Spesielt om særlige kategorier personopplysninger
Enkelte personopplysninger nyter et særlig sterkt vern under personvernreglene. Dette er for eksempel opplysninger om noens helse, sexliv, seksuelle orientering, religion, politiske ståsted eller etnisitet. Vi kaller dette særlige kategorier personopplysninger. Gjennom sporingspiksler kan besøk på bestemte nettsider eller apper indirekte avsløre slike opplysninger.
Denne typen opplysninger er særlig sensitive. I ytterste konsekvens kan de for eksempel brukes til å diskriminere enkeltpersoner. Derfor er det i utgangspunktet forbudt å behandle denne typen personopplysninger, med mindre du kan vise til et gyldig unntak fra forbudet. I praksis er ofte eksplisitt samtykke det eneste reelle unntaket i markedsføringssammenhenger.
Les mer om særlige kategorier personopplysninger.
Sporingsverktøy vil typisk dele med tredjeparter hvem som har vært inne på tjenesten din og hva de gjorde der. Ofte kan besøk på bestemte nettsider eller apper indirekte avsløre særlige kategorier personopplysninger. Dette er typisk tilfellet der det er snakk om tjenester som spesifikt retter seg mot sensitive grupper, for eksempel personer med bestemte diagnoser, seksuelle minoriteter eller medlemmer av en religion. Dersom det blir kjent at en person bruker en slik tjeneste, kan andre indirekte skjønne at personen tilhører gruppen som tjenesten retter seg mot.
Også når det er snakk om tjenester som bare omhandler eller knytter seg til sensitive temaer, kan det være mulig å utlede særlige kategorier personopplysninger om de som bruker tjenesten basert på hvordan de bruker tjenesten.
Hvis du driver en tjeneste som knytter seg til sensitive temaer eller utsatte grupper, må du altså vurdere grundig hva slags slutninger det er mulig å trekke om brukerne – direkte eller indirekte – før du tar i bruk sporingsverktøy.
Praksis fra EU-domstolen
EU-domstoler har avsagt flere dommer om hvor terskelen går for hva som utgjør særlige kategorier personopplysninger. Domstolens praksis tilsier at denne terskelen er veldig lav, sett i lys av formålet med reglene: å beskytte enkeltpersoners grunnleggende rett til personvern.
I den såkalte Lindenapotheke-saken (C-21/23) var ett av spørsmålene hvorvidt kjøp i et nettapotek utgjorde særlige kategorier personopplysninger, i dette tilfellet opplysninger om kjøpernes helse. Domstolen besvarte spørsmålet bekreftende. Det har ingenting å si om produktene er reseptbelagte eller ikke, så lenge de direkte eller indirekte kan si noe om kjøperens helsetilstand. Domstolen mente videre at kjøpsinformasjonen utgjør særlige kategorier personopplysninger uavhengig av om slutningene du kan dra om kjøperne er korrekte. Med andre ord har det ingenting å si at du ikke vet om kjøperen skal bruke produktet selv eller om hen kjøper det på vegne av noen andre.
Erfaringer fra sporingstilsynene
I tre av tilsynssakene våre kom vi frem til at nettstedet tilgjengeliggjorde særlige kategorier personopplysninger med tredjeparter.
Saken om apotekfordeg.no gjaldt et nettapotek, akkurat som Lindenapotheke-saken fra EU-domstolen. Når de besøkende på nettsiden interagerte med produkter som kunne si noe om deres helse eller seksuelle forhold (for eksempel graviditetstester, klamydiatester eller nødprevensjon), utgjorde dette særlige kategorier personopplysninger. Apotekfordeg.no tilgjengeliggjorde disse opplysningene ulovlig for tredjeparter.
Nettstedet nhi.no publiserer artikler om ulike sykdommer, diagnoser og helsetilstander. Det kan være ulike grunner til at en person besøker denne typen nettsted. Samtidig er det en kjensgjerning at for enkelte besøkende vil besøkene deres over tid tegne et mønster – for eksempel hvis de leser om en gitt diagnose eller tett relaterte diagnoser gjentatte ganger – som kan si noe om deres helsetilstand eller seksuelle forhold. Derfor utgjør informasjon om besøk på nettstedet særlige kategorier personopplysninger, og nettstedet brøt loven da de tilgjengeliggjorde disse personopplysningene for tredjeparter uten gyldig samtykke.
Tilsvarende kom vi også frem til at besøksmønstre over tid på nettstedet bibel.no gjør det mulig å indirekte utlede personopplysninger om kristen tro, blant annet fordi dette er et nettsted som publiserer kristne tekster og tar imot donasjoner til Det norske bibelselskap. Derfor skulle ikke opplysninger om enkeltpersoners besøk på nettstedet vært tilgjengeliggjort for andre uten samtykke.
Andre beskyttelsesverdige personopplysninger
Merk at det også finnes flere former for beskyttelsesverdig personopplysninger enn de som er definert som særlige kategorier personopplysninger. Et eksempel på dette er opplysninger om privatøkonomi. Det kan være like problematisk dersom denne typen personopplysninger kommer på avveier.
Du som tar i bruk sporingsverktøy har ansvar for å beskytte alle typer personopplysninger.
Grindr-saken
Grindr er en lokasjonsbasert datingapp som retter seg mot homofile og bifile menn, transpersoner og skeive. I 2020 klagde Forbrukerrådet Grindr inn til Datatilsynet. Bakgrunnen var at Grindr utleverte opplysninger om GPS-lokasjon, IP-adresse, mobiltelefonens annonserings-ID, alder og kjønn, i tillegg til at vedkommende er Grindr-bruker, til flere tredjeparter for markedsføringsformål. Med disse opplysningene kunne brukerne identifiseres, og tredjepartene kunne potensielt dele disse dataene videre.
Datatilsynet vurderte at opplysninger om at noen er en Grindr-bruker er en særlig kategori av personopplysninger, fordi det sterkt indikerer at de tilhører en seksuell minoritet. Også lokasjonsdata er sensitive og personlige, selv om de ikke er definert som særlige kategorier personopplysninger.
Datatilsynet konkluderte med at Grindr brøt personvernregelverket ved å utlevere personopplysninger om brukerne til tredjeparter for adferdsbasert markedsføring uten samtykke.
Spesielt om behandling av personopplysninger om barn
Et annet eksempel på beskyttelsesverdige personopplysninger er personopplysninger om barn.
I sporingstilsynet så vi at nettstedet 116111.no tilgjengeliggjorde personopplysninger om barn i vanskelige situasjoner for tredjeparter. Nettstedet ifengsel.no tilgjengeliggjorde personopplysninger om barn med foreldre i fengsel. I begge tilfellene er det snakk om personopplysninger som krever særskilt vern selv om de ikke er definert som særlige kategorier personopplysninger. Derfor var det også veldig alvorlig at disse opplysningene ble tilgjengeliggjort for tredjeparter uten gyldig samtykke.
Barn er særlig sårbare på nett. De har ikke nødvendigvis forutsetninger for å forstå hva sporing og profilering innebærer for dem, og det kan være vanskeligere for barn å beskytte seg mot dette. Derfor har barn et særlig krav på beskyttelse, og personopplysningene deres bør ivaretas tilsvarende.
Som hovedregel bør ikke barns personopplysninger behandles for markedsføringsformål.