Personopplysninger med konkret verdi er fremtiden!
Vi teller 1. desember og vi beveger oss inn i en måned som forhåpentligvis vil gi mange glede, om det er med mat, sang eller tid sammen med nære venner og familie. Teknologien, derimot, tar ingen pause. Et år etter at ChatGPT ble lansert, ser vi i dag en digital verden som er blitt endret raskere enn noen gang før. Personlig mener jeg at det er kombinasjonen av AI og personvern som kommer til å bli stadig viktigere fremover. Ikke minst så kommer vi stadig til å se at personopplysninger ikke bare er en datakilde, men at dine og mine personopplysninger kommer til å få en tydeligere verdisetting. Meta med sin nye forretningsmodell ble i går klaget inn for det europeiske forbrukertilsynet (CPC) for urimelig handelspraksis. Sett fra en annen vinkel så setter nettopp Metas nye forretningsmodell en konkret pris på dine personopplysninger.
Å hevde at personopplysninger har en reell verdi er egentlig som å slå inn en åpen dør. Lovgivere har de siste 25 årene jobbet aktivt med regulering av personopplysninger nettopp for å sikre borgernes rettigheter og friheter. Ikke minst, virksomheter med en stor kundemasse og digitale løsninger vet at slike opplysninger gir dem en mulighet til å kjenne kunden nesten bedre enn den kjenner seg selv. Likevel er det store spørsmålet hvordan sette en konkret verdi eller tall på dine og mine personopplysninger?
Verdien av data vil alltid være en utfordring ettersom det på en måte kan sees på som noe flyktig, som lett kan kopieres og gjenskapes. Utfordringen er heller ikke ny. Jeg har lyst til å trekke en liten parallell tilbake til slutten av 1990-tallet. Dette er tiden hvor mobiltelefonen hadde fått sitt første store fotfeste og alle skulle ha Nokia. Med polyfoniske ringelyder så introduserte produsentene muligheten for å legge inn egne ringetoner. Nedlastning av ringetoner tok av som et fenomen. Men hvilken verdi kunne en sette på ringetonene? Dette var rimelig enkle melodier som lød som en dårlig synthesizer. Men ettersom noen var villige til å betale for ringetonene, så var dette et lite marked med tilbud og etterspørsel. Verdien ble nettopp satt etter hvor mye noen var villige til å betale.
Min oppfatning er at overføringsverdien av personopplysninger til ringetoner er til en viss grad til stede. Når Meta nå mener at de kan tilby deg en tjeneste, i dette tilfellet tilgang til den sosiale medietjenesten Facebook, enten (i) ved å bruke dine personopplysninger som betaling for tilgang til tjenesten, eller (ii) ved å ta betalt for å ikke bruke dine personopplysninger, så etableres det en form for likevekt mellom hva en er villig til å betale for en tjeneste opp mot personopplysningenes verdi ved samme bruk.
Det å ta betalt i form av personopplysninger for bruk av en tjeneste kan være utfordrende hvis det ikke gjøres på riktig måte. Men det er i prinsippet ikke ulovlig. Vi trenger ikke gå lenger enn til digitalytelsesloven § 1 som sier at loven gjelder levering av digitale ytelser mot vederlag i forbrukerforhold, og at med vederlag så menes «betaling i penger eller annen motytelse. Som vederlag regnes også at forbrukeren oppgir personopplysninger, med mindre leverandøren behandler personopplysningene utelukkende for å kunne levere den digitale ytelsen eller overholde lovpålagte plikter». I tillegg følger det at personopplysningsloven går foran ved motstrid, med andre ord, virksomheten må oppfylle kravene etter GDPR. Men det sentrale her, er at personopplysninger dermed forutsettes å kunne være en form for vederlag for digitale ytelser.
