Er online tracking en invasion af vores privatliv eller er det den pris vi betaler for gratis/relevant indhold på nettet - eller måske begge dele?
I disse uger ser jeg nærmere på regulering af nye teknologier, og i dette indlæg tager jeg et emne op, som en blogger-kollega her på Version 2 også kastede lys på i et indlæg i sidste uge: Datatilsynets afgørelse om DMI’s brug af cookies. Den konkrete afgørelse er således blot ét eksempel på en ny trend, nemlig et stadigt stigende fokus på regulering og håndhævelse overfor online tracking og AdTech.
Vi ser nærmere på denne aktuelle trend, men først spoler vi tiden 10 år tilbage.
Cookie-regler uden håndhævelse
I 2010 blev jeg meget stolt, da jeg fik trykt min første artikel i Ugeskrift for Retsvæsen. Den havde overskriften “Cookies og behavioral advertising - Regulering og (manglende) håndhævelse” (til juristerne: U.2010B.319) og var en udløber af mit speciale om internetmarkedsføring.
Artiklen var, som overskriften antyder, et forsøg på at råbe danske myndigheder op, idet de syntes fuldstændig at have ignoreret, at vi siden 2002 faktisk havde haft et såkaldt “ePrivacy-direktiv”, der bl.a. indeholdt et krav oplysningspligt ved brug cookies. Disse regler blev i 2009 skærpet med indførelsen af et krav om samtykke, men da jeg skrev min artikel i 2010, var det nye samtykkekrav endnu ikke implementeret i dansk ret.
Min konklusion forud for reglernes implementering var, at det rent teknisk og praktisk ville blive vanskeligt at leve op til de strenge krav: ”Der er således på nuværende tidspunkt ikke nogen hensigtsmæssig løsning på opfyldelse af samtykkekravet.”
Det reviderede direktiv blev dog implementeret i dansk ret, og i 2011 fik vi den (in)famøse “cookie-bekendtgørelse” med en tilhørende vejledning. Men Erhvervsstyrelsen, som stod bag reglerne, anlagde en mere pragmatisk fortolkning af samtykkekravet end jeg, og som følge heraf kunne man ifølge den daværende cookie-vejledning i vidt omfang slippe udenom kravet om et udtrykkeligt, aktivt samtykke.
Det var således juridisk set ikke særligt overraskende, da EU-Domstolen sidste år underkendte denne lempelige fortolkning af reglerne, og i kølvandet på den har vi da også for nyligt fået en ny cookievejledning fra Erhvervsstyrelsen, der anlægger en langt mere stringent fortolkning af samtykkekravet.
Kombineret med Datatilsynets nye vejledning om behandling af personoplysninger via hjemmesider (jf. nedenfor), er langt de fleste virksomheder i disse måneder nødsaget til at få opgraderet deres cookie-notice og samtykke-funktion på hjemmesiden.
Tracking = personoplysninger = GDPR?
Det var dog ikke kun Erhvervsstyrelsen, min artikel forsøgte at råbe op. I artiklen fremsatte jeg også det synspunkt, at mange former for online tracking, herunder ved brug af cookies, udgør behandling af personoplysninger og dermed faldt ind under de daværende regler i persondataloven.
Dette var i øvrigt ikke en ide jeg selv havde fået, idet Registertilsynet (Datatilsynets forgænger) blev bedt om at forholde sig til emnet helt tilbage i 1997, da vi i Danmark var i gang med at implementere persondatadirektivet i dansk ret (hvilket skete i år 2000 med vedtagelsen af persondataloven), og her udtalte tilsynet bl.a., at »Navnlig i forbindelse med elektroniske spor og oplysninger, som stammer fra cookies, kan man stille det spørgsmål, om disse er personoplysninger i direktivets forstand.Dette synes særlig tvivlsomt, når oplysningerne vedrører en IP-adresse eller browser på en computer, som anvendes af mange brugere«. Registertilsynet fandt således, at det var tvivlsomt, om brug af cookies var relevant ifm. reglerne om personoplysninger, men udtalte dog alligevel, at dette ikke kunne udelukkes.
Så vidt ses blev emnet ikke for alvor taget op i dansk ret igen, før jeg skrev min artikel i 2010, og herefter synes der også at have været begrænset fokus på emnet fra Datatilsynets side, omend de dog har afsagt et par sporadiske afgørelser vedrørende emnet siden da.
Synspunkterne fra min artikel er i øvrigt efterfølgende blevet bekræftet i en lang række retskilder, herunder ikke mindst to domme fra EU-domstolen, der har bekræftet, at registrering af såvel statiske og dynamiske IP-adresser (hvilket cookies ofte indeholder) ofte vil være omfattet af persondatareglerne.
