Hva er reglene for samtykke og cookies i GDPR?
Vi har spurt Tobias Judin i Datatilsynet om svar på noen av de vanligste spørsmålene om personvernforordningen.
En viktig del av personvernforordningen (GDPR, General Data Protection Regulation), er at du må ha et såkalt behandlingsgrunnlag. Det innebærer at du ikke bare kan lagre eller bruke personopplysninger som du vil.
Men hva er et behandlingsgrunnlag? Må det for eksempel nødvendigvis være et eksplisitt samtykke? Og hva er reglene for disse «cookie-boksene» på alle nettsider, som informerer om at de bruker informasjonskapsler, men samtidig «bryr seg om dine data»?
Dette er spørsmål mange av oss har. Vi har spurt GDPR-ekspert i Datatilsynet, Tobias Judin, for å få dem oppklart.
Samtykke vs. interesseavveiing
Ifølge GDPR må du i utgangspunktet ha samtykke fra de det gjelder for å kunne behandle personopplysninger. Men virkeligheten er litt mer nyansert. Det finnes en del tilfeller der et eksplisitt samtykke ikke er nødvendig.
– Nei, noen ganger er det for eksempel nødvendig at du får noen personopplysninger for å levere en tjeneste. Tilbyr du innboforsikring, må du vite hvor kunden bor. Du kan også være pliktig å oppbevare visse opplysninger, for eksempel innen bokføring og regnskap, sier Tobias Judin.
Noen ganger har man også en tungtveiende interesse av å ha visse opplysninger.
– Det er en interesseavveiing, rett og slett. La oss for eksempel si at du har en digital tjeneste hvor det noen ganger forekommer svindel. Når du da får beskjed om at noen tilsynelatende prøver å svindle tjenesten, må du se hva som har skjedd, og du må se opplysningene til den antatte svindleren. Kanskje. For det kan også være en urettmessig anklage. Det er komplisert, sier Judin.
– Men du kan altså sørge for at det du gjør er forholdsmessig og nødvendig. Og du kan behandle personopplysninger dersom virksomhetens interesse i å ha dem, veier tyngre enn den enkeltes interesse. Da trenger du ikke et eksplisitt samtykke i tillegg. Det er ikke alltid du må ha det, sier han.
I disse tilfellene må en gjøre en vurdering. Da må du spørre: Er det nødvendig i henhold til min berettigede interesse at vi gjennomfører dette, eller kan vi gjøre det på en mindre inngripende måte?
– Og hvis det er nødvendig, må du balansere det opp mot interessene til de det gjelder – og også opp mot deres rettigheter og friheter, sier Judin.
Disse vurderingene er det viktig at dere skriver ned og dokumenterer (se nederst i saken).
Hva innebærer et samtykke?
Samtykket er likevel svært sentralt i GDPR. Hvis du har fått samtykke, kan du gjøre det du ønsker å gjøre. Men samtykket må være reelt, understreker Judin. Der er loven veldig klar.
– Hvis du har samtykke som behandlingsgrunnlag, men samtykkene du samler inn ikke er tilstrekkelig informert, frivillig, og så videre – da kan vi si, dette samtykket er ikke gyldig, dere må slette dataene, sier Judin. Så hva innebærer et gyldig samtykke?
Fem regler for samtykke under GDPR
- For det første må samtykket være frivillig. Det innebærer at du ikke får noen negative konsekvenser – for eksempel å bli utestengt av tjenesten – hvis du takker nei. Da er det ikke frivillig.
- For det andre må du få klar og god informasjon om hva du samtykker til.
- For det tredje må du gjøre noe uttrykkelig – du må aktivt sette krysset i boksen, eller trykke på knappen.
- For det fjerde må samtykket være spesifikt. Du skal vite nøyaktig hva du samtykker til.
- For det femte må et samtykke kunne trekkes tilbake, uten negative konsekvenser. Det skal alltid være like lett å trekke tilbake samtykket som å gi det. Det er ikke noe du kan gjemme bort.
