Dette indlæg er alene udtryk for skribentens egen holdning.

GDPR vs hjemmesider: Tracking under overfladen

6 kommentarer.  Hop til debatten
GDPR vs hjemmesider: Tracking under overfladen
Illustration: Privatfoto.
Dette er tredje indlæg i min serie ”GDPR vs. moderne hjemmesider”. I det første indlæg introducerede jeg kort emnet, og i sidste indlæg prøvede jeg at give mit perspektiv på de overordnede holdninger, der er i spil her.
Blogindlæg3. maj kl. 05:00

Som uddybet i sidste indlæg, så har EU iværksat forskellige tiltag med henblik på at regulere forskellige former for online tracking, herunder ePrivacy-reglerne, konkurrenceregler (inkl. kommende regler i Digital Markets Act), særlige krav til sociale medier mv i Digital Services Act samt nogle nye forbrugerbeskyttelsesregler, der sidestiller ”betaling” med personoplysninger med almindelig kontant betaling og dermed giver forbrugeren en række rettigheder i relation til ”gratis” tjenester.

Grundpræmissen min serie af indlæg er, at uanset om der kommer en ny dataaftale mellem EU og USA, så viser seneste praksis, at vi står overfor et mere fundamentalt “clash” mellem lovgivning og teknologi, og så vidt jeg kan bedømme, kommer vi ikke udenom at skulle gentænke den måde vi opbygger digitale løsninger på. Dette baserer jeg bl.a. på Max Schrems’ / NOYB’s store fokus på området (se fx her og her) samt EU-organernes eget persondata-vagthund, EPDS, der for et par uger siden et indlæg med overskriften ”It is time to target online advertising”.

Så, med dette på plads vil jeg nu fokusere udelukkende på GDPR. Vi indtaster alle personoplysninger på hjemmesider, webshops og digitale løsninger hver eneste dag, fx for at logge ind, bestille en vare eller at komme i kontakt med en leverandør. Men hvad foregår der egentlig af databehandling “i det skjulte”? og hvad har forskellige datatilsyn udtalt om fx krav ved brug af cookies, analytics, Facebook-plugin, tredjepartsmarkedsføring/RTB, ”Google Fonts”, ReCaptcha, betalingsløsninger mv?

Disse spørgsmål vil jeg se nærmere på i det følgende. I næste indlæg vil jeg så se nærmere på, hvornår der juridisk set er tale om ”personoplysninger” i relation til data på internettet, herunder om det overhovedet kan lade sig gøre at behandle data på nettet uden at blive omfattet af GDPR. I denne sammenhæng vil jeg også inddrage de mange gode input, der kom i kommentarsporet til mit forrige indlæg (og tak for dem!).

Artiklen fortsætter efter annoncen

Og til dette indlæg har jeg også fået sparring fra min kollega Maria-Louise Frydenlund Pedersen samt Stine Mangor, Founder og CEO i Openli.

Helikopterperspektivet: Rigtig, rigtig mange data

Der indsamles rigtig mange data, både når man besøger hjemmesider eller bruger apps.

Indsamlingen kan ske på mange måder, også uden man helt er bekendt med indsamlingen. Mange cookies bliver indsamlet med formålet om at kunne opbygge profiler om forbrugerne på baggrund af deres adfærd på nettet, og dermed forudse deres interesser.

I en undersøgelse af mere end 1 million apps fra Google Play Store blev det fundet, at en stor procentdel af tracking stammer fra tredjeparter. Helt konkret fandt undersøgelsen, at Google Ads opstod i 36% apps, Facebook i 12% og Google Analytics i 10%. En lignende undersøgelse viste dertil at omkring 90% af Google Play apps deler data med Google, og 40% med Facebook.

Artiklen fortsætter efter annoncen

En anden nylig undersøgelse viser at tracking gennem cookies er vokset markant, og at hele 85% af de mest populære US hjemmesider bruger tredjepartcookies.

Hvis man er interesseret i at vide mere om den konkrete dataindsamling/udveksling, der foregår bag de hjemmesider man besøger, kan man bl.a. benytte følgende gratis scanningsværktøjer:

 

Udgangspunktet: Alle data er ”persondata”?

