Norge

Datatilsynet: Schibsted lagret brukerdata fra 2001 – også før brukerne registrerte seg

Mediekonsernet sier de følger lovverket.

Rolv Erik Ryssdal er konsernsjef i Schibsted. Nå viser en undersøkelse gjort av Datatilsynet at selskapet har lagret detaljert brukerdata siden 2001. Foto: Grøtt, Vegard Wivestad / NTB scanpix

  • og NTB
  • Anders Veberg
    Journalist

Datatilsynet ba om innsyn i hva som er lagret av informasjon om en testperson, som er ansatt hos dem, hos fire selskaper.

– Vi ble overveldet over mengden informasjon, sier Tobias Judin, juridisk rådgiver i Datatilsynet, til NRK.

Resultatet er dokumentert i rapporten «Hva vet de om deg?».

Ifølge tilsynet hadde Schibsted – som blant annet står bak Aftenposten, VG og Finn.no – lagret data om testpersonen tilbake til 2001, som er før han selv registrerte seg som bruker.

– Alt han har vært inne på, når på døgnet, hvem han har kommunisert med, hvor lenge han var inne på siden, hvor langt ned han bladde, når han bommet på tastetrykk, hvilke mobiltelefoner og PC-er som ble benyttet, og hvilke interesser han har. Alt er lagret, sier rådgiver Judin.

Personvernombud Ingvild Næss i Schibsted sier til NRK at hun føler seg trygg på at selskapet behandler dataene etter norsk og europeisk lov.

– Vi jobber med å forbedre oss, og gjør stadig tiltak for å redusere personvernulempene, sier Næss til NRK.

Dette sier loven

Ifølge lovverket er det tillatt å behandle personopplysninger dersom «den registrerte har samtykket», og den som samler inn informasjonen sørge for at opplysningene er «korrekte og oppdatert, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen», ifølge §2 og §11.

Men selv om brukere av Schibsted innloggingsløsning, SPiD, må gi samtykke til en lang rekke betingelser, betyr ikke det at Schibsted holder seg dagens lovverk.

– Det er veldig usikkert. Lovverket er vagt og basert på skjønn. Det gjenstår et par kjernespørsmål om de trenger samtykke og om informasjonen til brukerne er god nok, sier Tobias Judini Datatilsynet til Aftenposten.

Han forklarer at også etter dagens lovverk må det være klart og tydelig for brukeren om personlige opplysninger lagres.

– Å begrave det i en personvernerklæring er ikke greit etter de nye reglene som kommer. Ber de brukerne om samtykke, må de allerede et dagens lov spørre direkte og separat fra andre ting.

Fra 25. mai vil lovverket strammes til. Da innføres GDPR i Europa, som skal gi brukerne bedre kontroll over sine egne personlige opplysninger på nett.

Og når det gjelder hvor lenge informasjonen kan lagres, er heller ikke sikkert at Schibsted er innenfor loven. Opplysningene kan lagres så lenge som er «nødvendig ut fra formålet», og i personvernerklæringen hos Finn.no står det at informasjonen brukes til å «gi deg en tilpasset og god opplevelse av FINN».

Ordlyden i lovverket gir rom for mye tolkning, men det finnes en grense, forklarer Judin.

– Dersom opplysningene skal brukes i markedsføring, kan det være nødvendig å beholde opplysningene en periode, men det er mer tvilsomt at det er nødvendig å lagre opplysningene i 17 år, sier Judin.

Datatilsynet har ikke fått en begrunnelse for hvorfor Schibsted tar vare på informasjonen så lenge.

-- Mitt inntrykk er at Schibsted jobber for å bli klare til GDPR, og at de har funnet en del rutiner som ikke fungerer optimalt i dag. Mitt inntrykk er at de jobber for å bli bedre, men det hjelper jo ikke så lenge de har all denne informasjonen lagret i dag.

Les mer om

  1. Schibsted
  2. Datatilsynet
  3. Overvåking