Spørsmål

Helge André Njåstad (FrP): Mener statsråden at Schibsteds innføring av en «betal eller samtykk»-modell, hvor brukere må enten samtykke til omfattende behandling av personopplysninger for målrettet reklame eller betale for å slippe slik sporing, er i tråd med kravene til frivillig samtykke etter personvernregelverket, og hvilke tiltak vil statsråden eventuelt vurdere for å hindre at slike modeller svekker personvernet til norske brukere i fremtiden?

Begrunnelse

Schibsted har nylig innført en modell der brukere av selskapets medietjenester må velge mellom å samtykke til behandling av personopplysninger for personalisert reklame eller betale for å få tilgang uten slik sporing. Modellen har skapt betydelig debatt og er blitt kritisert av blant annet personvernorganisasjoner og Forbrukerrådet, som stiller spørsmål ved om samtykket kan anses som frivillig når alternativet er en betalingsløsning. Et grunnleggende prinsipp i personvernforordningen (GDPR) er at samtykke skal være frivillig, spesifikt, informert og utvetydig. Det er samtidig uklart hvordan slike «betal eller samtykk»-modeller skal vurderes opp mot dette kravet, og hvor grensen går mellom legitim finansiering av digitale tjenester og press til å avgi personopplysninger.
Saken reiser prinsipielle spørsmål om personvern, forbrukerrettigheter og den videre utviklingen av digitale tjenester i Norge. Dersom slike modeller blir vanlige, kan det få betydning for hvordan norske borgere i praksis kan utøve sine personvernrettigheter.
Det er derfor behov for å få klarlagt regjeringens vurdering av slike løsninger og om det er aktuelt å vurdere regelverksendringer, veiledning eller andre tiltak for å sikre at personvernregelverket ivaretas.

Svar

Karianne O. Tung: Flere selskaper med tilstedeværelse i Europa har innført såkalte «pay-or-okay»-modeller. Innholdet i slike modeller kan variere, men fellesnevneren er at brukeren kan benytte seg av selskapenes tjenester, for eksempel å lese en nettavis, enten ved å samtykke til bruk av personopplysninger eller ved å betale, typisk et månedlig abonnement. Personopplysningene brukes blant annet til persontilpasset og målrettet markedsføring. Modellene har vokst frem som en finansieringsmåte der medieselskapenes inntektsgrunnlag enten er basert på annonseinntekter eller ved at brukerne abonnerer på tjenestene.

Adgangen til å bruke slike modeller er ikke særskilt regulert i norsk lovgivning, men de generelle bestemmelsene i personopplysningsregelverket gjelder. Ordningen forutsetter at brukeren gir samtykke til behandling av personopplysninger. Når alternativet til å gi samtykke er å betale for tjenestene, er det et spørsmål om brukerens samtykke oppfyller kravene etter personopplysningsregelverket om at et samtykke må være «frivillig, spesifikt, informert og utvetydig».

Det er ikke rettslig avklart om, og eventuelt når, slike modeller er i samsvar med personopplysningsregelverket. Det er likevel klart at de innebærer noen personvernutfordringer som må vurderes nærmere. Det europeiske personvernrådet (EDPB) har uttalt seg om «pay-or-okay»-modeller i «Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms». EDPB konkluderte i uttalelsen med at det i de fleste tilfellene ikke vil være mulig å oppfylle kravene til samtykke hvis brukeren kun tilbys et binært valg mellom å gi samtykke til behandling av personopplysninger og å betale. EU-Kommisjonen, som fører tilsyn med de store teknologigigantene etter forordningen om digitale markeder (Digital Markets Act), har konkludert med at den annonsemodellen Meta innførte i november 2023, ikke var i samsvar med forordningen.

Personvernet er en grunnleggende rettighet, og en personopplysning er ikke en handelsvare. Jeg er derfor glad for at det er oppmerksomhet rundt personvernutfordringene annonsemodellene medfører. Det er uheldig hvis brukerens betalingsevne i praksis blir avgjørende for om det gis samtykke eller ikke. Det er også en utfordring at brukeren typisk må samtykke til «alt eller ingenting», og at det ikke nødvendigvis legges til rette for at brukeren kan avgrense sitt samtykke til ett av flere behandlingsformål, for eksempel at personopplysninger kan behandles for at det skal vises tilpasset innhold, men ikke til målrettet markedsføring.

Jeg mener samtidig at personopplysningsregelverket gir oss det nødvendige verktøyet for å løse de personvernutfordringene som oppstår. Vurderingene av når medieselskapenes konkrete annonsemodeller er i strid med regelverket, må finne sin løsning i saker for tilsynsmyndighetene. Samtidig er det viktig at vi fremover følger tett med på utviklingen i hvordan tilsynsmyndighetene og eventuelt domstoler i Europa følger opp medieselskapenes «pay-or-okay»-modeller. Vi må også følge med på hvordan medieselskapene eventuelt tilpasser og videreutvikler slike modeller når de av allmennheten, tilsynsmyndighetene og domstolene blir oppfordret til å finne løsninger på personvernutfordringene.