Vägen till integritetsvänlig marknadsföring på nätet?

När dataskyddsförordningen antogs 2015 var ambitionen att den skulle åtföljas av, eller snarare kompletteras med, en e-Privacy förordning. Det har snart gått tre år sedan dataskyddsförordningen började tillämpas och vi har sedan dess befunnit oss i ett ingenmansland där i princip alla prognoser för när vi kan se ett uppdaterat regelverk på detta område har passerats och skjutits på framtiden. Sedan Portugal tog över ordförandeskapet har det äntligen blivit lite framdrift i frågan och rådet har i början av 2021 gett det portugisiska ordförandeskapet mandat att påbörja förhandlingar med parlamentet. Förslaget ska nu genomgå nästa steg i förhandlingsfasen och den slutliga texten kommer sannolikt börja tillämpas 24 månader efter att texten är klar, dvs tidigast 2023.

Detta regelverk, även kallat ”GDPR 2.0”, innehåller bland annat bestämmelser om hur aktörer får övervaka internetanvändares aktivitet med hjälp av olika spårningstekniker. De flesta företag och organisationer använder olika typer av spårningsteknik på sina hemsidor och appar idag eftersom det erbjuder värdefull kunskap och insikter för företagen och deras marknadsföringsstrategier. Sådan teknik inkluderar bl.a. cookies, pixlar och digital fingerprinting.

För användning av spårningsteknik innebär förslaget i korthet att:

• Området för när spårningsteknik kan användas utan samtycke utvidgas. Förslaget går, å andra sidan, inte så långt som att ange berättigat intresse som en möjlig rättslig grund. Användning utan samtycke föreslås vara tillåten t.ex. för att mäta besökare eller om det är nödvändigt för vissa uppdateringar. Omfattande profilering – dvs. när personuppgifter används för att bedöma vissa personliga egenskaper hos en person, särskilt för att analysera eller förutsäga personens preferenser, intressen eller beteende, etc. – kräver samtycke.
• Användarna ska kunna vitlista vissa aktörers spårningsteknik (t.ex. Google och Facebook) genom särskilda inställningar i webbläsaren (snarare än att alltid behöva göra det genom enskilda cookie banners).

I februari publicerade även den danska tillsynsmyndigheten (Datatilsynet) ny vägledning om användning av cookies. Vägledningen bekräftar tidigare praxis från EU domstolen (såsom att aktivt samtycke krävs och att cookies inte får placeras innan samtycke inhämtats) och förtydligar vissa naturliga följder, såsom att:

• Cookie banners inte får utformas på ett sätt som leder användaren att samtycka till alla cookies, vilket är vanligt förekommande idag (t.ex. med hjälp av stora typsnitt, färgsättning, etc.).
• Cookies ska delas in i vissa vedertagna kategorier (t.ex. statistik och marknadsföring) och det är tillräckligt att användaren samtycker till en viss kategori av cookies. Det är alltså inte nödvändigt att inhämta separata samtycken för varje enskild cookie.
• Det är möjligt att behandla personuppgifter som samlas in med hjälp av cookies på en annan rättslig grund än samtycke (vilket då tydligt måste framgå av cookie policy / privacy notice) – men huvudregeln är att även den efterföljande behandlingen bör baseras på samtycke. Om samtycke används för den efterföljande behandlingen måste två separata samtycken som uppfyller dataskyddsförordningens krav inhämtas (ett för placeringen av cookien och ett för den efterföljande behandlingen).
• Cookie policy / privacy notice måste innehålla tydlig information om vem eller vilka som är personuppgiftsansvariga, vad det innebär samt vilka datapunkter som eventuellt överförs till andra aktörer, såsom Google och Facebook.

Även om man har gjort allt rätt enligt ovan bör företag och organisationer som önskar använda spårningsteknik på sin hemsida inte glömma bort att det ofta även kräver att en konsekvensbedömning genomförs innan tekniken börjar användas. Konsekvensbedömningen säkerställer att det verksamheten vill göra håller sig inom lagens ramar och att det sker på ett integritetsvänligt sätt. Därutöver understryker sommarens avgörande i EU domstolen (det så kallade Schrems II målet) de svårigheter företag och organisationer står inför om tekniken inkluderar överföring av personuppgifter utanför EU/EES – något som användningen av t.ex. Google Analytics och Facebook Connect medför i dagsläget.

Sommarens avgörande tydliggör att företag och organisationer måste utvärdera skyddsnivån i de icke-EU/EES länder som de vill överföra personuppgifter till. Detta ska dokumenteras i en så kallad Data Transfer Assessment (DTA). Endast om DTAn visar att skyddsnivån är likvärdig med den i EU/EES är överföring tillåten. I vissa fall kommer övningen visa att skyddsnivån inte är tillräckligt hög. För att höja den kan företag och organisationer vidta vissa skyddsåtgärder, såsom kryptering, pseudonymisering och anonymisering, vilket kan höja skyddsnivån så att den anses tillräcklig för att personuppgifterna ska kunna föras över.

Om skyddsnivån inte kan höjas ens med ytterligare skyddsåtgärderna är det inte tillåtet att föra över uppgifterna. Av gällande praxis och vägledningar från Europeiska dataskyddsstyrelsen är det mindre troligt att en DTA tillåter överföring av uppgifter till USA och det finns sällan skyddsåtgärder som kan höja skyddsnivån så att den står i paritet med den inom EU/EES. För att citera Integritetsskyddsmyndighetens (tidigare Datainspektionens) GD – ”överföring av personuppgifter till USA är problematiskt, om inte omöjligt.” Detta gör det svårt att använda många av de mest populära spårningstjänsterna i dag.

Att spåra användare över internet är en väldigt integritetskänslig åtgärd som inte bör göras lättvindigt. Det är därför viktigt att det sker på ett transparant sätt och i enlighet med de förutsättningar som regelverken ställer upp. Om inte kommer företag och organisation ha svårt att visa att verksamheten arbetar ansvarsfullt och hållbart med dessa frågor – vilket på sikt kan skada både förtroendet för företaget eller organisationen och leda till dyra sanktionsavgifter.

Det handlar inte om att vara först eftersom dessa frågor redan är föremål för tillsyn, både inom EU och i Sverige. Företag och organisationer som inte har gjort eller har brustit i hur de utfört en konsekvensbedömning har fått sanktionsavgifter och det har i vissa fall påverkat hur höga dessa är. Integritetsskyddsmyndigheten kommer i allt större utsträckning dessutom initiera tillsyn baserat på enskilda klagomål – just nu hanteras sex fall av användning av Google Analytics och Facebook Connect baserat på klagomål på den överföring av personuppgifter utanför EU/EES som användning av denna teknik innebär.

Så, vad behöver företag och organisationer som idag vill använda spårningsteknik i sin marknadsföring tänka på?

1. Om ni vill använda sina kunders lokaliseringsuppgifter, som t.ex. inhämtas via en mobilapp, i syfte att rikta marknadsföring till dem eller vill inhämta uppgifter från sociala medier för att profilera personer och därefter rikta marknadsföring till vissa utvalda grupper – gör en konsekvensbedömning.
2. Om ni vill använda en intresseavvägning för den efterföljande behandlingen – dokumentera övervägandena och motivera hur företagets eller organisationens berättigade intressen väger tyngre än individens.
3. Om tekniken innebär överföring av personuppgifter utanför EU/EES – genomför en DTA.
4. Säkerställ att användningen av spårningstekniken är tillåten med stöd i konsekvensbedömningen och DTA:n. Vidta de åtgärder som krävs, inklusive ytterligare skyddsåtgärder, om nödvändigt (och möjligt).
5. Inhämta nödvändiga samtycken, informera om behandlingen och uppdatera interna behandlingsregister.
6. Slutligen, följ utvecklingen och anpassa verkligheten efter denna! I början av mars klargjorde Google att de, i takt med att tredjepartscookies fasas ut, inte kommer implementera alternativa tekniker som kan spåra internetanvändare på individnivå. För att citera David Temkin (Director of Product Management, Ads Privacy and Trust, Google) i samband med uttalandet: ” Att hålla internet öppet och tillgängligt för alla kräver att vi alla gör mer för att skydda den personliga integriteten - och det betyder att inte bara tredjepartscookies, utan också all teknik som används för att spåra enskilda personer när de surfar på nätet, upphör.”