Facebooks GDPR-strategi er på gyngende grund: De bliver hevet i retten

Illustration: grandfailure/Bigstock
Facebooks indsats for at blive klar til databeskyttelsesforordningen er særdeles utilstrækkelig, mener eksperter.

Facebook har opdateret selskabets brugerbetingelser og privatlivspolitik for at blive klar til den 25. maj, hvor omkring 370 millioner europæiske brugeres data bliver underlagt EU’s databeskyttelsesforordning – GDPR.

Men trods løfter fra selskabets stifter og CEO, Mark Zuckerberg, er det særdeles usikkert, om selskabets datapolitik reelt lever op til de nye strengere krav.

Facebook har nemlig valgt at sætte samtykket til målrettede reklamer ind som en del af produktbeskrivelsen af Facebook – og dermed skal man som bruger fortsat sige ja til profileringen, hvis man vil bruge platformen.

Det er problematisk, mener formanden for IT-Politisk Forening Jesper Lund.

»Jeg mener helt klart, at Facebook har et problem med denne model. Hvis grundlaget for samtykke til profilering og målrettede reklamer er bundet op med brugen af Facebook, som er en kommunikationstjeneste, så bliver brugeren reelt tvunget til at samtykke,« siger han.

»Det er ikke tilladt ifølge GDPR-kravene om granuleret samtykke,« understreger Jesper Lund.

Ryger i retten

Facebooks udfordring skyldes i sin kerne, at forretningen er baseret på Facebooks evne til at målrette annoncer på baggrund af profilering af individuelle brugere – et foretagende, der kræver brugerens samtykke.

Man kan godt se for sig, at det umiddelbart kan være svært for Facebook at skaffe det for virksomheden kritiske samtykke, ikke mindst hvis privacy-by-design-regler kræver, at tjek-boksen ikke er afkrydset på forhånd.

»Det er forståeligt, hvorfor Facebook vælger at gøre det, men jeg tror, det vil blive noget af det første, der bliver udfordret i retten efter 25. maj,« siger Jesper Lund.

»Som bruger beder du om en kommunikationstjeneste. Du beder ikke om at blive overvåget og profileret.«

Læs også: Facebook flytter 1,5 mia. brugere fra Irland til Californien

Jesper Lund er ikke ene om at se problemet. Juraprofessor ved Vrije Universiteit i Bruxelles Mereille Hildebrandt fastslog for nylig over for Techcrunch, at ‘alt-eller-intet’-tilgangen strider mod GDPR's artikel 7 (4).

Den omtalte lovtekst specificerer, at et samtykke til databehandling ikke er givet frit, hvis det er nødvendigt for at få adgang til en service, som ikke er afhængig af databehandlingen.

Med andre ord: Facebook behøver ikke profilere brugere og målrette reklamer for at være Facebook, og derfor skal samtykket gives separat.

»Så ja, de vil blive hevet i retten,« konkluderer Mereille Hildebrandt.

Argumentet holder ikke

Facebooks egen strategi er tilsyneladende, at databehandlingen sker for at opfylde en kontrakt med brugeren – hvilket er en af mulighederne for at behandle persondata lovligt, som GDPR giver.

Frederik Borgesius, der forsker i it-ret ved Amsterdams Universitet, har i en længere Twitter-tråd sået tvivl om den tilgang.

Borgesius henviser blandt andet til, at de europæiske datatilsyn i Artikel 29-gruppen generelt vurderer, at et samtykke er det eneste gyldige grundlag for målrettet markedsføring.

Læs også: EU vil have Zuckerberg i høring om Cambridge Analytica

»In 2015 (under 95 Directive, not GDPR) I concluded: ‘in most circumstances the only available legal basis for the processing of personal data for behavioural targeting is the data subject’s unambiguous consent’. GDPR would lead to same conclusion, I think,« skriver Frederik Borgesius blandt andet.

Jesper Lund køber heller ikke Facebooks henvisning til kontrakten med brugeren:

»Facebook-brugerens kontrakt med Facebook er om levering af en kommunikationstjeneste. Derudover har Facebook aftaler med annoncører om at levere målrettede reklamer baseret på profilering, men det er ikke en kontrakt med Facebook-brugeren, og derfor mener jeg ikke, at Facebooks argument holder,« forklarer han.

Skygge-profiler

Illustration: Cliqz

Facebooks samtykke-tilgang er ikke den eneste del af selskabets aktivitet, der kan løbe ind i problemer med GDPR.

Det tyske selskab Cliqz – som står bag den privacy-orienterede browser af samme navn og ejer anti-tracking softwaren Ghostery – skriver i en analyse, at Facebooks tracking af ikke-brugere kan være i strid med forordningens regler.

