Om GDPR i Direktesalgsbransjen

/ Artikkel / By
September 8, 2023
Facebook
Twitter

I denne artikkelen gir jeg deg et bilde av GDPR. Hva begrepet betyr, hvorfor vi har det – og hva det betyr for deg som ansatt/tilknyttet en -medlemsbedrift i Direktesalgsforbundet. Her kommer jeg også inn på samtykke – et sentralt begrep i digital markedsføring og salg. GDPR er vesentlig for din topplinje!

For ikke lenge siden kunne bedrifter selge, kjøpe og behandle sine kunders personlige opplysninger, som det passet dem. Det går ikke lenger. All informasjon som går inn i registre, dvs. lagres, kommer inn under den relativt nye loven om personopplysninger. Formålet er ifølge loven, å «verne fysiske personer i forbindelse med behandling av personlige opplysninger, og om fri utveksling av slike opplysninger». I praksis betyr det at, ber man som leverandør om kundens personlige data, må man ha et samtykke fra kunden til å bruke opplysningene og for å kunne lagre dem. Forkortelsen «GDPR» har blitt et begrep. Og er man informert, nikker man pent, når praten går om «The General Data Protection Regulation». Og du tenker: «Jo, dette vet jeg noe om».  

Hva er problemet?

Det oppstår når vi som kunder må etterlate oss personlige opplysninger. Vi må være sikre på at disse ikke brukes til annet enn det vi har gitt samtykke til.

Beklageligvis er det bedrifter som misbruker våre personlige data, og iblant selger opplysningene videre. Du vet hva man kaller en person som selger noe som ikke er hans? Det er det en lov som forbyr. At det også er etisk forkastelig å misbruke kunders personlige data gjør det  selvsagt også uforståelig. Men det skjer. Hver dag. EU har med GDPR satt en stopper for uvesenet.

250 millioner mennesker innen EU bruker nettet hver dag, og personlige opplysninger blir delt mellom privatpersoner, organisasjoner og bedrifter. EU erfarer at kun 15 prosent føler at de har full kontroll over opplysninger de legger igjen på nettet. GDPR er EU’s data lov om beskyttelse av data. Loven skal gi bedre kontroll over dine private opplysninger, men hvordan får du kontroll med dine data?

GDPR: Hvilke opplysninger bør du ha kontroll på?

Loven omfatter alle de opplysninger, som kan identifisere deg. Personopplysninger omfatter for eksempel:

  • Navn, alder og kjønn
  • Personnummer
  • Din pc´s IP-adresse
  • Hvor du befinner deg
  • Ditt fingeravtrykk
  • Din helse
  • Din økonomi
  • Religiøs tro, eller seksuell legning

Hvis en leverandør har din kjøpshistorikk: Hva du kjøpte? Når du kjøpte det? Hvor mye du kjøpte? Hva du betalte for det. Hvordan du betalte osv. Ja, da vet leverandøren mere om deg enn din familie gjør. Og har bedre oversikt over deg enn du selv har. Det er ikke sikkert at du syns det er så kult?

GDPR: Hva sier databeskyttelsesloven?

Denne loven slår fast hvordan bedriftene skal innhente, beskytte og oppbevare relevant personlig informasjon. Loven fastsetter at bedrifter ikke må lagre opplysningene lenger enn nødvendig. Det er et interessant og relativt begrep – som bedriften må avstemme med kunden/brukeren. Loven beskriver også hva du skal forvente, og kan kreve av en bedrift, organisasjon eller myndighet som innsamler opplysninger om deg.

Loven gir deg blant annet disse rettighetene:

  • Retten til å få vite, i et klart og forståelig språk, hva dine personlige opplysninger blir brukt til.
  • Retten til å vite, hvem som har adgang til dine opplysninger.
  • Retten til å vite, hvor lenge dine opplysninger oppbevares.
  • Retten til å endre ufullstendige eller gale opplysninger.
  • Retten til å trekke tilbake ditt samtykke til å behandle og lagre opplysninger om deg.
  • Retten til gratis å få utlevert alle opplysninger om deg. Opplysningene skal leveres tilbake i et tydelig og lettforståelig språk, og i et vanlig filformat som du kan åpne og lese.
  • Retten til å si nei til direkte markedsføring. Hvis du har kjøpt en flybillett på nettet, kan du eksempelvis si nei til å motta reklame.
  • Retten til å be en bedrift eller organisasjon om å slette dine opplysninger, hvis du for eksempel ikke lenger er kunde eller medlem hos dem. SKATT og politiet har dog rett til å samle innsamle opplysninger om deg, og du har ikke rett til å få dem slettet.

Få slettet din konto og tilhørende data

Selv om du har gitt bedrifter ditt samtykke til at de kan behandle opplysninger, kan du til enhver tid trekke samtykket tilbake. Det skal være like enkelt for deg å annullere dit samtykke, som å gi ditt samtykke. Bedrifter skal slette dine opplysninger automatisk, hvis de ikke lenger har bruk for dem. Du kan dog ikke få slettet opplysninger, hvis det går imot en inngått kontrakt, eller hvis myndighetene skal innhente de pågjeldende data. Du kan for eksempel ikke be ditt forsikringsselskap slette alle dine data, hvis du fortsatt ønsker å være kunde hos dem. 

Få innsikt i dine data

Personopplysninger som bedrifter eller organisasjoner har innsamlet om deg, har du rett til å se – uten beregning. Opplysningene skal leveres deg i et filformat, du kan åpne og lese.

Du kan gjøre innsigelse mot overdreven og unødvendig bruk av dine data

Behandler en bedrift eller organisasjon dine personlige data, har du i visse tilfelle rett til å gjøre innsigelser. Du kan altså be en bedrift eller organisasjon om å stoppe med å bruke dine data, hvis du for eksempel ikke lenger er kunde eller medlem hos dem. Direkte markedsføring, som nyhetsbrev og telemarketing, kan du alltid gjøre innsigelse mot.

Korriger dine personlige opplysninger

Dersom bedrifter har samlet feile data om deg, har du rett til å kontakte og be om at de oppdaterer og rette dine data.  Bedriften har plikt til å etterkomme dine ønsker uten unødvendig forsinkelse.

Flytt dine opplysninger

Bedrifter og organisasjoner har plikt til å overføre data til andre bedrifter hvis du ber om det. Det kaldes også retten til dataportabilitet. Skal du for eksempel skifte bank, er den tidligere banken altså forpliktet til å sende dine informasjoner videre til din nye bank.

Databeskyttelsesloven: Hva er GDPR?

Hver gang du handler på nettet, logger på en nettbank og bruker sosiale medier, deler du dine private opplysninger. Hvilke opplysninger, du har gitt ulike bedrifter tilgang til over tid, kan være vanskelig å huske og kontrollere.

Databeskyttelsesloven skal gi deg bedre kontroll over dine egne opplysninger. Samtidig skal bedrifter du er i kontakt med ha bedre kontroll på hvordan de behandler og oppbevarer dine personopplysninger. Ofte gir vi som brukere eller kunder samtykke for å komme videre med saken på leverandørens hjemmeside. Heldigvis har vi lovbeskyttelse som skal gi oss beskyttelse av leveran-dørens «hverdagsetikk». I praksis skal dette sette en stopper for urimeligheter.

Loven kjenner vi best som GDPR, men den omtales også som data beskyttelsesforordningen, dataforordningen eller persondataforordningen.

Her er dine rettigheter, når du betaler og oppgir dine data

Du blir ofte bedt om å taste inn dine personopplysninger, for å få adgang til en tjeneste, eller for å foreta et digitalt kjøp. Når du kjøper noe og oppgir dine personlige data, er kjøpet omfattet av Lov om kjøp «Kjøpsloven».

Dine personlige opplysninger har stor verdi for bedrifter, som bl.a. kan brukes av dem til å sende individorienterte annonser til deg De kan også legge forholdene til rette for å påvirke deg til å kjøpe mer eller reagere på en for bedriften ønsket måte.

