Har du någonsin fått upp en annons i telefonen som får dig att ifrågasätta huruvida du är avlyssnad? Anna Eidvall är partner och advokat på MAQS Advokatbyrå, med en specialisering inom dataskyddsfrågor. Vi träffas för att diskutera beteendestyrd marknadsföring, och vad vi kan lära av turerna kring Meta.
Anna har under sin karriär jobbat på både byråer och bolag, idag är hon advokat och partner på MAQS i Stockholm. Tillsammans med Karin Schurmann leder hon ett specialistteam på 15 jurister som jobbar med frågor som rör personuppgifter och dataskydd.
– Jag fastnade för dataskydd ganska direkt, och jag tror att det var något som mina dåvarande kollegor uppskattade. Dataskyddsfrågor är något ökända i branschen, och framförallt när jag började jobba var det inte många som tyckte att det var speciellt kul. Idag ser vi att intresset har vuxit.
– Mängden data som samlas in idag, och kanske framförallt hur mycket den kan berätta om dig, kan kännas obehaglig för de flesta. Jag tror att det har väckt en medvetenhet hos privatpersoner som inte fanns där förut.
Beteendestyrd marknadsföring, det vill säga den typ av marknadsföring som är baserad på just dina personuppgifter, har vuxit exponentiellt de senaste åren. Alla har vi nog varit med om att få upp en annons för en produkt vi just diskuterat eller sökt på, och känt oss något bevakade.
Kan du berätta mer om beteendestyrd marknadsföring, och hur området har utvecklats på senaste tiden?
– Det som kanske utmärker området mest är att det är så otroligt personligt. Det handlar inte bara om segmenterade uppgifter, som vilket område du bor i, vad du har för kön, eller om du har familj. Med den här typen av datainsamling kan olika aktörer få tillgång till hur du exempelvis brukar handla, vad du googlar under vilka klockslag, och vad du har för storlek i kläder. Det är alltså inte så att du är avlyssnad, även om många skämtar om det, men att datan som samlas in är så detaljerad att den med stor precision kan gissa vilka produkter du kan vara intresserad av. Det innebär att du å ena sidan får en mycket mer personifierad annonsupplevelse, vilket kan kännas bekvämt för många. Men baksidan är ju såklart något skrämmande. Området är speciellt, då det tangerar många olika rättsområden. Ur ett privacyperspektiv är beteendestyrd marknadsföring integritetskränkande, och kan innebära enorma risker om datan hamnar i fel händer. Men ur ett ecom-perspektiv är det en enorm tillgång.
Apropå riskerna, vilka risker är de största?
– Allt handlar om vem som har tillgång till datan. Vi har sett hur data kan användas för att skapa stora desinformationskampanjer, och till och med styra utgången av val. Informationen skulle även kunna användas av kriminella nätverk till cyberbrottslighet, eller utpressning. I ljuset av de riskerna känns användning för marknadsföring inte alls lika farligt. Frågan blir var gränsen ska gå, och hur mycket data du ska kunna samla in om en person utan att kränka dennes identitet.
Meta har under lång tid hamnat i blåsväder rörande just deras datainsamling. Anna förklarar att det nästan kan kännas lite disproportionerligt, med tanke på att bolaget absolut inte är de enda som sitter på stora pooler av data. Nu senast lanserade Meta en “pay or consent” modell, där de som använder Metas tjänster (såsom Instagram eller Facebook) får välja mellan att antingen betala en månatlig avgift, eller samtycka till att deras data samlas in och säljs.
– Det är ett väldigt intressant fall att följa, inte minst för att det troligtvis kommer påverka hur data hanteras i de flesta bolag. När en så stor aktör behöver ändra sina processer kommer det med största sannolikhet påverka branschstandarden.
Vad är din syn på Meta-fallet, finns det ett etiskt sätt att bedriva beteendestyrd marknadsföring?
– Det etiskt riktiga bör vara att göra det på ett transparent vis och i enlighet med gällande regelverk. För att överhuvudtaget få samla in och behandla data på det här sättet behöver man först till exempel ha en laglig grund. Under en tolvmånaders period har Meta gått igenom tre olika lagliga grunder för sin behandling. Först avtal med användare , sen intresseavvägning. Efter att båda dessa grunder underkänts av EU domstolen har de övergått till samtycke. Det finns däremot många som tycker att ”pay or consent” modellen – där kravet på att betala för att ens personuppgifter inte får behandlas för beteendestyrd marknadsföring– är oetiskt i sig. Alla har helt enkelt inte råd att undvika behandling av ens personuppgifter vilket gör dataskydd till en klassfråga. EU domstolen har samtidigt öppnat upp för liknande modeller så länge avgiften är proportionerlig. Och rent krasst kommer Meta inte tillhandahålla plattformen om det inte kan tjäna pengar på något sätt, antingen genom den här typen av abonnemang, eller genom att samla in och sälja data. Det tror jag att många förstår, det är snarare så att fallet med Meta har gjort oss mer uppmärksamma på att det är så det ligger till.
För att vara lagligt måste det också vara transparent – eller ”öppet”. Annars är risken större att det kan kännas kränkande.
Anna berättar om ett fall i USA för några år sedan, som också gjorde många uppmärksamma på hur mycket privata aktörer kan veta om dig, saker som du kanske inte vet själv.
– I det här fallet var det en familjefar vars dotter helt plötsligt började få hem reklam för blöjor, ersättning, och andra babyprodukter från en stor amerikansk butikskedja. Han blev otroligt förvånad då dottern endast gick på högstadiet, och kontaktade kundsupport. Det uppdagades senare att dottern var gravid, vilket butikens algoritmer som analyserade kundernas köpbeteende hade snappat upp. Det är ett bra exempel, och då får man ändå sätta det i perspektiv av att det var flera år sedan, dagens teknik är mycket mer avancerad.
Beteendestyrd marknadsföring är såklart inte en helt oreglerad affär, och det finns många regelverk på plats som har till uppgift att skydda privatpersoners integritet. Anna spår att dessa regelverk kommer påverka utvecklingen av området i framtiden, men att det troligtvis inte kommer bli helt olagligt med beteendestyrd marknadsföring.
– Jag tror att man kommer kunna använda regelverken som en konkurrensfördel i framtiden. Det är inte olagligt att behandla personuppgifter – men det är viktigt att förstå gränserna och riskerna. Både i förhållande till individen och för bolaget i fråga. Det vi ser nu är framförallt att lagstiftningen hinner ikapp tekniken, som brukar springa före i den här typen av frågor. GDPR var startskottet på dataskyddsreglering, och den utvecklingen kommer troligtvis fortsätta.
Anna ger idag många bolag rådgivning i hur de ska utforma sina processer när det gäller dataanvändning. Hon menar att det kan vara otroligt värdefullt att få in ett par utomstående ögon på de här frågorna. Dels för att det kan vara lättare att som jurist- eller complianceavdelning ta upp frågan med till exempel styrelse, om man har uppbackning från en utomstående aktör. Men även för att, även om det finns otroliga förmågor ute på complianceavdelningarna, kan vara bra att trycktesta om affären och om det är möjligt att göra det den vill i enlighet med regelverket. Ingen kan veta allt.
Hur skulle du råda bolag att närma sig frågan idag?
–Som bolag behöver man förstå reglerna, men även riskerna, för individ och bolag. Se över era processer och var beredda på att de kan behöva justeras i framtiden. Med det sagt så råder jag inte mina klienter att göra några drastiska omorganiseringar på området än. Vi har nog inte sett det sista vad det gäller ny lagstiftning när det kommer till det här området, framförallt när vi nu har en AI-utveckling som kommer ta med sig helt nya utmaningar som det är för tidigt att säga något definitivt om nu.