Norges nye personopplysningslov trådte i kraft for halvannet år siden. Skremt av trusselen om skyhøye bøter ba mange bedrifter straks sine kunder – via en epost – om fornyet tillatelse til å bruke lagrede personopplysninger om mottagerne. Som for eksempel å få lov til å sende dem kundebrev også i fremtiden.
Nå viser stikkprøver som er innhentet gjennom en mastergradsoppgave ved NTNU, at en rekke av disse epostene hadde mangler. Derfor kan mange innhentede svar være ugyldige samtykker.
Konsekvensen kan i slike tilfeller bli at bedriftene må slette personopplysningene og deretter innhente nytt samtykke fra kundene.
Loven åpner også for at «synderne» kan bli ilagt straffegebyr.
Riktignok finnes ingen standard for hvilke elementer en samtykkeforespørsel må inneholde. Men loven stiller like fullt klare krav til hva som forlanges av en slik forespørsel.
Naturlig nok må kundene få vite hva de samtykker til. Gjennom det nevnte mastergradsarbeidet ble det imidlertid funnet eposter som ikke inneholdt nok informasjon til å sikre kundene slik viten.
Ved henvendelser om fornyet tillatelse til bruk av persondata, skal kunden også kunne trekke samtykket sitt tilbake like enkelt som det ble gitt. Men flere av epostene i det innsamlede materialet ga ikke mottagerne slike muligheter.
I materialet inngår også tilfeller der samtykker ble knyttet opp mot rabatter i virksomhetens nettbutikk eller deltagelser i trekninger av produkter til stor verdi.
Loven er klar på at personopplysninger som samles inn på grunnlag av ugyldige samtykker, må slettes. Datatilsynet kan komme til å se på samtykker som allerede er innhentet, enten ved å velge å gjøre et innsyn eller ved at noen melder inn et avvik.
Personopplysningsloven ble til for å gi oss borgere kontroll over egne personopplysninger – pluss mulighet til å treffe valg på bakgrunn av god og tilstrekkelig informasjon. Med dette som bakteppe ble en veiledning utarbeidet i det nevnte mastergradsarbeidet, for å vise hva en samtykkeforespørsel bør inneholde.
Punktene på listen favner bredt. Her anbefales alt fra «informativt emnefelt» via «tydelig knapp for å gi samtykke» og «tydelig knapp for å ikke gi samtykke, plassert ved siden av» – til innføring av et eget avsnitt med overskriften «følgende opplysninger behandles av oss.»
Forslagene ble testet ut på ulike brukere gjennom flere runder. Basert på tilbakemeldinger herfra, ble en «ideal-epost» for innhenting av samtykker laget. Denne ble deretter utsendt til et panel av forsøkspersoner.
Gjennom påfølgende intervjuer ga brukerne samstemt et uttrykk for at eposten hadde gitt dem tilstrekkelig med informasjon til at de visste hva de hadde samtykket til.
Svarene gir oss grunn til å tro at avsnittet med «Følgende opplysninger behandles av oss: …» er spesielt viktig.
Norge vil neppe oppleve at samtykkeforespørsler gir en ny e-poststorm som den vi fikk i 2018.
Men funnene fra mastergradsoppgaven viser at norske virksomheter trenger mer kompetanse i hva som kreves for å innhente et gyldig samtykke.
EUs personvernforordning (GDPR), som også gjelder i Norge, ble til for å styrke personvernet i vår digitale tidsalder. Da er det viktig at bedrifter og institusjoner sender sine kunder og brukere kontrakter og samtykkeforespørsler som faktisk gir den enkelte kontroll over egne personopplysninger. Derfor er det å håpe at skrekken for bøter ikke resulterer i nye hastverksfremstøt.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.