Du som tilbyr digitale tjenester til forbrukere, må sette deg inn i begge disse regelverkene, fordi de innebærer viktige plikter for digitale tjenester som behandler forbrukeres personopplysninger.

Databaserte forretningsmodeller

Sosiale medier, mobilapper, søketjenester, nettaviser, personlige assistenter, GPS- og kartsystemer og en rekke andre tjenester blir i stadig større grad tilbudt uten at forbrukerne trenger å betale penger for å bruke dem. Digitale tjenester hvor forretningsmodellen helt eller delvis går ut på å tjene penger på forbrukeres data, har blitt vanlig i den digitale økonomien. Personopplysninger kan brukes for å bedre forstå forbrukeres interesser og handlingsmønster, og de har derfor kommersiell verdi.

Behandling av personopplysninger er imidlertid lovregulert. Både personvern- og forbrukervernlovgivningen setter grenser for hva som er lov.

Om veilederen

Veilederen er ment som en innføring. Det betyr at den ikke er uttømmende. Fokuset i denne veilederen er hvilken informasjon du må gi og hvilke personopplysninger du kan behandle. Mange relevante plikter, som for eksempel plikten til å ha innebygget personvern, plikten til å ha informasjonssikkerhet og plikten til å gjennomføre vurdering av personvernkonsekvenser, vil ikke utdypes her. Det er likevel viktig å sette seg inn i disse pliktene. Det finnes også flere unntak fra hovedreglene.

Du finner mye relevant veiledning ellers på disse nettsidene og på forbrukertilsynet.no. Når det gjelder forbrukervernreglene, er enkelte problemstillinger knyttet til behandling av personopplysninger fortsatt ikke rettslig avklart. Denne veilederen vil likevel gi uttrykk for Forbrukertilsynets foreløpige standpunkt i slike situasjoner.

Personvernreglene som omtales i veilederen, må følges av den som er behandlingsansvarlig, altså den som bestemmer formålet og midlene for behandling av personopplysninger. Forbrukervernreglene må følges av alle som markedsfører eller tilbyr tjenester overfor forbrukere. Brudd på personvernreglene kan også vektlegges når Forbrukertilsynet vurderer saker etter forbrukervernreglene. Derfor bør alle i verdikjeden ha et bevisst forhold til begge regelverk, uavhengig av om man bidrar direkte eller indirekte til noen av de forskjellige stadiene i kontakten med forbrukere.

Denne veilederen tar utgangspunkt i fire stadier – fra markedsføring til avslutning av et kundeforhold:

Personvernreglene har detaljerte krav som skal sørge for at forbrukerne er informert når deres personopplysninger behandles.

Denne informasjonen kan også være viktig for forbrukere når de skal bestemme seg for om de ønsker å bruke tjenesten din. Hvordan du behandler personopplysninger, kan være en så sentral del av tjenesten at forbrukerne må få de viktigste delene av denne informasjonen klart og tydelig allerede når du markedsfører tjenesten din. Da er det ikke nok at informasjonen finnes i avtalevilkårene eller personvernerklæringen som oppgis når man tar i bruk tjenesten.

Husk

• Du bør opplyse i markedsføringen dersom tjenesten din finansieres gjennom
  bruk av personopplysninger, slik at forbrukeren forstår forretningsmodellen din.
  - Et eksempel kan være at du bruker forbrukerens personopplysninger til å målrette markedsføring mot dem.
• Du bør gi klar beskjed i markedsføringen av tjenesten din dersom du behandler personopplysninger på en måte som kan ha stor innvirkning på forbrukerne, eller som vil kunne komme overraskende på.
  - Et eksempel kan være at en kartapp ved bruk lagrer posisjon for å utarbeide statistikk over trafikk og besøksstrømmer hos næringsdrivende, eller at en livsstils-app deler opplysninger om aktivitetsnivå med tredjeparter.
• Hvis forretningsmodellen din er å tjene penger på forbrukerens personopplysninger, bør du ikke markedsføre tjenesten som «gratis» uten at du samtidig gir tydelig informasjon om denne forretningsmodellen.
  - Et eksempel kan være at en sosiale medier-tjeneste ikke koster penger, men finansieres ved å bruke forbrukernes personopplysninger til å målrette markedsføring mot dem.
• Ikke markedsfør en funksjon eller egenskap ved tjenesten uten å opplyse om eventuelle personvernkonsekvenser.
  - Et eksempel kan være en tjeneste som gir bonus på visse kjøp, men forutsetter lagring av forbrukerens kjøpshistorikk.
• Ikke markedsfør tjenesten som «personvernvennlig» eller lignende uten å forklare forbrukeren hva du legger i dette. Slike påstander må kunne dokumenteres.

1. Behandlingsgrunnlag

Stort sett alle tjenester behandler opplysninger om brukerne sine. For å behandle personopplysninger må man ha et behandlingsgrunnlag etter personopplysningsloven.

Den behandlingsansvarlige må ha identifisert et passende behandlingsgrunnlag for hver enkelt behandling av personopplysninger til hvert enkelt formål, før opplysningene samles inn.

Det vil si at næringsdrivende ikke står fritt til å diktere hvordan personopplysninger skal behandles i avtalevilkårene sine. For digitale tjenester er det særlig fire behandlingsgrunnlag som er aktuelle: «nødvendig for å gjennomføre en avtale», «nødvendig for å oppfylle en rettslig forpliktelse», «interesseavveiing» eller «samtykke».

Dersom du deler personopplysninger med andre som ikke utelukkende behandler opplysningene på dine vegne, krever dette eget behandlingsgrunnlag for å være lovlig. Deling av personopplysninger med andre som bare behandler opplysningene på dine vegne, såkalte databehandlere, er underlagt egne regler. Les om databehandleravtale

Noen personopplysninger er så sensitive (særlige kategorier personopplysninger) at man vanligvis ikke har lov til å behandle dem med mindre det foreligger et eksplisitt samtykke. Dette gjelder for eksempel opplysninger om helse, etnisitet, religion, politisk standpunkt og seksuell orientering. Les mer om behandling av særlige kategorier personopplysninger

Nødvendig for å oppfylle en avtale

Dersom personopplysninger er objektivt nødvendig for å levere tjenesten din, kan «nødvendig for å oppfylle en avtale» være et passende grunnlag.
Behandling av personopplysninger som ikke er objektivt nødvendig for å levere tjenesten, men som er nødvendig for å oppnå virksomhetens forretningsmessige mål, kan imidlertid ikke baseres på «nødvendig for å oppfylle en avtale».

Selv om det står i vilkårene at en bestemt behandling av personopplysninger er en del av tjenesten, betyr heller ikke dette at behandlingen kan baseres på «nødvendig for å oppfylle en avtale», så lenge behandlingen ikke er faktisk og logisk nødvendig for å levere tjenesten.

Nødvendig for å oppfylle en rettslig forpliktelse

Dersom norsk lov pålegger deg å behandle personopplysninger, kan «nødvendig for å oppfylle en rettslig forpliktelse» være et passende grunnlag. Det kan for eksempel være nødvendig å lagre noen personopplysninger for å etterleve bokføringsplikten.

Interesseavveining

Det er lov å behandle personopplysninger dersom din virksomhets interesser veier tyngre enn forbrukerens interesser, rettigheter og friheter, herunder personvernet. Dersom inngrepet i personvernet derimot ikke står i forhold til interessen virksomheten din har i å behandle opplysningene, kan ikke behandlingen baseres på dette grunnlaget.

Samtykke

Behandlingen av personopplysninger kan baseres på samtykke. Et samtykke skal være forbrukerens informerte og frie valg. Dersom samtykke er det aktuelle grunnlaget, må du derfor sørge for at du ber om samtykke på riktig måte.

Det å inngå en avtale og det å gi samtykke til behandling av personopplysninger er to forskjellige ting. Likevel er ikke dette alltid like klart, hverken for næringsdrivende eller forbrukere. Formuleringer som «Ved å godta disse brukervilkårene samtykker du til at opplysningene dine brukes til …» er ikke uvanlige, men likevel ikke i tråd med loven. Det er derfor viktig å vite når man skal be om samtykke, og hvordan man skal gjøre det.

