Hanne Pernille Gulbrandsen og Christoffer Nicolaisen i Deloitte Advokatfirma. Foto: Johnny Vaet Nordskog

Samtykketrøtthet til besvær

Innhenting av samtykke og personvern er viktig for eiendomsbransjen, som får stadig flere digitale løsninger.

Publisert Sist oppdatert

Artikkelforfatterne er director og advokatfullmektig Hanne Pernille Gulbrandsen og senioradvokat Christoffer Nicolaisen i Deloitte Advokatfirma.

Smarte bygg, kunstig intelligens og maskinlæring har vært de siste årenes største buzzord. Vi er fortsatt langt unna ekte AI i hverdagen, men vi ser at norske eiendomsaktører har begynt å inkorporere digitale løsninger for alvor. Hypen er i ferd med å bli vaskeekte virkelighet.

Integrasjon av slike løsninger innebærer blant annet

a) autonom og/eller prediktiv oppførsel – bygget får ta beslutninger på egenhånd, eksempelvis for å spare energi og kostnader,

b) innsamling av data i storskala – bygget registrerer den enkeltes bruk av eiendommen og infrastrukturen og lagrer dataene til bruk og senere analyse,

og

c) delsystemer som snakker sammen – komponentene utveksler data for å understøtte funksjonene i bygget i sanntid.

Bruk av slike løsninger vil ofte innebære innsamling og bruk av dine og mine personopplysninger. Kunstig intelligens trenger blant annet store mengder data for å lære, men benytter også personopplysninger i bruk, for eksempel som ledd i automatiserte avgjørelser.

Personvernforordningen krever at bruk av personopplysninger blant annet skal være lovlig, transparent og rettferdig. Det betyr at all bruk av personopplysninger må baseres på ett av seks lovlige behandlingsgrunnlag. Dette gjelder også når personopplysninger benyttes ved bruk av kunstig intelligens.

Samtykke er et viktig grunnlag i den personvernrettslige verktøykassen, men hvordan passer dette egentlig med bruk av kunstig intelligens i hverdagen? På Internett har nettsidene blitt «forsøplet» med GDPR-erklæringer og cookie-samtykker som gir deg en større eller mindre grad av kontroll på hva som kan samles inn av dine opplysninger. Enkelte nettsteder krever ditt samtykke for å kunne besøke sidene, andre ber deg om å aktivt ta stilling til hva som kan samles inn, mens andre igjen kun informerer om at bruk tilsvarer samtykke. De færreste av oss gidder tilslutt å ta stilling til hva som presenteres, og vi klikker bare OK for å komme oss videre. Resultatet er at vårt eget personvern seiler sin egen sjø.

Så kan vi tenke oss en eiendomsbransje som gjør det samme? La oss skissere tre grovt forenklede eksempler på hvor forskjellig dette kan ivaretas:

1. Eiendommen har synlig plakat ved døren der man går inn, hvor det står: «OBS! Her samler vi inn dine data vedrørende ditt opphold på eiendommen. Om du ikke ønsker dette, vennligst snu og gå tilbake dit du kom fra.».

2. Ved ankomst i resepsjonen blir man møtt med en aktiv GDPR-erklæring som man må samtykke til ved registrering, og elektronisk akseptere datainnsamlingen. Samtykket er nødvendig for at mottakeren skal varsles om din ankomst.

3. Eiendomsbransjen unngår GDPR-problematikken ved å kun samle inn anonyme data. Ingen sensorer eller systemer registrerer deg som individ, og samtykke er derfor ikke påkrevet.

Så enkelt som «accepting by walking further» i løsning 1 er det høyst sannsynlig ikke.

Samtykket skal ivareta den enkeltes selvbestemmelsesrett og kontroll med egne personopplysninger. Individet skal få vite hvem som bruker egne personopplysninger, hvorfor og hvordan de bruker dem og ikke minst hvor lenge. Dette følger av informasjonsplikten, som er en selvstendig plikt uavhengig av om den behandlingsansvarlige baserer seg på den enkeltes samtykke.

Retten til informasjon skal utjevne informasjonsubalansen som ofte eksisterer mellom den individet og den behandlingsansvarlige og sette den registrerte i stand til å ivareta eget personvern gjennom å få kontroll på egne personopplysninger og hvordan disse behandles.

Personvernforordningen stiller særskilte krav til retten til informasjon ved bruk av automatiserte avgjørelser gjennom etablering av den registrertes rett til å få en forklaring når automatiserte avgjørelser benyttes. Ved forekomst av automatiserte avgjørelser, har den registrerte rett på relevant informasjon om den underliggende logikken i automatiseringen, betydningen av denne og de forventede konsekvensene behandlingen kan få for den registrerte.

Et system som automatisk slipper inn folk ved døren, og andre ikke, må derfor eksempelvis gi informasjon om at personer under 18 år ikke slipper inn, at det er for mange som er innenfor dørene akkurat nå eller at vedkommende er nektet inngang basert på at han eller hun ikke er oppført på gjestelisten. Mer komplisert blir det når avgjørelsen baserer seg på en vurdering som ikke engang den som programmerte løsningen kan forklare rett ut. En plakat vil derfor ikke være nok, en integrert resepsjonsløsning kan neppe ivareta brukervennlighet og lovkrav på en god nok måte, og å kun samle inn anonym data vil antagelig ikke gi de ønskede gevinstene slike investeringer er ment å realisere. Svaret med to streker under finnes heller ikke lett tilgjengelig.

Hvordan skal vi sikre den enkeltes selvbestemmelsesrett og utjevne informasjonsubalansen i en verden der vi møter kunstig intelligens overalt? Vil et krav om samtykket kunne ivareta den de registrertes rettigheter på vår ferd gjennom et bybilde preget av kunstig intelligens? Vi har alle rukket å bli lei av at en innboks overfylt med samtykkeforespørsler eller store pop up-bokser som dekker halve nettsiden vår med det formål å gi oss muligheten til å si ja eller nei til bruk av cookies. Hvordan skal en reservasjonsrett ivaretas i det offentlige rom og på arbeidsplassen? Har personvernforordningen økt vår samtykketrøtthet i en slik grad at vi i tiltakende grad ikke bryr oss, slik at det er nå det både bør og må tenkes nytt? Normen bør være under stadig kontroll og utvikling, slik at vi kontinuerlig har et aktivt og avklart forhold til hva som er innenfor og fortsatt evner å ivareta den enkeltes personvern.

Når teknologi og juss krysser hverandre oppstår kompliserte problemstillinger som krever en helhetlig tankegang. Samtykketrøttheten henger over oss alle, og vi tror derfor fokus må ligge på en kombinasjon av flere elementer. Bedre personvern kan oppnås dersom fokuset rettes mot kravet til innebygd personvern og personvern som standardinnstilling, også kalt privacy by design. Det ligger fremdeles store verdier å hente for eiendomsbransjen i å kunne samle inn og benytte seg av anonyme data.

Vi tror også bransjen generelt bør se nærmere på behandlingsgrunnlaget berettiget interesse, enn å fortsette å jage samtykket som den tilsynelatende eneste hellige gral. Ved vurderingen av berettiget interesse skal interessen av å samle inn og behandle dataene veies opp mot den enkeltes personvern. Vurderingen baserer seg på en rekke elementer som vil være for detaljert til å redegjøre for her, men totalt må innsamlingen bygge på en forholdsmessig balanse hvor hensynene er tilfredsstillende ivaretatt. Vi utfordrer her eiendomsbransjen til å utkrystallisere en plattform man kan bygge på videre, fremfor å la vurderingen være opp til hver og en aktør.

Powered by Labrador CMS