Databeskyttelse skal ikke være et hinder for at personopplysninger behandles.
Ingen av oss ønsker at arbeidsgiveren vår skal ha tilgang til alt på telefonen vår, at forsikringsselskapene skal spore all maten vi spiser, eller at kollegaene våre skal kunne se helseopplysningene våre.
I så måte er vi heldige: GDPR, EUs personvernforordning, beskytter oss mot slike scenarioer. Målet er å gi oss kontroll over våre egne data - og gjøre det mulig for oss å vite hvordan de blir brukt.
Men medaljen har alltid en bakside. Hvis GDPR tolkes for strengt, mister vi muligheten til å bruke dataene på nyttige og fornuftige måter. En arbeidsgiver ønsker kanskje å føre oversikt over hvor mange dager de ansatte er på kontoret, og når de har hjemmekontor – ikke for å kutte i lønninger, men for å finne ut om de trenger større eller mindre kontorlokaler. Hvis GDPR hindrer dem i å lage en slik oversikt, må avgjørelsen tas basert på intuisjon, ikke data – og da er sjansen større for at den blir feil.
En naturlig reaksjon ville være å si: "Dette er greit, så lenge de ber om samtykke." Men selv om ordet "samtykke" er det første mange tenker på når GDPR nevnes, er ikke dette hele bildet.
Berettiget interesse
GDPRs krav til samtykke er nemlig svært strenge. Samtykket må ikke bare være fullt informert og gitt aktivt – det kan også trekkes tilbake når som helst, og man må kunne bevise at det er gitt helt frivillig.
På grunn av maktubalansen, vil en arbeidsgiver alltid slite med å bevise at et samtykke virkelig er frivillig: hvis sjefen min ber meg om å samtykke til at det plasseres et kamera på kontoret mitt, blir det vanskelig å bevise at jeg ikke følte noe som helst press da jeg sa ja. Og hvis jeg samtykker til å bli filmet som en del av en gruppe i et møte, og senere ønsker å trekke samtykket, må man finne en måte å redigere meg ut av alle deler av videoen der jeg kan identifiseres. Det sier seg selv at dette er upraktisk og urealistisk.
Heldigvis er GDPR langt mindre urimelig enn mange tror: den åpner faktisk for å behandle personopplysninger uten samtykke i ulike situasjoner.
Man spørre seg: vil det jeg gjør påvirke folk negativt, og kan de med rimelighet forvente at jeg vil bruke dataene deres til dette formålet? Hvis svaret på første spørsmål er nei, og svaret på andre spørsmål er ja, har man ganske stor fleksibilitet til å bruke data til ulike legitime formål uten å måtte be om samtykke.
Et viktig uttrykk er berettiget interesse, altså at man prøver å gjøre noe som ikke er ulovlig og trenger data for å oppnå dette formålet. I slike tilfeller kan opplysninger brukes så lenge andre interesser (for eksempel å samle informasjon for å avgjøre nødvendig størrelse på kontorlokaler) veier tyngre enn interessene til de personene dataene gjelder.
Dette betyr ikke at man bare kan rope "berettiget interesse!" og gjøre som man vil. Det handler snarere om å erkjenne at det noen ganger er upraktisk å be om samtykke, og at det å bruke folks data på en måte som er til fordel for dem, kan være i alles interesse.
Naturligvis må man dokumentere og bevise at dette virkelig er tilfellet - og GDPR tillater ikke at man støtter seg på slik interesseavveining når dataene er spesielt sensitive, som helsedata. Men den anerkjenner at målet ikke er å hindre fornuftig bruk av dataene våre – og selv tilsynsmyndigheter sier at man bør vurdere om samtykke er det mest hensiktsmessige før man ber om det.
Det sentrale i GDPR er derfor ikke å skape unødvendige hindringer, men å sikre en fornuftig balanse mellom personvern og verdiskaping. For virksomheter betyr dette at fokuset bør være på å bygge tillit – ikke på å samle inn flest mulig samtykkeerklæringer. Først da oppnår vi det som faktisk er formålet med regelverket: det å beskytte mennesker, ikke å låse ned all databehandling i et byråkratisk jerngrep.