Lad trackere følge dig rundt på nettet, og vind en iPhone X. Det er budskabet i en mail, som analysebureauet TNS Gallup sender rundt til folk, der tidligere har medvirket i deres undersøgelser.
En Version2-læser, der ikke ønsker sit navn offentliggjort, modtog en mail fra Gallup, hvor direktør Henrik Hansen bad ham om at slå funktionen ‘undgå sporing fra websteder' fra, så han fortsat kan hjælpe analysebureauet med at måle udvalgte danske hjemmesider.
Den funktion beskytter brugeren fra det såkaldte cross-site tracking, hvor hjemmesider via cookies kan spore, hvor brugere browser hen, efter de har besøgt en side. Gallup bruger ifølge sin cookie-politik tre forskellige cookies, der registrerer besøg på danske hjemmesider, og hvordan du bruger dem, og disse cookies lagres i ti år, hvis de ikke slettes af brugeren.
»Alle, der slår denne standardindstilling fra inden 1. december, og bidrager til undersøgelsen i december måned, deltager i lodtrækningen om en iPhone X 64GB,« lover Henrik Hansen i mailen.
Ikke etisk ansvarligt
Begrundelsen, der gives i mailen, er, at iOS 11 blokerer cross-site tracking som standard, og at Gallup har brug for at tracke på tværs af sider for at måle, hvordan deres informanter bruger de hjemmesider, der undersøges.
Der står dog ikke noget i mailen om, at det altså er alle hjemmesider, der kan spore brugeren på tværs af sider, hvis man slår funktionen fra, og ikke kun Gallup. Der står heller ikke noget om, hvorvidt man skal slå funktionen til igen, når man er færdig med en Gallup-måling
»Når de ikke informerer deres brugere tilstrækkeligt om, hvad det her betyder, og hvad det har af konsekvenser, så mener jeg, at det er uetisk virksomhedsadfærd,« siger Pernille Tranberg, der er etikkonsulent og medstifter af tænketanken Data Ethics.
»Folk forstår ikke, hvad det betyder at slå det her fra, fordi det også er en ny feature på iPhones,« siger hun.
Anette Høyrup, der er seniorjurist hos Forbrugerrådet Tænk, bryder sig heller ikke om metoden, som hun heller ikke har set før. Hun mener også, der mangler klar information om konsekvenserne af at slå funktionen fra.
»Jeg synes, det er tvivlsomt at gå denne her vej. Og gør man det, så skal man gøre det på et helt andet informativt niveau,« siger hun
Apple vil stoppe cross-site tracking
Med den nyeste udgave af iOS har Apple valgt at beskytte deres brugere mod cross-site tracking som standard. Telefonen holder øje med det domæne, som en tracking-cookie er downloadet fra.
Hvis brugeren ikke interagerer med det domæne regelmæssigt, klassificeres det som en cross-site-tracking cookie og slettes fra telefonen. Sådanne cookies bruges blandt andet af reklamenetværk til at målrette reklamer for varer, en bruger tidligere har kigget på, og reklamere for dem på andre sider.
»Apple gør jo faktisk noget virkeligt etisk ansvarligt og lever op til den kommende GDPR-lovgiving ved at blokere for den her slags tracking by-default,« siger Pernille Tranberg.
Anette Høyrup kan ikke vurdere, om det er ulovligt at lokke folk med f.eks. en telefon for at lade sig spore, men hun synes ikke, der er nok informationer til, at brugeren kan træffe en informeret beslutning.
Version2 følger op på sagen.
Det lyder helt vildt....
Det er jo det Gallup gør og altid har gjort: Laver statistik om hvad man gør og synes. I slutningen af 90'erne var jeg med i et lignende program. Engang kunne man få en boks til at stå ved fjernsynet, som registerede hvad man så.
Forskellen på Gallup og Goole, Facebook mfl. er, at Gallup fortæller at de tracker én og betaler én. Så længe det er opt in på denne måde, synes jeg det er ok. Gallups problem er vel, at deres sporingsmetode også bliver blokeret for personer der har valgt at være med.
Den pågældende vejledning er dog ret skidt, af de grunde der bliver nævnt i artiklen. Personligt bruger jeg Privacy Badger til at blokere tracking.
Jeg har netop fået (beundringsværdigt hurtigt) svar på en aktindsigtsanmodning i anmeldelse af dette projekt til Datatilsynet. En sådan foreligger ikke.
Kan nogen med juridisk tæft forklare mig, hvorfor den slags behandling af personoplysninger, som den beskrevne i artiklen, ikke kræver anmeldelse til Datatilsynet?
Hvorfor mener du at Datatilsynet skulle drages ind i det? (spørger af nysgerrighed). Umiddelbart er der ikke noget som tyder på lovbrud i forhold til selve håndteringen eller behandlingen af data, men snarer en etisk problematik i forhold til dårlig kommunikation. I sidste ende må det være den enkelte brugers eget ansvar, hvad vedkommende vælger at slå til/fra på sin enhed.
Gallup burde - af etiske årsager - kommunikere bedre, men det er i min optik ikke Datatilsynets opgave at give dem påtale.
Peter Hansen:
Tak for spørgsmål. Svaret er: Det er ikke kun et etisk problem - det er også et datasikkerhedsproblem, når man håndterer sådanne personfølsomme oplysninger. Og i så fald plejer man at skulle anmelde til Datatilsynet, hvem der f.eks. er databehandler, og hvordan projektet i øvrigt er skruet sammen. Og det ville jeg gerne vide.
Det er muligt, at dette projekt falder ind under en eller anden undtagelse, eller jeg kan have for lidt kendskab til reglerne, så jeg vil slet ikke påstå, at der er noget galt her. Men hvis man ikke har overholdt loven, så er det jo alvorligt.
Hvor i artiklen ser du datasikkerhedsproblemer?
Der skal ikke anmeldes noget til datatilsynet når et projekt eller en dataindsamling finder sted. Ikke med mindre man - i dette tilfælde Gallup - begår ulovligheder eller beder om Datatilsynets rådgivning (så vidt jeg er orienteret). Det er muligt at man som virksomhed er eller skal godkendes, men det må vi formåde at Gallup er.
Nu tager du det lidt for bogstaveligt, Peter Hansen. det jeg mener, er ikke, at der nødvendigvis er datasikkerhedsproblemer - men at der altid er risikoen for det, når man behandler personfølsomme oplysninger. Derfor er det vigtigt, at man anmelder til Datatilsynet, og får deres godkendelse.
Der mener jeg simpelthen ikke, at du har ret.
"Behandlinger, der omfatter oplysninger om rent private forhold skal anmeldes - f.eks. helbredsoplysninger eller oplysninger om seksuelle forhold. Det gælder eksempelvis for personaleadministration og registerforskning. " https://www.datatilsynet.dk/blanketter/generelt-om-anmeldelse/
Så er det jo et fortolkningsspørgsmål, om det beskrevne er "private oplysninger". I mine øjne er det det - men der er mange huller og undtagelser, så jeg kan da tage fejl.
Det må du skære ud i pap for mig, Bjarne... Det er sidst på dagen..
GDPR kommer sidst i maj.
Eksempel: Du finder et website, der bruger Google Analytics. Browser lidt rundt over er par dage uden at slette dine cookies.
Så sender du en anmodning om indsigt og angiver indholdet af din _ga cookie i email'en. Det er en unik brugeridentifikation. På email vil du modtage en kopi af alt, som er registreret om dig.
I løbet af få år vil der på websites, der bruger web analytics (Google Analytics, Piwik, etc), sikkert komme en knap med "klik her, hvis du vil se hvad der er registreret om dig", da det er nemmere end manuel behandling af indsigtsanmodninger.
Det kan også bruges over for diverse tredjeparts overvågningsvirksomheder som Gallup eller DoubleClick. Hvis et website videregiver oplysninger om din adfærd til tredjeparter, skal du oplyses om det. Ellers vil du ikke vide hvem der som dataansvarlig indsamler oplysninger om dig.
Tak, Jesper Lund - den forklaring forstod jeg bedre (Undskyld Bjarne :-))
Kan du også opklare, om et projekt som det beskrevne, bør indebære anmeldelse til Datatilsynet? Eller er det mig, der har en naiv forestilling om krav til behandling af personoplysninger?
Der er ikke anmeldelseskrav i dag når der kun behandles almindelige personoplysninger (PDL § 6 oplysninger). Og fra 25. maj 2018 bortfalder stort set alle anmeldelseskrav.
Hvis det kun er personer som Jesper Lund, som forstår, hvad man siger, så har man formuleret sig alt for kringlet. Jeg beklager (og takker Jesper for hjælpen).
Jeg prøvede bare - på en humoristisk måde - at gøre opmærksom på, at der er væsentlig forskel på at have en boks stående ved TV-et og måle, hvor meget tid man bruger sammen med Otto Leisner, og så følge folk rundt på nettet.
Hvis ikke Gallup allerede har gjort sig overvejelser om f.eks. dataminimering og privacy-by-design, så er det på høje tid at komme igang. For det er potentielt meget følsomme personoplysningerne, som de kan få i hænderne.
Og Anne-Marie, vi har i anden sammenhæng snakket om k-anonymity og l-diversity, og du kender min holdning til det, men det vil sikkert være figenblad nok for Gallup til, at det holder i byretten. Så jeg kommer helt sikkert ikke til at vinde den iPhone.
Tak for svar, Bjarne :-) Surt med den Iphone....
Jeg ser ingen forskel
Gallup spørger om de må logge dine aktiveter, du siger ja
om det er aktiviteter på tvet eller computeren, gør ikke den store forskel Gallup vil gerne lave en log og du har givet dem lov til af lave den log
Ups, det var værre - det var jeg ikke klar over. Så er der vel frit slag på alle hylder?
Sålænge at man forsætter med at underfinanciere tilsynsmyndighederne på områder, hvor man er politisk uenig, så gør det næppe den store forskel. For dette område, håber jeg på, at noyb får luft under vingerne.
Samtykket skal være informeret, og der skal træffes de fornødne foranstaltninger til at sikre data. Der er ikke fri leg.
Hvem snakker om fri leg ?
har selv prøvet af have deres TV boks, der får man betaling, mod af de må logge hvad man ser på tv
Det er meget simpelt når man sætter sig foran tv, trykker man på sin knap på fjernbetjeningen, når man rejser sig trykker man igen
Sagde selv Nej Tak til Net Log
men undrer mig over af det ikke er muligt af godkende af Gallup som de eneste må logge
på den måde er der kun gallup der laver den logging som de har fået lov til, mens af alle andre bliver holdt på afstand