De foregående tre indlæg, jeg har skrevet, har haft følgende overskrifter:
- GDPR vs hjemmesider (8. marts 2022)
- GDPR vs hjemmesider: Holdninger, jura og gråzoner (7. april 2022)
- GDPR vs hjemmesider: Tracking under overfladen (3. maj 2022)
Jeg er kommet vidt omkring, og i det følgende vil jeg så forsøge at binde en eller anden form for sløjfe med følgende konklusioner:
- Tracking af brugere er "big business", men holdningen hos brugere og politikere er ved at ændre sig.
- Googles og Facebooks forretningsmodeller er under pres og det er p.t. op ad bakke at bruge Google Analytics lovligt.
- Ifølge EU’s datatilsyn er stort set alle former for tracking omfattet af GDPR
- Det er godt, at GDPR har et bredt anvendelsesområde - men…
- Marketingafdelingen er, ligesom resten af organisationen, nødt til at gøre compliance til en del af værktøjskassen
Jeg har i denne omgang fået god sparring og feedback fra Bjørn Wessel-Tolvig Cookieinformation.com.
1. Tracking af brugere er "big business", men holdningen hos brugere og politikere er ved at ændre sig
Hvis man beskæftiger sig med hjemmesider, online markedsføring og/eller compliance, så vil man have bemærket, at der er et stigende fokus på de negative sider af de mange data der indsamles, når vi besøger diverse hjemmesider og digitale tjenester. Denne udvikling har også resulteret i et stigende antal sager fra EU's datatilsyn, der handler om hjemmesider og de værktøjer, som ofte "gemmer sig" bag ved. Endelig har vi også set flere tiltag fra lovgiversiden, der har taget forskellige skridt i retning mod at få mere styr på dataindsamling og adfærdsbaseret markedsføring.
2. Googles og Facebooks forretningsmodeller er under pres og det er p.t. op ad bakke at bruge Google Analytics lovligt
Selvom denne tendens rammer bredt, så går det hårdest udover dem, som har tracking af brugere som kernen af deres forretningsmodel.
Facebook tjener stadig masser af penge, men det er blevet vanskeligere, end det har været. Hvis vi zoomer ind på GDPR, så har Facebook været direkte eller indirekte involveret i en lang rækker sager, herunder både Schrems I-sagen og Schrems II-sagen og i øvrigt også de nye Schrems-sager, der er på vej igennem EU-systemet. Sidste år gik det norske datatilsyn ud med en konklusion om, at de ikke kunne se nogen mulighed for lovligt at have en Facebook-side, hvilket fik opbakning fra en lang række danske eksperter.
Også Google er stadig en af verdens mest succesfulde virksomheder, men personligt ville jeg ikke satse min opsparing på, at det bliver ved med at se sådan ud. De er, ligesom Facebook, under pres fra mange lande i verden, men intet sted er presset så stort som i EU.
Først og fremmest går Schrems II-sagen udover en række af deres forretningsområder, fx deres cloud-tjenester, men her er de ikke nødvendigvis hårdere ramt end andre US-cloududbydere såsom Microsoft.
Men Google er også ramt på de tjenester, som er helt unikke for deres forretningsmodel, nemlig deres mulighed for at kombinere og udnytte data på tværs af diverse tjenester og sider med henblik på at optimere virksomheders digitale markedsføring. Der er således et meget stort clash mellem de grundlæggende principper og krav i GDPR såsom dataminimering, gennemsigtighed og begrænset deling af data (særligt udenfor EU), og så den måde hvorpå data flyder mellem Googles mange tjenester og kunder. De seneste afgørelser om Google Analytics efterlader da også et meget lille spillerum for lovlig brug af Google Analytics, særligt hvis man skal følge den linje, som er anlagt af det østrigske datatilsyn (hvad det dog ikke er alle eksperter, der mener at man bør gøre).
Udover håndhævelse af GDPR, har vi også set et stigende fokus fra konkurrencemyndigheder rundt om i verden, særligt fordi Google efter manges opfattelse reelt har et "data-monopol" på flere markeder. EU Kommissionen åbnede sidste sommer en efterforskning i "possible anticompetitive conduct by Google in the online advertising technology sector".
Endelig er der yderligere regulering på vej, særligt fra EU, som kommer til at medføre et yderligere pres på Googles nuværende tjenester og forretningsmodel.
3. Ifølge EU’s datatilsyn er stort set alle former for tracking omfattet af GDPR
Det er nok de færreste, der har ondt af Google og Facebook - men det er trods alt heller ikke kun dem, der bliver ramt af tendensen mod stigende håndhævelse overfor hjemmesider, tracking og AdTech.
I mit forrige indlæg forsøgte jeg at løfte blikket fra de to giganter, og nåede til den konklusion, at stort set alle online data potentielt set ender med at være omfattet af de mange og strenge krav i GDPR. Som det danske datatilsyn skriver i deres vejledning om hjemmesider:
"Det er i den forbindelse vigtigt at have for øje, at der også kan være tale om personoplysninger, selvom personerne er ”unavngivne”, og at det ikke umiddelbart er muligt for den uindviede person at identificere vedkommende.
Med forbehold for en konkret vurdering er det Datatilsynets opfattelse, at der ved registrering af oplysninger om hjemmesidebesøgende ofte vil være tale om behandling af personoplysninger.”
Det er et komplekst emne, både juridisk og teknisk, men hvis den udvidende fortolkning af GDPR's anvendelsesområde fortsætter, så vil der stort set ikke findes nogen form for online data, som ikke skal overholde GDPR's krav, herunder:
- Web Analytics (fx Google Analytics)
- Server-logs
- User analytics tools for SaaS (fx Hotjar)
- Google Fonts, ReCAPTCHA og andre embedded tjenester
- Device-/browser fingerprinting
- Local storage
- Web beacons
4. Det er godt, at GDPR har et bredt anvendelsesområde - men…
Jeg har holdt et oplæg om "GDPR vs. hjemmesider" på "V2 Infosecurity"-konferencen i maj, og her valgte jeg at bruge min taletid på at dykke ned i den vanskelige afgræsning af, hvorvidt det juridisk set er korrekt, at GDPR finder anvendelse på alle tænkelige og utænkelige former for hjemmeside-data - også i scenarier, hvor det i praksis er helt urealistisk, at nogen vil kunne finde frem til identiteten på brugerne bag mange data.
Der er mange holdninger til dette, og en del af disse gav sig til udtryk i kommentarsporet til mine forrige indlæg. På dette sted vil jeg nøjes med et enkelt budskab: GDPR er et godt regelsæt, men det er også et meget "compliance-tungt", og personligt vil jeg hellere have effektiv håndhævelse af GDPR på andre områder, hvor der er et større beskyttelsesbehov end at nogen har logget nogle data om at jeg har besøgt en hjemmeside - særligt hvis det ikke i praksis er realistisk, at de loggede data kan kobles til mig. Og så er det jo vigtigt at huske, at der findes andre "juridiske værktøjer i værktøjskassen", som giver en supplerende beskyttelse til os alle sammen, fx ePrivacy-reglerne og cookiebekendtgørelsen.
Personligt er jeg således mere tilhænger af den pragmatiske tilgang til afgrænsningen af GDPR, som briterne synes at lægge op til. Eksempelvis har det britiske datatilsyn offentliggjort en række nye vejledninger om anonymisering, hvor de åbner op for det man kan kalde en "risikobaseret tilgang" til afgrænsningen af GDPR, idet de bl.a. lægger vægt på sandsynligheden for, at nogen rent faktisk i praksis ender med at blive identificeret. Og for nyligt har man så fra politisk side fremlagt et forslag til en reform af deres udgave af GDPR (”UK GDPR”), hvor man bl.a. lægger op til en mere ”risikobaseret” tilgang til afgrænsning af reglerne:
”The consultation proposed legislating to confirm that the test for whether anonymous data can be re-identified is relative to the means available to the controller to re-identify the data…”
UK's regering opfatter selv ovenstående som en præcisering af gældende ret, og altså ikke en egentlig fravigelse af GDPR's ordlyd. Dette er efter min opfattelse korrekt, idet GDPR's ordlyd og praksis fra EU-domstolen efterlader en del fortolkningstvivl, og dermed et forholdsvist stort råderum til enten at fortolke GDPR's anvendelsesområde på internetdata udvidende eller indskrænkende.
Tiden må vise om EU's datatilsyn fortsætter med den udvidende fortolkning, eller om EDPB i deres kommende nye vejledning om anonymisering vil følge i UK's fodspor og gå i retning mod en mere indskrænkende fortolkning.
5. Marketingafdelingen er, ligesom resten af organisationen, nødt til at gøre compliance til en del af værktøjskassen
Det har været tungt for mig at dykke ned i disse komplekse emner de seneste måneder, men jeg er glad for at se på V2's kliktæller (som tæller antallet af unavngivne brugere, der har klikket på mine indlæg....!), at der trods alt er en del, som har læst med.
Hvad enten man er for eller imod tracking, så er det svært at komme udenom, at det i fremtiden bliver mere juridisk komplekst at lave effektiv markedsføring på internettet. Og her kan jeg passende citere et indlæg fra DK's måske bedste formidler af viden om GDPR, redaktør på PrivacyBoost og PrivacyLeague podcasten, Jacob Høedt Larsen:
"Tracking-teknologi er under beskydning fra alle sider. Privatlivsaktivister, lovgivere, forbrugere, der vælger dem fra - ja, selv de store tech-giganter er så småt ved at indse, at mange af os ikke er vilde med at blive overvåget.
Marketing og compliance bør derfor sætte sig sammen nu og begynde at arbejde systematisk med at begrænse brugen mest muligt."
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
