Det kompliserte samtykket

mandag 29. mars 2021 @ 07:40

Nylig varslet Datatilsynet en bot på 100 millioner kroner til en amerikansk app-leverandør. Advokat Eva Jarbekk besvarer noen av spørsmålene som saken reiste, og som du kanskje selv må ha svar på om Datatilsynet en dag banker på døren din.
Av Eva Jarbekk

Nordens største personvernbot er nylig varslet i Norge. Om boten blir en realitet vet ennå ingen, men Datatilsynet har varslet 100.000.000 i overtredelsesgebyr til en amerikansk app-leverandør, Grindr. Fra før av var den høyeste boten i Norge 4.000.000, et beløp som dessverre møtes med en gjesp i mange miljøer.

Fra å ha vært et land der mange har sukket litt over at Datatilsynet ikke «tar i» på en måte som gjør at bedrifter tar personvernet seriøst, er nå manges personvern øyne rettet mot Norge og hva som skjer med denne boten fremover. Grindr har selvsagt bestridt den. 

Se også vårt nettmøte: Hvordan unngå 100 millioner i bot?

Komplisert regelverk

Regelverket om personvern har blitt temmelig komplisert. Utgangspunktet er teksten i GDPR som er et regelverk på 100 artikler, men i tillegg kommer en rekke veiledere fra EUs Personvernråd. Disse veilederne er omfangsrike og preget av at de er skrevet av jurister – de har et tungt juridisk språk som ikke alle synes er lett å lese. Veilederne er ofte detaljerte, og i praksis har det nok vært slik at de ikke har blitt tatt helt på alvor i markedet. Sikkert til frustrasjon for Datatilsynet. 

I saken mot Grindr, har Datatilsynet lagt stor vekt på veilederen om hvordan samtykker skal innhentes, og de bruker den ganske bokstavelig. 

Saken har et vell av juridiske problemstillinger og det kommer til å bli skrevet avhandlinger om den, likevel er det noen forhold som har stor spesielt betydning for næringslivet, uansett hvordan den ender. Det er også viktig å se nærmere på noen andre generelle uttalelser i veilederen om samtykker fra Personvernrådet som kan få stor betydning fremover. 

Er gratistjenester på vei ut?

Mange tjenester og app’er tilbys i to versjoner; en versjon som er gratis og der man mottar reklame og en betalbar versjon der man ikke mottar reklame. Svært mange tjenester finansieres på denne måten – enten betaler kundene en avgift eller så finansierer leverandøren tjenesten gjennom reklameinntekter. Mange slike tjenester baserer seg dessuten på at kunden samtykker til hvordan opplysningene brukes.  

Når kunden skal ta stilling til om vedkommende vil ha reklame eller ikke, må brukeren typisk betale en årsavgift dersom reklame skal unngås. Er samtykket frivillig da? Selv om man må betale noen kroner for å slippe reklame? Eller er det at en reklamefri tjeneste koster penger, en uakseptabel dytt i retning av at man heller velger å motta reklame? Og hvor mange kroner, eller kanskje rettere sagt hvor få kroner, er «akseptabelt» for å si at et samtykke er frivillig? 

Det er i alle fall sikkert at mange tjenester må legge om praksisen fullstendig dersom et samtykke til å motta reklame ikke er «frivillig» når alternativet er et abonnement. Det er vanskelig å tenke seg at det kan bli en realitet.

Hvor mange samtykker trengs?

Personvernrådets veileder sier at dersom noen har samtykket til et formål, så kan personopplysningene bare brukes til dette formålet. De aller fleste trenger å behandle opplysninger til flere formål, uavhengig av om det er en app eller noe annet man leverer. Det kan bli utfordrende når kravet er – eller blir – at man må be om samtykke til hvert enkelt formål separat.

Hva er et formål?

For hva er et formål? Jeg tror mange som ikke jobber med personvern har et litt uklart forhold til dette. Alle forstår at ett formål er å levere den tjenesten man har sagt at man skal gjøre. Men det er mange andre formål som ligger i utkanten av hovedtjenesten. Man ber kanskje om samtykke til å sende kunden reklame og man vil kanskje også kunne dele opplysninger om kunden med samarbeidspartnere i samme konsern. 

Personvernrådet er tydelige på at det å sende ut reklame og å dele opplysninger innad i et konsern, er to forskjellige formål som krever to uavhengige samtykker. Det er ikke like åpenbart for mange. Ser man på hvordan cookie-samtykker ofte utformes nå, så bes det også om egne samtykker til formålet «statistikk». Det finnes mange andre eksempler.

Jeg tror at mange tjenesteleverandører mener at mange formål henger så tett sammen at de i praksis er ett. Samtidig vil Personvernrådet at hvert formål skal ha et uavhengig samtykke. Dersom veilederen skal tas på ordet på dette punktet, kan det bli ganske mange bokser å krysse av når man skal bruke en tjeneste. Dette er et område hvor veilederen ikke har blitt fulgt opp i praksis og da blir det selvfølgelig vanskelig for bedriftene å vite om de egentlig må ta hensyn til den eller ikke.

