Kan jeg bruke sporingsverktøy på tjenesten min?
Når du behandler personopplysninger, må du følge alle personvernprinsippene. Her går vi gjennom de mest sentrale prinsippene og deres relevans for bruk av sporingspiksler.
Felles for alle reglene i personopplysningsloven og personvernforordningen er at de bygger på noen grunnleggende prinsipper. Prinsippene gir på ulike måter uttrykk for at behandling av personopplysninger skal skje på en måte som sikrer forutsigbarhet og forholdsmessighet for enkeltpersoner.
Generelt om personvernprinsippene.
Lovlighet
Ett av de sentrale personvernprinsippene er lovlighet. Det vil si at for å behandle personopplysninger må du ha et rettslig grunnlag, altså et grunnlag som gir deg lov til å behandle andres personopplysninger. Dette gjelder også ved bruk av sporingsverktøy som informasjonskapsler eller sporingspiksler.
Det finnes seks mulige rettslige grunnlag. I mange tilfeller er imidlertid samtykke det eneste praktiske rettslige grunnlaget:
- Ved bruk av informasjonskapsler som ikke er strengt nødvendige, sier ekomloven at du må ha gyldig samtykke. Det er viktig å merke seg at sporingspiksler som regel innebærer bruk av informasjonskapsler.
- Ved behandling av særlige kategorier personopplysninger for markedsføringsformål, er eksplisitt samtykke som regel det eneste reelle unntaket fra forbudet mot å behandle denne typen opplysninger.
- Også der det ellers er snakk om behandling av beskyttelsesverdige, private eller sensitive personopplysninger for markedsføringsformål, er det i praksis vanskelig å basere seg på et annet rettslig grunnlag enn samtykke.
For at et samtykke skal være gyldig, er det flere elementer som må være på plass, blant annet:
- Samtykke må være frivillig.
- Samtykke må være spesifikt.
- Samtykke må være informert.
- Samtykke må være utvetydig.
- Samtykke må avgis gjennom en aktiv handling - passivitet kan ikke utgjøre et samtykke.
- Det må være mulig å la være å gi samtykke uten å bli utestengt fra tjenesten.
- Det må være like lett å si nei som å si ja.
- Det må være like lett å trekke tilbake samtykke som det var å gi det.
I sporingstilsynet så vi flere brudd knyttet til samtykke. For eksempel var det flere av nettsidene som ikke ba om samtykke selv om det var påkrevd.
Vi så også at flere av samtykkeforespørslene fremhevet samtykke-knappen ved hjelp av fargebruk. Samtykke-knappen ble gitt en særlig fremtredende farge, mens de andre knappene hadde samme farge som bakgrunnen. Dermed ble de besøkende på nettstedet «dultet» til å samtykke. Dette er et eksempel på utnyttelse av såkalte «kognitive bias» – fargebruken kan gjøre at brukerne ikke gjør egne bevisste valg, men heller velger det enkleste alternativet, uten tanke på egne personvernpreferanser eller eventuelle konsekvenser av valget. Derfor var ikke samtykket frivillig.
I tilsynet mot drdropin.no så vi at mens det var mulig å takke ja på første lag av samtykkeforespørselen, måtte brukerne klikke seg videre til innstillingene for å takke nei. Med andre ord var det vanskeligere å si nei enn ja, og dette kan påvirke brukerne til å ta valg de ellers ikke ville tatt. Samtykket var hverken frivillig eller utvetydig.
Åpenhet
Et annet sentralt personvernprinsipp er åpenhet. Det vil si at de som bruker en tjeneste har rett til å få informasjon om hvordan personopplysningene deres behandles og hvordan det kan påvirke dem. Informasjonen skal være lett å forstå og bruke et klart og enkelt språk. Det gjelder alltid, men det er særlig viktig når informasjonen skal leses av barn.
Én side av åpenhetsprinsippet er at brukere skal få tilstrekkelig informasjon om hva de blir bedt om samtykke til og hvilke konsekvenser et samtykke vil ha.
I sporingstilsynet så vi flere eksempler på nettsteder som lovte de besøkende anonymitet, selv om nettstedene brukte sporingsverktøy som behandlet brukernes personopplysninger og tilgjengeliggjorde dem for tredjeparter. Dette er ikke lov. All informasjonen som gis om behandling av personopplysninger må være korrekt. Feilaktig informasjon kan svekke brukernes tillit og skape usikkerhet om hvordan behandlingen av opplysninger om dem foregår.
For øvrig har Datatilsynet observert flere eksempler på at informasjonen som gis om sporingsverktøy er veldig teknisk og vag. Hvis du eier et nettsted eller en app er det viktig at du kan forklare med egne ord hva de ulike sporingsverktøyene gjør med de besøkendes personopplysninger, og hvordan de fungerer, på en folkelig og lettfattelig måte. Personvernreglene krever at du gir informasjon om hvordan de besøkendes personopplysninger behandles, på en forståelig måte med klart og enkelt språk. Hvis du ikke klarer det, kan du heller ikke bruke slike sporingsverktøy.