Facebook har opdateret selskabets brugerbetingelser og privatlivspolitik for at blive klar til den 25. maj, hvor omkring 370 millioner europæiske brugeres data bliver underlagt EU’s databeskyttelsesforordning – GDPR.
Men trods løfter fra selskabets stifter og CEO, Mark Zuckerberg, er det særdeles usikkert, om selskabets datapolitik reelt lever op til de nye strengere krav.
Facebook har nemlig valgt at sætte samtykket til målrettede reklamer ind som en del af produktbeskrivelsen af Facebook – og dermed skal man som bruger fortsat sige ja til profileringen, hvis man vil bruge platformen.
Det er problematisk, mener formanden for IT-Politisk Forening Jesper Lund.
»Jeg mener helt klart, at Facebook har et problem med denne model. Hvis grundlaget for samtykke til profilering og målrettede reklamer er bundet op med brugen af Facebook, som er en kommunikationstjeneste, så bliver brugeren reelt tvunget til at samtykke,« siger han.
»Det er ikke tilladt ifølge GDPR-kravene om granuleret samtykke,« understreger Jesper Lund.
Version2 tæller ned til den 25. maj, hvor Databeskyttelsesforordningen træder i kraft med skærpede samtykkeregler, nye brugerrettigheder og ikke mindst massive bøder for datasjusk til både myndigheder og virksomheder. Læs med om hovedpiner, værktøjer og strategier, som forskellige virksomheder har brugt for at blive klar til regelsættet.
Forordningen kommer
Ryger i retten
Facebooks udfordring skyldes i sin kerne, at forretningen er baseret på Facebooks evne til at målrette annoncer på baggrund af profilering af individuelle brugere – et foretagende, der kræver brugerens samtykke.
Man kan godt se for sig, at det umiddelbart kan være svært for Facebook at skaffe det for virksomheden kritiske samtykke, ikke mindst hvis privacy-by-design-regler kræver, at tjek-boksen ikke er afkrydset på forhånd.
»Det er forståeligt, hvorfor Facebook vælger at gøre det, men jeg tror, det vil blive noget af det første, der bliver udfordret i retten efter 25. maj,« siger Jesper Lund.
»Som bruger beder du om en kommunikationstjeneste. Du beder ikke om at blive overvåget og profileret.«
Jesper Lund er ikke ene om at se problemet. Juraprofessor ved Vrije Universiteit i Bruxelles Mereille Hildebrandt fastslog for nylig over for Techcrunch, at ‘alt-eller-intet’-tilgangen strider mod GDPR's artikel 7 (4).
Den omtalte lovtekst specificerer, at et samtykke til databehandling ikke er givet frit, hvis det er nødvendigt for at få adgang til en service, som ikke er afhængig af databehandlingen.
Med andre ord: Facebook behøver ikke profilere brugere og målrette reklamer for at være Facebook, og derfor skal samtykket gives separat.
»Så ja, de vil blive hevet i retten,« konkluderer Mereille Hildebrandt.
Argumentet holder ikke
Facebooks egen strategi er tilsyneladende, at databehandlingen sker for at opfylde en kontrakt med brugeren – hvilket er en af mulighederne for at behandle persondata lovligt, som GDPR giver.
Frederik Borgesius, der forsker i it-ret ved Amsterdams Universitet, har i en længere Twitter-tråd sået tvivl om den tilgang.
Borgesius henviser blandt andet til, at de europæiske datatilsyn i Artikel 29-gruppen generelt vurderer, at et samtykke er det eneste gyldige grundlag for målrettet markedsføring.
»In 2015 (under 95 Directive, not GDPR) I concluded: ‘in most circumstances the only available legal basis for the processing of personal data for behavioural targeting is the data subject’s unambiguous consent’. GDPR would lead to same conclusion, I think,« skriver Frederik Borgesius blandt andet.
Jesper Lund køber heller ikke Facebooks henvisning til kontrakten med brugeren:
»Facebook-brugerens kontrakt med Facebook er om levering af en kommunikationstjeneste. Derudover har Facebook aftaler med annoncører om at levere målrettede reklamer baseret på profilering, men det er ikke en kontrakt med Facebook-brugeren, og derfor mener jeg ikke, at Facebooks argument holder,« forklarer han.
Skygge-profiler
Facebooks samtykke-tilgang er ikke den eneste del af selskabets aktivitet, der kan løbe ind i problemer med GDPR.
Det tyske selskab Cliqz – som står bag den privacy-orienterede browser af samme navn og ejer anti-tracking softwaren Ghostery – skriver i en analyse, at Facebooks tracking af ikke-brugere kan være i strid med forordningens regler.
Data fra Ghostery og Cliqz viser, at Facebooks tracking-scripts er til stede ved 27,1 procent af alle page loads.
De udbredte scripts sender data om web-besøg tilbage til Facebook sammen med en unik identifikator, der teoretisk gør Facebook i stand til at linke adfærdsdata med individuelle brugere – uagtet at de brugere ikke er Facebook-brugere, skriver Cliqz.
Fænomenet har fået navnet 'skygge-profiler'. Ved høringen i den amerikanske kongres bedyrede Mark Zuckerberg, at han ikke kendte til skygge-profiler.
Men det kan være et svagt punkt i Facebooks GDPR-strategi, mener Jean-Paul Schmetz, der er CEO i Cliqz.
For at gøre brug af Facebooks privacy-værktøjer – som f.eks. at slette data – skal man nemlig have en profil på det sociale medie.
»Så Facebook kan være GDPR-compliant for sine medlemmer, men stadig overtræde GDPR for ikke-medlemmer,« konkluderer Cliqz.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
