en slik gjensidig løgn: Selskapene latet som de forklarte, vi latet som vi forsto. Vilkårene var gjemt i endeløse, juridiske dokumenter, som alle visste at ingen leste, utstyrt med en ferdig avhuket boks: «Ja, jeg har lest og forstått».

Det er det slutt på nå. Ifølge GDPR må samtykket komme på en «frivillig, spesifikk, informert og utvetydig måte». Det er derfor alle mulig bedrifter og så videre nå kontakter deg for å si: Å kjære, vakre, vene, gode, snille, søte kunde, la oss fortsette å behandle persondataen din.

Reglene er kanskje ikke radikalt forandret, men all oppmerksomheten åpenbart fått databehandlere til å frykte håndhevelsen. Det er alle e-postene et bevis på.

Men e-postene illustrerer også en svakhet ved denne typen regulering av personvern. For selv om spørsmålene om samtykke kommer på en mindre kjeltringaktig måte, må vi fortsatt ta stilling til hundrevis av forespørsler som det er vanskelig å forstå rekkevidden av.

Et spørsmål som bør stilles, er om denne situasjonen, hvor hver enkelt er i en kontinuerlig forhandling med offentlige institusjoner, internasjonale selskaper og lyspærene våre om personopplysninger, er den beste måten sørge for både individets rettigheter og nyttig databehandling.