Husk:

• Sørg for at det er frivillig å samtykke. Forbrukeren skal ikke oppleve negative konsekvenser ved å svare nei.
  - For eksempel vil ikke et samtykke være frivillig dersom forbrukeren ikke kan benytte en tjeneste med mindre hun samtykker til sporing eller profilering for markedsføringsformål.
• Sørg for at samtykket er informert, slik at forbrukeren forstår hva det dreier seg om, og er i stand til å foreta et reelt valg. Forbrukeren må både vite hvilke opplysninger som behandles, og for hvilke formål.
• Sørg for at samtykket er spesifikt og at forbrukeren kan takke ja eller nei til hver enkelt behandling eller formål.
• Sørg for at forbrukeren må foreta en aktiv handling for å samtykke, for eksempel ved å klikke på en knapp eller huke av en boks, og at det ikke er tvil om at forbrukeren har ment å samtykke.
• Sørg for at samtykket kan dokumenteres.
• Sørg for at samtykket kan trekkes tilbake like lett som det var å gi det.
• Sørg for at samtykkeforespørselen ikke blandes sammen med annen informasjon.
• Sørg for at forespørselen om samtykke ikke er unødig forstyrrende for bruker opplevelsen.
• Ikke bland sammen avtalevilkår og forespørsel om samtykke.
• Ikke steng forbrukeren ute fra tjenesten hvis hun ikke samtykker til ting som ikke er objektivt nødvendig for tjenesten.
• Ikke be om samtykke til ulike ting samlet.
• Ikke bruk forhåndsutfylte bokser.
• Ikke gjør det unødvendig vanskelig eller tidkrevende å ikke gi samtykke, og ikke bruk lignende aggressive virkemidler for å påvirke eller presse forbrukeren til å gi samtykke.
  - Et eksempel kan være at forbrukeren må si nei til samme behandling gjentatte ganger eller gjennomføre flere ekstra operasjoner for å ikke gi samtykke.
• Ikke overdriv negative konsekvenser for forbrukeren dersom hun ikke gir samtykke til behandling av personopplysninger.

2. Avtalevilkår og personvernerklæring

Avtalevilkår er en kontrakt som regulerer rettigheter og plikter mellom deg og brukerne dine. Du må sørge for at den beskriver tjenesten du tilbyr, og forholdet mellom deg, tjenesten din og brukerne. Det finnes lovbestemte krav til hva som kan stå i avtalen. Vilkårene må være klare, slik at forbrukere kan sette seg inn i og forstå hva avtalen innebærer for dem – også når det gjelder behandling av personopplysningene deres. I tillegg må avtalevilkårene være balanserte og ikke favorisere deg på en måte som går ut over forbrukerens rettigheter.
Se Forbrukertilsynets veileder om avtalevilkår for digitale tjenester for mer informasjon

Personvernerklæringen har et annet formål enn avtalevilkårene og skal i stedet gi informasjon om hva tjenesten gjør med personopplysninger, i tråd med kravene i personopplysningsloven. Denne informasjonen skal gis senest når tjenesten begynner å samle inn personopplysninger, og den må gis separat fra avtalevilkårene og uavhengig av hvilket behandlingsgrunnlag som er valgt. Informasjonen skal blant annet inneholde hvilke opplysninger som brukes til hvilke formål, hva behandlingsgrunnlaget er, og hvilke rettigheter forbrukeren har.

Husk:

• Skriv avtalevilkårene og personvernerklæringen på en enkel og forståelig måte. Det betyr at du bør unngå å bruke tungt juridisk språk eller faglige uttrykk som ikke brukes i dagligtalen.
• Sørg for at avtalevilkårene er lett tilgjengelige, både når avtalen inngås og hvis forbrukeren vil lese dem senere. Forbrukeren skal også ha mulighet til å lagre avtalevilkårene. Tilsvarende skal også personvernerklæringen og informasjon om behandling av personopplysninger være tilgjengelig både når tjenesten samler inn opplysninger og i etterkant.
• Pass på at den viktigste informasjonen for forbrukeren fremheves i avtalevilkårene og personvernerklæringen, og at de ikke blir gjemt bort i all den andre informasjonen. Det kan være lurt å presentere en oppsummering av den viktigste informasjonen øverst i teksten og bruke formatering, overskrifter og innholdsfortegnelse dersom dette gjør vilkårene mer oversiktlige.
• Personvernerklæringen skal være separat fra avtalevilkårene. Sett deg inn i hva den må inneholde her. Det kan det være lurt å gi informasjonen lagvis, slik at man kan klikke seg videre for å lese mer utfyllende detaljer. Da ivaretar man lovens krav om at informasjonen skal være både dekkende og kortfattet, og det er lettere å fremheve informasjon som er viktig for forbrukeren.
• Klargjør i vilkårene hvilke rettigheter forbrukeren har dersom personvernet for tjenesten ikke er i henhold til avtalen. Hvis forbrukeren har betalt for tjenesten, bør hun kunne kreve retting, prisavslag, heving og eventuell erstatning for økonomisk tap, slik hun kan hvis det er andre mangler ved tjenester.
• Dersom forretningsmodellen din helt eller delvis er å tjene penger på brukernes personopplysninger, bør du sørge for at det kommer klart frem av vilkårene dine.
• Ikke gjør vilkårene lengre enn de må være. Vilkår som er veldig lange, blir fort uoversiktlige. Dette gjør det vanskeligere for forbrukeren å sette seg inn i avtalevilkårene og forstå hva de betyr.
• Ikke fraskriv deg ansvar for tredjeparters behandling av personopplysninger som du har delt med dem. Du bør ha et veldig bevisst forhold til hvem du eventuelt deler personopplysninger med.

For at du skal kunne bruke opplysninger om kundene dine til profilering eller markedsføring, må du ha et behandlingsgrunnlag, se ovenfor. Dette kan for eksempel være gyldig samtykke eller, hvis det er snakk om enkle profiler som alder og bostedsfylke, en interesseavveiing avhengig av de konkrete omstendighetene og interessene. Profilering for markedsføringsformål kan som hovedregel ikke baseres på «nødvendig for å gjennomføre en avtale». Du trenger også gyldig behandlingsgrunnlag dersom du får opplysningene fra en tredjepart, eller dersom noen andre hjelper deg med profileringen eller markedsføringen.

Samtidig må du huske å informere forbrukerne på en åpen måte om at du vil bruke
opplysningene deres til profilering eller markedsføring, se ovenfor.

Informasjonskapsler (cookies) og tilsvarende teknologier brukes ofte for å samle opplysninger til bruk i profilering av markedsføring.

Informasjonskapsler reguleres av ekomloven, og her er det Nasjonal kommunikasjonsmyndighet (NKOM) som er kompetent fagmyndighet.
Les mer om informasjonskapsler/cookies (nkom.no)

Dersom det samles inn personopplysninger gjennom informasjonskapsler, gjelder personopplysningsloven i tillegg til ekomloven, og denne veiledningen vil gjelde fullt ut.

Hvis du bruker personopplysninger for å målrette markedsføring, må du som næringsdrivende være bevisst på hvilke data du kan samle inn, hva som er legitime teknikker for overbevisning gjennom reklame, og når man nærmer seg grensen for urimelig og ulovlig påvirkning eller press. Dette gjelder uavhengig av hvilken teknologi man bruker for å målrette reklamen, og uavhengig av om man bruker personopplysninger eller korrekt anonymiserte datasett.

I tillegg gjelder det egne krav i markedsføringsloven dersom markedsføring sendes til forbrukeren i kanaler som tillater individuell elektronisk kommunikasjon, for eksempel e-post og SMS.
Les mer om dette i Forbrukertilsynets veileder om markedsføring via e-post, SMS og lignende

Husk:

• Pass på at du har tilstrekkelig behandlingsgrunnlag for å bruke person- opplysninger til målrettet markedsføring.
• Pass på å informere forbrukeren godt nok om at personopplysninger samles inn og brukes til markedsføring. I mange tilfeller kan dette være uventet for forbrukeren, og da må denne informasjonen fremheves.
• Informer på en forståelig måte i markedsføringen om hvordan du har behandlet personopplysningene til forbrukeren for å målrette budskapet til henne.
• Forbrukeren kan når som helst velge at personopplysningene hennes ikke skal brukes til direkte eller målrettet markedsføring. Du må informere om denne rettigheten på en klar måte, adskilt fra annen informasjon og senest når opplysningene samles inn.
• Ikke gjenbruk personopplysninger som er innhentet for et helt annet formål, til profilering eller målrettet markedsføring, med mindre du får et gyldig samtykke til slik gjenbruk.
• Unngå profilering eller målretting som inneholder, forutser eller utleder særlige kategorier personopplysninger, for eksempel opplysninger om helse, politisk ståsted, etnisitet, religion eller seksuell orientering.
• Ikke bruk personopplysninger eller annen data om sårbarheter eller uheldige hendelser og omstendigheter for å målrette markedsføring.
  - Eksempler på dette kan være opplysninger om at, eller som utleder at, forbrukeren har familieproblemer, lav selvtillit, nylig hatt samlivsbrudd, eller historikk med spilling, overforbruk og betalingsproblemer.

Dataportabilitet

Gjennom retten til dataportabilitet har forbrukere rett til å få utlevert opplysninger om seg selv som de selv har gitt til tjenesten din. Retten til dataportabilitet skal gjøre det enklere for forbrukeren å bytte eller bruke flere tjenesteleverandører samtidig, og dermed forhindre at forbrukere låses til en tjeneste eller tilbyder.

Retten til dataportabilitet gjelder kun opplysninger du har behandlet på bakgrunn av samtykke eller at de var «nødvendig for å gjennomføre en avtale». Videre må det være snakk om data som forbrukeren aktivt har gitt til tjenesten, eller rådata om observert aktivitet, slik som logger og historikk. Retten gjelder ikke bearbeidede data, slik som dine egne analyser og profiler.

Husk:

• Informer om retten til dataportabilitet på en kortfattet, lett forståelig og lett tilgjengelig måte.
• Legg til rette for at forbrukeren kan bruke retten til dataportabilitet på en enkel måte.
  - For eksempel bør det legges til rette for at slike henvendelser kan gjøres
  elektronisk.
• Hvis vilkårene om dataportabilitet er oppfylt, må du utlevere opplysningene så raskt som mulig, og normalt senest innen én måned. Dersom vilkårene ikke er oppfylt, må du si fra om dette innen den samme tidsfristen.
• Utlever opplysningene i et strukturert, alminnelig anvendt og maskinlesbart format, slik at disse kan overføres til en annen tjenesteleverandør.
• Gi begrunnelse dersom du gir avslag på anmodning om dataportabilitet, og gi samtidig informasjon om retten til å klage avslaget inn for Datatilsynet.
• Ikke ta gebyr for å imøtekomme kravet om dataportabilitet.
• Ikke oversend opplysningene ukryptert, for eksempel via en ukryptert e-post.

Sletting av personopplysninger

Tjenesten din har plikt til å legge til rette for at forbrukere får ivaretatt sine rettigheter, slik som retten til sletting. Du har imidlertid også plikt til å vurdere sletting av eget tiltak. Hvis avtaleforholdet med forbrukeren avsluttes, vil det normalt ikke lenger være grunnlag for eller nødvendig å behandle personopplysningene til forbrukeren – avtalen er avsluttet, og formålet med opplysningene er oppnådd.

Det er forbudt å oppbevare personopplysninger lengre enn det som er nødvendig for formålet de ble samlet inn for. Det vil si at når formålet er nådd, skal opplysningene slettes, selv om forbrukeren ikke har bedt om det. I noen tilfeller kan man imidlertid ha plikt til å ta vare på opplysningene i lengre tid, for eksempel etter bokførings- loven.