Og tidligere i år fik vi så DMI-afgørelsen og sammen med den en vejledning om behandling af personoplysninger om hjemmesidebesøgende, hvori Datatilsynet bl.a. skriver:
”Med forbehold for en konkret vurdering er det Datatilsynets opfattelse, at der ved registrering af oplysninger om hjemmesidebesøgende ofte vil være tale om behandling af personoplysninger.”
Konsekvensen af denne konklusion er, at de mange krav i GDPR også skal overholdes ift. hjemmesider, der registrerer besøgendes adfærd, herunder ved brug af analytics-værktøjer.
Bliver 2020’erne enden på det vilde vesten for online tracking?
Det er ikke kun i Danmark at cookiereglerne har levet en skjult tilværelse, og derfor arbejder man pt. i EU på en revision af reglerne. Det nuværende udkast til en ny ”ePrivacy-forordning” lægger således op til et ensartet regelsæt for hele EU, samt at håndhævelsen skal ligge hos datatilsynene samt at bøderne skal være på GDPR-niveau. Reglerne regulerer dog meget mere end blot cookies, og det har indtil nu været vanskeligt at opnå enighed og få reglerne endeligt vedtaget.
Uanset om ePrivacy-forordningen ender med at blive vedtaget eller ej, må vi forvente et øget fokus på dette område i de kommende år. EU-Domstolen har således blot indenfor de sidste par år afsagt to meget principielle afgørelser, der har fastslået, at Facebook har et såkaldt fælles dataansvar med hhv. de virksomheder, som har en side på Facebook samt de virksomheder, som integrerer deres hjemmeside med Facebook via et plug-in.
På overfladen handler disse sager ”kun” om, hvem der formelt har ansvaret for de data der behandles om brugerne, men afgørelserne kan også ses som et væsentligt skridt i retningen mod mere ansvar for de virksomheder, som sporer vores adfærd på nettet med henblik på effektivisering af deres markedsføring.
Herudover har fx det franske Datatilsyn netop i år håndhævelse overfor ”adtech” øverst på dagsordenen og det samme har det engelske. Sidstnævnte skrev således følgende i sin strategi for 2019-2021:
"Priority area 3: Web and cross-device tracking
The use of HTTP cookies has not diminished although a range of alternative methods of performing tracking online have emerged and become more common; for example device fingerprinting, browser fingerprinting and canvas fingerprinting. This is likely to continue as more devices connect to the internet (IoT, vehicles, etc) and as individuals use more devices for their online activities. These new online tracking capabilities are becoming more common and pose much greater risks in terms of systematic monitoring and tracking of individuals, including online behavioural advertising. The intrusive nature of the technologies in combination drives the case for this to be a priority area."
Vender vi til sidst blikket hjem til Danmark igen, så kommer TechDK Komissionen i deres første rapport med et konkret forslag med til ”tracking, nej tak”-regler med følgende budskab:
”Udgangspunktet skal være et “nej tak” til online tracking som grundindstilling i overensstemmelse med databeskyttelsesforordningens artikel 25… For at anbefalingen kan realiseres, skal mulighederne for tilsyn og håndhævelse af databeskyttelsesreglerne øges kraftigt. Det betyder øgede omkostninger til både tilsynsmyndighederne og til de virksomheder, de fører tilsynet med. Bevillingerne til dette formål i det offentlige kan komme fra en techskat …”
Men: Er der overhovedet et problem?
Til sidst vil jeg tillade mig at stille et spørgsmål, som jeg ikke selv har svaret på:
Der er ingen tvivl om, at rigtig meget online-markedsføring ikke overholder de regler, vi allerede har, og som jurist finder jeg dette problematisk. Som jeg skrev i konklusionen fra min artikel i 2010:
”Cookies har længe været et kontroversielt emne. Der er dem, der er bekymrede for teknologiens indflydelse på vores grundlæggende ret til privatliv, og dem, der mener, at problemet er stærkt overvurderet, bl.a. fordi der som udgangspunkt ikke er nogen fysiske personer, der anvender de pågældende oplysninger. Uanset hvilket synspunkt man har, er brugen af cookies underlagt en række forskellige regler, og disse bør derfor håndhæves eller ændres.”
Noget tyder på, at denne håndhævelse er på vej, og der synes endda også at være stærke kræfter der skubber på for yderligere stramninger af reglerne.
Men indtil nu har det vist sig ganske vanskeligt for alvor at komme nogen vegne, og man kan jo overveje, om det måske skyldes, at mange af os rent faktisk er villige til at betale “prisen” for at kunne bruge internettet som vi kender det i dag?
Eller man kunne tage et kendt slogan fra tracking-modstandere og udvide det lidt: “If you’re not paying for it, you’re the product - and perhaps that’s okay”.
Byd endelig ind, hvis I har en holdning til dette spørgsmål, og kom også gerne med input til andre vinkler på dette emne jeg kan tage op i et senere indlæg.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
