hits

september 2017

Samtykker til besvr


Kravene til samtykke for bruke personopplysninger skjerpes betydelig nr EUs nye personvernregler (GDPR) trer i kraft i mai 2018. De nye reglene kan medfre at mange eksisterende samtykker m hentes inn p nytt. 

Samtykke er et av de viktigste og mest brukte grunnlagene for samle og bruke personopplysninger, og ofte den eneste hjemmelen for kundekontakt i markedsfringssammenheng. Samtykker kreves blant annet nr et bankkonsern markedsfrer forsikringsprodukter til sine bankkunder, nr en virksomhet profilerer preferansene og handlevanene til sine kunder eller nr et rekrutteringsselskap oppbevarer CVer etter at en sknadsprosess er over.

GDPR er EUs nye personvernforordning og erstatter 25. mai neste r dagens personopplysningslov. Forordningen utgjr den strste revisjonen av dette regelsettet p over 20 r, som et tiltak mot den kte kommersialiseringen av personopplysninger. Forordningen skal sikre europeiske borgere bedre kontroll over opplysningene om seg selv, og vil gjelde for samtlige norske bedrifter og organisasjoner. Blant de mange viktige og inngripende endringene str skjerpede krav til samtykker sentralt.

Strengere krav
Kravene skjerpes p mange mter. Det viktigste er at personvernforordningen til en viss grad krever at samtykker avgis separat for ulike bruksomrder. Det blir for eksempel penbart at det m avgis egne samtykker til aktiviteter som profilering og analyse. I Norge har det en stund vrt en debatt om det vil kreves eget samtykke for at avgitte data skal kunne brukes til testing og videreutvikling av IT-systemer. Videre m GDPR-samtykker innhentes separat fra den kjente og generelle I agree-boksen, og det skal vre like lett for brukerne trekke et samtykke tilbake som det i utgangspunktet var gi det. Forbrukere har ogs betydelig strre krav p informasjon. For eksempel skal man p forhnd informere om at opplysningene vil bli overfrt til land utenfor EU. Dersom samtykket trekkes tilbake, skal man slutte behandle opplysningene og ofte slette dem. Virksomheter m kunne dokumentere at gyldige samtykker eksisterer til enhver tid for de opplysningene virksomheten besitter.

Mange norske virksomheter jobber i dag for forberede seg p endringene i den nye personvernforordningen. De fleste har ikke kommet stort lenger enn skaffe oversikt over hvilke personopplysninger man har, og lage et rammeverk for internkontroll. Mange vil oppdage at det er like viktig sikre tilstrekkelig behandlingsgrunnlag for det man gjr ogs etter mai 2018. Da m man se p hvordan samtykker skal utformes, innhentes og dokumenteres. Det er urovekkende lite oppmerksomhet p disse problemstillingene.

Et sprsml som tvinger seg frem er om de skjerpede kravene pvirker samtykker allerede innhentet under dagens mildere regler? Datatilsynet i Norge har oss bekjent ikke ment noe om dette offentlig, men det britiske datatilsynet har spesifikt omtalt dette i en veileder utgitt tidligere i r. Veilederen angir at samtykker innhentet fr GDPR fortsatt er like gyldige under GDPR. Forutsetningen er derimot at de holder et niv som tilfredsstiller kravene i GDPR. Det britiske tilsynet presiserer at dersom eksisterende samtykker ikke holder en GDPR-standard, m nye samtykker innhentes. Veilederen er forelpig et utkast, men har sttte i fortalen til GDPR. Britenes tolkning virker vre korrekt.

Store konsekvenser for norske virksomheter
Dersom det samme blir forstelsen i Norge, noe det er grunn til tro, fr dette store konsekvenser. Vi frykter at f norske virksomheter har hentet inn samtykker p det nivet GDPR krever. Mange har nok ikke engang innhentet samtykker i henhold til dagens regelverk. Det finnes noen srbestemmelser som kan redde en del av dagens samtykker, men dette krever en juridisk vurdering i hvert enkelt tilfelle. 

Det som kan virke som en teoretisk diskusjon for personvernspesialister kan f enorme ringvirkninger, bde for norske virksomheter og borgere. Kravet om at samtlige samtykker skal vre i trd med GDPR betyr at mange av dagens samtykker antakelig ikke er gyldige nr GDPR trer i kraft.

Virksomheter som ikke klarer innhente oppdaterte samtykker fra brukerne sine risikerer plutselig vre uten rettslig hjemmel til bruke opplysningene. Samtidig risikerer forbrukerne et hav av nye samtykkeforesprsler nr norske virksomheter innser at samtykkeparken m oppdateres. Prinsipielt er gode og informerte samtykker viktig fordi det styrker personvernet, men det kan bli mange samtykker fornye p kort tid. Vi registrerer naturlig nok en viss motvilje i markedsavdelinger rundt om mot kontakte kunder for innhente oppdaterte samtykker. Det er uansett grunn for bde compliance- og markedsavdelinger til se nrmere p de samtykkene man bruker i dag.

Innlegget ble publisert for frste gang i Dagens Nringsliv 30.08.2017, og ble skrevet av Eva Jarbekk i samarbeid med advokatfullmektig Christian Werner Skovly i advokatfirmaet Fyen Torkildsen.