Krav til samtykke ved viderebruk av profilbilder i sosiale medier

Transkript

1 Krav til samtykke ved viderebruk av profilbilder i sosiale medier Forholdet mellom personopplysningslovens samtykkekrav og åndsverkloven 45c Kandidatnummer: 702 Leveringsfrist: 25. november 2017 Antall ord:

2 Innholdsfortegnelse 1 INNLEDNING Tema, bakgrunn og aktualitet Nærmere om tema og problemstillingene Avgrensninger Begrepsavklaringer Rettskilder og metode Veien videre SAMTYKKEKRAVET ETTER PERSONOPPLYSNINGSLOVEN Forholdet mellom samtykkekravet og andre behandlingsgrunnlag Samtykkekravets innhold Frivillig Uttrykkelig Informert Utgangspunktet Hvilken informasjon skal gis Når og hvordan informasjon skal gis Sammenfatning FORHOLDET MELLOM SAMTYKKEKRAVET I PERSONOPPLYSNINGSLOVEN OG ÅNDSVERKLOVEN 45C Overlappende virkeområde Samtykkekravet i åndsverkloven 45c Behovet for samtolkning av samtykkekravet i de to regelsettene Sammenfatning BETYDNINGEN AV NY PERSONVERNFORORDNING Generelt om personvernforordningen Presisering av samtykkekravet Konsekvens AVSLUTTENDE BEMERKNINGER KILDER i

3 1 Innledning 1.1 Tema, bakgrunn og aktualitet Tema for oppgaven er hvilke krav som stilles til samtykke ved viderebruk av profilbilder i sosiale medier. Særlig interessant er de vilkår og den metode sosiale medier benytter for å innhente samtykke for å kunne dele eller viderepublisere brukerens profilbilde. Med viderebruk menes bruk ut over det som er nødvendig for tjenestens funksjon for kommersielle formål. Oppgaven vil drøfte samtykkekravet både i relasjon til personopplysningsloven 1 og bestemmelsen om vern av eget bilde i åndsverksloven 45c. 2 Bakgrunnen for oppgaven er den sentrale rollen sosiale medier har fått i samfunnet de siste årene. Med sosiale medier menes mange-til-mange-kommunikasjon på digitale plattformer der innholdet i stor grad er laget av brukeren selv. 3 65% av voksne nordmenn bruker sosiale medier daglig eller nesten daglig. 4 Dette medfører at det innsamles, registreres og lagres store mengder personlig informasjon om enkeltpersoner. Undersøkelser viser at svært mange brukere har dårlig forståelse og oversikt over hva de samtykker til, og hvilke implikasjoner dette kan ha for deres personvern. 5 Ved opprettelse av en brukerkonto i sosiale medier, inngås en avtale mellom brukeren og det sosiale mediet (heretter tjenestetilbyderen). Brukeren aksepterer brukervilkår og en personvernerklæring som det blir henvist til gjennom én eller flere lenker. Binding skjer ved et akseptklikk eller avhuking av en boks. Brukervilkårene og personvernerklæringen (heretter vilkårene) er ofte svært lange, og skrevet på et juridisk språk som er vanskelig å forstå for en vanlig bruker. De er utformet på en måte som gjør at det ikke alltid klart fremgår hvilke rettigheter brukeren har, og hvordan de ulike personopplysningene blir behandlet av tjenestetilbyderen. Vilkårene omhandler blant annet rettigheter og potensielt viderebruk av brukerens bilder som lastes opp på det sosiale mediet. Et slikt bilde er brukerens profilbilde. Dette er et spesifikt bilde knyttet til hver brukerkonto som typisk viser et personlig identifiserbart bilde av brukeren. Tjenestetilbyderen oppfordrer brukeren til å laste opp et slikt bilde for å få full utnyttelse 1 Lov 14. april 2000 nr. 31 om behandling av personopplysninger (Personopplysningsloven) 2 Lov 12. mai 1961 nr. 2 om opphavsrett til åndsverk m.v. (Åndsverkloven) 3 Aalen (2013) s SSB (2017) 5 Datatilsynet (2016) s. 33 1

4 av det sosiale mediet. Andre brukere vil da lettere kunne identifisere brukeren og kontakte han eller henne. Tjenestetilbyderne har utformet vilkårene vedrørende viderebruk av profilbilder på ulike måter. Typisk for vilkårene er imidlertid at de gir tjenestetilbyderen og eventuelle tredjeparter svært omfattende rettigheter til slik viderebruk. Vilkårene er også ofte vide og lite konkretiserte. Dette medfører en reell mulighet for at brukeren ikke forstår om, og i hvilken utstrekning, tjenestetilbyderen kan benytte profilbildene. I praksis vil viderebruk for kommersielle formål typisk være at tjenestetilbyderen bruker profilbildene til å markedsføre det aktuelle sosiale mediet. Et eksempel på dette ble avslørt i NRKs reportasje fra oktober Her fremkom det at datingtjenesten og det sosiale mediet Møteplassen.no aktivt bruker brukerens profilbilder i markedsføring av tjenesten. Viderebruk kan også innebære at tjenestetilbydere tillater at tilknyttede tredjeparter bruker profilbilder for kommersielle formål. Et eksempel kan være annonsering av produkter. Det som gjør viderebruk av profilbilder problematisk er at bildene er av personlig art, der profilbildets hensikt er å identifisere brukerne. Når bildene blir benyttet til viderebruk av tjenestetilbyderne, blir brukerens personvern utfordret. Vilkårene og metoden tjenestetilbyderne benytter for å innhente samtykke kan medføre at brukerne ikke har kontroll over hvordan, og i hvilke sammenhenger, tjenestetilbyderne benytter bildene. Dette kan medføre stor fare for at brukerne kan bli forbundet med noe de ikke ønsker, noe som kan oppleves krenkende. 1.2 Nærmere om tema og problemstillingene I norsk rett er det særlig to sett med regler som regulerer bruk av personbilder. Personopplysningsloven er den generelle loven for behandling av personopplysninger. For å lovlig kunne behandle personopplysninger må grunnkravene i personopplysningsloven 11 være oppfylt. Behandlingen må være lovlig og forholdsmessig, samt må det foreligge et rettslig grunnlag for behandlingen. Det rettslige grunnlaget for behandlingen kan enten hjemles i lov, samtykke eller ulike nødvendighetsgrunner, jf. personopplysningsloven 8 første ledd. Et samtykke vil kun være gyldig dersom det er frivillig, uttrykkelig og informert, jf. personopplysningsloven 2 nr. 2. Åndsverkloven 45c er en spesialbestemmelse som regulerer bruk av personbilder. Denne bestemmelsen omtales gjerne som retten til eget bilde. Bestemmelsens først ledd stadfester 6 NRK (2017) 2

5 utgangspunktet i norsk rett om et generelt forbud mot publisering av personbilder, og er først og fremst en personvernbestemmelse. 7 Hovedregelen innebærer at før et personbilde kan publiseres offentlig, må det innhentes et samtykke fra avbildede. Kravet til samtykke har etter denne bestemmelsen i stor grad blitt utviklet gjennom rettspraksis og juridisk teori. De to regelsettene er ment å verne bilder av identifiserbare personer mot utilbørlig bruk og ivareta personvernet til avbildede. Begge regelsettenes samtykkekrav har sin bakgrunn i det grunnleggende personvernrettslige prinsippet om retten til å bestemme og føre kontroll over egne personopplysninger og personbilder. 8 Oppgavens første problemstilling er hvilke krav som stilles til samtykke ved viderebruk av profilbilder i sosiale medier etter personopplysningsloven. Hensikten er å problematisere vilkårene og belyse de utfordringene som foreligger. Oppgavens andre problemstilling er å klargjøre forholdet mellom personopplysningslovens samtykkekrav og åndsverkloven 45c. Samtykkekravet fungerer som en beskyttelsesmekanisme for å ivareta personvernet. Imidlertid har problemstillingene innenfor personvern endret seg ettersom samfunnet har blitt mer digitalisert, der internett og sosiale medier spiller en større rolle i enkeltindividets hverdag. Både personopplysningsloven og åndsverkloven er under revisjon. En ny forordning om behandling av personopplysninger ble vedtatt av EU i april Forordningen skal inkorporeres i norsk rett innen 25. mai Det har blitt ytret et ønske om at spesialbestemmelsen i åndsverkloven 45c skal bli vurdert i denne prosessen. 10 Oppgavens tredje problemstilling er derfor hvordan personvernforordningen påvirker samtykkekravet i personopplysningsloven, samt forholdet mellom personopplysningsloven og åndsverkloven 45c. 1.3 Avgrensninger Noen særlige avgrensninger må påpekes for å klargjøre den videre fremstillingen. Oppgaven forutsetter at tjenestetilbyderen innhenter samtykke for generell behandling av personopplysninger og samtykke til viderebruk av profilbilder i én og samme samtykkeerklæring. Samtykket gis ved at brukeren aksepterer vilkårene ved opprettelsen av brukerkontoen. Likevel vil samtykke som rettslig grunnlag bli problematisert i forhold til andre behandlings- 7 Ot.prp. nr. 54 ( ) s Schartum og Bygrave (2016) s. 178, Galtung (1991) s Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), heretter Personvernforordningen 10 Prop. 104 L ( ) s

6 grunnlag i personopplysningsloven. Åndsverkloven 45c oppstiller flere unntak fra utgangspunktet om at det kreves samtykke, men disse vil av plasshensyn ikke bli behandlet. Oppgaven er begrenset til å gjelde profilbilder spesifikt. Hvilke krav som stilles til samtykke for behandling av andre personopplysninger som innhentes av tjenestetilbyderen vil ikke bli problematisert. Reglene om samtykke til behandling av sensitive personopplysninger og samtykkekompetanse vil ikke bli behandlet, da disse temaene er problemstillinger for seg. Det forutsettes dermed at profilbildene ikke utgjør sensitive personopplysninger etter personopplysningsloven 9, og at vilkårene til personell kompetanse er oppfylt. Tilbakekall av samtykke vil ikke bli problematisert, men noen kommentarer vil bli gjort der det anses nødvendig. Selv om tjenestetilbyderen innhenter et gyldig samtykke, fristiller ikke dette tjenestetilbyder til å bruke profilbildet slik de måtte ønske. Rekkevidden av et gyldig samtykke og reglene vedrørende formålsangivelsen i personopplysningsloven 11 vil ikke bli behandlet. Noen bemerkninger anses likevel nødvendig, herunder forholdet mellom samtykke og andre behandlingsgrunnlag, og kravet til et informert samtykke i personopplysningsloven 2 nr. 7. Oppgavens tema har en side mot avtaleretten og forbrukerlovgivningen. Av plasshensyn vil ikke dette bli behandlet. Noen merknader gjøres likevel til markedsføringsloven om urimelige avtalevilkår i forbindelse med samtykkekravets innhold i personopplysningsloven. Personopplysningslovens saklige og geografiske virkeområde vil ikke bli problematisert, men noen korte bemerkninger må gjøres innledningsvis. Personopplysningsloven får ikke anvendelse der det er tale om behandling av personopplysninger til personlige eller private formål, jf. personopplysingsloven 3 andre ledd. Videre får store deler av loven ikke anvendelse dersom det er tale om behandling av personopplysninger «utelukkende for kunstneriske, litterære eller journalistiske formål», jf. personopplysningsloven 7. Dette unntaket er inntatt av hensynet til ytringsfriheten. 12 Unntakene i personopplysningsloven 3 andre ledd og 7 er ikke relevante for oppgaven, da det er tale om tjenestetilbyderens viderebruk for kommersielle formål. Personopplysingslovens begrensede geografiske virkeområde medfører at loven ikke får anvendelse for flere av de store tjenestetilbyderne. Det kreves at behandlingsansvarlig er etablert eller benytter seg av hjelpemidler i Norge, jf. personopplysingsloven 4 første ledd og andre ledd. Imidlertid er flere av tjenestetilbyderne etablert i EU, eksempelvis er Facebook Inc. 11 Lov 1. september 2009 nr. 2 om kontroll med markedsføring og avtalevilkår mv. (Markedsføringsloven) 12 Prop. 47 L ( ) punkt 4.6 4

7 etablert i Irland. Som jeg skal komme tilbake til i avsnitt 1.5, er personvernreglene i EU og personopplysningsloven i stor grad bygget over samme lest. Tjenestetilbydernes vilkår og metoden som benyttes for å innhente samtykket, kan dermed tjene som eksempler i vurderingen om hvilke krav som stilles til et gyldig samtykke. Det må også bemerkes at den kommende personvernforordningens geografiske virkeområde er betydelig utvidet. 13 Når denne inkorporeres i norsk rett vil derfor store deler av disse problemene bortfalle. Dette kommer jeg tilbake til i avsnitt Begrepsavklaringer Begrepet personvern er et sammensatt begrep, uten en klar definisjon i norsk eller internasjonal rett. Det er derfor nødvendig å forklare begrepets betydning. Personvernbegrepet har flere ganger vært forsøkt presisert ved blant annet å skille mellom personvern, personopplysningsvern og vern av privatlivets fred. 14 Det kan likevel være vanskelig å trekke en klar grense mellom disse tre begrepene. En slik oppdeling er heller ikke hensiktsmessig i min redegjørelse. I oppgaven forstås personvernbegrepet i dets vide betydning. Begrepet omfatter de grunnleggende personverninteresser som både personopplysningsloven og åndsverkloven 45c er ment å beskytte. I dette ligger den enkeltes rett til privatliv, personlig integritet og autonomi, samt ønsket om å beskytte og føre kontroll over egne personopplysninger og personbilder. 15 Denne betydningen av begrepet er sterkt forankret i Grunnloven Begrepet kommer også til uttrykk i den Europeiske Menneskerettskonvensjon (EMK) 17 artikkel 8 og FNkonvensjonen om Sosiale og Politiske Rettigheter (SP) 18 artikkel 17. Begge konvensjonene er inkorporert i norsk rett gjennom menneskerettsloven Noen sentrale begreper i personopplysningsloven må avklares for å fastslå at loven kommer til anvendelse ved viderebruk av profilbilder i sosiale medier. Begrepene klargjøres også for å lettere kunne sammenlignes med de særlige begrepene som åndsverkloven 45c oppstiller. Dette vil bli behandlet i kapittel Personvernforordningen artikkel 3 14 Se Blekeli og Selmer (1977), Schartum og Bygrave (2016), Hovlid (2015) 15 Schartum og Bygrave (2016) s , Galtung (1991) s Lov 17. mai 1814 om Kongeriket Norges Grunnlov (Grunnloven) 17 The European Convention on Human Rights, Roma 4. november 1950 (EMK) 18 The International Covenant on Civil and Political Rights, 16. desember 1966 (SP) 19 Lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (Menneskerettsloven) 5

8 Personopplysninger er definert som alle «opplysninger og vurderinger som kan knyttes til en enkeltperson», jf. personopplysningsloven 2 nr. 1. En naturlig språklig forståelse av ordlyden tilsier at et profilbilde ikke i seg selv vil være en opplysning eller vurdering. Lovgiver har derimot lagt til grunn en vid forståelse av begrepet, der enhver form for data kan være omfattet. 20 Et profilbilde kan derfor «være bærer av personlig informasjon». 21 Avhengig av hvem som ser, leser og tolker bildet kan det hentes ut informasjon av bildet. 22 Informasjonen som uthentes av profilbildet vil kunne forstås ulikt avhengig av hvem som tolker det. For at personopplysningsbegrepet ikke skal bli for vidtgående, opererer loven med et krav om at det må være mulig å knytte informasjonen direkte eller indirekte til en bestemt fysisk person. 23 Dette kalles gjerne for identifikasjonskravet. For at identifikasjonskravet skal være oppfylt, må det være mulig å forstå hvilken person som er avbildet. Forarbeidene fremhever at det må foretas en konkret helhetsvurdering, der det skal «tas i betraktning alle hjelpemidler som det er rimelig å tro at noen kan komme til å anvende» for å identifisere personen. 24 Hvor kostbart, hvor stor arbeidsinnsats, hvor tidkrevende eller hvor kompliserte dataprogrammer som må benyttes, er ikke avgjørende. 25 Så lenge det med rimelig sikkerhet er mulig å gjenkjenne avbildede, og knytte han eller henne til en bestemt person, vil det kunne utgjøre en personopplysning. Dette medfører at det ikke skal mye til for at et profilbilde vil utgjøre en personopplysning. Eksempelvis vil et profilbilde som bare avbilder halve ansiktet til en bruker kunne være tilstrekkelig for at identifisering er mulig. Det faktum at profilbildene ofte er tilknyttet brukerens navn i brukerkontoen, medfører at det er lettere å identifisere avbildede. Hjelpemidlene som benyttes for å identifisere avbildede må være rimelige, jf. forarbeidenes ordlyd «rimelig å tro». Dette begrenser identifikasjonsmulighetene noe. Hvorvidt noe er rimelig er en rettslig standard som er dynamisk. Den teknologiske utviklingen medfører at de hjelpemidler som for 10 år siden ville vært urimelig å benytte, i dag kan være rimelig. 26 For eksempel kan enhver benytte søkemotoren Google Bilder for å knytte profilbildet til avbildedes navn. 27 Det skal slik sett ikke mye til for at et profilbilde utgjør en personopplysning i dag. 20 NOU 2009: 1 s Jongers (2006) s Schartum og Bygrave (2016) s Ot.prp. nr. 92 ( ) s Ot.prp. nr. 92 ( ) s Schartum og Bygrave (2016) s Jongers (2016) s Google Bilder (2017) 6

9 Kretsen av hvem som kan foreta identifikasjonen er av betydning for vurderingen. Av forarbeidene følger det at dette kan være behandlingsansvarlig, men også andre personer som har mulighet til å identifisere avbildede ved hjelp av rimelige hjelpemidler. 28 Profilbildet vil ofte ligge offentlig tilgjengelig på det sosiale mediet og åpent på Internett generelt. Identifiseringen kan dermed foretas av tjenestetilbyderen, brukerne av det sosiale mediet og enhver bruker av nettet. Muligheten for å identifisere avbildede i profilbildet er dermed stor. Behandlingsansvarlig er «den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes», jf. personopplysningsloven 2 nr. 4. Tjenestetilbyderen av sosiale medier vil være behandlingsansvarlig for de personopplysninger som innhentes fra brukerne. Det er tjenestetilbyderen som bestemmer formålet og midlene for behandlingen. Behandlingsansvarlig og tjenestetilbyder vil bli brukt vekselsvis i oppgaven. Den registrerte er «den som en personopplysning kan knyttes til», jf. personopplysningsloven 2 nr. 6. Det vil si den som er avbildet i profilbildet, og brukeren av det sosiale mediet. I oppgaven vil jeg for det meste benytte bruker eller brukerne. En behandling er et fellesbegrep for enhver måte personopplysninger blir brukt, uavhengig av om behandlingen er manuell eller elektronisk, jf. personopplysningsloven 2 nr. 2. De ulike formene for behandling reguleres av personopplysningsloven 3 første ledd. Dersom det ikke foreligger en behandling i personopplysningsloven forstand vil loven heller ikke komme til anvendelse. 29 Lovbestemmelsen inneholder en eksemplifisering av behandlingsformene, herunder innsamling, registrering, sammenstilling, lagring og utlevering. Eksemplifiseringen er ikke uttømmende. En kombinasjon av disse formene, og andre former for behandling, kan være omfattet. 30 Ved viderebruk av profilbilder i sosiale medier vil det være tale om en behandling fordi profilbildene registreres, lagres og sammenstilles i et elektronisk system, før tjenestetilbyderen eventuelt benytter profilbildene videre i kommersielle sammenhenger. Behandling og viderebruk vil bli benyttet vekselsvis i oppgaven. Med viderebruk menes, som nevnt, tjenestetilbydernes bruk av profilbildene utover det som er nødvendig for tjenestens funksjonalitet. Det siktes til tjenestetilbyder og/eller tredjeparters viderebruk av profilbildene for å markedsføre tjenesten eller annonsere produkter på Internett. 28 Ot.prp. nr. 92 ( ) s Coll og Lenth (2001) s Ot.prp. nr. 92 ( ) s

10 Sosiale medier er som nevnt, som mange-til-mange-kommunikasjon på digitale plattformer der innholdet i stor grad fremkommer, og er skapt av, brukeren selv. En undergruppe av sosiale medier er sosiale nettverkssider (SNS). 31 I disse sosiale mediene kan en bruker lage en offentlig eller delvis offentlig profil innenfor nettverkssystemet. Videre lages det en liste over andre brukere innenfor nettverket som personen har en tilknytning til. Brukeren kan gjennom slike lister finne personer de kjenner eller ønsker å bli kjent med. Det er denne undergruppen av sosiale medier som er fokus i oppgaven. Eksempler på slike sosiale nettverkssider eller tjenestetilbydere er Facebook, Instagram, LinkedIn og Møteplassen.no. 1.5 Rettskilder og metode Perspektivet i oppgaven er rettsdogmatisk. Alminnelig juridisk metode vil bli benyttet. Rettskildebildet for oppgaven er noe spesielt. Det er særlig to metodiske utfordringer som må kommenteres. For det første har personopplysningsloven og åndsverkloven 45c et noe ulikt rettskildebilde. Personopplysningsloven er den generelle loven om behandling av personopplysninger. Loven bygger i stor grad på EU-retten og implementerer personverndirektivet. 32 Formålet til direktivet er å bidra til fri flyt av personopplysninger på tvers av landegrensene i EU, men fortsatt sikre enkeltindividets personvern, jf. personverndirektivet artikkel 1. Direktivet er inntatt i EØS-avtalen, og Norge er folkerettslig forpliktet til å innføre nasjonal lovgivning slik at den er i samsvar med direktivet. 33 Direktivets ordlyd er derfor en relevant og vektig rettskilde i tolkning av personopplysningsloven og lovens krav til samtykke. Personvernforordningen vil, som tidligere nevnt, bli inkorporert i norsk rett innen 25. mai Jeg tar likevel utgangspunkt i gjeldende rett. Personvernforordningens betydning for rettskildebildet vil bli behandlet i kapittel 4. Åndsverkloven 45c er en spesialbestemmelse om bruk av personbilder. Bestemmelsen har i stor grad blitt utviklet gjennom rettspraksis og juridisk teori. Regelen har sin opprinnelse i tysk rett. 34 De andre skandinaviske landene har ikke et forbud mot publisering av personbil- 31 Boyd og Ellison (2007) s Europaparlaments og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (Personverndirektivet) 33 Se Avtale om Det europeiske økonomiske samarbeidsområde (EØS-avtalen), 5. februar 1992, protokoll 37 og vedlegg XI (telekommunikasjonstjenester) 34 Mæland (1985) s

11 der. 35 Personbilder er i disse landene beskyttet gjennom ulovfestet rett og andre bestemmelser om personvern og privatlivets fred. Bestemmelsens plassering i åndsverkloven har først og fremst en lovhistorisk begrunnelse. Retten til eget bilde var først plassert i den tidligere fotografiloven Da fotografilovens innhold ble overført til åndsverkloven ble bestemmelsen «med på lasset». Ettersom åndsverkloven blant annet regulerer andre rettsforhold som omhandler fotografier ble bestemmelsen plassert der av informasjonshensyn. 37 Plasseringen av åndsverkloven 45c og dens innhold har flere ganger vært oppe til diskusjon. 38 Begrunnelsen for videreførelsen av bestemmelsen har vært at lovgiver har ment at andre reguleringer ikke gir et tilstrekkelig godt vern. Dette gjelder straffeloven og skadeserstatningsloven som begge verner om privatlivets fred. Forarbeider, rettspraksis og litteratur til den tidligere fotografiloven 15 kan komme til anvendelse ved tolkning av åndsverkloven 45c. Åndsverkloven 45c er i det vesentlige videreført i forslaget til ny åndsverklov. 41 Felles for begge regelsettene er blant annet at det i norsk rett kan oppstilles regler om ulovfestet personvern. Dette ble prinsipielt fastslått i Rt s (To mistenkelige personer) og senere fulgt opp i Rt s (Snowboard-dommen). Den ulovfestede personvernretten vil ikke bli behandlet i oppgaven. I den grad disse dommene kan ha relevans for vurderingen av innholdet i samtykkekravet i personopplysningsloven og åndsverkloven 45c, vil de likevel bli trukket inn. For det andre er det lite rettspraksis knyttet til oppgavens tema. Personvernretten er et relativt nytt rettsområde som i stor grad har utviklet seg i takt med den teknologiske utviklingen. Sosiale medier og tjenestetilbyderes viderebruk av personbilder er et nytt fenomen, og oppgavens tema har ikke enda blitt behandlet av domstolene. Fordi det er stort mangel på relevant rettspraksis vedrørende oppgavens tema, vil andre mindre tungtveiende rettskilder bli anvendt når jeg tar stilling til samtykkekravets innhold og for- 35 Ot.prp. nr. 54 ( ) s Lov 17. juni 1960 nr. 1 om rett til fotografi (Fotografiloven) (Opphevet) 37 NOU 1987: 16 s Ot.prp. nr. 54 ( ) s Lov 20. mai 2005 nr. 28 om straff (Straffeloven) 40 Lov 13. juni 1969 om skadeserstatning (Skadeserstatningsloven) 41 Prop.104 L ( ) s

12 holdet mellom personopplysningsloven og åndsverkloven 45c. Disse kildenes vekt må derfor kommenteres. Etter personopplysningsloven 42 er Datatilsynet et uavhengig forvaltningsorgan som har til oppgave å føre kontroll og tilsyn med at personvernregelverket blir fulgt. Datatilsynet gir også rådgivende uttalelser om regelverket. Ifølge forarbeidene har Datatilsynet en sentral rolle ved tolkning av lovbestemmelsene på personvernrettens område. 42 Selv om uttalelsene normalt har liten vekt, kan de på personvernrettens område ha større betydning. Dette gjelder særlig i fravær av andre rettskilder. Vedtak fra Datatilsynet kan klages inn til det uavhengige forvaltningsorganet Personvernnemnda (PVN), jf. personopplysingsloven 42 fjerde ledd, jf. 43 første ledd. Praksis fra Personvernnemnda er ikke direkte bindende for domstolene. 43 Imidlertid bør vedtak fra Personvernnemnda kunne tillegges noe vekt. Klageinstansen er sammensatt av kompetente jurister som har spesialisert seg på personvernretten. Vedtakenes rettskildemessige vekt forsterkes av at det finnes lite rettspraksis på området. 44 I den grad vedtakene fra personvernnemnda kan være relevant for å fastsette innholdet i samtykkekravet, vil det bli trukket inn. Etter personverndirektivet artikkel 29 er det nedsatt en uavhengig rådgivende arbeidsgruppe som gjerne kalles Artikkel 29-gruppen. 45 Arbeidsgruppen består av representanter fra datatilsynsmyndighetene i hvert EU-land. Norge deltar også i arbeidsgruppen som observatør uten stemmerett. 46 Artikkel 29-gruppen gir uttalelser om personvern og behandling av personopplysninger til Europakommisjonen. Dette inkluderer også råd angående nasjonal implementering av direktivet. Etter den nye personvernforordningen kalles arbeidsgruppen for The European Data Protection Board, på norsk Det europeiske personvernråd. Det europeiske personvernrådets oppbygning og funksjon synes å være lik Artikkel 29-gruppen, jf. personvernforordningen artikkel 68. Artikkel 29-gurppens uttalelser og anbefalinger er ikke rettslig bindende, og uttalelsenes vekt i tolkningen av personopplysningsloven er noe usikkert. Likevel har arbeidsgruppen god kompetanse innenfor personvernrettslige problemstillinger. Det må derfor antas at uttalelsene kan ha betydning for å fastslå de minimumskrav som personverndirektivet oppstiller og hvor- 42 NOU 2009: 1 s Eckhoff (2001) s NOU 2009: 1 s Working Party on the Protection of Individuals with regard to the Processing of Personal Data, heretter Artikkel 29-gruppen 46 NOU 2009: 1 s

13 dan personopplysningsloven skal forstås i lys av dette. I fravær av andre mer tungtveiende rettskilder kan uttalelsenes relative vekt øke. I personvernretten kan flere grunnleggende personvernsrettslige prinsipper oppstilles. Disse fremgår blant annet av personopplysningsloven, personverndirektivet, OECDs rådgivende retningslinjer for beskyttelse og utveksling av personopplysninger over landegrenser 47 og Europarådskonvensjonen om personvern. 48 Det er særlig noen grunnprinsipper som gir uttrykk for de hensyn som er bakenforliggende for samtykkekravet. Disse omtales gjerne som prinsippet om en rettferdig og rettmessig behandling, prinsippet om en klar og gjennomsiktig behandling, samt prinsippet om selvbestemmelsesrett og kontroll. 49 Prinsippene er relevante tolkningsmomenter ved vurdering av kravet til samtykke vedrørende viderebruk av profilbilder i sosiale medier. 1.6 Veien videre I kapittel 2 vil jeg drøfte hvilke krav som stilles til samtykke etter personopplysingsloven ved viderebruk av profilbilder i sosiale medier. Tjenestetilbydernes praksis rundt innhenting av samtykke vil i denne sammenheng bli problematisert. Deretter vil forholdet mellom personopplysningslovens samtykkekrav og åndsverkloven 45c bli vurdert i kapittel 3. I kapittel 4 vil jeg redegjøre for den nye personvernforordningen og dens betydning på samtykkekravet i personopplysningsloven, samt forholdet mellom de to regelsettene. Til slutt vil det gjøres noen avsluttende bemerkninger i kapittel 5. Ord, begreper og uttrykk som synes særlig viktig er kursivert av meg. Rettspraksis blir henvist til med populærnavn. Der et populærnavn ikke finnes har jeg selv gitt dommen et navn. 47 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 23. september 1980, sist endret 11. juni 2013 (OECDs retningslinjer) 48 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, 28 januar 1981 (Europarådskonvensjonen) 49 Bygrave (2014) s. 146 og s

14 2 Samtykkekravet etter personopplysningsloven 2.1 Forholdet mellom samtykkekravet og andre behandlingsgrunnlag For å lovlig behandle personopplysninger må det foreligge et rettslig grunnlag, jf. personopplysningsloven 8, jf. 11 første ledd bokstav a. Bestemmelsen implementerer, og samsvarer med, personverndirektivet artikkel Utgangspunktet for oppgaven er at tjenestetilbydere innhenter samtykke til viderebruk av profilbilder ved at brukeren aksepterer vilkårene gjennom et akseptklikk på et ikon eller en avkryssingsboks. Det er forutsatt at tjenestetilbyderen innhenter samtykke til behandling av personopplysninger generelt, og samtykke til viderebruk av profilbilder, i én og samme samtykkeerklæring. Dette avsnittet vil klargjøre hvorfor dette utgangspunktet og premisset er satt. Samtykke er ikke det eneste rettslige grunnlaget for behandling av personopplysninger og personbilder. Personopplysningsloven 8 første ledd oppstiller lovhjemmel eller ulike nødvendighetsgrunner som alternative rettslige grunnlag. Lovhjemmel er ikke et aktuelt rettslig grunnlag i dette tilfellet. Det må imidlertid vurderes om tjenestetilbyderen kan basere sin viderebruk av profilbildene på nødvendighetsgrunnene som er opplistet i personopplysningsloven 8 første ledd bokstav a til f. Dersom ett av disse rettslige grunnlagene er oppfylt, trenger tjenestetilbyderen ikke å innhente et samtykke. Som vi skal se i avsnitt 2.2 kan kravene til et gyldig samtykke være omfattende. Det kan derfor være enklere og mer hensiktsmessig for tjenestetilbyder å basere viderebruk av profilbildene på ett av de rettslige grunnlagene i personopplysingsloven 8 første ledd bokstav a til f. Felles for vilkårene i personopplysningsloven 8 første ledd bokstav a til f er at behandling av personopplysninger bare er tillatt når det er «nødvendig» for å ivareta de ulike interessene som er opplistet. Hvordan dette kriterier skal tolkes er noe usikkert i norsk rett. En naturlig språklig forståelse av ordlyden tilsier at behandlingen må være uunnværlig eller absolutt tiltrengt. Det kan likevel stilles et spørsmål om kriteriet bør tolkes mindre strengt. 51 Forarbeidene er taus om spørsmålet, og rettspraksis synes ikke å ha behandlet det prinsipielt. I juridisk teori har det blitt hevdet at ordlyden må tolkes i lys av EMDs rettspraksis. 52 Dette kan ha gode grunner for seg da personvernet og personopplysningsvernet er omfattet av EMK 50 Ot.prp. nr. 92 ( ) s Schartum og Bygrave (2016) s Schartum og Bygrave (2016) s

