«Vi tar ditt personvern på alvor». «Vi oppdaterer våre personvernregler». «Opplysningene vil ikke bli delt med andre». Meldinger med disse formuleringene har rent inn denne våren, og med økt intensitet den siste uken.

– Jeg har inntrykk av at det er et visst «samtykkehysteri» der ute og mange virksomheter garderer seg ved å sende ut eposter for å innhente samtykke om alt mulig, sier Henrik Dagestad, advokat og ekspert på personvern i BDO.

Epostene kommer fra bedrifter som er i innspurten for å tilfredsstille de nye personvernreglene, GDPR, som trer i kraft i EU fredag.

Les også: Advokater og konsulenter gir GDPR-råd for en halv milliard dnPlus

Trengs ikke alltid

GDPR har til hensikt å standardisere personvernreglene for EU-borgere. Virksomheter kan ikke behandle personopplysninger med mindre de har et rettslig grunnlag for dette.

– Samtykke er ett av seks mulige rettslige grunnlag for å behandle personopplysninger. Mange virksomheter ser ut til å tro at samtykke er det foretrukne rettslige grunnlaget og at alle behandlinger av personopplysninger derfor må baseres på samtykke. Dette er imidlertid ikke riktig, sier Dagestad.

Han viser til at det i mange tilfeller vil være nødvendig å behandle personopplysninger for å kunne inngå eller gjennomføre en avtale.

– I slike tilfeller vil det ikke være korrekt å benytte samtykke som rettslig grunnlag. I tillegg vil det være en rekke tilfeller hvor virksomheter har en berettiget interesse i å behandle personopplysninger, og hvor man kan bruke dette som rettslig grunnlag, sier Dagestad.

Les også: Norske bedrifter kan forsikre seg mot GDPR-bøter

Et typisk eksempel på «berettiget interesse» er markedsføring mot eksisterende kunder.

– Å sende ut epost om samtykke i slike tilfeller er overflødig. Men samtidig må man huske på at markedsføringslovens bestemmelser om direkte markedsføring faktisk er strengere på dette området enn det GDPR er. Dette er det mange som glemmer, sier Dagestad.

Rammes av «spam-regelen»

Noen av epostene i innboksen kan være ulovlig markedsføring, påpeker Dagestad. Etter markedsføringsloven kan virksomheter kun sende ut markedsføringshenvendelser dersom det er avgitt samtykke, eller det foreligger et eksisterende kundeforhold.

Å sende ut en epost som ber om samtykke er ifølge lovens forarbeider en markedsføringshenvendelse og dermed overflødig dersom samtykke allerede finnes, eller ulovlig om det ikke finnes.

– Mange bruker nok salgsunntaket til å kontakte kunder for å be om samtykke til å kontakte dem. Men dersom samtykke-eposten sendes uoppfordret til kunder som ikke allerede har samtykket kan den være ulovlig markedsføring, sier Dagestad.

Han sier videre at dette er individuelle juridiske avveininger og at mange tenker at de garderer seg overfor GDPR ved å sende ut slike eposter om samtykke.

Lite kunnskap i bedriftene

Simonsen Vogt Wiig har et av de største miljøene innen personvern i bransjen. Teamet på rundt 20 personer ledes av advokat Thomas Olsen, som har hatt personvern som hovedfelt i 16 år.

Les også: Schibsted forbereder seg på GDPR: Sletter gamle data om oss dnPlus

– Jeg vil anslå at rundt en tredjedel av bedriftene har hatt lite kunnskap om personvern og GDPR, kanskje særlig fordi risiko knyttet til manglende etterlevelse har vært lav. For noen bedrifter trengs bare små tilpasninger nå, mens andre har hatt mye å lære, sier han.

Han tror det kan bli mye å gjøre for advokater og konsulenter også etter at nye regler er innført.

– Det er fort gjort å sende ut e-poster til kunder som ikke trengs, sier partner Thomas Olsen i Simonsen Vogt Wiig. Han og administrerende partner Mona Søyland har ett av landets største team innen personvern.
– Det er fort gjort å sende ut e-poster til kunder som ikke trengs, sier partner Thomas Olsen i Simonsen Vogt Wiig. Han og administrerende partner Mona Søyland har ett av landets største team innen personvern. (Foto: Javad Parsa)

– Én ting er å ha dokumentasjon og systemer i orden. Deretter skal nye rutiner implementeres i hele virksomheten og fungere i praksis over tid. Det krever mye oppfølging, sier han, og legger til:

Les også: 6 av 10 aner ikke hva GDPR er: Ekspert tror bevissthet om verdien av egne data vil øke

– Det er også mulig å gå skoene av seg. Det er fort gjort å bruke tid på tiltak som ikke er relevant eller sende ut eposter med samtykkeforespørsel til kunder som ikke trengs.

Feil med «samtykke til alt»

Vis alle stillinger

En annen ting enkelte virksomheter gjør feil, ifølge Dagestad, er å sende ut epost med en knapp som gir «samtykke til alt».

– Samtykket må være spesifikt for å være gyldig, sier Dagestad.

Dagestads anbefaling til næringslivet er å gjøre mest mulig som handler om samtykker og personvern selvbetjent og oversiktlig for kunder og brukere.

– Det beste er å opprette en «Min Side» hvor kundene kan logge seg inn og kontrollere samtykker, sjekke registrert informasjon, laste ned informasjonen og lignende, sier Dagestad.(Vilkår)

Les også:
Hva i alle dager er GDPR?
-Jeg vil ha annonser fra det jeg synes er kjekt å se på, ikke fra absolutt alt jeg er innom, sier Helene Ringen Nilssen
02:30
Publisert: