Carsten Gunnarstorp_1024x500

AdTech – hva nå?

– Det er overraskende at leverandørsiden innen AdTech ikke har satt større fart..., sier ANFO-advokaten.

AdTech, f.eks. remarketing, forutsetter at både annonsør og annonseplattformen benytter skript som identifiserer brukeren av de respektive nettstedene (f.eks. cookies eller pixel). Dette skaper utfordringer knyttet til to forhold; for det første GDPRs krav til behandlingsgrunnlag og for det andre overføringen av personopplysninger til USA.

Behandlingsgrunnlag

Slik produktene er utformet er det kun noen svært få som vil kunne benytte seg av behandlingsgrunnlaget «legitimate interests» (GDPR Art. 6 1f). Alle andre må falle tilbake på opt-in samtykke (GDPR Art. 6 1a og Art. 7 mfl.).

I praksis er svært vanskelig å få slike samtykker. For det første fordi viljen til å gi slike samtykker er lav. For det andre fordi det er vanskelig å gi nødvendig informasjon om hvilke aktører i verdikjeden som faktisk mottar personopplysningene, og hvordan de aktuelle aktørene behandler disse opplysningene.

Overføring til USA

GDPR har begrensninger knyttet til adgangen til å overføre personopplysninger til land utenfor EU. Det finnes lovlig adgang, men det bærende prinsippet er at overføring ikke kan skje dersom overføringen innebærer en svekkelse av det beskyttelsesnivået som følger av GDPR.

Når det gjelder overføringsgrunnlag til USA hadde vi tidligere Privacy Shield som var en avtale mellom EU og USA. I saken Schrems II underkjente EU-domstolen Privacy Shield med den begrunnelsen at den ikke etablerte et tilstrekkelig beskyttelsesnivå.

For å kunne overføre personopplysninger til USA må man derfor ha et annet overføringsgrunnlag enn Privacy Shield. Et slikt overføringsgrunnlag kan være EUs standardavtaler (SCC). Men i henhold til EU-domstolen er det å ha et overføringsgrunnlag ikke nok i seg selv. Man må i tillegg foreta tiltak som kompenserer for personvernulempene knyttet til USA. Datatilsynet mener pr. i dag «dette kan være svært utfordrende eller umulig å få til i praksis» fordi amerikanske selskaper er bundet av de amerikanske lovene vedrørende overvåkning, og som er en viktig del av årsaken til at Privacy Shield ble underkjent.

Det er viktig å merke seg at prinsippet om tilstrekkelig beskyttelsesnivå gjelder alle land utenfor EU. Alle verdikjeder innen AdTech som sender personopplysninger ut av EU gjør derfor situasjonen vanskelig. At det ikke lenger er mulig å overføre personopplysninger til USA på lovlig måte spisser problemene, fordi tilnærmet alle verdikjeder innen AdTech overfører personopplysninger til USA. Situasjonen er med andre ord ganske utfordrende.

Hva må skje for at vi ikke skal bryte loven?

Vi har fått oss opplyst at Datatilsynet i Norge, og tilsynene i EU forøvrig, har identifisert problemene med AdTech som et fokusområde. I Norge er Datatilsynet heldigvis pragmatisk, med fokus på godt personvern og ikke store bøter. Alt trenger derfor ikke å skje i morgen, men man må i det minste ha dokumentasjon på at man har gjort vurderinger og tilpasninger. Så vil kanskje Datatilsynet forlange mer, men også være fornøyd med at noe har skjedd.

Et sted å starte er å sjekke sine nettsteder og skru av tredjepartscookies som ikke er i henhold til GDPR. Eksempelvis skjer overføring til USA for de fleste av produktene til Google og Facebook.

Det er overraskende at leverandørsiden innen AdTech ikke har satt større fart for å utvikle et større utvalg av produkter som er akseptable med hensyn til GDPR. Å lage verdikjeder med et begrenset antall aktører, og som ikke slipper personopplysninger ut av EU, burde være relativt enkelt. Farten vil nok øke dersom de uakseptable tjenestene ikke blir kjøpt lenger.

Enkelte leverandørers uvilje mot å tilpasse seg vises med all tydelighet av hvordan Facebook har forholdt seg til Schrems II. Hvis man har benyttet Facebook etter mandag 31. august har man automatisk samtykket til nye vilkår. Av disse vilkårene fremkommer det at kunden instruerer Facebook til å overføre personopplysninger fra EU til USA. Poenget til Facebook er at de kan gjemme seg bak en instruks fra sine kunder dersom datatilsynene i EU utfordrer Facebook vedrørende overføringen til USA. Instruksen som Facebook har presset på sine kunder løser ingenting – overføringen til USA er fortsatt ulovlig – men Facebook har med denne ordningen dyttet en større del av ansvaret over på sine kunder. Det er det verdt å merke seg.

Vi vet at situasjonen er utfordrende. Hvis noen skulle finne frem til leverandører som beveger seg i riktig retning, vil ANFO gjerne bli informert.

Ta kontakt med Carsten Gunnarstorp, advokat i ANFO: carsten@anfo.no, +47 411 04 055

Saken kan også leses som innlegg i Kom24 HER

Del dette innlegget: