Annonsørenes ansvar for målrettet digital reklame. Hva skal man velge?

Annonsører og byråer ønsker at betalt plassering skal treffe best mulig. En av flere teknologier for å oppnå dette er personaliserte annonser basert på adferdsdata om et individ eller en gruppe individer herunder også basert på statistiske prediksjoner gitt de datapunktene noen har samlet inn om individet. De mest kjøpte tjenestene for personalisert markedsføring er amerikanske eller gjør persondata tilgjengelig i USA, hvilket i seg selv har vært juridisk problematisk etter Schrems II dommen. Skulle «Schrems II»-problemet nå bli løst slik vi for så vidt har ganske god grunn til å forvente, vil det likevel ikke være slik at det etter GDPR er fritt frem for bruk av teknologier som pixel, tredjepartscookies, eller annonse i epostinboksen din som ser ut som en epost, uten å være det. Dette har da heller aldri vært fritt frem.

Annonsøren er ansvarlig for datainnsamling, bruk og deling som såkalt behandlingsansvarlig etter GDPR. Ofte vil publisisten være det også. Og for en del tjenester vil disse ha et felles behandlingsansvar med tilbyder av tjenestene (som eksempelvis Facebook og Google og etter hva vi forstår også Microsoft) for en del av databruken. Det grunnleggende kravet til en behandlingsansvarlig er å vite hvilke data som samles inn fra hvor, hvordan data brukes og hvem den deles med. Deretter må den behandlingsansvarlige informere personene dette gjelder (for eksempel i en personvernerklæring) og slett ikke mindre viktig så må den behandlingsansvarlige, for eksempel annonsøren, vurdere at annonsøren har et lovlig rettslig grunnlag for innsamlingen og bruken av persondata. For persondata brukt til markedsføring betyr dette i praksis ofte et samtykke, og skal samtykket være gyldig må personen som samtykker har fått god nok informasjon til å forstå hvilken persondatabehandling samtykket vil lede til.

Det er her bruk av tjenester for persondatadrevet markedsføring pleier å bli vanskelig. De store tilbydernes informasjon er generelt vanskelig å forstå og krever krysslesing av en rekke kilder i tillegg til at det rettslig sett er krevende å fastslå hvor langt ditt ansvar som kunde strekker seg. Sliter du med å forstå dete (i tilfellet vil du være i godt selskap) så er det vanskelig å regne med at personene datapunktene gjelder, forstår det eller innser fullt ut hva de samtykker til. I det hele foreligger det juridisk risiko ved bruke disse tjenestene og de er vanskelige å vurdere både faktisk (innsyn i hva som egentlig skjer) og juridisk. For noen er det kanskje riktig å ta høy risiko, for andre kanskje riktigere å la være å bruke de mest aggressive tjenestene eller de tjenester som er vanskeligst å forstå. For noen vil det kanskje være riktig å bruke førstepartsdata men unngå tredjepartsdata. Eller basere seg på kontekstuelle annonser kanskje kombinert med god gammeldags epostmarkedsføring der du har full kontroll på dataflyt og samtykker.

En annen måte å se vurderingen på er å oppnå god effekt med et for deg riktig risikonivå og der du har kontroll på hvilken risiko du velger å ta.

Det forenkler heller ikke situasjonen at Norge noe overraskende, har foreslått å videreføre en særnorsk «slapp» bestemmelse om cookies og som tillater å sette cookies (herunder tredjeparts markedsføringscookies) med mindre sluttbruker «opter ut» gjennom nettleserinnstillingen. Denne norske regelen er ikke i tråd med EUs forståelse av samtykkekravene til cookies. Ikke dekker den norske regelen lovlig viderebehandling av personopplysningene samlet inn gjennom cookies heller, fordi GDPR krever et aktivt opt-in samtykke.

Overvåkningsbasert markedsføring er omdiskutert blant publikum, interesseorganisasjoner og politikere. Til sammenlikning behandler EU for tiden et forslag om et forbud mot personalisert markedsføring basert på de mest sensitive typene personopplysninger som religion, seksuell orientering og helse.

Ønsker du å vite mer eller diskutere mer om lovverket?
Vebjørn treffes på vso@raeder.no