Hvordan så personvernverden ut i 1998? Veldig annerledes!
Photo by Sinitta Leunen on Unsplash
Er du en av dem som startet med personvern etter den gamle personopplysningsloven? Den fra 2000 som hadde artige bestemmelser som at du måtte søke datatilsynet om konsesjon for å behandle personopplysninger, og som hadde en ekstremt detaljert forskrift som påla behandlingsansvarlig internkontoll?
En av oss som drev med personvern «før det ble mainstream»? Jeg også. Og ja, jeg er egentlig en personvernhipster.
Lindqvist-dommen
Hvorfor startet jeg å tenke på hvordan verden så ut sånn personvernmessig i 1998? Jo, for en stund tilbake siden leste jeg Lindqvist-dommen, som tar for seg hendelser fra nettopp 1998.
Kort fortalt ble en kvinne ved navn Lindqvist straffeforfulgt fordi hun hadde publisert informasjon om kollegaene sine på internett. Hun jobbet som kateket i en svensk menighet, og hadde ansvaret for konfirmantopplæringen. I den forbindelse lagde hun en internettside med informasjon til konfirmantene om henne selv og de andre som jobbet i menigheten.
Kollegaene var noen ganger nevnt ved fullt navn, andre ganger bare fornavn, med en humoristisk beskrivelse av hva de jobbet med og hva de likte å gjøre på fritiden. En av kollegaene hadde brukket foten og var i 50% sykemelding, noe som også ble omtalt.
Lindqvist hadde ikke spurt kollegaene sine om samtykke. Heller ikke hadde hun fått godkjennelse av det svenske datatilsynet. Men da hun fikk vite at noen av kollegaene hennes ikke satte pris på omtalen, tok hun ned nettsiden.
Kort fortalt handler dommen om hva en «behandling» av personopplysninger er. Domstolen bruker ikke mye tid på å drøfte spørsmålet. Det er ganske åpenbart, sett med 2023-øyne, at publisering av personopplysninger på internett er en «behandling». Det faller direkte under et av eksemplene i definisjonen: «tilgjengeliggjøring».
Hvordan så DIN verden ut i 1998?
Det å tenke på hva en svensk kvinne ved navn Lindqvist gjorde i 1998, fikk meg til å tenke på hva JEG gjorde i 1998.
Vi hadde fått en hjemme-PC noen år før 1998. Det var en stor, stasjonær PC som først sto i stua, og så ble flyttet inn på «kontoret». Det var ca. rundt 1998 at barneskolen jeg gikk på også fikk stasjonære PCer. Jeg tror de var en gave fra noen entusiastiske foreldre, men her kan jeg ta feil.
Jeg håper jeg tar feil gitt det jeg i dag vet om kommuner som skoleeiere og behandlingsansvar. Men det jeg husker er at vi publiserte informasjon om oss selv i skolesammenheng. Skolen vår lagde en hjemmeside, med en liten presentasjon om hvem vi barna var. Litt sånn som Lindqvist gjorde.
Dette husker jeg fordi vi skulle alle skrive en liten tekst om hvem vi var. På det tidspunktet var jeg svært opptatt av andre verdenskrig og folkemord generelt. Så jeg skrev at jeg het Ida, og at jeg var veldig interessert i Hitler og Pol Pot. Jepp, jeg var et rart barn. Og jeg ble sensurert av klasseforstanderen min som skrev en annen tekst for meg som endte opp med å bli publisert. God bless him.
Jeg forteller dette for å si at vi hadde en helt annen forståelse for hva internett er i 1998, enn det vi har nå. Vi har åpenbart en helt annen risikoforståelse. Ingen skole «in their right mind» vil i dag publisere informasjon om barna som går på den skolen på internett. Vi har jevnt over en bedre forståelse av personvern i dag.
Så hvordan så ditt liv ut i 1998? Hva gjorde DU på internett da? Gjorde du noen ting som du tenker tilbake på og ler litt av deg selv fordi det i dag ville vært et åpenbart faux-pas?
Litt personvernhistorie
Det er veldig lett å le av fortidsmennesker. Særlig når de stiller et spørsmål som for oss er åpenbart. Men la oss se på hvordan verden så ut sånn personvernmessig før 2018 og GDPR. For den så utrolig annerledes ut.
Norge fikk sin første personvernlov i 1978 (vi har også grunnlovsbestemmelser som er relevante for personvernet, men det er en annen historie).
Dette var en lov om «personregistre» og et av vilkårene for at loven skulle komme til anvendelse, var at personopplysningene var «lagret systematisk slik at opplysninger om den enkelte person kan finnes igjen». Datatilsynet ble opprettet samtidig.
Tilsynet skulle ha oversikt over alle personregistre i Norge som trengte konsesjon. Og det var Kongen i Statsråd som ga konsesjon eller «samtykke» til at et personregister kunne opprettes. Hva var vilkåret for konsesjon? Alle personregistre som skulle «gjøre bruk av elektroniske hjelpemidler» var omfattet, og registre som skulle inneholde sensitive personopplysninger, eller det vi kjenner som særlig kategorier i dag.
Så kommer personverndirektivet i EU i 1995, og Norge bruker en del tid på å inkorporere det i norsk rett. Men i 2000 får vi den personopplysningsloven som gjaldt før GDPR og den nåværende norske loven. Fordi den inkorporerer 1995-direktivet i norsk rett, og direktivet er ganske likt GDPR, er det ikke veldig forskjellige regler fra det som vi må forholde oss til i dag.
Men noen forskjeller er det. Bøtenivået f.eks. Da jeg jobbet med personvern i 2016, var maks bøtesats 10 ganger grunnbeløpet. I 2016 var det rundt 940 000 norske kroner. Og det er ikke mye. Ikke sammenlignet med nivået for GDPR.
En annen viktig forskjell var meldeplikten og konsesjonsinstituttet. Før du kunne behandle personopplysninger «med elektroniske hjelpemidler», måtte du melde det til Datatilsynet. Dette måtte du gjøre senest 30 dager før du skulle starte behandlingen.
Og så måtte du ha konsesjon for å behandle sensitive personopplysninger. Forskjellen fra 1978-loven var at nå var det Datatilsynet som skulle behandle konsesjonssøknaden. Den trengte ikke gå til Kongen i Statsråd.
Hvordan har personvernet endret seg siden 1998?
Den kanskje mest åpenbare endringen, er at du som behandlingsansvarlig har et mye større ansvar for din egen behandling av personopplysninger enn det du hadde i 1998.
Dette er flere grunner til det. Du har så mange flere elektroniske hjelpemidler enn det du hadde i 1998, og alle av dem behandler personopplysninger på en eller annen måte. Det gjør det praktisk veldig vanskelig for et sentralisert tilsyn å ha den fullstendige oversikten over alle behandlinger av personopplysninger.
Og da er svaret at det er DU som behandlingsansvarlig som skal sørge for din egen etterlevelse. Konsesjonsinstituttet er som kjent byttet ut med ansvarlighetsprinsippet og plikten til å gjennomføre personvernkonsekvensvurderinger DPIAer. Og så er det opp til deg å be Datatilsynet om en forhåndsdrøftelse dersom du ikke klarer å senke personvernrisikoen med risikoreduserende tiltak.