Der blev råbt bål og brand for snart 4 år siden, da persondataforordningen trådte i kraft. Pludselig var der med GDPR kommet fokus på, at det ikke længere var OK at overtræde persondataloven – en praksis der inden GDPR var helt almindelig.
Der kom fokus på det, fordi loftet for bøder blev sat til et helt nyt niveau på €20 mio. eller 4% af global omsætning (den højeste af de to), altså noget alle virksomheder, store som små, ville kunne mærke.
En interessant, men i offentligheden ofte overset detalje, er dog, at der i persondataloven før GDPR var mange bestemmelser, som mange anså som værende nye i GPDR, men som man først derefter begyndte at tage seriøst.
Noget jeg som ikke-jurist faktisk også blev meget overrasket over. Jeg hørte tilmed til et arrangement i forbindelse med databeskyttelsesdagen omkring ikrafttræden af GPDR, at den største straf, der var givet for overtrædelse af persondataloven hidtil, var bøder på 25.000 kroner.
Et fuldstændigt latterligt lavt beløb for specielt store virksomheder. Det var altså typisk meget billigere og kosteffektivt at sætte penge af til at betale bøder, når de end måtte falde, end at overholde lovgivningen. Man skal ikke kende meget til risikoanalyse for at gætte, at det betød, at virksomhederne ikke havde meget incitament til at overholde loven.
En skærpet håndhævning af GDPR
Så håbet var stort, da GDPR trådte i kraft. Det kom der en masse godt ud af, og virksomhederne begyndte at se processer og data igennem og begyndte så småt at få styr på, hvilken data de havde, og hvordan de brugte dem. Så langt så godt.
Der er helt sikkert kommet meget bedre styr på behandling af data, end der var før GDPR trådte i kraft. Nu står vi så her 4 år senere og har bedre styr på data, men er det hele så godt? Det er helt sikkert bedre på rigtigt mange områder, men på samme tid må vi også sande, at vi langt fra er nået helt i mål.
Specielt på et område slår det mig, at vi rammer helt ved siden af. Og det handler om behandling af persondata på websider og opnåelse af samtykker til dette. Der er rigtigt meget galt med den måde det fungerer på, specielt set fra et menneske-maskine-interaktions-perspektivet og der er efter min mening brug for en revidering af lovgivning for at understøtte en mere hensigtsmæssig måde at håndtere disse ting på.
For at en skærpet lovgivning kan have en effekt, er det dog vigtigt, at den bliver overholdt, og derfor vil jeg i dette indlæg argumentere for, at vi som land bliver nødt til at blive bedre til at håndhæve lovgivningen, da den for nuværende i visse tilfælde simpelthen ikke bliver overholdt.
Og det har konsekvenser for os som borgere, da alle benytter websider i stor grad. Så det er noget, vi som borgere bliver ramt af hver dag.
Som nævnt ovenfor, så går det faktisk fremad med persondatabeskyttelsen. Det ser man f.eks. ved, at Danske Bank d. 5. april blev indstillet til en bøde på 10 millioner kroner for ikke at have behandlet personoplysninger korrekt.
Dog er det værd at bemærke, at det i Danmark er Datatilsynets opgave at håndhæve GDPR og sende eventuelle sager videre til behandling ved domstolene, og det er derfor uklart, hvad det i sidste ende ender med at koste Danske Bank.
Vi har tidligere set et eksempel, hvor Datatilsynet indstillede møbelkæden Ilva til en bøde på 1,5 millioner kroner, men hvor retten endte med at reducere bøden til 100.000 – altså knap 7 procent af Datatilsynets vurdering. En bøde der for en stor virksomhed som Ilva og moderselskabet Jysk ikke kan siges at være ret meget.
Så der er altså stadig et eller andet, der ikke helt spiller ift. håndhævelse af de lovede bøder fra GDPR, der skulle indvarsle, at man nu skulle kunne mærke bøderne – selv i store koncerner og virksomheder.
At bøderne er små og håndhævelsen mangelfuld er i øvrigt understøttet af en leder på ing.dk d. 6. maj. Men lad mig konkretisere ved at tage fat i det førnævnte eksempel – indsamling og brug af persondata på websider.
Cookie-popups fører til dark patterns
Man skal ikke klikke meget rundt på danske websider, før man ser såkaldte cookie-popups eller cookiesamtykker, der er nemt identificerbare som værende ulovlige. En »læs mere«-knap i stedet for »afvis alle«, så det ikke er lige så nemt at afvise som at acceptere, og checkboxes der er udfyldt som standard – to ting der er i direkte modstrid med krav i GDPR.
Ergo har vi ift. cookie-popups med lovgivning at gøre, der i meget stor udstrækning ikke bliver overholdt. Dertil kommer en række såkaldte ”dark patterns«, som er teknikker til at få os som brugere af en given tjeneste til at handle mod vores interesser, hvilket må siges at være det modsatte af at tage informerede valg – et andet krav i GDPR.
Dark patterns ses typisk ved at »accepter alle« er fremhævet og »afvis alle« ikke er – noget der umiddelbart også burde være ulovligt, men som man alligevel kan finde på selv europæiske udbydere af cookie management platforms.
Hvorvidt det er uvidenhed eller bevidst handling fra virksomhedernes side, er for os som borgere lige meget. Resultatet er det samme – nemlig at vores informationer bliver brugt mod vores interesser, når vi bevæger os rundt på nettet.
Ser vi så på, hvordan Datatilsynet indtil videre har håndteret og håndhævet GDPR ift. overholdelse af reglerne omkring cookie-popups er resultatet nedslående.
Første afgørelse var imod dmi.dk, hvor de fik alvorlig kritik for deres cookiesamtykker – en kritik der ikke udløser bøder, men dog gør, at de bliver nødt til at gøre noget ved problemet. Godt et år senere skete det samme så for dba.dk, men igen var konsekvensen den samme – alvorlig kritik.
Dvs. at der endnu ikke er givet bøder ud for at bryde reglerne om cookiesamtykker. At man ikke giver det ved første virksomhed i tilsyn, kan måske være berettiget, men når man et år senere for en lignende overtrædelse stadig kun får alvor kritik, gør det det svært at se, hvordan man som virksomhed har incitament til at gøre noget ved det, før man ender i tilsyn hos Datatilsynet.
Det er svært at se som andet end et signal om, at man ikke har de store intentioner om at gøre noget ved de mange lovovertrædelser, der er på websider i dag.
EU arbejder stadig på bedre GDPR-løsning
Ser vi lidt fremad, så er EU stadig i gang med at skærpe lovgivning på området. Digital Services Act (DSA) og Digital Markets Act er lige blevet vedtaget og ePrivacy forordningen er efterhånden langt i processen.
Ser vi på det der er kommet ud om indholdet i førstnævnte, er det specificeret ud, at det ikke er tilladt at bruge dark patterns ift. samtykker.
Helt konkret lyder det, at man ikke må benytte visuelle greb til at fremhæve et valg frem for et andet. I forhold til cookie-popups betyder det, at man ikke må bruge forskellige farver på »accepter alle« og »afvis alle« knapperne.
Ser vi igen på de to eksempler, der har fået alvor kritik fra Datatilsynet, så bruger dmi.dk samme farve til begge valg og bør dermed også leve op til det, men det samme er ikke tilfældet for dba.dk, hvor sidens primærfarve, blå, er brugt til »accepter alle« knappen, hvorimod »kun nødvendige« er hvid – samme farve som baggrunden.
De lever altså ikke op til den kommende DSA. En teknisk specialist (læs: ikke-jurist) som mig selv, kan dog også være lidt i tvivl om, hvordan det ikke også allerede bør være dækket, og dermed ulovligt af GDPRs krav om informerede samtykker, og dermed have været noget, der burde være en del af afgørelsen fra Datatilsynet?
Drop Google Analytics og vælg et europæisk alternativ
Kampen om indsamlingen af persondata på websider kører i øjeblikket på højeste blus. Specifikt på grund af Schrems II-afgørelsen som gjorde det problematisk at benytte sig af amerikanske cloud-services, og i denne sammenhæng specifikt brugen af Google Analytics (GA).
Efter afgørelser fra det østrigske og franske datatilsyn, der afgjorde at det i specifikke tilfælde var ulovligt at bruge Google Analytics, har diskussionen raset i en dansk kontekst, hvor vi stadig venter på Datatilsynets udmelding.
Afgørelserne har dog fået flere danske eksperter bl.a. Rådet for Digital Sikkerheds formand Henning Mortensen og Ayo Næsborg-Andersen, lektor i persondataret og menneskerettigheder ved Syddansk Universitet til at udtale, at det reelt set betyder, at man ikke kan benytte GA i Danmark i Version2 d. 15. februar.
Pointen med eksemplet omkring GA er, at vi har med endnu et eksempel på noget der tyder på at kunne blive ulovligt indtil en konkret aftale om dataudveksling mellem EU og USA er på plads.
Reaktionen er fodslæben og protest fra virksomhederne kombineret med erhvervsorganisationerne Dansk Erhverv og Dansk Industri bl.a. i et indlæg i Version2 2. marts. En forståelig og forventelig reaktion, da det kræver en indsats at skifte til et alternativ og dermed bliver det en udgift for virksomhederne. I forhold til overholdelse af GDPR, holder det dog ikke.
Er det en for stor mundfuld for specielt SMVerne må løsningen være at understøtte overgangen fra politisk hold, for det holder ikke bare at afskrive GDPR fordi det er besværligt, når det kommer ud af at man i praksis i mange år har benyttet sig ukritisk af et på flere måder problematisk værktøj som GA.
Den gode løsning er i sidste ende at virksomhederne dropper GA og vælger et ansvarligt dansk eller europæisk alternativ, og dermed støtter op om virksomheder der reelt prøver at gøre det her på en god og GDPR-compliant måde fremfor at finde en måde at få GA passet ind under GDPR.
Umuligt at få folk til at dele deres persondata, hvis man spørger dem
I sidste ende er det relevant at se på problemstillingen i en kontekst af lovligheden af og mulighederne i forretningsmodellen, der baserer sig på persondata indsamlet på hjemmesider vha. samtykke. En forretningsmodel, der er afhængig af at et flertal af brugerne vælger at klikke »accepter alle«, når de besøger hjemmesider.
Det viser sig nemlig, at det er næsten umuligt at få folk til at acceptere indsamling af persondata, hvis de får muligheden for at afvise det. Som forskerne bag artiklen »(Un)informed Consent: Studying GDPR Consent Notices in the Field« – publiceret på den højt anerkendte konference inden for datalogi: »Conference on Computer and Communications Security« i 2019 skriver (oversat fra engelsk):
»Vores resultater indikerer endvidere, at GDPRs principper for databeskyttelse som standard og formålsspecifikt samtykke ville kræve at websiderne skulle bruge samtykkemodeller, der ville resultere i at mindre end 0,1% af brugerne aktivt ville samtykke til brugen af tredjepartscookies«
Et resultat der bakkes op af andre studier med lignende resultater, og det understøttes yderligere af, at Facebook brokkede sig højlydt, da Apple med iOS 14.5 indførte en opt-in tilgang til tracking, da det gik ud over Facebooks forretning.
Der er altså meget der peger på, at forretningsmodellen med stor sandsynlighed i sidste ende simpelthen ikke kan lade sig gøre under GPDR – en virkelighed virksomhederne og deres organisationer i stort omfang ikke synes at ville anerkende.
Det er derfor vigtigt, at vi som land gennem Datatilsynet og domstolene sender et signal om, at det har mærkbare konsekvenser ikke at overholde loven, så vi kan få gjort op med at man som virksomhed og branche klinger sig til et falsk håb om business-as-usual.
For der er ikke noget i EU's fortsatte indsats for stramninger på området der tyder på business-as-usual. Så må en evt. modstand føres gennem den demokratiske proces i EU og ikke gennem en pseudodiskussion om, hvorvidt det er for besværligt at overholde lovgivning og dertilhørende nølen ift. håndhævelse af gældende lov.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores debatredaktion på debat@ing.dk
