Forside | | Indhold | | Bund | | <<Forrige | | Næste >> |

9. Amerikansk regulering af behavioral targeting

Federal Trade Commission (FTC) har siden 1995 arbejdet med og undersøgt problemer i forholdet mellem privatlivets rettigheder og forbrugerens adfærd på internettet.

FTC har i den forbindelse i 2007 udarbejdet et sæt retningslinjer, som blev sendt i høring blandt relevante aktører på markedet, ligesom FTC har afholdt offentlige høringer med henblik på at drøfte de foreslåede retningslinjer.

På baggrund af de indkomne høringssvar og drøftelserne under den offentlige høring, har FTC i februar 2009 udgivet det endelige sæt retningslinjer vedrørende behavioral targeting.[53] Det er hensigten, at retningslinjerne skal fungere som basis for aktørerne i reklamebranchens selvregulering særligt med henblik på at tage højde for og hensyn til forbrugernes privatliv.

Det er vigtigt at understrege, at der er tale om retningslinjer for selvregulering, og at virksomhedernes forpligtelse til at overholde relevant lovgivning på området ikke berøres af retningslinjerne.

9.1. FTC’s definition af online behavioral targeting

FTC’s retningslinjer vedrører online behavioral targeting, som sporer en forbrugers onlineaktiviteter over tid - herunder en forbrugers søgninger på internettet, de hjemmesider en forbruger har besøgt samt indholdet på siden set af forbrugeren – med henblik på at levere målrettet reklame til den enkelte bruger.

FTC’s definition inkluderer således ikke første parts cockies, hvor der ikke deles data om forbrugeren med en tredjepart. Definitionen dækker heller ikke over contextual targeting. Se afsnit 2.2 for en forklaring af dette begreb.

9.2. FTC’s principper for online behavioral targeting

Nedenfor gennemgås de fire principper, som FTC opstiller i deres retningslinjer.

  1. Gennemsigtighed og forbrugerkontrol

    Ifølge retningslinjerne skal alle hjemmesider, hvor der indsamles data til brug for behavioral targeting, sørge for en klar, kortfattet, forbrugervenlig og tydelig angivelse af, at data om forbrugerens onlineaktiviteter bliver indsamlet på siden med henblik på at reklamere for ydelser eller varer målrettet den enkelte brugers interesser, og at forbrugerne kan vælge om vedkommende ønsker, at der indsamles oplysninger om dem med et sådant formål.

    Hjemmesiden skal også sikre forbrugerne en klar, let anvendelig og tilgængelig metode til at nægte målrettede reklamer.

    Hvis dataindsamling finder sted i andre sammenhænge end i forbindelse med anvendelsen af traditionelle hjemmesider, skal virksomhederne udvikle alternative metoder til afsløring af dataindsamlingen og valgmuligheder for forbrugerne, som imødegår ovenstående principper (klar, let anvendelig, tilgængelig mv.).

  2. Rimelig sikkerhed og begrænset bevaring af data om forbrugerne

    Enhver virksomhed der indsamler og/eller opbevarer data til brug for behavioral targeting skal sikre en rimelig sikkerhed for disse data.

    I overensstemmelse med relevant lovgivning om datasikkerhed, skal beskyttelse af brugernes data være baseret på oplysningernes følsomhed, arten af en virksomheds aktiviteter, hvilke typer af risici en virksomhed står over for og de rimelige beskyttelsesmuligheder, der er tilgængelige for en virksomhed.

    Derudover fremgår det af retningslinjerne, at virksomhederne kun bør opbevare data, så længe som det er nødvendigt for at opfylde et legitimt virksomhedsformål eller retligt håndhævelsesbehov.

    Dette er på linje med, hvad der gælder efter databeskyttelsesdirektivets art.
    6. Efter denne bestemmelse skal oplysninger slettes, når de ikke længere er nødvendige til det formål, de oprindeligt blev indsamlet til.

  3. Bekræftende, udtrykkeligt samtykke til væsentlige ændringer af bestående tilsagn om privatliv

    Det fremgår af retningslinjerne, at en virksomhed skal holde alle tilsagn og løfter, som afgives i forbindelse med virksomhedens behandling og beskyttelse af forbrugernes data, også selvom virksomheden beslutter at ændre sine betingelser herfor på et senere tidspunkt.

    Såfremt en virksomhed ønsker at benytte tidligere indsamlet data på en måde, som adskiller sig væsentlig fra det tilsagn om anvendelse af de pågældende data, som virksomheden tidligere har afgivet, skal virksomheden indhente et bekræftende og udtrykkeligt samtykke fra de berørte forbrugere. Dette princip gælder fx ved fusion af virksomheder, såfremt fusionen medfører væsentlige ændringer i virksomhedens indsamling, brug og deling af data.

  4. Bekræftende udtrykkeligt samtykke til (eller forbud mod) brugen af følsomme data i forbindelse med behavioral targeting

    Det fremgår af dette sidste princip, at virksomhederne kun må indsamle følsomme data om forbrugerne til brug for behavioral targeting efter at have modtaget et bekræftende udtrykkeligt samtykke fra forbrugeren til at modtage sådan reklame.

    Dette er på linje med databeskyttelsesdirektivets art. 8 og art. 29-Gruppens udtalelse, hvoraf det fremgår, at såfremt en reklameudbyder lovligt skal indsamle og behandle personfølsomme oplysninger, skal udbyderne konfigurere metoder til indhentning af eksplicit og forudgående samtykke, som er separat fra det samtykke, der indhentes til indsamling af oplysninger generelt.

    FTC anfører i deres rapport, at de reviderede principper er et skridt i en løbende proces, og at FTC vil fortsætte dialogen med alle relevante aktører på markedet for behavioral targeting.

    FTC opfordrer de relevante virksomheder til at forstærke indsatsen i forhold til en selvregulering af området og påpeger, at en sådan selvregulering bør indeholde relevante håndhævelsesmekanismer.

    Ifølge FTC vil en selvregulering af området kun nytte, såfremt de relevante virksomheder aktivt overvåger overholdelse af reguleringen og sikrer, at en overtrædelse heraf har konsekvenser.

9.3. FTC’s forslag om “do not track”

FTC har den 2. december 2010 forslået, at forbrugere skal have mulighed for at vælge en ”do not track” mulighed på internettet i lighed med den amerikanske ”do not call” liste, hvor forbrugere kan frabede sig telemarketing.[54]

FTC stiller konkret forslag om et universelt software program, som forbrugerne kan installere på deres internetbrowsere, som gør websiderne opmærksomme på, at forbrugeren ikke ønsker, at der indsamles information om vedkommende. Metoden, som forslaget lægger op til, er en opt-out metode, fordi forbrugerne selv skal angive, at de ikke vil spores.

FTC’s forslag bliver kritiseret fra flere sider i USA,[55]blandt andet fordi det vil bringe sider som Google og Facebook i fare. En vigtig indtægtskilde fra disse sider er målrettet reklame, og uden den reklameform er det usikkert, om sådanne internettjenester kan forblive gratis.

9.4. IAB Self-Regulatory Principles for Online Behavioral Advertising

Det amerikanske Interactive Advertising Bureau (IAB) består af mere end 460 ledende medie og teknologivirksomheder, som tilsammen er ansvarlige for at sælge 86 % af målrettede onlinereklamer i USA. IAB i USA er en søsterorganisation til IAB Europe. De to organisationer er uafhængige af hinanden.

Det amerikanske IAB har i juli 2009 vedtaget et sæt retningslinjer, som består af syv principper for online behavioral targeting. Principperne ligger i tråd med FTC’s principper på området, jf. 9.2. IABs principper adresserer ligeledes spørgsmål som offentlig viden/information om emnet samt erhvervslivets ansvar i forbindelse med online reklame.

Principperne finder anvendelse på onlinereklame – defineret som indsamlingen af onlinedata fra en bestemt enhed i relation til en forbrugers besøg på hjemmesider over tid og på tværs af ikke associerede hjemmesider med det formål at anvende de indsamlede data til at forudsige en forbrugers præferencer eller interesser baseret på forbrugerens internetadfærd. Principperne finder ikke anvendelse på en enkelt hjemmesides indsamling af data til egen brug og ej heller på contextual targeting, jf. definitionen heraf i afsnit 2.2.

Ifølge det første af IAB’s principper opfordres alle relevante parter til at bidrage til at uddanne forbrugere og virksomheder i online behavioral targeting. I forlængelse af udgivelsen af IABs principper er der lanceret en hjemmeside - http://www.aboutads.info/ - hvor både forbrugere og erhvervsliv kan finde relevante oplysninger om online behavioral targeting. Via hjemmesiden er det desuden muligt for virksomheder at tilmelde sig et såkaldt ”advertising option icon”, som kan vises i forbindelse med onlinereklamer eller på hjemmesider, hvor der indsamles data til brug for behavioral targeting. Ikonet er udtryk for, at reklameringen lever op til IABs selvregulerende principper, og såfremt forbrugerne klikker på ikonet bliver de på hjemmesiden ledt hen til sidens dataindsamlingspolitik, ligeså vel som forbrugeren via et klik på ikonet ledes hen til en letanvendelige opt-out mekanisme.

Det andet af principperne vedrører gennemsigtighed og opfordrer til, at der gives klar, meningsfuld og tydelig information via hjemmesiden, som beskriver indsamling af data til brug for behavioral targeting, og hvorledes den indsamlede data anvendes. Dette princip finder anvendelse for hjemmesider, som indsamler og anvender data til brug for online behavioral targeting samt for de hjemmesider, hvorfra der indsamles data, som anvendes af tredjeparter. Overholdelse af dette princip indbefatter, at det på hjemmesiden eller i forbindelse med reklameringen angives, hvor behavioral targeting finder sted.

Det tredje princip vedrører muligheden for forbrugerkontrol og opfordrer til tilvejebringelse af metoder, der vil gøre forbrugerne af de hjemmesider, hvorfra der indsamles data til brug for behavioral targeting, i stand til at vælge, om data må indsamles og anvendes eller videregives. Denne valgmulighed skal stilles til rådighed af tredjeparter, som indsamler og anvender data til behavioral targeting, og fravalgsmekanismen skal enten findes på tredjepartens egen hjemmeside eller på hjemmesider udviklet af erhvervslivet.

Både princippet om gennemsigtighed og princippet om forbrugerkontrol har særlige bestemmelser vedrørende tjenesteydere (service providers[56]), som beskæftiger sig med behavioral targeting. Efter disse bestemmelser skal tjenesteydere tilvejebringe yderligere information om den behavioral targeting, der finder sted, når man anvender deres ydelser, opnå brugerens samtykke før anvendelsen af behavioral targeting samt tage skridt til at anonymisere den indsamlede data. Et eksempel på sådanne tjenesteydere er leverandør af internetadgang.

Det fjerde princip vedrører datasikkerhed og opfordrer relevante aktører til at tilvejebringes en rimelig sikkerhed for og begrænset opbevaring af indsamlet data til brug for behavioral targeting.

Dernæst opstilles et princip om væsentlige ændringer i aktørernes datapolitik. Efter dette princip kræver det forbrugernes samtykke, såfremt der foretages ændringer i den foreliggende datapolitik, som er mindre restriktive i forhold til indsamlingen og anvendelsen af data

Det sjette princip vedrører følsomme oplysninger. Det fremgår af dette princip, at data, som indsamles og anvendes til behavioral targeting, kræver forskellig behandling. Princippet gælder særligt for data vedrørende børn og angiver, at der ikke må indsamles personlige oplysninger, som defineret i the Children’s online Privacy Protection Act[57]om børn under 13 år eller fra hjemmesider, som henvender sig til børn under 13 år. Derudover bør der ikke anvendes behavioral targeting i forhold til individer, som man positivt ved er under 13 år. Det fremgår derudover af dette princip, at man fx ikke bør indsamle og anvende oplysninger om kontornumre, recepter, sygejournaler og lignende uden forudgående samtykke.

I relation hertil kan det nævnes, at også art. 29-Gruppen har beskæftiget sig med behavioral targeting i forhold til børn. Art. 29-Gruppen behandler denne konkrete problemstilling i deres udtalelse nr. 2/2009 om beskyttelse af børns personoplysninger. Ud over at børns samtykke skal opfylde de krav, der i øvrigt stilles til samtykke efter den reviderede art. 5, stk. 3, skal børns samtykke i visse tilfælde gives af deres forældre eller værge for at være gyldigt. Det vil sige, at i tillæg til gældende reklamelovgivning og standarder skal reklameudbyderne underrette forældre om opsamlingen og brugen af børns oplysninger og indhente deres samtykke, inden deres oplysninger indsamles med henblik på adfærdsbaseret målretning mod børn. Art. 29-Gruppen har i lyset af ovenstående og under hensyntagen til børns sårbarhed udtalt, at reklameudbydere ikke må tilpasse interessekategorier, der har til formål at vise adfærdsbaseret annoncering for børn eller påvirke børn.[58]

Det syvende og sidste princip vedrører ansvarlighed. Efter dette princip opfordres alle relevante aktører til at udvikle og implementere politikker og programmer med det formål yderligere at tilslutte sig principperne. Det er hensigten, at sådanne politikker eller programmer vil være med til at sikre, at alle relevante aktører bringer deres aktiviteter i relation til behavioral targeting i overensstemmelse med IAB’s principper.

