Journalisten som kranglet seg til innsyn i alle dataene Tinder hadde lagret om henne, endte med 800 sider info i retur skriver Aga fra Bing Hodneland.

Et farlig spill

Da journalisten Judith Duportail ba sjekkeappen Tinder om innsyn i sine personopplysninger, fikk hun 800 sider tilbake. Vil EUs personvernforordning (GDPR) gjøre sosiale medier tryggere?

Kommentar

Veslemøy Aga

Advokatfullmektig, Bing Hodneland

2017-10-09T10:01:49.879Z

Oppdatert: 2017-11-02T18:33:08.178Z

Denne artikkelen er tidligere publisert hos Bing Hodneland Advokatfirma.

Da journalisten Judith Duportail søkte innsyn i personopplysningene sjekkeappen Tinder hadde lagret om henne, fikk hun 800 sider tilbake.

Duportail skrev om opplevelsen i en artikkel i The Guardian, publisert 26.september 2017.

Tinder hadde oversikt over hvor mange ganger hun hadde vært inne på appen, hvor mange menn hun hadde «matchet» med og aldersgruppen hun var interessert i.

Selskapet hadde også oversikt over hennes Facebook-likes, bilder fra en Instagram-konto hun senere hadde avsluttet, hvor mange ganger hun brukte enkelte ord, at hun fortalte den samme vitsen til forskjellige «matcher», hvor mange menn hun var i kontakt med på ulike tidspunkt og hvor hun befant seg i verden da hun logget inn. Og så videre.

Fikk ikke innsyn i alt

All denne informasjonen hadde hun gitt fra seg frivillig. Men det å lese sammenstillingen Tinder hadde gjort, var overveldende. Og sjekkeappen gav henne ikke engang tilgang alle personopplysningene de hadde behandlet om henne.

Paul-Olivier Dehaye er grunnlegger av den frivillige organisasjonen Personaldata.iq. Han hjalp Judith Duportail med den lange prosessen det var å skaffe innsyn i personopplysninger fra Tinder. I en artikkel i The Guardian, publisert dagen etter Duportails, skriver Dehaye om prosessen.

Duportail fikk først svar på innsynsbegjæringen sin etter at hun hadde avslørt at hun var journalist, og fikk ikke full tilgang til personopplysningene sine. Hun fikk for eksempel ikke vite sitt «attraksjons-tall», det vil si hvor hun befant seg i det interne rangeringssystemet Tinder bruker for medlemmene sine.

«Attraksjons-tall»

Tinder gjør avanserte analyser basert på brukernes personopplysninger og deres suksess på appen for å rangere brukerne i forhold til hverandre. De bruker denne informasjonen blant annet for å gi brukerne tilgang til potensielle partnere på omtrent samme «attraksjonsnivå» som dem selv.

Tinder selv kaller det «Elo-tall». Elo-systemet er et rangeringssystem basert på statistisk teori, som blant annet brukes i sjakk, videospill og fotball. Basert på hvor ofte spillerne vinner og hvem de vinner mot, regnes deres Elo-tall ut. Noe tilsvarende regnes altså ut i det store spillet som er det digitale sjekkemarkedet. Men spillerne får hverken vite rangeringen sin eller hvordan deres attraksjonsnivå blir regnet ut.

Tinder har makta

Etter dagens regelverk har europeiske borgere rett til innsyn i hvilke personopplysninger som behandles om dem. Personopplysninger er opplysninger og vurderinger som kan knyttes til en enkeltperson. Behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

Et attraksjons-tall vil være en personopplysning som et selskap plikter å gi innsyn i.

Tinder har over 50 millioner brukere på verdensbasis. Hundrevis av sider med personopplysninger for hver bruker er en helt ufattelig mengde informasjon. Brukerne har ingen garanti for at personopplysningene ikke blir videresolgt, og de vil ikke nødvendigvis få beskjed hvis personopplysningene deres blir stjålet.

Men i dag finnes det ikke effektive håndhevingsmekanismer som gir brukere makt til å kreve sin rett i møte med amerikanske Tech-giganter.

Kan borgerne gjenvinne kontroll?

Dette forsøker EU å gjøre noe med. 25. mai 2018 trer EUs personvernforordning (GDPR) i kraft. GDPR vil forhåpentlig bidra til at europeiske borgere kan gjenvinne kontrollen over sine egne personopplysninger.

Personvernforordningen gjelder for alle bedrifter som behandler personopplysninger om europeiske borgere. Den viderefører en del regler som allerede er gjeldende rett i de fleste EU-land og harmoniserer regelverket slik at det blir likt i alle EU- og EØS-land. GDPR gir også borgerne sterkere rettigheter mot leverandører som har samlet inn opplysninger om dem.

I tillegg vil det med personvernforordningen lovfestes et sanksjonssystem som faktisk kan være egnet til å skremme: Med hjemmel i personvernforordningen vil virksomheter kunne ilegges overtredelsesgebyr på opptil 4% av konsernets globale omsetning. For multinasjonale selskaper som Google, Tinder og Facebook, er 4% av den globale omsetningen et skyhøyt tall.

Rett til innsyn, retting og sletting

I dag er det umulig å vite om de opplysningene man gav fra seg til Tinder da man var singel i 2013, fortsatt oppbevares av Tinder i 2017, selv om man har slettet brukerkontoen, blitt gift og fått barn. Etter 25. mai 2018 vil EU og EØS-borgere kunne kreve at disse opplysningene slettes.

Borgerne har blant annet rett til innsyn i hvilke personopplysninger som behandles, og de har rett til å få vite formålene med behandlingen, hvor personopplysningene stammer fra og om det foretas såkalte automatiserte avgjørelser.

Borgerne har også rett til å kreve retting av uriktige personopplysninger. I tillegg har borgerne rett til å bli glemt. Dersom personopplysningene ikke lenger er nødvendige for å oppfylle de formål de ble innsamlet til eller borgeren trekker sitt samtykke, skal virksomheten slette opplysningene.

Hvem eier personopplysningene?

En nyvinning i personvernforordningen, som vil kunne gi borgerne mer kontroll over sine egne personopplysninger, er retten til dataportabilitet. Retten til dataportabilitet betyr at en borger har rett til å få utlevert oversikt over alle personopplysningene en virksomhet har behandlet om dem med grunnlag i samtykke fra personen. Borgeren har også rett til å kreve overført personopplysningene om seg selv til en annen virksomhet, uten at den første virksomheten kan motsette seg dette.

Dette er prinsipielt viktig fordi det klargjør at det er borgeren selv som eier sine egne personopplysninger, og ikke virksomheten som har samlet dem inn.

Det kan også være forbrukervennlig på et praktisk nivå: Dersom en borger har samtykket til at treningssenteret har logget treningsprogresjon og ønsker å gi loggene videre til et nytt treningssenter, kan ikke det første treningssenteret motsette seg dette.

Dersom man ønsker å bytte sjekkeapp, er prinsippet det samme: Tinder vil ha plikt til å utlevere all informasjon de har lagret om brukeren, og Tinder kan ikke motsette seg at brukeren ønsker dette videreformidlet til Sukker.

Noen sosiale medier er blitt nødvendige kommunikasjonsplattformer. Andre gir forbrukerne fantastiske muligheter: Få matoppskrifter og interiørinspirasjon fra hele verden rett i mobiltelefonen, logge treningsprogresjon eller finne den store kjærligheten. Kanskje vil EUs personvernforordning bidra til at de også blir trygge å bruke.