Denne kronikken ble publisert i DN 30.08.17
Kravene til samtykke for å bruke personopplysninger skjerpes betydelig under GDPR. Reglene trer i kraft om mindre enn 9 måneder og kan medføre at mange eksisterende samtykker må hentes inn på nytt.
Samtykke er et av de viktigste og mest brukte grunnlagene for å samle og bruke personopplysninger, og ofte den eneste hjemmelen for kundekontakt i markedsføringssammenheng. Samtykker kreves blant annet når et bankkonsern markedsfører forsikringsprodukter til sine bankkunder, når en virksomhet profilerer preferansene og handlevanene til sine kunder, eller når et rekrutteringsselskap oppbevarer CVer etter at en søknadsprosess er over.
GDPR er EUs nye personvernforordning og erstatter 25. mai neste år dagens personopplysningslov. Forordningen utgjør den største revisjonen av dette regelsettet på over 20 år, som et tiltak mot den økte kommersialiseringen av personopplysninger. Forordningen skal sikre europeiske borgere bedre kontroll over opplysningene om seg selv, og vil gjelde for samtlige norske bedrifter og organisasjoner. Blant de mange viktige og inngripende endringene står skjerpede krav til samtykker sentralt.
Kravene skjerpes på mange måter. Det viktigste er at GDPR til en viss grad krever at samtykker avgis separat for ulike bruksområder. Det blir for eksempel åpenbart at det må avgis egne samtykker til aktiviteter som profilering og analyse. I Norge har det en stund vært en debatt om det vil kreves eget samtykke for at avgitte data skal kunne brukes til testing og videreutvikling av IT-systemer. Videre må GDPR-samtykker innhentes separat fra den kjente og generelle «I agree»-boksen, og det skal være like lett for brukerne å trekke et samtykke tilbake som det i utgangspunktet var å gi det. Forbrukere har også betydelig større krav på informasjon. For eksempel skal man på forhånd informere om at opplysningene vil bli overført til land utenfor EU. Dersom samtykket trekkes tilbake, skal man slutte å behandle opplysningene, og ofte slette dem. Virksomheter må kunne dokumentere at gyldige samtykker eksisterer til enhver tid for de opplysningene virksomheten besitter.
Mange norske virksomheter jobber i dag for å forberede seg på endringene som GDPR krever. De fleste har ikke kommet stort lenger, enn å skaffe oversikt over hvilke personopplysninger man har, og å lage et rammeverk for internkontroll. Mange vil oppdage at det er like viktig å sikre tilstrekkelig behandlingsgrunnlag for det man gjør også etter mai 2018. Da må man se på hvordan samtykker skal utformes, innhentes og dokumenteres. Det er urovekkende lite oppmerksomhet på disse problemstillingene.
Et spørsmål som tvinger seg frem er om de skjerpede kravene påvirker samtykker allerede innhentet under dagens mildere regler? Det norske Datatilsynet har, oss bekjent, ikke ment noe om dette offentlig, men det britiske datatilsynet har spesifikt omtalt dette i en veileder utgitt tidligere i år. Veilederen angir at samtykker innhentet før GDPR fortsatt er like gyldige under GDPR. Forutsetningen er derimot at de holder et nivå som tilfredsstiller kravene i GDPR. Det britiske tilsynet presiserer at dersom eksisterende samtykker ikke holder en GDPR-standard, må nye samtykker innhentes. Veilederen er foreløpig et utkast, men har støtte i fortalen til GDPR. Britenes tolkning virker å være korrekt.
Dersom det samme blir forståelsen i Norge, noe det er grunn til å tro, får dette store konsekvenser. Vi frykter at få norske virksomheter har hentet inn samtykker på det nivået GDPR krever. Mange har nok ikke engang innhentet samtykker i henhold til dagens regelverk. Det finnes noen særbestemmelser som kan «redde» en del av dagens samtykker, men dette krever en juridisk vurdering i hvert enkelt tilfelle.
Det som kan virke som en teoretisk diskusjon for personvernspesialister kan få enorme ringvirkninger, både for norske virksomheter og borgere. Kravet om at samtlige samtykker skal være i tråd med GDPR betyr at mange av dagens samtykker antakelig ikke er gyldige når GDPR trer i kraft.
Virksomheter som ikke klarer å innhente oppdaterte samtykker fra brukerne sine risikerer å plutselig være uten rettslig hjemmel til å bruke opplysningene. Samtidig risikerer forbrukerne et hav av nye samtykkeforespørsler når norske virksomheter innser at samtykkeparken må oppdateres. Prinsipielt er gode og informerte samtykker viktig fordi det styrker personvernet, men det kan bli mange samtykker å fornye på kort tid. Vi registrerer naturlig nok en viss motvilje i markedsavdelinger rundt om mot å kontakte kunder for å innhente oppdaterte samtykker. Det er uansett grunn for både compliance- og markedsavdelinger til å se nærmere på de samtykkene man bruker i dag.