I mitt søk gjennom utallige artikler om GDPR, blir jeg ikke klok på ett eneste et av dem, og lurer fortsatt på — hva er det som egentlig er riktig her?

Hver bedrift velger selv hvilken tilnærming de vil ha til GDPR, og hvilke føringer de styrer etter. Dette fører til ulik praksis. Konklusjonene jeg trekker i dette innlegget er et forsøk på å stresse litt ned på helgardering og den ulike praksisen for innhenting av samtykker og cookie-varsler.

Konklusjonen kort oppsummert

  • Du må ikke alltid be om samtykke for påmelding til nyhetsbrev.
  • Du må ikke alltid be om samtykke ved kjøp/bestilling av varer og tjenester.
  • Du må ikke ha pop-up for informasjonskapsler (cookies).

Selvfølgelig med noen forutsetninger som jeg går gjennom i dette innlegget.

Personvern

GDPR stiller krav til åpenhet og tilgjengelighet knyttet til personvern. Vi skal slippe å lure på hva personvern innebærer, hvordan vårt personvern ivaretas av nettside-eierne og hvordan vi selv kan kontrollere opplysningene. Eller slette dem. Dette betyr blant annet at alle som behandler personopplysninger må skrive en erklæring om hvordan de behandler personopplysninger. Denne erklæringen må være lett å finne på nettsiden. GDPR krever også at det i enkelte tilfeller må innhentes samtykker til bruk av personopplysninger.

Samtykke

La oss få klarhet i hva som kan være tilstrekkelig som samtykke i noen tilfeller slik at vi slipper å be brukerne ta stilling til mer enn nødvendig når de besøker sidene våre. Det finnes tilfeller der det faktisk ikke må hentes inn et såkalt «eksplisitt samtykke». Et eksplisitt samtykke er typisk de gangene du må krysse av i en boks og godkjenne at du har lest vilkår eller personvernerklæring. Det skjer mye helgardering ved hjelp av disse sjekkboksene. Det er nemlig noen aktive handlinger vi som brukere utfører, som er mer enn tilstrekkelig for å gi sitt samtykke, og som ofte også kan erstatte krav til samtykke.

Dobbelt samtykke?

Når vi jobber med nettsider i Netlife, er det særlig to gjengangere. Melde seg på et nyhetsbrev og gjennomføre et kjøp. Mange ber ofte om omfattende samtykke i disse tilfellene uansett, «så er vi på den sikre siden». Det skaper mye forvirring fordi vi ofte ser hva andre gjør til etterfølgelse. Men det som skjer er at vi samtykker til det samme to ganger: Først samtykker vi til å få et nyhetsbrev, simpelthen ved å aktivt trykke på «meld meg på»-knappen. Hvis man i tillegg legger inn en sjekkboks der man krysser av for å ha lest personvernerklæring (eksplisitt samtykke) og samtykker til at de kan bruke e-posten til å sende nyhetsbrev, ja — da samtykker vi en gang til.

Dette gjelder også for kjøp av et produkt. Når man kjøper et produkt så er det avtalen om kjøp og salg som regulerer oppbevaring og bruk av personopplysninger, og da må man ikke be om samtykke i tillegg til det, for å gjennomføre salget av dette produktet. Her finnes alltids noen unntak, men her er det viktigste:

Nyhetsbrev

Du trenger ikke be om eksplisitt samtykke dersom det er et skjema for å melde seg på kun nyhetsbrev. Det holder at brukeren må gjennomføre en aktiv handling for å melde seg på (som for eksempel å fylle inn e-post og trykke på «meld meg på»).

Forutsatt at det er tydelig at:

  • ved å trykke på knappen sier man ja til å få nyhetsbrev.
  • det i hvert nyhetsbrev er lett å melde seg av.
  • e-postadressen er nødvendig for å kunne levere nyhetsbrevet.
  • opplysningene kun brukes til å levere nyhetsbrevet. (Dette kan skrives i personvernerklæringen og må ikke stå ved siden av påmeldingsskjema).
  • personopplysningene slettes når du ikke lenger mottar nyhetsbrevet. (Dette kan skrives i personvernerklæringen og må ikke stå ved siden av påmeldingsskjema).

Kjøp

Du trenger ikke be om eksplisitt samtykke når noen bestiller produkter eller kjøper en vare eller tjeneste. Det holder at brukeren må gjennomføre en aktiv handling for å kjøpe produktet (som for eksempel er å fylle inn et skjema og trykke på «kjøp / send inn»).

Forutsatt at:

  • det er tydelig at de kjøper/bestiller et produkt.
  • de informeres om kjøpsavtalen.
  • opplysningene som innhentes kun brukes til å gjennomføre kjøpet (skal opplysningene brukes til noe annet må det innhentes samtykke).

Når du skal kjøpe et produkt er reglene (hjemmel) for oppbevaring av personopplysninger og bruk av opplysningene selve kjøpsavtalen. Dermed kan du oppfylle avtalen uten at det krever samtykke til å oppbevare personopplysninger. Selve kjøpsavtalen tar seg av det.

Cookies

Har du lagt merke til alle de nye varslene om informasjonskapsler eller cookies i det siste? Da ny lov om dette kom i 2013 så vi noe liknende. Cookie-varsler poppet opp overalt. Men så fant vi ut at det ikke var nødvendig. Brukerne kan styre samtykket sitt ved en innstilling i nettleseren.

Eksempler på cookie-varsler fra tilfeldig utvalgte nettsider

Etter GDPR trådte i kraft kan det se ut til at mange tror vi nå må kjøre opp cookie-varsler igjen, og be om eksplisitt samtykke for å bruke dem, eller i hvert fall passe på at de har gitt skikkelig beskjed til brukeren om at de har cookies. Men hei! Samme regler gjelder fortsatt, selv om det kan komme endringer. Enn så lenge vet vi ikke hva eventuelle endringer vil innebære og vi kan derfor roe ned på kakefesten.

Det vi må passe på er at vi skriver på siden vår, et sted som er lett å finne fra forsiden, at vi bruker cookies og hvordan vi bruker dem — og til hva. Her er hvordan vi har løst det på Netlife.com.

Jeg vil gjerne takke Therese Fevang for viktige avklaringer og kvalitetssjekk av dette innlegget. Therese er advokat i Bas Kommunikasjon / Data Factory, og har spisskompetanse på GDPR. Hun holder jevnlig kurs i temaet og kan varmt anbefales!

Vil du ha hjelp til å finne ut hvilke samtykker du må samle inn? Ta kontakt for en hyggelig prat.