För ganska precis sex månader sedan kom GDPR, och likt inför millennieskiftet höll alla andan, men inget verkade hända. Nu börjar vi däremot se de första domstolsutslagen, och konsekvenserna kan bli mycket stora för hela ad-tech branschen.
Den 25 maj 2018 ersattes PUL av GDPR, ett regelverk för hur individers personuppgifter får samlas in och hanteras. Till detta kopplades dessutom rekordhöga bötesbelopp, för att tvinga företag och organisationer att ta regelverket på allvar. Många gjorde stora förändringar i hur de jobbar, och ett tydligt resultat är de många ”cookie-consent”-banners som nu driver alla internetanvändare till vansinne.
Läs även: Hela 90 procent godkänner GDPR-frågan
Stora organisationer såsom IAB tog fram ramverk och dokument för att hjälpa företagen att efterfölja den nya lagen. Men en dom av franska CNIL mot det lilla ad-tech företaget Vectaury öppnar upp för frågor kring om dessa ramverk är tillräckliga.
När du som användare går in på en hemsida ombeds du samtycka till att sidans ägare får använda din data för att ge dig riktad reklam. Bakom detta samtycke ligger dock ett kontrakt som gör att företaget du gett ditt samtycke till kan skicka dina personuppgifter till tiotals, eller hundratals olika företag, som i sin tur skickar dem vidare för att genomföra en programmatisk annonsbudgivning i realtid. Resultatet av det är att dina personuppgifter plötsligt hamnar i händerna på flera tusentals olika företag, som sedan kan använda dem i andra annonssammanhang. Att det är så kanske du som läser Dagens Analys visste, men så är sannolikt inte fallet för de 67,6 miljoner människor vars personuppgifter återfanns i Vectaurys servrar vid ett tillslag i april.
CNIL bedömde att alla dessa personuppgifter hade kommit till Vectaury utan ett giltigt samtycke, eftersom ett samtycke enligt GDPR måste vara ”frivillig, specifik, informerad och otvetydig”. Vectaury försökte lösa problemet genom att utgå från IAB:s mall för denna typ av samtycke och kontrakt, men gjort en del egna förändringar som visade sig bryta mot såväl IABs ramverk som GDPR. Men domen pekar ändå på en del utmaningar menar Townsend Feehan, VD för IAB Europe. Hon håller med om att det är svårt att balansera mellan att ge tillräckligt med information och att göra det enkelt för användare inför att be om deras samtycke. Sedan blir det extra svårt när det kommer till annonsmarknadens realtids-budgivning (RTB) som ofta baseras på hantering av individers personuppgifter. Frågan är om och i sådana fall hur denna typ av programmatiska köp ska hanteras ut ett GDPR-perspektiv.
Läs även: Svenskarna ser ingen GDPR-effekt – företagen riskerar miljardböter
Det finns nämligen ett flertal andra pågående ärenden som pekar på samma sak, att hanteringen av personuppgifter i RTB bryter mot lagen eftersom den urskillningslöst distribuerar personuppgifter till tusentals aktörer, vilket medför en stor risk för att denna data hamnar i orätta händer. Då GDPR fastställer att personuppgifter ”ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling” menar Johnny Ryan på den privata webbrowsern Brave; Jim Killock, chef på organisationen Open Rights Group; och University College Londons dataskydds-forskare, Michael Veale att hela RTB-systemet är brottsligt eftersom det inte lever upp till detta.
Vad resultatet slutligen kommer bli lär vi inte veta förrän om 1-2 år, men det verkar som att det finns stor risk för att hela ad-tech systemet kommer behöva göras om i grunden.