Omgår personvernreglene for å hente inn data

193

Omgåelse av personvernreglene for å hente inn data er et alvorlig brudd på brukernes rettigheter. Rapporten avslører at aktører som Facebook og Snapchat utnytter uklare formuleringer og manglende håndhevelse av reglene for å samle inn brukerdata og rette reklame mot spesifikke brukergrupper. Les mer på 32Chip.

Omgår personvernreglene for å hente inn data
Nye EU regler for personvern – «wakey wakey»! | Visma Blog
Bildekilde: www.visma.no

Rapport avslører at Facebook og Snapchat utnytter hull i reglene

De siste årene har det blitt et stadig større fokus på personvern i sosiale medier og apper, og Apple introduserte tidligere i år en mulighet for brukere å skru av sporing.

Men en ny rapport fra Financial Times (betalingsmur) hevder at både Facebook og Snapchat omgår reglene for å fortsatt samle inn brukerdata.

Ifølge AppleInsider er dette hullet først og fremst et problem fordi Apple ikke håndhever sine egne regler, hverken for sine egne apper eller for andre.

Overføring av personopplysninger ut av EØS | Datatilsynet
Bildekilde: www.datatilsynet.no

Uklare formuleringer gir rom for tolkning

Rapporten peker også på at formuleringene i regelverket oppfordrer til løs tolkning, noe som gjør at utviklerne selv kan velge hvor strengt de vil følge dem. Dersom de følger reglene strengt vil de få færre data ut av brukerne, og følgelig er det altså et nokså stort insentiv for å tøye reglene så langt det går.

Og nettopp dét ser det ut til at Facebook og en del andre selskap gjør til det fulle.

Se også

Identifisering av brukergrupper

Mer spesifikt later det til at selskap som Snap (eierselskapet til Snapchat) og Meta (eierselskapet til Facebook) samler sammen data som lar dem identifisere grupper av brukere.

Dataene kan ikke knyttes til spesifikke enheter eller brukere, men når de kobles sammen kan de likevel peke ut brukergrupper med lignende preferanser og vaner og rette reklame mot disse brukerne spesifikt.

Dette går strengt tatt ikke imot Apples regler om du velger å tolke reglene som at de kun forbyr identifisering av den enkelte enhet eller bruker, men samtidig forbyr reglene å bruke data som gjør det mulig å skille én enhet fra en annen.

Det er med andre ord et nokså stort grått område her, et område teknologigigantene vet å utnytte.

Overføring av personopplysninger ut av EØS | Datatilsynet
Bildekilde: www.datatilsynet.no

Kritikk mot Apple og manglende håndhevelse

Det er imidlertid ikke bare aktører som har apper på Apples platform som er svar skyldig her. Apple selv kritiseres som nevnt for å ikke håndheve reglene, og AppleInsider hevder sågar at Apples egne apper er helt fritatt for dette regelverket. Men det virker som det i Cupertino også ses gjennom fingrene på at også selskap som Facebook gjør det samme.

Dette betyr at selv om du er en av de 80 prosentene av iOS-brukere som har sagt «nei» til å bli sporet, så kan du fortsatt identifiseres i et aggregat av brukere og brukerdataene dine kan brukes til reklame.

I praksis er dette en måte å spore enkelte brukeres adferd på, bare med flere steg. Og både Facebook og Snapchat sier selv at de bruker slike data aktivt for å gi annonsører bedre data og optimaliseringer for deres reklame.

NOU 2022: 11 - regjeringen.no
Bildekilde: www.regjeringen.no

Uklarheter rundt implementering av GDPR

– Syretesten jeg benytter når jeg møter ledere som er usikre på om de nye personvernreglene gjelder deres virksomhet, er veldig enkel, sier partner og advokat Petter Bjerke i advokatfirmaet DLA Piper.

– Da spør jeg: Hvis du får en henvendelse fra en kunde eller ansatt som sier «jeg vil vite hvilke opplysninger dere har lagret om meg», hva svarer du da?'

Mange har jobbet frem mot den omtalte fristen som har vært 25. mai. Nå utsettes den, mest sannsynlig til 1. juli. Videre vil det kunne bli ytterligere forskyvning til senere i sommer. Dette skyldes ikke forsinkelser her i Norge, men konstitusjonelle forhold i Liechtenstein som kan forsinke denne EØS-avtalen. GDPR kan ikke bli en del av avtalen før alle EFTA-landene har godkjent den. Liechtenstein, med bare 37.000 innbyggere, har en måneds frist om den krever folkeavstemning om GDPR-vedtaket.

– Saken er at hvis du ikke har systemer for å håndtere en slik anmodning etter at GDPR trer i kraft, så har du problemer.

– Så det er bare å glemme å si at GDPR ikke gjelder deg og din virksomhet, slår Bjerke fast.

Se også

Nyheter 25.04.2024, 13:09 121
Har ice Telenor dekning?
Nyheter 12.05.2024, 01:28 179
Er 100gb mye?

Nye personvernregler - GDPR

GDPR er forkortelsen som benyttes når man refererer til de nye personvernreglene som opprinnelig skulle tre i kraft i Norge 25. mai i år, men de nye reglene er blitt utsatt i EØS-landene, melder Rett24. GDPR står for General Data Protection Regulation.

EUs forordning for personvern, The General Data Protection Regulation (GDPR), blir norsk lov i 2018. Det betyr at vi får nye regler for personvern i Norge. Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter, skriver Datatilsynet om reglene som kommer.

