Emma gav sin dagbog videre uden samtykke

Kendt online-fællesskab for vordende mødre videregav data fra mere end en million brugere til politisk parti. Men den går ikke uden behørigt samtykke, skriver denne uges klummeskribent Nanna Haddad, som her gennemgår sagen og reglerne for samtykke.

Mange virksomheder ligger inde med store mængder persondata om deres kunder. Disse data er der mange andre virksomheder, som er interesserede i at købe - og det kan være fristende at slippe dem fri.

Det er bare vigtigt at huske på, at et af de grundlæggende principper i persondataforordningen er at sikre gennemsigtighed i forhold til de registrerede brugere, og salg eller videregivelse af disse persondata kræver samtykke.

Fælles for de sociale medier er, at der er en udbredt praksis med at indhente brede og vidtgående samtykker fra brugerne. Formålet med disse samtykker er at kunne benytte brugernes persondata som handelsvare i marketingsøjemed eller politisk regi.

Selv et socialt medie for vordende møder kan være et eksempel på en virksomhed, som sælger persondata ulovligt. Og det slap de ikke ustraffet fra, viser en ny afgørelse fra august 2018 fra de britiske myndigheder

Bøde for ulovligt salg af persondata
De britiske myndigheder (Information Commissioner’s Office) gav i begyndelsen af august 2018 en bøde på 140.000 pund, lidt under 1,2 mio. kr., til "Lifecycle Marketing Mother and Baby” (LCMB), også kendt som "Emmas dagbog". Det er et online-fællesskab og en blog rettet mod mødre, der giver ekspertrådgivning om graviditet og børnepasning.

Årsagen til bøden var ulovlig indsamling og salg af personoplysninger om mere end 1 million brugere til et marketingfirma, Experian Marketing Services (Experian). Det var hyret af Labour Parti, som ville bruge disse personoplysninger til at sende politisk markedsføringsmateriale til de registrerede brugere i forbindelse med det britiske valg, som fandt sted i maj 2017.

Manglende samtykke og oplysning
Personoplysningerne blev overført fra LCMB til Experian i henhold til en dataoverførselsaftale. Aftalen gik ud på en videregivelse af personoplysninger som navn, kontaktoplysninger og fødselsdato på forældrene, og de af deres børn, som var under fem år gamle. Disse oplysninger stammede fra bl.a. brugernes registrering på LCMB’S hjemmeside. De engelske myndigheder gennemgik persondatapolitikken på LCMB’s hjemmeside, som manglede oplysninger om videregivelsen af persondata til politiske partier. Derudover var det myndighedernes opfattelse:

  1. at de registrerede brugere ikke havde givet tilladelse til videregivelse af deres personoplysninger til Experian med henblik på politisk markedsføring.
  2. at ovennævnte videregivelse heller ikke var juridisk baseret på legitim interesse, fordi overførslen af personoplysningerne ville krænke de registrerede brugeres krav på beskyttelse af deres data, og det vægtede højere end hensynet til LCMB’s interesse i videregivelse af oplysningerne til Experian.

Ifølge persondataforordningen er der intet til hinder for at videregive personoplysninger om de registrerede til tredjepart. Problemet opstår her, da der ikke er behandlingshjemmel, herunder samtykke eller legitim interesse, og fordi oplysningspligten ikke er overholdt.

Overtrædelse af principperne om gennemsigtighed
Ifølge principperne om gennemsigtighed har de registrerede brugere krav om forskellige oplysninger, når der indsamles personoplysninger om dem, herunder formålet med indsamlingen. LCMB’s privatlivspolitik var temmelig omfattende, men nævnte ikke, at de indsamlede personoplysninger ville blive delt med tredjeparter, herunder et politisk parti.

Samtykke
De registrerede brugere skal give samtykke, hvis der sker videregivelse af deres data.

Ifølge de engelske myndigheder var oplysningerne om politisk markedsføring ikke angivet i persondatapolitikken, samtykket var hverken informeret eller specifikt og derfor var samtykket ikke lovligt indsamlet.

Kravene til et lovligt samtykke er følgende:

  • Den første betingelse er, at samtykke skal være afgivet frivilligt og ubetinget. Det betyder, at et samtykke ikke anses for at være givet frivilligt, hvis for eksempel køb af en vare eller en serviceydelse afhænger af samtykket.
  • Den næste betingelse er, at samtykke skal være konkret og specifikt. Det betyder, at personoplysninger altid skal indsamles til udtrykkeligt angivne og legitime formål. Hvis samtykket skal tjene flere formål, skal den dataansvarlige indhente særskilt samtykke for hvert enkelt formål. Anmodningen om samtykke skal samtidig være letforståelig og i et klart og enkelt sprog, som er egnet til målgruppen.
  • Tredje betingelse er, at samtykket skal være informeret. Det betyder, at den registrerede skal informeres om, hvad der gives samtykke til, før han eller hun kan samtykke og træffe sin beslutning på et oplyst grundlag. Informationen skal omfatte oplysninger om den dataansvarliges/udbyderens identitet, formålet med den givne behandling, hvilke oplysninger der bliver behandlet eller indsamlet og hvilken form for behandling, der finder sted.
  • Den fjerde betingelse er, at den registreredes samtykke skal meddeles utvetydigt og utvivlsomt. Det betyder, at samtykket ikke må give anledning til tvivl. En viljetilkendegivelse må ikke være baseret på en tvivlsom handling. Den person må ikke være i tvivl om, hvad vedkommende underskriver, samtykker, sætter kryds ved eller indvilliger i. Således udgør passivitet, tavshed og allerede afkrydsede felter på hjemmesider ikke et samtykke.

Legitim interesse
Under særlige omstændigheder kan en behandling af personoplysninger være baseret på legitim interesse hos den dataansvarlige, som kan retfærdiggøre behandlingen af personoplysninger til et bestemt formål. I denne specifikke situation fastslog de engelske myndigheder, at der ikke var nogen fordel for hverken de registrerede eller den dataansvarlige, og derfor ville aktiviteten være i modstrid med de registreredes rimelige forventninger om videregivelsen.

Begrundelsen for bøden
Myndighederne besluttede at pålægge LCBM bøden på 140.000 pund, da flere faktorer bidrog til at fastslå, at overtrædelsen var særlig alvorlig: Den involverede et stort antal enkeltpersoner, en del af dem var børn og persondatapolitikken omfattede ikke beskrivelsen af dataoverførsler fra LCBM til Experian. Hertil kom det manglende samtykke.

Udover de ovennævnte grunde, blev det bemærket under undersøgelserne, at persondatapolitikken på LCBM’s hjemmeside blev ændret i januar 2018 til at tilføje ordene "politisk parti" til listen. Denne ændring afspejlede den klare bevidsthed om fejlen fra LCMB.

Afslutningsvis må det konstateres, at sociale medier kan risikere en bøde, såfremt forordningens krav bliver overset eller ’glemt’. Det stiller også krav til web- eller app-udviklere, hvor brugere med tilhørende persondata oftest er kilden til indtjening. Det er derfor et must, at der fremadrettet tænkes persondataforordning ved app-udviklingens spæde start. Ellers klapper fælden – som det skete for Emma.

Skrevet af

Nanna Haddad

Nanna Haddad, Juridisk konsulent

Nanna Haddad er juridisk konsulent i revisorJURA med fokus på implementering af persondataforordningen i SMV’er. Hun har erfaring med erhvervsjuridisk rådgivning, konkret sagsbehandling inden for forvaltningsret og persondataret samt formidling på flere sprog.

Klummer

Se alle