9.5. Konklusion vedrørende britisk og amerikansk regulering af behavioral targeting

Undersøgelsen af reguleringen af behavioral targeting på det britiske og amerikanske marked viser, at IAB i Storbritannien og IAB i USA, har udarbejdet selvregulerende principper på området.

Fælles for de selvregulerende principper udarbejdet i Storbritannien og USA er blandt andet, at forbrugerne skal uddannes i, hvad behavioral targeting er. Dette kan fx være via onlinevideoer. Et andet fællestræk for principperne er, at forbrugerne skal have klar og tydelig information om, at der indsamles informationer om dem, og hvad disse informationer anvendes til. Begge sæt principper indeholder også et princip om forbrugerkontrol, hvilket vil sige, at brugerne skal have mulighed for at vælge de målrettede reklamer fra via en opt-out metode. Dernæst må virksomhederne hverken efter de britiske eller amerikanske selvregulerende principper indsamle og anvende oplysninger til brug for behavioral targeting til børn under 13 år.

Som nævnt under afsnit 7.3. tyder EU-kommissær Nellie Kroes tale den 17. september 2010 dog på, at selvregulering også er vejen frem i Europa – inden for rammerne af den gældende EU-lovgivning.

I Storbritannien har myndighederne også udgivet et kodeks, der beskriver, hvordan databeskyttelsesreglerne finder anvendelse online, ligesom kodekset giver råd om god skik til både offentlige og private myndigheder, der tilbyder services på internettet. Der er således ikke tale om selvregulerende principper, men om en vejledning i brug af behandling af de gældende regler om personoplysninger på internettet.

Inden for EU er det afgørende, at samtlige medlemslande implementerer den retlige regulering på området ensartet. Derfor vil det også være afgørende, at eventuelle selvregulerende principper, som måtte blive udarbejdet i de enkelte medlemslande, er ensartede.

Art. 29-Gruppens udtalelser på området skal medvirke til, at de relevante direktiver på området implementeres ensartet. I Art. 29-Gruppens udtalelse nr. 2/2010 af 22. juni 2010 om adfærdsbaseret annoncering på internettet analyseres og afklares de forpligtelser, der er omhandlet databeskyttelsesdirektivet og i det reviderede e-databeskyttelsesdirektiv.


[53] FTC Staff Report: Self-Regulatory Principles For Online Behavioral Advertising. February 2009.

[54] Prepared statement of FTC on Do Not Track, December 2, 2010.

[55] Se blandt andet artiklen fra CNN http://money.cnn.com/2010/12/02/technology/ftc_do_not_track/index.htm

[56] IAB har i deres principper defineret Service Provider således:”An entity is a Service Provider to the extent that is collects and uses data from all or substantially alle URLs traversed by a web browser across Web sites for Online Behavioral Advertising in the course of the entity’s activities as a provider of Internet assess service, at toolbar, an Internet browser, or comparable desktop application or client software and not for its other application activities”.

[57] The Children’s online Privacy Protection Act af 1998 er en amerikansk forbundslov, som finder anvendelse for indsamling af personlige oplysninger på internettet om børn under 13 år. Loven angiver, hvad en hjemmesideoperatør skal angive i sin privatlivspolitik, hvor og hvordan der kan indhentes retmæssigt samtykke fra forældre eller værge, og hvilket ansvar en operatør har i forhold til at beskytte børns privatliv og sikkerhed på internettet herunder begrænsninger i markedsføringen rettet mod børn under 13 år.

[58] Art. 29-Gruppens udtalelse nr. 2/2010 af 22. juni 2010 om adfærdsbaseret annoncering på internettet.

Top |

Denne side er kapitel 9 af 11 til publikationen "Adfærdsbaseret reklame på internettet".
Version nr. 1.0 af 16-02-2011
© Konkurrence- og Forbrugerstyrelsen 2010