Artiklarna och avgörandet
Skyldigheten att lämna information på rätt sätt har aktualiserats i Spanien, den 11 december 2020, där banken BBVA åkte på ett bötesbelopp på två miljoner euro på grund av att de använde otydlig terminologi i sin personuppgiftspolicy samt att de inte gav tillräckligt mycket information om vilka personuppgifter de behandlade eller vad de faktiskt tänkte göra med uppgifterna.
Avgörandet från Spanien är lite speciellt, eftersom det är det första avgörandet från en tillsynsmyndighet där sanktion i miljonklassen delas ut enbart på grund av brister i information som ges till de registrerade, dvs brott mot artikel 13 och 14. Vilken information och hur den ges på bästa sätt har plötsligt blivit väldigt relevant.
I det här inlägget tänkte jag visa hur information kan ges, genom verkliga exempel och därigenom försöka illustrera vilka risker de olika alternativen för med sig.
En lökig metod
Det absolut vanligaste sättet att lämna information om personuppgiftsbehandlingar är genom en så kallad personuppgiftspolicy. Datainspektionen kör på den modellen och har ambitionen att samla information om samtliga behandlingar de gör på ett och samma ställe, den här approachen har fördelar och nackdelar. Den huvudsakliga fördelen är att all information finns samlad, och att den således inte behöver upprepas. Den huvudsakliga nackdelen är att det blir jobbigt för konsumenten att ta sig igenom flera sidor text för att hitta vad som är relevant i just den personens ärende.
Eftersom informationen som ska ges den enskilde ska levereras ”i koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk” är det frågan om sex sidor med text är nödvändigt när jag egentligen bara ville veta hur de behandlar mina personuppgifter när jag anmäler mig till en kurs.
Den metod som brukar rekommenderas av dataskyddsmyndigheter, bland annat brittiska ICO, kan vi kalla för en lökmetod. Lökens yttre skal ska innehålla den mest nödvändiga informationen om vilka personuppgifter som behandlas och varför och av vem, när vi skalar löken framgår därefter ytterligare detaljer om behandlingen och vilka rättigheter som kan aktualiseras i just den här behandlingen. Med andra ord: kortfattad information först och främst, långrandig information information för den intresserade.
En liten lök
Det vanligaste exemplet som jag ser på internet hur lökmetoden aktualiseras är genom Cookie banners.
Problemet som uppstår genom att ha en textruta av ovanstående slag är att jag i egenskap av användare av sidan inte har någon aning om vad behandlingen går ut på. Först och främst har jag ingen aning om vad det är för personuppgifter den personuppgiftsansvarige behandlar, och jag har heller ingen aning om vad det innebär att min upplevelse förbättras.
En mellanlök
Det finns bättre exempel på första lager information vad gäller cookies, till exempel den här varianten:
I bilden ovan ser vi ett exempel på vad sidan gör (lagrar och får åtkomst till enheten och bearbetar personuppgifter) och vad syftet med behandlingen är (personanpassa reklam och innehåll, göra konsumentundersökningar och utveckla produkter). Det framgår även att den huvudsakliga uppgiften som de vill åt att använda är geo-positionering och identifiering via skanning av enheten. Det låter bra, men vad betyder det här egentligen?
En varningsklocka börjar pingla i mitt huvud när jag läser ordet ”exempelvis” som beskrivning av vilka personuppgifter de behandlar. Om de personuppgifter de hänvisar till att de använder bara är exempel, hur ska jag kunna veta vilka uppgifter de faktiskt behandlar?
Lite samma problem upplever jag när de skriver att de vill personanpassa ”andra typer av innehåll”. Hur kan jag ta ställning till om det är något jag önskar om jag inte vet vilken typ av innehåll som personanpassas?
De vill med min tillåtelse använda exakta uppgifter avseende identifiering och dessutom skicka dessa till sina leverantörer. Men vilka uppgifter och identifiering av vad?
Otydlighet ledde som bekant till rätt ordentliga böter i Spanien.
Lökskal
Något annat jag märker är vanligt är att ingen information ges över huvud taget i första skedet, istället hänvisas till en länk.
Jag ska godkänna köpvillkoren och ingår därmed någon form av avtal med säljaren, och så ska jag läsa och godkänna villkoren för GDPR för att kunna teckna avtalet. Om något saknas så kan jag inte teckna avtal för tjänsten. Viss information om behandlingen får jag implicit genom att jag vet vad jag köper eller skriver upp mig på, men uppenbarligen finns det mer att veta eftersom jag blir hänvisad till en länk.
Om vi ska följa lökmetoden för information ska villkoren för GDPR gälla villkoren för just det jag skriver upp mig för, och den mest väsentliga informationen ska komma först. Det kan starkt ifrågasättas om mitt godkännande kan anses vara giltigt om villkoren inte gäller specifikt den/de behandling(ar) jag tecknar avtal kring, eftersom jag då även godkänner behandling orelaterad till tjänsten jag skrivit upp mig för. Villkoren måste även redogöra för vilka uppgifter som används till vad, särskilt om olika uppgifter används till olika saker.
Jag har märkt att det är vanligt att länken till villkoren för GDPR går till en generell policy, där själva informationen om den behandling jag tecknar avtal kring utgör en paragraf av många. Det är svårt att säga att det är fel att göra på så vis eftersom Datainspektionen själva använder metoden att samla all information på samma ställe. Nyckelordet i den förra meningen är ”all”. Datainspektionen har även en viss lyx i att de genomför relativt få behandlingar av utåtriktat slag, och de behandlingar de utför är relativt enkla och därmed enkelt beskrivna. Saknas något eller är något vagt beskrivet är risken överhängande för övertramp gällande rätten till information. Bolag och myndigheter som sysslar med mer komplex utåtriktad verksamhet kan nog med fördel använda sig av lökmetoden.
Avslutande lökiga tankar
Oavsett hur en organisation ger information om de behandlingar de utför måste konstateras att syftet med informationen är att ge möjlighet till enskilda att fatta informerade beslut. En slags konsumentinformation kan vi kalla det.
Jag vet av egen erfarenhet att jag oftast bara läser skönlitteratur eller saker jag får betalt för att läsa, så jag har ingen anledning att tro att någon som är mindre intresserad av GDPR än jag själv skulle läsa mer än några rader om personuppgiftsbehandling. Syftet att använda lökmetoden blir då alltså att få in tillräcklig information på några få rader för att en konsument ska kunna fatta ett informerat beslut om sin egen data. Svårigheten med lökmetoden är att ge tydlig information på ett koncist sätt. För att lyckas med det behöver författaren både tänka på vem läsaren är, ha insyn i behandlingen som görs och ha goda kunskaper om dataskyddsförordningen. Inte en helt lätt uppgift.
Om bara allmän information lämnas om behandling, dvs hänvisning till en generell policy utan särskild hänvisning till en specifik behandling, riskerar den personuppgiftsansvarige en anmälan (eller flera) för sin potentiella otydlighet. Det kan bli dyrt.
Nu när de första stora bötesbeloppen börjat trilla in för brott mot rätten till information är min starkaste rekommendation att slänga ett nytt öga på det första lagret information och på personuppgiftspolicyn, det kan vara läge att uppdatera. Ni som känner er träffade av ovan kanske till och med ska ta in en extern expert.