GDPR krever at både Meta, VG, Skatteetaten, idrettsklubben og Vegvesenet skal ha et lovlig grunnlag for kunne håndtere dine personopplysninger. GDPR gir seks ulike, men likestilte, grunnlag, og organisasjonens formål med behandlingen, typen opplysninger, omfang osv. vil peke oss i retning hvilket grunnlag som bør brukes.
Samtykke er ett av disse seks behandlingsgrunnlagene. Så hvorfor ikke bare be om samtykke og være ferdig med det? Hva er vel enklere enn det? Da slås to fluer i en smekk: Folk blir informert, og lovlig grunnlag kommer på plass. Som en god «tommel opp», og alle vil være happy?
Nei. Det sentrale målet med GDPR og krav til et slikt grunnlag for behandling av personopplysninger er en bedre beskyttelse av folks personopplysninger og ivaretakelse av folks rettigheter og friheter. Et spørsmål som oppstår da, er om det reelt sett oppnås et sterkere personvern ved bruk av samtykke når vi snakker om Metas og andre tek-giganters bruk av våre personopplysninger? Da må vi se på hva som kreves for at et samtykke skal være gyldig. Det er flere kriterier, men her vil vi bare se på samtykkets krav til frivillighet og at samtykket må være informert.
Kan ikke være en forutsetning
Det må være et fritt valg. Samtykke kan for eksempel ikke være en forutsetning for å få tilgang til en tjeneste. Relasjonen mellom den som behandler og den som blir behandlet, er også et sentralt poeng her.
Det offentlige (kommune, stat) kan ikke bruke samtykke fordi vi som borgere, brukere og mottakere av ulike tjenester ikke vil ha noe valg. Det samme gjelder forholdet mellom en arbeidsgiver og en arbeidstaker.
Eksemplene det offentlige og en arbeidsgiver er ikke tilfeldig valgt. Bare tenk på de enorme styrkeforskjellene som eksisterer mellom Nav og en søker på uføretrygd. Bare tenk på hvilken posisjon en arbeidsgiver har over den enkelte arbeidstaker, både økonomisk, sosialt, psykososialt og på annet vis.
Forholdet, avhengigheten og til dels monopolsituasjonen som skisseres her, kan langt på vei også beskrive forholdet mange mennesker i verden har opparbeidet overfor for eksempel Metas Facebook. Løsningen og tjenesten er så god, med så gode algoritmer, at omkring tre milliarder mennesker verden over kjenner på en viss avhengighet eller at tjenesten er nødvendig i det daglige livet.
Én ting er at det kanskje er eneste sted du kan følge med på hva en gammel skolekamerat gjør, noe annet er at for eksempel foreninger, foreldregrupper, idrettslag og andre organisasjoner bruker det som sin ene plattform for kommunikasjon. I realiteten står du igjen med et valg om kommunikasjon eller ikke-kommunikasjon, deltakelse eller ikke-deltakelse.
Cyberangrep: Advarer mot å ikke varsle
Åpenhet er en forutsetning
Det må være et informert valg. Har du noen gang funnet og lest samtlige vilkår, betingelser og erklæringer som universet til Meta og Facebook har? Ikke du heller, nei? Det skal være helt tydelig hva du samtykker til – inkludert hvem som er behandlingsansvarlig, formålet for hver av behandlingene og hva slags opplysninger det gjelder. Som du kanskje forstår, handler dette også veldig mye om åpenhet.
Det er ikke tvil om at mange av utfordringene med «big tech»s behandling og forretningsmodeller er nettopp en fundamental mangel på åpenhet. Mengden av informasjon er stor, ordrik og ikke presis, med et uklart språk, vanskelig tilgjengelig og ikke rent sjelden havner en i en runddans av lenker som i større eller mindre grad viser til hverandre.
Åpenhet om behandling av personopplysninger er en forutsetning for at folk skal kunne ivareta rettighetene sine. Mangel på åpenhet gjør det vanskeligere å avdekke feil og usaklig forskjellsbehandling og bidrar ikke til tillit. På enda lengre sikt vil det avstumpe og pasifisere kunder, brukere, publikum og hvem enn som er gjenstand for en behandling av opplysninger.
Det skal med andre ord mye til for at reell frivillighet oppnås eller at samtykket vil være informert. Samtykket vil derfor kunne være ugyldig, behandlingsgrunnlaget ulovlig og «businessen» dermed også ulovlig.
Samtykke-fatigue
Hva har så myndigheter i inn- og utland gjort? I stedet for å kreve mer åpenhet og bedre, klarere, mer presis, konsis og enklere informasjon fra «big tech», har man tydd til samtykke. Dermed er vi like langt, eller kort. Og vi publikum og brukere dras lengre inn i samtykke-fatiguen.
Samtykke-fatigue er et begrep fra en annen og svært nærliggende debatt om cookies. Mange vil kjenne seg igjen i «klikk og få det vekk», og vips, så er dine opplysninger delt med hundrevis av aktører som skal forsøke å selge deg noe basert på det du gjør, skriver og klikker på.
Forverring av personvernet
Eksemplene på at ulike myndigheter (inkludert EU og den norske regjering) har dyttet oss alle lengre inn i denne samtykke-fatiguen, er mange: Digital Markets Act, Digital Services Act, forslag til ny norsk ekomlov, prosessen mot Meta om personalisert reklame (som kulminerte i en ydmykelse av det irske datatilsynet, via det norske tilsynet, prosess i Oslo tingrett og påfølgende EU-virkning) og andre avgjørelser fra diverse tilsyn og EU-domstolen de siste årene.
Denne renessansen for samtykke har ført til behandlinger av personopplysninger på i beste fall tvilsomt grunnlag og en forverring av vårt personvern, fordi våre rettigheter og friheter etter GDPR og EMK ikke ivaretas på en betryggende måte.
Pasientopplysninger fra Helse Sør-Øst var ikke på avveie
