GDPR

Det besværlige samtykket?

Publisert 07. mars, 2021 , Oppdatert 11. juni, 2021
Christian Butenschøn

Da GDPR ble innført våren 2016 ble det lovet kraftige sanksjoner for de som ikke overholder regelverket. Nå ser vi at dette ikke var tomme løfter. Google, Grindr, British Airways og PWC er bare noen av de internasjonale kjempene som må betale betydelige summer i overtredelsesgebyr. Også her hjemme har flere kommuner og offentlige virksomheter blitt ilagt bøter i millionklassen. Og flere skal det bli. Datatilsynet har varslet en rekke flere bøter i 2021, både til offentlig og privat sektor.

Ulovlige samtykker

Bøtene som er ilagt, og varslet, gjelder flere forskjellige brudd på bestemmelser i forordningen.
I januar 2021 ble datingappen Grindr varslet om et rekordgebyr på 100 millioner kroner av det norske Datatilsynet. Datatilsynets konklusjon er at Grindr har utlevert personopplysninger om brukerne til en rekke tredjeparter uten rettslig grunnlag. For å bruke appen måtte brukerne godta personvernserklæringen i sin helhet og de ble ikke spurt særskilt om de samtykket til utlevering av opplysningene til tredjeparter. I tillegg var informasjon om utleveringen av personopplysninger ikke tydelig eller tilgjengelig nok for brukerne. Videre sier Datatilsynet at det å være Grindr-bruker er en særlig kategori sensitive personopplysning som bør beskyttes fordi det sier noe om vedkommendes seksuelle legning.

Rådgivningskjempen PwC fikk overtredelsesgebyr på 150 000 euro (juli 2019) for å bruke samtykke som juridisk behandlingsgrunnlag av egne ansattes personopplysninger. Et helt sentralt krav ved bruk av samtykke, er at samtykket skal avgis frivillig. I et ansettelsesforhold anses ikke et avgitt samtykke som ”frivillig” da det er en skjevhet i maktforholdet mellom arbeidsgiver og arbeidstaker. PWC kunne heller ikke dokumentere at personopplysninger ble behandlet lovlig og overholdt dermed ikke sitt ansvar som behandlingsansvarlig.

Også skoleverket skal behandle personopplysninger i henhold til GDPR-forordningen. En videregående skole i Sverige ble ilagt et overtredelsesgebyr på 200 000 svenske kroner et tre uker langt prøveprosjekt der 22 elever fikk fravær registret ved ansiktsgjenkjenning. Selv om elevene hadde avgitt sitt samtykke mente det svenske datatilsynet at samtykket ikke var gyldig da elevene befinner seg i en avhengighetsposisjon til den videregående skolen. I tillegg var bruk av ansiktsgjenkjenning ulovlig da formålet kunne oppfylles med langt mindre inngripende tiltak.

Hva sier loven?

Eksemplene på overtredelsesgebyrer, og grunnlaget for disse, fremhever to områder som er spesielt viktige å ta hensyn til:

  • at et samtykke skal være informert, spesifikt og på et enkelt forståelig språk.
  • at et avgitt samtykke ikke kan ansees som frivillig når maktforholdet mellom partene er skjevt.

Personopplysningslovens artikkel 4 punkt 11 definerer samtykke som ”enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende.”

Videre beskriver Personopplysningsloven artikkel 7 vilkårene for gyldige samtykker.

  • Den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandling av personopplysninger om vedkommende. (Utdrag)
  • Anmodningen om samtykke (skal) framlegges på en måte som gjør at den tydelig kan skilles fra andre forhold, i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. (Utdrag)
  • Den registrerte skal ha rett til å trekke tilbake sitt samtykke til enhver tid. (..) Det skal være like enkelt å trekke tilbake som å gi samtykke. (Utdrag)
  • Ved vurdering av om et samtykke er gitt frivillig skal det tas størst mulig hensyn til blant annet om oppfyllelse av en avtale (..) er gjort betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale. (Utdrag)

GDPR påpeker også at ”barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandling av personopplysninger.”

 

Last ned guide: GDPR for Dummies

 

Betraktninger og hensyn man må ta ved vurdering av samtykker

Krav til gyldig samtykke i GDPR er blant annet at det skal dokumenteres at det foreligger et gyldig samtykke. For behandling av personopplysninger på grunnlag av samtykke skal dette altså ikke kunne skje før samtykke er innhentet. Hvordan gjør man det i praksis? Her er det behov for tekniske løsninger som innarbeides i arbeidsprosessene. Det finnes flere gode løsninger på markedet som ivaretar Cookie-samtykker, men det er mer begrenset med løsninger som ivaretar samtykker som må innhentes for bruk av data der det er behov for å vite hvem som er den faktiske kunden. Hvor sikker er du på hvem som faktisk har avgitt samtykke? I Norden er BankID identifisering er en utbredt måte å autentisere enkeltpersoner. Når et samtykke, fullmakt eller bekreftelse blir gitt kan det være nødvendig benytte en løsning som har forskjellige autentiseringsmuligheter tilgjengelig, særlig hvis det er snakk om økonomiske eller helsemessige opplysninger som behandles. Da holder det sannsynligvis ikke med en enkel avkryssingsboks på et nettskjema, uten god versjonshåndtering av tekster og autentisering av enkeltpersonen. Hvem var det som faktisk samtykket, og hva var den eksakte teksten personen samtykket til?

Med kravet om at et samtykke skal være informert må man også stille seg spørsmålet om i hvilken grad de som skal gi samtykke faktisk forstår hva de samtykker til. Behandling av personopplysninger for barn og unge, samt andre sårbare personer som f.eks. demente, krever ytterligere aktsomhet. Skal samtykke gis på vegne av barnet, eller er det verifisering av et samtykke barnet selv har gitt? Trenger man bekreftelse fra en eller to foresatte, og hva om de ikke er enige? Med alle ranselpostsamtykkene kan man se for seg at det er mange kontaktlærere som er frustrert. Hvis du administrerer samtykker, kan du med hånden på hjertet si at du har full oversikt og kontroll? Om samtykke er samlet inn manuelt med signerte skjemaer, hva da om man endrer mening? Er det like lett å trekke som å gi?


Se vår video som forklarer GDPR på tre minutter.

 

Finnes det bedre alternativer enn samtykker?

I mange sammenhenger er det andre juridiske grunnlag som er bedre egnet enn samtykke og berettiget interesse er et av disse. Det er to årsaker til dette:

  • mindre risiko for ikke å få et dokumentert samtykke
  • redusert risiko for at juridisk grunnlag bortfaller (samtykke trekkes)


Særlig der det er skjevhet i maktforhold er en balansetest for interesseavveining en god måte å evaluere personvernet og skape grunnlag for behandling.

Ved Berettiget Interesse er det fortsatt en omfattende informasjonsplikt hvor blant annet det skal informeres om hva den Berettigede Interessen er. I tillegg skal det informeres om retten til å protestere. Det vil si at enhver enkeltperson kan ha en personlig situasjon som gjør at den negative konsekvensen ved behandling av personopplysningene veier tyngre enn fordelen for organisasjonen som behandler opplysningene. Det er altså en rett til å ”opt-out” og bedriften må informere om dette.

Ved bruk av Berettiget Interesse skal det dokumenteres en interesseavveining hvor virksomhetens fordeler veies opp mot den negative effekten for enkeltpersoner.

Sjekkliste for å unngå å basere databehandling på feilaktige samtykker.

  • Er formålet for behandlingen som det skal samtykkes til formulert på en enkel og forståelig måte?
  • Er formålet spesifikt og konkret?
  • Er det like lett å trekke som å gi?
  • Er samtykket påkrevet for at også andre bestilte tjenester/leveranser skal gjøres?
  • Er det et avhengighetsforhold mellom behandlingsansvarlig og den registrerte som kan påvirke slik at samtykke ikke kan ansees å være frivillig?


Svarene og vurderingene rundt disse spørsmålene må dokumenteres i grunnlaget for behandlingen. I tillegg er det klokt å velge teknologi med god versjonering som sikrer at man i etterkant kan dokumentere nøyaktig hvilken informasjon som ble gitt og hva det ble samtykket til.

De organisasjonene som behandler samtykker på en god måte, som informerer, er tydelige på hva de ønsker å benytte personopplysningene til og som ber om lov, bygger tillit. Tillit som skaper et godt grunnlag for vekst.

 


“It seems to me that a lot of energy and effort is being spent on trying to find a way to avoid consent. That energy and effort would be much better spent establishing informed, active, unambiguous consent.” - Elizabeth Denham, ICO commissioner 23/2 2018 at Direct Marketing Association Data Protection event

Gratis rådgivning om personvern!

Les også vår guide: Hva er GDPR?
Christian Butenschøn

Christian Butenschøn

Christian Butenschøn er grunnlegger av ICONFIRM. Han er hverken IT utvikler eller jurist, men har praktisk sans og sunt bondevett. Etter 20 år som toppleder innen økonomi og finans i internasjonale konsern, ble han i 2013 operativ investor og ledet oppbyggingen av Nordens ledende samhandlingsplattform innen privat helse som idag har ca 30 forsikringsselskap og 1300 klinikker som brukere. Med utgangspunkt i denne teknologien ble ICONFIRM satt opp i slutten av 2016. Plattformen er en praktisk og brukervennlig løsning som setter individet i sentrum i en organisasjons etterlevelse av GDPR.