(Denne teksten ble først publisert på Rett24.no den 14. desember 2021.)
Perspektivene på hva personvern er og bør være, varierer. Fersk praksis illustrerer at det kanskje er mer enn skattereglene som lokker teknologigantene til Irland.
I EØS har vi strenge personvernregler i form av GDPR. Prinsippene om lovlighet, rettferdighet, formålsspesifikasjon og dataminimering setter skranker for bruk av personopplysninger. Det går en grense man ikke kan krysse uten å trå andres privatliv, integritet og verdighet for nære.
Mange store teknologiselskaper praktiserer reglene mer som en tam papirtiger. Endeløse personvernerklæringer og pågående popup-bokser som presser deg til å klikke bort alle rettigheter blir brukt til å legitimere inngripende kommersiell overvåking.
Er GDPR bare en anvisning på prosedyrer man må gjennom, og så kan man ellers gjøre som man vil?
Den som venter
Mange av de største tekselskapene har valgt lavskattlandet Irland som åsted for sin hovedetablering. Derfor er det opp til den irske datatilsynsmyndigheten å føre tilsyn med dem etter GDPR – men det tar tid.
Irene peker med rette på ressursmangel samt en komplisert og tidkrevende forvaltningsrett som inviterer til søksmål. Ser man litt nærmere på fersk praksis, tegner det seg kanskje også et bilde av et tilsyn som forfekter et mer prosessuelt personvernsyn.
I 2020 ble Twitter ilagt overtredelsesgebyr på grunn av formelle feil i avviksbehandlingen sin, selv om mange var mer interesserte i de bakenforliggende årsakene til avviket. I 2021 fikk WhatsApp gebyr for mangler i personvernerklæringen, mens enkelte andre spurte seg om det ikke var større problemer ved selskapets praksis. Dette er de eneste to irske bøtesakene mot tekgiganter så langt.
Nå behandler den irske tilsynsmyndigheten en klage på Facebook-plattformens sporing og profilering av brukere for markedsføringsformål. Irenes utkast til avgjørelse sier sporingen er OK fordi den er inntatt i tjenestevilkårene. Derimot mener de at informasjonen i personvernerklæringen må forbedres. Saken vil trolig løftes til Det europeiske personvernrådet i 2022, og en parallell sak er dessuten under oppseiling for EU-domstolen.
Ment å begrense
I personvernmiljøet er og bør det være høy takhøyde for å være uenig. Samtidig er det viktig å tolke reglene i tråd med deres ordlyd, formål og sammenheng. Det er vanskelig å argumentere for at personvernreglene ikke har ment å begrense behandling av personopplysninger til de tilfellene der det faktisk er forholdsmessig. Det betyr at formalia ikke kan være avgjørende.
Mange av artiklene i GDPR er risikobaserte nettopp fordi at risiko henger sammen med forholdsmessighet. Samtidig er det mange av artiklene som ikke er risikobaserte. Dersom GDPR kan se ut til å stagge kommersiell markedsføring, tar det sjeldent lang tid før en tenketank eller et kommentarfelt på LinkedIn etterspør en ulovfestet risikobasert tilnærming også her – selvsagt uten å ta inn over seg at risikoen for manipulasjon, ekskludering og undergraving av vår verdighet er betydelig.
Gjennomsiktig trojansk hest
Det er viktig å være åpen om hvordan man behandler personopplysninger. Samtidig kan åpenhet være et utspekulert verktøy. Det er mange som ønsker å flytte fokus fra manglende lovlighet til gode informasjonstiltak.
Dessuten er den enkeltes «rimelige forventninger» et sentralt spørsmål i personvernretten. Hva skal man med rimelighet måtte forvente når man bruker en nettbutikk, en bank eller et sosialt medium? Flere har tenkt at forventningene kan senkes gjennom personvernerklæringene som de færreste leser. Hvis erklæringen vagt nevner overvåking for markedsføring, må jo folk forvente at det skjer?
Sagt på en annen måte: Dersom noen informerer meg om at de vil stå utenfor vinduet ditt med kikkert, gjør det situasjonen bedre?
Vi kan hvis vi vil
Mange har uttrykt frustrasjon over manglende håndheving av GDPR ovenfor tekgigantene. Årsakene er sammensatte.
Samtidig er det langt på vei et politisk spørsmål om hvor gode rettigheter man ønsker for nettbrukere. Mange datatilsynsmyndigheter i Europa skriker etter mer ressurser, inkludert den irske. Har da myndighetene i Europa genuin vilje til å begrense tekgigantene?
I Datatilsynet mener vi at dagens regulering er god, samtidig som den er tidkrevende å håndheve og vag nok til å misbrukes. Derfor mener vi at vi trenger ytterligere regulering, særlig når det kommer til overvåkingsbasert markedsføring. Vi trenger et godt materielt vern og som lar informasjonserklæringer, avtalevilkår og popup-bokser ligge hjemme.