jesper løffler

Hvis det er gratis, er du selv produktet – og det er måske okay?

Er online tracking en invasion af vores privatliv eller er det den pris vi betaler for gratis/relevant indhold på nettet - eller måske begge dele?

I disse uger ser jeg nærmere på regulering af nye teknologier, og i dette indlæg tager jeg et emne op, som en blogger-kollega her på Version 2 også kastede lys på i et indlæg i sidste uge: Datatilsynets afgørelse om DMI’s brug af cookies. Den konkrete afgørelse er således blot ét eksempel på en ny trend, nemlig et stadigt stigende fokus på regulering og håndhævelse overfor online tracking og AdTech.

Vi ser nærmere på denne aktuelle trend, men først spoler vi tiden 10 år tilbage.

Cookie-regler uden håndhævelse

I 2010 blev jeg meget stolt, da jeg fik trykt min første artikel i Ugeskrift for Retsvæsen. Den havde overskriften “Cookies og behavioral advertising - Regulering og (manglende) håndhævelse” (til juristerne: U.2010B.319) og var en udløber af mit speciale om internetmarkedsføring.

Artiklen var, som overskriften antyder, et forsøg på at råbe danske myndigheder op, idet de syntes fuldstændig at have ignoreret, at vi siden 2002 faktisk havde haft et såkaldt “ePrivacy-direktiv”, der bl.a. indeholdt et krav oplysningspligt ved brug cookies. Disse regler blev i 2009 skærpet med indførelsen af et krav om samtykke, men da jeg skrev min artikel i 2010, var det nye samtykkekrav endnu ikke implementeret i dansk ret.

Min konklusion forud for reglernes implementering var, at det rent teknisk og praktisk ville blive vanskeligt at leve op til de strenge krav: ”Der er således på nuværende tidspunkt ikke nogen hensigtsmæssig løsning på opfyldelse af samtykkekravet.”

Det reviderede direktiv blev dog implementeret i dansk ret, og i 2011 fik vi den (in)famøse “cookie-bekendtgørelse” med en tilhørende vejledning. Men Erhvervsstyrelsen, som stod bag reglerne, anlagde en mere pragmatisk fortolkning af samtykkekravet end jeg, og som følge heraf kunne man ifølge den daværende cookie-vejledning i vidt omfang slippe udenom kravet om et udtrykkeligt, aktivt samtykke.

Det var således juridisk set ikke særligt overraskende, da EU-Domstolen sidste år underkendte denne lempelige fortolkning af reglerne, og i kølvandet på den har vi da også for nyligt fået en ny cookievejledning fra Erhvervsstyrelsen, der anlægger en langt mere stringent fortolkning af samtykkekravet.

Kombineret med Datatilsynets nye vejledning om behandling af personoplysninger via hjemmesider (jf. nedenfor), er langt de fleste virksomheder i disse måneder nødsaget til at få opgraderet deres cookie-notice og samtykke-funktion på hjemmesiden.

Tracking = personoplysninger = GDPR?

Det var dog ikke kun Erhvervsstyrelsen, min artikel forsøgte at råbe op. I artiklen fremsatte jeg også det synspunkt, at mange former for online tracking, herunder ved brug af cookies, udgør behandling af personoplysninger og dermed faldt ind under de daværende regler i persondataloven.

Dette var i øvrigt ikke en ide jeg selv havde fået, idet Registertilsynet (Datatilsynets forgænger) blev bedt om at forholde sig til emnet helt tilbage i 1997, da vi i Danmark var i gang med at implementere persondatadirektivet i dansk ret (hvilket skete i år 2000 med vedtagelsen af persondataloven), og her udtalte tilsynet bl.a., at »Navnlig i forbindelse med elektroniske spor og oplysninger, som stammer fra cookies, kan man stille det spørgsmål, om disse er personoplysninger i direktivets forstand.Dette synes særlig tvivlsomt, når oplysningerne vedrører en IP-adresse eller browser på en computer, som anvendes af mange brugere«. Registertilsynet fandt således, at det var tvivlsomt, om brug af cookies var relevant ifm. reglerne om personoplysninger, men udtalte dog alligevel, at dette ikke kunne udelukkes.

Så vidt ses blev emnet ikke for alvor taget op i dansk ret igen, før jeg skrev min artikel i 2010, og herefter synes der også at have været begrænset fokus på emnet fra Datatilsynets side, omend de dog har afsagt et par sporadiske afgørelser vedrørende emnet siden da.

Synspunkterne fra min artikel er i øvrigt efterfølgende blevet bekræftet i en lang række retskilder, herunder ikke mindst to domme fra EU-domstolen, der har bekræftet, at registrering af såvel statiske og dynamiske IP-adresser (hvilket cookies ofte indeholder) ofte vil være omfattet af persondatareglerne.

Og tidligere i år fik vi så DMI-afgørelsen og sammen med den en vejledning om behandling af personoplysninger om hjemmesidebesøgende, hvori Datatilsynet bl.a. skriver:

”Med forbehold for en konkret vurdering er det Datatilsynets opfattelse, at der ved registrering af oplysninger om hjemmesidebesøgende ofte vil være tale om behandling af personoplysninger.”

Konsekvensen af denne konklusion er, at de mange krav i GDPR også skal overholdes ift. hjemmesider, der registrerer besøgendes adfærd, herunder ved brug af analytics-værktøjer.

Bliver 2020’erne enden på det vilde vesten for online tracking?

Det er ikke kun i Danmark at cookiereglerne har levet en skjult tilværelse, og derfor arbejder man pt. i EU på en revision af reglerne. Det nuværende udkast til en ny ”ePrivacy-forordning” lægger således op til et ensartet regelsæt for hele EU, samt at håndhævelsen skal ligge hos datatilsynene samt at bøderne skal være på GDPR-niveau. Reglerne regulerer dog meget mere end blot cookies, og det har indtil nu været vanskeligt at opnå enighed og få reglerne endeligt vedtaget.

Uanset om ePrivacy-forordningen ender med at blive vedtaget eller ej, må vi forvente et øget fokus på dette område i de kommende år. EU-Domstolen har således blot indenfor de sidste par år afsagt to meget principielle afgørelser, der har fastslået, at Facebook har et såkaldt fælles dataansvar med hhv. de virksomheder, som har en side på Facebook samt de virksomheder, som integrerer deres hjemmeside med Facebook via et plug-in.

På overfladen handler disse sager ”kun” om, hvem der formelt har ansvaret for de data der behandles om brugerne, men afgørelserne kan også ses som et væsentligt skridt i retningen mod mere ansvar for de virksomheder, som sporer vores adfærd på nettet med henblik på effektivisering af deres markedsføring.

Herudover har fx det franske Datatilsyn netop i år håndhævelse overfor ”adtech” øverst på dagsordenen og det samme har det engelske. Sidstnævnte skrev således følgende i sin strategi for 2019-2021:

"Priority area 3: Web and cross-device tracking

The use of HTTP cookies has not diminished although a range of alternative methods of performing tracking online have emerged and become more common; for example device fingerprinting, browser fingerprinting and canvas fingerprinting. This is likely to continue as more devices connect to the internet (IoT, vehicles, etc) and as individuals use more devices for their online activities. These new online tracking capabilities are becoming more common and pose much greater risks in terms of systematic monitoring and tracking of individuals, including online behavioural advertising. The intrusive nature of the technologies in combination drives the case for this to be a priority area."

Vender vi til sidst blikket hjem til Danmark igen, så kommer TechDK Komissionen i deres første rapport med et konkret forslag med til ”tracking, nej tak”-regler med følgende budskab:

”Udgangspunktet skal være et “nej tak” til online tracking som grundindstilling i overensstemmelse med databeskyttelsesforordningens artikel 25… For at anbefalingen kan realiseres, skal mulighederne for tilsyn og håndhævelse af databeskyttelsesreglerne øges kraftigt. Det betyder øgede omkostninger til både tilsynsmyndighederne og til de virksomheder, de fører tilsynet med. Bevillingerne til dette formål i det offentlige kan komme fra en techskat …”

Men: Er der overhovedet et problem?

Til sidst vil jeg tillade mig at stille et spørgsmål, som jeg ikke selv har svaret på:

Der er ingen tvivl om, at rigtig meget online-markedsføring ikke overholder de regler, vi allerede har, og som jurist finder jeg dette problematisk. Som jeg skrev i konklusionen fra min artikel i 2010:

”Cookies har længe været et kontroversielt emne. Der er dem, der er bekymrede for teknologiens indflydelse på vores grundlæggende ret til privatliv, og dem, der mener, at problemet er stærkt overvurderet, bl.a. fordi der som udgangspunkt ikke er nogen fysiske personer, der anvender de pågældende oplysninger. Uanset hvilket synspunkt man har, er brugen af cookies underlagt en række forskellige regler, og disse bør derfor håndhæves eller ændres.”

Noget tyder på, at denne håndhævelse er på vej, og der synes endda også at være stærke kræfter der skubber på for yderligere stramninger af reglerne.

Men indtil nu har det vist sig ganske vanskeligt for alvor at komme nogen vegne, og man kan jo overveje, om det måske skyldes, at mange af os rent faktisk er villige til at betale “prisen” for at kunne bruge internettet som vi kender det i dag?

Eller man kunne tage et kendt slogan fra tracking-modstandere og udvide det lidt: “If you’re not paying for it, you’re the product - and perhaps that’s okay”.

Byd endelig ind, hvis I har en holdning til dette spørgsmål, og kom også gerne med input til andre vinkler på dette emne jeg kan tage op i et senere indlæg.

Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christian Schmidt Blogger

Online tracking er et vidt begreb, og cookies kan bruges til mange forskellige formål.

Der er i mine øjne stor forskel på, om man fører statistik over antal besøgende på sin egen hjemmeside, eller om man følger alle verdens internetbrugere på tværs af næsten alle kommercielle websites og på den baggrund opbygger profiler over alle menneskers interesser, længsler og lyster.

Så vidt jeg forstår, vil den kommende revision af ePrivacy-direktivet differentiere mellem forskellig brug af cookies og stille mindre krav til den mere “harmløse” tracking. Det er i mine øjne fornuftigt.

Som du nævner, kan man identificere brugere på anden vis end vha. cookies, fx vha. IP-nummer eller device fingerprinting. Denne form for tracking bør naturligvis reguleres på samme måde som cookies.

  • 14
  • 0
#2 Jesper Løffler Nielsen Blogger

Helt enig, "online tracking" er et alt for unuanceret begreb, og der er således forskel på retsstillingen alt efter hvilken form for sporingsteknologi man benytter, hvem man benytter den overfor og ikke mindst hvad man bruger de indsamlede oplysninger til og hvem man deler dem med. Spaltepladsen her på Version2 tillader blot ikke, at jeg går i dybden med alle disse nuancer i ét indlæg, så I denne runde var hensigten blot at male med den store pensel :) Men jeg kan sige, at jeg pt. er ved at skrive en længere artikel om emnet, som vil blive publiceret andetsteds.

  • 6
  • 0
#4 Bjarne Nielsen

Hvis det skal give mening, at betale med sig privatliv, så skal man kende prisen. Og det vil jeg tro at de færreste ... om nogen ... gør.

De færreste af os er vel klar over, at prisen er, at vi, vores profiler og vores opmærksom konstant sendes til realtime online auktion ofte blandt tre-cifrede antal deltagere.

Eller at det, som lægges er et puslespil, og hvad er værdien af en brik mere? Og en til? Og en til?

Eller at det, som kan blive prisen er at vi åbner os selv for manipulation, ikke bare kommercielt (som om det ikke var slemt nok), men også politisk og holdningsmæssigt.

Eller at den 4. statsmagt kommer i lommen på de store annoncenetværk, fordi at de ikke længere selv kan sælge annoncer på indhold og kvalitet.

Eller at det, som vi gør i dag, kan påvirke vores muligheder for at få job, lån eller forsikring i fremtiden.

Hvis vi skal kunne tage et reelt valg, så skal vi kunne overskue konsekvenserne. Ellers er der tale om bondefangeri.

  • 9
  • 0
#5 Claus Nedergaard Jacobsen Jacobsen

Jeg kan godt lide dit åbne spørgsmål i slutningen af artiklen, Jesper. Jeg har heller ikke svaret, men jeg ved, at de fleste af os svarer på spørgsmålet fra individets synspunkt: hvad betyder det for mig? GDPR mv. er skrevet ud fra samme synspunkt: beskyttelse af individet.

Men der er et andet perspektiv, som jeg godt vil bringe ind i debatten: Hvad betyder det for samfundet, for landet og for demokratiet, at en fremmed magt potentielt har adgang til så meget viden om os og vore relationer?

Tyskerne er stadig i chok over, hvad nazisterne kunne gøre med de få, maskinskrevne arkiver, som fandtes i 30'erne, og stadig den dag i dag, er der omfattende love, der skal forhindre gentagelse. Fx. er en offentlig og central patientjournal helt og aldeles utænkelig.

Og kan man påvirke et valg og styre demokratiet, hvis man kender vælgerne godt nok og har midlerne til at målrette information/misinformation og "nudges"?

