1. Behandlingsgrunnlag
Stort sett alle tjenester behandler opplysninger om brukerne sine. For å behandle personopplysninger må man ha et behandlingsgrunnlag etter personopplysningsloven.
Reglene om behandlingsgrunnlag følger av personvernforordningen artikkel 5 nr. 1 bokstav a og artikkel 6, jf. pol. § 1.
Artikkel 4 (11), 7, 8 og fortalepunkt 32 definerer hva som er et gyldig samtykke.
Reglene om databehandlere følger særlig av artikkel 28 og 29.
Forbudet mot å behandle «sensitive» personopplysninger, samt unntak fra forbudet, følger av artikkel 9.
Den behandlingsansvarlige må ha identifisert et passende behandlingsgrunnlag for hver enkelt behandling av personopplysninger til hvert enkelt formål, før opplysningene samles inn.
Det vil si at næringsdrivende ikke står fritt til å diktere hvordan personopplysninger skal behandles i avtalevilkårene sine. For digitale tjenester er det særlig fire behandlingsgrunnlag som er aktuelle: «nødvendig for å gjennomføre en avtale», «nødvendig for å oppfylle en rettslig forpliktelse», «interesseavveiing» eller «samtykke».
Dersom du deler personopplysninger med andre som ikke utelukkende behandler opplysningene på dine vegne, krever dette eget behandlingsgrunnlag for å være lovlig. Deling av personopplysninger med andre som bare behandler opplysningene på dine vegne, såkalte databehandlere, er underlagt egne regler. Les om databehandleravtale
Noen personopplysninger er så sensitive (særlige kategorier personopplysninger) at man vanligvis ikke har lov til å behandle dem med mindre det foreligger et eksplisitt samtykke. Dette gjelder for eksempel opplysninger om helse, etnisitet, religion, politisk standpunkt og seksuell orientering. Les mer om behandling av særlige kategorier personopplysninger
Merk!
Dersom personopplysninger ikke er nødvendige for å oppnå formålet, sier dataminimalitetsprinsippet at det ikke er lov å samle dem inn.
Standardinnstillingene for en tjeneste kan ha stor innvirkning på hvordan den blir brukt, og hvilke personopplysninger som behandles. Standardinnstillingene skal være de mest personvernvennlige, i tråd med personvernprinsippene.
Nødvendig for å oppfylle en avtale
Dersom personopplysninger er objektivt nødvendig for å levere tjenesten din, kan «nødvendig for å oppfylle en avtale» være et passende grunnlag.
Behandling av personopplysninger som ikke er objektivt nødvendig for å levere tjenesten, men som er nødvendig for å oppnå virksomhetens forretningsmessige mål, kan imidlertid ikke baseres på «nødvendig for å oppfylle en avtale».
Selv om det står i vilkårene at en bestemt behandling av personopplysninger er en del av tjenesten, betyr heller ikke dette at behandlingen kan baseres på «nødvendig for å oppfylle en avtale», så lenge behandlingen ikke er faktisk og logisk nødvendig for å levere tjenesten.
Eksempel
Leveringsadresse er nødvendig når man bestiller varer på nett, mens bruk av personopplysninger for å lage personprofiler eller datamodeller ikke er nødvendig for å levere en kommunikasjonstjeneste. Behandling av personopplysninger for å forbedre en tjeneste eller utvikle nye funksjoner kan normalt ikke baseres på «nødvendig for å oppfylle en avtale».
Nødvendig for å oppfylle en rettslig forpliktelse
Dersom norsk lov pålegger deg å behandle personopplysninger, kan «nødvendig for å oppfylle en rettslig forpliktelse» være et passende grunnlag. Det kan for eksempel være nødvendig å lagre noen personopplysninger for å etterleve bokføringsplikten.
Interesseavveining
Det er lov å behandle personopplysninger dersom din virksomhets interesser veier tyngre enn forbrukerens interesser, rettigheter og friheter, herunder personvernet. Dersom inngrepet i personvernet derimot ikke står i forhold til interessen virksomheten din har i å behandle opplysningene, kan ikke behandlingen baseres på dette grunnlaget.
Eksempel
En interesseavveiing kan være et passende grunnlag for at tjenesten måler hvor ofte forbrukere bruker tjenesten, slik at virksomheten kan føre intern statistikk og forbedre tjenesten. På den annen side kan ikke en interesseavveiing forsvare aggressiv og inngående sporing eller profilering for markedsføringsformål, da vil personvernet veie tyngst.
Samtykke
Behandlingen av personopplysninger kan baseres på samtykke. Et samtykke skal være forbrukerens informerte og frie valg. Dersom samtykke er det aktuelle grunnlaget, må du derfor sørge for at du ber om samtykke på riktig måte.
Det å inngå en avtale og det å gi samtykke til behandling av personopplysninger er to forskjellige ting. Likevel er ikke dette alltid like klart, hverken for næringsdrivende eller forbrukere. Formuleringer som «Ved å godta disse brukervilkårene samtykker du til at opplysningene dine brukes til …» er ikke uvanlige, men likevel ikke i tråd med loven. Det er derfor viktig å vite når man skal be om samtykke, og hvordan man skal gjøre det.
Husk:
- Sørg for at det er frivillig å samtykke. Forbrukeren skal ikke oppleve negative konsekvenser ved å svare nei.
- For eksempel vil ikke et samtykke være frivillig dersom forbrukeren ikke kan benytte en tjeneste med mindre hun samtykker til sporing eller profilering for markedsføringsformål.
- Sørg for at samtykket er informert, slik at forbrukeren forstår hva det dreier seg om, og er i stand til å foreta et reelt valg. Forbrukeren må både vite hvilke opplysninger som behandles, og for hvilke formål.
- Sørg for at samtykket er spesifikt og at forbrukeren kan takke ja eller nei til hver enkelt behandling eller formål.
- Sørg for at forbrukeren må foreta en aktiv handling for å samtykke, for eksempel ved å klikke på en knapp eller huke av en boks, og at det ikke er tvil om at forbrukeren har ment å samtykke.
- Sørg for at samtykket kan dokumenteres.
- Sørg for at samtykket kan trekkes tilbake like lett som det var å gi det.
- Sørg for at samtykkeforespørselen ikke blandes sammen med annen informasjon.
- Sørg for at forespørselen om samtykke ikke er unødig forstyrrende for bruker opplevelsen.
- Ikke bland sammen avtalevilkår og forespørsel om samtykke.
- Ikke steng forbrukeren ute fra tjenesten hvis hun ikke samtykker til ting som ikke er objektivt nødvendig for tjenesten.
- Ikke be om samtykke til ulike ting samlet.
- Ikke bruk forhåndsutfylte bokser.
- Ikke gjør det unødvendig vanskelig eller tidkrevende å ikke gi samtykke, og ikke bruk lignende aggressive virkemidler for å påvirke eller presse forbrukeren til å gi samtykke.
- Et eksempel kan være at forbrukeren må si nei til samme behandling gjentatte ganger eller gjennomføre flere ekstra operasjoner for å ikke gi samtykke.
- Ikke overdriv negative konsekvenser for forbrukeren dersom hun ikke gir samtykke til behandling av personopplysninger.
2. Avtalevilkår og personvernerklæring
Avtalevilkår er en kontrakt som regulerer rettigheter og plikter mellom deg og brukerne dine. Du må sørge for at den beskriver tjenesten du tilbyr, og forholdet mellom deg, tjenesten din og brukerne. Det finnes lovbestemte krav til hva som kan stå i avtalen. Vilkårene må være klare, slik at forbrukere kan sette seg inn i og forstå hva avtalen innebærer for dem – også når det gjelder behandling av personopplysningene deres. I tillegg må avtalevilkårene være balanserte og ikke favorisere deg på en måte som går ut over forbrukerens rettigheter.
Se Forbrukertilsynets veileder om avtalevilkår for digitale tjenester for mer informasjon
Personvernerklæringen har et annet formål enn avtalevilkårene og skal i stedet gi informasjon om hva tjenesten gjør med personopplysninger, i tråd med kravene i personopplysningsloven. Denne informasjonen skal gis senest når tjenesten begynner å samle inn personopplysninger, og den må gis separat fra avtalevilkårene og uavhengig av hvilket behandlingsgrunnlag som er valgt. Informasjonen skal blant annet inneholde hvilke opplysninger som brukes til hvilke formål, hva behandlingsgrunnlaget er, og hvilke rettigheter forbrukeren har.
Plikten til å gi informasjon om behandling av personopplysninger følger av personvernforordningen artikkel 5 nr. 1 bokstav a og artikkel 12–14, jf. pol. § 1.
Forbrukertilsynet kan forby urimelige avtalevilkår etter markedsføringsloven § 22. I vurderingen av hva som er urimelig, skal det legges vekt på hensynet til balanse mellom partenes rettigheter og plikter og på hensynet til klarhet i kontraktsforhold.
Husk:
- Skriv avtalevilkårene og personvernerklæringen på en enkel og forståelig måte. Det betyr at du bør unngå å bruke tungt juridisk språk eller faglige uttrykk som ikke brukes i dagligtalen.
- Sørg for at avtalevilkårene er lett tilgjengelige, både når avtalen inngås og hvis forbrukeren vil lese dem senere. Forbrukeren skal også ha mulighet til å lagre avtalevilkårene. Tilsvarende skal også personvernerklæringen og informasjon om behandling av personopplysninger være tilgjengelig både når tjenesten samler inn opplysninger og i etterkant.
- Pass på at den viktigste informasjonen for forbrukeren fremheves i avtalevilkårene og personvernerklæringen, og at de ikke blir gjemt bort i all den andre informasjonen. Det kan være lurt å presentere en oppsummering av den viktigste informasjonen øverst i teksten og bruke formatering, overskrifter og innholdsfortegnelse dersom dette gjør vilkårene mer oversiktlige.
- Personvernerklæringen skal være separat fra avtalevilkårene. Sett deg inn i hva den må inneholde her. Det kan det være lurt å gi informasjonen lagvis, slik at man kan klikke seg videre for å lese mer utfyllende detaljer. Da ivaretar man lovens krav om at informasjonen skal være både dekkende og kortfattet, og det er lettere å fremheve informasjon som er viktig for forbrukeren.
- Klargjør i vilkårene hvilke rettigheter forbrukeren har dersom personvernet for tjenesten ikke er i henhold til avtalen. Hvis forbrukeren har betalt for tjenesten, bør hun kunne kreve retting, prisavslag, heving og eventuell erstatning for økonomisk tap, slik hun kan hvis det er andre mangler ved tjenester.
- Dersom forretningsmodellen din helt eller delvis er å tjene penger på brukernes personopplysninger, bør du sørge for at det kommer klart frem av vilkårene dine.
- Ikke gjør vilkårene lengre enn de må være. Vilkår som er veldig lange, blir fort uoversiktlige. Dette gjør det vanskeligere for forbrukeren å sette seg inn i avtalevilkårene og forstå hva de betyr.
- Ikke fraskriv deg ansvar for tredjeparters behandling av personopplysninger som du har delt med dem. Du bør ha et veldig bevisst forhold til hvem du eventuelt deler personopplysninger med.