Hva er det egentlig som skjer når nettavisen viser reklame for de samme skoene man for kort tid siden sjekket pris på hos forhandlere på internett?
En ny undersøkelse utført av det britiske datatilsynet konkluderer med at annonseringsteknologi (adtech) og sanntidsauksjoner (real time bidding) innebærer ulovlig behandling av personopplysninger i det britiske markedet.
De aller fleste benytter internettsider og applikasjoner gjentatte ganger hver dag for å lese aviser, styre smarte innretninger i hjemmet eller gjøre undersøkelser for innkjøp av husholdnings- og fritidsartikler. De aller fleste har sikkert også fått med seg at innholdssider og applikasjoner fyller reklameplassen sin med reklame for produkter man har sett på tidligere, og at dette ikke er tilfeldig.
Men hva er det som skjer, og hvem får innsikt i de preferansesporene vi legger igjen på internett og hvilke applikasjoner vi benytter?
Ny undersøkelse om annonseringsteknologi
I juni lanserte det britiske datatilsynet en rapport om undersøkelser tilsynet har foretatt innen annonseringsteknologi, såkalt «adtech», og bruk av sanntidsauksjoner, såkalt «real time bidding». Det britiske datatilsynet har undersøkt hvordan personopplysninger til enkeltindivider blir brukt og delt i økosystemet for adtech og real time bidding, og hvorvidt disse prosessene er i tråd med EUs personvernforordning, som de fleste kjenner som GDPR.
I løpet av den tiden det tar å laste ned nettsiden til en nettavis, har det foregått en automatisk sanntidsauksjon hvor hundrevis av bedrifter har gitt bud på å kjøpe annonseplass for å vise sin reklame basert på de preferansesporene leseren har etterlatt seg på internett. Dette kan være informasjon som indikerer leserens fritidsinteresser, politiske overbevisning, seksuell preferanse, helseforhold og mer. Denne informasjonen er samlet inn via tredjepartskapsler, såkalte «cookies», som de fleste aktører i dag tillater på sine nettsteder, og som innebærer at informasjon tilknyttet enkeltindivider kan benyttes for å lage preferanseprofiler til bruk ved salg og kjøp av annonseplassering.
I sin rapport konkluderer det britiske datatilsynet med at preferanseprofilene som lages om enkeltindivider er svært detaljerte, og at disse profilene deles på tvers av hundrevis av organisasjoner bare for én budforespørsel. Tilsynet er også klar i sin rapport på at prosessene i industrien for adtech og real bidding innebærer ulovlig behandling av personopplysninger allerede fra tidspunktet for innsamling av opplysningene om enkeltindividene, og at den britiske industrien fremstår som lite moden i forståelsen av kravene i personvernregelverket.
Det norske Datatilsynet har så langt ikke gjort tilsvarende undersøkelser i det norske markedet for adtech og real time bidding, men temaet har vært debattert i nyhetsartikler i norske aviser i løpet av høsten.
Lite GDPR-moden bransje
Etter at den nye personvernforordningen trådte i kraft i EU og EØS, med muligheten for å ilegge overtredelsesgebyr på opptil 4 prosent av brutto, global omsetning for overtredelser, har de fleste bedrifter vært opptatt av å kartlegge deres bruk av personopplysninger for å sikre at bruken skjer på en lovlig måte. For at behandling av personopplysninger skal være lovlig, kreves det først og fremst at det foreligger et rettslig grunnlag for behandlingen, altså et behandlingsgrunnlag. Personvernforordningen regulerer hvilke behandlingsgrunnlag som kan benyttes, og noen eksempler på dette er samtykke, avtale og berettiget interesse. Mange bedrifter har også fått med seg at det i tillegg stilles krav til bruk av informasjonskapsler på bedriftenes nettsider som innebærer innhenting av samtykke, og at det er ventet nye regler fra EU som blant annet vil gjelde for krav og restriksjoner ved bruk av informasjonskapsler.
Når det gjelder adtech og real time bidding, er den største utfordringen ifølge rapporten til det britiske datatilsynet, at den britiske industrien ikke i tilstrekkelig grad klarer å vise til at det foreligger et lovlig behandlingsgrunnlag for bruken av personopplysningene, verken etter personvernforordningen eller etter regelverk for bruk av informasjonskapsler.
