Hvordan personvernfororndingens samtykkekrav møtes gjennom design
Abstract
To år har gått siden EUs personvernforordning ble innført i 2018. Et av hovedformålenevar å sørge for at enkeltpersoner skulle få mer kontroll over egne data ved bruk avdigitale tjenester. Virksomheter som ønsker å drive behandling av personopplysningerble pålagt en rekke krav og plikter, samtidig som den enkelte forbruker ble gittrettigheter. Blant annet skulle krav om samtykke gjøre brukere i stand til å motsette segdeling av egne data. Denne masteroppgaven belyser realiteten av dagens situasjon ved ågjennomgå gjeldende regelverk og ved å undersøke hvordan personvernforordningenetterleves. Oppgaven tar sikte mot å bidra til økt forståelse av temaet ved å presenterefunn fra en spørreundersøkelse og en evaluering av design av samtykkeløsninger hosfem store norske nettsteder.
Resultatene i oppgaven indikerer at det fremdeles er flere utfordringer som må løses førintensjonene med personvernforordningen er oppfylt. Evalueringen av nettstedeneavdekket problemer i designet av samtykkeforespørsler og samtykkeinnstillinger, og flereting lå til hinder for å la brukere kontrollere deling av sine personopplysninger. Oppgavendiskuterer mulige forbedringsforslag. Samtidig er personvern et komplekst tema somomfatter flere fagområder enn bare design. Trolig vil også lovendringer i form av merpresise regler for hvordan samtykkesystemer designes og/eller sterkere insentiver værenødvendig før den enkeltes personvern blir tilstrekkelig ivaretatt.
Nøkkelord: samtykke, GDPR, personvern, design, personvernforordningen. Two years have passed since the GDPR was implemented. A main purpose with theregulation was to provide users of digital services more control over their personal data.Businesses who wish to process such data were subjected to a number of rules andduties while data subjects were given more rights. Among other things, requiringbusinesses to collect users’ consent were made to let users oppose sharing data aboutthemselves. This thesis shows the reality of today’s situation by examining the rules thatapply and how they’re followed. The report aims to contribute to increased awareness ofthe subject by presenting results from a conducted survey and an expert evaluation ofthe design of consent systems on five popular Norwegian websites.
The results indicate that there still are multiple challenges to solve before the GDPRworks as intented. The evaluation of the websites revealed problems in the way consentrequests and consent settings are designed. Multiple things served as barriers fromletting users take control over their personal data. The thesis offers and discussespossible solutions. Privacy is a complex topic that entails other fields than just design.More precise laws and/or stronger incentives to design better consent systems may benecessary before users’ privacy are sufficiently addressed.