Adferdsbasert markedsføring
Vanskelig navigering i personvern og andre juridiske krav
De siste to årene har det kommet flere avgjørelser fra EU domstolen og europeiske datatilsyn som har betydning for digital markedsføring. Sist ut er det irske datatilsynets overtredelsesgebyr til LinkedIn på 310 millioner euro for brudd på personvernregelverket (GDPR) ved adferdsbasert og målrettet markedsføring mot medlemmene. Denne avgjørelsen føyer seg inn rekken av flere vedtak hvor datatilsynene i EØS slår ned på ulovlig digital markedsføring og sporing på nett.
Hva er adferdsbasert og målrettet markedsføring?
Adferdsbasert og målrettet markedsføring er en sentral strategi for mange virksomheter. Dette inkluderer kundeklubber, markedsplasser, netthandel, sosiale medier, aviser, hjemmesider, mm. Mer kunnskap om den enkeltes preferanser gir potensiale for økt salg. For å skape detaljerte brukerprofiler, samles inn og analyseres personopplysninger, ofte fra forskjellige kilder. Informasjonskapsler (cookies) er et verktøy som brukes på nettsider for å registrere og spore brukerens adferd. Brukerprofilene brukes til å tilpasse markedsføringsbudskap til individuelle brukere basert på deres antatte preferanser og adferd. Selv om markedsføringen kan oppleves mer relevant og øke effektiviteten i markedsføringskampanjer, reiser det også viktige spørsmål om personvern, digital sporing og andre juridiske krav.
Flere av sakene fra tilsynene og EU-domstolen gjelder store online-plattformer, men reglene gjelder også for andre virksomheter som bruker adferdsbasert eller målrettet annonsering, blant annet kundeklubber, netthandel, markedsplasser m.m.
I denne artikkelen ser vi nærmere på noen av avgjørelsene og utvalgte juridiske krav.
Flere interessante avgjørelser de siste årene
I 2024 besluttet Datatilsynet en irettesettelse til selskapet Disqus for brudd på personvernreglene i 2018-2019. Disqus er et amerikansk selskap som blant annet tilbyr kommentarfeltløsninger og programmatisk annonsering til nettsider. Disqus Cookies var blant annet brukt på p3.no og tv2.no/broom. Den samlet blant annet inn følgende data: unik ID, URL, IP-adresse, bruker ID (for innloggede brukere), språk mv. I saken og ikke-spor banner. Disqus samlet også inn personopplysninger ved besøk på andre nettsteder som også kjørte tjenesten. Datatilsynet la også til grunn at Disqus samlet inn informasjon om kategorien av nettsiden, slik som «business, celebrity, culture, entertainment, games, living, news, tech, style og sports». Disqus omtalte dette som «segmentering» av de registrerte, og ikke profilering i GDPRs forstand. Datatilsynet mente imidlertid at det var profilering i GDPRs forstand. Datatilsynet fant det imidlertid ikke bevist at Disqus hadde formidlet adferdsbasert markedsføring til de registrerte på bakgrunn av personopplysninger som ble samlet inn fra de norske nettstedene.
Tilsynet la for øvrig til grunn
- At en generell forhåndsinnstilling i den registrertes nettleser ikke oppfyller vilkårene for et gyldig samtykke etter personvernforordningen
- At særregelen om cookies i ekomloven § 2-7 b ikke regulerer de etterfølgende behandlingsaktivitetene, her overføringen av personopplysninger til morselskapet i USA.
Datatilsynet bruker i sin praksis begrepet «adferdsbasert markedsføring». Adferdsbasert markedsføring er ikke definert i GDPR, men Datatilsynet har i Meta-saken uttalt at begrepet inkluderer «targeting ads on the basis of inferences drawn from observed behaviour as well as on the basis of data subjects’ movements, estimated location and how data subjects interact with ads and user-generated content. Slik vi forstår vedtaket, inkluderte Metas adferdsbasert markedsføring også profilering og monitorering av enkeltpersoner.
Uttalelsene er gitt i forbindelse med Datatilsynets vurdering av Metas sporing av brukerne for markedsføringsformål. I vedtaket kom Datatilsynet til at den adferdsbasert markedsføringen ikke kunne baseres Metas berettigede interesse, men måtte ha samtykke fra brukerne. Datatilsynet uttalte at vedtaket ikke var ment å hindre Meta å drive med markedsføring på generelt grunnlag, men at Metas adferdsbaserte markedsføring verken var nødvendig for å oppfylle en avtale med brukerne eller kunne baseres på Metas berettiget interesse. Vedtaket var ikke ment å hindre markedsføring basert på informasjon i «Om»-feltet i brukerprofilene eller generalisert annonsering. Som eksempel på slik markedsføring nevnte Datatilsynet kampanjer basert på «profile bio information, targets ads towards females between 30 and 40 years of age residing in Oslo and who have studied engineering.» Slik vi forstår uttalelsene, anses dette ikke som adferdsbasert markedsføring, men grensene er vanskelig å trekke i praksis.
I 2013 fikk Bonnier et overtredelsesgebyr på 13 millioner svenske kroner fra det svenske datatilsynet (Integritetsskyddsmyndigheten – IMY). Hovedbegrunnelsen var at Bonnier profilerte sine kunder og nettstedsbrukere for markedsføringsformål uten uttrykkelig samtykke. Basert på en vurdering av selskapets berettigede interesser, hadde Bonnier samlet inn personopplysninger fra ulike kilder som senere ble benyttet til å målrette annonser på hjemmesiden, markedsføring per post og telefonsalg. IMY viste blant annet til:
«Det handlar till exempel om uppgifter om köp som gjorts i olika bolag i koncernen och surfbeteenden, alltså hur internetanvändare surfat på bolagens webbplatser. I vissa fall samkörs dessa uppgifter även med andra personuppgifter som köps in utifrån som exempelvis uppgifter om kundens kön, hushållets bilägande och postnummer, samt statistiska uppgifter baserade på den enskildes bostadsområde såsom livsfas, köpkraft och boendeform.»
IMY la til grunn at kundene, de registrerte personene, ikke kunne forvente at adferdsdata samles inn for markedsføringsformål bare fordi de har besøkt en nettside. De kan heller ikke forvente at adferdsdata kombineres med opplysninger fra en annen kjøpssituasjon eller innhentet fra et annet register med det formål at de skal bli kontaktet for telefonsalg eller direkte markedsføring. IMY la til grunn at slik omfattende profilering krever samtykke fra den enkelte.
Vedtaket fra IMY er påklaget og endelig avgjørelse foreligger ikke per 8. november 2024.
I en avgjørelse fra det franske datatilsynet (CNIL) i 2023 ble selskapet Criteo, som spesialiserer seg på adferdsbasert reklame, ilagt en bot på 40 millioner euro etter klager fra to ideelle organisasjoner – Privacy International og None of Your Business (NOYB).
Criteos modell bestod i å spore navigasjonen til Internett-brukere for å kunne vise personlig tilpasset reklame. Til dette formålet samlet selskapet inn nettleserdata fra Internett-brukere ved hjelp av en tracking-cookie (informasjonskapsel) som ble plassert på brukerens PC, mobil, nettbrett mv. når de besøkte en Criteo-partners nettsted. Ved hjelp av denne cookien/trackeren samlet Criteo inn informasjon og analyserte brukernes surfevaner for å finne ut hvilken annonsør og for hvilket produkt det var mest relevant å vise en annonse til en bestemt bruker. Deretter deltok selskapet i sanntidsbudgivning om annonseplasser, og viste personlig tilpasset reklame til brukeren hvis det vant budgivningen.
Forenklet kan prosessen illustreres som følger:
Det franske datatilsynet avdekket flere brudd på GDPR, blant annet mangelen på dokumentasjon på de registrertes samtykke, jf. GDPR art. 7 nr. 1. CNIL la til grunn at Criteo ikke hadde sørget for at samarbeidspartnerne hadde innhentet samtykke fra brukerne sine til å bruke Criteos informasjonskapsler. I praksis var det Criteos partnere som var ansvarlig for å innhente samtykke, ettersom de var i direkte kontakt med brukerne, men tilsynet holdt Criteo ansvarlig for å verifisere at slikt samtykke faktisk var innhentet fra brukerne. Criteo hadde heller ikke sørget for at kontrakten med partnerne inneholdt et klausul som forpliktet partneren til å fremlegge dokumentasjon på brukernes samtykke.
I avgjørelsen la tilsynet blant annet vekt på at behandlingen av personopplysninger gjaldt et stort antall registrerte personer, ca. 370 millioner identifiserte brukere i EU, og at Criteo behandlet et stort omfang av personopplysninger om handlingsvaner for internettbrukere. Selv om Criteo ikke hadde navnet på brukerne, anså tilsynet at dataene var tilstrekkelige til å re-identifisere individene i noen tilfeller.
I avgjørelsen fra det irske datatilsynet (Irish Data Protection Commission) mot LinkedIn i oktober 2024 fremgår det av publisert informasjon at avgjørelsen om overtredelsesgebyr er basert på tre sentrale elementer.
- Bruk av tredjeparts data (personopplysninger) for adferdsbasert analyse og målrettet reklame hvor samtykket fra medlemmene ikke var frivillig.
