Så enkelt følger du GDPR i hobby­prosjekter

Ja, reglene gjelder, men nei, det er ikke så komplisert. - Spør deg selv "What Would Datatilsynet Do?" tipser Hans Kristian Henriksen i Bekk.

Han Kristian Henriksen jobber til daglig som utvikler i Bekk og er i tillegg ansvarlig for deres "bootcamp" for nye ansatte. 📸: Privat
Han Kristian Henriksen jobber til daglig som utvikler i Bekk og er i tillegg ansvarlig for deres "bootcamp" for nye ansatte. 📸: Privat Vis mer

Personvernregler, Schrems II, berettiget interesse og annet snacks er sånn de fleste gleder seg til å legge fra seg når de kommer hjem fra jobb.

Men lager du et hobbyprosjekt på fritiden kommer du fort inn i mange av de samme problemstillingene.

Må du egentlig tenke på personvern i et hobbyprosjekt? Gjelder andre regler for deg, og hvis ikke — hvor starter man?

"Gjelder personvern-reglene for hobbyprosjektet mitt?"

Ja.

Nå kan dette kanskje diskuteres — personvernregelverket gjelder nemlig i utgangspunktet ikke privatpersoner.

Men det er når man behandler personopplysninger til private formål. Hobbyprosjektet ditt tilbyr en tjeneste, og selv om du ikke har registrert noe foretak er det nok rimelig å anta at det vil rammes av personopplysningsloven.

Uansett er det lite å tjene på å ta sjansen på at det ikke en dag vil dukke opp en bruker som har noen brysomme spørsmål.

«Så om din omsetning er 0, kan du, i alle fall teoretisk, fortsatt få rolige 200 millioner kroner i bot.»

"Jeg tjener ingen penger på prosjektet, gjelder reglene fremdeles?"

Ja.

Omsetning og inntekt er på ingen måte krav for at man skal være omfattet av personvernregelverket. Og før du tenker at du har funnet et smutthull — du kan fortsatt få bot. De fleste tenker på 4 prosent av omsetningen når man snakker om bøter etter GDPR, men lovteksten er faktisk:

“Overtredelsesgebyr på opptil 20 000 000 euro eller (…) på opptil 4% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes”

Så om din omsetning er 0, kan du, i alle fall teoretisk, fortsatt få rolige 200 millioner kroner i bot om du ikke har ditt på det tørre. Om ikke det er god motivasjon for å lese videre, vet ikke jeg.

"Jeg kan jo ikke sette meg inn i hele GDPR! Hjelp meg!"

Det er to måter å angripe dette på.

Den første er den firkantede og korrekte måten. Dersom du ikke har nødvendig kompetanse på personvern, eller kan skaffe denne kompetansen, så er behandling av personopplysninger forbudt.

Men det blir ikke noe moro av sånt! Så vi angriper dette fra den andre og mer pragmatiske vinkelen:

Gitt at du følger noen enkle overordnede prinsipper vil du etter all sannsynlighet oppfylle de fleste krav i personopplysningsloven, og ikke minst lage et personvernvennlig hobbyprosjekt!

Det aller viktigste er å bli bevisst på hva slags personopplysninger du samler inn og behandler. I den forbindelse kan det være greit med en kjapp oppfrisker på hva som er en personopplysning. GDPR sier at en personopplysning er “enhver opplysning om en identifisert eller identifiserbar fysisk person”. Kort og konsist. Hvis opplysningen omhandler en person som kan identifiseres, så er det en personopplysning. Eksempelvis navn, telefonnummer, e-post, IP-adresse og lokasjon.

«Hvis du tenkte at det var en glimrende idé å ha postadressen til alle brukerne dine “sånn i tilfelle”, så er det bare å slutte med den innsamlingen med én gang.»

Etter dette steget kan det godt hende at du konkluderer med at du behandler et fåtall personopplysninger. Det typiske hobbyprosjekt har kanskje navn og e-post på brukerne sine, men sjeldent store mengder med persondata.

Det neste du bør gjøre er å spørre deg selv:

  • Trenger jeg all denne informasjonen?
  • Hva bruker jeg denne informasjonen til?

Ved å svare på disse spørsmålene er vi langt på vei til å ta grep innenfor det GDPR omtaler som “dataminimering” og “behandlingsgrunnlag”. Informasjon du ikke trenger bør selvsagt ikke samles inn. Hvis du tenkte at det var en glimrende idé å ha postadressen til alle brukerne dine “sånn i tilfelle”, så er det bare å slutte med den innsamlingen med én gang. Å ikke samle inn mer enn det du må for å levere den tjenesten du lager er kjernen i dataminimering.

Oversikt over hva du bruker informasjonen til er viktig for å forstå hvilket behandlingsgrunnlag du har. Bruker du e-postadresse for å kunne verifisere brukeren og la dem logge inn? Det er nødvendig for å levere tjenesten. Da har du lov til å gjøre det, uten å spørre eksplisitt om samtykke. Bruker du e-posten til å også sende et nyhetsbrev med oppdateringer om den nyeste funksjonaliteten? Det du ikke gjøre, så her trenger du samtykke fra brukeren først.

"Hva må jeg tenke på mens jeg lager tjenesten min?"

Hvis du spør deg selv WWDD? — What Would Datatilsynet Do? — så er du i ferd med å oppfylle GDPR artikkel 25 som krever “Innebygd personvern og personvern som standardinnstilling”.

Enkelt forklart skal det være sånn at systemet ditt hjelper brukeren med å ta de beste valgene fra et personvernståsted.

Hvis du spør om brukeren vil melde seg på et nyhetsbrev samtidig som de registrerer seg kan ikke den sjekkboksen være avsjekket på forhånd. Hvis man ved å gjøre en handling i systemet ditt kan komme til å overføre personopplysninger til noen andre, så skal det være lett å forstå. Sletter en bruker kontoen sin bør systemet ditt automatisk slette det du ikke lenger har behov for å lagre.

Enkelt sagt, alt det du lager skal gjøre det mest personvernvennlige valget standard, og systemet ditt skal forsøke å ivareta personvernet til brukeren underveis.

"Hva med innsyns-begjæringer, personvern-erklæringer og alt annet vanskelig?"

Det er heldigvis ikke så vanskelig som det høres ut som.

Det er lite sannsynlig at du vil få så mange innsynsbegjæringer (bare pass på at jeg ikke begynner å bruke tjenesten din), så disse kan du nok fint svare på manuelt. Det er nok også ganske lett for deg å slette en bruker dersom noen ønsker det.

En personvernerklæring er du pålagt å ha, men siden du mest sannsynlig behandler veldig få personopplysninger for veldig begrensede formål er dette raskt å skrive. Det er ingen formkrav, annet enn at informasjonen skal være skrevet på en “kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk”. Med andre ord er det en stor fordel for deg at du ikke er jurist! Bare skriv hva du gjør og hvorfor, så har du nok gjort jobben din!

"Så det var ikke så skummelt som jeg trodde?"

GDPR har ganske ufortjent fått et rykte på seg til å være vanskelig å forstå, og krevende å implementere.

Jeg mener at du med bare litt tenking, og kanskje en time eller to med koding, kan sikre at prosjektet ditt er så personvernvennlig at Datatilsynet vil gi deg en klapp på skulderen om de kommer innom.

Ved å tenke som Datatilsynet (WWDD), ikke samle inn mer enn du må, og tenke en ekstra gang over hvorfor du trenger personopplysningene du faktisk samler inn, så kan du gå tilbake til å trekke neste kort fra backloggen!