– Noen gjør en vri der de skriver «Samtykker du til disse tingene?» – etterfulgt av en lang liste med ulike ting. Men du må kunne samtykke til hver enkelt ting, sier Judin, og viser til det fjerde punktet. At samtykket må væres spesifikt.
– Jeg fikk for eksempel spørsmål en gang om bruk av ansiktsgjenkjenning. Det stod at det brukes til å sikre tjenesten. Men det stod også alt mulig annet som jeg ikke ville gå med på. Jeg fikk ikke valget om å takke ja til det ene og nei til det andre. Da følte jeg ikke lenger at jeg hadde et frivillig valg, sier han.
Likevel erfarer han at mange får dette til på en god måte.
– Jeg ser hele tiden eksempler på virksomheter som får det til. Det handler kort og godt om å spørre brukeren: «Har du lyst til dette? Dette er det det er. Du kan si nei».
Er informasjonskapsler (cookies) personopplysninger?
Bruken av cookies, eller informasjonskapsler, er i seg selv underlagt en annen lov enn GDPR. Mer om det om litt. Likevel må en forholde seg til GDPR også, fordi disse sporingsteknologiene samler personopplysninger.
Hva som kan kalles personopplysninger, er nemlig veldig bredt. Det er langt mer enn bare ting som navn og adresser.
– Når du surfer på internett, er det mange nettsider som bruker ulike sporingsteknologier, for eksempel cookies. Det finnes «snille cookies» og «slemme cookies», og det behøver ikke være et problem. De vet ikke hva du heter, eller e-posten din – men de klarer å kjenne deg igjen neste gang du kommer på nettsiden, og ofte på tvers av nettsider. Derfor er dette også personopplysninger, sier Judin, og fortsetter:
– Selv om de ikke vet hva du heter, eller hvor du bor, vet de at du er du, og de klarer å spore deg. Det er det samme på mobiltelefoner, med sporingsteknologier og identifikatorer og koder. Det ser kryptisk ut, men det kan knyttes til deg.
Derfor omfattes det også av GDPR.
Ulike lover – og tolkninger av loven
– Dette er litt komplisert, advarer Judin, før han går i gang med å forklare forholdet mellom GDPR, samtykke og cookies:
– Det finnes særregler for cookies og lignende teknologier. Da er det altså snakk om teknologier som enten leser av informasjon på mobiltelefonen eller datamaskinen din, eller som plasserer informasjon der. Cookies er en sånn type teknologi, som innebærer at det lagres en unik kode på enheten din når du går inn på en nettside.
– Her finnes det regler som ligger utenfor GDPR, i kommunikasjonsverndirektivet (det som på engelsk kalles e-privacy), som er inkorporert i norsk rett i ekomloven. Selv om det ligger utenfor GDPR, står det også at samtykke skal tolkes likt som i GDPR. Det var derfor en kom opp med disse boksene. GDPR handler om å samle og lagre personopplysninger, uavhengig av om cookies var involvert.
– I Norge er det NKOM, ikke Datatilsynet, som er fagmyndigheten på dette. Du kan for eksempel ikke klage til Datatilsynet når det gjelder plasseringen av cookies. For å gjøre det enda mer komplisert, tolker NKOM reglene for samtykke annerledes enn oss. Det er historiske grunner til det.
– Den versjonen av kommunikasjonsverndirektivet vi har basert norsk lov på, sa ikke at en trengte samtykke til lagring av cookies. Det sier imidlertid en nyere versjon, som EU følger. Men det er altså den gamle som er tatt inn i norsk rett. Det gjør det komplisert for norske virksomheter, som er nødt til å forholde seg til ulike regler i ulike land. Vi i Datatilsynet skulle ønske vi hadde de samme reglene som resten av EU, sier Judin.
Må man ha samtykke til bruk av cookies?
Dette er altså ikke helt enkelt. Men la oss ta et eksempel. Ifølge GDPR skal det være like lett å takke nei som å takke ja til lagring av personopplysninger. Likevel ser vi pop-up-bokser på nettsider som informerer om at de bruker cookies, med en lysende grønn knapp som heter «Jeg forstår», mens det andre alternativet er «Les mer». Hvordan kan det være lov?
Svaret henger sammen med det vi lærte tidligere – om samtykke versus interesseavveiing.
– Her er det ikke nødvendigvis snakk om et samtykke, sier Judin, og utdyper:
– Som sagt finnes det ulike behandlingsgrunnlag. Her kan det være en interesseavveiing, og ikke samtykke, som ligger til grunn. Med andre ord: Ber de om samtykke? Eller vil de være sikker på at jeg har forstått informasjonen? Her kan nettsiden si, «Vi har informert om det vi trenger å informere om».
– Når nettsider som VG og Aftenposten velger denne varianten, i stedet for å be om samtykke, er det deres egen vurdering at de ikke trenger det. Nettavisene vil si, «dette er nødvendig for at vi skal tjene penger – for at det skal gå rundt». De er bekymret for hva det vil si hvis de ikke kan tilby det.
– Det er ikke sånn at Datatilsynet nødvendigvis har vært inne og vurdert dette. Men det kan hende vi vil vurdere det på et tidspunkt. Det er typisk når vi mottar en klage at vi ser på det, men vi kan også gå på tilsyn på eget initiativ, sier Judin.
Han sier det er flere som er veldig nøye med hvordan de gjennomfører dette rent teknisk.
– Rundt om på nettet er det mange som lar hvem som helst av tredjeparter komme inn og hente og samle data på siden deres. Men norske sider er ofte nøye på hva de gir til tredjeparter, om noe. Og de vil fortsatt gi brukere mulighet til å reservere seg, sier han, og fortsetter:
– Det er min favoritt-rettighet i GDPR: man kan alltid si nei til direkte markedsføring. Når du får tilpassede annonser, regner vi det som direkte markedsføring. For eksempel har jeg et Aftenposten-abonnement. Jeg kan gå inn i innstillingene og velge at de ikke skal bruke det jeg leser til å gi meg tilpassede annonser, så da får jeg generelle annonser i stedet.
– Viktig å dokumentere vurderingene
Hvis dere tar en vurdering på at dere har tungtveiende interesse av å bruke cookies og samle data uten eksplisitt samtykke, er det viktig at dere dokumenterer disse vurderingene.
– Hvis vi kommer på tilsyn, hjelper det ikke å sitte å fortelle at dere har vurdert det. Dere må kunne vise dokumentasjon, og vise at vurderingen var forsvarlig, sier Judin, og fortsetter:
– Det kan rett og slett være at dere skriver det i et Word-dokument – hva dere har vurdert, hva dere har lagt vekt på. Dette er noe en bør gjøre for sin egen del, ikke bare for Datatilsynet. Det er mange virksomheter som har mange tjenester og underleverandører å forholde seg til. Det er nyttig for ansatte å se hvilke vurderinger som er gjort rundt disse. Ikke minst hvis dere bytter ut ansatte er det fint for dem å kunne gå inn og se.
– Med GDPR følger det mange plikter og et stort ansvar. Men vi har tillit til at norske virksomheter kan foreta de vurderingene. En har et handlingsrom. Det er stor forskjell mellom de som har reflektert og gjort en vurdering, og de som ikke har gjort noe som helst. Det er i den siste gruppen at saker ofte utvikler seg til å bli mest alvorlige, sier han.
Bli bedre på å forstå GDPR med dette kurset:
Introkurs
Innføring i GDPR
Vil du lære det du trenger om GDPR på en rask og lettfattelig måte? Da er du på rett sted! Kurset er laget i samarbeid med Datatilsynet.