Mange organisasjoner i Norge overvurderer og undervurderer hvordan samtykke skal forvaltes. Enda flere individer «slik som deg og meg» undervurderer verdien av samtykke om vi er ansatt, kunde eller forretningspartner.
Hva betyr egentlig samtykke i en GDPR-setting?
Samtykke betyr å gi et individ et genuint valg og ikke minst kontroll over hvordan vedkommende sine personopplysninger behandles av forskjellige aktører som for eksempel tjenesteleverandører. Når samtykke blir brukt riktig hjelper det den aktøren å bygge tillit og dermed forbedre et positivt omdømme.
Samtykke er ikke nytt, bare så det er sagt. Organisasjoner som driver direkte markedsføring inn mot et individ vet allerede at de må forholde seg til «markedsføringsloven (§ 15)» som gir klare føringer for hvordan samtykke skal overholdes.
Det har blitt utarbeidet både veiledninger, forskrifter og lover mht. samtykke og markedsføring helt tilbake til juni 1972. Ikke rart at så få husker hva dette egentlig går ut på!
GDPR kommet for å bli!
Heldigvis har GPDR kommet for å pusse støv av «noe «gammelt» dvs., nye og enkle føringer aktører trenger å implementere:
- Mer granulær opt-in metode («ja» og «nei» spørsmål for type tjeneste og informasjonskanal),
- Entydige registreringer av samtykke som er enkle og lett tilgjengelig.
- Måter for et individ å enkelt trekke tilbake samtykke med ingen krav om bindingstid.
- Noe som krever samtykke må ikke «skjules» inn i tekst som beskriver generelle vilkår.
Du er kanskje også én av de mange «samtykke spam-ofrene» som mottok i en periode alt for mange e-poster fra forskjellige selskap du egentlig ikke husket/visste du hadde et forhold til?
Med utgangspunkt i min kanskje litt spesiell interesse for personvern og GDPR tok jeg meg tid til å gå gjennom disse og kunne til slutt kategorisere aktører i følgende grupper:
- Selskaper med god løsning for samtykke – Dessverre representerte disse et mindretall.
- Selskaper som har en «slags» Samtykkeløsning kun for å si at de har noe. – Overraskende mange selskaper var i denne gruppen hvor det ikke var mulighet til å velge informasjonskanal eller tjeneste (alt eller ingenting).
- Selskaper som sendte en revidert tekst for generelle vilkår, altså ikke mulighet til å for eksempel kunne takke-nei eller ja. – Denne gruppen bestod av en stor andel bedrifter som leverer tjenester og produkter utenfor EU/EØS.
- Den siste gruppen er veldig lik den forrige, men med et viktig unntak. De påstod gjennom sin samtykkeløsning at jeg allerede hadde takket «ja» for alle deres tjenester/produkter (noe som ikke stemte) ved å forhånds velge ja-valget, noe som ikke er god GDPR praksis. – Det var overaskende hvor mange bedrifter som har en slik Samtykkeløsning.
Kort oppsummert
Som oppsummering til denne «lille» analysen har jeg følgende bemerkninger:
- Alt for mange selskaper er ennå ikke i mål med sin forvaltning av samtykke.
- Vi som individer har faktisk en mulighet til å si ifra til de organisasjoner som ikke vil/kan utføre samtykke basert på GDPR «gode praksis». Dette for å kunne bidra til å gjøre dem bedre.
Helt til slutt: «Ikke undervurder dine rettigheter som individ og ikke overvurder selskapenes innsikt i samtykke og GDPR. Det er rett og slett basert på respekt for hverandre».