Magma topp logo Til forsiden Econa

Ketil Sellæg Ramberg er advokatfullmektig i advokatfirmaet Steenstrup Stordrange siden 2009. Master i rettsvitenskap Oslo 2008. LL.M.-grad i Intellectual Property og Information Technology Law ved Fordham University (New York City) 2009. Fulbright Scholar.

Karl-Anders Grønland er partner i Advokatfirmaet SteenstrupStordrange DA. Han har ved siden av dette flere styreverv og han er blant annet styreleder i det børsnoterte IKT-selskapet 24SevenOffice ASA.

Innhenting, analyse og bruk av informasjon om samarbeidspartnere, kunder og leverandører

1. Innledning

Utviklingen går i retning av stadig lettere tilgang på informasjon om selskaper og personer, informasjon som virksomheter kan nyttiggjøre seg ved samarbeid eller forretninger med andre bedrifter. Utviklingen gjør at en del personvernrettslige problemstillinger får stadig større betydning. Dette er problemstillinger som er knyttet til den konkrete innsamlingen av informasjonen, adgangen for den personen det innhentes informasjon om til å vite at det er innhentet informasjon og om misbruk av innhentet informasjon.

Vi vil i denne artikkelen behandle noen av de problemstillingene som dette reiser. Problemstillingene skjærer rett inn i en blanding av juss, etikk og personvern. De har også preg av å være vurderinger som i stor grad gjøres i ettertid, etter at den som har innhentet, analysert og brukt informasjonen, vet hva som ble funnet ved undersøkelsene, og hvor alle deretter gjør sine vurderinger. I slike sammenhenger blir de konkrete vurderingene preget av hva man i ettertid synes er rimelig eller rettferdig. Dette er synd, fordi vurderingene heller bør preges av hva som kan tenkes å finnes og løses ut fra generelle prinsipielle vurderinger.

Den siste tidens avsløringer om CV-juks aktualiserer spørsmålet om hvordan bedrifter innhenter informasjon, og hvordan de så behandler denne informasjonen. Denne innsamlingen kan ha både rettslige implikasjoner og kommersielle implikasjoner. Vi vil i denne artikkelen ikke drøfte de arbeidsrettslige sidene, men hvilke regler som gjelder mellom aktører i næringslivet og forholdet mellom næringsliv og det offentlige.

Innsamling av informasjon fra bedrifter og selskaper er selvsagt ikke begrenset til bare å gjelde fremtidige ansatte, men kan like gjerne være knyttet til en oppdragsgiver som samler informasjon om oppdragstaker, arbeidsgivere som samler informasjon om arbeidstakere under arbeidet, advokater som samler inn informasjon om motparter, og dommere og andre som samler inn informasjon om partene i en sak. Vi kaller det i denne artikkelen en menneskelig selskapsgjennomgang (due diligence).

Denne menneskelige due diligence har minst to deler. Den ene gjelder det rettslige – hvor langt kan man gå, og hvilke konsekvenser kan overtramp få? Den andre gjelder det kommersielle – hvor mye kan man stole på den informasjonen man samler inn? Gjør bedrifter gale valg siden man trekker slutninger basert på usikker informasjon?

2. Rettslig bakteppe

2.1 Personopplysningsloven og lovens subjekter

Innsamling av informasjon om personer gjelder personopplysninger, og innsamling av personopplysninger er regulert av personopplysningsloven. Formålet med loven er å gi et generelt rammeverk for den nærmere behandlingen av personvernopplysninger i Norge. Videre er loven også en del av EFs personverndirektiv, slik at man her har å gjøre med et felleseuropeisk regelverk. Personopplysningsloven gjelder uavhengig av om informasjonen er hentet fra åpne kilder – det være seg sosiale medier som Twitter, Tumblr, Facebook og Flickr – eller om den er innhentet fra kilder og referanser for så å bli systematisert av innhenteren.

Etter personopplysningsloven er en opplysning en personopplysning så lenge den er egnet til å identifisere personen, dette gjelder både direkte og indirekte. Siden også indirekte opplysninger rammes av loven – eksempelvis et telefonnummer uten et navn knyttet til seg – må det trekkes en grense for den innsatsen som kreves for å knytte en opplysning til en person. Denne nærmere vurderingen skal etter fortalen til personverndirektivet bedømmes ut fra «alle hjelpemidler … som det er rimelig å ta i bruk for å identifisere vedkommende, enten av den behandlingsansvarlige eller av en annen person». Det vil si at kreves det stor arbeidsinnsats for å knytte en opplysning til en person, eller er det usikkerhet knyttet til opplysningens mulighet til å identifisere en person, vil det tale for at det ikke dreier seg om en personopplysning i lovens forstand. Det skal likevel bemerkes at det ikke skal mye til før en opplysning er en personopplysning etter loven.

Personopplysningsloven regulerer selve samlingen av informasjon, ikke den konkrete tilgangen til informasjonen. Diskusjoner rundt forholdet mellom Facebook og personvernet er her bare ett eksempel av flere som har aktualisert dette i de senere år. De verdiene som Facebook kunne ha oppnådd dersom det ikke var noen begrensninger på bruken, illustrerer på en enkel måte de kommersielle muligheter som ligger i slike verdier. Man kan med sikkerhet gå ut fra den verdien som muligheten for målrettet reklame gir, i hvert fall ikke vil bli mindre fremover i tid.

Videre stiller loven krav til den nærmere behandlingen av disse opplysningene, det vil si at det stilles krav til operasjonene/handlingene som gjøres med personopplysningene. Dette kravet er sentralt for forståelsen av loven – da en bedrifts eller et selskaps behandling av personopplysninger utløser en rekke plikter for bedriften. Sentrale begreper her er behandlingsansvarlig og databehandler.

Med en behandlingsansvarlig menes etter personopplysningsloven «den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes». Utgangspunktet er at den behandlingsansvarlige er den øverste lederen i bedriften eller virksomheten.

Med en databehandler menes etter personopplysningsloven «den som behandler personopplysninger på vegne av den behandlingsansvarlige». Et eksempel på en databehandler kan være et firmas regnskapsbyrå som sender ut lønn på vegne av firmaet.

Et spørsmål er også om og på hvilket nærmere grunnlag den behandlingsansvarlige får lov til å behandle personopplysningene. Den behandlingsansvarlige skal dokumentere hvordan behandlingen er grunnet i personopplysningsloven, og om måten informasjonen er innhentet på, oppfyller et av disse kravene: 1) et gyldig samtykke fra den enkelte, 2) hjemmel i lov for å behandle personopplysninger eller 3) om innsamlingen har vært nødvendig.

Det foreligger straffesanksjonerte krav til den som driver med oppbevaring av personopplysninger, og et krav til opplysningens fullstendighet, korrekthet – videre at de er oppdaterte og relevante for det formålet de skal brukes til.

Som denne gjennomgangen har forsøkt å vise, er personopplysningsloven en detaljert lov som stiller til dels strenge krav til behandling av personopplysninger hos bedrifter og virksomheter. Oppfylles ikke disse kravene, kan man idømmes bøter, og det kan gripes inn mot overtramp. Disse reaksjonene har kanskje hatt et økonomisk omfang som ikke har vært tilstrekkelig avskrekkende, og andre reaksjoner enn bøter er svært sjeldne. Kanskje mer alvorlig er det at dette kan svekke omdømmet og kan bli ansett som brudd på inngåtte avtaler, som igjen kan resultere i at kontrakter bortfaller, og andre økonomiske tap.

2.2 Har personvern noen betydning for oss alle eller bare noen få?

Forfatteren Aleksandr Solzjenitsyn skrev: «Everyone is guilty of something or has something to conceal. All one has to do is look hard enough to find what it is.»

På mange måter kan dette oppsummeres som at dersom man bruker lang nok tid på å undersøke noe rundt en person, en bedrift eller en annen aktør, kan man få denne til å fremstå som idiot, lite troverdig eller kriminell. Dette er ting som kan brukes i for eksempel såkalte shitbags, som er et negativt ord for når man gjennom media forsøker å skade en aktørs omdømme. Det finnes nok ingen personer eller aktører som ikke kan fremstilles på en ufordelaktig måte i den rette sammenheng. Alle har derfor, som Solzjenitsyn fremhever, behov for personvern og mulighet til å kunne imøtegå mulige anklager.

Krysser man denne innsikten med de lavere kostnadene knyttet til innsamling av personopplysninger, og den påfølgende bevisstheten blant folk om denne innskrenkingen av det private rommet, den private sfære, er det å anta at man vil kunne se en mer aktiv rolle fra både tilsyn og private aktører i å påtale brudd på personopplysningsloven. Noen tendenser fra Europa kan illustrere dette, og siden dette er et felleseuropeisk regelverk, vil disse tendensen ha overføringsverdi til norske forhold. For norske foretak som setter ut tjenester til Europa, kan denne aktiviteten få en direkte betydning.

