For nogle uger siden skrev jeg et blogindlæg med overskriften "GDPR vs moderne hjemmesider", hvor jeg varslede en serie af indlæg med fokus på det "clash", der i disse tider synes at være mellem GDPR på den ene side, og på den anden den kommercielle og teknologiske virkelighed, som kendetegner internettet og de fleste moderne hjemmesider. Indlæggene er i øvrigt en optakt til et oplæg jeg skal holde om samme emne på V2's infosecurity-konference i maj.
Overskriften på såvel mit blogindlæg som mit kommende oplæg på V2 konferencen er bevidst sat konfrontatorisk op, med en antydning af, at man må vælge i mellem moderne hjemmesider på den ene side, eller at overholde GDPR på den anden. Det affødte en del kommentarer i kommentarsporet, og en anden blogger her på V2, Henrik Beiring, har også samlet bolden om under henvisning til mit indlæg, og fremsætter nogle (gode!) principielle synspunkter til fordel for EU's regulatoriske tilgang.
Virkeligheden er selvfølgelig mere nuanceret end min overskrift antyder, men jeg synes alligevel det føles som som, at vi pt. står i orkanens øje i form at et kæmpe clash mellem hhv. teknologiens og retssystemets udvikling. Jeg fortsætter derfor min serie af indlæg, og i denne omgang dykker jeg ned i følgende:
1. En kort (!) opsamling på nyeste praksis
2. Forskellige folk har forskellige holdninger
3. GDPR er ikke de eneste "værktøj i værktøjskassen"
4. GDPR regulerer kun "behandling af personoplysninger"
5. Jeg har brug for jeres hjælp
(P.s.: Til brug for dette indlæg har jeg fået værdifuld sparring fra bl.a. webbureaet Ovdal, den altid skarpe privacy-ekspert Pia Tesdorf samt to advokater med passion for tech ligesom jeg selv, nemlig Henrik Mansfeldt Witt fra Aumento og Emil Agerskov Thuesen fra DLA Piper.
1. En kort (!) opsamling på nyeste praksis
I en erkendelse af, at de fleste folk har andet at lave, følger her en ultrakort oversigt over den seneste udvikling på området, som er årsagen til, at vi i disse dage har så meget fokus på bl.a. Google Analytics:
Man kan starte tidsregningen mange steder, eksempelvis i 1995 data persondatadirektivet blev vedtaget eller i 2002 da ePrivacy-direktivet inkl. cookieregler første gang blev vedtaget i 2002. Men sandheden er, at det først var da vi fik GDPR og truslen om store bøder kombineret med omfattende krav til dokumentation, at emnerne for alvor begyndte at få opmærksomhed.
Siden da er der afsagt forskellige afgørelser, som har fået bred opmærksomhed, herunder to afgørelser afsagt af EU-Domstolen med fokus på hhv. Facebook-sider og Facebook-pixels. Sidstnævnte har også relevans for dem der bruger en Facebookpixel på deres hjemmeside.
Der er dog ingen afgørelser, der har modtaget så meget opmærksomhed som EU-Domstolens Schrems II-afgørelse fra juli 2020. Jeg har selv skrevet adskillige indlæg om den, og det samme har mange andre. Og det er i vidt omfang også Schrems II-sagen, som har affødt den serie af sager, som pt. ruller, idet Max Schrems og hans organisation None-Of-Your-Business (NOYB) kort tid efter dommen indgav 101 klager til alle 27 EU-datatilsyn, og det er de sager, som nu begynder at blive afgjort, herunder følgende:
- Østrig: Google Analytics (22. december 2021) - link
- EDPS (EU's eget datatilsyn): Google Analytics og Stripe (?? januar 2022) - link
- Tyskland: Google Fonts (20. januar 2022) - link
- Frankrig: Google Analytics (10. februar 2022) - link
I kølvandet på ovennævnte sager har en række datatilsyn udtrykt opbakning og anbefalet at man vælger alternativer til Google Analytics, fx i Norge og Lichtenstein.
Omvendt har Google, ikke så overraskende, fremsat modargumenter, herunder offentligt henvist til, at de i GA's 15 års levetid "never once received the type of demand the [Austrian] DPA speculated about. And we don't expect to receive one because such a demand would be unlikely to fall within the narrow scope of the relevant law." Og så har nogle af mine advokatkolleger været ude med budskaber om, at det kan lade sig gøre at fortsætte med at bruge GA med brug af diverse tekniske og juridiske indgreb, eksempelvis en imponerende dybdegående artikel med overskriften "How to legally use Google Analytics in Europe" fra en Schweizisk advokat - som endda også har lavet en omfattende "Transfer Impact Assesment" til at understøtte konklusionen om fortsat lovlig brug af GA. Og for få dage siden har Google så også annonceret en række ændringer til GA, netop for at addressere ovennævnte afgørelser.
Endelig er det også værd at fremhæve, at det danske datatilsyn tillige er ganske aktiv på dette område, fx:
- DMI-afgørelsen (link): Alvorlig kritik, herunder for brug af diverse tjenester fra Google, herunder DoubleClick, Google Ads, AdSense, AdWords. Afgørelsen fastslår i øvrigt også fælles dataansvar med Google, hvilket Google mig bekendt aldrig har fulgt op på, hvilket teknisk set betyder, at brug af de pågældende Google tjenester er i strid med GDPR artikel 26.
- Sag mod Næstved kommune (link): Sagen handlede bl.a. om et vildledende cookiebanner, men datatilsynet slog også fast, at kommunen i det konkrete tilfælde lovligt kunne bruge statistikcookies uden samtykke (det fremgår ikke, hvorvidt der blev brugt Google Analytics eller en anden tjeneste).
- Sag mod dba.dk (link): Kritik af DBA.dk i forbindelse med brug af Google Analytics, på trods af DBA's argumenter om deaktivering af ”Data sharing for Google Products”, "Cross device tracking via User ID” samt aktivering af ”Anonymize IP”-funktionen.
- Endelig er det også værd at fremhæve Datatilsynets spritnye vejledning om cloud-tjenester: Selvom den ikke udtrykkeligt handler om hjemmesider, så medfører vejledningen store krav til compliance i forbindelse med brug af diverse digitale tjenester til at understøtte hjemmesider, webshops, SaaS-løsninger mv.
2. Forskellige folk har forskellige holdninger
Mit netværk, og dermed også mit LinkedIn-feed, består af lige dele tech-entusiaster og privatlivsforkæmpere., og her er en, lidt karikeret, gengivelse af de to "fløjes" synspunkter:
Privatlivsforkæmperne kan eksempelvis finde på at henvise til følgende synspunkter:
Internettet og dets bagvedliggende teknologier og aktører har udviklet sig i en retning, hvor der indsamles data om vores adfærd konstant. Harvard-professor Shoshana Zuboff går så vidt som til at betegne det som en moderne udgave af hele den kapitalistiske samfundsmodel, nemlig "Surveillance capitalism". Det er således på høje tid, at hjemmesideejere og SaaS-leverandører begynder at forholde sig bare en smule kritisk til de tjenester de benytter, og eksempelvis stiller sig selv spørgsmålet, hvad forretningsmodellen egentlig er, når fx Google stiller Analytics gratis til rådighed for millioner af hjemmesider. Selv en af internettets grundlæggere, Tim Berners-Lee, tager afstand fra den udvikling internettet har taget de seneste årtier, og arbejder på at opbygge en alternativ model, hvor vi som brugere selv er i reel kontrol over vores egne data.
Det er derfor positivt, at vi nu langt om længe begynder at se håndhævelse overfor nogle af de "syndere", som uretmæssigt snylter på vores alle sammens data. Med Schrems II-sagen slog EU-Domstolen fast, at vi ikke bare ukritisk kan bruge amerikanske cloud-tjenester, og ignorerer at US-myndighederne med hjælp fra bl.a. FISA 702 har snablen dybt nede i EU-borgeres data. Siden da har EU's datatilsyn i en fælles vejledning gjort det klart, at det kræver grundige og dokumenterede overvejelser, hvis man vil bruge en leverandører, som enten selv, eller via underleverandører, potentielt giver efterretningstjenester i eksempelvis USA adgang til de data, som behandles i vores IT-systemer og digitale løsninger.
De fleste dataansvarlige har dog valgt "at se tiden an" (læs: Ignoreret dommen og den nye vejledning fra EDPB), men heldigvis er vi nu langt om længe begyndt at se håndhævelse fra de enkelte datatilsyn rundt om i EU. En stor del af disse sager har baggrund i de 101-klager, som Max Schrems og hans organisation None-Of-Your-Business indgav kort tid efter EU Domstolens afgørelse fra juli 2020. Det er særligt positivt at se, at eksempelvis det østrigske og franske datatilsyn har modet til at afvise Googles argumenter om at de har implementeret tilstrækkelige "supplerende foranstaltninger", bl.a. under henvisning til, at der selv med disse foranstaltninger konstant overføres adfærdsdata inklusive IP-adresser på EU-borgere til USA og dermed fri adgang til snagen fra US-myndighederne.
Den modsatte fløj, som bl.a. består af folk der er tilhængere af cloud, analytics, datadrevet markedsføring, online medier mv, har nogle helt andre holdninger:
Det handler i bund og grund handler om innovation og konkurrenceevne: Data er i dag verdens mest værdifulde ressource, og stort set alle industrialiserede lande arbejder med politiske målsætninger om at udnytte det enorme potentielle som data har, både nu og i fremtiden.
Fokuseres der konkret på indsamling af data via hjemmesider, så har dette ofte helt legitime formål, eksempelvis at analytics-data bruges til at afdække omfang, karakter og præferencer for de brugere, der besøger hjemmesiden. Det er således helt legitimt, at man som ejer af en webshop, en onlineavis eller en SaaS-løsning ønsker at få indblik i, hvilke dele af en hjemmeside der vækker interesse for brugerne, hvor der er plads til forbedring osv.
Dernæst relaterer en del af dataindsamlingen sig også til den grundlæggende samfundsmodel, som nutidens digitaliserede samfund er baseret på: Vi kan som brugere få adgang til en hel masse gratis indhold ved alene at betale en symbolsk "pris" i form af at nogle virksomheder får lov at vise os så relevante annoncer som muligt. Siden GDPR's vedtagelse er modellen dog ved at blive nedbrudt og flere og flere online medier er nødt til at afsøge andre finanseringskilder - herunder også Version2.
Intet her i verden er gratis - heller ikke compliance. For hver en krone der bliver brugt på alverdens former for risikovurderinger og påtvunget anvendelse af dyrere og/eller ringere europæiske løsninger, så må vi også regne med, at de produkter og ydelser vi køber bliver tilsvarende dyrere. Og når det gælder offentlige myndigheders påtvungne complianceomkostninger, så må det nødvendigvis gå udover vores alle sammens velfærd. Alle disse omkostninger skal vel at mærke retfærdiggøres på baggrund af en teoretisk risiko for at NSA måske kan se at at min IP-adresse har besøgt Version2 her til morgen...
3. GDPR er ikke de eneste "værktøj i værktøjskassen"
Jeg kan afsløre, at jeg kan se valide synspunkter i "begge lejre", men min holdning er jo ikke særligt interessant. Derimod er det mere interessant at se på, hvordan lovgivningen egentlig forholder sig til disse emner. Og her vil jeg godt lige bruge lidt krudt på at fremhæve, at de udfordringer nutidens internet har, er reguleret i en række andre regelsæt end GDPR:
- EU har helt tilbage i 2002 indført specifikke regler til regulering af cookies (ePrivacy-direktivet), og de regler er pt. under revision i EU. Og i Danmark håndhæves reglerne af Erhvervstyrelsen, ikke Datatilsynet.
- Det er helt legitimt at mene, at hjemmesider ikke bør snylte på vores (adfærds)data uden at vi som forbrugere får noget til gengæld - men EU har faktisk også vedtaget specifikke regler, der sidestiller afgivelse af personoplysninger med betaling ifbm. onlinetjenester og dermed giver os forbrugerbeskyttelse for "gratis" tjenester finansieret via behandling af personoplysninger link
- Dernæst kan man også være af den opfattelse, at visse US-udbydere i dag kontrollere så store mængder data, at de har en form for "data-monopol" - men heller ikke dette skal løses med GDPR, men derimod af konkurrencereglerne, herunder de kommende regler i Digital Markets Act.
- Endelig kan det også nævnes, at der i forbindelse med de aktuelle forhandlinger af Digital Services Act også er rejst forslag om helt at forbyde målrettede annoncer baseret på følsomme data.
4. GDPR regulerer kun "behandling af personoplysninger"
Netop fordi de aktuelle sager rammer ned i krydsfeltet mellem flere regler, er det efter min opfattelse vigtigt, at vi får helt styr på, hvilke former for data og analytics, der er omfattet af GDPR og hvilke der ikke er.
På et overordnet plan er formålet med GDPR at beskytte personoplysninger , og GDPR har således ikke, eller bør i hvert fald ikke have, nogen holdning til, hvorvidt det er også at registrere brugeres adfærd på en hjemmeside, så længe der blot ikke er tale om "personoplysninger". Og her er det væsentligt at have for øje, at eksempelvis IP-adresser ikke uden videre falder ind under begrebet, og dermed heller ikke nødvendigvis ind under GDPR. EU-Domstolen har således flere gange haft muligheden for at slå fast, at IP-adresser per definition falder indenfor GDPR's (mange) krav, men har gang på gang alene ladet IP-adresser være omfatter i afgrænsede scenarier. Eksempelvis udtalte Domstolen i Breyer-sagen, at dynamiske IP-adresser registreret via en hjemmeside som udgangspunkt udgør personoplysninger, hvis indehaveren af hjemmesiden har de nødvendige "retlige midler" til at få udleveret navnet på personen bag IP-adressen fra internetudbyderen.
På trods af dette synes en række af de nyeste sager, herunder nogle af dem fra det danske datatilsyn, at anlægge en udvidende fortolkning af GDPR's anvendelsesområde. Og dette vil altså ikke kun have konsekvenser for Google Analytics, men for meget stort dele af internettet, som vi kender det i dag.
5. Jeg har brug for jeres hjælp
I næste indlæg vil jeg dykke mere ned i de retskilder, som forholder sig til, hvornår data relateret til hjemmesider falder hhv. indenfor og udenfor GDPR, og om det overhovedet er muligt at gøre data "anonyme nok" i juridisk forstand, selv hvis man ingen interesse har i at kende brugeren.
I mellemtiden kunne jeg godt bruge noget hjælp til følgende spørgsmål:
Hvor almindeligt er det, at der opsættes tjenester på hjemmesider, webshops, SaaS-løsninger mv, som registrerer IP-adresser og/eller brugeres adfærd?
Hvor let er det i dag at finde frem til brugeren bag en IP-adresse, selv hvis man ikke kan få oplysningerne udleveret fra internetudbyderen? Og hvad med "device fingerprinting" og andre lignende tracking teknologier?
Står den store fokus på cookies og IP-adresser mål med risikoen, også sammenholdt med det høje sikkerhedsniveau der typisk er på tjenester såsom Google Analytics? Og er der i øvrigt nogen der kan sige noget om, hvorvidt Googles nye ændringer til GA rent faktisk medfører en substantiel forbedring af privatlivsbeskyttelsen?
På forhånd tak!
