GDPR er begyndelsen og ikke afslutningen på persondatabeskyttelse

Den 25. maj kunne EU’s General Data Protection Regulation (GDPR) fejre sin 1-års fødselsdag. Hvad har vi lært indtil nu?

GDPR har givet masser af overskrifter. De mest iøjnefaldende har selvfølgelig handlet om de massive bøder, som de forskellige nationale datatilsyn har delt ud. I retssale og hos tilsynsmyndigheder er præcedens og fortolkninger stadig ved at tage form. Derfor vil vi med stor sandsynlighed snart se en række meget højt profilerede GDPR-sager. Ifølge Word Federation of Advertisers er EU’s 28 nationale datatilsyn ved at arbejde sig gennem over 100.000 sager. I alle disse kan der gemme sig fortolkninger af principiel betydning og så her i Danmark.

Syv europæiske datatilsyn har allerede rettet fokus mod kernefunktionerne i behavioural advertising med klager, der direkte går på real time bidding-systemet. Det drejer sig om datatilsynene i Polen, Irland, Spanien, Belgien, Holland, Luxembourg og Storbritannien. Af disse syv har det irske tilsyn netop meddelt, at de specifikt vil se på Googles datahåndtering i deres ad exchange.

 

Tre ting vi har lært af GDPR

Så hvad betyder det for annoncører? For det første er det sådan, at hvis man havde troet, at GDPR-compliance er overstået engangsarbejde, bør man hurtigt omstille sig til, at virkeligheden er en helt anden. Som annoncør bør man nøje følge udfaldet af de igangværende retssager og klagebehandlinger hos europæiske datatilsyn for at være opdateret på, hvordan GDPR bliver fortolket, så man løbende kan justere sin marketingpraksis.

For det andet står det allerede nu klart, at compliance på virksomhedsniveau ikke er nok. En nylig afgørelse hos det franske datatilsyn har slået fast, at en annoncør kan være ansvarlig for brud på compliance i hele forsyningskæden fra annoncør til eksponering.

For det tredje bør annoncører være bevidste om, at mens de nationale GDPR-fortolkninger efterhånden vil skabe større klarhed, kan de også skabe større forskelle mellem EU-landene. Som eksportør sikrer GDPR-compliance i et europæisk land derfor ikke nødvendigvis GDPR-compliance i et andet.

 

Hvad rummer fremtiden for persondatabeskyttelse?

Uden for EU har GDPR inspireret til flere former for lignende lovgivning. I august 2020 træder eksempelvis Brasiliens meget lignende General Data Protection Law i kraft. Andre nye love, som fx California Consumer Privacy Act (CCPA), der træder i kraft i januar 2020, er hverken nationale eller lig GDPR, men de har stadig en meget stor betydning for annoncører.

Et år inde ser det ud til, at GDPR blot er starten på en lang, global rejse henimod øget persondatabeskyttelse. Der bliver talt om data og retten til privatliv på en helt ny måde. Nu handler det ikke længere blot om compliance, men om tolkning eller endda om dataetik.

Derfor følger Dansk Annoncørforening gennem sit aktive medlemskab af World Federation of Advertisers hele tiden udviklingen, og vi ser i øjeblikket på muligheden for at afholde en konference om dataetik, GDPR og kommende EU-lovgivning som ePrivacy-direktivet. Vi holder løbende vores medlemmer informeret.

 

Holger Wilcks