Svenn Dybvik

Alla inlägg under juli 2023

:

Av Svenn Dybvik - 30 juli 2023 00:00

Rett til sletting

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-sletting/

I enkelte tilfeller kan du kreve at personopplysninger om deg slettes. Dette kalles noen ganger «retten til å bli glemt».

Med mindre et av unntakene gjelder (se lenger ned), kan du kreve sletting av opplysningene dine i følgende tilfeller:

Dersom du benytter deg av din rett til å protestere mot bruk av personopplysningene dine .
Dersom virksomheten behandler personopplysningene dine fordi du har gitt samtykke og du trekker tilbake samtykket.
Dersom du er mindreårig og har brukt en digital tjeneste, slik som sosiale medier.
Dersom det ikke lenger er nødvendig å beholde opplysningene dine – formålet med opplysningene er oppnådd.
Dersom opplysningene har blitt innhentet ulovlig.
Dersom virksomheten har sletteplikt etter loven.

Virksomheten skal gjennomføre sletting uten ugrunnet opphold og normalt senest innen én måned.

Sletting av søketreff i søkemotorer

Du kan også søke om sletting av søketreff som kommer opp når noen søker etter navnet ditt i søkemotorer slik som Google. Om du har rett til sletting, kommer an på en sammensatt vurdering. Les mer om hvordan du ber Google om sletting

Unntak

Retten til å kreve sletting gjelder ikke i følgene tilfeller:

Personopplysningene inngår i en ytring som er vernet av ytrings- og informasjonsfriheten.
Lagring er nødvendig for arkivering i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål. Unntaket gjelder bare dersom sletting i alvorlig grad vil hindre at målene nås. Videre sier personvernforordningen artikkel 89 at disse typene behandling av personopplysninger må ha tiltak og garantier for å vareta den enkeltes personvern.
Les mer om journalistiske, akademiske, kunstneriske og litterære formål
Virksomheten har lagringsplikt etter lov (for eksempel bokføringsplikt).
Lagring er nødvendig for visse typer bruk innen helsetjenesten (etter personvernforordningen artikkel 9).
Lagring er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Virksomheten har plikter dersom den har utlevert opplysninger

Dersom du har rett til sletting og virksomheten på et tidligere tidspunkt har utlevert opplysninger om deg til noen andre, har den normalt plikt til å si fra til mottakeren eller mottakerne om slettingen. Du har også rett til å få vite hvem som har mottatt opplysningene (artikkel 19).

Der opplysningene har blitt offentliggjort, skal virksomheten ta rimelige skritt for å informere andre som linker til eller har kopiert opplysningene, om at du har bedt om sletting.

Dine rettigheter

https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-3-3#gdpr/a17

Artikkel 17.Rett til sletting («rett til å bli glemt»)
1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende:
a. personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for,
b. den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), og det ikke finnes noe annet rettslig grunnlag for behandlingen,
c. den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 1, og det ikke finnes mer tungtveiende berettigede grunner til behandlingen, eller den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 2,
d. personopplysningene er blitt behandlet ulovlig,
e. personopplysningene må slettes for å oppfylle en rettslig forpliktelse i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt,
f. personopplysningene er blitt samlet inn i forbindelse med tilbud om informasjonssamfunnstjenester som nevnt i artikkel 8 nr. 1.
2. Dersom den behandlingsansvarlige har offentliggjort personopplysningene og i henhold til nr. 1 har plikt til å slette personopplysningene, skal vedkommende, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, treffe rimelige tiltak, herunder tekniske tiltak, for å underrette behandlingsansvarlige som behandler personopplysningene, om at den registrerte har anmodet om at nevnte behandlingsansvarlige skal slette alle lenker til, kopier eller reproduksjoner av nevnte personopplysninger.
3. Nr. 1 og 2 får ikke anvendelse dersom nevnte behandling er nødvendig
a. for å utøve retten til ytrings- og informasjonsfrihet,
b. for å oppfylle en rettslig forpliktelse som krever behandling i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,
c. av hensyn til allmennhetens interesse på området folkehelse i samsvar med artikkel 9 nr. 2 bokstav h) og i) og artikkel 9 nr. 3,
d. for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 i den grad rettigheten nevnt i nr. 1 sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås, eller
e. for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Artikkel 18.Rett til begrensning av behandling
1. Den registrerte skal ha rett til å kreve av den behandlingsansvarlige at behandlingen begrenses dersom et av de følgende forhold gjør seg gjeldende:
a. den registrerte bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for den behandlingsansvarlige å kontrollere riktigheten av personopplysningene,
b. behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses,
c. den behandlingsansvarlige ikke lenger trenger personopplysningene til formålet med behandlingen, men den registrerte har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav,
d. den registrerte har protestert mot behandling i henhold til artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt den behandlingsansvarliges berettigede grunner går foran den registrertes.
2. Dersom behandlingen er blitt begrenset i henhold til nr. 1, skal slike personopplysninger, bortsett fra lagring, bare behandles med den registrertes samtykke eller for å fastsette, gjøre gjeldende eller forsvare rettskrav eller for å verne en annen fysisk eller juridisk persons rettigheter eller av hensyn til viktige allmenne interesser i Unionen eller en medlemsstat.
3. En registrert som har oppnådd begrensning av behandlingen i henhold til nr. 1, skal underrettes av den behandlingsansvarlige før nevnte begrensning av behandlingen oppheves.
Artikkel 19.Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
Den behandlingsansvarlige skal underrette enhver mottaker som har fått utlevert personopplysninger, om enhver retting eller sletting av personopplysninger eller begrensning av behandlingen utført i samsvar med artikkel 16, artikkel 17 nr. 1 og artikkel 18, med mindre dette viser seg å være umulig eller innebærer en uforholdsmessig stor innsats. Den behandlingsansvarlige skal underrette den registrerte om nevnte mottakere dersom den registrerte anmoder om det.

Artikkel 20.Rett til dataportabilitet
1. Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette, dersom
a. behandlingen er basert på samtykke i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a) eller en avtale i henhold til artikkel 6 nr. 1 bokstav b), og
b. behandlingen utføres automatisk.
2. Når den registrerte utøver sin rett til dataportabilitet i henhold til nr. 1, skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen.
3. Utøvelse av rettigheten nevnt i nr. 1 i denne artikkel berører ikke artikkel 17. Nevnte rettighet får ikke anvendelse på behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
4. Rettigheten nevnt i nr. 1 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

Sletting av personopplysninger

Tjenesten din har plikt til å legge til rette for at forbrukere får ivaretatt sine rettigheter, slik som retten til sletting. Du har imidlertid også plikt til å vurdere sletting av eget tiltak. Hvis avtaleforholdet med forbrukeren avsluttes, vil det normalt ikke lenger være grunnlag for eller nødvendig å behandle personopplysningene til forbrukeren – avtalen er avsluttet, og formålet med opplysningene er oppnådd.

Det er forbudt å oppbevare personopplysninger lengre enn det som er nødvendig for formålet de ble samlet inn for. Det vil si at når formålet er nådd, skal opplysningene slettes, selv om forbrukeren ikke har bedt om det. I noen tilfeller kan man imidlertid ha plikt til å ta vare på opplysningene i lengre tid, for eksempel etter bokførings- loven.

Husk:

Informer om retten til sletting på en kortfattet, lett forståelig og lett tilgjengelig måte.
Sørg for å ha systemer og rutiner som sikrer at virksomheten din på eget tiltak gjennomfører fortløpende sletting dersom personopplysningene ikke lenger er nødvendige å behandle.
Slett opplysningene av eget tiltak dersom behandlingen er basert på samtykke og forbrukeren trekker tilbake samtykket sitt, eller dersom behand- lingen er basert på avtale og avtalen avsluttes, med mindre opplysningene samtidig behandles for andre formål basert på andre behandlingsgrunnlag.
Legg til rette for at forbrukeren kan bruke retten til sletting på en enkel måte.
- For eksempel bør det legges til rette for at slike henvendelser kan gjøres
elektronisk.
Hvis vilkårene for sletting er oppfylt, må du slette opplysningene så raskt som mulig, og normalt innen én måned. Dersom vilkårene ikke er oppfylt, må du si fra om dette innen den samme tidsfristen.
Gi begrunnelse dersom du gir avslag på anmodning om sletting, og gi samtidig informasjon om retten til å klage avslaget inn for Datatilsynet.
Ikke ta gebyr for å slette personopplysninger om forbrukere.

Regler om sletting følger av personvernforordningen artikkel 5 nr. 1 bokstav e, artikkel 17 og artikkel 25 nr. 2, jf. pol. § 1.

Reglene om hvordan rettigheter skal imøtekommes, herunder regler om tidsfrister og betaling, følger av artikkel 12.

https://lovdata.no/artikkel/fire_nye_avgjorelser_fra_datatilsynet_om_kameraovervakning/3400

Retten til privatliv og krav til berettiget interesse

Kameraovervåkning av det offentlige rom eller annens private eiendom vil som en hovedregel kunne utgjøre et brudd på den enkeltes rett til privatliv. I tillegg vil kameraovervåkning, eller deling av slike opptak, kunne involvere behandling av personopplysninger dersom kameraet fanger opp identifiserte eller identifiserbare personer. I slike tilfeller må den som overvåker ha et behandlingsgrunnlag i GDPR artikkel 6 for at behandlingen skal være lovlig. Dersom overvåkingen går ut på å samle inn sensitive personopplysninger, for eksempel ved at stedet man overvåker er uløselig knyttet til sensitive forhold, gjelder enda strengere regler.

Mest aktuelt i denne sammenhengen er berettiget interesse etter GDPR artikkel 6 nr. 1 bokstav f. Bestemmelsen gir rettslig grunnlag for å behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

Tre kumulative vilkår må være oppfylt. Kameraovervåkningen eller behandlingen av kameraopptak må for det første være for et formål knyttet til virksomhetens berettigede interesse. Videre må kameraovervåkingen være et nødvendig tiltak for å ivareta den berettigede interessen. Dette innebærer at det ikke må finnes andre mindre personverninngripende tiltak som kan oppnå det formålet. Til sist må det foretas en interesseavveining mellom virksomhetens berettigede interesser på den ene siden og hensynet til individenes rett til personvern på den andre.

Datatilsynet har hittil i år drøftet kravet til berettiget interesse i fire saker om kameraovervåkning. I alle sakene kom Datatilsynet til at det forelå brudd på GDPR.

https://lod.lovdata.no/journal/2023/1/m-1289/Deling_av_bilder_av_ansatte_–_krav_om_samtykke?

Deling av bilder av ansatte – krav om samtykke?

En arbeidsgiver vil kunne ha interesse av å dele bilder av sine ansatte i ulike sammenhenger, for eksempel publisering av bilder internt (typisk på selskapets intranett) og publisering i eksterne kanaler. For virksomheter som primært selger de ansattes kompetanse, slik som advokat- og konsulentselskaper, vil slik publisering være av særlig interesse.

Bildedeling reiser flere personvernrettslige problemstillinger. I denne artikkelen vil vi begrense oss til å se nærmere på et av de viktigste spørsmålene, nemlig behandlingsgrunnlag. GDPR oppstiller ulike behandlingsgrunnlag, som alle er likestilte. De mest aktuelle i denne sammenhengen er samtykke og berettiget interesse.

Datatilsynet: Utgangspunktet er samtykke

I Datatilsynets veiledning om deling av bilder fremgår det at man i utgangspunktet må be om samtykkefør publisering av bilder hvor en eller flere bestemte personer er hovedmotivet (såkalte portrettbilder).

Dette standpunktet gjelder tilsynelatende uavhengig av om bildet deles i en lukket gruppe (f.eks. på Facebook) eller om bildet gjøres åpent tilgjengelig på internett (f.eks. på virksomhetens hjemmeside eller via åpne grupper på sosiale medier).

https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/bilder-ansatte_nett/

Personvern på arbeidsplassen

Bilder av ansatte på inter- eller intranett

Arbeidsgiveren din skal i utgangspunktet be om ditt samtykke før det publiseres bilder av deg på virksomhetens nettsider. Dette gjelder både når nettsidene det er snakk om er åpne (internett) eller interne i virksomheten (intranett).

Portrettbilder

Når hovedmotivet i et bilde er en eller flere personer, defineres det som et portrettbilde. Arbeidsgiveren må som regel hente inn samtykke fra de ansatte hvis det skal publiseres portrettbilder av dem på internett eller intranett, for eksempel i forbindelse med en telefonliste.

Situasjonsbilder

Situasjonsbilder fra arrangementer i regi av arbeidsgiver, og som ikke er et portrett, kan derimot legges på virksomhetens intranett uten samtykke fra de ansatte. Eksempler på situasjonsbilder er bilder fra julebord eller bedriftsidrettsdag. Dette gjelder ikke dersom arbeidsgiver har grunn til å tro at de som er på bildene ikke vil ønske at bildene blir publisert. Arbeidsgiver skal også ta bort bildene dersom de som er avbildet ber om det.

Som hovedregel bør derfor arbeidsgiveren alltid be om samtykke fra de ansatte til publisering av bilder der de ansatte blir identifisert.

Les mer om bilder på nett i vår generelle veiledning

Les mer

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/

Utestengt fra brukerkontoen din?

Mange sender klage til Datatilsynet fordi brukerkontoen deres, for eksempel på sosiale medier, har blitt blokkert av en eller annen – noen ganger ukjent – grunn. Dersom du opplever dette, bør du lese dette først.

Vanligvis er kontoer blokkert fordi brukeren er mistenkt for å ha brutt vilkårene til tjenesten – altså ha gjort noe som bryter med tjenestens retningslinjer. Vilkårene er en del av avtalen mellom brukeren og tjenesten.

Datatilsynet har ikke myndighet til å avgjøre om en slik utestengelse er riktig eller lovlig. Vi kan heller ikke beordre en tjeneste til å oppheve blokkeringen og gjenåpne en bestemt konto.

Mulige personvernproblemstillinger

I saker der en brukerkonto har blitt blokkert, kan det imidlertid oppstå personvernutfordringer. Her er noen typiske problemstillinger:

Selv om brukerkontoen har blitt blokkert, har du i utgangspunktet fortsatt rett til innsyn i dine egne personopplysninger. Det inkluderer i prinsippet også vurderinger om hvorfor du har blitt utestengt.

Merk at innsynsretten ikke er absolutt – det finnes en rekke unntak, for eksempel at innsynsretten må balanseres opp mot andres rettigheter. Dersom du blir nektet innsyn, skal du få en begrunnelse med henvisning til et av unntakene.

Dersom du ikke får svar på forespørselen om innsyn innen én måned, eller dersom tjenesten avslår innsyn uten å gi en korrekt begrunnelse, kan det være et brudd på reglene, og saken kan klages inn til oss.
Selv om en brukerkonto har blitt blokkert, har du i flere tilfeller rett til sletting av personopplysningene dine.

Vær oppmerksom på at du ikke har rett til sletting i alle tilfeller. For eksempel er det ingen rett til å få opplysninger slettet hvis videre lagring er nødvendig av hensyn til tjenestens juridiske forpliktelser, eller hvis personopplysningene er nødvendige for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Likevel, når du ber om sletting, må tjenesten gi informasjon om hva de har gjort for å møte forespørselen. Dersom tjenesten ikke sletter personopplysningene, må den gi en begrunnelse og vise hvilket unntak den har basert avslaget på.

Dersom du ikke får svar på forespørselen innen én måned, eller dersom tjenesten avslår slettingen uten å gi en korrekt begrunnelse, kan dette være et brudd på reglene som kan klages inn til oss.
Selv om en brukerkonto har blitt blokkert, har du rett til retting dersom du mener at personopplysningene dine i tjenesten er uriktige. Dette kan spesielt være aktuelt hvis du, gjennom en innsynsbegjæring, finner ut at du har blitt utestengt på uriktig grunnlag. Det kan også være aktuelt dersom brukerkontoen din er knyttet til feil e-postadresse eller telefonnummer.

Merk at dette ikke gjelder der tjenesten har basert vurderingen på riktige fakta, men der du er uenig i reaksjonen.

Som for de andre rettighetene, må tjenesten normalt svare på retteforespørselen innen én måned, og dersom forespørselen ikke blir besvart, skal du ha en begrunnelse med et unntak i loven. Hvis ikke disse reglene følges, kan du klage til Datatilsynet.
Beslutningen om å blokkere en konto, kan være basert en helautomatisk avgjørelse, noe som betyr at ingen mennesker har vært involvert i avgjørelsen. I dette tilfellet har du i det minste rett til å få en menneskelig vurdering. Tjenesten må altså tilby en mulighet til å få avgjørelsen om utestengelse gjennomgått av en person.

Som ellers skal du normalt få svar innen én måned, og eventuelle avslag skal begrunnes. Hvis ikke kan du klage til oss.
Tjenesten skal legge til rette for at du kan utøve personvernrettighetene dine. Det betyr at tjenesten må oppgi et kontaktpunkt for hvor du kan henvende deg, for eksempel en e-postadresse eller et kontaktskjema, og det skal være enkelt for en normal brukere å finne frem.

Ofte kan er det lagt opp til at man kan utøve rettighetene sine når man er inne på brukerkontoen sin. Hvis du er utestengt fra brukerkontoen, må tjenesten tilby en annen måte du kan komme i kontakt med dem på.

Hvis du ikke finner et kontaktpunkt, kan dette være et brudd på personvernreglene, og det kan være noe du kan klage til oss på.

Vær oppmerksom på at informasjonen over er generell veiledning om personvernspørsmål i sammenheng med utestengelse fra brukerkontoer på nettjenester. Å avgjøre om et brudd på personvernlovgivningen faktisk har skjedd, krever en grundig vurdering av fakta i hver enkelt sak.

Hvis du sender inn en klage til oss, vennligst oppgi følgende:

Hvilke(n) av rettighetene ovenfor gjelder klagen din?
Gi en detaljert beskrivelse av hva som har skjedd.
Legg ved kopi av kommunikasjonen du har hatt med tjenesten om personvernrettighetene dine.

Dersom du ikke oppgir denne informasjonen, kan saken din bli forsinket eller avvist. Igjen minner vi om at Datatilsynet ikke kan hjelpe deg med selve utestengelsen.

Dersom du vil sende klage

Vanligvis krever det internasjonalt samarbeid å behandle saker om nettjenester. Det betyr at dersom du klager til oss, vil den mest sannsynlig bli videresendt til en annen datatilsynsmyndighet i EØS, men Datatilsynet i Norge vil fortsatt være kontaktpunktet ditt under hele saksbehandlingen.

Vær også oppmerksom på at disse rettighetene gjelder fysiske personer. Juridiske personer eller offentlige organer som har brukerkontoer på sosiale medier eller liknende, har ikke rettigheter etter personvernforordningen og kan dermed ikke sende inn klage til oss.

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/personvern-i-sosiale-nettsamfunn/

Personvern i sosiale medier

Ulike sosiale nettsamfunn har system som skal gi deg som bruker kontroll over hva du vil dele med andre. Du bør tenke gjennom hvilke opplysninger som er private og hvilke du vil dele.

Råd om sosiale medier og personvern

Undersøk om nettsamfunnet har en personvernerklæring. Gå gjennom den.
Sett deg inn i avkrysningsvalg du har for å beskytte dine opplysninger. Ta deg tid til å teste ut hvordan de ulike profilinnstillingene virker i praksis.
Gi ikke fra deg hele e-postadresseboka til aktørene bak nettsamfunnet, og i alle fall ikke passordet til din e-postkonto.
Benytt en e-postadresse du uten større bryderi kan erstatte dersom du senere skulle oppleve å bli utsatt for spam, eller andre uønskede henvendelser via e-post.
Du er selv ansvarlig for all informasjon du legger ut på profilen din. Legg ikke ut bilder eller personopplysninger om andre uten først å ha spurt dem om lov.
Vær forsiktig med å legge ut opplysninger om politisk oppfatning, tro og seksuell legning om andre. Dette er i norsk og europeisk personvernlovgivning regnet som sensitive personopplysninger.
Det du ikke ville sagt om deg selv eller andre i en større forsamling av kjente og ukjente personer, bør du heller ikke publisere på Internett. Opplysninger du gir i ”fortrolighet” til venner på din profil, kan lett bli klippet ut og benyttet i helt andre sammenhenger.
Sjekk om de som står bak nettsamfunnet kan bistå deg med å få fjernet krenkende bilder og personopplysninger. Bruk muligheten om du finner åpenbart krenkende og sjikanerende innhold. Dersom innholdet er så ekstremt at det må fjernes raskt bør du kontakte politiet på hjemstedet ditt.
Les mer om uønskede hendelser og hvordan du kan gå frem dersom du opplever dette på dubestemmer.no, en nettside primært for barn og unge, men med mange gode tips.

Sjikane, trusler og spredning av andres personopplysninger på Internett kan være straffbart. Straffeloven, åndsverksloven og personopplysningsloven, er tre lover som regulerer disse forholdene.

Det kan også være lurt å reflektere over følgende:

Selv om aktørene bak nettsamfunnet tilsynelatende har en god personvernpolicy vet du egentlig ingenting om dem og deres intensjoner i dag, eller i fremtiden. Nettsteder forandrer seg hele tiden, og kan få ny funksjonalitet, finne nye markedsmuligheter eller få nye eiere. Facebook forbeholder seg retten til å endre vilkår og personvernpolicy når som helst. Se derfor for deg muligheten for at de personopplysningene du har lagt ut kan bli utlevert og benyttet til helt andre formål, uten at du kan gjøre noe for å forhindre det.
Er det uproblematisk at aktøren bak nettsamfunnet samler inn informasjon om deg også fra andre nettsteder, blogger, chattelinjer, andre brukere og lignende slik enkelte aktører ønsker?
Du må regne med at eierne av nettsamfunnet lagrer all informasjon om deg i ubestemt tid, også etter at du har slettet profilen din.
Husk at det blir dannet detaljerte profiler som sier svært mye om deg og dine venners interesser og adferd, og ikke minst også relasjonene dere i mellom. Dette er informasjon som kan være svært interessant for kommersielle aktører, ”stalkers”, kriminelle og andre.
Tåler alt innholdet som du legger ut i profilen din å bli sett av skolens ledelse, arbeidsgiver, politiet eller fremmede personer? Husk at bilder og personopplysningene du legger ut lett kan klippes ut og bli sett av andre langt utenfor din nære vennekrets.
Vær forberedt på at det du legger ut av kommentarer og synspunkter i prinsippet blir liggende tilgjengelig på Internett for alltid, også etter at du selv kanskje har endret dine oppfatninger og ståsted.

https://www.datatilsynet.no/om-datatilsynet/arsmeldinger/arsrapport-for-2022/

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 23 juli 2023 00:00

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-innsyn/

Lurer du på hvorfor en privat eller offentlig virksomhet behandler personopplysningene dine eller hvilke opplysninger de har lagret om deg? Da kan du benytte deg av innsynsretten din.

Rett til innsyn - artikkel 15

Dette kan du be om

Dersom virksomheten har samlet inn og bruker opplysninger om deg, har du rett til å stille endel spørsmål:

Hva er formålet?
Hvilke opplysninger om deg har virksomheten lagret?
Har eller vil virksomheten utlevere opplysningene, og hvem er i så fall mottakerne? Dersom mottakerne er utenfor EØS eller en internasjonal organisasjon, hvilke garantier finnes for personvernet?
Hvor lenge lagrer virksomheten opplysningene? Eller dersom det ikke er mulig å komme med en endelig lagringstid, hva er det som avgjør hvor lenge opplysningene vil lagres?
I hvilken grad har du rett til retting, sletting, avgrensning eller til å protestere mot behandlingen?
Hvor har virksomheten hentet opplysningene fra?
Tar virksomheten automatiserte individuelle avgjørelser? Og i så fall, hvilken logikk ligger bak, og hvilke følger kan det ha for deg?

Dessuten kan du be om å få en kopi av alle opplysningene dine – også elektroniske spor, metadata og hvilke personprofiler du er tildelt. Dersom henvendelsen sendes elektronisk, skal kopien også være elektronisk og i et vanlig filformat. Virksomheten skal gi deg innsyn uten ugrunnet opphold og normalt senest innen en måned.

Hvorfor be om innsyn?

Mange tar kontakt med Datatilsynet fordi de har spørsmål om hvordan personopplysningene deres blir behandlet. Dette må virksomhetene selv svare på. Retten til innsyn sikrer at du får svar på spørsmålene dine.

Ved å be om innsyn kan du også bli oppmerksom på feilaktige opplysninger om deg selv, og i verste fall lovbrudd. Dette er altså et redskap som gir deg mulighet til å selv følge med på hva som skjer med dine opplysninger.

Noen ganger kan det være overraskende å se hvor mange opplysninger en virksomhet har lagret om deg. Å ha innsikt i hvilke opplysninger de lagrer, setter deg i bedre stand til å ta informerte valg om hvilke tjenester du ønsker å benytte.

Vi har skrevet en rapport ("Hva vet de om deg?") som viser hvilke personopplysninger fire vanlige, norske virksomheter har lagret

Skal være gratis

Å benytte seg av innsynsretten sin skal være gratis. Dersom du ber om mer enn en kopi, kan virksomheten likevel ta et rimelig administrasjonsgebyr. Dersom det har gått noe tid siden sist du ba om kopi, og det er grunn til å gå ut ifra at virksomheten nå behandler flere eller andre personopplysninger enn sist, kan du be om en ny, gratis kopi.

Ved krav om innsyn som er klart grunnløse eller overdrevne, kan virksomheten nekte å gi innsyn eller kreve et rimelig administrasjonsgebyr. I disse tilfellene er det virksomheten som må vise hvorfor kravet er grunnløst eller overdrevent. Hovedregelen er fremdeles at du har rett til innsyn uten begrunnelse.

Unntak

Noen ganger kan en virksomhet nekte deg innsyn. Innsynsretten gjelder ikke dersom:

opplysningene er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser. Dette unntaket gjelder bare dersom det også kan gjøres unntak fra allment innsyn for slike opplysninger etter offentlighetsloven §§ 20 og 21 (lovdata.no).
det er påkrevd å hemmeligholde opplysningene av hensyn til forebygging, etterforskning, avsløring eller rettslig forfølging av straffbare handlinger.
det er utilrådelig at du får kjennskap til opplysningene av hensyn til helsen din eller forholdet ditt til nære pårørende.
opplysningene er omfattet av lovfestet taushetsplikt.
det er i strid med åpenbare og grunnleggende private eller offentlige interesser å gi innsyn, medregnet hensynet til deg selv.
innsynet vil krenke rettighetene og frihetene til andre.

Dersom en virksomhet nekter deg innsyn, skal du ha en skriftlig begrunnelse uten ugrunnet opphold og normalt seinest innen en måned. Virksomheten må også gi en presis henvisning til hvilken unntakshjemmel som er begrunnelsen, altså hvorfor du ikke får innsyn.

Innsynsskjema

Vi har laget et skjema som du kan bruke når du ønsker informasjon om eller innsyn i personopplysninger en virksomhet har om deg. Skjemaet er ment brukt når du ber om innsyn etter personopplysningsloven, og kan brukes enten du vil vite mer om opplysninger lagret om deg selv, om barna dine, eller noen du handler på vegne av.

Merk: om skjemaet skal benyttes på Ipad eller Iphone må du arkivere pdf-skjemaet i filer og deretter fylle ut i Acrobat.

Last ned skjema for å be om innsyn (pdf)

Spesielt om innsyn i egne opplysninger innen helse, velferd og forskning

Innsyn i egen journal

Retten til innsyn i egne helseopplysninger er viktig for at du som pasient eller bruker skal ha kontroll over personopplysningene dine. Henvendelser om å få innsyn i egne opplysninger rettes til virksomheten som er ansvarlig for journalen du ønsker innsyn i. Det kan for eksempel være sykehuset, fastlegen eller tannlegen din, eller kommunen som yter helse- og omsorgstjenester.

Innsyn hos Nav og barnevernstjenesten

Dersom du ønsker innsyn i opplysninger om deg som er registrert hos Nav eller barnevernet, skal kravet rettes direkte til dem som har opplysningene.

Innsyn i registre, forskningsprosjekter og befolkningsundersøkelser

Krav om innsyn skal rettes til den virksomheten som er ansvarlig for registeret, forskningsprosjektet eller befolkningsundersøkelsen.

Plikt til å oppfylle rettigheter

Alle virksomheter har plikt til å legge til rette for at registrerte personer får oppfylt rettighetene sine på en enkel måte. Det skal som hovedregel gjøres uten kostnad for den det gjelder og innen en måned.

Les mer om virksomhetens plikt til å oppfylle rettigheter

https://www.datatilsynet.no/regelverk-og-verktoy/rapporter-og-utredninger/hva-vet-de-om-deg/

Rapporter og utredninger

Hva vet de om deg?

Datatilsynet har skrevet en rapport som viser hva fire vanlige, norske virksomheter lagrer om deg som kunde.

Vi legger alle igjen elektroniske spor – kanskje flere enn vi har tenkt over. Hva du gjør på nett, ser på TV, liker på Facebook og legger i handlekurven, registreres. Dataene lever videre – og noen ganger kan dataene avsløre mer enn man kanskje tror.

Mange virksomheter ønsker å samle inn flest mulig personopplysninger fordi de har en økonomisk verdi:

Når virksomheter vet mye om oss, kan de tilpasse reklame, tjenester eller priser deretter.
Mange virksomheter selger personprofilene våre til markedsførere.
Personopplysninger kan brukes til å analysere hvordan kunder bruker en tjeneste. Dette kan brukes til å forbedre tjenesten.
Personopplysninger om oss kan brukes til å utvikle datamodeller. Datamodeller kan blant annet brukes til å utvikle nye tjenester eller bli bedre på å profilere oss.

Gjennom å be om innsyn kan du finne ut hva virksomhetene faktisk vet om deg. Det er det Datatilsynets testpersoner har gjort i denne rapporten. Rapporten ser nærmere på hva noen utvalgte virksomheter lagrer om sine kunder. Som rapporten viser, lagrer enkelte virksomheter store mengder opplysninger. Enkelte lagrer opplysninger man kanskje ikke hadde tenkt over at de hadde.

Last ned rapporten

Hva vet de om deg (pdf)?

https://www.tek.no/nyheter/nyhet/i/VPokmr/studie-europeiske-nettapotek-deler-kundedata-med-facebook

Studie: Europeiske nettapotek deler kundedata med Facebook

"Flere nettsteder som er registrert som apotek i ulike land i Europa, lar Facebook samle inn detaljerte opplysninger om kundene sine og hva de kjøper, viser en gjennomgang Sveriges Radio har gjort.

Delingen skjer gjennom bruken av sporingsverktøyet Meta pixel, som apotekene bruker uten at kundene har godkjent det.

Over 100 av nettapotekene sendte kundenes epostadresser eller telefonnummer til Facebook, sammen med opplysninger om hva slags varer de hadde lagt i den virtuelle handlekurven."

Apoteksskandalen växer – över 100 apotek röjer kunders köp för Facebook

https://sverigesradio.se/artikel/apoteksskandalen-vaxer-over-100-apotek-rojer-kunders-kop-for-facebook

"Ekot har hittat över 100 webbplatser som är registrerade som apotek runt om i Europa och som låter Facebook samla in detaljerad information om vad kunderna gör och vilka de är.

Det sker via ett spårningsverktyg, en så kallad pixel, som erbjuds av Facebook och som apoteken använder utan att kunderna godkänt det.

På ett av Italiens största nätapotek för receptfria varor får Facebook till exempel veta att vi lägger ett HIV-test, ett graviditetstest och tabletter för tarmbesvär i varukorgen. När vi ska avsluta köpet får Facebook också veta vad vi heter och vad vi har för mejladress och telefonnummer.

Från ett tyskt apotek samlar Facebooks pixel in länkar där det framgår vad vi sökt på, att vi påbörjat en konsultation för potensproblem och att vi vill köpa Viagra. Även här får Facebook information om vem vi är.

Verksamheter som delar information med Facebook på det här sättet, gör det ofta för att kunna nå samma personer med riktad reklam i sociala medier.

I mejl till Ekot har Facebooks ägarbolag Meta hänvisat till sina regler, där det står att annonsörer inte får dela information om folks hälsa med dem.

EU-parlamentarikern Paul Tang håller med om att apoteken har ett ansvar, men tycker att Metas svar visar att företaget försöker ducka sitt ansvar.

– Det här är typiskt Meta, att försöka skjuta undan ansvaret. Men de tillhandahåller den här möjligheten. Så även de är ansvariga, säger han.

Meta har också uppgett att de har ett filter som är byggt för att upptäcka och radera information som kan vara känslig.

Ekot har frågat Meta hur ofta deras filter fångar känsliga uppgifter och om, och i så fall hur, de använder sådan information.

Det har Meta inte svarat på, men de skriver i ett mejl att filtret inte kan ”fånga allt hela tiden”.

Efter att Ekot förra året rapporterade om hur svenska apotek använde Facebooks pixel, inledde Integritetsskyddsmyndigheten flera tillsynsärenden mot enskilda apotek som fortfarande pågår.

Men Paul Tang tycker att även Facebook borde anmäla sig själva till dataskyddsmyndigheter i respektive land.

– Jag ser det som en personuppgiftsincident. Så jag tycker att de borde anmäla detta, åtminstone till dataskyddsmyndigheterna."

DIN HÄLSA TILL SALU

Apoteket delade ”kring en miljon” kunders uppgifter med Facebook – ”beklagar”

https://sverigesradio.se/artikel/apoteket-delade-kunders-uppgifter-med-facebook-det-var-fel-vi-beklagar

Det var fel av Apoteket att dela hälsorelaterade uppgifter om sina kunder med Facebook, säger chefsjuristen till Ekot efter en intern översyn.
Apoteket uppskattar nu att en miljon kunder har påverkats och att överföringarna kan ha pågått sedan 2017.
”Jag förstår att man förväntar sig annat av oss på Apoteket”, säger Apotekets chefsjurist Anna Rogmark.

Hur gick det till när ni kom fram till att det här är en bra idé, att skicka uppgifter till Facebook?

– Vilka överväganden vi gjorde då, känner inte jag till. Kunskapen om att vi faktiskt skickade den här informationen fanns inte på ett tydligt sätt, säger Anna Rogmark.

https://sverigesradio.se/artikel/facebook-duckar-intervju-om-apotekslackor-for-javligt

"– De borde bevisa att om de tar emot känsliga uppgifter, så raderar de dessa utan att använda dem. Och om de använder dem, så är transparens minimikravet,"

"Så sålde vi våra själar till nätjättarna"

(Artikel från 1. februari 2016 publicerat i Svenska Dagbladet)
▼

Den utbredda acceptansen av den digitala massövervakningen har förmodligen att göra
med föreställningen att det bara är onda aktörer som har något att frukta. I boken ”Vem
kan man lita på?” visar Wilhelm Agrell att detta sätt att resonera är ett allvarligt misstag.

I en tidigare understreckare skrev jag om den amerikanske säkerhetsexperten Bruce
Schneiers uppmärksammade bok, ”Data and Goliath”, som gavs ut förra året. Schneiers
framställning av vår samtid som massövervakningens gyllene tidsålder är både spännande
och skrämmande. På mindre än 20 år har vi byggt upp ett samhälle där i stort sett allt vi
gör registreras och sparas utan att vi har någon nämnvärd kontroll över hur uppgifterna
ställs samman och används. Om du bär omkring på en smart telefon, brukar använda
betalkort, har för vana att googla saker du undrar över, samt är hyfsat aktiv på sajter som
Facebook och Instagram – ja, då kan den som har tillgång till de data du efterlämnar i stort
sett ta reda på vad som helst om dig.

Vi formligen spyr ut personlig information om oss själva – ofta helt bekymmerslöst, utan
att alls tänka på det. Schneier ser en likhet mellan vårt förhållningssätt och det tidiga
industrisamhällets hejdlösa utsläpp av föroreningar rakt ut i luft och hav. Om 30 år kommer
våra barn att undra hur vi så tanklöst kunde sprida våra data omkring oss, förutspår han.
Vi har lärt oss att industrins utsläpp måste begränsas genom lagstiftning och
kontrollerande institutioner. Och vi kommer att tvingas inse att en motsvarande kontroll
måste utvecklas när det gäller inhämtning, lagring och spridning av data.

Men är det då verkligen så farligt om vi massövervakas? Är det inte bara bra om de som
har något att dölja upptäcks? Vi hederliga medborgare, vi som har rent mjöl i påsen, har ju
inget att vara rädda för! Eller?

”Inga argument för massövervakningens harmlöshet upprepas så ofta och med sådant
eftertryck som just detta”, konstaterar Wilhelm Agrell i sin rafflande redogörelse för den
moderna underrättelseverksamhetens historia, ”Vem kan man lita på?” (Historiska Media).
President Obama kom själv att hemfalla åt det när han försvarade den urskillningslösa
övervakning som avslöjades av Edward Snowden 2013. Agrell identifierar tre huvudsakliga
fel med detta sätt att resonera.

För det första bygger det på antagandet att den hederliga medborgarens rena mjöl per
automatik identifieras som rent och därmed ignoreras av övervakningssystemet. Men så är
det inte alls. Historien har gång på gång visat hur det renaste mjöl kan fastna i sållet när
en undersökning väl drivs tillräckligt långt. Till exempel kartläggs misstänkta terroristers
nätverk inte bara genom att man fastställer vilka de haft direktkontakt med via telefon
eller mejl, utan i flera led genom att man identifierar kontakternas kontakter, och
dessutom dessa kontakters kontakter. Det säger sig självt att många människor som inte
alls har med saken att göra då kan komma att utsättas för rätt obehagliga saker.

För det andra finns det, menar Agrell, en tendens att underskatta kraften i det konspirativa
tänkande som ofta präglar den som övervakar. Till slut blir till och med avsaknaden av
misstänktheter misstänkt, konstaterar han; hotbilden ska bekräftas till varje pris.

Det tredje felet är att det inte är vi själva som bestämmer vilket mjöl som är rent och vilket
som inte är det. Det bestäms av övervakarna. Har man rent mjöl i påsen om man lever i ett
homosexuellt förhållande? Visst, i dagens Sverige; men inte under 1950-talet; och
knappast i dagens Ryssland. Har man rent mjöl i påsen om man är ansluten till en
fackförening? Inte överallt eller i alla tider. Har en visselblåsare rent mjöl i påsen? Inte
enligt den som blir avslöjad, förstås.

Men om man nu ändå råkar leva under en hyfsat anständig demokratisk regim och
dessutom är en hyvens människa – bör man då ändå inte tolerera långtgående
övervakning, om den nu utgör ett redskap för att värna den demokratiska regimens
fortlevnad i en omgivning av antidemokratiska mörkerkrafter?

Som jag nämnde i gårdagens artikel finns det skäl att betvivla att massövervakning
verkligen är ett särskilt effektivt medel när det gäller att bekämpa terrorism. Men det finns
också en annan poäng att göra här. Om man vill värna demokratin med hjälp av system
som själva inte är utformade enligt demokratiska grundprinciper utan till sin design är
förvillande lika de som kommer till användning i en totalitär stat, så tar man en enorm risk.
Man lämnar så att säga öppet mål åt varje antidemokratisk ledare som lyckas ta makten:
denne har då bara att ta över redan existerande system, lagar och institutioner för eget
bruk. Med andra ord blir det lättare för en sådan ledare att smyga in en verkligt totalitär
övervakning, eftersom det inte behövs några stora förändringar i de strukturer som
tidigare använts för att värna en demokratisk stat.

Därför är det viktigt att bygga in demokratin i själva systemen, genom starka lagliga och
institutionella mekanismer för att kontrollera och begränsa övervakningen. Visst, sådana
lagar och institutioner kommer aldrig att fungera perfekt. Men bara det att de finns är på
plats innebär att eventuella förändringar i antidemokratisk riktning blir tydliga. Om en
ledare blir vald som visar sig vilja förändra landet i totalitär riktning – och vem kan idag
säga att det inte skulle kunna hända också i vårt land? – så skulle existensen av sådana
motspänstiga mekanismer tvinga ledaren att visa korten. Han eller hon skulle ju faktiskt
behöva ändra lagarna och rasera institutionerna. Och det kunde förväntas väcka reellt
motstånd.

Det finns ett fjärde och mycket viktigt skäl till att rent-mjöl-i-påsen-argumentet inte
fungerar – ett skäl som Agrell inte tar upp, men som spelar en central roll i Schneiers
diskussion. Rent-mjöl-i-påsen-argumentet bygger nämligen på den outtalade
förutsättningen att en personlig, oövervakad sfär skulle vara viktig bara för den som gör
något fel. Men – som Schneier noterar – detta är ju befängt om man tänker på saken. När
du går på toaletten eller älskar med din partner, gör du inget som är fel. Att söka ett jobb
utan att ens nuvarande arbetsgivare vet om det är inte att göra något fel. Att själv välja
om, och när, och för vilka man ska berätta att man har fått cancer är inte fel. Och att helt
enkelt vilja vara ifred är inte heller fel, utan något man har rätt att förvänta sig att ens
medmänniskor respekterar.

Ibland hävdar självutnämnda förståsigpåare att vi människor håller på att genomgå en djup
mental förändring, där vi så småningom inte längre kommer att bry oss om gränsen mellan
offentligt och privat. Oftast sägs sådana saker av människor som har ett uppenbart
egenintresse av att vi kopplar upp oss och våra prylar på längden och på tvären. Schneier
citerar ett par rätt korkade uttalanden i den riktningen av Mark Zuckerberg (Facebooks vd)
och Eric Schmidt (tidigare vd för Google).

Människor är olika när det gäller vilka delar av sitt privatliv man är villig att dela med sig
av, och med vilka personer. Vi värnar i olika hög grad om att få hålla våra angelägenheter
för oss själva. Och naturligtvis kunde man tänka sig att det sker övergripande
förskjutningar på det området, så att fler ser det som naturligt att öppna sig inför andra
också när det gäller mycket intima detaljer.

Jag vill inte beklaga eller moralisera över en sådan utveckling. Så länge folk är någotsånär
klara över vad de håller på med, skulle den säkert kunna ha mycket gott med sig. Men
problemet är att om nätet är det forum där en sådan exponering äger rum, så har vi
faktiskt ingen chans att veta vilka vi öppnar oss för och hur de data vi lägger ut kommer
att användas. Schneier gör troligt att om vi verkligen visste hur våra personliga uppgifter
utnyttjas i sammanhang över vilka vi helt saknar kontroll, så skulle vi vara betydligt
försiktigare med vad vi avslöjar om oss själva. Pratet om den djupgående mentala
förändringen tjänar alltför ofta syftet att hålla kvar detta dolda utnyttjande utom synhåll
för oss.

Men kunde vi inte lösa problemet helt enkelt genom att vi får insyn i hur plattformsägarna
hanterar vårs uppgifter, och att vi ges tillfälle att godkänna villkoren innan vi använder
deras tjänster? Tja – men det gör vi ju redan. Och hur många av oss orkar läsa igenom
deras detaljerade listor? Ingen, naturligtvis. Den skarpa medieanalytikern Helen
Nissenbaum talar i detta sammanhang om en ”transparensens paradox”. För att vi i
praktiken verkligen ska läsa användarvillkoren, så måste dessa texter förenklas och
kortas ner – men samtidigt sitter djävulen just i de detaljer som då kommer att rensas ut.
Givet hur komplexa och ständigt föränderliga sammankopplingarna mellan nätets olika
aktörer är, så finns det helt enkelt ingen praktisk möjlighet för oss som enskilda individer
att spela på jämna villkor med de kommersiella bjässarna.

Här ser vi återigen behovet av potent lagstiftning och starka samhälleliga institutioner som reglerar datahanteringen på nätet. Nissenbaum jämför med läkemedelstestning: också här skriver deltagarna på villkorslistor vars detaljer de inte begriper, och vi har förstått att det därför också behövs rigorösa juridiska och institutionella kontrollmekanismer som hjälper till att förhindra att deltagarna utnyttjas.

I tredje världen, där dessa mekanismer är svagare, exploaterar läkemedelsbolagen ofta
deltagarna i något som liknar ren rovdrift. Om Schneier har rätt, så är vår nuvarande
relation till nätets kommersiella aktörer att likna vid en sådan tredje-världen-situation.

Vi har tidigare omkullkastat sådana feodala ordningar och ersatt dem med vettigare och
värdigare system. Det är dags att göra det igen.

▲

https://www.svd.se/a/84293936-f564-4c66-9fe3-d0eb3d4c0562/sa-salde-vi-vara-sjalar-tillnatjattarna
"Denna understreckare publicerades ursprungligen den 1 februari 2016 och återpubliceras
här samt görs fritt tillgänglig för allmänheten i samband med Under streckets 100-
årsjubileum, med stöd från Riksbankens Jubileumsfond."

