De som er registrert med sine personopplysninger rundt omkring, tenker at "Yes, nå får jeg endelig oversikt!" eller "Yes, nå kan jeg få selskap til å slette meg fra sine registre!". De som samler inn eller sitter på personopplysninger engster seg fordi det plutselig er så mange rettigheter som kommer til å ødelegge for dem. "Vi kommer til å bli nedringt, og vi må bare slette en masse!".
Med noen få unntak er det egentlig ikke så mye nytt på rettighetsfronten. Rettighetene har vært der hele tiden, men man har bare ikke fått de med seg.
Retten til å bli glemt
Dette er kanskje den mest kjente. Mange har sikkert hørt om "retten til å bli glemt – retten til sletting", og at den retten kommer stormende inn med GDPR.
Men den finnes allerede.
Både dagens lov og GDPR sier at personopplysninger som du ikke har lov til å sitte på, eller personopplysninger som ikke tjener et spesielt formål, men er lagret fordi "de er så greie å ha", skal slettes. Du kan både nå og med GDPR be virksomheter gi deg informasjon om hva de sitter på og be dem slette det. Det betyr likevel ikke at det automatisk må bli slettet. De kan nekte sletting hvis de viser til lovhjemler som sier at de likevel kan beholde informasjonen.
Stå uansett på ditt og be dem vise nøyaktig hvor i loven det står at de kan sitte på det. Kan de ikke det, så skal de slette. Det er ikke godt nok med en løs forklaring.
Retten til innsyn
Retten til innsyn har du også i dag. Den gir deg muligheten til å kontakte virksomheter, enten stalige eller private, og be dem vise hvilke opplysninger de sitter på om deg.
Retten til korrigering
Denne retten er heller ikke ny. Opplysninger om deg skal uansett være korrekte, så egentlig burde det ikke være nødvendig å be om at opplysninger skal rettes. Skulle du oppdage noe feil når du ber om innsyn, eller det er forhold på din side som har endret seg, så kan du ta kontakt og be dem rette det. For hvilken nytte har uriktige opplysninger? Oftest ingen.
Hva er nytt?
Det er jo også noe nytt som kommer!
Innsigelsesrett og rett til begrenset behandling
Hvis du mener at en virksomhet ikke har lov til å behandle opplysninger om deg, eller opplysningene er utrolig belastende, må virksomheten ta en pause i å bruke opplysningene dine helt til det er avklart om de likevel har lov eller ikke.
Retten til dataportabilitet
Eller; retten til å be en virksomhet til å overføre dine personopplysninger til en annen.
Mange kaller dette den nye "forbrukerrettigheten". Det er fordi du som kunde ett sted kan be om at dine kundeopplysninger overføres til et annet selskap du vil bli kunde hos.
MEN – dette er heller ikke en automatisk rett. Det er kun når du har samtykket til at noen kan bruke dine opplysninger, eller det er basert på en avtale med deg, og at det er en automatisk behandling, at du kan be om en slik overførsel.
Automatisk behandling er typisk at roboter, og ikke en ansatt, tar imot og prosesserer opplysninger om deg. For eksempel kan du be Netflix overføre store deler av din profil til en annen strømmetjeneste. På den måten vil ny tjeneste også gi deg gode anbefalinger basert på hva du liker, uten at du må opparbeide deg den historikken på nytt i den nye tjenesten.
Hvorvidt denne retten har betydning for UiOs virksomhet gjenstår å se i prosjektets arbeid. Endelig norsk lov har jo ennå ikke blitt lagt frem av Justisdepartementet.
Oppsummert
Det som har endret seg med GDPR er at personvern er satt så innmari på agendaen – personvern er «i vinden». Av den grunn tror folk at rettighetene er noe nytt, de har sjelden eller aldri hørt om dem. Det er ikke så rart, fordi dagens regelverk pålegger ikke noen å gi deg informasjon om det. Med GDPR er virksomheter forpliktet til å informere deg om hvilke rettigheter du har når de samler inn opplysninger om deg. Med slike stadige påminnelser vil folk bli enda mer oppmerksomme på rettighetene sine, og det er nok sannsynlig at virksomheter får flere personvernhenvendelser enn før. Mottaksapparatet må stå klart.