Ända sedan GDPR (General Data Protection Regulation) trädde i kraft 2018 har människor i Europeiska unionen fått ett starkare integritets- och dataskydd. Lagen är dock långt ifrån perfekt - och stora teknikföretag, branschadvokater och lobbyister såg till att använda alla verktyg i sin arsenal för att antingen kringgå bestämmelserna i GDPR (genom feltolkning) eller påverka den allmänna opinionen om lagen så att konsumenterna inte skyller överträdelserna på dem, utan på GDPR i sig. Under de senaste åren har detta lett till ett antal missuppfattningar om dataskydd och GDPR i synnerhet. Därför, för att hedra årets dataskyddsdag, noyb reda ut 5 av de vanligaste missuppfattningarna.
1. GDPR tvingar företag att använda cookie-banners
Detta är inte korrekt. Dataskyddsförordningen tvingar inte webbplatser att använda cookie-banners. Istället måste företag inhämta ditt uttryckliga samtycke om de vill spåra dina rörelser på nätet. Vanligtvis görs detta för att visa dig personlig reklam baserad på dina intressen. Företagen valde att be om ditt samtycke med cookie-banners och skyller ofta på GDPR för det.
Men det är inte allt: För att maximera andelen samtycken - och därmed vinsten - använder många webbplatser avsiktligt vilseledande och bedrägliga cookie-banners som gör det (nästan) omöjligt att vägra eller dra tillbaka ett samtycke.
Så nästa gång du ser en cookie-banner ska du komma ihåg att de inte finns på grund av GDPR, utan för att ett företag vill tjäna pengar på dina personuppgifter.
2. Företagen måste vara rädda för sanktioner från dataskyddsmyndigheterna
Tyvärr tillgriper dataskyddsmyndigheterna strikta verkställighetsåtgärder endast i undantagsfall. En noyb-analys av dataskyddsmyndigheternas verksamhet mellan 2018 och 2023 visade att endast 1,3 % av fallen leder till böter. Den irländska dataskyddsmyndigheten, som ansvarar för de flesta stora teknikföretag (Meta, Google, Apple, OpenAI, Microsoft och många fler), utfärdar till och med böter i endast 0,26% av de ärenden som den hanterar. Och även om den irländska DPC utfärdar böter är det nästan aldrig in pengarna, vilket media rapporterar.
Vi vet från våra nästan 900 fall att förfaranden ofta dras ut i flera år, bara för att företaget ska komma undan med en varning. I vissa fall har en dataskyddsmyndighet till och med bytt roll för att konsultera det företag som brutit mot dataskyddslagstiftningen. Ett exempel: År 2024 drognoyb datainspektionen i Hamburg inför rätta på grund av avvikelser i ett Pay or Okay-ärende mot den tyska nyhetstidningen SPIEGEL. Under förfarandet inför myndigheten hade Hamburg DPA nära kontakt med SPIEGEL. I stället för att utreda och fatta beslut på ett opartiskt sätt träffade myndigheten flera gånger företrädare för företaget, bjöd in dem till sina lokaler och gav dem feedback på de föreslagna ändringarna av deras Pay or Okay-implementering. För de administrativa kostnaderna för förfarandet debiterade Hamburg-myndigheten SPIEGEL 6 140 euro. Billigare än i stort sett vilken advokat som helst.
Sammantaget är det - tyvärr - en missuppfattning att företag behöver frukta allvarliga konsekvenser från dataskyddsmyndigheterna om de bryter mot den grundläggande rätten till dataskydd.
3. Reklam måste vara personaliserad, annars skulle ingen köpa den och reklambranschen skulle gå i konkurs!
Reklambranschens påstående att den MÅSTE spåra dig över hela internet och plåga dig med vilseledande cookie-banners för att kunna fortsätta sin verksamhet är mer än kontroversiellt. I själva verket finns det många alternativa sätt att tjäna pengar på en webbplats, t.ex. kontextuell reklam, produktplacering, betalt innehåll eller freemium-modeller där visst innehåll endast är tillgängligt mot en avgift.
Även vetenskapliga studier ifrågasätter lönsamheten - och därmed nödvändigheten - av annonsspårning, vilket hävdas av annonsbranschen. En amerikansk studie från 2019 visar t.ex. att användningen av personuppgifter endast ökar en webbplats intäkter med ca 4%. "Detta motsvarar en genomsnittlig ökning på 0,00008 dollar per annons", lyder slutsatsen i studien.
Men det finns ännu mer extrema exempel: Det holländska public service-bolaget NPO rapporterade till och med en ökning av intäkterna efter att ha avskaffat riktad reklam.
Detta visar tydligt att det finns alternativa lösningar till företag som spårar dig på internet.
4. GDPR inkräktar på friheten att bedriva affärsverksamhet
Nej, det gör den inte. Näringsfriheten, som fastställs i EU:s stadga om de grundläggande rättigheterna, anger tydligt att du har "frihet att bedriva näringsverksamhet i enlighet med unionsrätten och nationell lagstiftning och praxis".
Det innebär att företag måste följa lagen, oavsett om det gäller beskattning, miljöskydd - eller dataskydd och integritet. Det finns ingen grundläggande rättighet att bedriva verksamhet som åsidosätter ett företags rättsliga skyldigheter, även om många företag gärna skulle vilja det.
Dessutom innebär näringsfriheten faktiskt att du har rätt att bedriva en ekonomisk verksamhet. Det står dig till exempel fritt att bli apotekare, och det är inte nödvändigt att någon av dina föräldrar var apotekare. Naturligtvis måste även en farmaceut följa lagen. Detsammagäller för stora teknikföretag och andra företag.
5. Människor missbrukar sin rätt till tillgång och översvämmar företag med förfrågningar om tillgång
Trots att rätten till tillgång enligt artikel 15 i GDPR är en förutsättning för att behålla åtminstone lite kontroll över sina personuppgifter i den digitala tidsåldern, är vissa företag emot den och hävdar att den skulle kräva en "oproportionerlig ansträngning". Sådana lobbypåståenden kom till och med med i ett tyskt positionspapper, där begäran om tillgång beskrevs som något som allt oftare "missbrukas".
Verkligheten ger dock inte ens stöd för detta påstående. Lagen innehåller redan skyddsåtgärder för att förhindra missbruk: Enligt artikel 12.5 i GDPR kan företag ta ut en rimlig avgift eller till och med avslå en begäran om den "är uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv".
Dessutom arbetar de allra flesta företag som är verksamma i EU inte på ett så dataintensivt sätt att de får många förfrågningar om tillgång. I en (snart publicerad) noyb-undersökning svarade 73,3% av dataskyddsombuden att rätten till tillgång till personuppgifter skapar lite eller inget arbete alls. Tvärtom ignorerar större företag ofta helt enkelt konsumenternas begäran om tillgång eller undanhåller delar av den information som människor har rätt till enligt lag. Annonsmäklaren Xandr (ett dotterbolag till Microsoft) rapporterade till exempel en häpnadsväckande svarsfrekvens på 0 % på förfrågningar om tillgång och radering under 2022.
Dessutom har de flesta stora teknikföretag nu implementerat någon form av automatiseringsverktyg som gör det möjligt för dem att uppfylla GDPR-förfrågningar om tillgång i stor skala, vanligtvis via ett "ladda ner din information" -verktyg - men ändå inte ge dig alla dina uppgifter.
Med andra ord: företagen har möjlighet att hantera förfrågningar om åtkomst utan betydande arbetsbelastning. De vill bara inte ge dig tillgång till den behandlade informationen.
6. Bonus missuppfattning: med miljarder euro i böter som ålagts, noyb måste vara rik!
Naturligtvis får noyb inte några av de böter som dataskyddsmyndigheterna ålägger. När en dataskyddsmyndighet samlar in böter går pengarna till statsbudgeten i det land där myndigheten är baserad (eller i Spanien direkt till dataskyddsmyndigheten).
noybs arbete för en mer integritetsvänlig framtid är endast möjligt tack vare våra 5 400 stödjande medlemmar. Om du också vill bidra till vår sak kan du lära dig mer om våra medlemskap här. Du kan också nå oss på info@noyb.eu om du har några frågor.
