For mange store aktører er innhenting av personlig data et kalkulert spill, mener teknologiekspert.

Foto

Lucas Jackson / NTB scanpix

Store selskaper faller for fristelsen

Selger dataene dine – selv om det er ulovlig

Publisert: 17. oktober 2019 kl 09.54
Oppdatert: 17. oktober 2019 kl 10.59

I forrige uke skrev Dagens Perspektiv at Spotify og Warner Music fikk tilgang til å redigere og endre brukeres spillelister på Spotify.

Det fikk de tilgang til ved at man ble med i en konkurranse om å vinne billetter til en konsert med Emilia Nicolas i operaen.

Foto

Listen over persondata du blir bedt om å dele med Warner Music for å være med i konkurransen. (Foto: Skjermdump)

En talsperson fra Warner Music sitt kontor i New York tok kontakt med Dagens Perspektiv etter at artikkelen ble publisert.

Hun var klar på at Warner Music ikke ville komme med noen offisiell uttalelse, men mente dette var Spotify sitt ansvar. Selv hevder Warner Music at de ikke har sett på mulighetene til å overstyre Spotify-brukernes profiler.

Det er lite sannsynlig, mener Simen Sommerfeldt, teknologidirektør i IT-konsulentselskapet Bouvet.

– De faller for fristelsen om å tjene på salg av informasjon om deg, sier han og peker på at hodetelefon-merket Bose tidligere har blitt saksøkt for å ha solgt informasjon om brukeres lyttervaner.

Kalkulert spill

Sommerfeldt har sammen med personvernadvokat Eva Jarbekk skrevet boken «Personvern og GDPR i praksis».

Han påpeker at EUs GDPR-lovgivning som trådte i kraft mai 2018, setter veldig konkrete krav til informasjon om deling av data. Aktører må ikke bare informere om at de samler inn data, men også hva den brukes til.

Hverken Spotify eller Warner Music har svart på hva de gjør med dataen som samles inn.

De har heller ikke svart på spørsmål om hva det i praksis vil si at de kan redigere og opprette spillelister i privatpersoners navn.

– Ut fra hva jeg blir forelagt her, virker det som om Spotify og Warner gjør dette ganske bevisst. Jeg tror de tar en sjanse. Alle aktører i dag har folk som kan disse reglene veldig godt og er fullstendig klar over hvilken risiko de begår. Jeg mener det er et kalkulert spill, sier han.

Jeg tror Spotify og Warner gjør dette ganske bevisst.

Men selv om lovverket er på plass, er det ennå mye som ikke etterfølges, forklarer Sommerfeldt.

– GDPR har vært en stor omveltning. Det er en utrolig kompetanseheving som må til - både hos publikum og aktørene. Dette er en modningsprosess. Etterhvert som publikum begynner å forstå innholdet i lovgivningen, blir det vanskeligere å snike seg unna.

Spotify vil ikke svare

Også Spotify fraskriver seg ansvar i sin uttalelse til Dagens Perspektiv.

En talsperson fra selskapet skriver i en e-post at de tar personvernregler «ekstremt alvorlig», og at hvert innsamlet datapunkt skal være lett forståelig for forbrukeren.

Foto

Simen Sommerfeldt i Bouvet.

Spotify svarer imidlertid ikke på spørsmål om hva den innsamlede informasjonen brukes til.

De legger til at «alle informasjonsforespørsler utover det som er oppgitt i retningslinjene er et klart brudd på Spotify sine servicevilkår».

Copy-cat-kynisme

Så lenge brukerne ikke vet hva dataene brukes til, strider det med GDPR-lovverket, mener Sommerfeldt. Det plikter nemlig til at man skal ha en behandlingsansvarlig i slike saker.

– Aktørene tenker nok at ‘hvis alle de andre gjør gærne ting, kan vi også gjøre det’ – jeg tror det er en sånn type kynisme ute og går. Det eksisterer jo fremdeles litt forvirring, sier han.

Aktørene tenker nok at ‘hvis alle de andre gjør gærne ting, kan vi også gjøre det’

Han understreker at det er viktig at aktører som Datatilsynet og Forbrukerrådet følger opp denne type saker, men viser til at brukere selv også kan benytte seg av de nye reglene i GDPR-lovgivningen for å håndheve sine rettigheter. Med GDPR kan man nemlig gå til massesøksmål.

– Jeg tror det er en undervurdert mulighet for forbrukerne, for man trenger ikke å være avhengig av om Datatilsynet har kapasitet. Kapasiteten blant advokater er stor, så dette instrumentet kommer nok til å tas mer i bruk, sier Sommerfeldt.

Åpenbar mismatch

Kommunikasjonsrådgiver i Datatilsynet, Anders Ballangrud, mener Spotify og Warner må rydde opp, men at det er vanskelig for Datatilsynet å trekke konkrete konklusjoner uten å ha full innsikt i saken.

– Det synes å være en åpenbar mismatch mellom hva den registrerte gir fra seg og hva de får tilbake. Samtykket inkluderer en rekke behandlinger av ulik art, og vi stiller spørsmålstegn ved hva opplysningene skal brukes til, skriver Ballangrud i en e-post.

Foto

Anders Ballangrud fra Datatilsynet mener det er en åpenbar mismatch mellom hva man blir bedt om å oppgi og hva man får igjen. (Foto: Datatilsynet)

Brutt tillit

Også Finn Myrstad, fagdirektør for digitale tjenester i Forbrukerrådet, synes responsen til de to musikkselskapene er svak.

– Man skulle jo ønske at bransjen selv hadde en interesse av å rydde opp. Dette handler jo om tilliten forbrukerne har til tjenesten. Dette er jo et eksempel og vi er faktisk ikke klar over hvor mange dette gjelder – eller hvor mange tredjeparter som får tilgang. Det kan være veldig omfattende. De bør i alle fall opplyse på en god måte og det fremstår det ikke som de gjør når de svarer på denne måten, sier Myrstad.

none

Også Aftenposten har omtalt saken.

Manager til Emilie Nicolas, Silje Borgan, ba Warner ta ned konkurransen så snart hun var kjent med detaljene i saken. Tidligere i år skal Warner ha postet flere kampanjer av samme type. En kampanje med bandet The Black Keys er fremdeles er aktiv.

Lignende metoder skal også ha blitt brukt for å la forbrukere lytte til snutter før lanseringsdatoen av nye singler.