Hvilke utfordringer kommer med bruk av sporingsverktøy?
Det finnes mange ulike typer sporingsverktøy som kan registrere hva en person gjør på en tjeneste eller på tvers av tjenester. Typiske eksempler på dette er informasjonskapsler (cookies) og sporingspiksler.
Sporingspiksler (ofte omtalt som «pixel») er en teknologi som automatisk sender informasjon om de som besøker et nettsted eller en app videre til en tredjepart. Dette kan være informasjon om hvilke nettsider personene er inne på, hvilke handlinger de foretar seg eller hva de legger i handlekurven.
Vi har en egen veiledning for bruk av informasjonskapsler og kravene til samtykke.
Det finnes også mange andre former for sporing på nett, som for eksempel «device fingerprinting».
Mange bruker sporingsverktøy for markedsføringsformål. Dette kan for eksempel være for å måle effekten av markedsføring og kampanjer på sosiale medier. Sporingsverktøy kan også brukes til å persontilpasse markedføring på andre plattformer ut fra hva en person har foretatt seg på tjenesten din (for eksempel såkalt «retargeting»).
Et problem er at selskapene som tilbyr sporingsverktøyene, ofte forbeholder seg retten til å selv bruke dataene som sporingsverktøyene samler inn til egne formål. Det er ofte snakk om store teknologiselskaper som lever av å vite mest mulig om flest mulig. Når du tar i bruk sporingsverktøy, risikerer du altså å bidra til disse selskapenes datainnsamling og overvåking av enkeltpersoner på tvers av internett. Dette har juridiske konsekvenser for virksomheter som tar dem i bruk og fører til personverninngrep for enkeltpersoner som er eksponert for slik bruk.
Veldig ofte kan en persons surfehistorikk, alene eller ved hjelp av sammenstilling av data fra ulike kilder, gjøre det mulig å utlede private eller sensitive personopplysninger. For eksempel har Datatilsynet sett flere eksempler på at nettsteder som bruker sporingsverktøy deler opplysninger som indirekte kan si noe om deres helse – uten å mene det. Dette er svært alvorlig. Nettsteder som velger å ta i bruk sporingsverktøy sitter med ansvaret når slike ting skjer.
Datatilsynets sporingstilsyn identifiserte flere personvernutfordringer
Vi har gjennomført tilsyn med en rekke nettsteder som bruker ulike former for sporingspiksler og informasjonskapsler:
- 116111.no – en offentlig tjeneste for barn som er i en sårbar posisjon, for eksempel som har blitt utsatt for vold eller overgrep, og som trenger å snakke med en trygg voksen. Tjenesten drives av Kristiansand kommune.
- apotekfordeg.no – et nettapotek.
- bibel.no – et kristent nettsted som publiserer bibeltekster, selger bibler og tar imot donasjoner til Det norske bibelselskap.
- drdropin.no – et nettsted som tilbyr legetjenester.
- ifengsel.no – en samtaletjeneste fra Kirkens Bymisjon for barn som har en forelder i fengsel.
- nhi.no – et nettsted som tilbyr informasjon om ulike sykdommer, tilstander og diagnoser.
Vi fant ulike brudd på personvernreglene i alle sakene. Blant annet observerte vi følgende lovbrudd:
- Besøkende fikk uriktig informasjon om at de var anonyme når de ikke var det.
- Særlige kategorier personopplysninger om besøkende ble ulovlig tilgjengeliggjort for tredjeparter.
- Personopplysninger om barn ble ulovlig tilgjengeliggjort for tredjeparter.
- Besøkende ble «dultet» til å samtykke.
- Besøkende fikk informasjon som var villedende, vanskelig å forstå eller som ikke forklarte konsekvensene av å gi samtykke.
Vi kommer med flere eksempler fra sporingstilsynene i veiledningen nedenfor.
I saken om nettstedet 116111.no valgte Datatilsynet å ilegge et overtredelsesgebyr på 250 000 kroner. Grunnen til dette er at det er snakk om et offentlig nettsted og ulovlig behandling av barns personopplysninger. Sporingspiksler har automatisk sendt informasjon om de som besøker nettstedet videre til en tredjepart, uten at regelverkets krav til rettslig grunnlag eller informasjon til brukerne var oppfylt. Gebyret er imidlertid lavere enn det som ble varslet, siden Kristiansand kommune har samarbeidet godt og iverksatt en rekke tiltak for å rydde opp og hindre liknende brudd i fremtiden.
I de andre sakene ila Datatilsynet irettesettelser. I denne omgangen var reaksjonene stort sett milde, særlig fordi det er første gang Datatilsynet foretar denne typen tilsyn, og i lys av at formålet med tilsynene er økt bevisstgjøring. I fremtiden kan reaksjonene være mye strengere.
Merk at Datatilsynet er særlig bekymret for bruk av sporingsverktøy for kommersielle eller markedsføringsformål.