Det østrigske datatilsyn har forbudt Metas annonceværktøj Pixel, fordi det bryder GDPR-reglerne. Det oplyser privacy-organisationen Noyb, der havde bragt sagen for tilsynet, i en pressemeddelelse.
Og afgørelsen kan have betydning for danske virksomheder, vurderer Ayo Næsborg-Andersen, lektor ved juridisk institut ved Syddansk Universitet og forsker i persondataret.
“Afgørelsen har ingen betydning nu, men det er en stakket frist, for det danske datatilsyn er ved at kigge på det samme, og vi har før set dem følge samme rute som det østrigske datatilsyn. De forskellige europæiske datatilsyn vidensudveksler, og derfor er der stor sandsynlighed for, at de siger noget, der minder meget om hinanden,” siger Ayo Næsborg-Andersen.
Markedsføring har været i kontakt med Datatilsynet i Danmark for at høre, hvordan de forholder sig til brugen af statistikværktøjet, men her ønsker man på grund af en verserende sag ikke at udtale sig.
“Vi er bekendte med den østrigske afgørelse, men vi har ingen kommentarer til den i øjeblikket, da vi selv er ved at behandle en lignende sag, som vi endnu ikke har truffet afgørelse i,” skriver tilsynet i en mail.
Pixel bruges af en lang række danske virksomheder til tracking og microtargeting af annoncer. Det østrigsk datatilsyns afgørelse er den seneste udvikling i et længerevarende slagsmål, hvor et smuthul måske allerede er på trapperne.
Virksomheder har ignoreret afgørelse
Problemet ved Pixel er, at den indsamlede persondata sendes tilbage til Facebooks server i USA.
Men i 2020 slog EU’s domstol fast, at europæisk data ikke må sendes til USA, fordi der er ringere beskyttelse end i EU. Blandt andet er de amerikanske efterretningstjenesters adgang til persondataen ikke reguleret godt nok, forklarer Ayo Næsborg-Andersen.
Om klagen:
Sagen startede med en klage fra privacy-organisationen noyb (None of Your Business), stiftet af den østrigske aktivist Maximilian Schrems.
Noyb klagede over i alt 101 europæiske virksomheder for deres brug af Google Analytics og Pixel. I blandt de 101 virksomheder er der én dansk for deres brug af Pixels: Boligportalen.
Det har Ingeniørens undermedie ComplianceTech tidligere beskrevet.
“Der er væsentlig forskel på, hvordan EU og USA regulerer tilgangen til persondataen og kontrol med efterretningstjenesterne.”
Hvis der ligger en afgørelse fra 2020, har virksomhederne så i tre år brudt loven?
“Ja, det kan man godt sige. Der er to grunde til, at man har ignoreret det. Det ene er en juridisk diskussion og det andet praktikaliteter,” siger Ayo Næsborg-Andersen og uddyber:
“Hvis vi tager praktikaliterne først, så er værktøjer som Pixel så gode, at de giver en konkurrencefordel, derfor bruger virksomhederne det. Og hvordan kan man forhindre at overføre data til USA, når virksomhederne er amerikanske?”
Den juridiske diskussion er mere kompleks, men skåret ind til benet, er det et ordkløveri om at definere personoplysninger.
Er der et holdbart juridisk argument for, at man må bruge Pixel?
“Det er ikke det argument, vi har set vinde,” lyder svaret fra Ayo Næsborg-Andersen.
Amerikansk smuthul
Afgørelsen i alpelandet kommer et år efter, at de også fandt statiskværktøjet Google Analytics ulovligt.
Kort efter deres østrigske kolleger konkluderede det danske tilsyn, at værktøjet ikke kunne bruges lovligt uden det blev massivt tæmmet.
Er den seneste afgørelse et tegn på en tendens?
“Den viser, at der er et større fokus på de underliggende strukturer på internettet. Hvis noget er gratis, er du produktet, og nu er man ved at kigge på, hvorvidt det er en rimelig forretningsmodel,” siger Ayo Næsborg-Andersen og tilføjer:
“Den ekstreme målretning, de her værktøjer kan give, kan bruges til at sælge dig garn, men de kan også bruges til at manipulere dig helt ekstremt, som vi har set eksempler på. Og i sidste ende kan det være en trussel mod demokratiet.”
Men lige om lidt kan det være ligegyldigt, hvad både det østrigske og eventuelt danske datatilsyn kommer frem til.
Sidste år underskrev den amerikanske præsident, Joe Biden, et dekret om regulering af sikkerhedstjenesternes adgang til persondata. Det skulle sikre, at man levede op til europæisk lovgivning.
Aftalen mellem USA og EU ligger lige nu hos EU-Kommissionen, men skulle være klar i juli. Efterfølgende skal den behandles ved EU-Domstolen, men i den mellemliggende periode kan virksomheder sende persondata over Atlanten. Selv hvis aftalen skulle underkendes.
“Den østrigske afgørelse vil sandsynligvis være ligegyldig, når den amerikanske aftale kommer. Medmindre EU-domstolen eller Datatilsynet med det samme underkender den. Og det vil højst sandsynligvis ikke ske,” siger Ayo Næsborg-Andersen.
Hos Meta afviser man vurderingen og kritikken fra det østrigske datatilsyn. I en mail sendt til Markedsføring fra en pressemedarbejder på vegne af Meta, lyder det fra virksomheden:
“Kendelsen fra det østrigste datatilsyn er baseret på historiske omstændigheder og vedrører kun én enkelt virksomheds brug af Facebook Pixel og Facebook Login på én bestemt dag i 2020. Selvom vi er uenige i mange aspekter af kendelsen, så påvirker det ikke, hvordan virksomheder kan bruge vores produkter. Denne sag stammer fra en konflikt mellem europæisk og amerikansk lovgivning, som er ved at blive løst”.
Artiklen er opdateret 28/03 kl. 10.12 med en kommentar fra Meta.
