Da GDPR ble innført våren 2016 ble det lovet kraftige sanksjoner for de som ikke overholder regelverket. Nå ser vi at dette ikke var tomme løfter. Google, Grindr, British Airways og PWC er bare noen av de internasjonale kjempene som må betale betydelige summer i overtredelsesgebyr. Også her hjemme har flere kommuner og offentlige virksomheter blitt ilagt bøter i millionklassen. Og flere skal det bli. Datatilsynet har varslet en rekke flere bøter i 2021, både til offentlig og privat sektor.
Bøtene som er ilagt, og varslet, gjelder flere forskjellige brudd på bestemmelser i forordningen.
I januar 2021 ble datingappen Grindr varslet om et rekordgebyr på 100 millioner kroner av det norske Datatilsynet. Datatilsynets konklusjon er at Grindr har utlevert personopplysninger om brukerne til en rekke tredjeparter uten rettslig grunnlag. For å bruke appen måtte brukerne godta personvernserklæringen i sin helhet og de ble ikke spurt særskilt om de samtykket til utlevering av opplysningene til tredjeparter. I tillegg var informasjon om utleveringen av personopplysninger ikke tydelig eller tilgjengelig nok for brukerne. Videre sier Datatilsynet at det å være Grindr-bruker er en særlig kategori sensitive personopplysning som bør beskyttes fordi det sier noe om vedkommendes seksuelle legning.
Rådgivningskjempen PwC fikk overtredelsesgebyr på 150 000 euro (juli 2019) for å bruke samtykke som juridisk behandlingsgrunnlag av egne ansattes personopplysninger. Et helt sentralt krav ved bruk av samtykke, er at samtykket skal avgis frivillig. I et ansettelsesforhold anses ikke et avgitt samtykke som ”frivillig” da det er en skjevhet i maktforholdet mellom arbeidsgiver og arbeidstaker. PWC kunne heller ikke dokumentere at personopplysninger ble behandlet lovlig og overholdt dermed ikke sitt ansvar som behandlingsansvarlig.
Også skoleverket skal behandle personopplysninger i henhold til GDPR-forordningen. En videregående skole i Sverige ble ilagt et overtredelsesgebyr på 200 000 svenske kroner et tre uker langt prøveprosjekt der 22 elever fikk fravær registret ved ansiktsgjenkjenning. Selv om elevene hadde avgitt sitt samtykke mente det svenske datatilsynet at samtykket ikke var gyldig da elevene befinner seg i en avhengighetsposisjon til den videregående skolen. I tillegg var bruk av ansiktsgjenkjenning ulovlig da formålet kunne oppfylles med langt mindre inngripende tiltak.
Eksemplene på overtredelsesgebyrer, og grunnlaget for disse, fremhever to områder som er spesielt viktige å ta hensyn til:
Personopplysningslovens artikkel 4 punkt 11 definerer samtykke som ”enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende.”
Videre beskriver Personopplysningsloven artikkel 7 vilkårene for gyldige samtykker.
GDPR påpeker også at ”barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandling av personopplysninger.”
Krav til gyldig samtykke i GDPR er blant annet at det skal dokumenteres at det foreligger et gyldig samtykke. For behandling av personopplysninger på grunnlag av samtykke skal dette altså ikke kunne skje før samtykke er innhentet. Hvordan gjør man det i praksis? Her er det behov for tekniske løsninger som innarbeides i arbeidsprosessene. Det finnes flere gode løsninger på markedet som ivaretar Cookie-samtykker, men det er mer begrenset med løsninger som ivaretar samtykker som må innhentes for bruk av data der det er behov for å vite hvem som er den faktiske kunden. Hvor sikker er du på hvem som faktisk har avgitt samtykke? I Norden er BankID identifisering er en utbredt måte å autentisere enkeltpersoner. Når et samtykke, fullmakt eller bekreftelse blir gitt kan det være nødvendig benytte en løsning som har forskjellige autentiseringsmuligheter tilgjengelig, særlig hvis det er snakk om økonomiske eller helsemessige opplysninger som behandles. Da holder det sannsynligvis ikke med en enkel avkryssingsboks på et nettskjema, uten god versjonshåndtering av tekster og autentisering av enkeltpersonen. Hvem var det som faktisk samtykket, og hva var den eksakte teksten personen samtykket til?
Med kravet om at et samtykke skal være informert må man også stille seg spørsmålet om i hvilken grad de som skal gi samtykke faktisk forstår hva de samtykker til. Behandling av personopplysninger for barn og unge, samt andre sårbare personer som f.eks. demente, krever ytterligere aktsomhet. Skal samtykke gis på vegne av barnet, eller er det verifisering av et samtykke barnet selv har gitt? Trenger man bekreftelse fra en eller to foresatte, og hva om de ikke er enige? Med alle ranselpostsamtykkene kan man se for seg at det er mange kontaktlærere som er frustrert. Hvis du administrerer samtykker, kan du med hånden på hjertet si at du har full oversikt og kontroll? Om samtykke er samlet inn manuelt med signerte skjemaer, hva da om man endrer mening? Er det like lett å trekke som å gi?
Se vår video som forklarer GDPR på tre minutter.
I mange sammenhenger er det andre juridiske grunnlag som er bedre egnet enn samtykke og berettiget interesse er et av disse. Det er to årsaker til dette:
Særlig der det er skjevhet i maktforhold er en balansetest for interesseavveining en god måte å evaluere personvernet og skape grunnlag for behandling.
Ved Berettiget Interesse er det fortsatt en omfattende informasjonsplikt hvor blant annet det skal informeres om hva den Berettigede Interessen er. I tillegg skal det informeres om retten til å protestere. Det vil si at enhver enkeltperson kan ha en personlig situasjon som gjør at den negative konsekvensen ved behandling av personopplysningene veier tyngre enn fordelen for organisasjonen som behandler opplysningene. Det er altså en rett til å ”opt-out” og bedriften må informere om dette.
Ved bruk av Berettiget Interesse skal det dokumenteres en interesseavveining hvor virksomhetens fordeler veies opp mot den negative effekten for enkeltpersoner.
Sjekkliste for å unngå å basere databehandling på feilaktige samtykker.
Svarene og vurderingene rundt disse spørsmålene må dokumenteres i grunnlaget for behandlingen. I tillegg er det klokt å velge teknologi med god versjonering som sikrer at man i etterkant kan dokumentere nøyaktig hvilken informasjon som ble gitt og hva det ble samtykket til.
De organisasjonene som behandler samtykker på en god måte, som informerer, er tydelige på hva de ønsker å benytte personopplysningene til og som ber om lov, bygger tillit. Tillit som skaper et godt grunnlag for vekst.
“It seems to me that a lot of energy and effort is being spent on trying to find a way to avoid consent. That energy and effort would be much better spent establishing informed, active, unambiguous consent.” - Elizabeth Denham, ICO commissioner 23/2 2018 at Direct Marketing Association Data Protection event
Les også vår guide: Hva er GDPR?