Eksperter sår tvivl om marketing på Facebook: Er det overhovedet lovligt?

“Nej.”

Sådan lyder svaret fra Allan Frank – it-sikkerhedsspecialist i Datatilsynet – da Markedsføring spørger:

Er du bekendt med nogen måder at bruge Facebook på – til kommunikation og marketing – som er i overensstemmelse med GDPR?

Vi får det samme svar, da vi spørger, om Datatilsynet kan give en opskrift på en måde, som er i overensstemmelse med GDPR.

“Nej,” siger Allan Frank.

Han afviser ikke, at der findes lovlige måder, men:

“Når man bruger det i rent privat øjemed, så er det uden for GDPR, men bortset fra det, kan jeg ikke komme på noget. Jeg har ikke kendskab til, at der er nogen, som over for et datatilsyn – endnu – har dokumenteret, at det er lovligt.”

Markedsføring kontakter Allan Frank for at tale om en – potentielt sprængfarlig – debat, der er startet flere steder i Europa. I september offentliggjorde Datatilsynet i Norge en risikovurdering – fyldt med GDPR-henvisninger – hvor det kom frem til, at tilsynet ikke selv vil oprette en Facebook-side. Risikoen for brugernes rettigheder ville være for høj, lyder det.

Efterfølgende lukkede norske Teknologirådet, Udlændingedirektoratet og Bioteknologirådet deres Facebook-sider. Og aktuelt har norske virksomheder og myndigheder travlt med at foretage nye risikovurderinger af deres brug af Facebook.

Det fortæller Svein Inge Leirgulen, formand for Kommunikasjonsforeningen, der organiserer kommunikationsfolk i Norge.

”Da vi fik rapporten fra Datatilsynet, tænkte vi: ’Oh, shit, har vi alle sammen lavet fejl her?’,” siger han og tilføjer:

”Det har skabt en vældig stor debat i Norge.”

Det norske tilsyn vurderer, at en Facebook-side formentlig ikke ville leve op til artikel 25 i GDPR om ”databeskyttelse gennem design og databeskyttelse gennem standardindstillinger”.

At der mangler transparens om de data, der bliver samlet om brugerne. At de ikke ville kunne leve op til GDPR-artikel 26 om fælles dataansvar, hvis de oprettede en side. Og meget andet.

Hos Datatilsynet herhjemme kalder Allan Frank det norske tilsyns vurdering ”meget, meget fin”, ”gennemarbejdet” og et “klart signal”.

“Jeg synes, at alle dataansvarlige i Danmark burde læse den risikovurdering. Og så vide, at den er fuldt i overensstemmelse med den måde, det danske datatilsyn – faktisk næsten alle datatilsyn i Europa, tror jeg – ser det her på,” siger han.

I Tyskland er debatten endnu mere dramatisk. Her skrev den føderale databeskyttelseskommissær tidligere på året i et brev til de tyske myndigheder, at han ”kraftigt anbefaler” dem at lukke deres Facebook-sider inden nytår.

Så er det overhovedet muligt at bruge Facebook til kommunikation og marketing på lovlig vis? For at blive klogere har Markedsføring talt med en række danske eksperter, nogle til baggrund og andre til citat.

Hovedparten vurderer, at der er omfattende juridiske problemer ved at bruge Facebook til kommunikation og marketing. Og ingen af de danske eksperter kan udpege konkrete bud på, hvordan man kan gøre det i overensstemmelse med GDPR.

For eksempel siger Allan Frank:

”Det er måske ikke umuligt at konstruere sig frem til en situation, hvor man kan bruge det lovligt. Men det er – for flere funktionaliteter, hvor der er fælles dataansvar med Facebook – vanskeligt at forestille sig,” siger han.

”Problemet er, at det kræver ret meget. Særligt dokumentation. Og det kræver formentlig mere, end Facebook kan levere,” vurderer han.

Han peger på flere af de samme problemer, som det norske tilsyn peger på. Herunder manglende transparens om de data, der bliver indsamlet.

Bernardo David er lektor i datalogi på IT Universitetet i København. Han beskriver problemet sådan her:

”Vi har den paradoksale situation, at den organisation, der har en Facebook-side, skal sikre, at brugernes data bliver processeret og opbevaret i overensstemmelse med GDPR. Men samtidig har organisationen ikke adgang til platformen, så de har ikke mulighed for kontrollere det,” siger han og henviser til, at det er Facebook, der opbevarer og behandler data.

”Ingen har adgang til de algoritmer, Facebook bruger til at processere de her data.”

Han kan heller ikke pege på måder, hvorpå man kan bruge Facebook til marketing i overensstemmelse med GDPR. Om det norske datatilsyns vurdering siger han:

”Det er ikke bare paranoia. Det er virkelige problemstillinger.”

”Der er masser af gode grunde til at så tvivl om, om det, Facebook gør, overhovedet er lovligt.”

Sådan siger Jan Trzaskowski, professor i markedsføringsret på Copenhagen Business School.

Han har netop skrevet en ny bog med titlen ’Your Privacy Is Important to Us!’. Her sætter han et stort spørgsmålstegn ved lovligheden af de dominerende forretningsmodeller inden for det, han kalder ’overvågningskapitalismen’.

Han pointerer, at EU-Domstolen har slået fast, at virksomheder og Facebook har et fælles ansvar for de data, der bliver indsamlet på Facebook-sider.

”Og hvis det nu viser sig, at Facebooks databehandling ikke er lovlig, så skal domstolene tage stilling til, hvilket ansvar der påhviler virksomhederne under dette fælles dataansvar,” siger han.

Jan Trzaskowski indrammer sagens kerne sådan her:

”Facebook har to formål. De driver en social medie-tjeneste, hvor du og jeg skal kunne snakke med hinanden. Og så driver de en tjeneste, som handler om at sælge vores opmærksomhed til højestbydende og gøre den så attraktiv som overhovedet muligt. Og der har personoplysninger en stor betydning,” siger han.

”Spørgsmålet er: I hvilket omfang kan Facebook tage de oplysninger, som de får ved at overvåge vores adfærd på det sociale medie – som er deres officielt primære tjeneste – og bruge dem til deres officielt sekundære tjeneste, som er at sælge vores opmærksomhed til nogle annoncører?” siger han.

Facebooks model kræver formentlig et særligt samtykke, vurderer Jan Trzaskowski. Defineret som en ”frivillig, specifik, informeret og utvetydig viljestilkendegivelse”.

Sådan et samtykke ville minde om de privatlivs-indstillinger, Apple indførte i iOS tidligere på året, forklarer han: iPhone-brugere skal i dag aktivt vælge, om apps må spore deres adfærd.

Det har kun 12 procent af brugerne sagt ja til på verdensplan, viste en opgørelse fra analysefirmaet Flurry i maj.

”Prøv at tænke på, hvad det ville gøre ved Facebooks model,” siger Jan Trzaskowski.

De irske databeskyttelsesmyndigheder har netop blåstemplet Facebooks nuværende praksis på dette punkt. Men Jan Trzaskowski forventer, at det Europæiske Databeskyttelsesråd omstøder beslutningen inden for de næste par måneder.

Er du bekendt med nogen måder, hvorpå man kanbruge Facebook til kommunikation og marketing i overensstemmelse med GDPR?

”I første omgang er vi nødt til at finde ud af, hvad der er lovligt og ulovligt,” siger Jan Trzaskowski.

Jesper Løffler Nielsen er advokat med speciale i IT-ret hos Focus Advokater. Af og til henvender virksomheder sig til ham for at få juridisk vejledning om Facebook.

“Sandsynligheden for, at du kan få mig som advokat til at skrive en mail eller et brev, hvor jeg konkluderer på sidste side, at der overhovedet ikke er nogen juridiske udfordringer forbundet med at bruge Facebook, dén er lille,” siger han.

“Det bedste, jeg kan gøre, er at hjælpe med at navigere i et af det mest uoverskuelige og turbulente juridiske landskaber, jeg har set. Det er dét, der omkranser Facebook lige nu.”

Er du bekendt med nogen måder, hvorpå man kan bruge Facebook – til kommunikation og marketing –som er i overensstemmelse med GDPR – altså, hvor man er i ’green zone’?

”Hvis du spørger på den måde, får du det samme nej, som du har fået alle de andre steder. Men jeg synes dog, jeg vil give et lidt mere nuanceret svar. Jeg synes, vi mangler klokkeklare afgørelser, der siger, at det er ulovligt. Og jeg synes, det norske datatilsyns rapport helt går klart med livrem og seler, og jeg er ikke nødvendigvis enig i alle deres vurderinger,” siger Jesper Løffler Nielsen.

Jesper Løffler Nielsen udfordrer især det norske tilsyn på ét punkt: Tilsynet skriver i sin risikovurdering, at de risikerer at modtage følsomme personoplysninger og oplysninger om sårbare personer, hvis de opretter en Facebook-side. Og GDPR stillerlangt strammere krav til behandling af følsomme personoplysninger end almindelige personoplysninger.

Jesper Løffler Nielsen sætter spørgsmålstegn ved, om man altid skal anlægge dette worst case-perspektiv. Det ville ifølge ham betyde, at “stort set alle digitale platforme med fritekstfelter rammer ned i de allertungeste krav i GDPR.”

Han vurderer, at man kun skal anlægge det perspektiv, hvis det er sandsynligt, at der vil ske behandling af følsomme oplysninger.

Hvis du var en virksomhed eller myndighed, der havde en Facebook-side, hvordan ville du så forholde dig til det her?

”Der ville jeg nok se tiden lidt mere an, i og med at der – måned for måned – sker så meget på det her område lige nu,” siger han.

Han understreger, at der blandt andet kører flere vigtige retssager, der kan få betydning. Desuden er EU på vej med nye lovforslag, som vil stramme reglerne for målrettet markedsføring baseret på brugerdata. Her har Det Europæiske Databeskyttelsesråd anbefalet at regulere hårdere.

Hos it-fagforeningen PROSA skriver IT-politisk rådgiver Ole Tange i en mail:

”Givet, at det norske datatilsyn ikke mener, at de kan være på Facebook og samtidigt overholde GDPR, så vil jeg finde det sandsynligt, at man ikke kan bruge Facebook til markedsføring og samtidigt overholde GDPR.”

Også hos Søren Sandfeld Jakobsen – professor i medie- og it-ret på Copenhagen Business School – møder vi bekymring.

I en skriftlig kommentar skriver han, at ”der er og bliver en betydelig usikkerhed om, hvordan Facebook behandler personoplysninger.”

”Det er meget tænkeligt, at vi her i Danmark får den samme debat, som de har i Norge og Tyskland. Og at særligt offentlige myndigheder vil genoverveje, om de overhovedet skal bruge Facebook som kommunikationsplatform,” skriver han.

I Norge er der dog håb endnu. Her fortæller Svein Inge Leirgulen fra Kommunikasjonsforeningen, at foreningen er på vej med en ny risikovurdering, der er tænkt som inspiration til hele kommunikations- branchen i Norge.

Vurderingen bygger på den samme fremgangsmåde som hos det norske datatilsyn. I skrivende stund arbejder jurister stadig på sagen, og vurderingen ventes først at være klar omkring jul. Men et billede begynder at tegne sig.

Modsat det norske datatilsyn – som Svein Inge Leirgulen i øvrigt roser – forventer Kommunikasjonsforeningen at komme frem til den konklusion, at de godt kan bruge Facebook, men kun i en kraftigt nedskaleret udgave.

Kommunikasjonsforeningen forventer at lukke ned for Facebook Pixel (der registrerer brugernes adfærd) og chat-funktionen Messenger. De forventer også at reducere deres brug af event-invitationer, men har endnu ikke konkluderet, om de vil lukke helt ned for den del. Alt i alt betyder det, at ”datalækagen” bliver nedbragt, forklarer Svein Inge Leirgulen.

Til gengæld forventer de at fortsætte med helt almindelige Facebook-opslag. Dels mener foreningen at have en retlig interesse, fordi Facebook er en vigtig kommunikationskanal for medlemmerne.

Dels er der ikke tale om følsomme personoplysninger på foreningens Facebook-side.

”Hvis du har en menneskeretsorganisation, som har en Facebook-side, og du har interaktioner med folk, der har det vanskeligt i livet – flygtninge og den slags – så er det meget, meget værre, end hvis du har en almindelig medlemsorganisation,” siger Svein Inge Leirgulen.

Tilbage til Allan Frank fra Datatilsynet i Danmark.

Allan Frank, hvis man er en virksomhed, der bruger Facebook til markedsføring, eller en kommune, der bruger det til kommunikation, risikerer man så, at I på et tidspunkt vælger at gøre det her til et kontrolområde?

“Fordi behandlinger af personoplysninger omfattet af GDPR – ja, det risikerer man på et eller andet tidspunkt,” siger Allan Frank.

“Det er et område, vi er opmærksomme på. Og jeg tror, det bedste råd, man kan give, er, at man får sat sig ned og skabt den dokumentation, der skal til for at overbevise Datatilsynet om, at ens brug af Facebook er lovlig,” siger han.

Det er et hovedprincip i GDPR, at det skal en dataansvarlig kunne dokumentere, pointerer han.

Og det er så der, hvor du siger, at den dokumentation har du ikke set endnu, nogen steder i Europa?

“Ja, jeg er ikke bekendt med nogen, der har påvist, at det er lovligt. Men igen: Det er ikke det samme, som at det ikke kan lade sig gøre.”

Markedsføring har forelagt kritikken for Facebook. Her ønsker Martin Ruby, nordisk politisk chef for Meta – firmaet bag Facebook – ikke at lade sig interviewe. Men i et skriftligt svar lyder det:

“I Meta har vi naturligvis fra starten iværksat en lang række tiltag for at leve op til GDPR-forpligtelserne i hele Europa og beskytte folks data. Vi ønsker og deltager gerne i en løbende dialog med eksperter og myndigheder om, hvordan det digitale liv kan bidrage positivt såvel til det enkelte individ som til erhvervslivet og samfundet som helhed. En dialog som det norske datatilsyn aldrig tog med os i øvrigt.“

Facebook erklærede sig i oktober uenige i det norske datatilsyns risikovurdering. Samtidig erklærede de sig åbne for dialog med tilsynet. Det skete i et indlæg i det norske medie Dagens Næringsliv.

Markedsføring har også forelagt kritikpunkterne for Dansk Erhverv. De ønskede ikke at stille op til interview.