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 16 juli 2023 00:00

si vis pacem, para iustitiam

interrobangit

☼

http://interrobangit.bloggplatsen.se/presentation

http://interrobangit.bloggplatsen.se/2024/04/27/11817408/

http://interrobangit.bloggplatsen.se/2024/04/21/11817099/

http://interrobangit.bloggplatsen.se/2024/04/20/11817030/

http://interrobangit.bloggplatsen.se/2024/04/14/11816691/

http://interrobangit.bloggplatsen.se/2024/04/13/11816630/

http://interrobangit.bloggplatsen.se/2024/04/07/11816298/

http://interrobangit.bloggplatsen.se/2024/04/06/11816229/

http://interrobangit.bloggplatsen.se/2024/03/31/11815835/

http://interrobangit.bloggplatsen.se/2024/03/30/11815777/

http://interrobangit.bloggplatsen.se/2024/03/24/11815431/

http://interrobangit.bloggplatsen.se/2024/03/23/11815377/

http://interrobangit.bloggplatsen.se/2024/03/17/11815023/

http://interrobangit.bloggplatsen.se/2024/03/16/11814964/

http://interrobangit.bloggplatsen.se/2024/03/10/11814616/

http://interrobangit.bloggplatsen.se/2024/03/09/11814550/

http://interrobangit.bloggplatsen.se/2024/03/03/11814215/

http://interrobangit.bloggplatsen.se/2024/03/02/11812481/

http://interrobangit.bloggplatsen.se/2024/02/25/11812482/

http://interrobangit.bloggplatsen.se/2024/02/24/11812483/

http://interrobangit.bloggplatsen.se/2024/02/18/11812484/

http://interrobangit.bloggplatsen.se/2024/02/17/11812485/

http://interrobangit.bloggplatsen.se/2024/02/11/11812486/

http://interrobangit.bloggplatsen.se/2024/02/10/11812487/

http://interrobangit.bloggplatsen.se/2024/02/04/11812488/

http://interrobangit.bloggplatsen.se/2024/02/03/11812471/

http://interrobangit.bloggplatsen.se/2024/01/28/11812472/

http://interrobangit.bloggplatsen.se/2024/01/27/11812473/

http://interrobangit.bloggplatsen.se/2024/01/21/11812474/

http://interrobangit.bloggplatsen.se/2024/01/20/11812475/

http://interrobangit.bloggplatsen.se/2024/01/14/11812476/

http://interrobangit.bloggplatsen.se/2024/01/13/11812477/

http://interrobangit.bloggplatsen.se/2024/01/07/11809673/

http://interrobangit.bloggplatsen.se/2023/12/31/11809080/

http://interrobangit.bloggplatsen.se/2023/12/24/11808436/

http://interrobangit.bloggplatsen.se/2023/12/17/11807843/

http://interrobangit.bloggplatsen.se/2023/12/10/11807032/

http://interrobangit.bloggplatsen.se/2023/12/03/11806437/

http://interrobangit.bloggplatsen.se/2023/11/26/11805948/

http://interrobangit.bloggplatsen.se/2023/11/19/11805462/

http://interrobangit.bloggplatsen.se/2023/11/12/11804748/

http://interrobangit.bloggplatsen.se/2023/11/05/11803843/

http://interrobangit.bloggplatsen.se/2023/10/29/11802910/

http://interrobangit.bloggplatsen.se/2023/10/22/11801623/

http://interrobangit.bloggplatsen.se/2023/10/15/11800702/

http://interrobangit.bloggplatsen.se/2023/10/08/11799349/

http://interrobangit.bloggplatsen.se/2023/10/01/11797103/

http://interrobangit.bloggplatsen.se/2023/09/24/11795905/

http://interrobangit.bloggplatsen.se/2023/09/17/11795095/

http://interrobangit.bloggplatsen.se/2023/09/10/11794600/

http://interrobangit.bloggplatsen.se/2023/09/03/11794088/

http://interrobangit.bloggplatsen.se/2023/08/27/11793398/

http://interrobangit.bloggplatsen.se/2023/08/20/11792985/

http://interrobangit.bloggplatsen.se/2023/08/13/11792494/

http://interrobangit.bloggplatsen.se/2023/08/06/11791981/

http://interrobangit.bloggplatsen.se/2023/07/30/11791456/

http://interrobangit.bloggplatsen.se/2023/07/23/11790886/

http://interrobangit.bloggplatsen.se/2023/07/16/11790435/

http://interrobangit.bloggplatsen.se/2023/07/09/11789982/

http://interrobangit.bloggplatsen.se/2023/07/02/11789494/

http://interrobangit.bloggplatsen.se/2023/06/25/11788958/

http://interrobangit.bloggplatsen.se/2023/06/18/11788358/

http://interrobangit.bloggplatsen.se/2023/06/11/11787767/

http://interrobangit.bloggplatsen.se/2023/06/04/11787315/

http://interrobangit.bloggplatsen.se/2023/05/28/11786823/

http://interrobangit.bloggplatsen.se/2023/05/21/11786357/

http://interrobangit.bloggplatsen.se/2023/05/14/11785856/

http://interrobangit.bloggplatsen.se/2023/05/07/11785348/

http://interrobangit.bloggplatsen.se/2023/04/30/11784837/

http://interrobangit.bloggplatsen.se/2023/04/23/11783864/

http://interrobangit.bloggplatsen.se/2023/04/16/11782994/

http://interrobangit.bloggplatsen.se/2023/04/09/11782445/

http://interrobangit.bloggplatsen.se/2023/04/02/11810271/

http://interrobangit.bloggplatsen.se/2023/03/26/11811111/

http://interrobangit.bloggplatsen.se/2023/03/19/11811112/

http://interrobangit.bloggplatsen.se/2023/03/12/11811113/

http://interrobangit.bloggplatsen.se/2023/03/05/11811114/

http://interrobangit.bloggplatsen.se/2023/02/26/11811115/

http://interrobangit.bloggplatsen.se/2023/02/19/11811116/

http://interrobangit.bloggplatsen.se/2023/02/12/11811117/

http://interrobangit.bloggplatsen.se/2023/02/05/11811118/

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 9 juli 2023 00:00

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/digitale-tjenester-og-forbrukeres-personopplysninger/

Digitale tjenester og forbrukeres personopplysninger

Denne veilederen er en del av Datatilsynet og Forbrukertilsynets arbeid med å bygge kunnskap og veilede næringsdrivende om praktiske situasjoner hvor forbruker- og personvern overlapper.

Du som tilbyr digitale tjenester til forbrukere, må sette deg inn i begge disse regelverkene, fordi de innebærer viktige plikter for digitale tjenester som behandler forbrukeres personopplysninger.

Engelsk

Innholdet i denne veiledningen er oversatt til engelsk:

Last ned "Digital services and consumer data" på engelsk (pdf)

Databaserte forretningsmodeller

Sosiale medier, mobilapper, søketjenester, nettaviser, personlige assistenter, GPS- og kartsystemer og en rekke andre tjenester blir i stadig større grad tilbudt uten at forbrukerne trenger å betale penger for å bruke dem. Digitale tjenester hvor forretningsmodellen helt eller delvis går ut på å tjene penger på forbrukeres data, har blitt vanlig i den digitale økonomien. Personopplysninger kan brukes for å bedre forstå forbrukeres interesser og handlingsmønster, og de har derfor kommersiell verdi.

Behandling av personopplysninger er imidlertid lovregulert. Både personvern- og forbrukervernlovgivningen setter grenser for hva som er lov.

Hva er en personopplysning?

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til enkeltpersoner, uavhengig av om de er oppgitt av forbrukerne selv eller registrert gjennom forskjellige sporingsteknologier. Typiske personopplysninger er navn, adresse, telefonnummer, e-post, fødselsnummer eller dynamisk IP-adresse. Opplysninger om atferdsmønstre er også regnet som personopplysninger.

Eksempler på dette er opplysninger om hva forbrukere handler, hvilke butikker de går i, hvilke tv-serier de ser på, hvor de fysisk beveger seg i løpet av en dag, og hvilke nettsider de besøker.

Om veilederen

Veilederen er ment som en innføring. Det betyr at den ikke er uttømmende. Fokuset i denne veilederen er hvilken informasjon du må gi og hvilke personopplysninger du kan behandle. Mange relevante plikter, som for eksempel plikten til å ha innebygget personvern, plikten til å ha informasjonssikkerhet og plikten til å gjennomføre vurdering av personvernkonsekvenser, vil ikke utdypes her. Det er likevel viktig å sette seg inn i disse pliktene. Det finnes også flere unntak fra hovedreglene.

Du finner mye relevant veiledning ellers på disse nettsidene og på forbrukertilsynet.no. Når det gjelder forbrukervernreglene, er enkelte problemstillinger knyttet til behandling av personopplysninger fortsatt ikke rettslig avklart. Denne veilederen vil likevel gi uttrykk for Forbrukertilsynets foreløpige standpunkt i slike situasjoner.

Personvernreglene som omtales i veilederen, må følges av den som er behandlingsansvarlig, altså den som bestemmer formålet og midlene for behandling av personopplysninger. Forbrukervernreglene må følges av alle som markedsfører eller tilbyr tjenester overfor forbrukere. Brudd på personvernreglene kan også vektlegges når Forbrukertilsynet vurderer saker etter forbrukervernreglene. Derfor bør alle i verdikjeden ha et bevisst forhold til begge regelverk, uavhengig av om man bidrar direkte eller indirekte til noen av de forskjellige stadiene i kontakten med forbrukere.

Denne veilederen tar utgangspunkt i fire stadier – fra markedsføring til avslutning av et kundeforhold:

Markedsføring av digitale tjenester

Forbrukere trenger klar og forståelig informasjon om hvilke personopplysninger tjenesten din samler inn, hvor du samler personopplysningene inn fra, og hvordan du bruker personopplysningene.

Personvernreglene har detaljerte krav som skal sørge for at forbrukerne er informert når deres personopplysninger behandles.

Denne informasjonen kan også være viktig for forbrukere når de skal bestemme seg for om de ønsker å bruke tjenesten din. Hvordan du behandler personopplysninger, kan være en så sentral del av tjenesten at forbrukerne må få de viktigste delene av denne informasjonen klart og tydelig allerede når du markedsfører tjenesten din. Da er det ikke nok at informasjonen finnes i avtalevilkårene eller personvernerklæringen som oppgis når man tar i bruk tjenesten.

Markedsføringsloven forbyr urimelig handelspraksis, jf. § 6. En handelspraksis er alltid urimelig og ulovlig dersom den utelater, skjuler eller ellers er egnet til å villede forbrukeren om tjenestens viktigste egenskaper, jf. mfl. §§ 7 og 8 jf. § 6.

Husk

Du bør opplyse i markedsføringen dersom tjenesten din finansieres gjennom
bruk av personopplysninger, slik at forbrukeren forstår forretningsmodellen din.
- Et eksempel kan være at du bruker forbrukerens personopplysninger til å målrette markedsføring mot dem.
Du bør gi klar beskjed i markedsføringen av tjenesten din dersom du behandler personopplysninger på en måte som kan ha stor innvirkning på forbrukerne, eller som vil kunne komme overraskende på.
- Et eksempel kan være at en kartapp ved bruk lagrer posisjon for å utarbeide statistikk over trafikk og besøksstrømmer hos næringsdrivende, eller at en livsstils-app deler opplysninger om aktivitetsnivå med tredjeparter.
Hvis forretningsmodellen din er å tjene penger på forbrukerens personopplysninger, bør du ikke markedsføre tjenesten som «gratis» uten at du samtidig gir tydelig informasjon om denne forretningsmodellen.
- Et eksempel kan være at en sosiale medier-tjeneste ikke koster penger, men finansieres ved å bruke forbrukernes personopplysninger til å målrette markedsføring mot dem.
Ikke markedsfør en funksjon eller egenskap ved tjenesten uten å opplyse om eventuelle personvernkonsekvenser.
- Et eksempel kan være en tjeneste som gir bonus på visse kjøp, men forutsetter lagring av forbrukerens kjøpshistorikk.
Ikke markedsfør tjenesten som «personvernvennlig» eller lignende uten å forklare forbrukeren hva du legger i dette. Slike påstander må kunne dokumenteres.

Avtaleinngåelse og behandling av personopplysninger

Når forbrukeren bestemmer seg for å bruke tjenesten din, er det viktig å skille mellom behandlingsgrunnlag (herunder samtykke til behandling av personopplysninger), avtalevilkårene for tjenesten og personvernerklæring

1. Behandlingsgrunnlag

Stort sett alle tjenester behandler opplysninger om brukerne sine. For å behandle personopplysninger må man ha et behandlingsgrunnlag etter personopplysningsloven.

Reglene om behandlingsgrunnlag følger av personvernforordningen artikkel 5 nr. 1 bokstav a og artikkel6, jf. pol. § 1.

Artikkel 4 (11), 7, 8 og fortalepunkt 32 definerer hva som er et gyldig samtykke.

Reglene om databehandlere følger særlig av artikkel 28 og 29.

Forbudet mot å behandle «sensitive» personopplysninger, samt unntak fra forbudet, følger av artikkel 9.

Den behandlingsansvarlige må ha identifisert et passende behandlingsgrunnlag for hver enkelt behandling av personopplysninger til hvert enkelt formål, før opplysningene samles inn.

Det vil si at næringsdrivende ikke står fritt til å diktere hvordan personopplysninger skal behandles i avtalevilkårene sine. For digitale tjenester er det særlig fire behandlingsgrunnlag som er aktuelle: «nødvendig for å gjennomføre en avtale», «nødvendig for å oppfylle en rettslig forpliktelse», «interesseavveiing» eller «samtykke».

Dersom du deler personopplysninger med andre som ikke utelukkende behandler opplysningene på dine vegne, krever dette eget behandlingsgrunnlag for å være lovlig. Deling av personopplysninger med andre som bare behandler opplysningene på dine vegne, såkalte databehandlere, er underlagt egne regler. Les om databehandleravtale

Noen personopplysninger er så sensitive (særlige kategorier personopplysninger) at man vanligvis ikke har lov til å behandle dem med mindre det foreligger et eksplisitt samtykke. Dette gjelder for eksempel opplysninger om helse, etnisitet, religion, politisk standpunkt og seksuell orientering. Les mer om behandling av særlige kategorier personopplysninger

Merk!

Dersom personopplysninger ikke er nødvendige for å oppnå formålet, sier dataminimalitetsprinsippet at det ikke er lov å samle dem inn.

Standardinnstillingene for en tjeneste kan ha stor innvirkning på hvordan den blir brukt, og hvilke personopplysninger som behandles. Standardinnstillingene skal være de mest personvernvennlige, i tråd med personvernprinsippene.

Nødvendig for å oppfylle en avtale

Dersom personopplysninger er objektivt nødvendig for å levere tjenesten din, kan «nødvendig for å oppfylle en avtale» være et passende grunnlag.
Behandling av personopplysninger som ikke er objektivt nødvendig for å levere tjenesten, men som er nødvendig for å oppnå virksomhetens forretningsmessige mål, kan imidlertid ikke baseres på «nødvendig for å oppfylle en avtale».

Selv om det står i vilkårene at en bestemt behandling av personopplysninger er en del av tjenesten, betyr heller ikke dette at behandlingen kan baseres på «nødvendig for å oppfylle en avtale», så lenge behandlingen ikke er faktisk og logisk nødvendig for å levere tjenesten.

Eksempel

Leveringsadresse er nødvendig når man bestiller varer på nett, mens bruk av personopplysninger for å lage personprofiler eller datamodeller ikke er nødvendig for å levere en kommunikasjonstjeneste. Behandling av personopplysninger for å forbedre en tjeneste eller utvikle nye funksjoner kan normalt ikke baseres på «nødvendig for å oppfylle en avtale».

Nødvendig for å oppfylle en rettslig forpliktelse

Dersom norsk lov pålegger deg å behandle personopplysninger, kan «nødvendig for å oppfylle en rettslig forpliktelse» være et passende grunnlag. Det kan for eksempel være nødvendig å lagre noen personopplysninger for å etterleve bokføringsplikten.

Interesseavveining

Det er lov å behandle personopplysninger dersom din virksomhets interesser veier tyngre enn forbrukerens interesser, rettigheter og friheter, herunder personvernet. Dersom inngrepet i personvernet derimot ikke står i forhold til interessen virksomheten din har i å behandle opplysningene, kan ikke behandlingen baseres på dette grunnlaget.

Eksempel

En interesseavveiing kan være et passende grunnlag for at tjenesten måler hvor ofte forbrukere bruker tjenesten, slik at virksomheten kan føre intern statistikk og forbedre tjenesten. På den annen side kan ikke en interesseavveiing forsvare aggressiv og inngående sporing eller profilering for markedsføringsformål, da vil personvernet veie tyngst.

Samtykke

Behandlingen av personopplysninger kan baseres på samtykke. Et samtykke skal være forbrukerens informerte og frie valg. Dersom samtykke er det aktuelle grunnlaget, må du derfor sørge for at du ber om samtykke på riktig måte.

Det å inngå en avtale og det å gi samtykke til behandling av personopplysninger er to forskjellige ting. Likevel er ikke dette alltid like klart, hverken for næringsdrivende eller forbrukere. Formuleringer som «Ved å godta disse brukervilkårene samtykker du til at opplysningene dine brukes til …» er ikke uvanlige, men likevel ikke i tråd med loven. Det er derfor viktig å vite når man skal be om samtykke, og hvordan man skal gjøre det.

Husk:

Sørg for at det er frivillig å samtykke. Forbrukeren skal ikke oppleve negative konsekvenser ved å svare nei.
- For eksempel vil ikke et samtykke være frivillig dersom forbrukeren ikke kan benytte en tjeneste med mindre hun samtykker til sporing eller profilering for markedsføringsformål.
Sørg for at samtykket er informert, slik at forbrukeren forstår hva det dreier seg om, og er i stand til å foreta et reelt valg. Forbrukeren må både vite hvilke opplysninger som behandles, og for hvilke formål.
Sørg for at samtykket er spesifikt og at forbrukeren kan takke ja eller nei til hver enkelt behandling eller formål.
Sørg for at forbrukeren må foreta en aktiv handling for å samtykke, for eksempel ved å klikke på en knapp eller huke av en boks, og at det ikke er tvil om at forbrukeren har ment å samtykke.
Sørg for at samtykket kan dokumenteres.
Sørg for at samtykket kan trekkes tilbake like lett som det var å gi det.
Sørg for at samtykkeforespørselen ikke blandes sammen med annen informasjon.
Sørg for at forespørselen om samtykke ikke er unødig forstyrrende for bruker opplevelsen.
Ikke bland sammen avtalevilkår og forespørsel om samtykke.
Ikke steng forbrukeren ute fra tjenesten hvis hun ikke samtykker til ting som ikke er objektivt nødvendig for tjenesten.
Ikke be om samtykke til ulike ting samlet.
Ikke bruk forhåndsutfylte bokser.
Ikke gjør det unødvendig vanskelig eller tidkrevende å ikke gi samtykke, og ikke bruk lignende aggressive virkemidler for å påvirke eller presse forbrukeren til å gi samtykke.
- Et eksempel kan være at forbrukeren må si nei til samme behandling gjentatte ganger eller gjennomføre flere ekstra operasjoner for å ikke gi samtykke.
Ikke overdriv negative konsekvenser for forbrukeren dersom hun ikke gir samtykke til behandling av personopplysninger.

2. Avtalevilkår og personvernerklæring

Avtalevilkår er en kontrakt som regulerer rettigheter og plikter mellom deg og brukerne dine. Du må sørge for at den beskriver tjenesten du tilbyr, og forholdet mellom deg, tjenesten din og brukerne. Det finnes lovbestemte krav til hva som kan stå i avtalen. Vilkårene må være klare, slik at forbrukere kan sette seg inn i og forstå hva avtalen innebærer for dem – også når det gjelder behandling av personopplysningene deres. I tillegg må avtalevilkårene være balanserte og ikke favorisere deg på en måte som går ut over forbrukerens rettigheter.

Se Forbrukertilsynets veileder om avtalevilkår for digitale tjenester for mer informasjon

Personvernerklæringen har et annet formål enn avtalevilkårene og skal i stedet gi informasjon om hva tjenesten gjør med personopplysninger, i tråd med kravene i personopplysningsloven. Denne informasjonen skal gis senest når tjenesten begynner å samle inn personopplysninger, og den må gis separat fra avtalevilkårene og uavhengig av hvilket behandlingsgrunnlag som er valgt. Informasjonen skal blant annet inneholde hvilke opplysninger som brukes til hvilke formål, hva behandlingsgrunnlaget er, og hvilke rettigheter forbrukeren har.

Plikten til å gi informasjon om behandling av personopplysninger følger av personvernforordningen artikkel 5 nr. 1 bokstav a og artikkel 12–14, jf. pol. § 1.

Forbrukertilsynet kan forby urimelige avtalevilkår etter markedsføringsloven § 22. I vurderingen av hva som er urimelig, skal det legges vekt på hensynet til balanse mellom partenes rettigheter og plikter og på hensynet til klarhet i kontraktsforhold.

Husk:

Skriv avtalevilkårene og personvernerklæringen på en enkel og forståelig måte. Det betyr at du bør unngå å bruke tungt juridisk språk eller faglige uttrykk som ikke brukes i dagligtalen.
Sørg for at avtalevilkårene er lett tilgjengelige, både når avtalen inngås og hvis forbrukeren vil lese dem senere. Forbrukeren skal også ha mulighet til å lagre avtalevilkårene. Tilsvarende skal også personvernerklæringen og informasjon om behandling av personopplysninger være tilgjengelig både når tjenesten samler inn opplysninger og i etterkant.
Pass på at den viktigste informasjonen for forbrukeren fremheves i avtalevilkårene og personvernerklæringen, og at de ikke blir gjemt bort i all den andre informasjonen. Det kan være lurt å presentere en oppsummering av den viktigste informasjonen øverst i teksten og bruke formatering, overskrifter og innholdsfortegnelse dersom dette gjør vilkårene mer oversiktlige.
Personvernerklæringen skal være separat fra avtalevilkårene. Sett deg inn i hva den må inneholde her. Det kan det være lurt å gi informasjonen lagvis, slik at man kan klikke seg videre for å lese mer utfyllende detaljer. Da ivaretar man lovens krav om at informasjonen skal være både dekkende og kortfattet, og det er lettere å fremheve informasjon som er viktig for forbrukeren.
Klargjør i vilkårene hvilke rettigheter forbrukeren har dersom personvernet for tjenesten ikke er i henhold til avtalen. Hvis forbrukeren har betalt for tjenesten, bør hun kunne kreve retting, prisavslag, heving og eventuell erstatning for økonomisk tap, slik hun kan hvis det er andre mangler ved tjenester.
Dersom forretningsmodellen din helt eller delvis er å tjene penger på brukernes personopplysninger, bør du sørge for at det kommer klart frem av vilkårene dine.
Ikke gjør vilkårene lengre enn de må være. Vilkår som er veldig lange, blir fort uoversiktlige. Dette gjør det vanskeligere for forbrukeren å sette seg inn i avtalevilkårene og forstå hva de betyr.
Ikke fraskriv deg ansvar for tredjeparters behandling av personopplysninger som du har delt med dem. Du bør ha et veldig bevisst forhold til hvem du eventuelt deler personopplysninger med.

https://lod.lovdata.no/journal/2023/3/m-05/Spiken_i_kistan_för_ifrågasatt_affärsmodell?

▲ Spiken i kistan för ifrågasatt affärsmodell?

Individanpassad annonsering baserad på en omfattande insamling av användardata har varit en populär affärsmodell på internet under de senast femton åren. Användarna har fått tillgång till innehållstjänster och sociala medier utan att direkt behöva betala för det. Uppgift om deras användning av tjänsterna har samlats in och använts för riktad annonsering. I många fall har insamling även skett på andra webbplatser och appar som samverkar med tjänsten.

Affärsmodellen är dock alltmer ifrågasatt. Företagen som använder modellen får en mycket ingående bild av användarna, t.ex deras beteende, kontakter och preferenser. Sådan information kan användas för riktad ekonomisk eller politisk påverkan på ett sätt som är svårt för utomstående att granska. Vissa kommentatorer har därför valt att beskriva modellen som en övervakningskapitalism. Risken finns också att informationen hamnar i orätta händer.

Bruk av personopplysninger til målrettet markedsføring

Personopplysninger brukes ofte til målrettet markedsføring. Ved å samle inn og analysere data kan man utarbeide modeller for profilering, og man kan plassere forbrukere i de ulike profilene. Profilene kan forutse forbrukernes preferanser eller tankesett. Deretter kan budskap tilpasses til de enkelte medlemmene av en gitt profil.

For at du skal kunne bruke opplysninger om kundene dine til profilering eller markedsføring, må du ha et behandlingsgrunnlag, se ovenfor. Dette kan for eksempel være gyldig samtykke eller, hvis det er snakk om enkle profiler som alder og bostedsfylke, en interesseavveiing avhengig av de konkrete omstendighetene og interessene. Profilering for markedsføringsformål kan som hovedregel ikke baseres på «nødvendig for å gjennomføre en avtale». Du trenger også gyldig behandlingsgrunnlag dersom du får opplysningene fra en tredjepart, eller dersom noen andre hjelper deg med profileringen eller markedsføringen.

Samtidig må du huske å informere forbrukerne på en åpen måte om at du vil bruke
opplysningene deres til profilering eller markedsføring, se ovenfor.

Informasjonskapsler (cookies) og tilsvarende teknologier brukes ofte for å samle opplysninger til bruk i profilering av markedsføring.

Hva er en informasjonskapsel?

En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin når brukeren åpner en nettside. Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller registrere hvor brukeren beveger seg rundt på nettstedet.

Informasjonskapsler reguleres av ekomloven, og her er det Nasjonal kommunikasjonsmyndighet (NKOM) som er kompetent fagmyndighet.
Les mer om informasjonskapsler/cookies (nkom.no)

Dersom det samles inn personopplysninger gjennom informasjonskapsler, gjelder personopplysningsloven i tillegg til ekomloven, og denne veiledningen vil gjelde fullt ut.

Hvis du bruker personopplysninger for å målrette markedsføring, må du som næringsdrivende være bevisst på hvilke data du kan samle inn, hva som er legitime teknikker for overbevisning gjennom reklame, og når man nærmer seg grensen for urimelig og ulovlig påvirkning eller press. Dette gjelder uavhengig av hvilken teknologi man bruker for å målrette reklamen, og uavhengig av om man bruker personopplysninger eller korrekt anonymiserte datasett.

I tillegg gjelder det egne krav i markedsføringsloven dersom markedsføring sendes til forbrukeren i kanaler som tillater individuell elektronisk kommunikasjon, for eksempel e-post og SMS.
Les mer om dette i Forbrukertilsynets veileder om markedsføring via e-post, SMS og lignende

Husk:

Pass på at du har tilstrekkelig behandlingsgrunnlag for å bruke person- opplysninger til målrettet markedsføring.
Pass på å informere forbrukeren godt nok om at personopplysninger samles inn og brukes til markedsføring. I mange tilfeller kan dette være uventet for forbrukeren, og da må denne informasjonen fremheves.
Informer på en forståelig måte i markedsføringen om hvordan du har behandlet personopplysningene til forbrukeren for å målrette budskapet til henne.
Forbrukeren kan når som helst velge at personopplysningene hennes ikke skal brukes til direkte eller målrettet markedsføring. Du må informere om denne rettigheten på en klar måte, adskilt fra annen informasjon og senest når opplysningene samles inn.
Ikke gjenbruk personopplysninger som er innhentet for et helt annet formål, til profilering eller målrettet markedsføring, med mindre du får et gyldig samtykke til slik gjenbruk.
Unngå profilering eller målretting som inneholder, forutser eller utleder særlige kategorier personopplysninger, for eksempel opplysninger om helse, politisk ståsted, etnisitet, religion eller seksuell orientering.
Ikke bruk personopplysninger eller annen data om sårbarheter eller uheldige hendelser og omstendigheter for å målrette markedsføring.
- Eksempler på dette kan være opplysninger om at, eller som utleder at, forbrukeren har familieproblemer, lav selvtillit, nylig hatt samlivsbrudd, eller historikk med spilling, overforbruk og betalingsproblemer.

Retten til å protestere mot direkte markedsføring, herunder målrettet markedsføring, følger av personvernforordningen artikkel 21, jf. pol. § 1.

Reglene om gjenbruk av personopplysninger til nye formål følger av artikkel 5 nr. 1 bokstav b og artikkel 6 nr. 4.

Målrettet markedsføring kan også reise spørsmål etter markedsføringsloven § 9 jf. § 6 som forbyr aggressiv handelspraksis. I vurderingen av om en handelspraksis er aggressiv, skal det blant annet tas hensyn til om den næringsdrivende utnytter en konkret uheldig hendelse eller omstendighet som er så alvorlig at den kan nedsette forbrukerens dømmekraft, til å påvirke forbrukerens beslutninger.

Målrettet markedsføring kan også være i strid med god markedsføringsskikk jf. mfl § 2.

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 2 juli 2023 00:00

Barn og unge forbrukere

Barn og unge er sårbare, og de har krav på særlig beskyttelse etter både person- vernreglene og forbrukervernreglene.

Barn er mindre bevisste på hva behandling av personopplysninger innebærer, hvilken risiko det kan medføre, og hvilke rettigheter de har. Dessuten har de mindre erfaring, er mer påvirkelige og er lettere å manipulere med kommersielle budskap. Det er veldig viktig at tjenester som retter seg mot unge, tenker ekstra nøye gjennom hvilke data de samler inn, hvordan dataene brukes, hvordan dataene beskyttes, og hvordan tjenestene kan gi informasjon som er forståelig for alle.

Dersom barn og unge profileres og blir satt i bås, kan det gå ut over muligheten til fritt å utvikle sin egen unike identitet. Profilering av barn for markedsføringsformål bør normalt unngås.

Personer under 18 år er i utgangspunktet mindreårige. Barnebegrepet etter markedsføringsloven er likevel fleksibelt. Det skal tas hensyn til alder, og jo yngre barn er, jo strengere vil vurderinger etter markedsføringsloven være.

Husk:

Tilrettelegg informasjonen der du ber om samtykke til å behandle personopplysninger fra barn og unge, slik at alle kan forstå den.
For informasjonssamfunnstjenester, slik som de fleste nettjenester og apper, må foreldre samtykke til behandling av personopplysninger på vegne av barn under 13 år. Ellers er aldersgrensen normalt 15 år for at barn kan samtykke til behandling av egne personopplysninger. For sensitive personopplysninger,
slik som opplysninger om helse, politisk ståsted, etnisitet, religion eller seksuell
orientering, er aldersgrensen likevel alltid 18 år.
Ikke profiler barn for markedsføringsformål.
Ikke ta med direkte oppfordringer til barn om å kjøpe noe eller overtale foreldrene sine til det.

Markedsføring som er rettet mot barn må være i tråd med markedsføringslovens særlige regler om dette jf. markedsføringsloven kapittel 4.

Det følger av personvernforordningen fortalepunkt 38, jf. pol. § 1, at barns personopplysninger fortjener et særlig vern og særlig når det gjelder markedsføring og profilering.

Reglene om barns samtykke i forbindelse med informasjonssamfunnstjenester følger av personvernforordningen artikkel 8 og pol. § 5.

Tilsyn og sanksjoner

Forbrukervernlovgivningen

Forbrukertilsynet skal søke å påvirke næringsdrivende til å innrette seg etter markedsføringsloven, angrerettloven og annet regelverk som Forbrukertilsynet fører tilsyn med. Ved brudd på markedsføringsloven eller annen forbrukervernlovgivning, kan Forbrukertilsynet fatte vedtak om forbud (§ 40), påbud (§ 41), tvangsmulkt (§ 42) og i visse tilfeller overtredelsesgebyr (§ 43), jf. mfl. § 39. Forbrukertilsynets vedtak kan klages inn for Markedsrådet (§ 37).

Vedtak kan også rettes mot personer eller selskaper som medvirker til lovbrudd (§ 39 annet ledd).

Personvernlovgivningen

Datatilsynet er tilsynsmyndighet etter personopplysningsloven, og har derfor mulighet til å be om all informasjon tilsynet trenger for å kontrollere at loven etterleves.

Dersom reglene i personopplysningsloven brytes, kan Datatilsynet gi advarsler, fatte pålegg, utstede reprimander, stoppe behandlingen av personopplysninger eller ilegge overtredelsesgebyr. Dette følger av personvernforordningen artikkel 58, jf. personopplysningsloven § 1.

Dersom Datatilsynets vedtak ikke følges, kan tilsynet dessuten ilegge tvangsmulkt etter personopplysningsloven § 29.

Avhengig av sakens omstendigheter og hvilke regler som er brutt, kan Datatilsynet ilegge overtredelsesgebyr på opptil 20 000 000 euro eller 4 % av den samlede globale årsomsetningen i forutgående regnskapsår. Det følger av personvernforordningen artikkel 83, jf. personopplysningsloven § 1.

I saker som påvirker forbrukere i flere EØS-land, finnes det egne regler om hvordan datatilsynsmyndighetene i de ulike landene skal samarbeide i sin tilsynsvirksomhet.

Skriv ut alt innholdet

https://www.advokatbladet.no/kunstig-intelligens-meninger/kampen-om-opphavsrett-i-ai-aeraen/194070

Kampen om opphavsrett i AI-æraen

Kan materiale som er beskyttet av opphavsrett, som fotografier og kunstverk, brukes til såkalt «trening» av kunstig intelligens, som ChatGPT og GPT-4? Spørsmålet er nå kommet opp for amerikanske domstoler, skriver Tove Øymo, Ekin Ince Ersvaer og Oda Grøner i Wikborg Rein i dette innlegget.

"Det aktuelle rettslige spørsmålet Rembrandt-prosjektet utløste, knyttet seg derfor til om det frembrakte resultatet overhodet er beskyttet av opphavsrett og hvem som i så fall skal ha opphavsrett til verk skapt av kunstig intelligens (AI). Men kunne algoritmen lovlig ha brukt Rembrandts bilder hvis verkene var beskyttet av opphavsrett?"

https://www.advokatbladet.no/advokatbransjen-blockchain-digitalisering/mener-jussen-utfordres-i-mote-med-ny-teknologi/114481

"Mener jussen utfordres i møte med ny teknologi"

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/bilder-pa-nett/

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/

https://www.tek.no/nyheter/nyhet/i/wA0VRM/eu-innfoerer-strengere-regler-for-store-nettsider

EU innfører strengere regler for store nettsider
Nettsider som Instagram og Zalando klassifiseres som særskilt store av EU-kommisjonen.

"Nå må de etterleve strengere krav om sikkerhet og åpenhet."

OPPHAVSRETT

https://codex.no/bedrift/ipr-media/opphavsrett

"Opphavsrett er den retten som tilhører skaperen av et åndsverk. Et åndsverk er vanligvis et litterært, kunstnerisk eller vitenskapelig verk, slik som bilder eller bøker, men det kan også omfatte produksjon av lyd og film, dataprogrammer og databaser. Opphavsmannen har enerett til å produsere eksemplarer av verket, og til å tilgjengeliggjøre det."

https://www.rettighetsadvokater.no/opphavsrett/

Hvem har opphavsrett til åndsverk?

"Den som har opphavsrett kan forby andre å fremstille eksemplarer eller gjøre det tilgjengelig for allmennheten uten at det foreligger avtale eller annet særskilt rettsgrunnlag."

ÅNDSVERKLOVEN

https://lovdata.no/dokument/NL/lov/2018-06-15-40

https://www.datatilsynet.no/regelverk-og-verktoy/sandkasse-for-kunstig-intelligens/

▼

Formålet med sandkassen er å bidra til innovasjon av personvernetisk og ansvarlig kunstig intelligens. Sandkassen skal være en trygg havn for testing og bidra til å senke fallhøyden og risikoen forbundet med utvikling av nye KI-løsninger. I sandkassen kan prosjektdeltakerne, sammen med ansatte i Datatilsynet, avdekke eventuelle svakheter og sårbarheter på et tidlig stadium i prosessen. På den måten er det mulig å foreta nødvendige endringer i utviklingen før man har investert for mye tid, innsats og penger i en løsning som ikke vil kunne etterleve regelverket.

Basert på erfaringene som opparbeides i sandkassen, vil Datatilsynet lage eksempler og veiledningsmateriell som er til nytte for alle som ønsker å utvikle etisk og ansvarlig kunstig intelligens.

All informasjon om sandkassen er samlet på en egen temaside

Kundehåndtering, handel og medlemskap

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/

Forbrukertilsynet og Datatilsynet har laget en veileder der vi går gjennom det viktigste du som utvikler, markedsfører eller tilbyder av digitale tjenester må vite om reglene for forbruker- og personvern.

Les veilederen

Plikt til å oppfylle rettigheter

Alle virksomheter har plikt til å legge til rette for at brukere/kunder får oppfylt rettighetene sine på en enkel måte. Det skal som hovedregel gjøres uten kostnad for kunden og innen 30 dager.

Les mer om virksomhetens plikt til å oppfylle rettigheter

Kundeklubber og personvern

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/kundeklubber-og-personvern/

Kundeklubber må passe på hvordan de bruker kundenes personopplysninger. Særlig viktig er medlemmets samtykke og selvbestemmelsesrett over sine personopplysninger.

Alle kundeklubber behandler personopplysninger

Det er flere og flere virksomheter innen varehandel som tilbyr kundeklubber (også kjent som lojalitetsprogrammer eller fordelsprogrammer). Kundeklubbene tilbyr lojale kunder rabatter eller bonuser. For å kunne gi kundene dette, behandler kundeklubbene medlemmenes personopplysninger.

Kundeklubber kan bruke personopplysningene i den grad det er nødvendig for å tilby lojalitetsgodene. For eksempel trenger klubben å vite hvem som er med i kundeklubben. Noen ganger trenger man å se på hvor mye medlemmet har handlet for å regne ut bonus eller rabatter. Dette er legitimt.

Mange kundeklubber ønsker også å analysere medlemmenes handlemønster for å lære mer om kundene eller tilby personaliserte rabatter. Dette går ut over det som er strengt nødvendig for å tilby vanlig rabatt eller bonus. Derfor er det ikke fritt frem å utføre slike analyser.

Samtykke til analyse
Noen kunder ønsker å få tilpassede rabatter fordi de oppleves som mer relevante og nyttige.

På en annen side finnes det kunder som synes at analyse er ubehagelig. Handlemønstre kan avsløre uventede forhold. Hvilke matvarer vi legger i handlevogna kan for eksempel si noe om økonomien eller kostholdet vårt. Kosthold er igjen nært knyttet til helsa vår (og i noen tilfeller religion).

For å legge til rette for den enkelte medlems valg og kontroll over egne opplysninger, må kundeklubben be om medlemmets samtykke hvis man ønsker å analysere opplysningene.

Man skal unngå å foreta analyser som avdekker sensitive personopplysninger.

Det er strenge krav til hvordan samtykke innhentes. Et samtykke skal være frivillig, så det må være mulig å si nei til analyse uten å bli utestengt fra tjenesten.

Videre må virksomheten gi kortfattet og forståelig informasjon om hva samtykke innebærer. Man kan kun samtykke til ett spesifikt formål av gangen. Samtykke må avgis ved en aktiv handling (i motsetning til å passivt fullføre en registreringsprosess), og samtykkeforespørselen skal være adskilt fra annen informasjon og vilkår. Husk at samtykke må dokumenteres.

Selvbestemmelsesrett
Det er hvert enkelt medlem av kundeklubben som bestemmer over opplysningene som er gitt, og det skal være like lett å trekke tilbake samtykke som det var å gi det.

Lagringstid og tilgangsstyring
Personopplysningene skal ikke lagres lenger enn det som er nødvendig for formålet, for eksempel å gi rabatter. Det betyr at virksomheten må fastsette rimelige sletteregler. Det mest personvernvennlige alternativet skal være standard, så kan heller de kundene som ønsker lenger lagring, be om det.

Noen ganger har kundeklubbene plikt til å lagre enkelte opplysninger i fem år etter bokføringsloven. Det er legitimt, men personopplysninger som lagres for bokføringsformål, skal lagres separat og ikke brukes til andre ting. Virksomheten må ha på plass tilgangsstyring slik at kun de som jobber med bokføring og liknende har tilgang til disse opplysningene.

https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/

Nyhetsbrev, epostlister og SMS

https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/nyhetsbrev-epostlister-og-sms/

Hvordan er reglene for utsending av nyhetsbrev? Må man ha samtykke? Og hvilke regler gjelder?

Når en virksomhet skal behandle personopplysninger, må den ha et behandlingsgrunnlag. Både e-postadresse og mobilnummer regnes normalt som personopplysninger.

Noen ganger har andre lover tilleggskrav, for eksempel kan en viss handling kreve forutgående samtykke. Markedsføringsloven sier for eksempel at man som hovedregel må ha samtykke for å sende markedsføring på e-post eller SMS. Terskelen for hva som regnes som for markedsføring er lav, og mange nyhetsbrev vil derfor falle inn i denne kategorien.

Dersom din virksomhet skal sende ut markedsføring på e-post, må du altså forholde deg til to ulike lovverk:

Du må ha behandlingsgrunnlag etter personopplysningsloven for å bruke e-postadresser og mobilnumre.

Du må i utgangspunktet ha samtykke etter markedsføringsloven for å kontakte noen med markedsføring per e-post eller SMS.

Her utdyper vi hva reglene går ut på og hvilke unntak som gjelder.

Markedsføringslovens krav til samtykke

Markedsføringsloven sier at man må ha samtykke for å sende ut nyhetsbrev når disse fire vilkårene er oppfylt:

Nyhetsbrevet sendes ut som del av næringsvirksomhet og inneholder markedsføring, altså ved at man ønsker å påvirke til kjøp av en vare eller tjeneste.

Nyhetsbrevet sendes ved elektroniske kommunikasjonsmetoder som tillater individuell kommunikasjon, for eksempel e-post eller SMS.

Nyhetsbrevet sendes til en bestemt person, enten en privatperson eller en arbeidstaker i en virksomhet (for eksempel navn@virksomhet.no).

Det foreligger ikke et eksisterende kundeforhold der dere har mottatt den enkeltes e-postadresse i forbindelse med salg.

Dette vil si at virksomheten ikke trenger samtykke etter markedsføringsloven dersom nyhetsbrevet ikke inneholder markedsføring. Det trengs heller ikke samtykke dersom nyhetsbrevet inneholder markedsføring, men det foreligger et eksisterende kundeforhold i forbindelse med salg.

Dersom dere har spørsmål til markedsføringsloven, er Forbrukertilsynet riktig instans. De har laget en veileder der dere kan lese mer om hva som menes med for eksempel markedsføring og eksisterende kundeforhold.

Kravene til et gyldig samtykke etter markedsføringsloven tilsvarer kravene til et gyldig samtykke etter personvernforordningen. Derfor kan det være lett å forveksle disse to samtykkene, selv om de egentlig handler om ulike ting (samtykke til å kontakte noen med markedsføring og samtykke til behandling av personopplysninger).

Personopplysningslovens krav til behandlingsgrunnlag

En virksomhet må alltid ha et behandlingsgrunnlag for å behandle personopplysninger slik som navn, telefonnummer og e-postadresse. Det finnes flere mulige behandlingsgrunnlag, som samtykke, nødvendig for avtale eller interesseavveiing.

Les mer om de ulike behandlingsgrunnlagene

Dersom markedsføringsloven krever samtykke, kan samtykket også fungere som behandlingsgrunnlag. Det vil si at ett og samme samtykke kan oppfylle kravene etter begge lovene. Grunnen til at dette er mulig akkurat her, er at det man ber om samtykke til – å sende markedsføring og å behandle e-postadresse eller telefonnummer med det formål å sende markedsføring – henger så nært sammen at kravene til gyldig samtykke overholdes.

Eksempel

En virksomhet ber om samtykke til å sende ut nyhetsbrev. Det er frivillig å samtykke, virksomheten gir god informasjon og samtykkene kan dokumenteres. Under registreringsfeltet skriver virksomheten følgende:

«Ved å skrive inn e-postadressen din ovenfor og klikke på «Send meg nyhetsbrev» samtykker du til at vi sender deg informasjon om nye produkter og tilbud og at vi bruker e-postadressen din til å gjøre dette.»

Dersom den enkelte klikker på samtykkeknappen, har virksomheten innhentet samtykke etter markedsføringsloven og samtidig sikret behandlingsgrunnlag for å bruke e-postadressen til å sende nyhetsbrev og markedsføring.

Også andre behandlingsgrunnlag kan være relevante, for eksempel interesseavveiing. Husk at virksomheter må kunne dokumentere interesseavveiingene sine.

Dersom markedsføringsloven ikke krever samtykke, finnes det flere aktuelle behandlingsgrunnlag.

Eksempel

En virksomhet sender ut nyhetsbrev med markedsføring, men det foreligger et eksisterende kundeforhold som gjør at man ikke trenger samtykke etter markedsføringsloven. Virksomheten kommer frem til at behandlingsgrunnlaget for å bruke kundens e-post til å sende markedsføring er interesseavveiing.

En organisasjon sender ut nyhetsbrev om norsk politikk, og nyhetsbrevet inneholder ikke markedsføring. Organisasjonen sender kun nyhetsbrev til de som uttrykkelig har bedt om denne spesifikke tjenesten, og e-postadressene til mottakerne er nødvendig for å levere den etterspurte tjenesten. Virksomheten kommer frem til at behandlingsgrunnlaget er nødvendig for avtale.

Husk at dersom virksomheten også sporer om mottakeren har åpnet nyhetsbrevet, hva han klikker på, hvilke sider han besøker og liknende, er dette separate behandlinger av personopplysninger som krever eget behandlingsgrunnlag i tillegg.

Virksomhetenes plikter

Fastsette formål

Før ein kan sette i gang med å behandle personopplysningar, må det definerast eit eller fleire klart formulerte formål.

Ei verksemd kan aldri samle eller lagre personopplysningar utan eit formål. Dette vert slått fast i eit av personvernprinsippa i personvernforordninga. Personopplysningar skal berre nyttast for spesifikke, uttrykkelege, angitte og legitime formål.

Det at opplysningane kan vise seg å komme til nytte ein dag, er ikkje eit godt nok formål. Verksemda må ha eit reelt formål med opplysningane, og det må vere klart uttrykt og bestemt på førehand. Dette inneber at dersom verksemda ønskjer å bruke personopplysningar, må ho starte med å formulere formålet skriftleg først.

Når ein skal formulere formålet, er det viktig å vere konkret og open. Vide eller vage formuleringar er ikkje tillatne. Verksemda har plikt til å gje den einskilde informasjon om formålet med behandlinga av personopplysningar på ein forståeleg måte.

Døme

Ei foreining skriv at ho bruker personopplysningane til medlemane for administrasjon.
Dette er for vagt. Foreininga kan til dømes i staden seie at formålet med personopplysningane er å fakturere medlemsavgifta, invitere medlemane til foreiningsmøte og dokumentere at verksemda ikkje juksar med medlemstala.
Ein nettstad oppgjev at personopplysningane til brukarane kan brukast for å tilby relevant kommunikasjon og ei god brukaroppleving.
Dette er ikkje i tråd med lova fordi det ikkje er klart nok kva nettstaden vil nytte personopplysningane til. I staden kan man til dømes seie at nettstaden analyserer kva brukaren klikkar på for å gje tilpassa marknadsføring og avdekkje kva for funksjonar som er mest brukte, dersom det er tilfellet.

Ein bør unngå å seie at opplysningar «kan» brukast til eit eller fleire formål. I staden bør verksemda seie når opplysningane faktisk vil bli brukte til dei oppgjevne formåla.

Formålet må sjølvsagt halde seg innanfor kva som er lovleg. Det inneber mellom anna at handsaminga må ha eit rettsleg grunnlag.

Bordet fangar

Det definerte formålet avgjer kva verksemda kan bruke opplysningane til seinare. Lova forbyr å bruke personopplysningar på måtar som ikkje er i samsvar med det opphavlege formålet.

Spørsmålet er derfor kva som er «i samsvar» med det opphavlege formålet. Her skal verksemda leggje vekt på

alle samband mellom formålet opplysningane vart samla inn for, og formålet for den tiltenkte behandlinga
i kva for samanheng opplysningane vart samla inn og forholdet mellom verksemda og den einskilde
arten av personopplysningane og kor sensitive dei er
dei moglege konsekvensane for den einskilde ved den vidare behandlinga av opplysningane
om det ligg føre tiltak for personvernet

Verksemda må òg sjå på kva rimelige forventingar den einskilde har om korleis opplysningane deira vil bli behandla.

Forbodet mot behandling som ikkje er i samsvar med det opphavlege formålet, gjeld ikkje behandling av personopplysningar for

arkivformål i offentleg interesse
vitskapelege og historiske forskingsformål
statistikkformål

Det må ligge føre passande personverngarantiar for desse typane behandling, i tråd med personvernforordninga artikkel 89.

Formålet avgjer lagringstida

Personopplysningalova seier at personopplysningar ikkje kan lagrast lenger enn det som er naudsynt for formålet. I praksis betyr dette at verksemda må fastsetje sletterutinar som sikrar at opplysningane blir sletta når det ikkje lenger er naudsynleg å ta vare på dei.