Datatilsynet – Personvernet med begrenset rekkevidde

Datatilsynet er den sentrale tilsynsmyndigheten for personvern i Norge. De skal passe på at personopplysninger behandles i tråd med personopplysningsloven og EUs personvernforordning (GDPR). På papiret fremstår Datatilsynet som en viktig instans for å beskytte individet – men i praksis er de maktesløse når det gjelder krenkelser fra redaktørstyrte medier.

GDPR og retten til å bli glemt

I 2014 skapte spanske Mario Costeja González historie da han krevde at Google fjernet søketreff knyttet til et gammelt inkassokrav. Dette førte til at EU-domstolen etablerte prinsippet om retten til å bli glemt. GDPR § 17 gir nå enhver rett til å få slettet sine personopplysninger når de ikke lenger er nødvendige, eller når opplysningene er uriktige, utdaterte eller ulovlig publisert.

Men denne retten har en avgjørende unntaksregel: medier er i stor grad fritatt fra GDPR når de utøver sin ytringsfrihet i journalistisk virksomhet. Dette kalles «medieunntaket» og er nedfelt i både GDPR og den norske personopplysningsloven. Det innebærer at pressen kan publisere og lagre personopplysninger, inkludert feilaktige eller skadelige opplysninger, uten at individet har rett til sletting.

Hvem avgjør hva som er journalistikk?

Medieunntaket gjelder kun journalistisk virksomhet, men det finnes ingen uavhengig instans som kontrollerer hva som faktisk kvalifiserer som journalistikk. Resultatet er at alle som har redaktøransvar – også nisjenettsteder og kommersielle aktører – kan publisere sterkt personlige eller krenkende saker uten at Datatilsynet kan gripe inn.

Ingen klageadgang for publikum

For privatpersoner som er rammet, finnes ingen uavhengig klageinstans. Man kan verken gå til Datatilsynet, Forbrukertilsynet eller rettssystemet uten store kostnader. Dermed står man igjen med PFU – en instans opprettet av pressen selv og uten makt til å pålegge sletting eller kompensasjon.

Personvernerklæringer og makten i mediene

Mens alle bedrifter og organisasjoner i Norge må ha en personvernerklæring og følge strenge regler for lagring og sletting, gjelder ikke dette fullt ut for redaktørstyrte medier. En personvernerklæring i en avis forteller deg i praksis lite om hvilke rettigheter du faktisk har når navnet ditt kobles til skandaler, rykter eller feilaktige påstander.

Ingen samordning mellom GDPR og presseetikk

Det finnes ingen mekanisme for at GDPR og presseetikken skal samordnes. Dette skaper et rettstomt rom der uriktige opplysninger kan bli stående i mange år, selv om Datatilsynet har anerkjent personvernet som krenket i lignende saker utenfor pressen.

Et beskyttet presseprivilegium

Datatilsynet har tidligere uttalt at de «ikke har hjemmel» til å overprøve redaksjonelle vurderinger. Dette skaper et demokratisk underskudd, hvor en privatperson kan få fjernet et gammelt Facebook-innlegg via GDPR – men må leve med at feilaktige presseoppslag ligger åpent for all fremtid.

Selv Google, som i utgangspunktet måtte etterkomme retten til å bli glemt, viser ofte til medienes «offentlige interesse» som begrunnelse for å la søketreff bestå. Dermed er mange nordmenn i praksis fratatt retten til å få slettet uriktige eller skadelige opplysninger – bare fordi de ble publisert i et medium med redaktøransvar.

Hva gjør andre land?

I flere europeiske land har man etablert egne medieombud eller uavhengige instanser som kan balansere ytringsfrihet mot personvern. Norge har i stedet valgt en modell der pressen selv regulerer alt – noe som i praksis fratar enkeltpersoner muligheten til rettferdig behandling.

Inkonsekvent prinsippbruk

Det oppleves urimelig for mange at private innlegg på sosiale medier raskt kan kreves slettet via Datatilsynet, mens redaktørstyrte medier får stå urørt – selv når de publiserer alvorlige feil eller krenkende innhold. Dette dobbeltsystemet undergraver folks tillit til rettferdigheten i personvernet.

Manglende informasjon til publikum

Mange tror at Datatilsynet også gjelder mediene – noe som gjør skuffelsen større når man får avslag. Datatilsynet burde vært tydeligere på begrensningene sine og presset på for bedre vern av utsatte enkeltpersoner i møte med redaktørstyrte medier.

Hva bør endres?

Det bør vurderes om GDPR-unntaket for journalistikk er for vidt, og om det finnes rom for en uavhengig instans som kan vurdere enkeltpersoners krav om sletting, også når det gjelder mediepublisering. I dagens modell har pressen enerett på å definere hva som er offentlig interesse, og den som blir hengt ut, står ofte helt uten rettsvern.

Datatilsynet fremstår derfor som en viktig, men tannløs aktør når det gjelder falske nyheter i redaktørstyrte medier. Det er behov for nytenkning og politisk mot til å sikre at personvernet ikke stopper ved redaksjonsdøra.