Tenk deg at virksomheter bestemte selv hvilke personopplysninger de kunne behandle. La oss for eksempel si at de digitale tjenestene du bruker hver dag, plutselig skrev inn i vilkårene sine at de vil spore deg overalt alltid, og så måtte du bare finne deg i det. Høres det rettferdig ut?
Noen virksomheter har faktisk tatt til orde for at loven skal tolkes slik.
Kreativt fremstøt
Det er ikke fritt frem å behandle personopplysninger i EØS. Personvernforordningen (GDPR) inneholder en uttømmende liste over når behandling av personopplysninger er lov. Man kan for eksempel behandle personopplysninger hvis man har personens samtykke, hvis man har en rettslig plikt til å behandle opplysningene eller dersom det er nødvendig for å gjennomføre en avtale med personen.
For eksempel, la oss si at du handler i en nettbutikk, skal betale med kredittkort og ønsker å få varene levert hjem. Her er det ikke mulig å gjennomføre kjøpsavtalen med mindre tjenesten behandler betalingsinformasjon og hjemadressen din. Behandlingen av opplysningene er dermed nødvendig for å gjennomføre avtalen, og nettbutikken kan lovlig samle dem inn med dette som formål.
Flere multinasjonale teknologiselskaper har varslet at de har en videre forståelse av hva som er «nødvendig for å gjennomføre en avtale». Disse virksomhetene mener at dersom de har skrevet om behandling av personopplysninger i tjenestevilkårene (avtalene) sine, er behandlingen automatisk nødvendig for avtalen og dermed tillatt, selv om det de skriver inn i vilkårene ikke er strengt talt nødvendig for å levere tjenesten du har etterspurt. Det betyr i praksis at de ikke trenger å bekymre seg om hva du ønsker eller gi deg valgmuligheter.
Det er vanskelig å påvirke innholdet i tjenestevilkårene. Videre er forbrukere ofte så avhengig av tjenestene til teknologiselskapene at man ukritisk aksepterer brukervilkårene. Resultatet kan bli at forbrukerne står igjen maktesløse.
Personvernrådet setter ned foten
Personvernrådet (EDPB) har nå vedtatt retningslinjer om hva som er «nødvendig for å gjennomføre en avtale» i kontekst av digitale tjenester. Ikke overraskende deler ikke Personvernrådet teknologiselskapenes lovtolkning. Tvert om slår rådet fast flere viktige ting:
- Man kan ikke skrive inn hva som helst i brukervilkår og så blindt bruke «nødvendig for å gjennomføre en avtale» som rettslig grunnlag for behandling av personopplysninger.
- Det er forskjell mellom hva som er objektivt nødvendig for å levere tjenesten du har etterspurt, og aktiviteter virksomheten ønsker å utføre fordi de er nyttige eller lønnsomme.
- Virksomheter må behandle personopplysninger på en rettferdig måte som gjør personopplysningsvernet reellt.
- Personopplysninger er ikke en salgsvare.
Disse punktene er et uttrykk for at personvernreglene er ment å gi et høyt beskyttelsesnivå. Reglene sier at alle skal få større kontroll over opplysningene sine, og da må virksomhetene respektere det, og ikke prøve å lage smutthull.
For øvrig inntok Artikkel 29-gruppen, Personvernrådets forløper, samme standpunkt etter de gamle personvernreglene.
På høring
Retningslinjene er på høring i seks uker. Det vil si at alle har mulighet til å si sin mening. Les mer om retningslinjene og høringen her.