Персональные данные в Норвегии — это право на частную жизнь и на контроль над информацией, которую можно связать с вами. Это право действует и тогда, когда данные о вас обрабатывает государство, и тогда, когда это делают частные компании, школы, банки, приложения или социальные сети. В цифровом обществе большая часть повседневной жизни существует в реестрах, журналах и цифровых следах. Поэтому конфиденциальность — это не только юридический термин, но и практическая рамка того, как к вам должны относиться.

Что такое персональные данные

Персональные данные — это любая информация, которую можно связать с вами прямо или косвенно. Это может быть имя, адрес, номер телефона, электронная почта, национальный идентификационный номер, IP-адрес, фото, аудиозапись, история покупок, данные о местоположении, журналы входа или модель использования приложения. Оценки, профили и рекомендации тоже могут быть персональными данными, если они ведут обратно к вам.

Некоторые данные имеют особый уровень защиты. Сведения о здоровье, генетические данные, религиозные убеждения, политические взгляды, членство в профсоюзе, сексуальная ориентация и биометрические признаки, используемые для идентификации, относятся к особым категориям. Такие данные нельзя обрабатывать свободно. Всегда должна быть понятная правовая основа, конкретная цель и реальная оценка необходимости обработки.

Важно также различать анонимизированные и псевдонимизированные данные. Анонимизированные данные не должны позволять восстановить личность человека. Псевдонимизированные данные лишь скрыты под кодами или техническими ключами, но всё ещё остаются персональными, потому что их можно снова связать с вами.

Какие правила действуют в Норвегии

Право на частную жизнь закреплено в статье 8 Европейской конвенции по правам человека и в § 102 Конституции Норвегии. На практике это означает, что у вас есть право на личный простор, где вы можете жить, думать, верить, говорить и выбирать без лишнего вмешательства. Государство может вмешиваться только при наличии правовой основы, законной цели и соразмерности.

Норвежский закон о персональных данных 2018 года внедряет GDPR в Норвегии. Эти правила применяются, когда компания, муниципалитет, школа, работодатель, приложение или сайт обрабатывает персональные данные. За этим надзирает Datatilsynet, которое также даёт разъяснения. То есть у вас есть не только абстрактная защита, но и конкретные права, которыми можно пользоваться на практике.

Основные права — это доступ, исправление, удаление, ограничение, возражение и переносимость данных. Вы также можете спросить, откуда данные получены, кому они передавались и, во многих случаях, зачем их собрали. Если кто-то обрабатывает ваши данные неправильно, вы можете потребовать исправления. Если правила не соблюдаются, можно подать жалобу в Datatilsynet.

Персональные данные в публичных реестрах

Многие думают, что «публичный реестр» означает полную открытость для всех. Это не так. Публичные реестры могут содержать персональные данные, но доступ к ним часто разделён на уровни. Часть информации открыта, часть требует обоснованной необходимости, а часть защищена как конфиденциальная или особенно чувствительная.

Самый понятный пример — Folkeregisteret, норвежский реестр населения. Налоговая служба Норвегии описывает его как публичный реестр всех людей в Норвегии, которым присвоен национальный идентификатор или D-номер. Реестр может содержать имя, адреса, дату рождения, место рождения, гражданство, семейное положение, сведения о семье и статус. Но это не значит, что любой может просто получить всё. Идентификационные номера выдаются только при обоснованной необходимости, а защищённые адреса и другие охраняемые сведения имеют дополнительные гарантии.

D-номер особенно важен для людей, которые не проживают в Норвегии постоянно. Такой номер может стать неактивным спустя некоторое время, но он не удаляется только потому, что стал неактивным. Смысл тот же: идентификационные сведения полезны для государственного управления, но это всё равно персональные данные, которые нужно обрабатывать осторожно.

Enhetsregisteret и Foretaksregisteret — ещё одна сфера, где персональные данные появляются публично. Brønnøysundregistrene использует их для учёта компаний и ролей. В открытых API можно увидеть номер организации, название, адрес и сведения о ролях. Для владельцев ролей могут быть указаны имя и дата рождения. Это помогает понять, кто формально стоит за компанией или объединением, но открытые данные не означают использование без рамок.

