Hur kan Facebook visa dig reklam för just skorna, flygbiljetterna eller värktabletterna som du precis sökte efter på din mobil? Och hur mycket vet Facebook egentligen om vad du gör på nätet?
Facebook vet mycket om dig
Facebook känner i stort sätt till allt du gör på nätet. Orsaken till detta är att så gott som alla webbplatser använder små spioner som registrerar allt du gör och delar denna information med Facebook. Dessa små spioner kallas också för pixels eller trackers. De tillhandahålls som enkelt användbara tjänster som kallas för tracking-verktyg eller marknadsföringsverktyg. Processen att övervaka användare på detta sätt kallas för tracking.
Facebook använder information som samlas in via sådana verktyg för att analysera det du gör och använder därefter resultaten för att härleda dina intressen. Dina intressen används i sin tur för att visa dig riktad reklam. Har du nyligen tittat på ett par svarta Nike-skor i storlek 42 i en online-shop kommer du med säkerhet se reklam för precis samma skor nästa gång du scrollar igenom ditt Facebook-flöde. Att analysera dig på detta sätt kallas för profilering. Att tillhandahålla dig reklam baserat på dina intressen kallas för riktad reklam. Hela processen från att samla in dina uppgifter på en webbplats till att visa dig riktad reklam kallas för re-targeting.
Det är kanske inte så farligt, tycker du, eftersom det bara handlar om skor. Men skulle du var lika lugn om du jämfört graviditetstester på ett online-apotek på din mobil en kväll när du var hemma, och nästa dag när du var på jobbet fick se reklam för babykläder, barnvagnar och tilläggsförsäkringar för spädbarn på din jobbdator så att alla dina kollegor kan se det?
Är tracking lagligt?
Och hur kan detta även vara lagligt? Du, precis som de flesta användare, kan inte ens komma ihåg att någon har informerat dig om den riktade reklamen eller bett dig om ditt samtycke.
Att agera som gör Facebook i samarbete med miljontals webbplatser kräver att användare informeras och att de samtycker till att deras uppgifter används på detta sätt. Därutöver krävs det användarnas samtycke. Precis hur man ska informera eller hämta on ett samtycke för denna typ av aktivitet har varit föremål för långdragna diskussioner mellan jurister som å ena sida representerar konsumentföreningar och å andra sida reklamföretag. Den ena sidan argumenterar för att användare har informerats och att ett samtycke har hämtats in. Den andra sidan är tveksam och presenterar motargument.
Myndighet granskar användning av reklamverktyg
Datainspektionen i den tyska delstaten Bayern (BLDA) tycker att det är problematisk att webbplatser samlar in uppgifter om användare och delar dessa med Facebook utan att varken informera om insamlingen eller hämta in ett samtycke. BLDA har därför nyligen öppnat ett tillsynsärende mot en webbplats som bedriver en blodgivningscentral som tillhandahålls av Röda Korset.
Webbplatsen erbjuder användare en funktion som kontrollerar huruvida de kvalificerar som blodgivare. Funktionen omfattar en enkät som ställer frågor om bland annat drogvanor, allvarliga sjukdomar och graviditet. Samtidigt använder webbplatsen marknadsföringsverktyg från olika leverantörer, däribland pixels och trackers från Facebook.
BLDA granskar nu huruvida webbplatsen har överfört känsliga personuppgifter som personuppgifter om hälsa till Facebook. Det granskas även huruvida användarna har informerats om hur deras personuppgifter kommer att användas och huruvida användarna har samtyckt till detta.
Varför granskas inte Facebook?
BLDA måste bedriva sin tillsyn enligt den allmänna dataskyddsförordningen (GDPR) som slår fast vilken tillsynsmyndighet som är behörig för vad. Eftersom Facebooks huvudkontor för Europa är registrerad på Irland har den irländska datainspektionen huvudansvaret för att granska Facebook. Varken BLDA eller den svenska Datainspektionen kan därför som utgångspunkt bedriva tillsyn mot Facebook.
För att komma åt problemet är det enklare för BLDA att gå på webbplatsinnehavaren, i det här fallet Röda korset. Tillsynen är motiverad eftersom webbplatsinnehavaren är ansvarig för att installera marknadsföringsverktyg som Facebooks-pixels samlar in och delar därefter data med Facebook.
Vad är konsekvenserna?
Webbplatsinnehavare som bryter mot bestämmelserna i GDPR kan bötfällas med höga sanktionsavgifter som uppgår till maximal 4 % av årsomsättningen eller 20 miljoner euro. Därutöver kan ett beslut från en tillsynsmyndighet skapar negativ medial uppmärksamhet, vilket kan skada varumärken och leda till kundförluster.
Vi har en webbplats. Vad ska vi göra?
Ett bra sätt att börja är att kartlägga vilka marknadsföringsverktyg som webbplatsen använder. Nästa steg är att utarbeta ett koncept för att informera era användare om hur webbplatsen (samt era appar och andra kanaler där ni finns) använder marknadsföringsverktyg för att behandla personuppgifter. Detta inkluderar en detaljerad beskrivning om hur personuppgifter används för olika analyser och givetvis retargeting. Därutöver behöver ni ta fram ett koncept för att hämta in ett giltigt samtycke för era marknadsföringsaktiviteter. Till sist kvarstår implementeringen av konceptet.