JUSS OG SAMFUNN

Populært rammeverk for samtykke-bokser er ikke i tråd med GDPR

Rammeverket som er laget for å hjelpe nettsteder med å følge GDPR er ikke i tråd med GDPR, sier Belgias datatilsyn. Nå må tusenvis av norske selskaper gå gjennom egne cookie-data.

– Vedtaket har stor betydning for personvernet og digital markedsføring, sier det norske datatilsynet.
– Vedtaket har stor betydning for personvernet og digital markedsføring, sier det norske datatilsynet. Illustrasjon: Opera Software
10. feb. 2022 - 05:00
Dette er en Ekstra-sak som noen har delt med deg. Abonnere for å få full tilgang til alt innhold.

Samtykke-boksene, de for mange irriterende båndene eller boksene som dukker opp nederst på siden når du besøker et nytt nettsted, er der for å ivareta personvernet ditt. De skal informere deg om hvilke data som samles, hvordan dataene brukes, hvem de deles med og la deg velge bort bruk du ikke godtar.

Fire av fem europeiske nettsteder bruker rammeverket TCF (Transparency and Consent Framework) for samtykkeboksene. Rammeverket lover å gjøre det enkelt å følge GDPR og standardiserer datafangst og dataoverføring i den europeiske ad-tech-bransjen.

Men rammeverket er likevel ikke i tråd med GDPR. Det slår det belgiske datatilsynet fast i et vedtak.

– TCF kan føre til at en stor gruppe individer mister kontrollen over persondataene sine, skriver tilsynet i vedtaket.

Nå må tusenvis av norske selskaper slette data de har samlet gjennom rammeverket.

– Denne saken viser at det er et sterkt behov for en reform av ad-tech-bransjen og bekrefter at i fravær av en reell innsats fra selskaper for å oppgradere sin forretningspraksis, vil databeskyttelsesmyndighetene ikke vike unna for å iverksette håndhevende tiltak, skriver Luca Tosoni, juridisk seniorrådgiver i Datatilsynet, på e-post til Digi.no.

Standard-rammeverk

TCF-rammeverket ble lansert i forkant av innføringen av GDPR, nettopp for å hjelpe nettstedeiere og annonsører med å følge regelverket. Bak rammeverket står IAB Europe (Interactive Advertising Bureau of Europe), en interesseorganisasjon for bedrifter som leverer digital markedsføring.

Rammeverket tilbyr en standard for å sette opp brukergrensesnittet for samtykke og sørge for at preferansene til den som besøker siden, lagres i en datastreng, eller TC-streng.

Denne datastrengen deles videre i annonsebørs-systemet, der løpende automatiske auksjoner, såkalt sanntidsbudgivning, lar annonsører kjøpe noen sekunder av din oppmerksomhet.

Datastrengen kan, om den settes sammen med en samtykke-cookie du også legger igjen, kobles til IP-adressen. Dermed er det mulig å identifisere deg.

Derfor er dataene persondata. Og samtykkeboksen gir ikke nok informasjon om hva som skjer med dataene du legger igjen, mener det belgiske datatilsynet.

Les også

Ikke i samsvar med GDPR

− Det belgiske datatilsynet fant at TCF-rammeverket, utviklet av IAB Europe, ikke er i samsvar med en rekke bestemmelser i GDPR, skriver det belgiske datatilsynet.

IAB Europe har ikke lovlig grunnlag til å behandle dataene de samler gjennom samtykkeboksene.

Samtykkeboksene har dessuten for vag og generisk informasjon, og brukerne har ikke mulighet til å forstå hvordan dataene deres faktisk brukes videre, slår vedtaket fast.

− Folk inviteres til å gi samtykke, men de fleste vet ikke at profilene deres selges et stort antall ganger om dagen for å eksponere dem for personlig tilpassede annonser. Selv om det gjelder TCF, og ikke hele sanntidsbudgivningssystemet, vil vår beslutning i dag ha stor innvirkning på beskyttelsen av personopplysningene til internettbrukere, sier Hielke Hijmans, styremedlem i det belgiske datatilsynet, i en pressemelding.

Må slette data

250.000 euro i bot og to måneder på å komme tilbake til datatilsynet med en handlingsplan for hvordan de skal endre løsningene til å bli i tråd med GDPR, det er dommen fra datatilsynet.

Innen seks måneder må IAB sørge for at rammeverket er i tråd med GDPR.

IAB må også slette alle TC-strengene og annen persondata fra alle sine IT-systemer, filer og databaser. Vedtaket krever bare at IAB sletter sine data og setter ikke samme krav til brukerne av rammeverket.

Likevel ligger det i vedtaket at alle nettstedeiere som bruker rammeverket, er ansvarlige for behandlingen av persondata sammen med IAB Europe, forklarer Tosoni oss på e-post.

– Derfor bør slike publishere nå vurdere å gjennomføre passende tiltak for å sikre at personopplysninger som ble samlet inn gjennom IAB-rammeverket, ikke lenger behandles – eller at de slettes, skriver han.

Det norske datatilsynet har deltatt i saken som berørt tilsynsmyndighet, siden rammeverket påvirker mange brukere også i Norge.

– Dette vedtaket har stor betydning for personvernet og digital markedsføring. Dette er fordi bruken av IAB Europes rammeverk er svært populær i ad-tech-bransjen, og mange nettsteder i Norge bruker det også, skriver Tosoni.

IAB Europe har ikke bestemt om de vil anke vedtaket, men har i et dokument kommet med flere detaljer om vedtaket og hvilke type data vedtaket dreier seg om.

Les også

Share icon
Del

Kommentarsystemet er deaktivert

Kommentarsystemet leveres av en ekstern leverandør, og kan ikke lastes inn uten at informasjonskapslene er aktivert. Endre dine Personvern/cookies innstillinger for å aktivere kommentering.