2 minute read
Resultatet av lovtolkningen
Eksempel: Når du søker om lån eller stipend fra Lånekassen, samtykker du i at de bruker opplysninger om deg i forbindelse med selve lånet. Lånekassen melder også fra om at hjemmesiden deres, i likhet med de fleste hjemmesider, bruker såkalte cookies (som er personopplysninger), jf. formuleringen på lanekassen.no: «Lanekassen.no bruker informasjonskapsler (cookies) for å kunne gi deg en bedre brukeropplevelse.» Også her kan du samtykke. › Annet lovlig grunnlag Selv om hovedregelen er at vi må gi samtykke for at noen har rett til å behandle opplysninger om oss, er det mange og omfattende unntak. For eksempel har Skatteetaten og NAV lov til å behandle opplysninger om oss i forbindelse med skatt og trygd, leger og tannleger har rett og plikt til å lagre opplysninger om oss i journaler, og arbeidsgivere må ha rett til å behandle opplysninger om sine arbeidstakere i den grad det er nødvendig for at jobben skal bli gjort. En rekke unntak er angitt i GDPR artikkel 6 nr. 1, bokstav b) til f). Og etter § 23 i utdanningsstøtteloven har Lånekassen rett til å hente
Når vi bruker sosiale medier, gir vi internasjonale selskaper tilgang til enormt mye informasjon. Mye av dette er personopplysninger.Ikke korrekturlest 179 | 4 menneskerettigheter og personvern
inn opplysninger om deg fra andre kilder. Lånekassen har derfor «dobbelt opp» av lovlig grunnlag.
›2 Prinsippet om at behandlingen skal ha et uttrykkelig og legitimt formål Den som skal behandle opplysninger om oss, skal ha en spesifikk grunn, og denne grunnen skal være i samsvar med etiske normer. Opplysningene vi gir fra oss, skal dessuten ikke brukes til nye formål som strider mot de opprinnelige.
Hva ligger i dette? Når vi gir fra oss opplysninger til Lånekassen, har Lånekassen et formål, nemlig å betale ut lån og stipend. Dette er en spesifikk hensikt, som åpenbart er legitim og god. Da er behandlingen i orden.
Hvis Lånekassen – noe de aldri ville, men vi tenker det likevel – plutselig solgte opplysningene om deg og andre elever til et russefirma, slik at de kunne «skreddersy» markedsføringen sin overfor deg og de andre, ville denne utleveringen fra Lånekassens side ikke være forenlig med det opprinnelige formålet. Utleveringen ville vært ulovlig.
›3 Prinsippet om dataminimering Den behandlingsansvarlige skal aldri hente inn mer opplysninger enn det som er nødvendig for å dekke formålet. I vanlige tilfeller trenger vi ikke oppgi helseopplysninger til Lånekassen, og de trenger det heller ikke for å gjøre det som er formålet med behandlingen, nemlig å administrere lån og stipender til elever og studenter. › 4 Prinsippet om lagringsbegrensning Prinsippet om lagringsbegrensning innebærer at den behandlingsansvarlige skal slette personopplysninger (eller anonymisere dem) når opplysningene ikke lenger behøves for formålet de ble innhentet for. Tanken er at personopplysninger ikke bare skal hope seg opp – det er dårlig personvern. Alle kan kreve innsyn i egne opplysninger og kreve at disse opplysningene slettes. › 5 Prinsippet om åpenhet Vi som er de registrerte, kan føle at det er vanskelig å vite hvem vi skal henvende oss til hvis vi ser at personopplysningene våre ikke blir behandlet på en måte som vi kan forvente. Noe av formålet med GDPR var å gjøre den behandlingsansvarlige mer synlig og åpen, slik at terskelen blir lavere. Derfor er det blant annet bestemt Ikke korrekturlest at den registrerte skal få kontaktopplysningene til den behandlingsansvar-
180 | 4 menneskerettigheter og personvern
