Nytt personvernregelverk nærmer seg med stormskritt, og det er på tide å få orden på personvernet i virksomhetene rundt om. Nytt regelverk, gjerne forkortet til GDPR (EU/2016/679 General Data Protection Regulation), introduserer både nye, klarere og mer omfattende regler for de som behandler personopplysninger. Det er ingen snarveier til godt personvern i virksomheten, men noen tiltak kan gjøre det lettere å oppfylle en del av de nye kravene. Ett sted å starte er å få kontroll over hvilke opplysninger virksomheten behandler og, ikke minst, sørge for gyldig behandlingsgrunnlag for opplysningene.
Ingen har lov til å behandle noens personopplysninger uten et gyldig behandlingsgrunnlag. Et behandlingsgrunnlag er det juridiske grunnlaget for at man kan starte behandling om noens personopplysninger. Hovedregelen og det viktigste grunnlaget er samtykke. Andre gyldige grunnlag er for eksempel lovhjemmel, eller at behandlingen er nødvendig for å oppfylle en avtale eller for å vareta en berettiget interesse. Merk at ingen av grunnlagene rekker lenger enn det som er nødvendig for oppfyllelse av det konkrete formålet som virksomheten har for behandlingen. Derfor kan det å innhente et samtykke være svært nyttig også i for eksempel kontraktsforhold.
Dersom en har kontroll over samtykkebehandlingen vil bedriften være et godt stykke på veien til et godt personvern.
Med GDPR får virksomheter et økt krav til dokumentasjon. Det gjelder også for behandling med grunnlag i samtykke, hvor en etter de nye kravene må kunne demonstrere at et individ faktisk har avgitt sitt samtykke.
I kravet til demonstrasjon ligger det i realiteten både krav om fortrinnsvis skriftlig og elektronisk dokumentasjon, og i mange tilfeller et krav om å kunne verifisere at samtykket er avgitt av den rette personen. I mange tilfeller kan det derfor tenkes at virksomheten må benytte en metode for innhenting av samtykker som omfatter autentisering av privatpersoner.
Et gyldig samtykke må være frivillig, uttrykkelig og informert. Informasjonen må være lett tilgjengelig, presentert på en måte som er enkelt forståelig, og mulig å skille fra annen informasjon. Samtykkeformularet skal ikke være en del av generelle vilkår; det må håndteres separat og presenteres på en forståelig måte. Bakgrunner er at en, for å kunne avgi et gyldig samtykke, må få nok informasjon om behandlingen. Det vil si kunnskap om omfanget av denne, og en faktisk forståelse av hvordan personopplysningene behandles.
Informasjonen som gis kan sees på som en avtalerettslig forpliktelse og det kan være lurt å bruke litt tid på å lage et gode informasjonstekster. Dette vil legge premissene for hvordan dataene i ettertid kan brukes. Samtidig må ikke adgangen til bruken av opplysningene være for vid. Da kan samtykke lett bli satt til side, eller den registrerte kan vegre seg mot å samtykke.
Personvernregelverket er i stor grad et forbrukerregelverk, og nye rettigheter til den registrerte i GDPR gjør samtykke til et aktuelt og viktig prinsipp. En personopplysning eies av den enkelte, og et samtykke kan når som helst trekkes tilbake. Det stilles derfor som krav i GDPR at et samtykke skal være like enkelt å trekke som å avgi, og dette er noe virksomhetene må klare å håndtere – fortrinnsvis automatisk. Det stilles derfor også krav om at det skal gis informasjon om hvordan et samtykke kan trekkes tilbake før behandlingen starter.
Samtykke har en viktig funksjonalitet på også andre områder. Med GDPR får forbrukere eksempelvis en rett til å ta med personopplysninger videre til en konkurrent og over i andre tjenester. Dette kalles retten til dataportabilitet. Ved henvendelse om dataportabilitet vil det være avgjørende å kunne bekrefte at det foreligger et samtykke, både hos virksomheten som skal overføre opplysningene, men også hos virksomheten som skal motta disse. Mottaker av opplysningene vil få et selvstendig ansvar for å kunne dokumentere et eget behandlingsgrunnlag for videre behandling av opplysningene.
Samtykkespørsmål er også sentralt innen markedsføring. Som det klare utgangspunkt vil det å ta kontakt med kunder i markedsføringssammenheng i utgangspunktet kreve samtykke. Etter nylige vedtatte endringer i markedsføringsloven kan næringsdrivende likevel ta kontakt med kunder i eksisterende kundeforhold via telefon og alminnelig post for markedsføring av den næringsdrivendes egne varer, tjenester eller andre ytelser tilsvarende de ytelser som kundeforholdet allerede bygger på. Forutsetningen er at kunden frivillig har avgitt sine opplysninger i forbindelse med salg, eller innsamling.
Et tredje område samtykker gjør seg gjeldende er innen området for betalingstjenester. Et nytt direktiv fra EU, PSD2-direktivet (EU/2015/2366 Payment Services Directive 2) stadfester at en kunde har eierskap til egne data, samtidig som konkurransen åpnes opp. Direktivet åpner opp for at tredjeparter kan få tilgang til bank- og kontoinformasjon, etter et samtykke fra kunden. I praksis betyr det noe av det samme som retten til dataportabilitet; en kunde kan dele egen informasjon med de tjenestene en selv ønsker å ta i bruk.
Virksomheter som har kontroll på samtykkebehandlingen gjør veldig mye riktig og vil være på god vei til etterlevelse av GDPR ved å kunne dokumentere at de i det hele tatt har lov til å behandle opplysningene. Virksomheter som har på plass et gyldig samtykke vil også være i bedre posisjon til å ivareta forbrukeres rettigheter. Virksomheter som elektronisk kan administrere samtykker vil på en ryddig og systematisk måte enkelt kunne demonstrere at de prioriterer personvern. De vil også ha et godt utgangspunkt for videre å kunne dokumentere hvordan de ellers behandler deres personopplysninger – noe som er meget sentralt etter GDPR.
Charlotte Elise Thuesen er advokatfullmektig i Deloitte Legal. Hun har fra tidligere tre års erfaring fra offentlig sektor i Kommunal- og moderniseringsdepartementet med forenklings- og effektiviseringsarbeid i avdeling for IKT og fornying.
Interessant? Del gjerne!