Samtykker fremover: Hva med IT-systemene?

Det er åpenbart at hvordan man ber om samtykker, kommer til å endre seg i retning av det Personvernrådet ønsker. For mange aktører er nok dette nok en smertefull prosess fordi datamengden kundene gir fra seg vil minke når kundene får større kontroll over hva deres data kan brukes til. Men det er jo faktisk det EU har ønsket å oppnå med å styrke personvernet. 

Samtidig får man også en teknologisk utfordring. Når kunden skal kunne velge hvordan data skal brukes, må it-systemene i bakkant også ha mulighet til å ta hensyn til hva den enkelte bruker har sagt ja og nei til. Det er ganske viktig at it-systemer bygges med mulighet til å «skru på» hvordan data brukes og flyter. 

Både i EU og i Norge er det en tendens til at aktører angir konkurrenter for å bruke løsninger som ikke overholder personvernregelverket. Det er kanskje ikke forbausende. Og det er ganske mye å «ta i» for en som vil kritisere en konkurrent. Risikobildet er ikke bare at man kan få en bot – man kan også bli pålagt å slette opplysninger Datatilsynet mener ikke er samlet inn på lovlig måte og ikke minst kan man bli nødt til å endre datasystemene sine.

Det er en god del man må ta stilling til når man bygger og bestiller tjenester i dag, uansett om man er bestiller eller leverandør av en tjeneste. Det kan bli ganske dyrt å måtte utvikle en ny dataflyt og nye samtykkeløsninger. 

Full transparens: Vi gjør oppmerksom på at Eva Jarbekk er advokat for Grindr.

Fant ikke noen innlegg.

IdéCafé

IdéCafé med Nils Petter Nordskar

Lurer du også på hva tilt.work egentlig er? Du er ikke alene. 9. april får vi hjelp av selveste Nils Petter Nordskar – og kanskje deg? – til å finne oss sjæl.

Idéen bak IdéCafé er gratis innspill og idéer til småselskaper som ikke kan bruke store ressurser på profesjonelle i reklame og markedsføring.

Foruten praten mellom Nordskar og tilts Paal Leveraas, er deltakernes innspill hjertelig velkomne, og svært viktige. Mange har fulgt tilt.work og dets utspring – Tirsdag morgen – lenge. Nå har du sjansen til å bli med å forme vår fremtid.


Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Coaching-teknikker for prosjektledere

Coachende prosjektledelse

En coach-veteran avslører nyttige teknikker spesielt tilrettelagt for deg som leder prosjekter.

Dette kurset gir deg grunnleggende coaching-verktøy som er anvendelige i mange situasjoner. I kurset lærer du gjennom teori og øvelser som gir deg håndfast kroppslig læring. Kurset er et samarbeid mellom tilt.work og Computerworld Academy.


Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Norge under lupen, Datatilsynets tilsyn med kommuner ang personvern

Læringspunkter fra Datatilsynets tilsyn med kommuner

|
Datatilsynets rapport etter tilsyn med flere kommuner i Norge, gir oss nyttig læring.
Vektorgrafikk med to personer foran en tavle som viser elementer for god GDPR. Illustrerer viktigheten av å bygge en god personvernkultur.

12 bud for å bygge en robust personvernkultur

|
GDPR og IT-sikkerhet er ikke et engangsoppsett. Det krever konstant fokus og kontinuerlig oppdatering. Her er 12 gode råd for å bygge en varig personvernkultur.
Toppliste med pallplassene 1, 2 og 3.

Disse artiklene ble mest lest i 2023

|
Er artikkel om bærekraftig IT og grønn koding ble den mest leste artikkelen i 2023.
Lederskap bor i oss alle

Lederskap bor i oss alle

|
Jeg ønsker at vi reflekterer mer over hva lederskap egentlig er og hvilket mangfold av lederskap vi ønsker.
Kvinne med avsjekkshefte. Gode rutiner er personvern i praksis.

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

|
Personvern er småskrittsforbedringer og sunn fornuft satt i system, forankret i lovverket. Det er ledelsens ansvar, men alles oppgave!
Derfor skal oppstartsselskaper inkludere personvern helt fra start

Derfor skal oppstartsselskaper inkludere personvern helt fra start

|
I denne artikkelen guider jeg deg gjennom hva du bør sikre som minimum rundt personvern og IT-sikkerhet allerede fra start.
Et komplett år

Et komplett år

|
Det nærmer seg jul og deretter vipper vi snart inn i et nytt år. Lær deg kunsten å avslutte året som snart er over på en god måte.
Mann som går opp trapp, illustrerer strategisk ledelse

Derfor er strategisk ledelse viktig for bærekraftsmål

|
Mangelen på strategisk kompetanse i næringslivet er en utfordring, men også en mulighet for bedrifter å utvikle og styrke sin posisjon i markedet.
Jobb, karriére eller kall?

Jobb, karriére eller kall?

|
Er din jobb en jobb eller en karriére? Eller er den et kall? Om du lever ut ditt kall avhenger av dine holdninger, men også av ledelsen og miljøet du er i.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.