Hvorfor er personvern viktig for kommunikatører?
I mai får vi nye personvernregler. Den største utviklingen på personvernfeltet på nesten 20 år. Hva betyr det for oss kommunikatører? Her får du konkrete tips til hvordan kommunikasjonsavdelingen bør angripe arbeidet.
Trude Talberg-Furulund
Trude er senior kommunikasjonsrådgiver i Datatilsynet. Hun skriver også på Datatilsynets blogg om personvernspørsmål.
Personopplysninger er drivkraften i og mange ganger også en helt nødvendig komponent i digital kommunikasjon, sosiale nettverk, persontilpassende tjenester og kunstig intelligens. I tillegg samler, bruker og lagrer nesten alle duppeditter og dingser vi omgir oss med, personopplysningene våre. De aller fleste kommunikatører er flittige brukere av alle slike verktøy. Det betyr at hverdagen vår består både av å samle inn andres personopplysninger og å dele egne opplysninger med andre.
Hva betyr så dette for oss kommunikatører?
Det første vi må gjøre, er å lage en fullstendig oversikt over hvilke opplysninger vi behandler. Å behandle personopplysninger inkluderer alt fra å samle inn, bruke, dele, lagre til å videreformidle dem. Alle personopplysninger skal behandles lovlig og rettferdig og ikke brukes til noe annet enn det de er samlet inn for (formålsbegrensning).
Når dere har en fullstendig oversikt, må dere dokumentere om dere har lov til å samle dem inn, bruke og lagre dem (lovlighet), hvorfor dere samler dem (formål), om dere har behov for all informasjonen dere samler inn (dataminimalitet) og hvordan dere informerer dem dere samler inn informasjon om (gjennomsiktighet). Dette handler i bunn og grunn mye om å bruke sunn fornuft og fortelle om hva du gjør. Still deg spørsmålet: Ville jeg synes det var greit at noen samlet inn denne typen opplysninger om meg, hvorfor eller hvorfor ikke?
Samtykke
All behandling av personopplysninger krever et behandlingsgrunnlag. I mange tilfeller vil personopplysningene vi ønsker å samle inn, kreve et samtykke fra den som eier opplysningene. For eksempel abonnement på nyhetsbrev eller medlemskap i en kundeklubb. Dette kravet gjelder også i dag. Det som er nytt, er at dere ikke kan hente inn et generelt samtykke til å bruke innsamlede personopplysningene til hva dere vil. Ulik bruk, for eksempel i ulike kanaler, trenger individuelle samtykker. I tillegg skal brukeren skjønne hva hun sier ja til, samtykket skal være frivillig og det skal være like lett å trekke tilbake som å gi. Gå gjennom hva dere bruker de ulike opplysningene til, og sørg for å be om samtykke til hver bruk.
Klarspråk
Når dere henter inn et samtykke, skal det gjøres i et klart språk tilpasset målgruppenes forståelsesnivå. Det nye personvernregelverket er trolig det eneste som stiller krav til formidlingen av rettigheter og informasjon. All informasjonen om virksomhetens behandling av personopplysninger skal følge klarspråkkravene. Dette blir et stort løft for personvernet. Alle som melder seg på nyhetsbrevet deres, samtykker til forskningsprosjekter, blir medlem i kundeklubben eller laster ned appen, skal forstå hvordan dere behandler personopplysningene deres, og hvorfor. Klarspråkarbeidet gir kommunikasjonsavdelingen en nøkkelrolle i å hjelpe egen virksomhet å oppfylle kravene i det nye regelverket. Vi anbefaler at dere samler all informasjon om virksomhetens behandling av personopplysninger i en personvernerklæring. Denne skal være lett tilgjengelig for eksempel på nettsidene deres.
En personopplysning er en opplysning som kan knyttes til en enkeltperson. Det kan være navnet ditt, fødselsnummeret, telefonnummeret eller et bilde av deg. Vi skiller mellom direkte identifiserende og indirekte identifiserende opplysninger. Den siste kategorien er opplysninger som sammen med andre opplysninger kan fortelle hvem du er. For eksempel er opplysninger som biometri (f.eks. fingeravtrykk), søkehistorikken din på nett eller reisemønsteret ditt direkte identifiserende. Alder, kjønn eller en adresse er eksempler på indirekte identifiserende opplysninger. Hva er personvernopplysninger?FAKTA: Hva er personvernopplysninger?
Hvor behandler vi personopplysninger i kommunikasjonsavdelingen?
Hvor dere skal starte på deres oversikt over behandling av personopplysninger, avhenger selvsagt av hvem dere er, og hva dere gjør. Her er noen tips til hvor dere kan begynne, og hvilke kontrollspørsmål dere kan stille. Husk også å dokumentere dette arbeidet og særlig de vurderingene dere gjør. Det er det vi i Datatilsynet vil spørre etter når vi kommer på kontroll.
Nettsider:
De aller fleste av oss har nettsider som bruker analyseverktøy, men er dere bevisst på hvilke opplysninger dere samler inn? Trenger dere alle disse? Hva bruker dere informasjonen til, og hva formidler dere til brukeren av nettsidene?
Sosiale medier:
Sosiale medier har mange funksjoner, men de er ubrukelige hvis vi ikke deler noe. Har dere et bevisst forhold til kontoinnstillingene? Begrenser dere det andre deler på deres konto, for eksempel ved å ikke ha en «åpen vegg»? Husk at dere er ansvarlige for personopplysninger som deles der. Kjenner dere og er dere bevisste på reglene for deling av bilder og andre personopplysninger? Er dere klar over kravene og rettighetene knyttet til profilering?
Kontaktlister:
Dette er noe vi alle har, og som ofte er viktige for å kunne gjøre en god jobb. Har dere et bevisst forhold til hvorfor dere har akkurat disse opplysningene? Kunne dere klart dere med færre opplysninger? Alle lister krever et behandlingsgrunnlag. Selv om mange av listene i kommunikasjonsavdelingen krever samtykke, vil for eksempel medie- eller presselister kunne behandles ut fra en interesseavveining og derfor ikke kreve samtykke. Husk at godt personvern skaper tillit!
5 råd: Kom i gang med nye personvernregler i kommunikasjonsavdelingen |
1) Skaff dere oversikt over hvor dere behandler personopplysninger. |
2) Gå gjennom disse og se om behandlingener lovlig og rettferdig. |
3) Dokumenter alle vurderinger og valg dere har gjort. |
4) Bruk sunn fornuft.Ville du ha syntes det var greit om det var dine opplysninger som ble behandlet på denne måten? |
5) Husk at behandling av personopplysningerer et ledelsesansvar. |
På Datatilsynets nettsider finner du mer informasjon om og sjekklister for de nye personvernreglene (GDPR).