Digitale tjenester og forbrukeres personopplysninger

Det viktigste du som utvikler, markedsfører eller tilbyr digitale tjenester, må vite om forbrukervern- og personvernreglene.

Databaserte foretningsmodeller

Sosiale medier, mobilapper, søketjenester, nettaviser, personlige assistenter, GPS- og kartsystemer og en rekke andre tjenester blir i stadig større grad tilbudt uten at forbrukerne trenger å betale penger for å bruke dem. Digitale tjenester hvor forret- ningsmodellen helt eller delvis går ut på å tjene penger på forbrukeres data, har blitt vanlig i den digitale økonomien. Personopplysninger kan brukes for å bedre forstå forbrukeres interesser og handlingsmønster, og de har derfor kommersiell verdi.

Behandling av personopplysninger er imidlertid lovregulert. Både personvern- og forbrukervernlovgivningen setter grenser for hva som er lov.

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til enkeltpersoner, uavhengig av om de er oppgitt av forbrukerne selv eller registrert gjennom forskjellige sporingsteknologier. Typiske personopplysninger er navn, adresse, telefonnummer, e-post, fødselsnummer eller dynamisk IP-adresse. Opplysninger om atferdsmønstre er også regnet som personopplysninger.

Eksempler på dette er opplysninger om hva forbrukere handler, hvilke butikker de går i, hvilke tv-serier de ser på, hvor de fysisk beveger seg i løpet av en dag, og hvilke nettsider de besøker.

Veiledningen

Denne veiledningen er en del av Datatilsynet og Forbrukertilsynets arbeid med å bygge kunnskap og veilede næringsdrivende om praktiske situasjoner hvor forbrukervern og personvern overlapper. Du som tilbyr digitale tjenester til forbrukere, må sette deg inn i begge disse regelverkene, fordi de innebærer viktige plikter for digitale tjenester som behandler forbrukeres personopplysninger.

Veiledningen er ment som en innføring. Det betyr at den ikke er uttømmende. Fokuset i denne veiledningen er hvilken informasjon du må gi, og hvilke person- opplysninger du kan behandle. Mange relevante plikter, som for eksempel plikten til å ha innebygget personvern, plikten til å ha informasjonssikkerhet og plikten til å gjennomføre vurdering av personvernkonsekvenser, vil ikke utdypes her. Det er likevel viktig å sette seg inn i disse pliktene. Det finnes også flere unntak fra hovedreglene.

Du finner mye relevant veiledning på forbrukertilsynet.no og datatilsynet.no. Når det gjelder forbrukervernreglene, er enkelte problemstillinger knyttet til behandling av personopplysninger fortsatt ikke rettslig avklart. Denne veiledningen vil likevel gi uttrykk for Forbrukertilsynets foreløpige standpunkt i slike situasjoner.

Personvernreglene som omtales i veiledningen, må følges av den som er behandlingsansvarlig, altså den som bestemmer formålet og midlene for behandling av personopplysninger. Forbrukervernreglene må følges av alle som markedsfører eller tilbyr tjenester overfor forbrukere. Brudd på personvernreglene kan også vektlegges når Forbrukertilsynet vurderer saker etter forbrukervernreglene. Derfor bør alle i verdikjeden ha et bevisst forhold til begge regelverk, uavhengig av om man bidrar direkte eller indirekte til noen av de forskjellige stadiene i kontakten med forbrukere.

Denne veiledningen tar utgangspunkt i fire stadier – fra markedsføring til avslutning av et kundeforhold:

Markedsføring av digitale tjenester

Forbrukere trenger klar og forståelig informasjon om hvilke personopplysninger tjenesten din samler inn, hvor du samler personopplysningene inn fra, og hvordan du bruker personopplysningene. Personvernreglene har detaljerte krav til dette, som skal sørge for at forbrukerne er informert når deres personopplysninger behandles.

Denne informasjonen kan også være viktig for forbrukere når de skal bestemme seg for om de ønsker å bruke tjenesten din. Hvordan du behandler personopplysninger, kan være en så sentral del av tjenesten at forbrukerne må få de viktigste delene av denne informasjonen klart og tydelig allerede når du markedsfører tjenesten din. Da er det ikke nok at informasjonen finnes i avtalevilkårene eller personvernerklæringen som oppgis når man tar i bruk tjenesten.

Markedsføringsloven forbyr urimelig handelspraksis, jf. § 6. En handelspraksis er alltid urimelig og ulovlig dersom den utelater, skjuler eller ellers er egnet til å villede for- brukeren om tjenestens viktigste egenskaper, jf. mfl. §§ 7 og 8 jf. § 6

Husk:

  • Du bør opplyse i markedsføringen dersom tjenesten din finansieres gjennom bruk av personopplysninger, slik at forbrukeren forstår forretningsmodellen din.
    • Et eksempel kan være at du bruker forbrukerens personopplysninger til å målrette markedsføring mot dem.
  • Du bør gi klar beskjed i markedsføringen av tjenesten din dersom du behandler personopplysninger på en måte som kan ha stor innvirkning på forbrukerne, eller som vil kunne komme overraskende på.
    • Et eksempel kan være at en kartapp ved bruk lagrer posisjon for å utarbeide statistikk over trafikk og besøksstrømmer hos næringsdrivende, eller at en livsstils-app deler opplysninger om aktivitetsnivå med tredje- parter.
  • Hvis forretningsmodellen din er å tjene penger på forbrukerens personopplysninger, bør du ikke markedsføre tjenesten som «gratis» uten at du samtidig gir tydelig informasjon om denne forretningsmodellen.
    • Et eksempel kan være at en sosiale medier-tjeneste ikke koster penger, men finansieres ved å bruke forbrukernes personopplysninger til å målrette markedsføring mot dem.
  • Ikke markedsfør en funksjon eller egenskap ved tjenesten uten å opplyse om eventuelle personvernkonsekvenser.
    • Et eksempel kan være en tjeneste som gir bonus på visse kjøp, men forutsetter lagring av forbrukerens kjøpshistorikk.
  • Ikke markedsfør tjenesten som «personvernvennlig» eller lignende uten å forklare forbrukeren hva du legger i dette. Slike påstander må kunne dokumenteres.

Avtaleinngåelser og behandling av personopplysninger

Når forbrukeren bestemmer seg for å bruke tjenesten din, er det viktig å skille mellom:

  • behandlingsgrunnlag, herunder samtykke til behandling av personopplysninger
  • avtalevilkårene for tjenesten
  • personvernerklæring

Behandlingsgrunnlag

Stort sett alle tjenester behandler opplysninger om brukerne sine. For å behandle personopplysninger må man ha et behandlingsgrunnlag etter personopplysnings- loven. Den behandlingsansvarlige må ha identifisert et passende behandlings- grunnlag for hver enkelt behandling av personopplysninger til hvert enkelt formål, før opplysningene samles inn.

Det vil si at næringsdrivende ikke står fritt til å diktere hvordan personopplysnin- ger skal behandles i avtalevilkårene sine. For digitale tjenester er det særlig fire behandlingsgrunnlag som er aktuelle: «nødvendig for å gjennomføre en avtale»,«nødvendig for å oppfylle en rettslig forpliktelse», «interesseavveiing» eller «samtykke».

i  Dersom personopplysninger ikke er nødvendige for å oppnå formålet, sier dataminimalitetsprinsippet at det ikke er lov å samle dem inn.

Standardinnstillingene for en tjeneste kan ha stor innvirkning på hvordan den blir brukt, og hvilke person- opplysninger som behandles. Standardinnstillingene skal være de mest personvernvennlige, i tråd med personvernprinsippene.

  • Nødvendig for å oppfylle en avtale

    Dersom personopplysninger er objektivt nødvendig for å levere tjenesten din, kan «nødvendig for å oppfylle en avtale» være et passende grunnlag.

    Behandling av personopplysninger som ikke er objektivt nødvendig for å levere tjenesten, men som er nødvendig for å oppnå virksomhetens forretningsmes- sige mål, kan imidlertid ikke baseres på «nødvendig for å oppfylle en avtale». Selv om det står i vilkårene at en bestemt behandling av personopplysninger er en del av tjenesten, betyr heller ikke dette at behandlingen kan baseres på «nødvendig for å oppfylle en avtale», så lenge behandlingen ikke er faktisk og logisk nødvendig for å levere tjenesten.

    • For eksempel er leveringsadresse nødvendig når man bestiller varer pånett, mens bruk av personopplysninger for å lage personprofiler eller datamodel- ler ikke er nødvendig for å levere en kommunikasjonstjeneste. Behandling av personopplysninger for å forbedre en tjeneste eller utvikle nye funksjoner kan normalt ikke baseres på «nødvendig for å oppfylle en avtale».
  • Nødvendig for å oppfylle en rettslig forpliktelse

    Dersom norsk lov pålegger deg å behandle personopplysninger, kan «nødvendig for å oppfylle en rettslig forpliktelse» være et passende grunnlag.

    • For eksempel kan det være nødvendig å lagre noen personopplysninger for å etterleve bokføringsplikten.
  • Interesseavveining

    Det er lov å behandle personopplysninger dersom din virksomhets interesser veier tyngre enn forbrukerens interesser, rettigheter og friheter, herunder personvernet. Dersom inngrepet i personvernet derimot ikke står i forhold til interessen virksomheten din har i å behandle opplysningene, kan ikke behandlingen baseres på dette grunnlaget.

    • For eksempel kan en interesseavveiing være et passende grunnlag for at tjenesten måler hvor ofte forbrukere bruker tjenesten, for at virksomheten kan føre intern statistikk og forbedre tjenesten. På den annen side kan ikke en interesseavveiing forsvare aggressiv og inngående sporing eller profilering for markedsføringsformål, for da vil personvernet veie tyngst. 
  • Samtykke

    Behandlingen av personopplysninger kan baseres på samtykke. Et samtykke skal være forbrukerens informerte og frie valg. Dersom samtykke er det aktuelle grunnlaget, må du derfor sørge for at du ber om samtykke på riktig måte, se eget punkt nedenfor.

Dersom du deler personopplysninger med andre som ikke utelukkende behandler opplysningene på dine vegne, krever dette eget behandlingsgrunnlag for å være lovlig. Deling av personopplysninger med andre som bare behandler opplysningene på dine vegne, såkalte databehandlere, er underlagt egne regler.

Noen personopplysninger er så sensitive at man vanligvis ikke har lov til å behandle dem med mindre det foreligger et eksplisitt samtykke. Dette gjelder for eksempel opplysninger om helse, etnisitet, religion, politisk standpunkt og seksuell orientering. Les mer om dette her.

Samtykke som behandlingsgrunnlag

Det å inngå en avtale og det å gi samtykke til behandling av personopplysninger er to forskjellige ting. Likevel er ikke dette alltid like klart, hverken for næringsdrivende eller forbrukere. Formuleringer som «Ved å godta disse brukervilkårene samtykker du til at opplysningene dine brukes til …» er ikke uvanlige, men likevel ikke i tråd med loven. Det er derfor viktig å vite når man skal be om samtykke, og hvordan man skal gjøre det.

Husk:

  • Sørg for at det er frivillig å samtykke. Forbrukeren skal ikke oppleve negative konsekvenser ved å svare
    • For eksempel vil ikke et samtykke være frivillig dersom forbrukeren ikke kan benytte en tjeneste med mindre hun samtykker til sporing eller profilering for markedsføringsformål. 
  • Sørg for at samtykket er informert, slik at forbrukeren forstår hva det dreier seg om, og er i stand til å foreta et reelt valg. Forbrukeren må både vite hvilke opplysninger som behandles, og for hvilke formål.
  • Sørg for at samtykket er spesifikt og at forbrukeren kan takke ja eller nei til hver enkelt behandling eller formål.
  • Sørg for at forbrukeren må foreta en aktiv handling for å samtykke, for eksempel ved å klikke på en knapp eller huke av en boks, og at det ikke er tvil om at forbrukeren har ment å samtykke.
  • Sørg for at samtykket kan dokumenteres.
  • Sørg for at samtykket kan trekkes tilbake like lett som det var å gi det.
  • Sørg for at samtykkeforespørselen ikke blandes sammen med annen informasjon.
  • Sørg for at forespørselen om samtykke ikke er unødig forstyrrende for bruker opplevelsen.
  • Ikke bland sammen avtalevilkår og forespørsel om samtykke.
  • Ikke steng forbrukeren ute fra tjenesten hvis hun ikke samtykker til ting som ikke er objektivt nødvendig for tjenesten.
  • Ikke be om samtykke til ulike ting samlet.
  • Ikke bruk forhåndsutfylte bokser.
  • Ikke gjør det unødvendig vanskelig eller tidkrevende å ikke gi samtykke, og ikke bruk lignende aggressive virkemidler for å påvirke eller presse forbrukeren til å gi samtykke.
    • Et eksempel kan være at forbrukeren må si nei til samme behandling gjentatte ganger eller gjennomføre flere ekstra operasjoner for å ikke gi samtykke.
  • Ikke overdriv negative konsekvenser for forbrukeren dersom hun ikke gir samtykke til behandling av personopplysninger.

Avtalevilkår og personvernerklæring

Avtalevilkår er en kontrakt som regulerer rettigheter og plikter mellom deg og brukerne dine. Du må sørge for at den beskriver tjenesten du tilbyr, og forholdet mellom deg, tjenesten din og brukerne. Det finnes lovbestemte krav til hva som kan stå i avtalen. Vilkårene må være klare, slik at forbrukere kan sette seg inn i og forstå hva avtalen innebærer for dem – også når det gjelder behandling av person- opplysningene deres. I tillegg må avtalevilkårene være balanserte og ikke favorisere deg på en måte som går ut over forbrukerens rettigheter. Se Forbrukertilsynets veiledning om avtalevilkår for digitale tjenester for mer informasjon.

Personvernerklæringen har et annet formål enn avtalevilkårene og skal i stedet gi informasjon om hva tjenesten gjør med personopplysninger, i tråd med kravene i personopplysningsloven. Denne informasjonen skal gis senest når tjenesten begynner å samle inn personopplysninger, og den må gis separat fra avtalevilkårene og uavhengig av hvilket behandlingsgrunnlag som er valgt. Informasjonen skal blant annet inneholde hvilke opplysninger som brukes til hvilke formål, hva behandlingsgrunnlaget er, og hvilke rettigheter forbrukeren har.

§ Plikten til å gi informasjon om behandling av personopplysninger følger av GDPR artikkel 5 nr. 1 bokstav a og artikkel 12–14, jf. pol. § 1.

Forbrukertilsynet kan forby urimelige avtale- vilkår etter mfl. § 22. I vurderingen av hva som er urimelig, skal det legges vekt på hensynet til balanse mellom partenes rettigheter og plikter og på hensynet til klarhet i kontraktsforhold.

Husk:

  • Skriv avtalevilkårene og personvernerklæringen på en enkel og forståelig måte. Det betyr at du bør unngå å bruke tungt juridisk språk eller faglige uttrykk som ikke brukes i dagligtalen.
  • Sørg for at avtalevilkårene er lett tilgjengelige, både når avtalen inngås og hvis forbrukeren vil lese dem senere. Forbrukeren skal også ha mulighet til å lagre avtalevilkårene. Tilsvarende skal også personvernerklæringen og informasjon om behandling av personopplysninger være tilgjengelig både når tjenesten samler inn opplysninger og i etterkant.
  • Pass på at den viktigste informasjonen for forbrukeren fremheves i avtalevilkå- rene og personvernerklæringen, og at de ikke blir gjemt bort i all den andre in- formasjonen. Det kan være lurt å presentere en oppsummering av den viktigste informasjonen øverst i teksten og bruke formatering, overskrifter og innholds- fortegnelse dersom dette gjør vilkårene mer oversiktlige.
  • Personvernerklæringen skal være separat fra avtalevilkårene. Sett deg inn i hva den må inneholde her. Det kan det være lurt å gi informasjonen lagvis, slik at man kan klikke seg videre for å lese mer utfyllende detaljer. Da ivaretar man lovens krav om at informasjonen skal være både dekkende og kortfattet, og det er lettere å fremheve informasjon som er viktig for forbrukeren.
  • Klargjør i vilkårene hvilke rettigheter forbrukeren har dersom personvernet for tjenesten ikke er i henhold til avtalen. Hvis forbrukeren har betalt for tjenesten, bør hun kunnekreve retting, prisavslag, heving og eventuell erstatning for økonomisk tap, slik hun kan hvis det er andre mangler ved tjenester.
  • Dersom forretningsmodellen din helt eller delvis er å tjene penger på brukernes personopplysninger, bør du sørge for at det kommer klart frem av vilkårene dine.
  • Ikke gjør vilkårene lengre enn de må være. Vilkår som er veldig lange, blir fort uoversiktlige. Dette gjør det vanskeligere for forbrukeren å sette seg inn i avtalevilkårene og forstå hva de betyr.
  • Ikke fraskriv deg ansvar for tredjeparters behandling av personopplysninger som du har delt med dem. Du bør ha et veldig bevisst forhold til hvem du eventuelt deler personopplysninger med.

Bruk av personopplysninger til målrettet markedsføring

Personopplysninger brukes ofte til målrettet markedsføring. Ved å samle inn og analysere data kan man utarbeide modeller for profilering, og man kan plassere forbrukere i de ulike profilene. Profilene kan forutse forbrukernes preferanser eller tankesett. Deretter kan budskap tilpasses til de enkelte medlemmene av en gitt profil.

For at du skal kunne bruke opplysninger om kundene dine til profilering eller markedsføring, må du ha et behandlingsgrunnlag, se ovenfor. Dette kan for eksempel være gyldig samtykke eller, hvis det er snakk om enkle profiler som alder og bostedsfylke, en interesseavveiing avhengig av de konkrete omstendig- hetene og interessene. Profilering for markedsføringsformål kan som hovedregel ikke baseres på «nødvendig for å gjennomføre en avtale». Du trenger også gyldig behandlingsgrunnlag dersom du får opplysningene fra en tredjepart, eller dersom noen andre hjelper deg med profileringen eller markedsføringen.

Samtidig må du huske å informere forbrukerne på en åpen måte om at du vil bruke opplysningene deres til profilering eller markedsføring, se ovenfor.

Informasjonskapsler (cookies) og tilsvarende teknologier brukes ofte for å samle opplysninger til bruk i profilering av markedsføring. Informasjonskapsler reguleres av ekomloven, og her er det Nasjonal kommunikasjonsmyndighet (NKOM) som er kompetent fagmyndighet. Dersom det samles inn personopplysninger gjennom informasjonskapsler, gjelder personopplysningsloven i tillegg til ekomloven, og den- ne veiledningen vil gjelde fullt ut.

Hvis du bruker personopplysninger for å målrette markedsføring, må du som næringsdrivende være bevisst på hvilke data du kan samle inn, hva som er legitime teknikker for overbevisning gjennom reklame, og når man nærmer seg grensen for urimelig og ulovlig påvirkning eller press. Dette gjelder uavhengig av hvilken teknologi man bruker for å målrette reklamen, og uavhengig av om man bruker personopplysninger eller korrekt anonymiserte datasett.

I tillegg gjelder det egne krav i markedsføringsloven dersom markedsføring sen- des til forbrukeren i kanaler som tillater individuell elektronisk kommunikasjon, for eksempel e-post og SMS. Les mer om dette i Forbrukertilsynets veiledning om markedsføring via e-post, SMS o.l.

i En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin når brukeren åpner en nettside. Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller registrere hvor brukeren beveger seg rundt på nettstedet.

Retten til å protestere mot direktemarkedsføring, herunder målrettet markedsføring, følger av GDPR artikkel 21, jf. pol. § 1. Reglene om gjenbruk av personopplysninger til nye formål følger av artikkel 5 nr. 1 bokstav b og artikkel 6 nr. 4.

Målrettet markeds- føring kan også reise spørsmål etter mfl. § 9 jf. § 6 som forbyr aggressiv handelspraksis. I vurderingen av om en handelspraksis er aggressiv, skal det blant annet tas hensyn til om den næringsdrivende utnytter en konkret uheldig hendelse eller omstendighet som er så alvorlig at den kan nedsette forbrukerens dømmekraft, til å påvirke forbrukerens beslutninger. Målrettet markedsføring kan også være i strid med god markedsførings- skikk jf. mfl § 2.

Husk:

  • Pass på at du har tilstrekkelig behandlingsgrunnlag for å bruke person- opplysninger til målrettet markedsføring.
  • Pass på å informere forbrukeren godt nok om at personopplysninger samles inn og brukes til markedsføring. I mange tilfeller kan dette være uventet for forbrukeren, og da må denne informasjonen fremheves.
  • Informer på en forståelig måte i markedsføringen om hvordan du har behandlet personopplysningene til forbrukeren for å målrette budskapet til henne.
  • Forbrukeren kan når som helst velge at personopplysningene hennes ikke skal brukes til direkte eller målrettet markedsføring. Du må informere om denne rettigheten på en klar måte, adskilt fra annen informasjon og senest når opplysningene samles inn.
  • Ikke gjenbruk personopplysninger som er innhentet for et helt annet formål, til profilering eller målrettet markedsføring, med mindre du får et gyldig samtykke til slik gjenbruk.
  • Unngå profilering eller målretting som inneholder, forutser eller utleder særlige kategorier personopplysninger, for eksempel opplysninger om helse, politisk ståsted, etnisitet, religion eller seksuell orientering.
  • Ikke bruk personopplysninger eller annen data om sårbarheter eller uheldige hendelser og omstendigheter for å målrette markedsføring.
    • Eksempler på dette kan være opplysninger om at, eller som utleder at, forbrukeren har familieproblemer, lav selvtillit, nylig hatt samlivsbrudd, eller historikk med problemspilling, overforbruk og betalingsproblemer. 

Avslutning av kundeforholdet

Dataportabilitet

Gjennom retten til dataportabilitet har forbrukere rett til å få utlevert opplysninger om seg selv som de selv har gitt til tjenesten din. Retten til dataportabilitet skal gjøre det enklere for forbrukeren å bytte eller bruke flere tjenesteleverandører samtidig, og dermed forhindre at forbrukere låses til en tjeneste eller tilbyder.

Retten til dataportabilitet gjelder kun opplysninger du har behandlet på bakgrunn av samtykke eller at de var «nødvendig for å gjennomføre en avtale». Videre må det være snakk om data som forbrukeren aktivt har gitt til tjenesten, eller rådata om observert aktivitet, slik som logger og historikk. Retten gjelder ikke bearbeidede data, slik som dine egne analyser og profiler.

Husk:

  • Informer om retten til dataportabilitet på en kortfattet, lett forståelig og lett tilgjengelig måte.
  • Legg til rette for at forbrukeren kan bruke retten til dataportabilitet på en enkel måte.
    • For eksempel bør det legges til rette for at slike henvendelser kan gjøres elektronisk.
  • Hvis vilkårene om dataportabilitet er oppfylt, må du utlevere opplysningene så raskt som mulig, og normalt senest innen én måned. Dersom vilkårene ikke er oppfylt, må du si fra om dette innen den samme tidsfristen.
  • Utlever opplysningene i et strukturert, alminnelig anvendt og maskinlesbart format, slik at disse kan overføres til en annen tjenesteleverandør.
  • Gi begrunnelse dersom du gir avslag på anmodning om dataportabilitet, og gi samtidig informasjon om retten til å klage avslaget inn for Datatilsynet.
  • Ikke ta gebyr for å imøtekomme kravet om dataportabilitet.
  • Ikke oversend opplysningene ukryptert, for eksempel via en ukryptert e-post.

Sletting av personopplysninger

Tjenesten din har plikt til å legge til rette for at forbrukere får ivaretatt sine rettigheter, slik som retten til sletting. Du har imidlertid også plikt til å vurdere sletting  av eget tiltak. Hvis avtaleforholdet med forbrukeren avsluttes, vil det normalt ikke lenger være grunnlag for eller nødvendig å behandle personopplysningene til forbrukeren – avtalen er avsluttet, og formålet med opplysningene er oppnådd. Det er forbudt å oppbevare personopplysninger lengre enn det som er nødvendig for formålet de ble samlet inn for. Det vil si at når formålet er nådd, skal opplysningene slettes, selv om forbrukeren ikke har bedt om det. I noen tilfeller kan man imidlertid ha plikt til å ta vare på opplysningene i lengre tid, for eksempel etter bokføringsloven.

Regler om sletting følger av GDPR artikkel 5 nr. 1 bokstav e, artikkel 17 og artikkel 25 nr. 2, jf. pol. § 1. Reglene om hvordan rettigheter skal imøtekommes, herunder regler om tidsfrister og betaling, følger av artikkel 12.

Husk:

  • Informer om retten til sletting på en kortfattet, lett forståelig og lett tilgjengelig måte.
  • Sørg for å ha systemer og rutiner som sikrer at virksomheten din på eget tiltak gjennomfører fortløpende sletting dersom personopplysningene ikke lenger er nødvendige å behandle.
  • Slett opplysningene av eget tiltak dersom behandlingen er basert på samtykke og forbrukeren trekker tilbake samtykket sitt, eller dersom behandlingen er basert på avtale og avtalen avsluttes, med mindre opplysningene samtidig behandles for andre formål basert på andre behandlingsgrunnlag.
  • Legg til rette for at forbrukeren kan bruke retten til sletting på en enkel måte.
    • For eksempel bør det legges til rette for at slike henvendelser kan gjøres elektronisk.
  • Hvis vilkårene for sletting er oppfylt, må du slette opplysningene så raskt som mulig, og normalt innen én måned. Dersom vilkårene ikke er oppfylt, må du si fra om dette innen den samme tidsfristen.
  • Gi begrunnelse dersom du gir avslag på anmodning om sletting, og gi samtidig informasjon om retten til å klage avslaget inn for Datatilsynet.
  • Ikke ta gebyr for å slette personopplysninger om forbrukere.

Barn og unge forbrukere

Barn og unge er sårbare, og de har krav på særlig beskyttelse etter både personvernreglene og forbrukervernreglene. De er mindre bevisste på hva behandling av personopplysninger innebærer, hvilken risiko det kan medføre, og hvilke rettigheter de har. Dessuten har de mindre erfaring, er mer påvirkelige og er lettere å manipulere med kommersielle budskap. Det er veldig viktig at tjenester som retter seg mot unge, tenker ekstra nøye gjennom hvilke data de samler inn, hvordan dataene brukes, hvordan dataene beskyttes, og hvordan tjenestene kan gi informasjon som er forståelig for alle.

Dersom barn og unge profileres og blir satt i bås, kan det gå ut over muligheten til fritt å utvikle sin egen unike identitet. Profilering av barn for markedsføringsformål bør normalt unngås.

i Barn er i utgangspunktet mindreårige, det vil si personer under 18 år. Barnebegrepet etter markedsføringsloven er likevel fleksibelt. Det skal tas hensyn til alder, og jo yngre barn er, jo strengere vil vurderinger etter markedsførings- loven være.

Markedsføring som er rettet mot barn må være i tråd med markedsføringslovens særlige regler om dette jf. mfl. kapittel 4.

Det følger av GDPR for- talepunkt 38, jf. pol. § 1, at barns personopplysninger fortjener et særlig vern og især når det gjelder markedsføring og profilering. Reglene om barns samtykke i forbindelse med informasjonssamfunns- tjenester følger av GDPR artikkel 8 og pol. §5.

Husk:

  • Tilrettelegg informasjonen der du ber om samtykke til å behandle personopplysninger fra barn og unge, slik at alle kan forstå den.
  • For informasjonssamfunnstjenester, slik som de fleste nettjenester og apper, må foreldre samtykke til behandling av personopplysninger på vegne av barn under 13 år. Ellers er aldersgrensen normalt 15 år for at barn kan samtykke til behandling av egne For sensitive personopplysninger, slik som opplysninger om helse, politisk ståsted, etnisitet, religion eller seksuell orientering, er aldersgrensen likevel alltid 18 år.
  • Ikke profiler barn for markedsføringsformål.
  • Ikke ta med direkte oppfordringer til barn om å kjøpe noe eller overtale foreldrene sine til det.

Tilsyn og sanksjoner

Forbrukervernlovgivningen

Forbrukertilsynet skal søke å påvirke næringsdrivende til å innrette seg etter markedsføringsloven, angrerettloven og annet regelverk som Forbrukertilsynet fører tilsyn med. Ved brudd på markedsføringsloven eller annen forbrukervernlovgivning, kan Forbrukertilsynet fatte vedtak om forbud (§ 40), påbud (§ 41), tvangsmulkt (§

42) og i visse tilfeller overtredelsesgebyr (§ 43), jf. mfl. § 39. Forbrukertilsynets vedtak kan klages inn for Markedsrådet (§ 37).

Vedtak kan også rettes mot personer eller selskaper som medvirker til lovbrudd (§ 39 annet ledd).

Personvernlovgivningen

Datatilsynet er tilsynsmyndighet etter personopplysningsloven og har derfor mulighet til å be om all informasjon tilsynet trenger for å kontrollere at loven etterleves. Dersom reglene i personopplysningsloven brytes, kan Datatilsynet gi advarsler, fatte pålegg, utstede reprimander, stoppe behandlingen av personopplysninger eller ilegge overtredelsesgebyr. Dette følger av personvernforordningen artikkel 58, jf. personopplysningsloven § 1. Dersom Datatilsynets vedtak ikke følges, kan tilsynet dessuten ilegge tvangsmulkt etter personopplysningsloven § 29.

Avhengig av sakens omstendigheter og hvilke regler som er brutt, kan Datatilsynet ilegge overtredelsesgebyr på opptil 20 000 000 euro eller 4 % av den samlede globale årsomsetningen i forutgående regnskapsår. Det følger av personvernforordningen artikkel 83, jf. personopplysningsloven § 1.

I saker som påvirker forbrukere i flere EØS-land, finnes det egne regler om hvordan datatilsynsmyndighetene i de ulike landene skal samarbeide i sin tilsynsvirksomhet.

Tilbake til toppen