  • 5
  • 0
#6 Gert Madsen

"Hvis vi skal kunne tage et reelt valg, så skal vi kunne overskue konsekvenserne. Ellers er der tale om bondefangeri." Desuden skal der jo også være nogle reelle muligheder. Tager man feks. Aviser, så betyder en betaling ikke, at man slipper for indsamling og profilering på deres websider. Selv offentlige hjemmesider, som man reelt ikke kan fravælge, giver dataindsamling til feks. Facebook.

  • 2
  • 0
#7 Gert Madsen

"Og kan man påvirke et valg og styre demokratiet, hvis man kender vælgerne godt nok og har midlerne til at målrette information/misinformation og "nudges"?" Her behøver vi ikke tænke "fremmed magt", men bestemt også folketinget. Og det er måske grunden til at myndighederne er så tilbageholdende med at håndhæve endog meget åbenlyse overtrædelser af lovene. Privatliv står nemlig også i vejen for de danske politikeres ønske om at overvåge befolkningen. Man kan erindre sig de tåkrummende forsøg fra diverse politikere, høj som lav, for at undgå at efterleve en klokkeklar højesteretsdom om sletningen af DAMD-databasen.

  • 1
  • 0
#8 Benjamin Balder

Bjarne Nielsen har ret: Ved en normal handel er man bekendt med prisen. Med tracking er dette ikke muligt. Kun gennem benhård regulering, vil det blive muligt at kende de øvre grænser for prisen. Den ene part af handlen kan således ikke værdisætte det produkt, som de betaler for, med den anvendte valuta (data). Analogien viser, at det fundamentalt set ikke kan lade sig gøre at indgå en fair handel med sine data/adfærd some betaling.

Internettet kan sagtens fungere og være gratis til information og kommunikation uden tracking. Det har årtierne vist, og masser af services er levende eksempler. Tracker og sælger Wikipedia brugernes data som præmis for at være gratis?

DMI er delvist offentligt finansieret og burde på ikke være økonomisk afhængige af tracking (var der tale om det?).

Som så mange andre markeder, så går tingene i en uheldig retning, hvis ikke der bliver reguleret. Det er helt okay at spørge: Hvor mange data? Hvilke data? Med hvilket formål? Svaret bør ikke være "fordi så bliver service XYZ gratis", der findes masser af modeller for at tilbyde information og kommunikation gratis, og vi ved f.eks. med SMS-prisen i EU, at det er udfordrende at regulere et marked for kommunikationsydelser.

  • 1
  • 0
#9 Maciej Szeliga

Folk aner ikke hvad "du" er værd, hvilke konsekvenser det har og mange har slet ikke forståelsen af sammenhængen.

Sidst og ikke mindst: man betaler jo selv for sine egne data - reklamerne (som de data primært bruges til) koster formuer og i sidste ende kommer de penge fra folk som udsættes for reklamerne - jf. simpel logik ville varen være billigere hvis hele reklamereset (især i tv og på internettet) døde en stille død. Firmaer betaler for hvor "effektiv" en reklame er men i sidste ende ved man ikke hvorfor folk køber varen - ofte er en god placering i forretningen mere værd end reklamer.

Det værste er at profileringen medfører at du potentielt mister en masse information fordi "nogen" vurderer at den ikke er relevant for dig - du aner ikke hvad og om det virkeligt er uinteressant - og den information er ikke kun reklamer, det kan være hvilken som helst søgning og potentielt kan det også have betydning for hvilken medicin din læge mener er rigtig for dig og hvilken skole dine børn kommer i. Det kan betyde hvilket arbejde du kan få og hvilket du bliver frasorteret allerede inden din ansøgning når et menneske... det bruges allerede btw. Det kan endda ende med at det også betyder om du er i første række til en respirator eller sidste! (bare for at drive det til yderligheder).

Så længe der ikke er gennemsigtighed på området så er "du" ikke en vare som du er interesseret i at sælge. ...og gennemsigtighed kommer der ikke for alle de dybere involveredes forretninger er baseret på at det hele er hemmeligt (altså alle dem som indsamler data og/eller profilerer folk) både for myndighederne - som potentielt kunne lukke biksen og for dig som vare - tænk hvis du klagede eller gik til pressen.

Så lad os lige prøve igen... er det ok at være varen på dagens premisser ?? Nej, vel?

  • 5
  • 0
Log ind eller Opret konto for at kommentere