I næste indlæg vil jeg som nævnt se nærmere på den juridiske definition på, hvad der falder indenfor og udenfor begrebet ”personoplysninger”, herunder dykke ned i praksis om fx IP-adresser, adfærdsbaseret markedsføring, opbygning af profiler på brugere mv.

I dette indlæg er det dog tilstrækkeligt at slå fast, at hvis man læser vejledninger og afgørelser fra det danske datatilsyn, så er det helt klare udgangspunkt, at stort set alle former for data relateret til hjemmesider udgør ”personoplysninger”, og dermed falder ind under de mange krav i GDPR. Se eksempelvis disse citater fra tilsynets fra vejledning om hjemmesidebesøgende:

”Oplysninger, der indsamles om hjemmesidebesøgende, kan være forskelligartede og kan fx omfatte onlineidentifikatorer såsom IP-adresser, annoncetags og device fingerprints i kombination med oplysninger om, hvilken hjemmeside de pågældende har besøgt, tidspunktet for besøget m.v….

Når onlineidentifikatorer således kædes sammen med personens færden på internettet, fx hvilke hjemmesider, personen besøger, eller hvilke varer, personen bestiller i en webshop, vil der være blevet indsamlet en række oplysninger, der kan bruges til at vurdere personen eller behandle den pågældende på en bestemt måde. Det betyder, at der i praksis ofte sker behandling af personoplysninger om hjemmesidebesøgende, når en organisation registrerer oplysninger om sine besøgende…

Det er i den forbindelse vigtigt at have for øje, at der også kan være tale om personoplysninger, selvom personerne er ”unavngivne”, og at det ikke umiddelbart er muligt for den uindviede person at identificere vedkommende.  

Med forbehold for en konkret vurdering er det Datatilsynets opfattelse, at der ved registrering af oplysninger om hjemmesidebesøgende ofte vil være tale om behandling af personoplysninger.”

     

    Eksempler på praksis omhandlende konkrete former for dataindsamling via hjemmesider og andre digitale løsninger

    I det følgende gennemgås konkrete eksempler på dataindsamling i en onlinekontekst, med særlig fokus på selvstændige hjemmesider, webshops, apps mv., og dermed på emner, som har relevans for langt de fleste danske myndigheder, virksomheder, foreninger mv. Redegørelsen omfatter dermed ikke den omfattende behandling af data, der sker på sociale medier, de store tech-platforme osv.

    Server-logs

    Som V2’s læser Jørgen Elgaard Larsen kom med en meget hjælpsom kommentar til forrige indlæg:

    ”Siden de første WWW-servere har man haft en server-log, som registrerer mindst  

    ·         Tidspunkt

    ·         IP-adresse

    ·         URL: Hvilken ressource (side/billede/javascript/video etc) på serveren, der blev hentet. Ofte også query parameters, f.x. søgestrenge

    ·         Referer: Hvilken side kom brugeren fra

    ·         User agent: Browserversion

     

    Jeg tror ikke, at der findes mange hjemmesider, som ikke har sådan en log. Men den er kun tilgængelig for hjemmesideejeren.

    I gamle dage brugte nogle denne log til at danne sig et vist indblik i brugernes adfærd på et site.

    Senere kom tjenester som Google Analytics til, som bruger JavaScript på siden til at opsamle mere detaljerede oplysninger og sende dem til en logtjeneste (f.x. Google).”

    Mig bekendt har der ikke indtil nu været håndhævelse fra datatilsynene i EU overfor serverlogs, men som Jørgen skriver, vil indholdet af logs formentlig være omfattet af GDPR og kravene heri. Læs evt. også dette indlæg skrevet af en person, som er mere teknisk kyndig end jeg.

    Cookies

    Artikel 29-gruppen (nu: Databeskyttelsesrådet) foretog i 2016, sammen med nationale myndigheder, en gennemsøgning af op til 478 hjemmesider i forskellige europæiske medlemsstater. Undersøgelsen fandt, at 70% af de 16.555 cookies der blev opfanget, var tredjepartscookies. Som det fremgår ovenfor, er der formentlig sket en stigning i anvendelsen af cookies siden da.

