Datatilsynet ba om innsyn i mappa om lagret informasjon om enkeltpersoner i fire selskaper, blant annet Schibsted, på vegne av en testperson. Testpersonen var en kollega.
– Vi ble overveldet over mengden informasjon, sier juridisk rådgiver i Datatilsynet, Tobias Judin
På kontoret til Judin står bunker på bunker med papirer som inneholder millioner av opplysninger om hva landets største mediekonsern, Schibsted, lagrer om en enkeltperson.
Alle tastetrykk er lagret
– Vi fant at Schibsted har lagret informasjon om min kollega tilbake til 2001.
Alt hva kollegaen søker på og leser, lagres hos Schibsted, selv før han registrerte seg som bruker.
– Alt han har vært inne på, når på døgnet, hvem han har kommunisert med, hvor lenge han var inne på siden, hvor langt ned han bladde, når han bommet på tastetrykk, hvilke mobiltelefon og PC som ble benyttet, og hvilke interesser han har. Alt er lagret, sier Judin.
En overfladisk gjennomgang av materialet viser blant annet dette om testpersonen:
- Glad i skiskyting og utenriksstoff
- Leser til tider om natten
- Hvor han bor
- Hva han tjener
- Når han var på boligjakt
Personinformasjon er av verdens mest ettertraktede varer, og innsamling og salg av data om brukerne er blitt en viktig inntektskilde for Schibsted.
- Les også:
Brukerinformasjon fra en tjeneste som Finn.no kan fortelle mye om:
- Livssituasjon
- Interesser
- Sinnsstemning
- Livsstilen
- Konsentrasjonsevne
- Inntektsnivå
- Drømmer
- Teknologivalg
Vanskelig å kontrollere hvor opplysninger ender
I utgangspunktet sier norsk lov at man ikke kan videreselge informasjon som kan identifiserer brukeren.
– Det er vanskelig å kontrollere om dataene som videreselges kan identifisere enkeltpersoner, sier Judin.
Det er enorm tilgang på data fra ulike aktører på digitale reklamebørser, kombinert med stadig bedre analyseteknologi, og lenge har det vært kjent at risiko for reidentifisering er stor når man sammmenstiller data fra ulike aktører.
Data overføres til andre land
Schibsted overfører data om brukerne til USA, Ukraina og India.
– Vi føler oss trygge på at dataene behandles etter norsk og europeisk lov, sier Ingvild Næss, med tittelen Head of Privacy i Schibsted.
Samtidig er annonsenettverkene stadig mer kompliserte og uoversiktlige.
– Vi jobber med å forbedre oss, og gjør stadig tiltak for å redusere personvernulempene, understreker Næss.
- Les også:
Jo mer en annonse treffer målrettet, desto mer kan Schibsted ta seg betalt, Men de svarer ikke på hvilke selskaper de deler data med, og selger informasjon til.
– Det skjer utveksling av data mellom ulike parter som sørger for at annonser leveres til gruppen annonsøren vil treffe. Slik er annonseindustrien bygget opp over hele verden, sier Næss.
Blir lettere å slette og få innsyn
EUs nye personvernregler, GDPR, er rett rundt hjørnet og skal i teorien gi brukerne mer innflytelse over dataene som er lagret om vedkommende.
- Les også:
– Vi håper det gir brukerne bedre kontroll, sier Judin i Datatilsynet.
– Er det lov å lagre informasjon om oss så lenge som Schibsted gjør i dag?
– Man skal ha gode grunner for å lagre informasjon så langt tilbake, sier Judin.