Artikkel

Annonseringsteknologi er nå på agendaen til de europeiske datatilsynene

Hva er det egentlig som skjer når nettavisen din viser deg reklame for de samme skoene som du for kort tid siden sjekket pris på hos forhandlere på internett, og hvem får egentlig innsikt i de preferansesporene du legger igjen på internett og hvilke applikasjoner du benytter? En ny undersøkelse utført av det britiske datatilsynet konkluderer med at annonseringsteknologi (adtech) og sanntidsauksjoner (real time bidding) innebærer ulovlig behandling av personopplysninger.

De aller fleste benytter internettsider og applikasjoner gjentatte ganger hver dag for å lese aviser, styre smarte innretninger i hjemmet eller gjøre undersøkelser for innkjøp av husholdnings- og fritidsartikler.

De aller fleste har sikkert også fått med seg at innholdssider og applikasjoner fyller reklameplassen sin med reklame for produkter man har sett på tidligere, og at dette ikke er tilfeldig. Men hva er det som skjer, og hvem får innsikt i de preferansesporene du legger igjen på internett og hvilke applikasjoner du benytter?

 

Ny undersøkelse om annonseringsteknologi

I juni lanserte det britiske datatilsynet en rapport om undersøkelser tilsynet har foretatt innen annonseringsteknologi, såkalt «adtech», og bruk av sanntidsauksjoner, såkalt «real time bidding». Det britiske datatilsynet har undersøkt hvordan personopplysninger til enkeltindivider blir brukt og delt i økosystemet for adtech og real time bidding, og hvorvidt disse prosessene er i tråd med EUs personvernforordning, som de fleste kjenner som «GDPR».

I løpet av den tiden det tar å laste ned nettsiden til en nettavis, har det foregått en automatisk sanntidsauksjon hvor hundrevis av bedrifter har gitt bud på å kjøpe annonseplass for å vise sin reklame basert på de preferansesporene leseren har etterlatt seg på internett. Dette kan være informasjon som indikerer leserens fritidsinteresser, politiske overbevisning, seksuelle preferanse, helseforhold og mer. Denne informasjonen er samlet inn via tredjepartskapsler som de fleste aktører i dag tillater på sine nettsteder, og som innebærer at informasjon tilknyttet enkeltindivider kan benyttes for å lage preferanseprofiler til bruk ved salg og kjøp av annonseplassering.

Les undersøkelsen her

I sin rapport konkluderer det britiske datatilsynet med at preferanseprofilene som lages om enkeltindivider er svært detaljerte, og at disse profilene deles på tvers av hundrevis av organisasjoner bare for én budforespørsel. Tilsynet er også klar i sin rapport på at prosessene i industrien for adtech og real bidding innebærer ulovlig behandling av personopplysninger allerede fra tidspunktet for innsamling av opplysningene om enkeltindividene, og at industrien fremstår som lite moden i forståelsen av kravene i personvernregelverket.

- Det blir spennende å se om også det norske datatilsynet vil se nærmere på denne industrien fremover, og om man kan forvente sanksjoner overfor aktørene innen adtech og real time bidding, sier Hanne Pernille Gulbrandsen, Director i Deloitte.

Les mer om Deloittes juridiske tjenester her.

 

Krevende regelverk

Etter at den nye personvernforordningen trådte i kraft i EU og EØS, med muligheten for å ilegge overtredelsesgebyr på opptil 4 prosent av brutto, global omsetning for overtredelser, har de fleste bedrifter vært opptatt av å kartlegge deres bruk av personopplysninger for å sikre at bruken skjer på en lovlig måte. For at behandling av personopplysninger skal være lovlig, kreves det først og fremst at det foreligger et rettslig grunnlag for behandlingen, altså et behandlingsgrunnlag. Personvernforordningen regulerer hvilke behandlingsgrunnlag som kan benyttes, og noen eksempler på dette er samtykke, avtale og berettiget interesse. Mange bedrifter har også fått med seg at det i tillegg stilles krav til bruk av informasjonskapsler på bedriftenes nettsider som innebærer innhenting av samtykke, og at det er ventet nye regler fra EU som blant annet vil gjelde for krav og restriksjoner ved bruk av informasjonskapsler.

Når det gjelder adtech og real time bidding, er den største utfordringen ifølge rapporten til det britiske datatilsynet, at industrien ikke i tilstrekkelig grad klarer å vise til at det foreligger et lovlig behandlingsgrunnlag for bruken av personopplysningene, verken etter personvernforordningen eller etter regelverk for bruk av informasjonskapsler.

Det britiske datatilsynet påpeker også at industrien ser ut til å mangle forståelse for og etterlevelse av personvernregelverkets krav om at det skal uføres risikovurderinger, og konkluderer med at det foreligger liten tiltro til at risikoen ved behandlingen av enkeltindividers personopplysninger i adtech og real time bidding er vurdert tilstrekkelig eller håndtert på en tilfredsstillende måte.

- Det er grunn til å tro at det kan være lignende utfordringer i det norske markedet, med den følge at personvernforordningen og ekomloven ikke etterleves, sier Eirin Hauvik, advokat i Deloitte.

 

For komplisert å forstå for brukerne

Etter både personvernforordningen og regelverket for bruk av informasjonskapsler, stilles det krav om at det skal gis informasjon om hvordan personopplysningene behandles. Likevel påpeker det britiske datatilsynet at informasjonen som gis om bruken av personopplysningene innen adtech og real time bidding er lite klargjørende og alt for komplisert å forstå.

 

Hva med overføringer av data ut av EU og EØS?

En annen utfordring er at prosessen ved bruk av adtech og real time bidding innebærer at personopplysningene blir overført ut av EU og EØS uten at det foreligger tilstrekkelig sikkerhet for behandlingen av personopplysningene utenfor personvernforordningens virkeområde, slik personvernforordningen krever. Enkeltindividene har altså heller ingen garantier for sikkerheten til sine personopplysninger innen økosystemet for adtech og real time bidding. 

Les mer om personvern og GDPR her 

Det britiske datatilsynet avslutter sin rapport med klare mål om å fokusere videre på denne industrien i samarbeid med andre europeiske datatilsyn, hvor implikasjonene for personvern vil utforskes nærmere, og kommer med en klar oppfordring til aktørene innenfor industrien om å gjøre evalueringer av tilnærmingen til personvernerklæringer, bruk av personopplysninger og hvilket grunnlag aktørene har for behandlingen av personopplysninger.

Ta kontakt med oss om du lurer på om utfordringene rundt bruk av annonseringsteknologi treffer din virksomhet, og hvilke konsekvenser dette eventuelt kan få.

Les mer om hva Deloitte kan hjelpe deg med innen personvern

Tjenesteside for personvern
Var denne siden nyttig?