Noen ganger ER samtykke det beste (dvs det mest treffende) behandlingsgrunnlaget

Written By Ida Tho

Photo by Pawel Czerwinski on Unsplash

Etter at GDPR trådte i kraft i 2018, opplevde i alle fall jeg er ganske kraftig skifte i hvordan vi personverneksperter svarte på spørsmålet: «Hva er det beste, eller mer presist: det mest treffende, behandlingsgrunnlaget?

Det gjaldt liksom en norm om at samtykke var det «beste». Samtykke ga jo den registrerte (tilsynelatende) kontroll over hvilke personopplysninger de oppga.

Men så var ikke det hele sannheten heller, fordi det er i flere situasjoner at samtykke ikke passer. Hvor det er stor maktubalanse mellom partene f.eks. Dette skyldes kravet om at et samtykke skal være frivillig, og det er grunn til å tvile på om den registrerte egentlig kan si nei, hvis det er en arbeidsgiver som spør.

En annen sak er det at samtykker ofte ikke innhentes på en måte som oppfyller alle krav til gyldig samtykke, f.eks. informasjonskravet. Er den registrerte godt nok informert om hva hen samtykker til?

Dette er noen av grunnene til at jeg tror vi som fagmiljø har gått litt bort fra å først anse samtykke som det mest treffende behandlingsgrunnlaget.

Det var liksom så mange forbehold knyttet til uttalelsen om at «samtykke alltid er best».

Men nå synes jeg pendelen har snudd til at utgangspunktet nærmest har blitt at jeg ALLTID må ta en rekke forbehold når jeg snakker om samtykke som behandlingsgrunnlag.

Og det fremgår etter min mening i de to dommene fra EU-domstolen C-394/23 Mousse og C-621/22 KNLTB, hvor domstolen i henholdsvis avsnitt 26 og 30, først lister opp samtykke som behandlingsgrunnlag, deretter de øvrige behandlingsgrunnlagene i GDPR artikkel 6(1).

Begge disse dommene handler om spørsmålet om det var riktig eller rammene for å bruke berettigede interesser som behandlingsgrunnlag.

Og jeg leser dem som en viktig påminnelse at i en del tilfeller, ER samtykke faktisk det behandlingsgrunnlaget som gir den registrerte mest kontroll.

(Forutsatt at det innhentes riktig selvfølgelig)

Og akkurat dette er ikke nytt. EU-domstolen fastslo at for Meta sin behandling av personopplysninger for formålet adferdsbasert markedsføring, ikke kunne baseres på berettigede interesser i C‑252/21. Dette førte til at Meta heller måtte bruke samtykke.

Og akkurat dette er verdt å merke seg nå som Meta har staret med å bruke «berettigede interesser» som behandlingsgrunnlag for å bruke bilder du laster opp i plattformenene deres, kommentarer og annen tekst du genererer til å trene KI-modellen sin!

Denne bloggposten er basert på nyhetsbrevet mitt om personvern. Driver du med personvern og kunne tenke deg støtte i form av et ukentlig nyhetsbrev? Meld deg på her!

Disclaimer: No AI Training Use

All content on this blog, including text, images, and other materials, is the intellectual property of the author unless otherwise stated. This content may not be used, copied, stored, or processed in any way for the purpose of training artificial intelligence or machine learning models, including but not limited to large language models (LLMs), without explicit, written permission from the author.

Ida Tho
Previous

Om det sosiale kredittsystemet eller hvordan personvern i Kina er 1000 ganger verre enn det jeg noensinne så for meg
Next

Du vet at Mark Zuckerberg er en så dårlig taper at hans ansatte lar ham vinne i brettspill, ikke sant?