Utgangspunktet er derfor etter mitt syn at det er positivt at Meta søker en ny betalingsmodell hvor det er tydelig at du kan velge mellom en tjeneste med eller uten personopplysninger, og hvor bruk av personopplysninger settes direkte opp mot en kostnad. At denne kostnaden ikke er ubetydelig er i mine øyne positivt fordi det innebærer at personopplysningene har en reell verdi fra et markedsføringsperspektiv og Meta har med stor sannsynlighet regnet på hva de får inn av annonsemidler for den enkelte når summen er satt opp. Samtidig må dette naturligvis gjøres i henhold til GDPR. Det betyr at hvis det er meningen at det er samtykke som er det relevante behandlingsgrunnlaget etter GDPR art. 6 bokstav a, jf. art. 4 nr. 11, da må Meta ha innhentet samtykke basert på at det er (i) frivillig, (ii) spesifikt, (iii) informert, (iv) aktivt (utvetydig) og (v) kunne trekkes tilbake. Så er det et interessant spørsmål om det reelt sett foreligger en frivillighet i et samtykke hvis du plutselig risikerer å miste tilgangen til et sosial medium hvis du ikke er villig til å betale for tjenesten? Samtidig, så er det ikke en menneskerett å motta en tjeneste gratis, så her ligger det noen argumenter som strides. Min vurdering er at det sentrale er hvordan eksempelvis et samtykke innhentes og hvordan en overgang fra en modell over til neste sikrer at reglene overholdes. Men at det skulle være et absolutt forbud mot å la personopplysninger kunne være et vederlag etter GDPR mener jeg er feil vei å gå.
Men her stopper ikke klagesangen over at Meta nå tar betalt for ikke å bruke dine personopplysninger. I tillegg har 19 europeiske forbrukerorganisasjoner, inkludert det norske Forbrukerrådet, klaget inn Meta til det europeiske forbrukertilsynet CPC for urimelig og aggressiv handelspraksis med bakgrunn i handelspraksisdirektivet (Direktiv 2005/29/EF) og urimelig avtalevilkårsdirektivet (Direktiv 93/13/EØF). I tillegg fremmes det at et brudd på GDPR også vil innebære et – per se – brudd på urimelig handelspraksis. Direktivenes bestemmelser er implementert i norsk rett gjennom markedsføringsloven kapittel 2, slik som § 6 (urimelig handelspraksis om handlinger som er egnet til å påvirke forbrukernes økonomiske beslutninger), § 7 (villedende handlinger – prinsippet om redelig og pålitelig reklame), § 8 (villedende utelatelser) og § 9 (aggressiv handelspraksis). Dermed kan det synes som om forbrukerorganisasjonene mener at Meta tvinger personer inn i en ikke-betalingsmodell fordi kostnadene ved å velge betalingsløsningen blir for høy og er dermed ikke er frivillig alternativ. Så er det i tillegg et spørsmål om det uansett er en bruk av personopplysninger for å kunne levere den sosiale plattformen slik at det heller ikke er et reelt betalingsalternativ uten bruk av personopplysninger.
Det er med andre ord flere regelsett som må forseres for å sikre at en virksomhet kan ta betalt gjennom bruk av personopplysninger for sine tjenester. Jeg mener dette vil bli et stadig viktigere og mer relevant alternativ ved bruk av tjenesteplattformer, enten det er Facebook, Spotify eller ChatGPT. Spesielt viktig blir det ved bruk av dine data og personopplysninger ved trening av AI-plattformer. Utforming av samtykke må være reelt og sikres for å oppfylle krav etter GDPR, og lenger frem også AI-forordningen.
Når det gjelder AI-forordningen så er ryktet at vi står foran en uke med den sjette runden med trilogforhandlinger som starter 6. desember. En løsning synes et stykke unna, spesielt etter at de største statene, Frankrike, Tyskland og Italia, har reist bekymringsmeldinger om regulering av generative AI-løsninger. I tillegg gjenstår fortsatt andre utfordringer, blant annet med håndheving av forordningen. Akkurat nå risikerer Europa å stå igjen på perrongen mens både USA og England synes å få på plass regelsett for AI. Vi får håpe vi har forstand i Europa til å få et regelsett på plass som verner borgerne, men også fremmer innovasjon. Eller som en vis mann en gang sa: «Lykke er å finne visdom, og å få innsikt er å få forstand.» Det er en lykke å få visdom med ChatGPT, men forstand er jeg fortsatt usikker på.
GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så følg med Peter på LinkedIn (https://www.linkedin.com/in/peter-lenda/) eller kontakt han på epost pele@grette.no hvis du ønsker bistand eller råd. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider.
Flere nyheter