Fra Hamburg hører vi at Hamburg Data Protection Authority har igangsatt en etterforskning av det amerikanske nettstedet Facebooks bruk av personopplysninger. Noen spørsmål er av interesse i saken. For det første: Facebook laget i april nye personverninnstillinger som skulle bedre sikkerheten for opplysningene knyttet til medlemmene på nettstedet, men dette var ikke nok for lederen for Hamburgs datatilsyn. Dette fordi spørsmålet ikke er relatert til medlemmene, men til bruken av ikke-medlemmers opplysninger og den innsamlingen Facebook foretar av disse opplysningene. Resultatet kan bli at Facebook blir bøtelagt, og videre at de får mye negativ presseomtale.

Saken illustrerer også noe annet, nemlig skillet mellom den amerikanske og den europeiske måten å tenke personvern på. Selv om Facebooks handlinger hadde vært uproblematiske i USA, er de problematiske i Europa. Denne forskjellen mellom forskjellige lands bestemmelser viser hvor viktig det er at selskapene er bevisst på andre lands lovreguleringer – og også kulturer – før man iverksetter virksomhet. For Facebook kan dette vise seg å bli en dyrekjøpt erfaring. Mer intensiverte personvernsinnstillinger kan også vise seg å ta vekk en del av det som har gjort disse nettstedene store i utgangspunktet – den utilslørte tilgangen til privat informasjon.

I England ser vi prosjektet Encore Info, som skal hjelpe personer og bedrifter med å fjerne personopplysninger eller bedriftsopplysninger om dem som ligger ute på nett. Gjennom et dataprogram skal personer kunne følge opplysningene om seg selv som ligger på nett, hvor ofte informasjonen blir brukt, og til hvilket formål informasjonen blir brukt.

For bedrifter kan det være et forretningsfortrinn å forholde seg proaktivt til denne typen tiltak. Mange kunder og medkontrahenter setter pris på vissheten om at man gjør forretninger med en virksomhet som tar beskyttelse av personopplysninger alvorlig.

Tendensen er klar, en økt bevissthet om personopplysninger blant tilsyn og NGO-er vil nødvendigvis også få følger for selskaper og bedrifter som har befatning med disse, både hva gjelder den konkrete innsamlingen av informasjonen og for den nærmere benyttelsen av den.

3. Kommersielle feller

Ved oppkjøp av selskaper og sammenslåinger er informasjonsinnhenting i forkant sentralt. Det samme gjelder ved valg av leverandører og samarbeidspartnere, enten dette er leverandører av råvarer og teknologiske komponenter eller rådgivere som for eksempel advokater eller revisorer. All informasjon som kan innhentes om dette, er av betydning. Enda viktigere er det å sikre at den informasjonen man innhenter, er riktig. De økonomiske konsekvensene av feilinnhenting av informasjon vil alltid ha betydning. Den kanskje viktigste konsekvensen kan være at man gjør gale kommersielle vurderinger. Et annet spørsmål er om motparten kan ha grunnlag for å reise krav dersom feilinformasjonen har medført et tap for medkontrahenten. Kan for eksempel en bankkunde som ikke får lån på grunn av slik feilinformasjon, saksøke den som har innhentet feilinformasjonen som førte til at kunden ikke fikk finansieringen?

Et slikt ansvar kan trolig bare bli aktuelt under særskilte omstendigheter, men helt uaktuelt er det ikke. Fremtiden vil nok avklare hvor grensene vil gå.

Når det gjelder innsamling av informasjon om personer eller bedrifter, er det viktig å være klar over og å forstå kvaliteten på informasjonen man skal benytte, før det treffes kommersielle beslutninger på bakgrunn av den. Dette vil særlig spille inn i situasjoner hvor man søker etter informasjon som ligger fritt tilgjengelig. Det er jo slik at informasjonen er gitt under andre forutsetninger enn den så blir brukt under. Ved en kvalitativ vurdering av informasjonen må en ha i bakhodet at data som er gitt i én kontekst, kan ha en annen betydning og bli misforstått når den blir brukt i denne nye konteksten.

At det også kan være etiske problemer knyttet til denne innsamlingen, er åpenbart – man benytter informasjon om personer som kan få stor innvirkning på livet deres, uten samtykke fra personen, og uten at personen er i stand til ta et informert valg om denne annengangsbruken av opplysningene.

At det i fremtiden kan være en kommersiell fordel å ha en uttalt personvernpolicy, kan ikke utelukkes. Vi hevder her at bruk av annenhåndsinformasjon for å lage en profil av en person eller bedrift, kan innebære signifikante svakheter. Hvis dette stemmer, trenger ikke en slik personvernpolicy ha noen negativ effekt på bedriftens resultat.


© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS