Stemningen var neppe god hos Amazons advokater da de mottok det luxembourgske datatilsynets seneste avgjørelse – også rett før sommerferien, da! Tilsynsmyndigheten mener at Amazons bruk av personopplysninger i markedsføring strider mot Europas personvernregler, GDPR, og at et overtredelsesgebyr stort 746 millioner euro er en passende straff.
Som Vanebo påpeker, har det luxembourgske datatilsynet taushetsplikt om Amazon-saken frem til den er avgjort i rettssystemet. Siden Datatilsynet i Norge er part i saken som berørt tilsynsmyndighet, er vi også tilbakeholdne med å kommentere. Vi kan imidlertid si dette: Hvis Amazon hadde fulgt rådene nedenfor, hadde nok ting gått annerledes. Selv i en tid hvor datatilsynsmyndighetene skjerper håndhevingen, finnes det grep man kan ta for å unngå å havne i tilsynsmyndighetenes søkelys.
Hvorfor fikk Amazon GDPR-gebyr på 746 millioner euro?
Fornøyde forbrukere får velge
Mange GDPR-klager gjelder manglende valgfrihet. Ikke sjeldent definerer virksomheter hva kundene ønsker at personopplysningene deres skal brukes til – uten å spørre kundene, og gjerne i strid med empiri. For eksempel har flere virksomheter sagt at kundene ønsker målrettet markedsføring, selv om Datatilsynets siste personvernundersøkelse viser det stikk motsatte.
Noen ganger gir virksomhetene valgfrihet på papiret, men gjemmer valgene såpass godt at de fleste gir opp underveis. For hvert ekstra klikk man må gjennom for å si nei, desto mindre frivillig er valget.
Én ting er at slike praksiser kan medføre smekk på fingrene fra tilsynsmyndighetene. En annen ting er at det frustrerer eksisterende kunder og skremmer bort nye. Personvernundersøkelsen vår viste for eksempel at halvparten av oss har unngått å gjennomføre et kjøp i en nettbutikk fordi vi ikke stoler på hvordan nettbutikken behandler personopplysningene våre. Dette er et godt eksempel på samspillet mellom personvern og god forretning.
De gode forventningene
Et annet og beslektet element, som stadig oftere legges vekt på i europeisk tilsynspraksis, er kundenes berettigede forventninger til behandling av personopplysninger. For eksempel vil kunder ofte forvente – og forutsette – at opplysninger de legger igjen hos en virksomhet de stoler på, ikke deles fritt med utenforstående. Og nei, her kan man ikke gjemme seg bak kryptiske formuleringer om datadeling i lange personvernerklæringer som de aller fleste ikke leser.
På et mer overordnet nivå kan vi si at kunder som legger igjen data hos en virksomhet, forventer at dataene ikke skal brukes mot deres interesser. De færreste har interesse av å miste kontrollen over egne personopplysninger eller at personopplysningene skal brukes til å prakke på en ting man ikke vil ha. Dessverre er det ofte nettopp dette som skjer – og det er derfor Datatilsynet mottar klager.
Bærekraftig datainnovasjon
Løsningen er neppe å slutte å bruke data – og det finnes tross alt mange tilfeller der vi forventer og har glede av at personopplysningene våre behandles. Spørsmålet er i stedet hvordan vi kan bruke data riktig. Data bør jobbe for kundene, ikke imot – og det bør i størst mulig grad være opp til kundene å bestemme hva de vil. Fornøyde kunder blir værende, og de klager ikke til tilsynsmyndighetene.
Dette er åpenbart lettere sagt enn gjort. Samtidig kan man nok si at virksomheter som innoverer databruken i denne retningen, har det lengste tidsperspektivet. Vi vet ikke hva fremtiden bringer, men vi vet at bærekraftig databruk har de beste forutsetningene for å møte den.
Etter tre år med GDPR: Disse har måttet betale aller mest