Matrikkelen и grunnboken важны для недвижимости. Kartverket описывает matrikkelen как официальный реестр норвежской недвижимости с публичными сведениями о границах, зданиях, адресах и праве собственности. Как владелец или арендатор вы можете войти и посмотреть данные своей недвижимости. В некоторых случаях персональные данные из matrikkelen могут быть выданы, если получатель имеет на это право. Здесь снова видно, что реестр может быть публичным в принципе, но всё равно иметь чёткие границы того, что можно показывать, искать и повторно использовать.

Публичные журналы документов и инструменты доступа, такие как eInnsyn, тоже могут раскрывать персональные данные. Это могут быть имена, роли, номера дел, даты, отправители, получатели или темы документов. При этом чувствительные сведения должны быть скрыты или зачернены. Журналы важны для прозрачности власти, но они не дают права публиковать всё обо всех.

SSB и другие государственные органы часто получают персональные данные, чтобы делать статистику, планировать услуги и отслеживать развитие общества. Но при публикации данные обычно агрегируются или анонимизируются. Есть большая разница между использованием персональных данных в государственном управлении и размещением идентифицируемой информации для широкой публики.

Что не означает публичность

Главный принцип такой: если информация есть в публичном реестре, это не означает, что её можно использовать как угодно. Правила конфиденциальности всегда спрашивают: законна ли цель, необходимо ли такое использование и является ли обработка соразмерной? Информация может быть публичной в одном законном контексте, но всё равно неподходящей для сбора, хранения или объединения в другом.

Даже мелкие детали могут стать чувствительными, если их соединить. Адрес сам по себе может быть безопасным, но опасным, если его используют для преследования. Имя может казаться обычным, но раскрывать больше, если его связать с данными о здоровье, судебными решениями, финансами или семейными связями. Поэтому аргумент «это же есть в интернете» слаб. Важно, почему информация там есть, кто имеет к ней доступ и как её используют.

Что вы можете требовать

Вы можете требовать доступа к данным, которые организация обрабатывает о вас. Вы можете требовать исправления, если что-то неверно. В некоторых случаях можно требовать удаления, например если данные больше не нужны для цели. Вы также можете требовать ограничения, возражать против определённых способов использования и просить переносимость данных, если выполнены условия.

Если вы не уверены, что о вас зарегистрировано, начните с владельца реестра. В Skatteetaten можно посмотреть или заказать данные из Folkeregisteret. В Brønnøysundregistrene можно проверить данные компаний и ролей. В Kartverket можно посмотреть данные о недвижимости. Если вы считаете, что есть ошибка, обычно сначала обращаются именно к владельцу реестра.

Если вопрос не решается, вы можете подать жалобу в Datatilsynet. Это особенно важно, когда организация публикует данные, объединяет наборы данных или хранит больше, чем необходимо. Вы в более сильной позиции, когда можете точно показать, что неверно, к какому реестру это относится и чего вы хотите.

Как защитить себя на практике

Лучшая защита приватности обычно не один большой шаг, а сумма многих маленьких решений. Делитесь минимальным объёмом информации, давайте только необходимые разрешения и всегда спрашивайте, зачем организации нужны ваши данные. Обновляйте телефон, браузер и приложения. Используйте сложные пароли и многофакторную аутентификацию. Будьте осторожны со скриншотами и пересылкой документов, где есть имена, адреса, номера или даты рождения.

Для детей, пожилых людей и лиц с особой защитой осторожность ещё важнее. Фото, школьное сообщение, уведомление о смене адреса или скриншот могут казаться безобидными, но при дальнейшем распространении иметь совсем другие последствия. Поэтому конфиденциальность — это не про то, чтобы скрывать всё, а про сохранение контроля над тем, что передаётся, кому и с какой целью.

Коротко: в Норвегии конфиденциальность — это и право человека, и повседневный практический вопрос. Публичные реестры важны, но они не отменяют уважения, тайны, ограничения цели и контроля над своими данными.