Spesialregler som du kan si «går foran» GDPR

Written By Ida Tho

Photo by Tingey Injury Law Firm on Unsplash

Jeg er som jurist ikke noe glad i å si at et regelverk «går foran» GDPR. Ikke fordi det ikke er sant, det finnes en rekke spesialregler på personvern som «går foran» de generelle personvernreglene i GDPR.

Jeg liker ikke si «de går foran» GDPR, fordi det ikke egentlig handler om det. Det handler om at spesialregler regulerer andre, mer spesielle tilfeller enn det de generelle reglene i GDPR gjør. Det er ikke snakk om motstrid, men om utfyllelse!

Kanskje er dette en forskjell uten en distinksjon? Men det er en forskjell som nørde-juristen i meg er opptatt av.

Uansett, denne blogg-posten handler om hvilke spesialregler vi har i norsk rett, som kan sies å «gå foran» eller som utfyller GDPR. 

Unntak fra samtykke i markedsføringsloven

Du vet utgangspunktet at du må ha samtykke fra folk før du sender dem e-post med reklame? Ja, det gjelder ikke hvis de er tidligere kunder av deg.

Eller mer presist, du trenger ikke samtykke for å sende markedsføringse-poster til kundene dine som er i et «eksisterende kundeforhold».

Det stilles noen krav til et «eksisterende kundeforhold». Det holder ikke bare at de har kjøpt noe av deg en gang før, du må ha solgt dine varer eller tjenester til dem gjentatte ganger. Det holder med andre ord ikke at dette er en engangskunde.

Og så kan du ikke sende dem e-post i veldig lang tid etter at de har kjøpt. 

Hvor kommer dette fra? ePrivacydirektivet som ble inkorporert i norsk rett blant annet med endringer i markedsføringsloven. Konkret står dette i markedsføringsloven § 15(3).

Du har rett til å se hvem som har vært inne og sett på pasientjournalen din

GDPR inneholder ikke noe eksplisitt krav til at du har rett til innsyn i hvem som har vært inne og sett på personopplysningene dine. 

Men i pasientjournalforskriften § 14(1) står det at den virksomheten som har en pasientjournal plikter å logge den som har vært inne og sett på helseopplysningene, og i § 14(2) står det at du som pasient har rett til innsyn i den dokumentasjonen.

Dette er altså en norsk spesialregel som går lengre enn GDPR.

Barn har samtykkekompetanse til å være på sosiale medier fra og med de er 13 år gamle

Du har sikkert fått med deg at barn kan være på sosiale medier fra de er 13 år gamle. Dette er også en spesialregel. Hvis vi skulle ha fulgte «hovedregelen» i GDPR artikkel 8(1), hadde aldersgrensen for dette i Norge vært på 16 år.

I stedet har vi en spesialregel som står i personopplysningsloven § 5 som sier at barn har samtykkekompetanse til at big tech skal kunne behandle deres personopplysninger fra og med de har fylt 13.

Det står ikke fullt så polemisk, samtykkebestemmelsen er knyttet til «informasjonssamfunnstjenester», det vil si sosiale medier. 

Ida Tho
Previous

Hva sier SCHUFA-dommen om automatiserte avgjørelser?
Next

Hva kan vi lære av Nowak-dommen? Kort fortalt at en eksamensbesvarelse er en personopplysning