GDPR vs moderne hjemmesider
Det er næppe gået ComplianceTechs læsere forbi, at der i de seneste måneder er blevet afsagt en række afgørelser med fokus på nogle af de mest udbredte værktøjer til opbygning af hjemmesider, herunder Google Analytics, Google Fonts, Stripe mv.
De nye afgørelser er blot de seneste i rækken, idet vi tidligere har set afgørelser med fokus på andre værktøjer såsom Facebook Like-knap, Google Ad Exchange, Mailchimp, markedsføringssamtykke-løsningen fra IAB samt endda sager vedrørende registrering af IP-adresser ifbm. cookiesamtykke-tjenester.
Senest er det blevet helt forbudt for offentlige hjemmesider og digitale tjenester at bruge tredjepartscookies. Og hertil kommer så at mange hjemmesider, webshops og SaaS-tjenester ligger på servere tilhørende US-Cloud udbydere, og skal i forbindelse hermed (også) overholde de skærpede krav i kølvandet på Schrems II-afgørelsen..
Jeg har sagt ja til at holde oplæg om denne udvikling under overskriften "Er GDPR ved at ødelægge moderne hjemmesider?" til V2's Infosecurity konference d. 5. maj.
Jeg kan allerede nu afsløre, at jeg personligt finder emnet komplekst, både fra et juridisk, teknisk og principielt perspektiv.
Juridisk er det komplekst, fordi vi rammer ned i nogle af de mest vanskelige emner i GDPR, herunder den vanskelige afgrænsning af, hvornår online data er "personhenførbare" (=indenfor GDPR) og hvornår de kan siges at være ikke-personhenførbare (= helt udenfor GDPR), og at mange af de mest gængse værktøjer og udbydere i relation til hjemmesider indebærer overførsler til USA, med deraf følgende Schrems II-implikationer.
Teknisk set er det også komplekst - i hvert fald set fra juristernes perspektiv. Hvordan fungerer de forskellige værktøjer og plugins? Hvilke data indsamles og deles, og hvordan er det bagvedliggende flow af data ind og ud af EU? Hvor meget kan konfigureres via indstillinger (fx "Anonoymize IP-address") - og hvor effektive er sådanne konfigurationer fra et juridisk perspektiv?
Sidst men ikke mindst synes jeg også at emnet er vanskeligt fra et principielt perspektiv:
Det kommer nok ikke bag på nogen, at jeg generelt er tilhænger af GDPR, men reglerne er langt fra perfekte. Og lige præcis de aktuelle tendenser i relation til hjemmesider er jeg meget skeptisk overfor - af flere årsager.
For det første er en del af den nuværende modstand ikke kun båret af juridiske argumenter, men også af mere "protektionistiske", ud fra en præmis om, at det altid er bedre at vælge en EU-udbyder end en fra USA. For det andet er jeg modstander af, at stort set alt hvad vi laver efterhånden falder ind under de strenge krav i GDPR.
Søren Gade har engang kaldt EU for "en sulten baby", der løbende tiltvinger sig mere og mere magt, herunder på baggrund af EU Domstolens udvidende fortolkning af, hvornår EU regler finder anvendelse. Og selvom jeg normalt ikke er enig med Søren Gade i ret meget, så er jeg det lige præcis her: EU-domstolen (og EDPB og de nationale datatilsyn) har de seneste 30 år løbende "spist" sig mere og mere ind på alle dele af vores samfund og teknologier på baggrund af udvidende fortolkninger af, hvad der falder indenfor GDPR (før: persondatadirektivet).
Som eksempel kan nævnes, at IP-adresser efterhånden stort set altid sidestilles med en personoplysning, selvom det juridisk set kræver en retskendelse at få udleveret identitet på personen bag. Og det samme gælder stort set enhver form for profilering/målretning af annoncer, også selvom der slet ikke er indblandet nogen IP-adresse eller personoplysninger i øvrigt...!
Så på baggrund heraf har jeg besluttet at lave en "miniserie" af blogindlæg frem til mit oplæg i maj, hvor jeg også håber at få feedback og tekniske input til de spørgsmål, jeg rejser, så vi alle forhåbentlig kan blive klogere i fællesskab. Jeg hører gerne forslag til konkrete indlæg og vinkler, men pt. har jeg selv følgende på tegnebrættet:
- Overblik over seneste praksis på området
- Den svære afgrænsning af "personoplysninger" i relation til hjemmesider, herunder i relation til IP-adresser
- Æbler og bananer: Google og Facebook har tracking af brugere som grundlæggende forretningsmodel, men den seneste praksis rammer også digitale tjenester, som dybest set ikke har nogen interesse i at vide, hvem deres brugere er.
- Hvilke EU alternativer findes der til de store US-baserede tools, og hvad er deres fordele og ulemper?
- Evt. en fælles "Transfer Impact Assesment" på om det kan lade sig gøre at bruge fx Mailchimp lovligt efter Schrems II...
Version2 byder endnu engang it-ansvarlige og -specialister velkommen til to spændende dage i København med 100 seminarer og mere end 3.000 deltagere, der mødes for at blive opdateret på den nyeste viden om it-sikkerhed, cloudløsninger og compliance.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk
