«Kakesmuler»
En smule her og en smule der. Det er dessverre et faktum at veldig mange norske bedrifter samler inn, bruker og deler alt for mye personlig informasjon uten å informere sine brukere tilstrekkelig. Vi i Proff er veldig nøye på at vi opererer etter gjeldende GDPR direktiver. Er du?
Reglene rundt GDPR er tydelige. Det skal ikke være tvil om til hvilket formål informasjon som samles inn om deres nettbrukere skal benyttes. Samt hvilke tredjeparter som denne informasjonen deles med og hvorfor. Dette er informasjon dine brukere har krav på å få. Dette gjelder selv i de tilfeller du faktisk ikke en gang vet hva brukeren heter – noen ganger har du bare en IP-adresse. All informasjon som kan brukes til å spore opp brukeren er å regne som personlig informasjon, også informasjon du samler inn via cookies.
Hva gjør en Cookie
En cookie er en informasjonskapsel som lagrer opplysninger om hvordan dine besøkende benytter seg av din informasjon på nett. Den kan f.eks. lagre denne informasjonen eksempelvis til neste gang brukeren din besøker nettsiden din. Slik kan brukeren slippe å logge inn på nytt, finne handlekurven med de varene som ble lagt i den sist, eller se hvilke artikler som allerede er lest.
Et eksempel på hva som kan skje ved deling med tredjepart-aktører
– Du besøkte en nettside som selger Storbyferier. Reiselysten klikket du på en reise til Roma, men du ombestemte deg og handlet ikke. «Plutselig» vet hele nettet at du liker Roma – for denne nydelige byen dukker nå tilfeldigvis opp i nettavisartikler, på Facebook, Snapchat, bannerannonser og i nyhetsbrev. På vei hjem fra jobben ser du kanskje et stort bilde av Roma på utendørsreklamen mens du venter på toget. For det var vel greit med GEO-lokasjon? Med mobilen din i lomma kan du jo spores til enhver tid.
Dette eksempelet kan allerede være, eller fort bli en realitet for dine kunder. Kanskje uten at du tenker noe videre over at du har delt dine kundedata. Din bedrift regnes som behandlingsansvarlig av all data du samler inn om dine kunder, selv om du setter bort behandlingen av dataene til en tredjepart.
Når har din bruker godkjent at du innhenter, deler og lagrer informasjon om denne på nett?
- Er det når brukeren klikker på «OK» på cookiebanneret ditt?
- Er det når brukeren har vært på nettsiden din lenge nok til at man kan gå ut i fra at cookiebanneret er lest og godkjent?
- Er det kanskje ikke nødvendig med et cookiebanner i det hele tatt? For du har jo et samarbeid med en nettleser, og brukeren er innlogget med samtykke på deres personvernregler.
Alle disse versjonene av informasjon om personvern brukes i dag på forskjellige nettsider. Men hvilken av dem er riktig?
- Datatilsynet sier: Samtykke til cookies skal være et GDPR-gyldig samtykke. Det vil si at samtykke ikke lenger kan gis via nettleserinnstillingene.
- Nasjonal kommunikasjonsmyndighet sier: GDPR er en oppfordring til eget cookie-samtykke på nettsiden, men det er ikke et krav og overstyrer ikke nødvendig vis samtykker gitt i nettleseren.
Hva som er riktig her er ikke klart definert. Fram til vi har en rettslig dom i en GDPR sak vil tolkningen av de mer uklare delene av GDPR direktivet være opp til hver enkelt. De største bedriftene i verden har satt jurister på saken i sine tolkninger – noen går for den aggressive versjonen andre for den trygge. Vi vil ikke være bastante i hva som er rett og galt, men vi vil anbefale alle om å være bevisste på sin bruk og tolkning av personvernreglene.
Er personvern egentlig så viktig?
I Norge er det en selvfølge at ikke bare private aktører, men at også staten og offentlige etater tar personvern på alvor. Har man som ansatt ikke skjellig grunn til å oppsøke informasjon om privatpersoner skal det ikke gjøres, dette gjelder også om man er sikkerhetsklarert.
Tenk om din nettaktivitet ble overvåket av staten, og du får sosial kreditt om du scorer godt på din nett-oppførsel?
Dette kan høres ut som et sci-fi plot, men det er i realiteten en scorings-algoritme som Kina jobber med å utvikle og implementere. I praksis vil det si at om myndighetene mener at du ikke oppfører deg bra – f. eks. publiserer statskritisk innhold på sosiale medier, eller ikke gjør opp regningene dine i tide – kan du bli gitt en dårlig sosial kreditt-score. Denne sosiale kreditten kan påvirke alt fra om du får lov til å reise kollektivt, til hvor i køen du havner i helsevesenet om du trenger behandling. Resultatet er en teknologidrevet politistat.
Da er det ikke lenger snakk om å samle inn litt «kakesmuler» som kan benyttes til å bedre brukeropplevelsen på nett, eller til salg dine produkter og tjenester til de rette kundene.
GDPR-direktivet er definitivt et skritt i riktig retning.
Personlige vs offentlige opplysninger
Opplysningene på Proff om bedrifter, rolleinnehavere og aksjonærer omfattes ikke av GDPR. Dette er offentlig informasjon som i følge loven skal være tilgjengelig for allmenheten.
Når man etablerer en virksomhet, påtar seg en rolle med juridisk ansvar, eller kjøper aksjer, godkjenner man samtidig at disse opplysningene blir offentlige.
Referanser