Husk:

• Informer om retten til sletting på en kortfattet, lett forståelig og lett tilgjengelig måte.
• Sørg for å ha systemer og rutiner som sikrer at virksomheten din på eget tiltak gjennomfører fortløpende sletting dersom personopplysningene ikke lenger er nødvendige å behandle.
• Slett opplysningene av eget tiltak dersom behandlingen er basert på samtykke og forbrukeren trekker tilbake samtykket sitt, eller dersom behand- lingen er basert på avtale og avtalen avsluttes, med mindre opplysningene samtidig behandles for andre formål basert på andre behandlingsgrunnlag.
• Legg til rette for at forbrukeren kan bruke retten til sletting på en enkel måte.
  - For eksempel bør det legges til rette for at slike henvendelser kan gjøres
  elektronisk.
• Hvis vilkårene for sletting er oppfylt, må du slette opplysningene så raskt som mulig, og normalt innen én måned. Dersom vilkårene ikke er oppfylt, må du si fra om dette innen den samme tidsfristen.
• Gi begrunnelse dersom du gir avslag på anmodning om sletting, og gi samtidig informasjon om retten til å klage avslaget inn for Datatilsynet.
• Ikke ta gebyr for å slette personopplysninger om forbrukere.

Barn er mindre bevisste på hva behandling av personopplysninger innebærer, hvilken risiko det kan medføre, og hvilke rettigheter de har. Dessuten har de mindre erfaring, er mer påvirkelige og er lettere å manipulere med kommersielle budskap. Det er veldig viktig at tjenester som retter seg mot unge, tenker ekstra nøye gjennom hvilke data de samler inn, hvordan dataene brukes, hvordan dataene beskyttes, og hvordan tjenestene kan gi informasjon som er forståelig for alle.

Dersom barn og unge profileres og blir satt i bås, kan det gå ut over muligheten til fritt å utvikle sin egen unike identitet. Profilering av barn for markedsføringsformål bør normalt unngås.

Husk:

• Tilrettelegg informasjonen der du ber om samtykke til å behandle personopplysninger fra barn og unge, slik at alle kan forstå den.
• For informasjonssamfunnstjenester, slik som de fleste nettjenester og apper, må foreldre samtykke til behandling av personopplysninger på vegne av barn under 13 år. Ellers er aldersgrensen normalt 15 år for at barn kan samtykke til behandling av egne personopplysninger. For sensitive personopplysninger,
  slik som opplysninger om helse, politisk ståsted, etnisitet, religion eller seksuell
  orientering, er aldersgrensen likevel alltid 18 år.
• Ikke profiler barn for markedsføringsformål.
• Ikke ta med direkte oppfordringer til barn om å kjøpe noe eller overtale foreldrene sine til det.

Forbrukervernlovgivningen

Forbrukertilsynet skal søke å påvirke næringsdrivende til å innrette seg etter markedsføringsloven, angrerettloven og annet regelverk som Forbrukertilsynet fører tilsyn med. Ved brudd på markedsføringsloven eller annen forbrukervernlovgivning, kan Forbrukertilsynet fatte vedtak om forbud (§ 40), påbud (§ 41), tvangsmulkt (§ 42) og i visse tilfeller overtredelsesgebyr (§ 43), jf. mfl. § 39. Forbrukertilsynets vedtak kan klages inn for Markedsrådet (§ 37).

Vedtak kan også rettes mot personer eller selskaper som medvirker til lovbrudd (§ 39 annet ledd).

Personvernlovgivningen

Datatilsynet er tilsynsmyndighet etter personopplysningsloven, og har derfor mulighet til å be om all informasjon tilsynet trenger for å kontrollere at loven etterleves.

Dersom reglene i personopplysningsloven brytes, kan Datatilsynet gi advarsler, fatte pålegg, utstede reprimander, stoppe behandlingen av personopplysninger eller ilegge overtredelsesgebyr. Dette følger av personvernforordningen artikkel 58, jf. personopplysningsloven § 1. Dersom Datatilsynets vedtak ikke følges, kan tilsynet dessuten ilegge tvangsmulkt etter personopplysningsloven § 29.

Avhengig av sakens omstendigheter og hvilke regler som er brutt, kan Datatilsynet ilegge overtredelsesgebyr på opptil 20 000 000 euro eller 4 % av den samlede globale årsomsetningen i forutgående regnskapsår. Det følger av personvernforordningen artikkel 83, jf. personopplysningsloven § 1.

I saker som påvirker forbrukere i flere EØS-land, finnes det egne regler om hvordan datatilsynsmyndighetene i de ulike landene skal samarbeide i sin tilsynsvirksomhet.