Er Facebook blitt Cookie-monsteret? Er bruk av Facebook for bedrifter en omgåelse av personvernreglene?

Informasjon om brukere er viktig for å kunne vise relevant reklame og annonser for bl.a. nettaviser. Men å samle inn informasjon om brukerne er vanskelig når man ikke kan identifisere eller individualisere brukerne. Å individualisere brukerne er forsøkt løst gjennom bruk av såkalte cookies, som er informasjonskapsler som plasseres på brukernes utstyr som PC, nettbrett eller telefon. Men å bruke cookies er vanskelig rettslig, og ved at brukerne stenger for cookies og bruker reklameblokkerere (ad blocking) må det tenkes nytt. Nå er Facebooks Instant Articles kommet som en mulig løsning, men er det bare en omgåelse av regelverket? 

En cookie er en liten tekstfil som et nettsted plasserer på enheten til brukerne (på norsk en «informasjonskapsel»), og som inneholder bl.a. en unik identifikator slik at man kan identifisere brukeren og se hvilke nettsider brukeren har besøkt. Bruker man f.eks. en PC til å lese en nettavise, vil denne nettavisen legge igjen en eller flere cookies på PCen til brukeren. Cookie-teknologi er en måte å bøte (til en viss grad) på det at brukere ikke kan identifiseres på internett, bl.a. fordi brukeren ikke er logget inn eller man kanskje ikke ønsker å bli identifisert.

Bruken av cookies er regulert gjennom et EU-direktiv som er implementert i norsk rett gjennom lov om elektronisk kommunikasjon (ekomloven) § 2-7 b som sier bruk av cookies (informasjonskapsler) kan kun gjøres dersom brukeren er informert om opplysningene som samles inn og har samtykket til dette. Datatilsynet har vært kritisk til reguleringen av cookies, siden den er upraktisk og vanskelig for de fleste å håndtere. Dette har også vært kritikken fra flere mot direktivet.

Mange bruker cookies (selv Datatilsynet), men pga. at brukere kan blokkere bruk av cookies og at man har løsninger for å hindre at reklame vises på nettsider som reklameblokkerere, spesielt for nettaviser (som også da blokkerer for cookies), så kan nettstedene gå over til å bruke Facebook, som Instant Articles. For å samle data for brukerne, så benytter Facebook cookie-teknologi, og cookien Facebook bruker blir på enhetene i to år, samt statistikk fra egne løsninger. Se mer om Facebooks bruk av cookies her. Det er andre måter som man kan samle informasjon om brukerne på Facebook. Organisasjoner og kjendiser kan ha såkalte «fansider» på Facebook, og Facebook håndterer da kontakt med fans og tilhengere gjennom siden, mot at organisasjonene eller kjendisene mottar anonymiserte personopplysninger.

Gjennom å bruke Facebook så får nettsteder mer informasjon om brukerne enn de ville fått dersom de selv hadde benyttet cookies. Dette selv om nettstedene ikke får informasjon om den enkelte bruker siden Facebook anonymiserer informasjonen, men nettstedene får den informasjon den trenger og kan gjennom Facebook styre annonser mer effektivt enn nettstedet kunne gjennom egen bruk av cookies og statistikk over bruk av sine nettsider. Dette er imidlertid noe av det samme som Google har gjort gjennom sitt annonsesystem, men Facebook kan måle all brukeraktivitet innenfor sin egen plattform, noe som ikke Google har klart siden ikke alle nettsider bruker Googles annonser

Er den økende bruken av Facebook en omgåelse av begrensningene for den enkelte nettside i bruk av cookies? Dersom en nettavis skal ha annonser som er relevante for leserne, må det samles inn mye data og personopplysninger. Det må da varsles om at opplysningene samles inn, og man må bruke cookies for at det skal knyttes en identifikator til brukeren – som er avgjørende for at annonser skal bli relevante. Brukes det cookies, skal brukerne bl.a. informeres om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og brukeren skal samtykke til at det samles inn opplysninger. Så er det strenge krav til hvordan nettavisen behandler personopplysningene, informasjonssikkerhet hos nettavisen og veldig mange andre krav etter personopplysningsloven. Alt dette unngås ved bruk av Facebook, og man overlater innsamling og behandling av personopplysninger, samt styring av relevante annonser mot brukerne til Facebook. Men brukerne informeres kun generelt om hvordan personopplysningene skal benyttes gjennom brukervilkårene til Facebook; det er ingen konkret angivelse om bruken av personopplysningene som det er om nettavisen samler inn opplysningene selv. Bruk av Facebook for bedrifter og organisasjoner fremstår som en måte å komme seg unna kravene etter personopplysningsloven, og er det riktig at det skal være enklere å styre annonser gjennom Facebook enn om man behandler personopplysninger selv etter regelverket?

EU-domstolen har nå fått en forespørsel fra den høyeste domstolen i Tyskland for forvaltningsrett, Bundesverwaltungsgericht, som går i kjernen på dette spørsmålet. Bakgrunnen for forespørselen til EU-domstolen er en sak for det tyske Datatilsynet om pålegge til en organisasjon om å stenge sin fanside pga. brudd på personvernreglene. Organisasjonen har hevdet at denne ikke er ansvarlig for behandling av personopplysninger, siden det er Facebook som behandler personopplysningene og ikke organisasjonen. Organisasjonen mener den ikke får tilgang til personopplysninger, men kun anonymiserte brukerdata. Denne saken tar opp mange spørsmål som er sentrale, som:

  • Hvem er den reelle behandlingsansvarlige (Facebook eller organisasjonen)?
  • Hvem er databehandleren når beslutningene hos Facebook reelt tas i USA, mens databehandleren (i hvert fall på papiret) er i Irland?
  • Hvilken myndighet har Datatilsyn i EU mot Facebook når Facebook bryter med personvernreglene i Europa?
  • Er det Datatilsynet i Irland som skal håndtere denne saken?

Dette er vesentlige spørsmål, spesielt for Facebook, og dersom EU-domstolen kommer til at det er Facebook som reelt er behandlingsansvarlig, kan det få omfattende betydning for Facebooks virksomhet i Europa.

Spørsmålene fra den tyske domstolen ble gjort tilgjengelig nå nettopp, og finnes her. Spørsmålene er komplekse og har omfattende virkning, så det er uklart når dom fra EU-domstolen vil foreligge.

Bli den første til å kommentere på "Er Facebook blitt Cookie-monsteret? Er bruk av Facebook for bedrifter en omgåelse av personvernreglene?"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: