Religion, politik og seksualitet kan blive dyrt for Facebook

Jurister vurderer, at firmaet med stor sandsynlighed bryder en lov, der snart kan give store bøder.

Når du bevæger dig rundt på Facebook, efterlader du digitale spor, der gør Facebook i stand til at lave en detaljeret profil over, hvad du sandsynligvis interesserer dig for.

Jeg mener sådan set ikke, at Facebooks betingelser lever op til persondataforordningen. Det betyder så, hvis min vurdering er rigtig, at den behandling Facebook foretager på baggrund af det her samtykke, ikke er lovlig.

Sten Schaumburg-Müller, Professor på juridisk institut på Syddansk Universitet

Det kan være uskyldige ting som katte, biler eller fodbold.

Men i en gennemgang af en stribe profiler, som P1 Orientering har lavet, viser det sig, at Facebook også gætter på brugernes religiøse, seksuelle og politiske interesser.

Problematiske ord

Eksempler på annonceinteresser der ifølge eksperter kræver særligt samtykke ifølge persondataforordningen:

  • Kommunisme
  • Feminisme
  • Kristendom
  • Islam
  • Konservatisme
  • Euroskepticisme
  • Liberalisme
  • Venstreorienteret
  • Nationalisme
  • Homoseksualitet
  • Vold
  • Højreekstremisme
  • Anarki
  • Hinduisme
  • Angst
  • USA’s republikanske parti
  • Socialdemokraterne

En af Facebook-profilerne var karakteriseret med ord som ‘islam’, ‘konservatisme’ og ‘euroskepticisme’.

En anden profil indeholdte ordene ‘kristendom’, ‘kommunisme’ og ‘feminisme’.

Jurister: Facebook på kant med loven

Og den profilering er i strid med både dansk og europæisk lovgivning, vurderer fire jurister, som P1 Orientering har talt med - primært fordi Facebook ikke har bedt sine brugere om lov til at danne den slags oplysninger.

- Jeg kan se adskillige bestemmelser i loven og i den underliggende forordning, som med stor sandsynlighed bliver overtrådt her, siger Søren Sandfeld Jakobsen, professor i IT- og medieret på Aalborg Universitet.

Professor på juridisk institut på Syddansk Universitet i Odense, Sten Schaumburg-Müller, er enig.

- Jeg mener sådan set ikke, at Facebooks betingelser lever op til persondataforordningen. Det betyder så, hvis min vurdering er rigtig, at den behandling Facebook foretager på baggrund af det her samtykke, ikke er lovlig, uddyber han.

Facebook kalder profilering for annonceinteresser

EU’s persondataforordning har siden 1995 krævet særlig beskyttelse af ‘personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold’.

For at kunne registrere den slags oplysninger om dig lovligt, skal Facebok have fået et tydeligt ja fra dig.

Det, der bliver kaldt et ‘udtrykkeligt samtykke’ ‘i en letforståelig og lettilgængelig form og i et klart og enkelt sprog’.

- Det betyder, at når de beder om lov, så skal de fortælle meget klart, hvad det er, de bruger oplysningerne til, sådan at man som bruger ved helt præcist, hvad det er, man har sagt ja til, forklarer lektor i persondataret på Syddansk Universitet Ayo Næsborg-Andersen og tilføjer:

Der foregår altså en eller anden automatisk datagenerering bag om ryggen på os, som vi ikke ved foregår, og som vi heller ikke giver samtykke til.

Anette Høyrup, seniorjurist hos Forbrugerrådet Tænk

- De må ikke gøre, som mange har gjort indtil nu, hvor man går ud fra, at hvis brugere ikke har sagt nej, så har de hermed sagt ja. Man skal aktivt ind og sige ja til, at Facebook må behandle følsomme data.

P1 Orientering har kortlagt en række Facebook-profilers annoncedata og forelagt det for de juridiske eksperter.

I de fleste profiler har Facebook dannet oplysninger om P1 Orienterings testpersoner, der ifølge EU-forordningen kræver særlig beskyttelse. De såkaldte annonceinteresser er eksempelvis homoseksualitet, islam eller højreekstremisme.

Facebook beder ikke om lov til datagenerering

Indtil for en måned siden bad Facebook slet ikke om samtykke til at behandle følsomme personoplysninger. Nu skriver de, at man selv kan ‘angive’ oplysninger om eksempelvis seksualitet eller religion.

Men de skriver intet om, at de selv danner den slags oplysninger ud fra din adfærd på nettet.

- Der foregår altså en eller anden automatisk datagenerering bag om ryggen på os, som vi ikke ved foregår, og som vi heller ikke giver samtykke til, siger Anette Høyrup, seniorjurist hos Forbrugerrådet Tænk.

Der er blevet lavet forskning på, hvad man kan fortælle ud fra folks likes på Facebook. Der kunne man med over 80 procents nøjagtighed sige, om folk var homoseksuelle, kristne eller muslimer.

Ayo Næsborg-Andersen, lektor i persondataret på Syddansk Universitet

- Hele persondataretten udspringer jo af et princip om, at man skal kunne opholde sig uovervåget i samfundet. Men Facebooks algoritme indsamler åbenbart på en eller anden måde alle de her meget forskellige følsomme oplysninger, uden at man er klar over det, siger hun.

Facebook: Det er blot et bud på interesser

P1 Orientering har været i dialog med Facebook i forbindelse med denne historie.

Og de gør det tydeligt, at de annonceinteresser, som Facebook putter på deres brugere, blot er et bud på interesser og ikke en persons faktiske karaktertræk.

- Det betyder, at nogen kan have en annonceinteresse, der er opført som "Gay Pride", fordi de har trykket ‘synes godt om’ på en side eller annonce relateret til en homoparade, men det afspejler ikke personlige karakteristika som køn eller seksualitet, skriver Facebook i et svar til P1 Orientering.

Derfor mener Facebook ikke, at deres profilering af folk falder ind under Persondataforordningens regler om særlige følsomme persondata.

- Vores annoncering er i overensstemmelse med gældende EU-lovgivning, og ligesom andre virksomheder forbereder vi den nye persondataforordning for at sikre, at vi er i overensstemmelse med det, når det træder i kraft, skriver de.

Men den tolkning er de jurister, P1 Orientering har talt med ikke enig i.

- Hvis Facebooks registrering af brugernes gøren og laden på nettet gør det muligt for Facebook at slutte sig til følsomme data om brugeren – eksempelvis vedkommendes politiske eller seksuelle observans, er dette følsomme data, der skal behandles derefter. Facebook skal sikre et udtrykkeligt samtykke til at behandle disse data, siger Søren Sandfeld Jakobsen.

Ayo Næsborg-Andersen supplerer:

- Der er blevet lavet forskning på, hvad man kan fortælle ud fra folks likes på Facebook. Der kunne man med over 80 procents nøjagtighed sige, om folk var homoseksuelle, kristne eller muslimer. Der er for stort et sammenfald mellem interesser og overbevisninger i mange tilfælde. Derfor er det følsomme data, som man skal kunne sige nej til, forklarer hun.

Det skriver Facebook om følsomme data

Indtil for en måned siden var følsomme persondata ikke nævnt i betingelserne. Nu er de kun nævnt ét sted, og der står følgende:

“Du kan vælge at angive oplysninger i felterne i din Facebookprofil eller i dine livsbegivenheder om dine religiøse overbevisninger, dine politiske holdninger, hvem du er "interesseret i" eller dit helbred. Disse og andre oplysninger (f.eks. racemæssig eller etnisk oprindelse, filosofisk overbevisning eller medlemskab af en fagforening) er underlagt særlig beskyttelse i henhold til EU-lovgivning.”

Facebook nævner altså kun data, som brugeren selv vælger at angive. Universitetsjuristerne kritiserer blandt andet, at den følsomme persondata, som Facebook selv genererer, ikke bliver nævnt med et ord.

Straffen bliver markant højere

Selvom reglerne om beskyttelse af følsomme oplysninger har en del år på bagen, så er det alligevel noget, som mange firmaer er ekstra opmærksomme på i disse dage.

For tidligere har straffen for at bryde reglerne ikke været specielt høj.

Hør Orientering på P1

Orientering bliver sendt på P1 kl. 16.07. I dag dækker de hele historien om Facebook.

Hvis du ikke når at høre udsendelsen direkte, kan du høre den her.

Men det er lavet om med EU’s nye persondataforordning. Her træder nye strafmuligheder i kraft den 25. maj, forklarer Ayo Næsborg-Andersen:

- Den højeste bøde, vi har set i Danmark indtil nu, har været på 25.000 kroner. Så det er ikke rigtig noget, der batter noget. I fremtiden vil vi se en strafferamme på op til 150 millioner kroner eller 4 procent af den årlige globale omsætning, siger hun og fortsætter:

- Jeg tænker, at der er nogle datatilsyn rundt om i Europa, der får travlt efter 25. maj.

Jurist: Her er Facebook på kant med loven

Professor i IT- og medieret på Aalborg Universitet Søren Sandfeld Jakobsen vurderer her, hvor Facebook er i karambolage med loven:

  • Samtykket er for upræcist - Et af kravene til et udtrykkeligt samtykke er, at det skal være “i en letforståelig og lettilgængelig form og i et klart og enkelt sprog”. Det lever Facebooks betingelser ikke op til. (Persondataforordningens artikel 7 stk 1)
  • Følsomme oplysninger ikke tilstrækkeligt nævnt - Kun et sted nævner Facebook de særlige kategorier af personoplysninger som seksualitet, religion og politisk overbevisning i sine nye betingelser. Og der står kun noget om de oplysninger, man selv kan angive - ikke dem Facebook genererer. (Persondataforordningens artikel 9)
  • Indsamler for meget - Facebook må ikke indsamle mere data, end “hvad der er nødvendigt”. Og da det er muligt for Facebook at fungere uden at generere følsomme personoplysninger, så er det ikke nødvendigt for dem at lave den profilering. (Persondataforordningens artikel 5 stk 1c)
  • Dårlig information - Du har ret til at vide præcis hvilke data, der bliver indsamlet om dig, og hvordan de data bliver benyttet. Oplysningen skal gives til dig, når indsamlingen sker. Her er Facebooks beskrivelse af, hvad de gør, for utydelig. (Persondataforordningens artikel 13)