Aktuelt

Privatlivets mas

Innboksen din kneler av alle bønnene om å samtykke til nye personvernregler. Hva skjer? Og hva bør du svare?

Innbokser over hele kloden dynges ned av e-poster fra selskaper og e-postlister folk sist tenkte på rundt 2007. Alle verdens forfattere av emnefelt har gått amok, på vegne av selskaper som vanligvis er nøkterne og saklige. «Dine data, dine beslutninger!» «La oss holde kontakten!» «Opt in? Brilliant!».

Hvorfor skjer det? Svaret har fire bokstaver: GDPR. Her er det du må vite:

1) EU står bak. GDPR – General Data Protection Regulation – har et norsk navn: Personvernforordningen. Forordninger er EU-vedtak som alle land i EU – og EØS – må anerkjenne som lov. Denne forordningen trer i kraft 25. mai i EU, mens Norge blir omfattet fra tidligst juli.

Lovverket gjelder alle bedrifter som har kunder som er EU-borgere. En ekstrem konsekvens av dette er at enkelte bedrifter med forretningsideer som ikke lar seg kombinere med personvern, som unroll.me, har blokkert alle EU-borgere som kunder.

2) Bedriftene er nervøse. Dersom du synes det er mange e-poster til deg privat, er det bare barnematen mot strømmen av konsulentselskaper som lover å hjelpe bedriften med å bli «klar for GDPR».

– Det er en voldsom hype, som om det kommer noe helt nytt. Men 90 prosent av reglene gjelder allerede, sier Jon Wessel-Aas. Han har skrevet om GDPR i Personvern. Publisering og behandling av personopplysninger sammen med Magnus Ødegaard.

Selv om det altså ikke er så mye nytt, har selskapene plutselig oppdaget hvor viktig dette er. Årsaken er at den nye forordningen innfører bøter. Store bøter.

– Mange virksomheter har ikke fulgt reglene som gjelder, og benytter anledningen til å komme på riktig kjøl. Gebyrnivået i det tidligere regimet var slik at store virksomheter bare kunne budsjettere med det. Nå kommer gebyrene til å svi, sier Wessel-Aas.

Selskaper som ikke følger reglene, kan straffes med gebyrer på fire prosent av den globale omsetningen, opp til 20 millioner euro, eller omtrent 200 millioner kroner. En slik bot kan fort spise et helt års overskudd.

3) Den som tier, samtykker ei. Et av områdene der kravene blir skjerpet, er reglene for samtykke, og det er dette som har utløst e-postraset.

– Før pakket selskapene alt inn i en kjempelang tekst der du til slutt måtte trykke på «jeg aksepterer» for å komme videre. Nå må du ha positivt, aktivt samtykke til behandling av personopplysningene for hvert enkelt formål, sier Wessel-Aas.

Mange virksomheter har ikke fulgt reglene som gjelder, og benytter anledningen til å komme på riktig kjøl.

—   Jon Wessel-Aas

La oss ta et eksempel. For å få tilgang til en nettavis, må du registrere e-postadressen din og logge inn med den. Innloggingen er ett formål. Å sende deg reklame til den samme e-postadressen, er et annet formål. Å selge e-postadressen din til et analysebyrå eller et politisk parti er et tredje formål. Tidligere kunne man forsøkt seg på å snike alt dette inn i en sånn avtale ingen leser. Nå kreves det at brukeren samtykker til hver enkelt bruk – og det må være aktivt – med mindre man huker av på noe eller trykker på en knapp som gjelder akkurat dette samtykket, så er det ikke godkjent.

Nå skal altså selskapene unngå å risikere bøter ved å dokumentere at du faktisk har sagt ja til å motta e-post, at du har godtatt å bli profilert, at du gjerne vil motta gode tilbud, at de bare må spise katten din, og så videre.

Paradokset er at mange av samtykkene egentlig er gode nok. Har du meldt deg på en e-postliste, har du naturlig nok samtykket til at de lagrer e-postadressen din. Problemet er mangelen på dokumentasjon.

4) Gå hjem og glem. De fleste reglene er, som nevnt, ikke nye. Blant annet gjelder dette retten til å bli glemt og retten til innsyn, der GDPR stort sett bare lager lov av gjeldende praksis.

Retten til å bli glemt betyr at du kan kontakte et selskap som har registrert data om deg, og kreve at de blir fjernet. Det gjelder både data som du har lastet opp, for eksempel bildene dine på et sosialt medium, og data de har lagret og som kan kobles til deg på noe vis. Det siste kan for eksempel være data om hvilke artikler du har lest i en avis eller hvilke filmer du har femstjernet.

Retten til innsyn er også en gammel rettighet som nå blir lov. Du kan for eksempel kreve å få utlevert alt som er lagret om deg hos Facebook eller Google – om du tør. Det stilles også krav til at du skal få innsyn i hvilke underleverandører som får tilgang til data om deg, de såkalte databehandlerne.

5) Det kunne vært verre. De nye personvernreglene og samtykkene du blir bedt om å gi, vil stort sett bety bedre rettigheter for deg som forbruker. Selskapene må være tydeligere på hva du tillater dem å gjøre, og det må finnes tydeligere regler for hvor lenge dataene lagres og hvor trygt de lagres.

Fordelen er bedre personvern. Ulempen er at du fra nå av bør begynne å lese disse avkrysningsboksene nederst i skjemaet. Nå skal det ikke lenger være enten-eller. Og dermed vil du gå glipp av en del, dersom du bare krysser på det nødvendigste.

6) En liten felle. Men dersom reglene stort sett er på plass allerede, og selskapene trenger samtykke for å sende deg e-post, har de da lov å sende deg e-post om at du må samtykke? Det spørs:

– Markedsføringsloven er ganske streng angående markedsføring via elektronisk kommunikasjon. Å sende en uoppfordret sms eller e-post for å be om samtykke til markedsføring, det kan man egentlig ikke gjøre. Det er en slags catch 22, sier Wessel-Aas.

Men det er ikke gitt at alle e-postene du får, er markedsføring. En melding om at e-postlisten til idrettsklubben eller lokalavisen din har fått seg ny personvernpolicy, regnes ikke nødvendigvis som markedsføring.

7) Ikke alt er samtykke. Selv med alle disse e-postene vil det fortsatt være data som lagres om deg uten at du har samtykket. I GDPR finnes det fem andre grunnlag for å lagre data enn samtykke: 1) For å oppfylle forpliktelsene i en inngått kontrakt eller bestilling mellom kunden og selskapet, 2) for å oppfylle lovkrav, 3) fordi det er nødvendig for å beskytte noens liv, 4) for å utføre offentlige oppgaver eller forvaltning, og 5) fordi selskapet har en «legitim interesse».

Mange selskaper vil nok forsøke å argumentere for at de har «legitim interesse» for det meste, men det skal være forbeholdt databehandling der inngrepet i personvernet er lite og brukeren har god grunn til å forvente at det blir gjort en slik behandling – for eksempel at et nettsted lagrer ip-adresser i et døgn i en sikret, teknisk logg, kun med formålet – den legitime interessen – å oppdage feil og innbruddsforsøk.

PS: Er du i Oslo og har spørsmål? Datatilsynet rigger til en «personvernakutt» på Egertorget 24. mai, fra 8–18. GDPR-pasienter prioriteres.

Endret 24. mai: La til at ikrafttredelsen i Norge skjer først i juli.

Mer fra Aktuelt