GDPR i EU
Personopplysninger fra nettbaserte tjenesteleverandører
Denne siden gir informasjon om behandling av personopplysninger av selskaper som opererer fra nettbaserte tjenesteleverandører.
Definisjon av online tjenester
Med «nettbaserte tjenester» menes juridisk og formelt «informasjonssamfunnstjenester» i EU-retten og i visse medlemsstaters nasjonale lovgivning. Det juridiske navnet er definert i artikkel 1 nr. 1 bokstav b) i EU-direktiv 2015/1535, ofte kalt «meldingsdirektivet».
Online-tjenester er en tjeneste som drives av et selskap på avstand, noe som betyr at leverandøren og mottakeren av tjenesten ikke er på samme sted.
Videre er det en tjeneste som gir leverandøren en økonomisk fordel. For eksempel gjennom reklameinntekter, brukergodtgjørelse for bruken, eller innsamlede data som gir en økonomisk fordel. Videre skal den elektroniske tjenesten leveres elektronisk, for eksempel Internett eller enhver annen form for elektronisk overføring.
I tillegg leveres elektroniske tjenester på individuell forespørsel fra mottakeren av tjenesten, og dermed ikke via massedistribusjon som fjernsyn eller radiokringkasting.
Eksempler på nettbaserte tjenesteleverandører:
- Sosiale medier
- E-handelsplattformer
Behandling av personopplysninger av nettbaserte tjenesteleverandører
Bedrifter som opererer online-tjenester behandler nesten alltid personopplysninger. Derfor er det viktig å kjenne reglene for ikke å begå overtredelser. I tillegg er det viktig at tjenesteleverandøren tilpasser den elektroniske tjenesten til GDPR, for eksempel ved å implementere databeskyttelse ved design. For eksempel ved å ha innstillinger for å tillate brukeren å trekke tilbake sitt samtykke.
Formålet med behandlingen av personopplysningene
Selskaper som omfattes av GDPR må alltid ha et formål med behandlingen av personopplysninger. Det er viktig for tilbyderen av en nettbasert tjeneste å analysere hva formålet med behandlingen er, og hvilke personopplysninger som er nødvendige for å oppnå det. Dette er et grunnleggende grunnlag for GDPR og er basert på prinsippet om formålsbegrensning, som er videre regulert i artikkel 5 (1) (b) i GDPR.
Åpenhet overfor registrerte i forbindelse med behandlingen
Bedrifter må alltid være åpne overfor de registrerte når de behandler sine personopplysninger. Dette gjelder også for online tjenesteleverandører.
For eksempel behandler mange mobilapplikasjoner vanligvis visse typer personopplysninger for å gjøre det mulig for brukere å registrere sin brukerkonto og bruke tjenesten. I slike tilfeller er det juridiske grunnlaget ofte en kontrakt med en registrert i henhold til artikkel 6 (1) (b) GDPR. Informasjon om det juridiske grunnlaget skal inkluderes i en personvernerklæring, som brukeren må erklære at han eller hun har lest.
Behandling av personopplysninger for andre formål
Det er vanlig at et selskap ønsker å behandle personopplysninger de har samlet inn i forbindelse med kontraktens inngåelse for å utføre atferdsmessig markedsføring. Det er imidlertid ikke tillatt å støtte denne behandlingen på det juridiske grunnlaget for en kontrakt med en registrert, da slik behandling ikke er nødvendig for inngåelse eller gjennomføring av kontrakten. På den annen side kan samtykke i henhold til artikkel 6 (1) (a) GDPR eller legitim interesse i henhold til artikkel 6 (1) (f) GDPR brukes av selskapet som et juridisk grunnlag for behandlingen i stedet.
Strengere regler når de registrerte er barn
Mange nettjenester retter seg mot barn, eller har mange barn som brukere. For eksempel sosiale medier. Det er tillatt å innhente samtykke fra et barn for behandling av personopplysninger i samsvar med GDPR, men reglene er strengere. I henhold til artikkel 8 i GDPR er aldersgrensen for et barns gyldige samtykke til behandling av hans eller hennes personopplysninger i forbindelse med elektroniske tjenester 16 år. Alle land i Unionen har imidlertid rett til å senke aldersgrensen til minst 13 år dersom de ønsker det i sin nasjonale lovgivning.
Bøtelagt et selskap som informerte barn om behandling av deres personopplysninger på engelsk
Et selskap som driver en mobilapplikasjon med mange barn som brukere, fikk en bot fra den nederlandske databeskyttelsesmyndigheten for overtredelser av GDPR. Det hadde blant annet informert de registrerte om behandlingen av deres personopplysninger på engelsk, selv om de var barn. Selskapet skal ha formidlet informasjonen på nederlandsk, da engelsk ikke er landets nasjonale språk. Når de registrerte er barn, må selskapet sørge for at barna forstår informasjonen om behandlingen av deres personopplysninger.
Juridiske baser selskaper som opererer online-tjenester kan bruke:
Kontrakt med den registrerte i henhold til artikkel 6 (1) (b) GDPR
En kontrakt med en registrert person betyr at et selskap har rett til å behandle personopplysningene som er nødvendige for inngåelse og gjennomføring av kontrakten. Leverandøren av en e-handelsplattform må for eksempel behandle kundens navn og adresse for å kunne fullføre leveringen av varene som er bestilt av kundene.
Behandle personopplysninger for å:
Utvikle en tjeneste
Det er vanlig å behandle personopplysninger for å utvikle en tjeneste som sosiale medier eller en markedsplass. Derimot er disse behandlingsoperasjonene i de fleste tilfeller ikke nødvendige for å oppfylle kontrakten, og kontrakter med registrerte er derfor ikke et passende rettslig grunnlag. Samtykke eller legitim interesse kan være et bedre valg i slike tilfeller.
Forstyrrelse av kriminelle aktiviteter
Mange selskaper arbeider for å forebygge kriminalitet, for eksempel svindel, og mange har også en forpliktelse til å gjøre det. De rettslige grunnlagene som selskaper i disse tilfellene vanligvis støtter slik behandling er juridisk forpliktelse eller legitim interesse.
Adferdsreklame
Mange elektroniske tjenester er gratis for brukeren og finansieres i stedet gjennom reklameinntekter og atferdsannonsering. I slike tilfeller er behandlingen av brukernes personopplysninger for markedsføringsformål vanligvis støttet av samtykke eller legitim interesse som lovlig grunnlag. EDPB har avgitt uttalelse om modeller for «samtykke eller betaling».
Det er viktig å huske på at selskaper må foreta en interesseavveining for å se om de har en legitim interesse, og dokumentere utfallet, før de bruker dette juridiske grunnlaget for å støtte behandlingen.
Aksept av kontraktsvilkår og samtykke til en bestemt databehandlingsoperasjon er ikke det samme
Ved drift av en nettbasert tjeneste må foretakene ha generelle vilkår som blant annet regulerer de respektive rettighetene og forpliktelsene til foretaket og brukeren. For å få rett til å bruke den elektroniske tjenesten, må brukeren godta de aktuelle vilkårene. Når brukeren gjør det, oppstår et kontraktsforhold mellom brukeren og virksomheten. Det rettslige grunnlaget for behandling av brukerens personopplysninger av selskapet, med det formål å inngå og utføre kontrakten, blir dermed en kontrakt med registrerte.
På den annen side kan den bare behandle de personopplysningene som er nødvendige for inngåelse og gjennomføring av kontrakten. Selskapet skal ikke behandle personopplysningene for andre uforenlige formål, for eksempel for atferdsbasert markedsføring. I slike tilfeller trenger enheten et annet rettslig grunnlag for behandlingen. For eksempel samtykke eller legitim interesse.
Samtykke skal ikke utgjøre et krav:
Vær oppmerksom på at bruk av den elektroniske tjenesten ikke kan gjøres betinget av brukerens samtykke til en bestemt behandlingsoperasjon. I så fall er samtykke ikke fritt gitt, da manglende samtykke medfører en negativ konsekvens for den registrerte. Dette gjør et slikt samtykke ugyldig.
Lær mer om GDPR
Informasjonskapsler på nettsteder
Det er vanlig at nettsteder lagrer informasjonskapsler på den besøkendes enhet for å utføre for eksempel målrettet markedsføring eller for å analysere bruken av nettstedet. Informasjonskapsler kan samle inn personopplysninger som dekkes av GDPR, for eksempel IP-adresser, i så fall må selskapet overholde GDPR. Det er forskjell på essensielle og frivillige cookies. Hvis selskapet ønsker å behandle frivillige informasjonskapsler, trenger det samtykke fra brukeren. Dette skiller den fra de nødvendige informasjonskapslene, som ikke trenger samtykke for å bli brukt.