Sosiale medium

Christiane Jordheim Larsen

christiane@dagogtid.no

Nyleg avslørte NRK at kundar av nettapoteket Farmasiet vart overvakte når dei handla reseptfrie, men intime produkt som klamydiatestar og naudprevensjon. Detaljert informasjon om tid, stad, pris og produktnamn vart send til Facebook.

Facebook har retningsliner som seier at marknadsførarar ikkje skal dele helsedata, men har dei mekanismar til å fange opp og slette informasjon når dei likevel får det? Eller vert informasjonen nytta slik han generelt er meint å skulle nyttast – til å gje ein meir utfyllande profil av deg som forbrukar, slik at reklamen du får sjå i neste omgang, er så godt tilpassa deg som mogleg?

Lønsam sporing

Det som er sikkert, er at ein stadig større del av livet vårt går føre seg digitalt. Dermed kan også ein stadig større del av livet vårt sporast digitalt, om vi vel å trykkje «godta» når ein nettstad i generelle termar informerer om at dei deler informasjon med partnarar.

Lurer ein på kor lønsam denne sporinga er, kan ein sjå på den ferskaste rekneskapen frå Meta, morselskapet til sosiale medium som Facebook og Instagram. Selskapet som nesten utelukkande tener pengar på marknadsføring, omsette i tredje kvartal i år for 34,15 milliardar dollar.

Åtferdsbasert marknadsføring er ein suksessformel Meta ikkje vil gje slepp på: Selskapet sit på informasjon som fører annonsane til potensielle kundar. Meta vert dermed også den marknadsføringskanalen mange produsentar føretrekkjer framfor andre kanalar.

Det er berre eitt problem: Datatilsynet meiner forretningsmodellen krenkjer personvernet og er ulovleg. Ja, faktisk meiner Datatilsynet at den åtferdsbaserte marknadsføringa i Meta har vore ulovleg heilt sidan personvernforordninga i EU, med den etter kvart kjende forkortinga GDPR, vart sett i kraft i 2018.

Så kvifor held sporinga og reklamen fram? I denne saka ser Dag og Tid nærmare på korleis forsvaret for personvernet på internett ser ut til å ha vorte ein oppoverbakke utan synleg slutt.

Starta kampen

Ein som veit meir om dette enn dei fleste, er den austerrikske juristen Max Schrems. Schrems er grunnleggjar og dagleg leiar for den ideelle organisasjonen NOYB, som står for non of your business, og har i ei årrekkje plaga techgigantane med klagar og søksmål for brot på personvernreglar.

To avgjerder i EU-domstolen (frå 2015 og 2020) blir berre kalla Schrems I og Schrems II, etter at Schrems fekk medhald i at personopplysningar om europearar ikkje vart godt nok verna når dei vart overførte til USA.

Schrems var også den som starta kampen mot den åtferdsbaserte reklamen på Facebook, som Datatilsynet det siste halvåret har kjempa så høglydt imot.

Same dag som GDPR tredde i kraft, den 25. mai 2018, klaga Schrems Facebook inn for det irske datatilsynet, som fører tilsyn med selskapa i Irland, der morselskapet Meta har sitt europeiske hovudkontor. Frå Belgia kom ein tilsvarande klage mot Instagram.

Ein ny kontrakt

Djevelen finst i detaljane. Ordtaket passar sjeldan betre enn når ein snakkar om juss. Meta hadde sjølvsagt førebudd seg på innføringa av GDPR.

EUs personvernforordning ser på papiret ut til å vere ganske streng. Det er berre lov å utveksle personopplysningar under bestemte vilkår, til dømes dersom dette er nødvendig for å oppfylle ein gjensidig avtale. Korleis kunne då ein omfattande bruk av personopplysningar for å skaffe annonseinntekter gjerast lovleg?

I 2018 gjorde Meta den første freistnaden på å tilpasse seg eit nytt og strengare EU-regelverk. Facebook- og Instagram innførte eit krav om at brukarar måtte inngå ein kontrakt med Meta. Kontrakten innebar at brukaren måtte godta sporing og bruk av persondata dersom ein skulle halde fram med å nytte seg av tenesta.

Klagen frå Schrems gjekk til åtak på denne tolkinga av regelverket. Brukarane gjev ikkje frivillig frå seg personopplysningar når dette er eit krav for å bruke tenester som Facebook og Instagram, meinte han.

– Invaderande

Til Dag og Tid seier Schrems at Meta med sin nye praksis prøvde å unngå dei nye personvernreglane i EU.

– Det var bullshit, seier han på telefon frå Wien.

I eit kontorlandskap høgt oppe i ei av Barcode-blokkene i Oslo sentrum finn vi ei rungande semje.

– Ei slik handsaming av personopplysningar, som er såpass invaderande overfor enkeltpersonen, kan ikkje baserast på at praksisen er naudsynt for å oppfylle ein kontrakt mellom Facebook og brukaren. Det er eit urimeleg avtalevilkår og ikkje naudsynt for at Facebook skal kunne levere tenestene sine, seier Trine Smebold, juridisk seniorrådgjevar i Datatilsynet.

Tull eller ikkje. Det tok fleire år å få saka avklart i Metas disfavør. Korleis kunne det ta så lang tid?

Irsk usemje

Det skulle vise seg at regeltolkinga som syntest så opplagd blant personvernaktivistar og i Datatilsynet, syntest langt mindre opplagd i Irland, der Meta held til. Det irske datatilsynet meinte at persontilpassa reklame var ein sentral del av forretningsmodellen i Meta som brukaren var fullt klar over.

Høyringsrundar i EU-landa fører ikkje til semje, og tida går. Når European Data Protection Board, med representantar frå alle europeiske datatilsyn, slår endeleg fast at Datatilsynet har tolka lova rett, og at Meta-praksisen er i strid med lova, skriv vi desember 2022.

Det irske datatilsynet er no instruert til å følgje opp det europeiske synet, og 31. desember gjer dei vedtak på vegner av EU og EØS. Meta har drive ulovleg åtferdsbasert marknadsføring.

Då skulle ein kanskje tru at saka stoppa her? Og at Meta må endre forretningsmodellen sin? Nei, nye krumspring ventar.

– Oppsiktsvekkjande

For når det irske datatilsynet ber Meta sikre at forretningsmodellen er i tråd med det rettslege grunnlaget i GDPR, ja, så finn Meta eit nytt rettsleg grunnlag. I staden for å basere seg på ein kontrakt mellom brukaren og Meta, ville Meta no basere seg på eit anna vilkår innanfor GDPR. Det handlar om å vege interesser opp mot kvarandre.

I Metas auge vog interessa selskapet hadde for å annonsere tyngre enn interessa enkeltmennesket hadde til å eige sine eigne personopplysningar.

Krumspringet frå Meta starta no å tære på tolmodet i Barcode-blokka i Oslo. Der hadde dei vanskeleg for å svelgje den juridiske argumentasjonen frå Meta.

– Når ein veg interessene til Meta opp mot omsynet til personvernet til den enkelte brukaren, då slår ikkje avveginga ut i favør av Meta. Her har vi ei ganske invaderande handsaming av personopplysningar som skjer i det skjulte. Mange er ikkje klar over kva som skjer, seier Smedbold.

Schrems skjønte fort at Meta ikkje kunne komme langt med den nye argumentasjonen.

– Det er ganske oppsiktsvekkjande å seie at omsynet til annonseindustrien er viktigare enn grunnleggjande rettar. Og det finst mange avgjerder i rettssystemet som går den motsette vegen, seier Schrems.

Den austerrikske juristen registrerer likevel at Meta kjøpte seg tid med utspelet sitt.

–?Det er interessant å sjå at enkelte tilsyn gjekk ut og sa at ein ikkje kan hoppe fram og tilbake mellom ulike rettslege grunnlag og tru at ein kan komme unna med det, medan andre berre sat der og såg på, utan å gjere nokon ting.

Hastevedtak

Alt dette spelet i kulissane er usynleg for dei fleste brukarar av sosiale medium. På papiret skjer det ein heil del. I praksis nærmast ingenting. Vi skal likevel sjå litt meir på det som har skjedd på papiret.

For det er ikkje berre i Barcode-bygningen tolmodet svinn. I Tyskland har det, parallelt med prosessane i EU og Irland, gått føre seg rettsprosessar mot Meta. Det tyske konkurransetilsynet meiner at sporinga Meta driv med, ikkje berre bryt GDPR-regelverket, men også inneber at Meta misbruker posisjonen sin som dominerande aktør.

Saka hamnar etter kvart i EU-domstolen, som den 4. juli i år slår fast at interessa Meta har av å finansiere Facebook med åtferdsbasert marknadsføring, ikkje kan rettferdiggjere ei omfattande handsaming av personopplysningar utan samtykke.

Og no er vi framme ved det punktet der nordmenn flest får med seg at «noko skjer». Datatilsynet legg frå 4. august, meir enn fem år etter at GDPR tredde i kraft, ned eit mellombels forbod mot åtferdsbasert reklame på Facebook og Instagram. Det er snakk om eit hastevedtak:

«Hvis vi ikke griper inn nå, vil personvernet til flertallet av nordmenn krenkes av Meta på ubestemt tid», står det i grunngjevinga.

Striden har vorte samanlikna med ein kamp mellom David og Goliat.

I retten

Sjølv om djevelen ofte er å finne i detaljane, er det grenser for kor mange detaljar vi kan gå innom utan at det vil gå på tolmodet laus også for lesaren. Vi skal gå kort gjennom nokre sentrale punkt i prosessen frå juli og fram til i dag.

* Forbodet frå Datatilsynet får ikkje Meta til å endre praksis, og Datatilsynet ilegg Meta dagsbøter.

* Meta ber Oslo tingrett om å stoppe forbodet ved å be om utsetjing, men vinn ikkje fram.

* Meta saksøkjer Datatilsynet, men trekkjer seinare søksmålet.

* Det europeiske personvernrådet gjer det norske forbodet permanent og utvidar det til EU- og EØS-området, etter førespurnad frå Datatilsynet.

* Det irske datatilsynet vert instruert til å følgje opp forbodet overfor Meta.

Datatilsynet ser ut til å vinne fram med synet sitt på fleire punkt. Men kva skjer så?

Nytt samtykke

Lesarar som også nyttar Facebook eller Instagram, veit alt litt om svaret. I haust lanserte Meta ei tredje løysing som skulle gjere den lønsame forretningsmodellen lovleg. Brukarar kan betale for å sleppe annonsar på Facebook og Instagram eller dei kan godta plattformene som dei er i dag – og dermed også samtykke til den åtferdsbaserte reklamen.

Meta argumenterer for at ei slik løysing ikkje berre vil innfri krava i GDPR og andre vekslande regelverk, men også gje brukarane eit klart val.

Dessutan kan det sjå ut til at Meta har eit ess i ermet. EU-dommen frå juli, som sterkt understrekar at bruk av personopplysningar krev eit fritt samtykke, slår fast at eit samtykke ikkje er fritt dersom alternativet er å verte utestengd frå ei teneste. Brukaren må, står det i dommen, få eit alternativ som inneber at personopplysningar ikkje vert brukte til annonsar, om nødvendig mot ei passande avgift.

Kan striden om personvernet på Facebook ende med ei abonnementsløysing?

Merkar presset

Datatilsynet er skeptisk til det nye grepet frå Meta. Smebold understrekar at ein må sjå på heilskapen i EU-dommen – ikkje berre på avsnittet om ei mogleg avgift.

– Vi er i tvil om løysinga lever opp til samtykkestandarden i GDPR. Vi merkar eit enormt press frå norske brukarar som vert stilte til veggs av Meta. Anten må dei betale eller så må dei godta å verte spora detaljert og inngripande for at Meta skal kunne vise dei det dei meiner er relevant marknadsføring.

Smebold ønskjer så fort som mogleg å få vurdert om betalingsløysinga er lovleg, i samråd med europeiske kollegaer.

Å selje ein rett

I NOYB argumenterer dei sterkt for at også den nye løysinga frå Meta må vere ulovleg. Hovudargumentet er at ein ikkje skal måtte betale for å verne om sine grunnleggjande rettar. Eit anna argument er at mange ikkje vil føle at dei har eit reelt val.

Schrems meiner Meta må tilby eit tredje alternativ, som er å bruke Facebook og Instagram med reklame, men utan at åtferda vert spora. Eit alternativ som vil svekkje inntektene til Meta.

I straumen av argument mot Meta erkjenner Schrems likevel at striden om betalingsløysinga ikkje er enkel.

– Det er eit stort spørsmål om du kan betale for ein grunnleggjande rett. Det er visse ting du ikkje kan selje, som røysteretten og nyra di. Retten til privatliv er ikkje like avklart.

Tidkrevjande

Det er i det heile teke mykje som ikkje er avklart. Meta kan kjempe mot forbodet mot åtferdsbasert reklame i rettssystema, både i EU og Irland. Det må avklarast om betalingsløysinga er lovleg, og kven veit, kanskje kjem nye løysingar på bordet?

Eg spør Schrems korleis det går med tolmodet.

– Eg brukar å seie at det største trikset er å ikkje ta ting for seriøst, for då ville eg måtta gråte kvar dag. Samstundes snakkar vi om grunnleggjande rettar, så det burde jo ikkje vere noko å le av heller.

Også i Datatilsynet erkjenner dei at ting tek tid.

–?Men saka er høgt på agendaen i mange tilsyn, seier Smedbold.

Dag og Tid har kontakta Meta i arbeidet med denne saka, men har ikkje fått svar.