Posts Tagged ‘Facebook’

Moderne forbruker, utdatert lov

15. mars 2012

Hvordan står det til med forbrukervernet når vi ikke lenger kjøper varer, men digitale tjenester? Hvilke rettigheter har vi – og viktigere – hvilke trenger vi når vi streamer musikk eller legger igjen informasjon på Facebook?

Det er i dag 50 år siden John F. Kennedy lanserte ett sett med grunnleggende forbrukerrettigheter i en tale til den amerikanske Kongressen. Blant rettighetene var retten til trygge produkter, rett til informasjon, retten til å velge og retten til å bli hørt.

JFKs prinsipper ligger i bunnen av mye av dagens forbrukerlovgivning. Samtidig er det grunn til å spørre om i hvilken grad de ble med over i den digitale forbrukerhverdagen.

Dagens lovgivning gir deg god beskyttelse når du kjøper bil eller kjøleskap, men kommer som oftest til kort i møte med digitale tjenester. I dag er produkter som ikke er håndgripelige, unntatt fra alminnelige forbrukerbeskyttelse.

Det betyr at når du kjøper musikk på iTunes eller laster ned spill til konsollen din, så er det lite eller ingenting å hente i dagens forbrukerlovgivning hvis noe går galt.

Også når vi betaler med personinformasjon eller oppmerksomhet kommer den tradisjonelle forbrukerlovgivningen til kort. I en slik forretningsmodell er det oss brukere som er selve produktet, og markedsføreren kunden.

Vår personinformasjon er det Facebook tjener penger på. Videresalg av opplysinger om hvem vi er og hva vi liker er grunnlaget for hele Facebooks forretningside. Men hvilke rettigheter vi har som brukere og produkt er uklart.

Og for å komplisere bildet ytterligere; når vi kjøper et fysisk produkt, er stadig oftere egenskapene definert ved programvare, slik som en smarttelefon eller en bil. Disse egenskapene kan også endres i etterkant – både til det bedre og det dårligere, og kommer da i form av såkalte oppdateringer.

Så hvor står vi da?

Tradisjonelt tar forbrukerlovgivningen utgangspunkt i at forbrukeren er den svake part i møte med butikken – og begrenser derfor butikkenes avtalefrihet. Den samme begrensningen finnes ikke i den digitale verden, og kommer klart til uttrykk hver gang vi handler et digitalt produkt.

For å kunne benytte en nettjeneste eller installere en programvare, styres vi inn i en kontraktssituasjon hvor vi enten kan godta utilgjengelige, uforståelige og ofte urimelige vilkår eller miste muligheten til å benytte tjenesten. Hvor ofte leser du en hel avtale – eller sier nei takk og klikker deg ut?

Forbrukerrådet har gjennomgått brukervilkår til en rekke tjenester. Det sier seg selv at de færreste av oss orker å lese eller evner å forstå brukervilkår på over 10 000 ord man blir presentert før man kan benytte man spillkonsollen man har kjøpt.

Konsekvensen er at vi mer eller mindre bevisst godtar urimelige avtaler som fratar oss opplagte person- og forbrukerrettigheter. Avtaleapatien stiger og vi huker ukritisk av de vilkårene som blir presentert for oss.

Dersom kunden mener hun ikke har grunn til å stole på butikken, lar hun være å handle. I Brussel har det fra flere hold, og over lengre tid blitt hevdet at “consumer trust and confidence” er helt avgjørende for å løse ut det potensialet i et europeisk, digitalt marked.

Vi kunne ikke være mer enig. Samtidig harmoniserer dette dårlig med at digitale tjenester er unntatt fra det nylig vedtatte forbrukerdirektivet, som etter hvert også blir norsk lov.

Dermed fortsetter en utvikling der det på mange måter har utviklet seg et parallelt avtaleunivers for digitale tjenester, hvor elementære prinsipper blir forsøkt omgått, overkjørt og vridd på.

Vi opplever en vidunderlig ny, digital verden, der mulighetene synes uendelige. Samtidig er vi også i en situasjon der vi er produktet i tjenestene vi benytter. Vi benytter teknologier vi ikke fullt ut forstår og uten den forbrukerbeskyttelsen vi tar for gitt i andre sammenhenger.

Dette samsvarer dårlig med de rettighetene JFK lanserte for 50 år siden. Et ensidig vern av kjøpersiden i den digitale verden er ingen tjent med – heller ikke de som skal tjene penger på nett.

Det irske datatilsynet slår ned på Facebook

22. desember 2011

Det irske datatilsynet har i løpet av 2011 mottatt en rekke klager på Facebook, deriblant Forbrukerrådets fra tidlig i høst, og har gjennomført en granskning av selskapets håndtering av personopplysninger. Nå har tilsynets rapport kommet ut, og de har virkelig gjort en grundig jobb, som igjen kommer til å medføre mye jobb for Facebook i året som kommer.

Rapporten, som er på 150 sider, gjennomgår 17 forskjellige områder, og lister opp funn og forslag til forbedring på absolutt alle punkter. Her er et lite utdrag av funn og tiltak, oversatt av oss:

  • Forenkle forklaringene som følger Facebooks personverninformasjon
  • Forsterke brukernes muligheter til å ta informerte valg basert på tilgjengelig informasjon
  • Facebooks nåværende linje med å beholde ad-click data på ubestemt tid er uakseptabelt
  • Innsamlede personopplysninger skal slettes når hensikten de ble samlet inn for ikke lenger er tilstede
  • Facebook informerer i dag ikke brukerne godt nok om at deres aktivitet på forskjellige nettlesere på forskjellige maskiner arkiveres
  • Informasjonen som gis brukerne i forbindelse med å tillate tredjepartsapplikasjoners  tilgang til og bruk av informasjon, er i dag for kompleks for at brukerne skal kunne ha  en meningsfull oppfatning av hva som egentlig skjer
  • Brukerne må, gjennom hensiktsmessig informasjon og andre verktøy, gis muligheten til å foreta informerte valg, når de gir tredjepartsapplikasjonene tilgang til brukerens personopplysninger

Og sånn fortsetter listen.

Forbrukerrådet oppfatter at vi gjennom denne rapporten har fått svar på enkelte av de overordnede spørsmålene vi stilte i vår opprinnelige klage. Datatilsynet konkluderte med at norsk lov ikke kom til anvendelse, og slik vil det også være dersom forslaget til nytt Data Protection Directive går gjennom slik det foreligger nå.

Det irske datatilsynet konkluderer ikke med at et samtykke som gis Facebook er for svakt fundert til å hjemle innsamlingen og bruken av personopplysninger, men kommer med konkrete forslag og sterke oppfordringer til Facebook om å bedre tilgangen til informasjon på en rekke områder. Kommisjonens forslag til ny regulering søker også å styrke det informerte samtykket som rettslig grunnlag for behandling av personopplysninger.

Forbrukerrådet har også stilt spørsmål om Facebooks eventuelle ansvar for tredjepartsapplikasjoner, og selv om det irske datatilsynet ikke konkluderer på dette punktet, foreslår de mange tiltak for å bedre brukernes forståelse av tredjepartsapplikasjonenes innhenting og bruk av personopplysninger.

I irske datatilsynet har gitt Facebook frister på en rekke av tiltakene allerede i begynnelsen av 2012, og samtidig venter vi en offisiell oppstart av arbeidet med nytt Data Protection Directive i januar.

Veike retningslinjer for adferdsbasert markedsføring

9. desember 2011

Mye av eksistensen til selskaper som Facebook og Google bygger på muligheten til å personifisere reklame ut fra de sporene vi legger igjen på nett, såkalt adferdsbasert markedsføring på nett eller ”online behavioral advertising” (OBA). At dette har opplagte utfordringer for person- og forbrukervernet er lett å se.

For å ta tak i noen av disse utfordringene har nå The Interactive Advertising Bureau blitt enige med resten av bransjen om en form for selvregulering, en såkalt ”Best Practice Recommendations” for å sikre at denne formen for overvåkning skjer innenfor visse grenser.

BEUC, organisasjonen som samler de aller fleste europeiske forbrukerorganisasjonene, har nå sett nærmere på anbefalningene, og er ikke spesielt imponert.

Som ofte blir problemet definert som et informasjonsproblem som kan løses med mer informasjon – i denne sammenhengen med et klikkbart ikon på sider som benytter seg av OBA.

BEUC påpeker i brev til Mr. Jacob Kohnstamm, Chairman of the Article 29 Working Party flere svakhetene ved selvreguleringen:

  • Retningslinjene dekker langt fra alle aktørene, og heller ikke alle sidene ved denne typen markedsføring. At retningslinjene er frivillige hjelper heller ikke.
  • Å benytte et symbol på nettsidene er langt fra tilstrekkelig. Det er en kjensgjerning at få klikker seg videre og faktisk leser informasjonen.
  • Og skulle man faktisk lese informasjonen, er den ubalansert og dekker over alvorlige personvernmessige sider ved denne formen for markedsføring.

Det er derfor ikke vanskelig å være enige med BEUC når de ber om at bekymringen for bransjens selvregulering må tas på alvor.

For vi er ikke i tvil om at vårt personvern på nett fortjener bedre beskyttelse enn uforpliktende og veike retningslinjer.

 

EU skifter personvernskurs?

2. desember 2011

Data Protection Directive (DPD), som også ligger til grunn for den norske personopplysningsloven, er under revisjon i EU. Forbrukerrådet har de siste årene engasjert seg i spørsmål knyttet til personvern, og har tidligere klaget Facebook og Zynga inn for Datatilsynet for mulige brudd på norsk personopplysningslov.

Datatilsynet kom i sommer til at norsk lov ikke kommer til anvendelse i det hele tatt, all den tid Facebook er etablert i Irland. Vi har derfor videresendt klagen vår til det irske datatilsynet, og avventer nå svar derfra.

Vi har også vært i Kommisjonen og presentert Facebooksaken for gruppen som jobber med revisjonen av DPD, og fikk gehør for at det var et problem for brukere å måtte forholde seg til et tilsyn utenfor eget land og språk.

Dette gehøret ser det ut til at har stoppet på veien opp mot de politiske toppene. EUs DG for justis og fundamentale rettigheter, Vivian Reding, tok i begynnelsen av uken til ordet for å beholde prinsippet om etablering, og dermed ikke følge (rettssikkerhets)sporet mot prinsippet om bosted.

Dette er et problem.

Gjennom et harmonisert regelverk oppnår man den uniformertheten bransjen krever, samtidig som den enkelte bruker har tryggheten i å kunne forholde seg til et lov- og tilsynsverk i eget land. Jeg tviler dessuten på at Kommisjonen tar høyde for å dimensjonere det irske datatilsynet for den europeiske tilsynsjobben de nå har, og kommer til å fortsette å ha, dersom Reding får det som hun vil.

 

Irsk lov for norske Facebook-brukere

22. september 2011

Forbrukerrådet har lenge arbeidet med sosiale medier og personvern, og klaget i 2010 Facebook og terdjepartsleverandøren Zynga inn for Datatilsynet. I tillegg til å stille spørsmål om lovligheten og omfanget av datafangsten og bruk av personlig informasjon, ønsket vi en avklaring på spørsmålene:

  • Gjelder norsk lov for Facebook i Norge?
  • Er det tilstrekkelig lovlig grunnlag for innsamling og bruk av personopplysninger å klikke på en boks?
  • Hvor langt strekker Facebook sitt ansvar seg for tredjepartsapplikasjoner som opererer på Facebook?

Datatilsynet svarte oss i april og konkluderte med at nordmenns personvernrettigheter på Facebook reguleres av irsk lov, all den tid selskapet er registret i Irland. Samtidig bad Datatilsynet, sammen med de øvrige nordiske tilsynene, Facebook redegjøre for hvordan de behandler brukernes personopplysninger.

Vi opplever det som lett absurd at vi må henvende oss til det irske datatilsynet for å få en avklaring om hva Facebook kan og ikke kan foreta seg i Norge. Facebook er på norsk og utvilsomt rettet mot norske forbrukere. Facebook har også en økonomisk binding de nasjonale brukerne ved at personinformasjonen vår brukes til individualisert markedsføring.

Det irske datatilsynet svarte oss i august i år, og pekte kun på et initiativet fra Datatilsynet og ders søsterorganisasjoner i Norden. Vi har svart tilbake, og forklart forskjellen på et tilsyn og en interesseorganisasjon, ansvarsområdet og verktøy, samtidig pekt på sentrale forskjeller i våre henvendelser. Dette brevet har vi ennå ikke fått noe svar på.

I neste uke tar vi derfor turen til Brussel, og vil diskutere våre ovennevnte erfaringer med de som har ansvaret for revisjonen av direktivet som personopplysningsloven bygger på.

Forbrukerrådet ønsker nasjonal behandling av tjenester som er rettet mot norske brukere samtidig som Facebook må gjøres (med)ansvarlig for hva andre tjenesteytere på Facebook gjør.

Vi er like fornøyde brukere av Facebook som mange andre, men synes ikke at det skal være nødvendig å skrive brev til Irland om det er noe vi lurer på, eller tror er i strid med lov eller forskrift.

Er det så mye å be om?