SKYTJENESTER

– Er du også tankeleser?

En rekordstor GDPR-bot fra Luxembourg illustrerer dilemmaet: Trår man feil, kan behandling av personopplysninger gi muligheter på kort sikt og utfordringer på lang sikt. Her er noen råd på veien.

Tobias Judin er seksjonssjef for internasjonal seksjon i Datatilsynet.
Tobias Judin er seksjonssjef for internasjonal seksjon i Datatilsynet. Foto: Ilja C. Hendel
Tobias Judin, seksjonsleder internasjonal seksjon i Datatilsynet
9. sep. 2021 - 16:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Stemningen var neppe god hos Amazons advokater da de mottok det luxembourgske datatilsynets seneste avgjørelse – også rett før sommerferien, da! Tilsynsmyndigheten mener at Amazons bruk av personopplysninger i markedsføring strider mot Europas personvernregler, GDPR, og at et overtredelsesgebyr stort 746 millioner euro er en passende straff.

Som Vanebo påpeker, har det luxembourgske datatilsynet taushetsplikt om Amazon-saken frem til den er avgjort i rettssystemet. Siden Datatilsynet i Norge er part i saken som berørt tilsynsmyndighet, er vi også tilbakeholdne med å kommentere. Vi kan imidlertid si dette: Hvis Amazon hadde fulgt rådene nedenfor, hadde nok ting gått annerledes. Selv i en tid hvor datatilsynsmyndighetene skjerper håndhevingen, finnes det grep man kan ta for å unngå å havne i tilsynsmyndighetenes søkelys.

Ove A. Vanebo er assosiert partner i Kluge advokatfirma.
Les også

Hvorfor fikk Amazon GDPR-gebyr på 746 millioner euro?

Fornøyde forbrukere får velge

Mange GDPR-klager gjelder manglende valgfrihet. Ikke sjeldent definerer virksomheter hva kundene ønsker at personopplysningene deres skal brukes til – uten å spørre kundene, og gjerne i strid med empiri. For eksempel har flere virksomheter sagt at kundene ønsker målrettet markedsføring, selv om Datatilsynets siste personvernundersøkelse viser det stikk motsatte.

Noen ganger gir virksomhetene valgfrihet på papiret, men gjemmer valgene såpass godt at de fleste gir opp underveis. For hvert ekstra klikk man må gjennom for å si nei, desto mindre frivillig er valget.

Én ting er at slike praksiser kan medføre smekk på fingrene fra tilsynsmyndighetene. En annen ting er at det frustrerer eksisterende kunder og skremmer bort nye. Personvernundersøkelsen vår viste for eksempel at halvparten av oss har unngått å gjennomføre et kjøp i en nettbutikk fordi vi ikke stoler på hvordan nettbutikken behandler personopplysningene våre. Dette er et godt eksempel på samspillet mellom personvern og god forretning.

De gode forventningene

Et annet og beslektet element, som stadig oftere legges vekt på i europeisk tilsynspraksis, er kundenes berettigede forventninger til behandling av personopplysninger. For eksempel vil kunder ofte forvente – og forutsette – at opplysninger de legger igjen hos en virksomhet de stoler på, ikke deles fritt med utenforstående. Og nei, her kan man ikke gjemme seg bak kryptiske formuleringer om datadeling i lange personvernerklæringer som de aller fleste ikke leser.

På et mer overordnet nivå kan vi si at kunder som legger igjen data hos en virksomhet, forventer at dataene ikke skal brukes mot deres interesser. De færreste har interesse av å miste kontrollen over egne personopplysninger eller at personopplysningene skal brukes til å prakke på en ting man ikke vil ha. Dessverre er det ofte nettopp dette som skjer – og det er derfor Datatilsynet mottar klager.

Bærekraftig datainnovasjon

Løsningen er neppe å slutte å bruke data – og det finnes tross alt mange tilfeller der vi forventer og har glede av at personopplysningene våre behandles. Spørsmålet er i stedet hvordan vi kan bruke data riktig. Data bør jobbe for kundene, ikke imot – og det bør i størst mulig grad være opp til kundene å bestemme hva de vil. Fornøyde kunder blir værende, og de klager ikke til tilsynsmyndighetene.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

Dette er åpenbart lettere sagt enn gjort. Samtidig kan man nok si at virksomheter som innoverer databruken i denne retningen, har det lengste tidsperspektivet. Vi vet ikke hva fremtiden bringer, men vi vet at bærekraftig databruk har de beste forutsetningene for å møte den.

De europeiske datatilsynene utsteder stadig oftere gebyr for overtredelser av personvernforordningen GDPR.
Les også

Etter tre år med GDPR: Disse har måttet betale aller mest

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra