Ved GDPR har EU har gjort samtykke til det sentrale behandlingsgrunnlaget.
Fra et teoretisk ståsted fremstår det som svært fornuftig at hver og en skal være herre over egne personopplysninger ved å kunne ta stilling til om samtykke skal gis eller ikke. I praksis er samtykke-modellen dårlig personvern, og i betydelig grad en ulempe for den enkelte og den delen av næringslivet som tilstreber å etterleve regelverket.
Problemene med samtykke er beskrevet i Datatilsynets rapport «Det store datakappløpet» side 39:
«Som nevnt er det veldig vanskelig for folk flest å sette seg inn i hva som skjer. Den enkelte har i praksis dårlige muligheter til å treffe informerte beslutninger. Dette henger delvis sammen med at det som foregår er lite gjennomsiktig, og delvis henger det sammen med at det blir for mye informasjon for den enkelte å sette seg inn i.»
«Utfordringer med samtykke kan også forklares med menneskelige egenskaper. Vi er ofte mindre rasjonelle enn vi liker å tro, og vi har ofte tendenser til å velge status quo-løsninger eller de løsninger som gir umiddelbart positivt utbytte.»
«I realismens navn kan vi innrømme at det å la behandling av personopplysninger være betinget av samtykke i mange tilfeller ikke fungerer etter sin hensikt. Ved å la den enkelte bestemme selv, lar man også den enkelte stå alene overfor store og mektige aktører som i realiteten kan diktere hva han eller hun må samtykke til.»
Ofte gis ikke samtykket basert på en vurdering av håndteringen av personopplysninger, men av praktiske årsaker, feilvurderinger og ønsket om å få tilgang til den underliggende tjenesten. Når feilkildene er så omfattende er det åpenbart at samtykke-modellen ikke fremmer godt personvern.
Mange samtykker til å gi fra seg personlig data
Eksempelvis har en svært høy andel av Norges befolkning tillatt at Google leser ut hvor de befinner seg ca. 3 ganger i minuttet. Ved å tillate dette får Google kunnskap om hvor du er og hvem du er sammen med. Fra før av vet Google hvilke steder (forretninger osv.) som er hvor. Basert på dette kan det bygges en svært presis profil av den enkelte. Det er vår påstand at et fåtall av de som har samtykket til dette faktisk ønsker seg denne konsekvensen. På den annen side er det mange som setter pris på å kunne bruke Google maps til å finne ut av hva som er raskeste rute hjem – trafikken tatt i betraktning.
Et annet eksempel er Clubhouse – en app som er langt unna å oppfylle personvern-regelverket, men likevel noe mange syntes de bare måtte ha. Alle samtykkene som ble gitt var basert på ønsket om appen, og ikke en vurdering av personvernet.
En tredelt løsning
Løsningen ligger i å etablere tre nivåer for behandling av personopplysninger. Først ett alminnelig handlingsrom for trivielle personopplysninger som næringslivet kan benytte uten behandlingsgrunnlag. Slike opplyser er navn, adresse, telefonnummer og opplysninger fra registre som er gjenstand for innsyn med hjemmel i offentlighetsloven eller særlovgivningen for det respektive registeret. Dette vil gi et handlingsrom innenfor det folk flest synes er tjenlig, og som samtidig gir næringslivet muligheter for innovasjon.
Kontinuerlig sporing av hvor man befinner seg (stedstjenester) og omfattende sporing av personers aktivitet på internett og sosiale medier burde ligge utenfor det som enkeltindividet kan samtykke til. Teknologi som forutsetter slik omfattende innhenting av personopplysninger bør underlegges en offentlig godkjenning. På denne måten kan en offentlig myndighet ta stilling til om ulempene oppveies av fordelene, og om enkelte ulemper kan avhjelpes ved å korrigere innholdet i tjenesten. For den enkelte er et slikt arbeid ikke praktisk gjennomførbart.
Mellom disse to ytterpunktene vil det oppstå et mellomrom der det vil være nødvendig å innhente samtykke. Med denne tredelingen vil man oppnå den konsekvensen at forbrukeren får en varsling om å være aktsom dersom forbrukeren blir anmodet om å samtykke. Dette fordi anmodningen om samtykke typisk vil gjelde noe som ikke inngår i det alminnelige handlingsrommet, og heller ikke noe myndighetene har tatt stilling til.
Vi jobber med saken, men veien frem er dessverre lang. Først må politikerne forstå at det har blitt gjort feil, dernest må det innrømmes og til slutt må det gjennomføres et arbeid for å rette feilen. Foreløpig er vår anbefaling å tørre å utfordre handlingsrommet for berettiget interesse.