    EU har helt tilbage i 2002 indført specifikke regler til regulering af cookies (ePrivacy-direktivet), og de regler er pt. under revision i EU. Og i Danmark håndhæves reglerne af Erhvervsstyrelsen, ikke Datatilsynet. Eller rettere: Cookiereglerne håndhæves ikke af Erhvervsstyrelsen, men det er dem der har kompetencen til at gøre det, såfremt de havde lyst…

    Det danske Datatilsyn har derimod kompetencen til at håndhæve den indsamling af personoplysninger, som foregår ved hjælp af cookies. Forholdet mellem de to myndigheder forklares på pædagogisk vis i denne podcast-episode fra Datatilsynet.

    Der er flere eksempler på sager, hvor Datatilsynet forholder sig til behandling af personoplysninger via cookies, fx DMI-sagen og DBA-sagen, som begge uddybes i det følgende. Herudover kan nævnes sagen om Næstved kommune, hvor Datatilsynet bl.a. slog fast, at kommunen i det konkrete tilfælde lovligt kunne bruge statistikcookies uden samtykke (det fremgår ikke, hvorvidt der blev brugt Google Analytics eller en anden tjeneste).

    At det primære formål med cookies er at indsamle data om brugere illustreres godt af et semi-offentligt engelsk organ, der for nyligt har valgt at omdøbe ”cookies” (som lyder som noget lækkert!) til ”data collectors”, bl.a. for at skabe mere gennemsigtighed overfor børn.

    Læs mere om dataindsamling via cookies i denne artikel, der også fremhæver en række eksempler på konkrete hjemmesider og deres tracking.

    Web analytics

    Mange hjemmesider har opsat en form for statistikindsamling af, hvor mange besøgende man har, hvilke sider de klikker på, hvor de besøgende bor henne i verden osv. Som DMI-sagen viser, så er mange analytics-tjenester såsom Google Analytics rent teknisk sat op på en måde, hvor dataindsamlingen sker via cookies, men så vidt jeg har forstået, findes der også andre alternativer, fx ”server-side-tracking” og ”Device Fingerprinting”, ”browser fingerprinting”, ”localStorage” og ”web beacons” (klogere folk end mig må meget gerne supplerer i kommentarsporet!). Hvis man læser de sider der linkes til i forrige sætning vil man se, at alle teknologierne som udgangspunkt falder indenfor GDPR og/eller e-privacy-reglerne (i DK: ”Cookiebekendtgørelsen”).

    I en sag mod dba.dk kritiserede Datatilsynet DBA.dk i forbindelse med deres brug af Google Analytics på hjemmesiden, selvom DBA gjorde gældende, at de havde deaktiveret flere af tjenesterne samt aktiveret ”Anonymize IP”-funktionen.

    Datatilsynet udtalte i sagen, at ”DBA behandler oplysninger om hjemmesidebesøgende til målrettet markedsføring ved at bruge statistik geneneret i forbindelse med den hjemmesidebesøgendes adfærd på hjemmesiden. Oplysningerne videregives endvidere til andre virksomheder med henblik på disse selskabers behandling af oplysninger.

    Uanset at DBA’s forretningsmæssige sigte med disse behandlingsaktiviteter er markedsføring, er det Datatilsynets opfattelse, at DBA i databeskyttelsesretlig sammenhæng behandler hjemmesidebesøgendes personoplysninger til flere og andre formål end dette ene formål.”

    På baggrund heraf lagde Datatilsynet til grund, at der ved ”DBA’s brug af Google Analytics til statistikformål sker overførsel af personoplysninger til Google LLC i USA” samt ”ved at integrere indhold fra Google i form af webanalyseværktøjet Google Analytics giver Google mulighed for at indsamle personoplysninger om hjemmesidebesøgende, idet denne mulighed opstår fra det tidspunkt, hvor hjemmesiden benyttes.”