Data fra Ghostery og Cliqz viser, at Facebooks tracking-scripts er til stede ved 27,1 procent af alle page loads.

De udbredte scripts sender data om web-besøg tilbage til Facebook sammen med en unik identifikator, der teoretisk gør Facebook i stand til at linke adfærdsdata med individuelle brugere – uagtet at de brugere ikke er Facebook-brugere, skriver Cliqz.

Læs også: Dobbelt-afsløring: Facebook gemmer 'skyggeprofil' på 6 mio. brugere - og eksponerer dem i sikkerhedshul

Fænomenet har fået navnet 'skygge-profiler'. Ved høringen i den amerikanske kongres bedyrede Mark Zuckerberg, at han ikke kendte til skygge-profiler.

Men det kan være et svagt punkt i Facebooks GDPR-strategi, mener Jean-Paul Schmetz, der er CEO i Cliqz.

For at gøre brug af Facebooks privacy-værktøjer – som f.eks. at slette data – skal man nemlig have en profil på det sociale medie.

»Så Facebook kan være GDPR-compliant for sine medlemmer, men stadig overtræde GDPR for ikke-medlemmer,« konkluderer Cliqz.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Flemming Hansen

Facebook er preinstalleret på min Samsung mobil og jeg kan ikke afinstallere det.
Jeg kan deaktivere det, men har ikke tillid til at der ikke kører et eller andet Facebook-relateret i baggrunden alligevel.
Har jeg så allerede accepteret (dele af) Facebooks betingelser bare ved at købe en mobil?

Jeg må indrømme at jeg ikke har læst alle betingelserne for mobilen igennem, så jeg aner ikke om jeg har givet preinstallerede apps lov til indsamle data.

Morten Hartvig

A: Tillade reklamer og profilering som nuværende.

B: Sig nej tak, men betal et månedligt beløb for at benytte Facebook (svarende til nuværende indtjeningen pr. bruger).

Det vil da være fair, og burde også kunne overholde GDPR reglerne. At man via reklamer og målrettet annoncering kan fortsætte med at bruge Facebook ganske gratis, eller slippe for reklamer mod betaling. Win win.

René Nielsen

Er der nogen som har så meget styr på GDPR at de kan besvarer et spørgsmål?

Jeg er tilmeldt Robinson listen men modtager alligevel jævnligt uønskede opkald fra telefonsælgere.

Og diskuterer man med telefonsælgerne, påstår de i strid med sandheden at jeg har givet samtykke via en konkurrence eller lignende, men altid uden konkret viden om opnåelsen af det påståede samtykke. Og det er der en grund til, for samtykket har aldrig eksisteret.

Kan jeg anmelde telefonsælgerne til datatilsynet efter reglerne om GDPR?

Hans Nielsen

"Kan jeg anmelde telefonsælgerne til datatilsynet efter reglerne om GDPR?"

Så beder du telefonsælgeren om at få tilsendt alt data de har om dig. Hør om de har optaget samtalen, så bed om en udskrift af den også.

Du skal starte med at høre hvad de vil sælge. Mange sælger er ikke tilknyttet firmaer, men er store call centeret som lever af ulovlig marketing.
Så du får en hjemmeside/mail, hvor du kan henvende dig skriftligt med din henvendelse.
Du skal også have mulighed for, lige så nemt som du har meldt dig til, at melde dig fra. Desuden skal de jo kunne oplyse hvor de har samtykke fra.

Når du har fået det, så skriver du til alle, også 3 partnere. Samtidigt kan vi jo høre datatilsynet om telefonsælger også skal have lov til at fortsætte deres opringninger og chikane, fordi det er så synd for dem, og loven kan misforstås.Måske noget for V2 at høre dem om ?
https://www.version2.dk/artikel/datatilsynet-ingen-grund-at-frygte-boede...

Var det ikke noget for V2 at lave en artikel om dette. Det er jo en del af landevejsrøveriet ?
https://www.version2.dk/artikel/leder-sloeve-myndigheder-baner-vejen-dig...

Der er hvis ikke så synd for dem.
https://www.version2.dk/artikel/di-myndighederne-boer-holde-igen-med-gdp...

Men måske nogle kan henvise til, eller skrive en god standard henvendelse og poste den her ?

Martin Storgaard Dieu

Hvis du bliver chikaneret af telefonsælgere er det forbrugerombudsmanden du skal have fat i, da det er deres domæne.

Er dit telefonnummer registreret i dit navn? Er der andre telefonnummre registreret i dit navn? Hvis ja til begge, er der så nogle som kan have tilmeldt det/de andre numre en konkurrence?

At bede telefonsælgeren oplyse hvor de har dit nummer fra svare lidt til at spørge kassemedarbejderen i dit lokale supermarked om hvilken ko der har produceret mælk til den ost der er på din frysepizza.

Mark Klitgaard
Jesper Lund

A: Tillade reklamer og profilering som nuværende.

B: Sig nej tak, men betal et månedligt beløb for at benytte Facebook (svarende til nuværende indtjeningen pr. bruger).

Det vil da være fair, og burde også kunne overholde GDPR reglerne.

Dit forslag overholder næppe GDPR-kravene til et (frit afgivet) samtykke. Betragtning 42 siger bl.a.

Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende.

Artikel 29 Arbejdsgruppen har i WP 259 følgende udlægning (min fremhævning)

The controller needs to demonstrate that it is possible to refuse or withdraw consent without detriment (recital 42). For example, the controller needs to prove that withdrawing consent does not lead to any costs for the data subject and thus no clear disadvantage for those withdrawing consent.

Du kan sige, at GDPR forhindrer folk i at betale med deres personoplysninger, fordi behandling af personoplysninger generelt ikke kan være et substitut for betaling med penge (i hvert fald ikke når samtykke er behandlingsgrundlaget). Men det er et helt bevidst valg fra lovgivers side.

Valget, som du skal tilbyde den registrerede, bør derfor være: målrettede reklamer med behandling af personoplysninger eller reklamer der ikke kræver denne behandling, fx kontekst-afhængige i stedet for at være afhængige af brugerens adfærd.

Jesper Lund
Formand, IT-Politisk Forening

Jesper Lund

Og diskuterer man med telefonsælgerne, påstår de i strid med sandheden at jeg har givet samtykke via en konkurrence eller lignende, men altid uden konkret viden om opnåelsen af det påståede samtykke. Og det er der en grund til, for samtykket har aldrig eksisteret.

GDPR ændrer ikke som sådan på denne situation, fordi reglerne for hvem der må, og ikke må, ringe til dig findes i markedsføringsloven, herunder opt-out registre som Robinson.

Der er dog så meget EU-ret over det (markedsføringsloven er på dette punkt delvist en gennemførelse af e-databeskyttelsesdirektivet 2002/58, i folkemunde kendt som "cookie"-direktivet), at samtykke skal fortolkes i overensstemmelse med GDPR.

Så... fra 25. maj skal telefonsælgeren kunne påvise, at du har givet samtykke (hvilket kan gøres på flere måder; men telefonsælgeren kommer næppe uden om at skulle kunne redegøre for hvornår og i hvilken sammenhæng du skulle have givet dette samtykke til at blive ringet op af irriterende telefonsælgere).

Din eventuelle klage vil nok stadig skulle gå til Forbrugerombudsmanden.

Mogens Lysemose

Jeg er tilmeldt Robinson listen men modtager alligevel jævnligt uønskede opkald fra telefonsælgere.

Jeg har samme problem med callcentre der lader som om de ringer fra aviser og velgørende foreninger
Mener lige præcis de to kategorier er undtaget.
Derudover er der selvfølgelig internationale svindlere som "Microsoft" der har prøvet at få mig til alt muligt.

Claus Wøbbe

Jeg har svært ved at se telefonsælgere som noget stort problem. Som regel afbryder jeg dem med et hurtigt "Ikke interesseret", hvorefter jeg blot "lægger røret på" - og evt. blokerer deres telefonnummer. Det er hurtigt gjort - problem solved.

Hans Nielsen

Derudover er der selvfølgelig internationale svindlere som "Microsoft" der har prøvet at få mig til alt muligt.


+"hvorefter jeg blot "lægger røret på"

Nu kommer de ikke altid til sagen hurtigt, og hvis du har kunder der ringer til dig, så er det ikke altid nemt at sortere hurtigt.

Have blandt andet en Indisk Microsoft medarbejder i telefonen. Som var en yderst venligt og kompetent Microsoft medarbejder som skulle hjælpe mig med et ticket ved dem.
- Så dur autoreatione ikke :-)

Per Møller Olsen

Jeg har netop haft en dialog med to kunder, der begge har firma-Facebook-sider. Eftersom mine kunder anvender deres sider til markedsføring ved at annoncere forskellige aktiviteter på deres væg - og har følgere på deres sider, mener jeg at mine kunder er dataansvarlige og at FaceBook er en databehandler.

Men FaceBook mener noget andet. I deres GDPR-skriv definerer de sig som dataansvarlige. Dog med den undtagelse, at virksomheder, der annoncerer og benytter profilering og analyse benytter FaceBook som databehandlere.

https://www.facebook.com/business/gdpr#Facebook-som-dataansvarlig-vs.-da...

Men hvis kunderne opretter events, som følgere for beskeder om - eller ønsker at invitere brugere til et event, så benytter de jo persondata aktivt.

Er jeg forkert på den ... eller er FaceBook på tynd is?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder