IAB Danmark maner til ro efter kritik

Dataetisk rådgiver, Pernille Tranberg.
Dataetisk rådgiver, Pernille Tranberg.

Online- reklamebranchens retningslinjer for samtykke til datahøst er i strid med GDPR. Det skriver det belgiske datatilsyn i en forundersøgelse. Brancheorganisationen IAB opfordrer til, at medlemsvirksomhederne fortsat bruger retningslinjerne, mens dataetiker Pernille Tranberg opfordrer myndighederne til handling.

Ifølge en rapport udarbejdet af det belgiske datatilsyn strider de retningslinjer, der anvendes af Europas digitale annoncebranche, IAB, i forbindelse med online annoncering lodret mod GDPR. Sagen handler om, hvordan online- reklamebranchen indhenter internetbrugernes tilladelse til at indsamle og bruge deres data. Det er dog langt fra en endelig afgørelse påpeger IAB Danmark og anbefaler, at medlemsvirksomhederne fortsat bruger retningslinjerne.

Undergraver selvbestemmelse
Medstifter af tænketanken DataEthfics.eu og dataetisk rådgiver, Pernille Tranberg, mener derimod ikke, at der er tale om det informerede samtykke, som GDPR forudsætter, for at internetbrugere har givet tilladelse til, at deres data høstes af andre.

”Det er på tide, at myndighederne begynder at håndhæve lovgivningen og tage et opgør med en dybt uetisk og ulovlig forretningsmodel, der samtidig undergraver vores demokrati og menneskers selvbestemmelse,” siger Pernille Tranberg.

”Det, der sker på nettet, når vi taler tracking og profiling, det er ikke opt-in eller privacy-by-default. Det er opt-out og tracking by default, og det er stik imod intentionerne i europæisk lovgivning,” tilføjer hun.

Tredjeparter får data
Den belgiske rapport konstaterer, at IAB Europa´s såkaldte Transparency & Consent framework,TCF, Ikke overholder GDPR. Det er værd at bemærke, at det ofte ikke bare er annoncøren men også de såkaldte 3. parter, der indsamler data, og at det er her, den store konflikt gemmer sig.

Det er nemlig især 3. parternes indsamling af data, der er kontroversiel, og som der er indgivet mere end 22 klager over til de europæiske datamyndigheder. Den første blev indgivet af Michael Veale fra University College London, Jim Killock, fra Open Rights Group og Dr. Johnny Ryan, der nu er senior fellow i Det Irske Borgerrettighedsråd, og de er særdeles tilfredse med den belgiske rapport.

Patienter gjort synlige
Klagerne har især fremhævet, risikoen for, at 3. parter indsamler følsomme oplysninger om personer, der kan gøres personhenførbare, som det hedder i det data-juridisk sprog. Det danske datatilsyn fastslog også i en vejledning, der udkom i februar i år, at profileringer, der kan gøres personhenførbare er i strid med GDPR. Dr. Johnny Ryan fremlagde for nylig en dokumentation for hvordan polske LGBT-personer og også forskellige irske patientgrupper var blevet profileret helt ned i meget små segmenter. Du kan læse omtalen i Complidia her. Johnny Ryan fremhæver især disse to pointer i den belgiske rapport:

“IAB Europa’s tilgang viser, at organisationen ignorerer, den risiko, TFC-retningslinjerne medfører for datasubjekternes frihed og rettigheder” og “TCF-retningslinjerne yder ikke tilstrækkelig regulering for den videre bearbejdelse af særlige kategorier af persondata. Tværtimod tillader den åbne standard for realtidsudbud af onlineannoncer, at der netop kan arbejdes med særlige kategoriers persondata". 

IAB udfordrer synspunkter
Men det er synspunkter, der ifølge IAB Danmark, i høj grad kan udfordres. Her mener man ikke, at IAB Europa kan være kollektivt ansvarlig for de oplysninger, som en tredjepart indhøster om brugerne via udgivernes digitale tjenester. IAB henviser til at en afgørelse, der blev truffet af det tyske datatilsyn i 2019, der understøtter deres synspunkt.

IAB Danmark anfører desuden, at det ifølge retningslinjerne i TCF slet ikke er tilladt at indsamle følsomme oplysninger om kunder og brugere samt TCF pålægger alle aktører at informere om eventuelle overtrædelser af reglerne, således, at IAB har mulighed for at vejlede og eller ekskludere brugere, der overtræder reglerne fra samarbejdet.

Sagen er ikke afgjort
IAB Danmark anbefaler fortsat, at deres ca. 270 medlemmer gør brug af TCF med henblik på at overholde GDPR og skabe klare internationale standarder på området.

”Skulle der opstå anledning til at drage tvivl om TCF i forhold til GDPR eller de danske særregler på området, vil vi naturligvis omgående informere herom,” skriver organisationen på sin hjemmeside.

Det belgiske data tilsyns rapport er overleveret til det juridiske kontor, der skal vurdere sagen nærmere. IAB Europa har mulighed for at kommentere den, og det samme kan klagerne gøre. En afgørelse kan ventes ud på foråret 2021, og den vil kunne appelleres til de belgiske domstole, noterer IAB på sin hjemmeside.

Facebook og Google udfordres
Der er imidlertid mere på spil. Rapporten kan nemlig sagtens læses som en underkendelse af selve den forretningsmodel, der driver tech-giganter så som Google og Facebook, fordi de er baserede på tracking af brugerne og på indhøstning af deres data, så der kan fortages profilering af dem med henblik på sælge profilerne til annoncerører. Og selve forretningsmodellen strider mod GDPR, for selvom en række datastumper om en person i sig selv ikke udgør noget problem, kan de stykkes sammen til et billede af brugerens internetliv. Og når først den profil er skabt, er det ikke stor datakunst at finde frem personen. Tjek Clearview appen, hvis du er i tvivl.

Politico EU skriver, at EU-parlamentarikere er klar til at gå i flæsket på selve forretningsmodellen med annoncering, der er målrettet enkeltpersoner, når parlamentet senere på året skal tage livtag med Kommissionen om den kommende regulering af Europas digitale marked.

Tags

Skrevet af

Kasper Skaanning

Kasper Skaanning, Journalist

Kasper Skaanning er uddannet journalist, og har bl.a. arbejdet som senior kommunikationskonsulent i Nykredit, i Danske Bank og som informationschef i Scandlines.

Klummer

Se alle