Vi bliver kvalt i GDPR-information

En dataansvarlig skal oplyse ’kortfattet, gennemsigtigt, letforståeligt og lettilgængeligt’ om de persondata, der bliver behandlet. Tanken er ikke at kvæle personer i oplysninger, men at få dem til at forstå hvad deres personoplysninger bliver brugt til. Hvordan går det så med det? Der er mildest talt plads til forbedring, vurderer Jakob Dedenroth Bernhoft i denne uges ’Privacy på spidsen’.

En grundlæggende rettighed for personer er at få oplysninger om, hvordan vedkommendes persondata bliver behandlet. Det følger af artikel 12 i GDPR, at det er den dataansvarliges pligt at give oplysninger om behandling til den registrerede ”i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.”

Hvad betyder det så? Den såkaldte ’Artikel 29-gruppen vedrørende databeskyttelse’ er kommet med forskellige fortolkningsbidrag (uddrag):

  • De dataansvarlige bør fremlægge oplysninger/meddelelser effektivt og præcist for at undgå informationstræthed.
  • Kravet om, at oplysningerne er ’letforståelige’ betyder, at de skal kunne forstås af et gennemsnitligt medlem af den tilsigtede målgruppe.
  • Kravet om et klart og enkelt sprog betyder, at oplysninger skal gives på en så enkel måde som muligt, så der undgås komplekse sætnings- og sprogstrukturer.
  • Afsnit og sætninger bør være velstrukturerede med anvendelse af punktopstillinger og indrykninger for at signalere hierarkiske relationer.

Så langt, så godt. Hvordan ser virkeligheden så ud? Bliver artikel 12 overholdt i forhold til at give oplysningerne ’i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog’?

Vi har i COMPLIVACY lavet en mindre og ganske uvidenskabelig undersøgelse, hvor vi er gået ind på større virksomheders hjemmesider og gennemgået deres persondatapolitik. Termen ’persondatapolitik’ findes ikke i GDPR, men bruges i praksis som overskriften for, hvordan persondata behandles, jf. artikel 13 og 14 og artikel 15-22 og 34 (nogle kalder det også ’privatlivspolitik’).

Meget lange i spyttet
Alle de hjemmesider vi så på, var henvendt til forbrugere, og persondatapolitikkerne skulle derfor kunne læses af almindelige forbrugere uden særlige forudsætninger eller viden om GDPR.

Resultatet var ikke så godt. Indholdet opfyldte formelt reglerne om de oplysninger, som skal gives, men måden de bliver givet på, mener jeg er i strid med artikel 12. De er simpelthen meget lange i spyttet, og det vil være de færreste, som vil kunne tygge sig igennem.

Type hjemmeside Omfang af persondatapolitik
Hjemmeside hvor der kan bookes hotel m.v. 22 sider
Webshop med plejeprodukter 8 sider
Webshop med bl.a. elektronik 15 sider
Hjemmeside stort dagblad 11 sider
Webshop med tøj, sko m.v. 7 sider
Webshop supermarked 15 sider
Webshop el, vvs, belysning 16 sider

Jeg har med vilje ikke skrevet virksomhedernes navne, da pointen her ikke er at hænge virksomheder ud, men at diskutere om den måde, de lovpligtige oplysninger gives på, giver mening og er lovlig.

Man kan ikke forvente, at almindelige forbrugere tygger sig igennem syv sider persondatapolitik eller skrækeksemplet på 22 sider.

Hvorfor gør de det?
Hvordan er det kommet så vidt? Er det frygten for bøder, hvis der ikke gives information nok. Er det en CSR-tankegang, som ligger bag, og hvor virksomhederne viser deres samfundsansvar, når det kommer til behandling af personoplysninger? Er det rådgiverne, som hellere vil levere en persondatapolitik på 22 sider end på 2 sider? Det første er i hvert fald mere ’honorar-venligt’.

Det er svært at konkludere, hvad årsagen er til, at det efter min opfattelse er kørt helt skævt. For skævt er det kørt. Tanken med art. 12 er ikke at kvæle personer i oplysninger, men at få dem til at forstå hvad deres personoplysninger bliver brugt til.

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.