Det øgede fokus på personfølsomme data og overholdelse af GDPR-reglerne er blevet bekræftet af Datatilsynets seneste påbud mod Boligportalen. Påbuddet illustrerer det voksende problem med at opbevare og dele data hos platforme som Meta (tidligere Facebook). Efter ophøret af Privacy Shield i 2020 er det blevet ulovligt at sende personoplysninger fra EU til USA uden en databehandleraftale. Denne udfordring medfører en risiko for uhensigtsmæssig datadeling med lande, der ikke opfylder GDPR-kravene.
I det her blogindlæg undersøger vi de kompleksiteter, din virksomhed står overfor i forbindelse med GDPR, Meta og datadeling samt hvilke skridt, du kan tage for at være compliant og undgå potentielle bøder.
Lignende problematikker finder også sted på andre sociale medier og digitale platforme, såsom Google, LinkedIn, SnapChat, TikTok, MailChimp, HubSpot og mange flere.
Det er ulovligt at benytte platforme, der sender personfølsomme data fra EU til usikre tredjelande
Det nylige påbud fra Datatilsynet den 2. juni 2023 mod Boligportalen bekræfter det øgede fokus på personfølsomme data, som virksomheder opbevarer eller deler med platforme som Meta. Princippet gælder stort set alle kendte platforme, såsom Google, MailChimp, LinkedIn, HubSpot, Snapchat, TikTok og lignende.
Efter ophøret af Privacy Shield i 2020, som tidligere legaliserede overførsel af persondata fra EU til USA, er det blevet ulovligt at benytte platforme, sporingsteknologier osv., der sender personfølsomme data fra EU til USA. Det gælder, selvom du opnår samtykke fra brugeren, medmindre der eksisterer en databehandleraftale med en klar rolle- og ansvarsfordeling mellem virksomheden og den pågældende platform som Meta. Det er dog usandsynligt – nærmest umuligt – at en sådan aftale kan opnås.
Udfordringen opstår, fordi databehandling i tredjelande som Kina ikke opfylder kravene i EU’s GDPR-lovgivning. Det udgør en risiko for uhensigtsmæssig deling af data, eksempelvis med regeringer, der har andre interesser i dataen. Kun få lande uden for EU, som f.eks. New Zealand, opfylder disse krav.
Ny aftale den 10. juli åbner dørene for lovlig overførsel af personoplysninger fra EU til USA
Siden 2020 har EU og USA arbejdet på det såkaldte EU-US Data Privacy Framework, som sigter mod at muliggøre overførsel af personoplysninger fra EU til USA, og d. 10. juli 2023 vedtog EU-Kommissionen en vigtig afgørelse som muliggør overførsel af personoplysninger fra EU til USA. Dette betyder, at det er tilladt at overføre personoplysninger til organisationer i USA, der er certificeret under dette framework hos det amerikanske handelsministerium.
Dog er det vigtigt at bemærke, at denne tilstrækkelighedsafgørelse kun gælder for organisationer, der er certificeret under EU-U.S. Data Privacy Framework, som regelmæssigt opdateres af EU-Kommissionen.
Det er vigtigt at bemærke, at tilstrækkelighedsafgørelsen kun træder i kraft fra d. 13. juli 2023. Fra denne dato vil det være lovligt at overføre personoplysninger til organisationer i USA, der er certificeret under det nye EU-U.S. Data Privacy Framework.
NOYB udfordrer allerede aftalen, og tidligere aftaler er blevet annulleret som følge heraf. Det er derfor stadig afgørende for virksomheder at være opmærksomme på at undgå at placere al tillid i hænderne på amerikanske platforme og ejerskabet af virksomhedens data.
Hvad er personfølsomme data?
Personfølsomme data klassificeres som data, der enten direkte kan spores tilbage til en bestemt person (fingerprints), eller som ved at kombinere data kan sandsynliggøre identiteten af den person, dataen stammer fra. Dette kan være tilfældet med et timestamp på en webshop-transaktion, som kan tilskrives en handling på en annonceplatform og deraf en bruger.
Hvem er ansvarlig for databehandlingen?
Virksomheden er ansvarlig for at kunne identificere det fulde økosystem, hvor dataen sendes hen. Hvis dataen sendes til et tredjeland, der ikke lever op til GDP-standarderne (såsom USA, Kina osv.), skal virksomheden vurdere, om de kan sikre det samme beskyttelsesniveau som under GDPR i EU. Hvis det ikke er muligt at opretholde det samme niveau af databeskyttelse, er det ulovligt. Ansvaret for databehandlingen ligger hos de virksomheder, der implementerer disse værktøjer.
Er anonymisering af personfølsomme data en mulighed?
For at opnå lovlig overholdelse skal data anonymiseres i en sådan grad, at de ikke længere er omfattet af GDPR. I grunden betyder det, at hvis en bruger digitalt kan genkendes, betragtes det som persondata. Som et resultat heraf, skal data, såsom Facebook Click-ID, IP-adresser, persondata, useragent, postnummer, e-mailadresse, telefonnummer osv., fjernes, før det sendes fra websitet til Meta. Desværre betyder det, at dataen bliver ubrugelig, da den kun har værdi for annonceringsplatforme som Meta, når man kan identificere den specifikke bruger, der har udført handlinger på websitet eller webshoppen, hvilket muliggør rapportering, optimering, målretning osv.
Den data, der må sendes tilbage til f.eks. Meta, er mere overordnet, såsom oplysninger om hvilke produkter der er blevet købt og til hvilken pris.
Hvis alle fulgte den korrekte/lovlige fremgangsmåde, ville Meta måske kunne drage fordel af det, men situationen skaber en konkurrenceforvridning, når ikke alle følger den samme praksis.
Øget fokus fra Datatilsynet og dine konkurrenter
Påbuddet fra Datatilsynet mod Boligportalen bekræfter, at der er et øget fokus på GDPR-compliance, og virksomhederne bør tage dette alvorligt.
Organisationen None of Your Business (NOYB) er aktiv i at indgive klager til Datatilsynet, og det var også grundlaget for sagen mod Boligportalen. I 2020 indgav organisationen 101 klager mod virksomheder, men det er ikke blevet offentliggjort, hvor mange klager der er blevet indgivet siden da, eller hvilke sager der er under behandling. Det antyder dog, at vi kan forvente flere sager og øget fokus på overholdelse af GDPR-reglerne.
Sådan kan du blive GDPR compliant ift. Meta
For at opnå overensstemmelse med GDPR (General Data Protection Regulation) skal din virksomhed kunne dokumentere en tilstrækkelig rolle- og ansvarsfordeling med eksempelvis Meta Ireland (så længe de ikke har certificeret sig under EU-U.S. Data Privacy Framework). Dette indebærer blandt andet at kunne redegøre for følgende:
Hvor går virksomhedens databehandleraftale til, og hvornår overtager Meta?
Hvem er ansvarlig for hvad og hvornår?
Hvilke tredjepartslande bliver dataen viderebragt til, og hvem er så ansvarlig?
Det kan være svært at forestille sig, at store virksomheder som Meta og Google er villige til at indgå individuelle samarbejdsaftaler med virksomheder, der tydeligt angiver ansvarsfordelingen, da dette potentielt kan have store konsekvenser.
Hvad gør platformerne for at imødekomme GDPR?
Det ser ud til, at platformene har afventet det såkaldte EU-US Data Privacy Framework. Dog er det tydeligt, at platformene arbejder på at holde brugerne inde i deres eget økosystem. I stedet for at sende en bruger videre til en webshop for at foretage et køb, kan brugeren købe direkte inden for platformens univers, såsom Meta Shopping.
Brugeren har mulighed for at foretage direkte køb af produktet gennem Meta i stedet for en webshop. Dette har den fordel, at virksomheder kan spore alle hændelser, da brugerens adfærd forbliver inden for Metas univers, hvor Meta også har ansvaret som databehandler. På den anden side indebærer det en risiko for virksomhederne, da Meta ejer brugerens kundedata.
GDPR skaber samtidig et marked for GDPR compliant alternativer til fx Google Analytics, som Piwik Pro, Plausible Analytics og Fathom Analytics.
Er det ikke lovligt at benytte Meta Pixel, hvis vi har samtykke fra brugeren?
Det er ikke nok at indhente et samtykke, når data bliver sendt til et tredjepartsland.
Selvom en virksomhed opnår samtykke fra brugeren til at behandle deres data, skal der stadig tages hensyn til, hvor dataene sendes hen, og hvordan de behandles i det pågældende land. Hvis landet (eller platformen i US) ikke kan tilbyde et tilstrækkeligt beskyttelsesniveau svarende til GDPR, vil overførslen være i strid med loven, selvom samtykket er indhentet.
Det er derfor nødvendigt for virksomheder at vurdere, om de kan sikre tilsvarende beskyttelse af data som i EU, hvis de ønsker at overføre dem til tredjepartslande. Hvis det ikke er muligt, skal virksomheden finde alternative løsninger, såsom at indgå databehandleraftaler med modtagere i tredjelande eller bruge godkendte databeskyttelsesmekanismer, som f.eks. Standard Contractual Clauses (SCC).
Datatilsynet varsler påbud og i værste fald bøder
Boligportalen har modtaget et påbud om at afklare rolle- og ansvarsfordelingen med Meta Ireland, hvilket er usandsynligt at opnå. Som følge heraf har de været nødt til at fjerne Meta Pixel, Meta Login osv. fra deres website og deres app.
Ifølge Makar Juhl Holst, chefkonsulent i Datatilsynet, har Datatilsynet mulighed for at politianmelde overtrædelser af reglerne, og virksomheder kan få bødestraffe.
”Men det er typisk noget som vi forbeholder de absolut værste overtrædelser”…
“Når vi vurderer, hvor alvorlig en overtrædelse er, så kigger vi primært på, hvad overtrædelsen består af i forhold til eventuelle konsekvenser for borgere, medarbejdere eller kunder. Men også hvor længe den har stået på, om der eventuelt er sket nogen skade, og om man har forsøgt at gøre noget ved det.”
Det anses ifølge Makar Juhl Holst som en formildende omstændighed, hvis Datatilsynet kan konstatere, at virksomheder har gjort en indsats for at undersøge deres brug af værktøjer, som fx Facebook Business Tools. Han anbefaler derfor, at virksomheder begynder at rette spørgsmål til Meta vedrørende dette område.
“Hvis virksomheder overordnet arbejder med disse regelsæt og tager bestik af afgørelser som denne, så ser vi mildere på overtrædelser, end hvis man forholder sig passivt til, at der er regler på området, man skal overholde,” siger han.
Hvad skal din virksomhed gøre ift. GDPR?
Som virksomhed er det vigtigt at være proaktiv og arbejde aktivt med GDPR. Det indebærer at træffe bevidste valg baseret på grundige undersøgelser, indhente relevant information, deltage i webinarer, læse afgørelser og dokumentere virksomhedens overvejelser og handlinger. På den måde kan du demonstrere, at du har gjort en indsats og truffet aktive valg i overensstemmelse med GDPR.
Hvis Datatilsynet undersøger din virksomhed og der opstår uenighed, kan du henvise til den bestræbelse, du har gjort for at efterleve GDPR. Datatilsynet vil formentlig tage dette i betragtning, hvilket kan resultere i en mildere reaktion, såsom et påbud, i stedet for en bøde. Omvendt, hvis en virksomhed ikke tager GDPR i betragtning, øges sandsynligheden for at modtage en bøde. Dokumentation er afgørende, og det handler om at gøre en ærlig indsats.
En anbefaling er at kontakte Meta’s Support og forklare, at du er bekendt med Datatilsynets afgørelse. Her kan du spørge om råd angående, hvordan din virksomhed bør håndtere situationen, hvordan Meta forholder sig til sagen, og hvordan du selv skal agere. Fremhæv også, at Datatilsynet mener, at det fælles ansvar for databehandling ophører, når dataene er blevet overført til Meta Ireland. Sørg for at dokumentere hele dialogen.
Fjernelse af Meta Pixel: Konsekvenser for konkurrence og annoncepriser
Hvis en virksomhed vælger at fjerne Meta Pixel, vil det få betydelige konsekvenser for annoncering, rapportering og især konkurrencen. Uden Meta Pixel kan man forvente en stigning på 400-500% i konverteringspriser.
Hvis en virksomhed enten får et påbud fra Datatilsynet eller vælger at overholde GDPR ved at fjerne Meta Pixel fra deres website, skaber det en fordel for konkurrenterne, der stadig bruger tracking. De vil have mulighed for at optimere deres kampagner mod konverteringer, aflæse ROAS (Return on Ad Spend) osv. Det skaber en skævvridning af konkurrencen, da virksomheder kan udnytte situationen ved at anmelde konkurrenter, overvåge ændringer i konkurrenternes tracking og justere deres annoncebudget, når en konkurrerende virksomhed ikke længere bruger tracking – frivilligt eller ufrivilligt.
Det er særligt alvorligt for mindre SMV’er, såsom webshops, hvor størstedelen af omsætningen kommer fra Meta-annoncering. De er i alvorlig fare, hvis de kommer i Datatilsynets søgelys, eller hvis en konkurrerende virksomhed, kunde eller tredjepart vælger at anmelde dem til Datatilsynet.
Det anbefales, at virksomheder begynder at fokusere på first party data og aktivt arbejder på at indhente e-mail tilladelser. Dette giver virksomheden ejerskab over data og mulighed for at påvirke virksomhedens målgruppe direkte, hvilket reducerer afhængigheden af platforme som Meta.
Optimer dit dataejerskab med en strategisk indsamling af e-mailadresser og first-party data
Ved at indsamle, opbevare og håndtere e-mailadresser og first-party data i en sikker og central data lake inden for EU, kan du minimere risikoen for at miste dine værdifulde dataaktiver. En data lake giver dig kontrol og mulighed for at udnytte dine data, selv når der opstår ændringer eller restriktioner på visse kanaler. Det er vigtigt at styrke dit dataejerskab og beskytte din virksomhed ved at implementere en effektiv data lake-strategi.
Forestil dig scenariet, hvor du modtager et påbud fra Datatilsynet om at lukke dine Meta-kanaler ned. Uden en data lake risikerer du at miste dine værdifulde data. Ved at have en data lake på plads kan du undgå denne risiko og fortsat bevare kontrol og værdi af dine dataaktiver.
Så begynd allerede nu at sikre dit dataejerskab ved at implementere en sikker og central data lake-strategi, der beskytter dine data og fremtidssikrer din virksomhed.
Er UTM-parametre ulovlige?
UTM-parametre i sig selv er ikke ulovlige. Det er, hvordan dataen behandles og deles, der er afgørende for lovligheden. Hvis UTM-parametrene bruges til at identificere brugeren direkte, f.eks. via et click-id, kan det være i strid med privatlivsreglerne.
Når det kommer til iOS 17, iPadOS 17 og macOS Sonoma, har disse operativsystemer implementeret privatlivsforanstaltninger, der automatisk fjerner UTM-parametre fra URL’en. Dette er en del af Apples indsats for at beskytte brugernes privatliv og forhindre identifikation af brugernes adfærd på tværs af forskellige platforme og tjenester. I første omgang er denne foranstaltning gældende i private vinduer, eller hvis brugeren aktiv har slået det til i browseren. Det forventes, at det også bliver en standardindstilling med tiden i normaltilstand.
Uden UTM-parametre er konsekvensen at man mister indblik i sporing, rapportering, optimering og attribuering af konverteringer og handlinger til de rigtige kilder. Da UTM-parametrene fjernes, kan det være sværere at identificere og følge brugerens adfærd og attribuere konverteringer korrekt til de specifikke kilder og kampagner.
Det er vigtigt for virksomheder at være opmærksomme på disse ændringer og tilpasse marketingstrategier og målemetoder for at håndtere de udfordringer, der opstår som følge af de nye privatlivsforanstaltninger.
Konklusion: GDPR og Meta: Vigtigheden af databeskyttelse og persondataregler
Det nylige påbud fra Datatilsynet mod Boligportalen og den øgede opmærksomhed på GDPR-compliance hos virksomheder viser vigtigheden af at tage personfølsomme data, og overførslen af dem til tredjelande, seriøst. Efter ophørelsen af Privacy Shield er det blevet ulovligt at bruge platforme som Meta, der ikke lever op til GDPR-kravene, selv med brugerens samtykke.
EU og USA har d. 10. juli vedtaget aftalen om EU-U.S. Data Privacy Framework, der tillader overførsel af persondata til certificerede organisationer. Indtil amerikanske organisationer er på listen, eller hvis overførslen sker til et tredjeland, skal virksomheder dokumentere deres rolle- og ansvarsfordeling med Meta eller lignende platforme og vurdere, om de kan sikre tilstrækkelig databeskyttelse. Brugen af værktøjer som Meta Pixel er ulovlig uden klare aftaler og beskyttelsesmekanismer, som er nærmest umulige at indgå.
Datatilsynet og organisationer som None of Your Business (NOYB) fokuserer mere på GDPR-compliance, hvilket kan resultere i flere sager og bødestraffe. Det anbefales derfor, at virksomheder proaktivt arbejder med GDPR, dokumenterer deres handlinger og retter spørgsmål til Meta og andre platforme for at sikre overholdelse.
Fjernelse af Meta Pixel kan have betydelige konsekvenser for annoncering og konkurrencen, da virksomheder mister muligheden for at spore og optimere kampagner. Dette kan give konkurrenter en fordel og skabe skævvridning i markedet. Det er vigtigt at fokusere på first party data og indsamle e-mail tilladelser for at reducere afhængigheden af platforme som Meta.
For virksomheder er det afgørende at være proaktive, dokumentere handlinger og gøre en indsats for at efterleve GDPR for at undgå bødestraffe. Det anbefales at søge rådgivning, rette spørgsmål til platforme som Meta og fokusere på first party data for at optimere dataejerskab og målretning af målgruppen. Det kan allerede nu være en god idé at arbejde med alternativer til Google Analytics, såsom Piwik Pro, Plausible Analytics og Fathom Analytics.