- Behandling av «first party» personopplysninger for adferdsbasert analyse og målrettet reklame, samt tredjeparts data for analyse, kunne ikke baseres på berettiget interesse, GDPR art. 6 nr. 1 f). Hensynet til den enkeltes personvern gikk foran. Dette understreker hvor viktig det er å gjøre en grundig vurdering av de registrertes rett til personvern.
- «First party data» for adferdsbasert analyse og målrettet reklame som ikke kunne baseres på avtale, GDPR art. 6 nr. 1 b).
Hele avgjørelsen er foreløpig ikke publisert.
Læringspunkter
Avgjørelsene fra de europeiske tilsynene gir veiledning i hvordan virksomheter skal ivareta personvern ved adferdsbasert og målrettet markedsføring. Overtredelsesgebyrene understreker viktigheten av å ha et solid og tydelig juridisk grunnlag for all behandling av personopplysninger i markedsføringsøyemed.
Læringspunkter fra disse avgjørelsene er særlig:
– Den behandlingsansvarlig må sørge for at tilstrekkelig og frivillig samtykke foreligger og kan dokumenteres. Dersom en samarbeidspartner er ansvarlig for å innhente samtykke, må:
- Forpliktelsen klart fremgå i en kontrakt mellom partene
- Den som innhenter samtykke, forpliktes til å fremlegge dokumentasjon for den behandlingsansvarlige (proof of consent)
- Den behandlingsansvarlig påse/revidere at partner overholder sine forpliktelser.
– Samtykke må være tilstrekkelig klart og spesifikt. Dersom det er flere forskjellige formål, må man be om samtykke til hvert enkelt separat
– Informasjonen til de registrerte må inneholde alle formålene med behandlingen, og være tilstrekkelig klar og lett tilgjengelig.
– Å bruke berettiget interesse som behandlingsgrunnlag, krever grundige vurderinger av de registrertes interesse og lovligheten generelt. Adferdsbasert markedsføring vil i mange tilfeller ikke kunne skje på grunnlag av berettiget interesse, men må baseres på samtykke.
– For å benytte kontraktsforpliktelse som behandlingsgrunnlag, kreves det at den relevante behandlingen av personopplysninger objektivt sett er nødvendig for å oppfylle avtalen, sett opp mot avtalens kjerneelementer. For eksempel la EU-domstolen i Meta-saken til grunn at hovedformålet fra brukernes perspektiv var kommunikasjon og interaksjon med hverandre og ikke målrettet markedsføring.
Vurderingen av hva som er tilstrekkelig behandlingsgrunnlag, må gjøres konkret for hver virksomhet og for de forskjellige behandlingsaktivitetene.
I lys av de nylige avgjørelsene, og EDPBs veiledning, bør alle virksomheter som benytter seg av adferdsbasert og målrettet markedsføring, vurdere og dokumentere at markedsføringen og behandlingen av personopplysningene er lovlig.
Andre juridiske krav
I tillegg til personvernreglene, er det også andre regler som må ivaretas ved digital markedsføring, blant annet:
- Bruk av informasjonskapsler (cookies) mv: Informasjonskapsler og annen teknologi er ofte brukt i målrettet markedsføring for å spore og analysere brukeradferd. Bruk av slike teknologier krever også at virksomheter overholder kravene i lov om elektronisk kommunikasjon (ekom-loven). I den nye ekom-loven som behandles i Stortinget denne høsten er det i § 3-15 stilt uttrykkelige krav til både informasjon til og samtykke fra brukeren før informasjonskapsler plasseres på brukers kommunikasjonsutstyr, eksempelvis mobiltelefon eller PC. Også annen teknologi enn informasjonskapsler vil bli omfattet av bestemmelsen.
- Etiske overveielser og god markedsføringsskikk: Utover de personvernrettslige kravene, må virksomheter også vurdere etiske og forbrukeraspekter ved målrettet markedsføring. Det er viktig å unngå praksiser som kan oppfattes som manipulerende eller utnyttende. Dette inkluderer å unngå målrettet markedsføring basert på personlige kriser eller sårbarheter, som kan anses som ulovlig handelspraksis eller urimelige vilkår under markedsføringsloven.
- Markedsføringslovens krav om samtykke ved markedsføring via elektronisk post, typisk epost.
I tillegg må den behandlingsansvarlige etablere rutiner og tiltak som ivaretar den registrertes rettigheter. Ved direkte markedsføring, har den registrerte til enhver tid rett til å protestere mot behandlingen av personopplysninger som angår vedkommende, til slik markedsføring, herunder profilering i den grad dette er knyttet til direkte markedsføring, jf. GDPR art. 21 nr. 2 og 3.