Det britiske datatilsynet påpeker også at industrien ser ut til å mangle forståelse for og etterlevelse av personvernregelverkets krav om at det skal uføres risikovurderinger, og konkluderer med at det foreligger liten tiltro til at risikoen ved behandlingen av enkeltindividers personopplysninger i adtech og real time bidding er vurdert tilstrekkelig eller håndtert på en tilfredsstillende måte.
Undersøkelsen utført at det britiske datatilsynet gjelder riktignok det britiske markedet, og det vil bli spennende å se fremover om det foreligger lignende utfordringer i det norske markedet, eller om det norske markedet er kommet lengre på disse områdene. Det er mange aktører i det norske markedet som arbeider målrettet mot å etterleve regelverket når personopplysninger benyttes i markedsaktiviteter. Samtidig er det mange gråsoner i dette landskapet, og det kan være utfordrende å vite hvor grensene går.
For komplisert å forstå for brukerne
Både etter personvernforordningen og regelverket for bruk av informasjonskapsler, stilles det krav om at det skal gis informasjon om hvordan personopplysningene behandles. Likevel påpeker det britiske datatilsynet at informasjonen som gis om bruken av personopplysningene innen adtech og real time bidding er lite klargjørende og alt for komplisert å forstå.
I november oppdaterte norsk Nasjonal kommunikasjonsmyndighet sine retningslinjer hva gjelder samtykke ved bruk av informasjonskapsler. Her fastholdes den norske spesialregelen om at nettleserens forhåndsinnstilling er tilstrekkelig som samtykke, men det presiseres samtidig at man for tilfeller hvor personopplysninger behandles, bør velge et aktivt samtykke for å være på den sikre siden. Dette må nok sees i lys av at EU-domstolen avsa en dom i oktober som omhandlet samtykke etter kommunikasjonsverndirektivet fra 2002, hvor det ble konkludert med at et samtykke etter dette direktivet, sett i sammenheng med det tidligere personverndirektivet og GDPR, ikke er et gyldig avgitt samtykke når samtykket er gitt ved hjelp av et på forhånd avkrysset felt som leseren kan avkrysse for å nekte samtykke.
I 2017 la Europakommisjonen frem et forslag til en ny kommunikasjons-vernforordning som skal erstatte kommunikasjonsverndirektivet fra 2002, og dette forslaget er fremdeles til diskusjon hos medlemslandene. Utviklingen ser ut til å gå i retning av strengere krav til samtykke i Europa, og at dette vil bli aktualisert også i Norge når det endelige forslaget er vedtatt i EU og eventuelt blir implementert i norsk rett i tråd med EØS-avtalen.
Norsk Nasjonal kommunikasjonsmyndighet er fremdeles klar i sine retningslinjer hva gjelder kravet til klar og tydelig informasjon til brukeren om bruk av informasjonskapsler, og påpeker at dette kravet anses som oppfylt dersom det gis informasjon som er lett synlig når brukeren kommer inn på nettstedet, og dersom det gis informasjon om hvilke informasjonskapsler som brukes, hvilke opplysninger som behandles, hva som er formålet og hvem som behandler opplysningene.
Hva med overføringer av data ut av EU og EØS?
En annen utfordring som påpekes av det britiske datatilsynet, er at prosessen ved bruk av adtech og real time bidding innebærer at personopplysningene blir overført ut av EU og EØS uten at det foreligger tilstrekkelig sikkerhet for behandlingen av personopplysningene utenfor personvernforordningens virkeområde, slik personvernforordningen krever. Enkeltindividene har i disse tilfellene ingen garantier for sikkerheten til sine personopplysninger innen økosystemet for adtech og real time bidding.
Dette vil være et sentralt aspekt ved adtech og real time bidding også for norske aktører som eventuelt enda ikke har sikret at det foreligger tilstrekkelig sikkerhet for behandlingen når personopplysninger deles med aktører utenfor personvernforordningens virkeområde.
Det britiske datatilsynet avslutter sin rapport med klare mål om å fokusere videre på denne industrien i samarbeid med andre europeiske datatilsyn, hvor implikasjonene for personvern vil utforskes nærmere. Det britiske datatilsynet kommer med en klar oppfordring til aktørene innenfor industrien om å gjøre evalueringer av tilnærmingen til personvernerklæringer, bruk av personopplysninger og hvilket grunnlag aktørene har for behandlingen av personopplysninger.
Mange norske aktører har funnet løsninger som gjør at regelverksetterlevelse er mulig, men det finnes nok også norske aktører som bør ta dette som en oppfordring til å lære av sine kollegaer og sikre at bruken av adtech og real time bidding skjer i samsvar med GDPR og ekomloven.