    Konkret kritiserede Datatilsynet DBA for at deres behandling af personoplysninger om hjemmesidebesøgende ikke skete i overensstemmelse med databeskyttelsesforordningen.

    Og som uddybet i de to forrige indlæg, så udtalte det østrigske datatilsyn sig i december 2021 om brugen af Google Analytics på hjemmesider, og lagde bl.a. til grund, at ”Every time the website was accessed this caused it to send Google two unique IDs.” I den forbindelse kan det udledes, at tilsynet anser Google for at have adgang til brugernes færden på tværs af hjemmesider. Tilsynets argumenter i sagen var bl.a., at Googles intention med at bruge Google Analytics var, at indsamle oplysninger om hjemmesidebesøgende fra så mange hjemmesider som muligt.

    Se også forrige indlæg, hvor jeg linkede til flere afgørelser omhandlende Google Analytics fra bl.a. det franske datatilsyn og EU’s egen EDPS.

    ReCAPTCHA

    Fælles for både cookies og analytics er, at de findes på millioner af hjemmesider verden over, herunder mange danske sider.

    Et andet meget udbedt eksempel er Googles ”reCAPTCHA”-tjeneste, som findes på over 1 million hjemmesider. For ikke teknisk kyndige (som mig selv!), så er ReCAPTCHA Googles udgave af den test, hvis fulde navn er: ”Completely Automated Public Turing-test to tell Computers and Humans Apart” (=CAPTCHA), dvs. den lille test man på en del sider og onlinetjenester skal tage for at bevise, at man er et menneske og ikke en robot. Og Google er også på dette marked klart de mest dominerende, med en markedsandel på ca. 98%.

    Og det interessante i denne sammenhæng er, at også reCAPCTHA clasher med GDPR. Tjenesten har udviklet sig over årene, og da V3 blev lanceret for nogle år tilbage, var flere eksperter ude og advare om mulige privacy-udfordringer. Der har også været eksempler på skridt i retning mod håndhævelse, bl.a. i USA og Frankrig. Sidstnævnte sag resulterede i øvrigt med en klage til det franske datatilsyn CNIL, der kort før påske bekræftede, at Googles reCAPTCHA og heraf følgende brug af cookies forudsætter udtrykkeligt og forudgående samtykke fra hjemmesidebesøgende.

    Tredjeparts markedsføring / Google Ad-tjenester / Facebook plugin /Real-Time-Bidding mv

    I denne kategori finder vi en lang række forskellige kategorier af tjenester, med væsentlige tekniske forskelle, men jeg tillader mig at samle dem i en kategori man kan kalde ”tredjepartsmarkedsføring på tværs af hjemmesider”. Det er formentlig denne kategori af dataindsamling, som de fleste opfatter som de største ”syndere”, når vi taler om tracking på internettet.

    I mit tidligere blogindlæg nævnte jeg kort nyeste praksis på afgørelser med hjemmesiders brug af bl.a. Google Analytics. I den forbindelse fremhævede jeg DMI-afgørelse, hvor Datatilsynet udtalte alvorlig kritik for brug af diverse tjenester fra Google, herunder DoubleClick, Google Ads, AdSense, AdWords.

    Datatilsynet lagde til grund i afgørelsen ”at de oplysninger, der bliver overført til Google, bl.a. omfatter oplysninger om de besøgendes IP-adresse, hvilken hjemmeside, hvor Googles annonce er indlejret, de besøgende anmoder om at tilgå, datoen for anmodningen, og oplysninger om onlineidentifikatorer, der findes i cookies, som Google har lagret i de besøgendes browser”. Datatilsynet rubricerede ligeledes, at det var deres opfattelse, ”at det i denne sag alene er oplysninger om cookieidentifikatorer, det bliver lagret i slutbrugerens terminaludstyr, og som Google (via dmi.dk) opnår adgang til”.

    Samlet set vurderede Datatilsynet, at personoplysningerne vedrørte besøgenes ”adfærd og bruges til at behandle den pågældende på en bestemt måde i forhold til, hvilke annoncer, der bliver vist for den pågældende”.

    Mange hjemmesider drager også nytte af nogle smarte ”widgets” fra fx Facebook, som gør det muligt at koble brugere der besøger hjemmesiden sammen med den målrettede markedsføring, der kan udføres på Faccebook. EU-Domstolen afsagde i 2019 en afgørelse om den tyske webshop, Fashion ID, brug af integreret Facebook ”synes-godt-om”-knap på deres hjemmeside blev konkluderet til at være et fælles dataansvarlig med Facebook i forhold til de personoplysninger, der blev indsamlet og videregivet til Facebook. EU-Domstolen lagde vægt på, at ”Fashion ID ved at integrere "synes godt om"-knappen på sin hjemmeside muliggjorde Facebooks indsamling af personoplysninger om de besøgende, uanset om de besøgende havde klikket på knappen, og uanset om de havde en Facebook-konto. Dermed havde Fashion ID afgørende indflydelse på indsamlingen og overførslen af de besøgendes personoplysninger”. På baggrund heraf lagde EU Domstolen til grund, at man som hjemmesideejer har fælles dataansvar med Facebook, hvis man vælger at benytte deres plugin.

    Herudover har der de seneste par år været tiltag fra datatilsyn i andre lande med fokus på forskellige former for tredjeparts-markedsføring, fx det engelske datatilsyns fokus på såkaldt ”Real-Time-Bidding” samt en nylig afgørelse fra det belgiske datatilsyn om en samtykkeløsning lavet af en brancheorganisation som repræsenterer mange af dem der markedsfører sig på nettet kaldet ”the Internet Advertising Bureau”.

    Og hertil kommer så en hel underskov af pudsige former for skjult dataindsamling, fx hvis man bruger Googles tjeneste til at ændre skrifttyper på hjemmesider (Google Fonts), betalingstjenester såsom Stripe samt tjenester til ”Lead-generation” / IP-targeting, som der dog vist ikke har været håndhævelse overfor, endnu…

    Afrunding og næste indlæg

    Ovenstående var mit forsøg på at give et overblik over moderne tracking via hjemmesider, apps mv, med udgangspunkt i afgørelser, udtalelser mv fra EU’s datatilsyn. Man kan være enig eller uenig i deres tilgang, men ovenstående afspejler under alle omstændigheder en stigende tendens til at håndhæve overfor dataindsamling på internettet, særligt dataindsamling, hvor det ikke er brugeren selv, der afgiver oplysningerne.

    I næste og formentlig sidste indlæg i denne serie vil jeg se nærmere på de krav som skal opfyldes, når dataindsamling via hjemmesider falder ind under GDPR, og på hvilke GDPR-venlige løsninger der findes derude. Endelig jeg vil også dykke mere ned i om man kan komme helt udenom kravene (= udenfor GDPR) via brug af anonymisering, og stadig opfylde de samme funktionelle og kommercielle formål. 

    6 kommentarer.  Hop til debatten
    Debatten
    Log ind for at deltage i debatten.
    settingsDebatindstillinger
    4
    4. maj kl. 15:25

    Brug for gdpr hjælp Jeg bor i en almenboligforening, der efter sigende er i gang med en database over lejere, der viser om de er dømt, hvilken uddannelse de har osv.

    Efter referering fra anden hånd har en person i de højere administrative lag pralet med, de ved hvem der er kriminelle eller ej, de kan bare slå op når de gerne vil vide det.

    Ligeledes blev samtale med jurist fra afdelingen refereret som, at der ingen mulighed er for sletning i databasen når man først er oprettet.

    Mit spørgsmål er, hvilke paragraffer i gdpr gælder og kan jeg henvise til?

    5
    4. maj kl. 21:46

    Uddannelse artikel 6 Strafbare forhold artikel 10 samt databeskyttelsesloven paragraf 8 stk. 3.

    3
    3. maj kl. 16:19

    Problemet med Google Analytics er at det både tilbyder en kraftfuld statistik der kan implementeres let, og samtidig benytter den data til tvær-domæne profilering og big-data analysis med senere marketing for øje. Og oven i dette ligger uden for EU, hvor de persondata ikke er beskyttet, som vi ønsker i EU.

    Det bliver spændende om marketing-fri webstatistik med heftige foranstaltninger for anonymisering bliver betragtet som godkendt til almindelig nødvendig driftsformål uden særligt samtykke.

    Alle webservere behandler allerede IP adresser uden samtykke om behandling af persondata. Og uden webserver logning af IP adresser er det meget svært at gardere sig mod diverse angreb og misbrug. Argumentet er at denne behandling er nødvendig, for at kunne levere den givne service.

    Tilsvarende kunne man håbe, at et udvalg af de almindeligste simple data som land, device-type, OS og URL gerne må aggregeres uden samtykke, sålænge formålet er en drift-nødvendighed, ikke-marketing-relateret og med tydelige foranstaltninger for irreversibel anonymisering.

    Alternativet er at forbyde at tælle hvormange gange en given side vises på ens eget website. Og det er en absurd konklusion.

    2
    3. maj kl. 14:52

    PS: Tak for grundige gennemgange af svært stof.

    1
    3. maj kl. 14:51

    Fra artiklen:"Herudover kan nævnes sagen om Næstved kommune, hvor Datatilsynet bl.a. slog fast, at kommunen i det konkrete tilfælde lovligt kunne bruge statistikcookies uden samtykke (det fremgår ikke, hvorvidt der blev brugt Google Analytics eller en anden tjeneste)."

    Fra Datatilsynets afgørelse:"Datatilsynet fandt endvidere, at Næstved Kommunes behandling af personoplysninger om hjemmesidebesøgende til statistiske formål skete som led i kommunens myndighedsudøvelse og dermed inden for rammerne af databeskyttelsesreglerne. Datatilsynet lagde ved afgørelsen til grund, at der ikke skete en overførsel af oplysninger til lande uden for EU."https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/dec/egendriftssag-om-kommunes-behandling-af-oplysninger-om-hjemmesidebesoegende

    Fra artiklen:"På baggrund heraf lagde Datatilsynet til grund, at der ved ”DBA’s brug af Google Analytics til statistikformål sker overførsel af personoplysninger til Google LLC i USA” samt ”ved at integrere indhold fra Google i form af webanalyseværktøjet Google Analytics giver Google mulighed for at indsamle personoplysninger om hjemmesidebesøgende, idet denne mulighed opstår fra det tidspunkt, hvor hjemmesiden benyttes.”

    Fra artiklen:"På baggrund heraf lagde Datatilsynet til grund, at der ved ”DBA’s brug af Google Analytics til statistikformål sker overførsel af personoplysninger til Google LLC i USA” samt ”ved at integrere indhold fra Google i form af webanalyseværktøjet Google Analytics giver Google mulighed for at indsamle personoplysninger om hjemmesidebesøgende, idet denne mulighed opstår fra det tidspunkt, hvor hjemmesiden benyttes.”

    Næstved-sagen er fra 2021. DBA-sagen ser ud til at være fra 2022. Kan man antage, at Næstveds cookie-brug ikke længere - i lyset af de seneste domme og udtalelser internationalt, og Datatilsynets udtalelse vedr. DBA - er lovlig brug af cookies? Eller er der her den afgørende forskel, at Næstveds cookies skulle bruges til "myndighedsudøvelse" (det synes jeg godt nok er et noget tyndt postulat, der lyder af ikke at turde lægge sig ud med kommunerne)? Er snageri med cookies i orden, hvis bare der er tale om "myndighedsudøvelse? Og hvis der er tale om Google Analytics eller lign. amerikanske cookies i Næstved, hvordan kan Datatilsynet så konkludere, at data ikke er sket overførsel af data til lande udenfor EU?

    Er der sket et reelt skred i Datatilsynets vurderinger? Har de endelig set skriften på væggen? Eller kan nogen forklare mig forskellen på Næstved og DBA, vurderet nu, i maj 2022?

    Og må man ikke nu, på baggrund af Datatilsynets DBS-udtalelse, konkludere, at enhver brug af Google Analytics og tilsvarende amerikanske cookies nu er ulovlig?