IMY låter Meta komma undan

Jag har läst IMY:s beslut om Avanza och jag har ganska många kommentarer till denna – i min mening – bristfälliga tillsyn. Att Avanza har brustit i sitt systematiska dataskyddsarbete är inget att diskutera, men hur gick det egentligen till och varför? Vad var Metas (då Facebooks) ansvar egentligen?

Jag förstår inte heller varför IMY avgränsar tillsynen till att enbart titta på brister i själva skyddandet av de behandlade uppgifterna (art 32 och 5.1 f), men inte för något resonemang alls kring laglig grund, rätten till information eller ifall det föreligger ett gemensamt personuppgiftsansvar med Meta?

Jag anser också att IMY:s skrivning om att uppgifterna inte hämtas från webbesökarens terminal är mycket olycklig och kan få farliga följder för tolkning och praxis avseende samtycke för digital spårning.

Hade Avanza verkligen så dåliga dataskyddsrutiner eller var deras stora misstag att lita på Facebook?

Bakgrund

I juni 2023 testade några journalister på Sveriges radio olika företags webbplatser för att kolla om de följde lagar och regler för digital spårning – det som brukar kallas för ”cookie-samtycke”. Det var tyvärr en hel del företag som fastnade i detta nät, däribland Avanza och Länsförsäkringsgruppen inom den finansiella sektorn (samt tre apotek och ett vårdföretag). Det visade sig att dessa företag använde sig av ”Facebook-pixeln” (numera omdöpt till ”Meta-pixeln”) för att spåra besökares aktivitet på sina webbplatser och därmed rikta annonser mot dem när de sedan använder Metas tjänster som Facebook, Instagram, Messenger, etc.

Båda företagen hade även en ”tilläggstjänst” till Facebook-pixeln vid namn ”Avancerad matching” aktiverad. Kort beskrivet innebär den att Facebook-pixeln även samlar in uppgifter som besökaren lämnar i formulär, gör egna bedömningar av aktiviteter som verkar utgöra konvertering, osv utan att webbplatsägaren nödvändigtvis har definierat att dessa uppgifter ska samlas in. Alla insamlade uppgifter går naturligtvis direkt till Meta.

Eftersom jag själv delvis var delaktig i utredningen efter incidenten på Länsförsäkringar är jag ganska väl insatt i situationen. Av vad jag kan utläsa av tillsynsbeslutet för Avanza verkar både processerna som ledde fram till incidenterna samt resultatet av utredningsarbetet efteråt vara likartade i de båda bolagsgrupperna.

E-privacydirektivet och laglig grund

Varför är jag då kritisk till IMY:s tillsyn och beslut? Vi kan börja med deras obefintliga resonemang om laglig grund. I beslutet mot Bonnier förra året slog IMY fast – med hänvisning till EDPB – att den personuppgiftsbehandling som sker till följd av insamling genom samtycke till digital spårning enligt e-privacydirektivet fortsatt ska behandlas med samma lagliga grund – alltså samtycke.

Själva upprinnelsen till denna incident, och därmed tillsynen, var att Avanzas cookie-samtycke var bristfälligt. Jag förstår därför inte IMY:s ställningstagande om att e-privacydirektivet (LEK) inte är tillämpligt i detta fall?

Det är solklart att uppgifterna hämtades med hjälp av Facebook-pixeln och att detta kräver samtycke enligt LEK. Vill IMY öppna dörren för tolkning att digital spårning i lagens mening inte är teknikneutralt? Att kakor kräver samtycke men inte annan spårningsteknik? Eller handlar det enbart om att bevisa att IMY är behörig tillsynsmyndighet? Varför har de inte bara kopierat det tydliga resonemanget avseende detta i Bonnier-beslutet i så fall? Jag tycker att det är en mycket olycklig formulering de skriver i beslutet om Avanza:

”Denna informationshantering (själva överföringen till Meta antar jag, författarens kommentar) innebär inte att uppgifter lagrats i eller hämtats från en abonnents eller användares terminalutrustning och omfattas därmed inte av 9 kap. 28 § i LEK eller tidigare gällande motsvarande bestämmelse i lagen (2003:389) om elektronisk kommunikation.”

Antingen försöker IMY bryta ner behandlingen i irrelevanta mikrosteg som insamling, lagring, överföring och trampar sedan snett i den juridiska kvicksanden mellan LEK och GDPR, eller så har de helt enkelt inte förstått att det i praktiken är Meta som direkt samlar in uppgifterna från besökarens webbläsare till sina system där webbplatsägaren naturligtvis också kan hantera dem. Oavsett anledning är det inte bra då skrivningen riskerar att misstolkas som att annan spårningsteknik än kakor inte behöver samtycke enligt LEK.

En viktig grund för tillsynen borde därför ha varit om Avanza hade ett giltigt samtycke för behandlingen enligt mig. Svaret på denna fråga är ju självklart nej eftersom Avanza inte ens visste om att de utförde denna behandling – hur kan då ett informerat och tydligt samtycke anses föreligga?

Hur ser personuppgiftsansvaret ut egentligen?

Sedan undrar jag om Meta verkligen inte använder all data de samlar in med hjälp av pixeln för att bygga användarens profil på Metas tjänster? Stämmer då de uppgifter om detta som lämnats till IMY i tillsynen? Alltså att Meta inte använt de insamlade uppgifterna för ”sina” syften. Har IMY pratat med Meta? Enligt min erfarenhet brukar varken webbyråer eller anställda på Meta Sverige kunna svara exakt på frågor om hur data flödar i dessa tjänster så det brukar krävas många frågor och stort tålamod för att komma till botten med det.

Det var ju även Meta som bestämde att införa dessa tilläggstjänster och det är min förståelse att de default slogs på för befintliga pixel-kunder vid lansering. Kunderna var därför tvungna att aktivt slå av dem enligt någon form av ”opt-ut-förfarande” vilket då bland andra Avanza missade. I min värld bestämde då Meta ändamål och medel för behandlingen och jag är därför tveksam till att någon anställd på Avanza verkligen aktiverat de här tjänsterna ”av misstag”.

Så är inte personuppgiftsansvaret då egentligen gemensamt med Meta? I synnerhet om man ska följa logiken i tidigare domar som exempelvis fallet med Fashion ID, som IMY för övrigt även hänvisar till i Bonnier-beslutet, men som är ännu mer relevant i detta fall då det också handlar om Facebook? Har inte Meta ett stort ansvar i detta? Varför kommer de undan helt i detta beslut?

Sammanfattningsvis

Behandlingen var olaglig då samtycket var ogiltigt samt innebar även ett röjande av banksekretessen. Problemen var därför inte primärt kopplade till bristande säkerhet i själva behandlingen då exempelvis mer pseudonymisering eller bättre behörighetsstyrning ändå inte hade fixat biffen. Den skulle helt enkelt aldrig ha satts igång. Jag tycker därför inte att art 32 samt 5.1 f är de enda relevant lagrummen för tillsynen utan att även 6 (laglig grund), 7 (villkor för samtycke, 12 (rätt till information) och 26 (gemensamt personuppgiftsansvar) borde ha beaktats.

Uppgifter hämtas från besökarens terminal och därmed är E-privacydirektivet genom LEK tillämplig för den lagliga grunden. IMY:s resonemang om detta i beslutet håller inte i praktiken.

Meta bestämde ändamål och medel avseende personuppgiftsbehandlingen i tjänsten Avancerad matchning samt aktiverade den för sina kunder alternativt att informationen till befintliga kunder var så bristfällig att de inte förstod konsekvenserna. Oavsett anser jag att Meta och Avanza är gemensamt personuppgiftsansvariga för behandlingen och därför borde även Meta omfattas av sanktionsavgifter. Hur lanseringen av tjänsten ”Avancerad matchning” gentemot befintliga Facebook pixel-kunder gick till borde kunna klargöras i efterhand genom frågor till Meta.

För mig skapar beslutet mer frågor än svar och efter tre års arbete med tillsynen tycker jag att IMY borde ha gjort ett bättre arbete. Jag väntar därför med spänning på vad de kommer fram till i det nästan identiska fallet med Länsförsäkringar (där jag har lite mer förstahandsinformation), samt de tre apoteken och vårdföretaget. Jag kan sätta en slant på att även i dessa fall kommer det rapporteras om otydlighet om hur Avancerad matchning egentligen blev aktiverat.

Självklart har Avanza brustit i sitt personuppgiftsansvar och bör betala för det, men deras största misstag var enligt mig inte att de hade bristande interna dataskyddsrutiner – det var att de valde att använda sig av Metas tjänster och lita på att Meta vill sina annonsörers och användares bästa. Det vill de inte. De vill tjäna pengar.


Publicerat

i

, ,

av

Etiketter:

Betyg: 1 av 5.

Kommentarer

Ett svar till ”IMY låter Meta komma undan”

  1. Torbjörn

    Riktigt bra och insiktsfullt, kan bara instämma i kritiken och resonemanget mot beslutet. Mer av detta!

    Tack

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *