GDPR og bruk av cookies - Teknisk sett

[arne22]

GDPR omhandler også krav til hvordan cookies brukes og det er en del interessante problemstillinger rundt dette. Jeg fant en artikkel på Internett som beskriver noe av denne problemstillingen:

 

https://www.lexology.com/library/detail.aspx?g=7cd264f7-c084-4223-8d47-ed38cd233849

 

Det som jeg lurer på i den sammenheng, det er av litt teknisk natur:

 

La oss si at firma A, B, C og D leverer ulike gratistjenester på Internett. Disse krever pålogging og det legges inn en "personlig identifiator" i form av en "tracking cookie".

 

Firma E er en litt større kommersiell aktør som opererer på Internett. De mottar en nokså stor datastrøm i retur, i forbindelse med at brukere bruker deres systemer. Disse dataene er imidlertid bare knyttet opp mot anonyme IP adresser og man vet ikke hvem brukerne er.

 

Firma E inngår så en avtale med firma A,B,C og D som sier at firma E kan bruke de "tracking cookies" som firma A,B,C og D har plassert på et stort antall PC rundt omkring i verden. De dataene som firma E samler inn skifter da status fra å være "anonyme data" til å være "persondata".

 

Rent teknisk sett, er dette mulig, at flere firmaer samarbeider om å hente ut persondata ved å bruke hverandres "tracking cookies"? Dette skulle man jo tro er mulig, og hvis det er mulig så skulle man jo også tro at det er i bruk. Persondata har vært en populær vare, i alle fall fram til nå, og det kunne jo da være en mulighet for gratistjenester for å tjene penger.

 

Er det noen her på forum som kjenner til om slik "felles bruk av tacking cookies" er teknisk mulig (det skulle man jo tro) og om slik "felles bruk" faktisk forekommer? (det skulle man jo også tro) 

 

Edit: 

 

Fant noe litt informativt om cookies her:

https://www.editap.no/gdpr-og-informasjonskapsler/

 

Spørsmålet blir vel da: Hvis en gratis nettjeneste plasserer opplysninger om hvem du er (påloggingsinformasjon), hvordan kan brukeren da sikre seg mot at denne "digitale identitet" blir knyttet opp mot de ulike datastrømmene som normalt vil gå ut av en PC, slik at "anonyme brukerdata" blir gjort om til "personlige brukerdata", knyttet opp mot "personlig identitet"? 

 

Edit 2:

 

Hvem har ikke opplevd at man kjøper ett eller annet produkt på et nettsted, og like etterpå så dukker det opp alle mulige annonser for tilsvarende produkter på andre nettsteder. Hvordan skulle dette være mulig hvis ikke de forskjellige nettstedene på en eller annen måte er i stand til å kommunisere med hverandre? Hvordan skulle denne kommunikasjonen ellers kunne skje, hvis det ikke er ved hjelp av cookies? 

Endret 16. juni 2018 av arne22

[arne22]

Sjekket innstillingene på min Chrome browser, og der seg at det er mulig å slå av en funksjon der 3'dje part har mulighet til å plassere Cookies på din PC. Hvorfor skulle 3'dje part ha interesse av å plassere cookies på din PC, hvis det ikke er for å hente ut informasjon fra din PC, og eventuelt "gjøre om" "anonyme browserdata" til "personlige brukerdata"? Viser ikke dette at en webtjeneste utmerket godt kan samle inn data for en annen webtjeneste, fra din PC uten at du vet om det? Virker ikke faktisk Google Analytics på denne måten? Innstillingen er ellers under "Avansert".

Endret 15. juni 2018 av arne22

[arne22]

Ettersom det så langt ikke har dukket opp noen svar eller diskusjonspartnere så gjennomførte jeg et par små eksperimenter for å finne svar på mine spørsmål. For å sitere en del av mitt eget spørsmål som jeg har forsøkt å nøste videre på:

 

"Rent teknisk sett, er dette mulig, at flere firmaer samarbeider om å hente ut persondata ved å bruke hverandres "tracking cookies"?"

 

Så er nok svaret det at ja det er så absolutt mulig og det skjer i et omfang som i alle fall ikke jeg hadde regnet med.

 

Jeg tok utgangspunkt i en helt tilfeldig webside: www.dagbbladet.no og så gikk jeg inn i de funksjonene i Google Chrome som gir adgang til å kikke på cookies.

 

(Innstillinger->Innholdsinnstillinger->Informasjonskapsler->Se alle informasjonskaplser og nettleserdata)

 

Jeg brukte også en "trafikkmonitor" for å lese ut hvilken datatrafikk (TCP-Connections) som ble satt opp inn og ut av PC når jeg gikk inn på Dagbladet sin nettside.

 

Først så slettet jeg alle gamle "cookies" og så refreshet jeg dagbladet sin side. Det som så skjedde det var at det "haglet på" med 3'djeparts cookies i et omfang som nesten ikke var mulig å telle. Jeg ville gjette ca 50-60-70 stykker. Tilsvarende så ble det satt opp datatrafikk (TCP-Connections) til "alle mulige steder i verden" i et tilsvarende omfang.

 

Jeg prøvde å eksperimentere med å slå av og på bruken av Dagbladet sine egne cookies og 3'dje parts cookies, og det som jeg oppdaget det var jo at denne bruken av cookies for en stor del ser ut til å være koblet opp mot annonser og reklame. Når jeg sperret for bruk av 3'dje parts cookies så forsvant det aller meste av annonsene.

 

Man forstår jo da også at hvis man også klarer å plassere informasjon om hvem jeg er, slik at det blir "persondata" så kan man "skreddersy" annonsene for meg.  

 

Jeg har ellers ikke noe spesielt i mot Dagbladet og jeg tror ikke Dagbladet er annerledes enn andre, det var bare den websiden jeg hadde oppe da jeg fant ut at jeg ville undersøke denne problemstillingen.

 

Ellers så må man vel kunne si at det er utrolig bra at Google har bygd inn disse funksjonene i Chrome slik at "alle og enhver" for eksempel kan gå inn å for eksempel undersøke bruken av cookies (og ganske mye annet også). 

 

Edit:

 

For å se hvordan dette forholder seg i forhold til nyhetsmagasiner innenfor EU, så testet jeg ut disse to nettstedene:

 

http://www.spiegel.de/

 

https://www.lemonde.fr/

 

Det ser for meg ut som om bruken av 3'dje parts cookies ligger på omtrent samme nivå som for Dagbladet, og det synes jeg jo var litt overraskende. For Le Monde så kommer det opp en opplysning om at man bruker cookies. Det ser ikke ut til å skje hos Der Spiegel eller hos dagbladet.

 

Her ser det ut til å være en interessant artikkel om problemstillingen:

 

https://digiday.com/media/know-cookies-guide-internet-ad-trackers/

 

Edit:

 

Interessant nok så ser det jo ut som om norske avisers bruk av egne og 3'dje parts cookies er i strid med Ekomloven:

 

https://www.datatilsynet.no/samfunnsomrader/internett-og-apper/cookies/

 

https://lovdata.no/dokument/NL/lov/2003-07-04-83/KAPITTEL_2#%C2%A72-7b

Endret 16. juni 2018 av arne22

[papa_m]

Vet ikke hvor konkret jeg svarer på spørsmålet ditt nå Arne, men kanskje noe av dette er av interesse uansett.

 

Cookies, eller informasjonskapsler er kun nevnt ett sted i GDPR (recital 30) og da kun som et eksempel på en indirekte personopplysning. Bruk av cookies vil bli regulert av den nye e-privacy forordningen som egentlig skulle komme sammen med GDPR, men ble utsatt. Dette er hva Datatilsynet skriver om cookies i den nye forordningen:

 

"Cookiereglene, som har medført en overdreven bruk av spørsmål om samtykkefra internettbrukere, skal forenkles. De foreslåtte nye reglene skal bli mer brukervennlige ved at nettleserinnstillinger gir brukerne mulighet til å akseptere eller avvise sporings-cookies og andre identifiserende løsninger. Forslaget presiserer også at det ikke er nødvendig med samtykke for å bruke informasjonskapsler som ikke berører brukerens personvern, men for eksempel skal bedre brukeropplevelsen (for eksempel det å huske handlekurvhistorie) eller cookies som brukes for å telle antall besøkende." (https://www.datatilsynet.no/aktuelt/2017/forslag-til-nye-kommunikasjonsvernregler-eprivacy-regulation/)

 

Flere vil nok lene seg på "berettiget interesse" som behandlingsgrunnlag, ikke samtykke, ved innhenting av cookies etter GDPR. Artikkel 29-gruppen skriver dette: 

 

To illustrate: controllers may have a legitimate interest in getting to know their customers' preferences so as to enable them to better personalise their offers, and ultimately, offer products and services that better meet the needs and desires of the customers (http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf) 

Endret 21. juni 2018 av papa_m