Personvern: hva er et informert og frivillig samtykke?

I en nylig avgitt uttalelse, presiserer EUs generaladvokat innholdet i begrepet «samtykke» i personvernforordningen (GDPR) og det tidligere personverndirektivet i en sak som dreier seg om behandling av personopplysninger ved inngåelse av en kontrakt for levering av telekommunikasjonstjenester. Et samtykke er ikke å anse som tilstrekkelig frivillig og informert i kontrakter hvor lagring av identitetsopplysninger er angitt som standardregulering, og hvor den potensielle kunden aktivt må nekte lagring av vedkommendes identitetsopplysninger.

Saken ( C-61/19) oppstod da en teleoperatør i Romania, Orange Romania, inngikk kontrakter for mobile telekommunikasjonstjenester. Kopier av kundenes ID-kort ble vedlagt kontraktene. Den nasjonale tilsynsmyndigheten for behandling av personopplysninger mente imidlertid at kundene ikke hadde gitt gyldig samtykke for innsamling og lagring av kopiene av deres identitetspapirer, og ila teleoperatøren en bot. De krevde også at Orange Romania skulle makulere kopiene av de aktuelle id-dokumentene.

Orange Romania bestred tilsynsmyndighetens krav for domstolene. Den nasjonale domstolen ba deretter EU-domstolen om veiledning i saken med spørsmål om hvilke kriterier som må være oppfylt for at i) et uttrykk for samtykke er å anse som spesifikt og informert, og ii) det er å anse som et fritt og informert samtykke etter personvernforordningen (GDPR).

Generaladvokaten fortolker både de aktuelle bestemmelsene i GDPR samt det tidligere personverndirektivet, siden saken går lenger tilbake enn tidspunktet for ikrafttredelse av GDPR i Romania.

Generaladvokaten fremhever først at det er legitimt for et firma å be kundene om å oppgi visse personopplysninger, herunder især å bevise deres identitet, i forbindelse med inngåelsen av en kontrakt. Å kreve at en kunde skal samtykke til kopiering og lagring av identitetsdokumenter, synes imidlertid å gå utover det som er nødvendig for utførelsen av kontrakten.

Sakens fakta tatt i betraktning, mener Generaladvokaten at Orange Romanias kunder ikke gav fritt og informert samtykke i personregelverkets forstand.

For det første, var det ikke gitt frivillig samtykke. Å forplikte en kunde til å oppgi i håndskrevet form at vedkommende ikke samtykker til kopiering og lagring av sine identitetsdokumenter, kvalifiserer ikke til frivillig samtykke, da kunden settes i en situasjon hvor han eller hun merkbart avviker fra en vanlig prosedyre som leder til inngåelsen av en kontrakt. Kunder må altså ikke oppleve at deres avslag på samtykke til kopiering og lagring av identitetsdokumenter ikke er tråd med regulære prosedyrer.

Generaladvokaten uttrykker at tidligere rettspraksis legger vekt på aktiv oppførsel fra kunden for å gi samtykke. I dette tilfellet ser det imidlertid ut til at den omvendte situasjonen har oppstått: en positiv handling er nødvendig for å nekte samtykke. Generaladvokaten henviser i denne forbindelse til EU-domstolens dom i sak C-673/17 Planet49 og uttaler at dersom det å fjerne en forhåndskrysset avkrysningsrute på en nettside anses som en for stor belastning for en kunde, kan man ikke med rimelighet forvente at kunden skal nekte sitt samtykke i håndskrevet form.

For det annet, foreligger det ikke noe informert samtykke. Det har ikke blitt gjort klart for kunden at et avslag på kopiering og lagring av identitetsdokumentene ikke vil umuliggjøre en inngåelse av kontrakt. En kunde foretar ikke informerte valg dersom han ikke er klar over konsekvensene.

For det tredje, har teleoperatøren ikke fremlagt bevis for at deres kunder faktisk har samtykket til behandling av deres personopplysninger. Det er en tydelig mangel på klarhet i operatørens interne prosedyrer som ikke er egnet til å klarlegge hvorvidt kunden har gitt sitt samtykke. Slik mangel på klarhet og motstridende instruksjoner til salgspersonell skal ikke komme kunden til skade.

Generaladvokaten råder derfor EU-domstolen til å besvare spørsmålene til den nasjonale domstolen med at en person som har til hensikt å inngå et kontraktsforhold om levering av telekommunikasjonstjenester, ikke gir et konkret, informert og frivillig samtykke i personvernregelverkets forstand, dersom man må foreta en aktiv handling for å hindre lagringen av identitetsopplysningene.

Uttalelsen presiserer tidligere praksis på området. Samtidig er den nok et viktig eksempel på at selskaper må sørge for at forbrukerne aktivt må samtykke til at personlige opplysninger lagres. Et forhåndsdefinert «skinnsamtykke» er ikke tilstrekkelig til å oppfylle EUs krav på området.

Uttalelsen til Generaladvokaten blir som regel fulgt av EU-domstolen.

Kontaktinfo

Stortingsbiblioteket: bibl@stortinget.no
Ansvarlig: Jeannette Berseth


Sist oppdatert: 11.03.2020 10:27