– Vi er utstyrt med godt skjønn og sunn fornuft, som gjør at vi skal håndtere dette bra. Vi har ikke lagt endelig strategi på hvordan vi skal reagere på brudd på reglene, men vi kommer til å føre tilsyn i 2018, har direktør i Datatilsynet, Bjørn Erik Thon, uttalt.

De nye reglene krever at alle, i både offentlig og privat sektor, må ha oversikt over hvilken informasjon de har om ansatte, kunder og kunders kunder. Det kommer også et omfattende nytt regelverk innen elektronisk databehandling, som også har betydning for virksomheter som har IT-tjenester i land utenfor EU.

Når forordningen er innført, vil virksomheter som bryter reglene kunne bli pålagt straff i form av bøter på opptil 4 prosent av global omsetning, eller 20 millioner euro.

Overføring av personopplysninger ut av EØS | Datatilsynet
Bildekilde: www.datatilsynet.no

E-postmarkedsføring og GDPR

Du har sikkert fått med deg at det ble innført nye personvernregler i år. GDPR står for General Data Protection Regulation, og er et sett felles regler som skal gjelde likt i hele EU. I Norge trådte loven i kraft 20. juli 2018. Regelverket medfører en del innstramninger, men frykt ikke. Du kan trygt sende nyhetsbrev og annen e-postmarkedsføring.

Det er riktignok et par forhåndsregler du må ta i sammenheng med bruken av MailMojo, og vi skal forsøke å gi deg en oversikt over dem i denne posten.

Men først et lite forbehold fra oss: Vi er ikke juridiske eksperter. Vårt ønske med denne teksten er å gi deg noen tips og hjelpe deg gjennom jungelen av informasjon. Vi konsentrerer først og fremst om bruken av MailMojo. For å få en fullstendig oversikt over hvordan din bedrift skal tilpasse seg GDPR, anbefaler vi å kontakte profesjonell juridisk rådgiver.

Alt du trenger å vite om de nye personvernreglene
Bildekilde: appex.no

GDPR og personopplysninger

GDPR er en forordning, altså et sett med regler som skal gjelde likt i hele EU. Gjennom sitt medlemskap i EØS forplikter Norge seg til å følge dette. Dette innebærer at alle norske bedrifter må handle i overensstemmelse med GDPR-reguleringen. Lovverket gjelder i tillegg alle bedrifter som behandler personopplysninger om EU-borgere – uansett hvor i verden de holder til. I sammenheng med lovverket er norske borgere likestilte med EU-borgere.

GDPR skal gjøre det digitale landskapet tryggere for oss alle. Vi bruker digitale hjelpemidler til imponerende mange ting, og grensene mellom vårt virkelige og digitale liv viskes mer og mer ut. Dette gjør oss mer utsatte og sårbare som privatpersoner.

De nye reglene skal blant annet beskytte enkeltpersoner fra å "bli varen selv". Altså at bedrifter selger informasjonen om deg til tredjepart for profitt – uten at du selv vet det. Hensikten med GDPR er å gi enkeltindividet større kontroll over hvilken informasjon en bedrift har om dem. De skal føle seg trygge på at bedriftene kun bruker og lagrer de dataene de som enkeltpersoner har samtykket til.

Se også

Behandling av persondata i e-postmarkedsføring

En av de sentrale poengene i GDPR er å sikre gyldig behandlingsgrunnlag for persondata. Dette betyr at du som bedrift må ha en lovlig grunn for å behandle persondata, for eksempel samtykke fra den enkelte personen.

For e-postmarkedsføring betyr dette at du må ha samtykke fra mottakeren av e-posten for å sende dem markedsføringsmateriale. Det er ikke lenger tillatt å sende e-post til personer som ikke har samtykket.

Det er viktig å merke seg at samtykke må være frivillig, informert og spesifikt. Du må tydelig informere mottakeren om hva slags informasjon du vil sende, hvordan du vil bruke den, og hvordan de kan trekke tilbake samtykket hvis de ønsker det.

I tillegg må du sørge for at mottakeren enkelt kan melde seg av e-postlisten og slutte å motta markedsføringsmateriale når som helst.

Secure Practice – sluttrapport | Datatilsynet
Bildekilde: www.datatilsynet.no

Konklusjon

Omgåelse av personvernreglene for å hente inn data er et alvorlig brudd på brukernes rettigheter. Rapporten avslører at aktører som Facebook og Snapchat utnytter uklare formuleringer og manglende håndhevelse av reglene for å samle inn brukerdata og rette reklame mot spesifikke brukergrupper.

Det er viktig at både selskaper og myndigheter tar ansvar for å sikre at personvernreglene håndheves, og at brukernes rettigheter beskyttes.

GDPR er et viktig skritt i riktig retning for å beskytte persondata og gi enkeltpersoner større kontroll over sin egen informasjon. Bedrifter som driver e-postmarkedsføring må sikre at de har gyldig behandlingsgrunnlag for å behandle persondata og at de innhenter korrekt samtykke fra mottakerne.

Samlet sett er det viktig at både selskaper og enkeltpersoner er klar over sine rettigheter og plikter knyttet til personvern, og at de tar nødvendige tiltak for å sikre at persondata behandles på en lovlig og trygg måte.

Personvern | SpareBank 1
Bildekilde: www.sparebank1.no