15 artikkel 8, og bestemmelsen har sin bakgrunn i personverndirektivet artikkel Etter personverndirektivets fortale nr. 10 skal direktivet tolkes i samsvar med EMK artikkel 8. Dersom nødvendighetskriteriet tolkes i lys av praksis fra EMD, må det være tale om en behandling som har et påtrengende samfunnsbehov, og behovet må være forholdsmessig ut fra behandlingens formål. 54 Terskelen for når nødvendighetskriteriet er oppfylt vil avhenge av hva slags behandling det er tale om. 55 EU-domstolen har på sin side tolket nødvendighetskriteriet noe annerledes, der behandlingen kan være nødvendig dersom formålet med behandlingen oppnås på en mer effektiv måte. 56 Den aktuelle saken gjaldt imidlertid personverndirektivet artikkel 7 bokstav e, som tilsvarer personopplysningsloven 8 første ledd bokstav e. Det er derfor noe usikkerhet om dette kan legges til grunn for de øvrige nødvendighetskriteriene i personopplysningsloven Uavhengig av hvilket tolkningsalternativ som fastlegges, bør det etter min mening ikke oppstilles et krav om at behandlingen må være uunnværlig eller absolutt tiltrengt. Likevel synes nødvendighetskriteriet å måtte vurderes i hvert enkelt tilfelle. Når det er tale om viderebruk av profilbilder i sosiale medier er det to nødvendighetsgrunner som er aktuelle, nemlig bokstav a og f. Etter personopplysningsloven 8 første ledd bokstav a kan behandlingsansvarlig foreta behandling av personopplysninger dersom det er «nødvendig for å oppfylle en avtale med den registrerte». Bestemmelsens ordlyd tilsier at det må være inngått en avtale mellom den behandlingsansvarlige og den registrerte, der avtalen krever behandling av personopplysninger. Videre tilsier nødvendighetskriteriet at dersom behandlingen ikke kan gjennomføres, vil avtalen ikke bli oppfylt. Dette rettslige grunnlaget minner om samtykkekravet ved at den registrerte må akseptere vilkårene i avtalen med den behandlingsansvarlige. 58 Det er vilkårene og innholdet av avtalen som vil sette grensen for hvilke personopplysninger som kan behandles. Ved opprettelse av en brukerkonto i sosiale medier inngår brukeren en avtale med tjenestetilbyderen om bruk av tjenesten. Mange av de personopplysningene som tjenestetilbyderen innhenter må anses som nødvendig for at det sosiale mediet skal kunne fungere optimalt, og for å 53 NOU 2009: 1 s. 59, Amundsen (2016) s Schartum og Bygrave (2016) s Ot.prp. nr. 92 ( ) s Sak C-524/06 (Huber/Tyskland-saken) 57 Schartum og Bygrave (2016) s Schartum og Bygrave (2016) s

16 oppfylle avtalen mellom brukeren og tjenestetilbyderen. Når tjenestetilbyderen kun behandler profilbildet for at tjenesten skal fungere optimalt, vil tjenestetilbyderen trolig kunne belage behandlingen på dette rettslige grunnlaget. Eksempelvis vil dette kunne være der tjenestetilbyderen registrer, lagrer og sammenstiller profilbildet slik at bildet skal kunne vises i brukerens brukerkonto. Når det imidlertid er tale om viderebruk av profilbilder for kommersielle formål må dette stille seg annerledes. Behandlingen gjennomføres ikke da kun for at tjenesten skal fungere optimalt og oppfylle avtalen. Formålet med behandlingen er at profilbildet skal kunne benyttes ut over det som er nødvendig for tjenesten funksjon. Det må på denne bakgrunn være nærliggende å si at tjenestetilbyderen ikke kan basere viderebruk av profilbilder på dette rettslige grunnlaget. Etter personopplysningsloven 8 første ledd bokstav f kan behandlingsansvarlig foreta behandling av personopplysninger dersom det er «nødvendig for at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen». Ordlyden tilsier at det må foretas en interesseavveining. Det følger av forarbeidene at den behandlingsansvarlige sitt kommersielle behov sjeldent vil overstige behovet for personvern og privatlivets fred, men det må foretas en konkret vurdering. 59 I tillegg må behandlingen være nødvendig. Artikkel 29- gruppen har uttalt at det skal ikke være lettere å basere behandlingen på dette grunnlaget enn de andre rettslige grunnlagene i personverndirektivet artikkel Sammenholdt med forarbeidenes uttalelser taler dette for at terskelen må anses som relativt høy i kommersielle sammenhenger. Når det er tale om viderebruk av profilbilder for kommersielle formål, kan det antas at tjenestetilbyderen kan ha et kommersielt behov for å benytte profilbilden videre. Tjenestene i sosiale medier koster som regel ikke penger for brukerne. Likevel «betaler» brukerne ved å oppgi personopplysninger som tjenestetilbyderen typisk kan bruke til markedsføring. Det være nærliggende å hevde at dette behovet ikke vil overstige brukerens behov for beskyttelse av sitt profilbilde. Dersom bildene blir brukt for kommersielle formål kan brukerne oppleve at de blir assosiert med noe de ikke ønsker. At tjenestetilbyderne har en interesse å tjene penger på en privatpersons personbilde kan etter min mening ikke veie tyngre enn privatpersonens personvern. Det må på denne bakgrunn være nærliggende å si at tjenestetilbyderen, heller ikke, kan basere viderebruk av profilbilder på dette rettslige grunnlaget. 59 Ot.prp. nr. 92 ( ) s Artikkel 29-gruppen (2014) s

17 Det må bemerkes at dersom tjenestetilbyderne kan basere viderebruk av profilbilder på personopplysningsloven 8 første ledd f, må behandlingen likevel være i tråd med formålsbestemthetsprinsippet i personopplysingsloven 11 første ledd bokstav b, jf. bokstav c. 61 I de tilfeller en tjenestetilbyder først baser behandlingen av profilbildene i henhold til personopplysningsloven 8 første ledd bokstav f, og deretter ønsker å gjenbruke profilbildene til andre uforenlige formål, må det innhentes samtykke fra brukeren. Det er på denne bakgrunn oppgaven har tatt utgangspunkt i at tjenestetilbyderen innhenter samtykke til viderebruk av profilbildene ved opprettelsen av brukerkontoen, og i samme samtykkeerklæring som behandling av andre personopplysninger. Der dette ikke er tilfelle i praksis, vil de krav som stilles til et gyldig samtykke uansett gjøre seg gjeldene når tjenestetilbyderen innhenter et separat samtykke. 62 Kriteriene i opplistingen i personopplysningsloven 8 første ledd bokstav a til f er skjønnsmessig utformet. Det har i teorien blitt påpekt at fordi de er så generelt utformet og basert på skjønn, kan det være fare for at ordlyden tolkes utvidende. 63 Dette kan medføre at behandlingsansvarlig bygger på et rettslig grunnlag som er ulovlig. Lovens ordning er slik at det er tjenestetilbyderen som først vurderer hvilket rettslig grunnlag behandling skal baseres på. 64 Selv om Datatilsynet kan overprøve tjenestetilbyderens vurderinger, jf. personopplysningsloven 46 tredje ledd, er det en sjanse for at behandling av personopplysninger skjer på ulovlig grunnlag. I de tilfellene der både samtykke og en av nødvendighetsgrunnene i personopplysningsloven 8 kan anvendes rettslig grunnlag, har det blitt stilt spørsmål om det foreligger et rangforhold mellom behandlingsgrunnlagene. 65 Rettskildene trekker i noe sprikende retning. Lovens ordlyd kan tilsi at det ikke finnes et slikt prioritetsforhold, jf. ordlyden «eller». Av forarbeidene følger det at behandlingen «bør i størst mulig utstrekning baseres på samtykke fra den registrerte selv». 66 Personvernnemnda uttalte i sak PVN (Barn med påførte dødelige skader) at disse uttalelsene i forarbeidene ikke kan anses «som en rettslig normering, men som en hensiktsmessighetsbetraktning. Rettslig sett må de ulike behandlingsgrunnlagene derfor behandles som likestilte». Dette taler for at behandlingsgrunnlagene i utgangspunktet 61 Rt s. 143 (GPS/Avfallsservice-dommen) 62 Dette vil bli kommentert noe nærmere i avsnitt Schartum og Bygrave (2016) s Ot.prp. nr. 92 ( ) s Schartum og Bygrave (2016) s. 183, Amundsen (2016) 66 Ot.prp. nr. 92 ( ) s

18 er alternative og at det ikke finnes en hovedregel for at samtykke skal velges som rettslig grunnlag. Hvorvidt samtykke eller nødvendighetsgrunnene skal velges som rettslig grunnlag, synes å måtte vurderes konkret ut fra omstendighetene. 67 Personvernnemnda uttrykte i en avgjørelse fra 2004 at behandlingsansvarlig ikke kan velge en av nødvendighetsgrunnene kun fordi det er mer lettvint eller billigere enn å innhente samtykke. 68 Dette tilsier at avgjørelsen må være begrunnet i noe mer enn at det er hensiktsmessig og praktisk for tjenestetilbyderne. 69 Videre kan det ha betydning hvor alvorlige konsekvenser behandlingen vil kunne få for den registrerte. 70 I de tilfellene der behandlingen kan ha store negative personvernkonsekvenser kan det hevdes at selvbestemmelsesretten er særlig fremtredende. Både forarbeidene og formålsparagrafen i personopplysingsloven 1 tilsier da at samtykke bør velges som rettslig grunnlag. Forarbeidenes uttalelser om at behandling av personopplysninger i de fleste tilfeller bør baseres på et samtykke, er etter min mening fornuftig. Dette gjelder særlig når det er tale om viderebruk av profilbilder i sosiale medier. Profilbildene som benyttes i sosiale medier er spesielt egnet til å identifisere brukerne. Profilbildene bør derfor være sterkt beskyttet mot bruk ut over det som er nødvendig for tjenestens funksjonalitet til markedsføring eller annonsering av produkter. 67 Schartum og Sætre (2016) s PVN (STAMI) 69 Schartum og Bygrave (2016) s Schartum og Bygrave (2016) s

19 2.2 Samtykkekravets innhold For at tjenestetilbyderen lovlig skal kunne benytte profilbildene til viderebruk, må det altså foreligge et gyldig samtykke, jf. personopplysningsloven 8 første ledd, jf. 11 første ledd bokstav a. Hvilke vilkår som stilles til et gyldig samtykke fremgår av legaldefinisjonen i personopplysningsloven 2 nr. 7. Samtykket må være «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv». Etter personopplysingsloven 8 første ledd stilles det også et krav til at samtykke må være innhentet før behandlingen starter. Dette er tilfellet når tjenestetilbyderen innhenter samtykke fra brukeren av det sosiale mediet ved avtaleinngåelsen. Samtykke innhentes da før brukeren benytter seg av tjenesten. Tidspunktet for samtykke vil derfor ikke bli behandlet ytterligere. I det følgende vil de tre kravene til et gyldig samtykke etter personopplysningsloven 2 nr. 7 bli redegjort for. Tjenestetilbydernes vilkår og metode ved innhenting av samtykke til viderebruk av profilbilder vil også bli problematisert Frivillig Samtykke må for det første være avgitt frivillig, jf. personopplysningsloven 2 nr. 7 og personverndirektivet artikkel 2 bokstav h. En naturlig språklig forståelse av ordlyden tilsier at den registrerte må selv ha bestemt at den vil samtykke til behandlingen. Ifølge forarbeidene kan samtykke ikke være avgitt «under noen form for tvang fra den behandlingsansvarlige eller andre». 71 Dette tilsier at hvilken type tvang som benyttes ikke er av betydning. Både fysisk eller psykisk tvang kan være omfattet. 72 Personvernnemnda har i flere saker gitt uttrykk for at det avgjørende for vurderingen er om frivilligheten er reell, og at det ikke kan medføre noen negative konsekvenser eller sanksjoner dersom vedkommende avstår fra å samtykke. 73 Dette er i tråd med Artikkel 29-gruppens retningslinjer, som understreker at «c onsent can only be valid if the data subject is able to exercise a real choice, and there is no risk of deception, intimidation, coercion or significant negative consequences if he/she does not consent» Ot.prp. nr. 92 ( ) s Artikkel 29-gruppen (2011) s Se eksempelvis PVN (Securitas), PVN (Dopingtest) 74 Artikkel 29-gruppen (2011) s

20 Når det er tale om elektronisk samtykke til viderebruk av profilbilder, kan det være vanskelig å avgjøre hvorvidt frivilligheten er reell og hvor grensen skal trekkes for psykisk tvang i form av påvirkning og overtalelse. 75 Metoden sosiale medier benytter for å innhente samtykke skjer ved at brukeren godkjenner brukervilkårene og personvernerklæringen ved opprettelsen av brukerkontoen. Dersom brukeren ikke ønsker at tjenestetilbyderen skal ha mulighet til viderebruk av profilbildene finnes det ingen valgalternativer. Brukeren må enten samtykke til vilkårene slik de blir presentert eller avstå fra å samtykke. Konsekvensen av å nekte samtykke er at brukeren ikke kan opprette en brukerkonto, og at han eller hun blir utestengt fra tjenesten. Det kan hevdes at denne metoden for å innhente samtykke til viderebruk av profilbiler er å anses som en negativ konsekvens, og at frivilligheten ikke er reell fordi samtykke er en betingelse for å kunne bruke tjenesten. Både Datatilsynet og Artikkel 29-gruppen har uttalt at såkalte «take it or leave it»-løsninger anses som problematisk med hensynet til frivillighetskravet. 76 Uttalelsene gjelder den såkalte «cookie»-bestemmelsen eller informasjonskapselbestemmelsen i ekomloven b. Etter bestemmelsen kreves det samtykke fra brukeren før informasjonskapsler fra en nettside kan lagres på brukerens smartenhet eller datamaskin. 78 Uttalelsene bør etter min mening kunne tas til inntekt når det er tale om samtykke til viderebruk av profilbilder i sosiale medier. Det er i begge tilfellene tale om en nettbasert tjeneste og de samme momentene om reell frivillighet og negative konsekvenser gjør seg gjeldende. «Take it or leave it»-løsninger vil trolig ikke være lovlig når den nye personvernforordningen blir implementert i norsk lovgivning. Se mer om dette i avsnitt 4.2. Det må være på det rene at de negative konsekvenser som brukeren opplever ved å avstå fra samtykke, ikke er av like alvorlig karakter som de konsekvenser som kan oppstå ved å avstå fra å samtykke til en arbeidsgivers interne retningslinjer eller samtykke til bruk av elektroniske helsejournaler. 79 I utgangspunktet bør tjenestetilbyderne kunne oppstille vilkår for bruk av tjenesten. Likevel er det her tale om behandling av personopplysninger, ut over det som er nødvendig for tjenestens funksjonalitet og til reklame- og markedsføringsformål. Når en bruker samtykker til viderebruk frasier han eller hun seg i stor grad rettigheten til å føre kontroll over profilbildet. Dersom bildet eksempelvis brukes til å markedsføre tjenesten på tjenestetilbyderens egne nettsider, vil hvem som helst ha tilgang til å se, dele og lagre profilbildet. Det 75 Johansen, Skullerud og Kaspersen (2001) s. 77, Schartum og Sætre (2016) s Datatilsynet (2015) s. 31, Artikkel 29-gruppen (2013) s Lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon (Ekomloven) 78 Se Datatilsynet (2015) s Se eksempelvis tilfellene i Artikkel 29-gruppen (2001), (2007) 18

21 grunnleggende personvernhensynet om selvbestemmelsesrett og kontroll tilsier da at det bør kunne stilles strenge krav til frivillighet. 80 Det kan også hevdes at når brukerne blir stilt ovenfor en slik «take it or leave it»-løsning kan det foreligge et element av sosialt press eller påvirkning til å avgi samtykke, som kan medføre at frivilligheten ikke er reell. Sosiale mediers posisjon i samfunnet har gjennomgått ett paradigmeskifte de siste 10 årene. Sosiale medier har blitt de viktigste kanalene for kommunikasjon, både i sosiale og profesjonelle sammenhenger. Når konsekvensen av å avstå fra samtykke er at brukeren ikke får tilgang til tjenesten, vil dette kunne medføre at brukeren føler seg ekskludert i det sosiale livet. 81 Presset som en bruker kan føle i denne sammenheng vil kanskje særlig gjelde ungdom og unge voksne, som typisk vil vektlegge de sosiale aspektene i sin nyttefunksjon fremfor vern om eget profilbildet. 82 En faktor som kan ha betydning ved vurdering av om samtykke er frivillig avgitt, er om samtykket kan tilbakekalles. Hverken personopplysningsloven eller personverndirektivet oppstiller et alminnelig krav til at samtykket skal kunne trekkes tilbake. Likevel følger det av forarbeidene at den registrerte skal kunne trekke tilbake samtykket «når som helst». 83 Dette må anses i tråd med Artikkel 29-gruppen, som har uttalt at «i n principle, consent can be considered to be deficient if no effective withdrawal is permitted». 84 At loven ikke uttrykkelig oppstiller en rett til tilbaketrekking, samt at det ikke finnes tungtveiende rettskilder som gir veiledning om hvordan samtykke skal tilbakekalles, må anses uheldig. 85 Likevel må det antas at en rett til tilbaketrekking av samtykke gjelder i norsk rett. Dersom brukeren har vurdert hvorvidt den ønsker å avgi samtykket, og tatt en avgjørelse som er basert på fri vilje, bør brukeren kunne forandre mening og angre seg. Tilbaketrekkingen må antas å gjelde bakover i tid, og et samtykke bør kunne trekkes tilbake på samme måte som det ble avgitt. 86 Dersom et samtykke blir tilbakekalt og det medfører en negativ konsekvens for brukeren av det sosiale mediet, vil dette trolig kunne være et moment som trekker i retning av at samtykke ikke er frivillig avgitt Artikkel 29-gruppen (2011) s Artikkel 29-gruppen (2011) s Schartum og Sætre (2016) s Ot.prp. nr. 92 ( ) s Artikkel 29-gruppen (2011) s Schartum og Sætre (2016) s Schartum og Sætre (2016) s Artikkel 29-gruppen (2016) s

22 Det må imidlertid påpekes at flere sosiale medier gir brukerne et valg hvorvidt den vil laste opp et profilbilde. Noen tjenestetilbydere gir brukeren også valgalternativer angående offentligheten til profilbildet, og dermed hvilken adgang tjenestetilbyderen har til viderebruk. Tross dette er det ikke helt uproblematisk at valgalternativene er standardinnstilt på «offentlig» og at valgmulighetene først blir presentert for brukeren etter opprettelsen av brukerkontoen. Ofte er valgalternativene vanskelig tilgjengelige og det er ikke umiddelbart forståelig for brukeren hvordan og i hvilken grad han eller hun kan beskytte seg mot at tjenestetilbyderen benytter profilbildet til viderebruk Uttrykkelig Samtykke må for det andre være uttrykkelig, jf. personopplysningsloven 2 nr. 7. Det følger av forarbeidene at samtykke må være «klart og utvetydig» og at det ikke kan være tvil om at samtykke er gitt, hva det er gitt samtykke til og hvem som har fått samtykke til å behandle personopplysningene. 88 Etter personverndirektivet artikkel 7 første ledd bokstav a må samtykke være «unambiguously». Loven oppstiller ingen formkrav, slik at samtykke kan gis skriftlig, muntlig eller elektronisk. 89 Hverken personopplysningsloven eller personverndirektivet oppstiller hvem som har bevisbyrden for at samtykket er gyldig innhentet. Likevel fremgår det av forarbeidene at det er behandlingsansvarlig som vil måtte sannsynliggjøre at et samtykke foreligger og at dette er lettere dersom det gjøres skriftlig eller elektronisk. 90 Dette er i samsvar med Artikkel 29-gruppens retningslinjer. 91 Uttrykkelighetsvilkåret innebærer at det må utføres en form for aktiv handling. Passivitet, stilltiende aksept eller konkludent adferd er ikke tilstrekkelig. 92 Med konkludent adferd menes at den registrertes vilje kommer til uttrykk uten at det skjer en faktisk handling. Eksempelvis vil det at en bruker tar i bruk en nettbasert tjeneste ikke automatisk utgjør et samtykke til behandling av personopplysninger. 93 Artikkel 29-gruppen har uttalt at «f or consent to be unambiguous, the procedure to seek and to give consent must leave no doubt as to the data sub- 88 Ot.prp. nr. 92 ( ) s Ot.prp. nr. 92 ( ) s Ot.prp. nr. 92 ( ) s Artikkel 29-gruppen (2011) s NOU 1997: 19 s Datatilsynet (2015) s