En stor hjelp i å personifisere data er kunstig intelligens (AI), som i lynets hastighet setter sammen ønsket påvirkning overfor deg. Men uten ditt samtykke er grunnlaget for at de kan bruke AI ikke godt nok. Dessverre har en del bedrifter en noe «fleksibel», kriminell og uetisk holdning til samtykke. Det skal være utpekt en behandlingsansvarlig. En person, du kan henvende seg til.

Personopplysningsloven består av nasjonale regler og EUs person-vernforordning (også kalt GDPR – General Data Protection Regulation. Forordningen, er et sett regler, som gjelder for alle EU/EØS-land inkludert Norge. Sammen med særlovgivning om personvern på enkelte områder, utgjør dette personvernregelverket. 

Bedriftens ansvar

Personopplysningsloven inneholder noen personvernprinsipper som alle virksomheter må følge. Ett av prinsippene er ansvarlighet. Dette går ut på at virksomheten skal ha full oversikt over sin behandling av personopplysninger, og iverksette tekniske og organisatoriske tiltak som sørger for at loven følges.

Dette betyr, at hver enkelt virksomhet må gjøre mange viktige vurderinger på egen hånd – før de samler inn og bruker personopplysninger.

Virksomheten har også ansvar for å dokumentere, at de følger loven. Brudd på reglene kan føre til sanksjoner som advarsler, irettesettelser, forbud og pålegg. I praksis må bedriften altså samle informasjon om det de foretar seg med våre/dine personopplysninger, og fortelle oss om det dersom vi henvender oss for å få å vite hva de har «på oss».

Samtykke

En virksomhet kan behandle personopplysninger, dersom den har innhentet gyldig samtykke fra personen det gjelder. For at et samtykke skal være gyldig, må det være:

  1. Gitt frivillig
  2. Være spesifikt
  3. Være informert
  4. Være utvetydig
  5. Være gitt gjennom en aktiv handling
  6. Være dokumenterbart
  7. Være mulig å trekke tilbake like lett som det ble gitt

Nedenfor kommenteres disse 7 faktorene, slik at du kan se om et samtykke er gyldig.

Hvor lenge et samtykke er gyldig, kommer an på hva man har bedt om samtykke til. For å unngå tvil anbefaler Datatilsynet at man spesifiser hvor lenge et samtykke er tiltenkt å vare når man ber om det. Datatilsynet anbefaler også at man, med rimelige intervaller, påminner den enkelte kunde eller bruker, om at de har gitt sitt samtykke og at det kan trekkes tilbake. Den slags informasjon har jeg aldri fått.

Frivillig

Et samtykke er ikke gyldig hvis det er lagt press for å samtykke eller hvis det oppstår negative konsekvenser om man ikke samtykker. Den enkelte må være i stand til å foreta et fritt valg. Hvor reelt det frie valg er, kan man diskutere. For ofte er samtykke en betingelse for at man får kjøpt noe, eller utført en tjeneste, i det hele tatt.

Dette betyr også, at man ikke kan sette samtykke som et vilkår for å bruke en tjeneste. For eksempel, dersom en bedrift ber om samtykke til å behandle personopplysninger, som ikke er nødvendig for å levere tjenesten, er samtykket ikke gyldig dersom de som ikke samtykker ikke får tilgang til tjenesten. Konsekvensen er, at alle personopplysninger, som ble samlet inn på et slikt samtykke-grunnlag må slettes.

I vurderingen av om et samtykke er frivillig, må man også se på styrkeforholdet mellom virksomheten og den enkelte. For eksempel vil offentlige myndigheter eller arbeidsgivere normalt ikke kunne bruke samtykke som behandlingsgrunnlag dersom personen er i et avhengighetsforhold til virksomheten.

Spesifikt

Det må være klart hva den enkelte samtykker til. Det vil si at når du gir ditt samtykke skal det være et klart og presist formulert formål. Dersom noen har samtykket til et formål, kan personopplysningene kun brukes til dette. Det går ikke, å be kunden om å gi samtykke til hva leverandørens enn måtte finne på å bruke samtykket til. Så kravet til spesifikt innebærer også at man separat må be om samtykke til hvert enkelt formål.

Informert

Et samtykke er bare gyldig dersom den som gir det, vet hva man samtykker til. Dette må sees i lys av personvernprinsippene om rettferdighet og åpenhet. Virksomheten må selv vurdere hva den enkelte trenger å vite for å kunne foreta et reelt og informert valg Samtykkeforespørselen må minst inneholde:

  • Hvem den behandlingsansvarlige er.
  • Formålet for hver av oppgavene som virksomheten ber om samtykke til.
  • Hva slags personopplysninger som samles inn.
  • Informasjon av retten til å trekke tilbake samtykke.
  • Informasjon om eventuelle automatiserte individuelle bruk, hvis det er relevant.
  • Informasjon om risiko og tiltak ved eventuell overføring utenfor EU/EØS-området. 

Utvetydig gjennom aktiv handling

For å samtykke må den enkelte foreta en handling, for eksempel ved å klikke på en knapp, markere i en boks eller skrive under på et skjema. Ved ikke å foreta en handling, kan aldri utgjøre et gyldig samtykke.

Samtykket skal også være en handling som er separat fra å inngå en avtale, eller akseptere brukervilkår. Det må ikke foreligge tvil om den enkelte gjennom en handling har ment å samtykke eller gjøre noe annet.

Formkrav

Når man ber om samtykke elektronisk, må forespørselen ikke være unødig forstyrrende for brukeropplevelsen. Dette er særlig viktig å huske på når det gjelder mindre skjermer. Dersom det er vanskelig å bruke tjenesten fordi forespørselen om samtykke tar opp store deler av skjermen og ikke lar seg fjerne uten å samtykke. Dette kan føre til at innhentede samtykker ikke er gyldige.

Når det gjelder selve samtykket, er det ingen formkrav. Samtykke kan gis skriftlig, muntlig, gjennom bevegelser eller på andre måter. Det eneste kravet er, at samtykke etterpå må kunne dokumenteres.

Dokumentasjon

Et samtykke er bare gyldig når det kan dokumenteres. Dessuten må virksomheten kunne dokumentere, at samtykket var gyldig. Det vil si, at man må kunne dokumentere at alle lovens krav til samtykke er oppfylt, herunder kravet til informert samtykke.

Bedrifter kan selv utvikle eller velge egnede løsninger for dokumentasjon av samtykke. Loven sier ikke noe om hvordan dette skal gjøres. Det er viktig, at virksomhetene ikke samler mer opplysninger enn det som er nødvendig for å dokumentere samtykke. Når det gjelder samtykker som gis ved å klikke på en knapp på en nettside eller i en app, kan man for eksempel ta vare på teknisk informasjon fra økten.

OBS: Man kan ikke kreve, at en person registrerer seg med navn bare for at man som leverandør må holde oversikt over hvem som har og ikke har samtykket.

Tilbaketrekning av samtykke

Et samtykke må kunne trekkes tilbake uten negative konsekvenser. Hvis ikke, er det ikke gyldig. Som nevnt ovenfor må den enkelte få informasjon om retten til å trekke tilbake samtykke. Husk: Det må ikke være vanskeligere å trekke tilbake et samtykke enn det var å gi det. Det betyr imidlertid ikke at samtykke må trekkes tilbake på nøyaktig samme måte som det ble avgitt, men tilbaketrekning må normalt kunne skje i samme system eller brukergrensesnitt.

Ved tilbaketrekking av samtykke skal normalt de aktuelle personopplysningene slettes. Unntak gjelder blant annet der virksomheten har bedt om samtykke til å behandle opplysningene for flere formål og personen bare trekker tilbake samtykke for ett eller noen av formålene. Unntak gjelder også for eksempel dersom de samme personopplysningene behandles til ulike formål med grunnlag i andre behandlingsgrunnlag.

Alle leverandører må overholde kundenes digitale rettigheter

Selv om vi i dag ferdes mye «digitalt», har vi rett til privatliv. Derfor bør ikke bedrifter samle inn flere opplysninger en de trenger, og at vi som kunder har kontroll over VÅRE opplysninger.

Databeskyttelsesloven er derfor et viktig initiativ når det gjelder sikkerheten for dine personlige opplysninger og retten til ditt privatliv.