ANFOlogo
  • ChristianWernerSkovly

Hva fire tilsynssaker fra Frankrike forteller oss om fremtiden til AdTech og GDPR-samtykke

  • By
  • Christian Werner Skovly, Advokatfirmaet Føyen Torkildsen

Det franske datatilsynet har åpnet saker mot fire leverandører av lokasjonsbasert annonseteknologi: Vectuary, Fidzup, Teemo og Singlespot. Sakene gir oss nye detaljer om hvordan tilsynsmyndighetene forventer at samtykke innhentes på nettsteder og i apper.

 

Sakene omhandler fire separate leverandører av lokasjonsbasert annonseteknologi. Disse tilbød teknologi som ble innlemmet i en mobilapplikasjon, og deretter innhentet informasjon om brukerens lokasjon. Lokasjonsdataene kunne selskapene bruke for å tilby målrettet annonseplassering, enten for eieren av appen eller for en bredere kjøpergruppe gjennom såkalt «real-time bidding».

 

Sakene mot Teemo, Fidzup og Singlespot ble raskt lukket ettersom selskapene valgte å innrette seg etter tilsynets føringer. I saken mot Vectuary har tilsynet imidlertid utsted et varsel om vedtak som innebærer at all behandling av personopplysninger for markedsføringsformål skal stanses, samt at de omtrent 5 millionene unike ID-ene Vectuary genererte inn skal slettes.

 

Felles for sakene er at personopplysninger ble behandlet på bakgrunn av samtykke, men ingen av selskapene innhentet samtykke etter kravene i GDPR. Saken om Vectuary har naturlig nok vekket mest oppmerksomhet. Det franske tilsynet fant at samtykkene Vectuary innhentet verken var informerte, spesifikke eller gitt ved en uttrykkelig erklæring, slik kravene i GDPR tilsier.

 

Det mest interessant ved saken mot Vectuary er imidlertid at den tilsynelatende avslører fundamentale svakheter i IAB sitt «Transparency and Consent Framework». IAB selv har frontet dette som et rammeverk som skal sikre GDPR-korrekte samtykker for aktører i AdTech-sfæren. Interne dokumenter fra IAB som tidligere i år ble offentliggjort viser imidlertid at IAB selv visste at dette ikke var tilfellet.

 

Kjernen ved problemet ligger i at IAB sitt rammeverk legger opp til et kontraktsystem hvor alle deltakerne i rammeverket signerer på at de skal innhente samtykke på vegne av alle de andre deltakerne i rammeverket. Vectuary var ikke i stand til å demonstrere at de hadde samtykker for personopplysningene de behandlet, slik GDPR krever. De kunne kun vise til en avtale som påla de som innhentet personopplysningene i et tidligere ledd å skaffe samtykke på vegne av dem (og alle andre).

 

En analyse av Vectuary-saken gir noen konkrete føringer for hvordan de europeiske tilsynsmyndighetene kan tenkes å håndheve samtykker på nettsteder og i apper fremover. Dette er for så vidt ingenting nytt fra hva en god tolkning av GDPR tilsier, men saken gir noen nyttige praktiske nyanseringer. Saken har relevans for Norge, ettersom europeiske tilsynsmyndigheter samarbeider tett. Det er rimelig å legge til grunn at Datatilsynet i Norge vil følge samme linje som sine franske kolleger i en tilsvarende norsk sak.

 

Det franske tilsynet legger følgende føringer til grunn:

  • Det skal alltid være frivillig å avgi samtykke, og brukeren skal kunne nekte å avgi samtykke uten at dette påvirker tilgangen til tjenesten. Cookie walls som tvinger brukeren til å samtykke før nettsiden laster er ikke gyldig samtykke under GDPR.

 

  • Alle alternative aksjoner for brukeren (samtykke, modifisert samtykke, ikke samtykke) skal presenteres likt, for eksempel ved lik bruk av farge, font og plassering). Brukeren skal ikke lokkes eller lures til å samtykke.

 

  • En liste over samtlige tredjeparter personopplysninger utleveres til skal være synlig før brukeren samtykker.

 

  • Det skal innhentes samtykke for hvert spesifikke formål som personopplysninger behandles for. Samtykke skal være opt-in og oppdelt etter formål.

 

  • Det skal holdes protokoll over mottatte samtykker, som angir hva brukeren har samtykket til og når de samtykket. Samtykke skal kunne trekkes tilbake av brukeren.

 

Til slutt, merk at denne artikkelen omhandler kravene under GDPR når samtykke benyttes som behandlingsgrunnlag. Det finnes alternative behandlingsgrunnlag, men det må enda sies å være usikkert i hvilken utstrekning for eksempel «berettiget interesse» kan benyttes i en programmatiskverden. Dette er noe som vi forventer praksis vil avgjøre over tid.

 

Hør hele foredraget til Christian Werner Skovly på Lov og Rett i markeds - og kommunikasjonsarbeid 2019 den 25. april. 


Meld deg på her

 

Foto: Erik Burås