Posts Tagged ‘EU’

EU gir brukerne bedre kontroll over egne data

25. januar 2012

EU-kommisjonen la i dag frem et forslag til oppdatert personvernlovgivning. Forslaget er et langt steg i riktig retning når det gjelder å gi forbrukerne kontroll over bruk av egne data.

Kommisjonens forslag gjelder både on- og offline, men er spesielt viktig for vår nettbruk, og  går langt i å diktere hvordan firmaer kan og ikke kan benytte personlige informasjon når brukerne handler eller kommuniserer ved hjelp av e-post, sosiale nettverk og lignende.

Blant flere lyspunkter:

  • Større gjennomsiktighet. Forbrukerne må informeres tydelig om hvilken informasjon som benyttes  av hvem, i hvilken hensikt og hvor lenge informasjonen lagres.
  • Varsling når data kan være på avveie (Data Breach Notification). Brukere skal informeres når noe går galt i firmaets håndtering av brukernes personlig informasjon.
  • Det skal bli enklere å flytte personlig data mellom de ulike tjenestene, slik at det enklere å bytte mellom ulike leverandører.
  • Personvern skal være implementert og utgangspunkt i alle relevante tjenester.
  • Datatilsynene i Europa får mer makt til å føre tilsyn med disse lovene, mens privatpersoner kan ta saken til rettsvesenet, enten på egen hånd eller ved hjelp av en  forbrukerorganisasjon.

Og for å sitere den den europeiske forbrukerorganisasjonen BEUC “Today the EU is taking a large step towards giving data rights back to its rightful owners, individuals themselves.”

Advertisements

Bransjenorm for atferdsbasert reklame avvist av EUs uavhengige personvernråd

16. desember 2011

Tidligere denne måneden skrev vi at The Interactive Advertising Bureau (IAB) sammen med resten av bransjen (EASA) var blitt enige om en selvreguleringsnorm, såkalt ”Best Practice Recommendations”, for å sikre at atferdsbasert markedføring (OBA) finner sted innenfor et rammeverk. Nå er det klart at Article 29 Data Protection Working Party (Art 29 WP), EUs uavhengige rådgivende organ for personvern, har forkastet forslaget fra bransjen.

Først og fremst foreslår bransjenormen å innføre et ikon for atferdsbasert markedsføring i hele EU, som skal lenke til bakgrunnsinformasjon og tilgang til mekanismer for brukerkontroll på forskjellige språk. Ikonet skal vises på annonser basert på brukerens atferd. Ved å klikke på ikonet vil brukeren omdirigeres til et nettsted der de kan finne informasjon om, og få mulighet til å deaktivere, atferdsbasert reklame.

Art 29 WP baserte avvisningen på to elementer som var for dårlig ivaretatt: åpenhet og brukerens valgfrihet.

Når det gjelder åpenhet, mener Art 29 WP at et ikon i seg selv ikke er tilstrekkelig for å informere brukerne om bruk av cookies fordi:

  • Den gjennomsnittlige bruker vil ikke kunne gjenkjenne ikonets underliggende mening uten ekstra informasjon gitt ved siden av.
  • Å bare sette ordet «reklame» ved siden av ikonet er ikke nok til å informere brukeren om at annonsen bruker cookies for å lage atferdsbasert reklame.
  • Ikonet i seg selv og nettstedet http://www.youronlinechoices.eu gir ikke nøyaktig og lett forståelig informasjon om de forskjellige reklamenettverkene og deres formål med å plassere cookies på brukerens datamskin.

Når det gjelder brukernes valgfrihet, mener Art 29 WP at selv om brukere gis muligheten til å velge bort atferdsbasert reklame, er dette ikke forenlig med EUs ePersonverndirektiv, ettersom opplysninger faktisk behandles uten brukerens samtykke og uten å gi brukeren informasjon før de brukes:

  • Selv om den cookien som aktiveres hvis brukeren velger bort atferdsbasert reklame (opt-out cookie) hindrer ytterligere atferdsbasert reklame, stopper dette verken reklamenettverket fra å få tilgang til eller lagre informasjon på brukerens datamaskin.
  • Brukeren blir ikke informert om hvorvidt en cookie som overvåker internett-aktivitet forblir lagret på datamaskinen og hvilket formål denne i tilfelle har.
  • Mens installasjon av en opt-out cookie ikke gir brukeren mulighet til å administrere og slette tidligere installerte sporings-cookies, skapes det samtidig et feilaktig inntrykk av at å velge bort atferdsbasert reklame deaktiverer sporing av internettatferden.

Art 29 WP var også bekymret for at bransjen foreslår at et barn over 12 år skal kunne ta beslutninger i forhold til behandlingen av sine egne personopplysninger, og mener bransjen istedet burde forholde seg til lovgivningen i det enkelte land. De var også kritiske til at normen overhodet ikke sier noe om hvordan bransjen skal sikre god etterlevelse og håndheving av sine egne regler.

I forkant av møtet Art 29 WP hadde med bransjen i september  sendte BEUC, den europeiske forbrukerorganisasjonen, et brev for å ta opp en rekke bekymringer de hadde i forhold til forslaget fra bransjen.

EU styrker personvernet

13. desember 2011

I et utkast til EUs forslag til nytt personverndirektiv, planlagt offentliggjort i januar 2012, og som Forbrukerrådet har fått i hånden, er det klart at EU-kommisjonen vil styrke personvernet og gi brukerne større råderett over egne data og personopplysninger.

For å gi brukerne større makt foreslår EU-kommisjonen blant annet at:

  • innsamling av data fra privatpersoner skal begrenses til et minimum
  • personvern skal være implementert i alle relevante tjenester (privacy by default)
  • personopplysninger skal kun publiseres dersom brukere aktivt velger det
  • personopplysninger, innhold og metadata slettes så snart en bruker ber om det
  • hvis tjenesteleverandører mister kontrollen over personopplysninger, skal brukeren få beskjed innen 24 timer.

I utkastet foreslås det også å opprette egne «personvernombud» i  organisasjoner som samler inn persondata og som  har flere enn 250 ansatte. Det legges også opp til at de nasjonale datatilsynene skal få større makt og frihet.

De foreslåtte tiltakene  gir brukeren en helt annen makt enn de har i dag over sine egne  personopplysninger. Det er også interessant at EU-kommisjonen vil gi brukerne lov å ta med seg lagret data på tvers av tjenester og leverandører. Dette kan bidra til større innovasjon og konkurranse i markedet og dermed bedre tjenester og flere valgmuligheter for forbrukerne.

Også tjenester som er registrert andre steder enn i Europa, men som brukes flittig av norske og andre europeiske forbrukere, må forholde seg til EU-direktivet, men antagelig ikke nasjonale lover.

Direktivet skal visstnok legges frem av Kommisjonen i januar, og man kan vente seg heftige diskusjoner i prosessen frem mot vedtak i EU-parlamentet, fra EU-medlemslandene og helt sikkert fra ulike bransjeaktører. I følge Financial Times, som også har fått titte på forslaget, kan det ta både ett og to år før direktivet er banket og vedtatt i EUs institusjoner.

EU skifter personvernskurs?

2. desember 2011

Data Protection Directive (DPD), som også ligger til grunn for den norske personopplysningsloven, er under revisjon i EU. Forbrukerrådet har de siste årene engasjert seg i spørsmål knyttet til personvern, og har tidligere klaget Facebook og Zynga inn for Datatilsynet for mulige brudd på norsk personopplysningslov.

Datatilsynet kom i sommer til at norsk lov ikke kommer til anvendelse i det hele tatt, all den tid Facebook er etablert i Irland. Vi har derfor videresendt klagen vår til det irske datatilsynet, og avventer nå svar derfra.

Vi har også vært i Kommisjonen og presentert Facebooksaken for gruppen som jobber med revisjonen av DPD, og fikk gehør for at det var et problem for brukere å måtte forholde seg til et tilsyn utenfor eget land og språk.

Dette gehøret ser det ut til at har stoppet på veien opp mot de politiske toppene. EUs DG for justis og fundamentale rettigheter, Vivian Reding, tok i begynnelsen av uken til ordet for å beholde prinsippet om etablering, og dermed ikke følge (rettssikkerhets)sporet mot prinsippet om bosted.

Dette er et problem.

Gjennom et harmonisert regelverk oppnår man den uniformertheten bransjen krever, samtidig som den enkelte bruker har tryggheten i å kunne forholde seg til et lov- og tilsynsverk i eget land. Jeg tviler dessuten på at Kommisjonen tar høyde for å dimensjonere det irske datatilsynet for den europeiske tilsynsjobben de nå har, og kommer til å fortsette å ha, dersom Reding får det som hun vil.