Det er vigtigt for den erhvervsdrivende at holde tungen lige i munden, når der gøres brug af værktøjer som Facebook Business Tools, Google Analytics, m.v.
Tracking, targeting, cookies – hvad betyder det?
Der findes flere forskellige værktøjer, der gør hjemmesideejere i stand til at udarbejde statistik om besøgende på deres hjemmesider. Lidt forsimplet forklaret kan dette gøres ved hjælp af cookies, der lagres i den hjemmesidebesøgendes browser og indsamler oplysninger om personens adfærd og færden på hjemmesiden eller på tværs af flere hjemmesider (tracking).
De oplysninger, der indsamles i forbindelse hermed, kan bruges til at målrette markedsføring til personen, idet markedsføringen nu kan baseres på dennes adfærd og færden online (targeting).
En (mulig) bøde på 425 millioner USD til Microsoft
I starten af juni 2023 er Microsoft blevet præsenteret for et udkast til en afgørelse af IDPC (det irske datatilsyn) med en bøde på ca. 425 millioner USD for brud på databeskyttelsesforordningen for Microsofts reklamepraksis på LinkedIn, herunder den måde LinkedIn har anvendt targeting på.
Det skal nævnes, at der endnu ikke er tale om en endelig afgørelse, og at Microsoft har meldt ud, at man vil bestride både bødens indhold og størrelse.
Dette udkast til afgørelse er dog langt fra den første af sin art.
Hvad siger praksis fra de øvrige tilsynsmyndigheder?
Der har gennem de seneste år – særligt på baggrund af NGO’en noyb’s koordinerede fremsendelse af klager til en lang række europæiske datatilsyn – været stor fokus på netop tracking af online adfærd, targeting af hjemmesidebesøgende baseret på profilering og særligt brugen af (og samtykke til) cookies i forbindelse hermed.
Allerede tilbage i september 2022 udtalte det danske Datatilsyn, at virksomheder ikke uden videre lovligt kan benytte værktøjet Google Analytics – grundlæggende fordi der i forbindelse med brugen af dette værktøj sker overførsel af personoplysninger til et usikkert tredjeland på et utilstrækkeligt grundlag. Udtalelsen kom på baggrund af en række sager fra bl.a. de østrigske, det franske og det italienske datatilsyn, hvor tilsynsmyndighederne i samtlige disse sager fandt, at brugen af Google Analytics under de givne omstændigheder ikke var lovlig.
Der er siden blevet afsagt en lang række lignende afgørelser om netop brugen af værktøjer som Google Analytics og Facebook Business Tools, herunder samtykkekravene til brug af cookies i forbindelse hermed.
Der tegner sig et klart billede: det er forbundet med en række databeskyttelsesretlige udfordringer, når man som hjemmesideejer vælger at implementere disse værktøjer på sin hjemmeside.
For det første skal der tages stilling til roller og ansvar med udbyderen af værktøjet, herunder vurdering af eventuelle databehandlerrelationer eller fælles dataansvar. For det andet medfører brugen af disse værktøjer ofte overførsel af personoplysninger til tredjelande på et utilstrækkeligt grundlag, og der skal derfor sikres et gyldigt overførselsgrundlag eller alternativt findes en helt anden leverandør af disse værktøjer.
Dette ses senest ved Datatilsynets afgørelse mod Boligportal, som får alvorlig kritik for brug af Facebook Business Tools, idet Boligportal ikke kunne påvise en tilstrækkelig rolle- og ansvarsfordeling mellem Boligportal og Meta Ireland (ejer af Facebook), ligesom det ikke fremgik af ordningen mellem disse, om den pågældende behandling af personoplysninger involverer overførsel til usikre tredjelande.
EY anbefaler
Der er ved ovenstående naturligvis tale om konkrete afgørelser og disse er ikke et udtryk for et generelt forbud mod brugen af sådanne værktøjer.
Der er dog tale om et område i hastig udvikling, da disse værktøjer til brug for målrettet markedsføring kontinuerligt fornyes og videreudvikles, og det er dit ansvar som dataansvarlig at sørge for, at sikre, at din brug af disse sker i overensstemmelse med databeskyttelsesforordningen.
Det er derfor vores klare anbefaling, at du som hjemmesideindehaver foretager en samlet kortlægning over brugen af lignende værktøjer på din hjemmeside og sørger for at undersøge, om denne brug kan medføre nogle af ovenstående udfordringer.
Vi står naturligvis til rådighed for at bistå med rådgivning i forbindelse med ovenstående, og du er altid velkommen til at give os et uforpligtende kald eller sende os en mail, hvis du har spørgsmål hertil.
Vi kan i Data Privacy Law bistå med rådgivning inden for samtlige aspekter af databeskyttelsesretten, ligesom vi i samarbejde med vores kollegaer ligeledes kan rådgive om øvrige forhold relevant for din hjemmeside, herunder udarbejdelse eller gennemgang af generelle forretningsbetingelser.