Information, integritet och individualiserad reklam

Juridiska institutionen

Vårterminen 2017

Examensarbete i civilrätt, särskilt marknadsrätt

30 högskolepoäng

Information, integritet och individualiserad reklam

Om regleringen av intressebaserad annonsering i ljuset av nya

dataskyddsförordningen

Information, Integrity and Individualized ads

About the legislation surrounding online behavioral advertising in light of the new general data protection regulation (eng.)

Innehållsförteckning

1 Inledning 1

1.1 Bakgrund 1

1.2 Syfte och frågeställning 3

1.3 Avgränsning 3

1.4 Metod och material 5

1.5 Kort om terminologin 6

1.6 Disposition 7

2 Om intressebaserad annonsering 8

2.1 Introduktion 8

2.2 Vem, vad, hur? 8

2.3 Tekniska förutsättningar 11

2.3.1 Cookies 11

2.3.2 Supercookies 13

2.3.3 Digitala fingeravtryck 14

2.3.4 Geo tracking 15

2.4 Om några specifika aktörer 16

2.4.1 Sociala medier i allmänhet och Facebook i synnerhet 16

2.4.2 Särskilt om Google 19

2.5 Sammanfattning av avsnittet 21

3 Marknadsrättslig lagstiftning och praxis 23

3.1 Introduktion 23

3.2 EU-reglering 23

3.2.1 Direktiv om otillbörliga affärsmetoder 23

3.2.2 E-handelsdirektivet 24

3.3 Svensk reglering - marknadsföringslagen 25

3.6 Sammanfattning av och slutsatser från avsnittet 33

4 Lagstiftning och praxis avseende dataskydd 36

4.1 Introduktion 36

4.2 EU-reglering 36

4.2.1 Direktivet om integritet och elektronisk kommunikation 36

4.2.2 Dataskyddsdirektivet 39

4.2.3 Praxis 42

4.3 Svensk reglering 43

4.3.1 Lagen om elektronisk kommunikation 43

4.3.2 Personuppgiftslagen 44

4.4 Dataskyddsförordningen 49

4.4.1 Bakgrund och definitioner 49

4.4.2 Dataskyddsförordningen och intressebaserad annonsering 51

4.5 Sammanfattning av avsnittet 59

5 Några frågor av särskilt intresse 61

5.1 Reflektioner om obeställd reklam och direktreklam 61

5.2 Vem, om någon, är aggressiv? 62

5.3 Genomsnittskonsumenten, den medvetna? 64

5.4 Ett litet fel kan bli väldigt dyrt 65

6 Några avslutande ord 67

Källförteckning 69

Gemenskapsrättsligt offentligt tryck 69

Förordningar och direktiv 69

Övrigt gemenskapsrättsligt offentligt tryck 70

Svenskt offentligt tryck 70

Rättspraxis 71

Gemenskapsrättslig praxis 71

Nationell praxis 71

Litteratur 72

Artiklar 72

Övriga tryckta källor 73

Förkortningar och begrepp

Annonsören Den part vars vara eller tjänst 
 marknadsförs i annonsen.

Bannerannons Webbannons som dyker upp som

en rektangel vid sidan av, ovanför eller mitt i hemsidans huvudsakliga innehåll. Banner översätts till banderoll på svenska.

Cookies Textfil som sparar information från

webbesökare på den besökande enhetens webbläsare.

Dataskyddsförordningen/förordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den
 27 april 2016 om skydd för fysiska personer med avseende på

behandling av personuppgifter och om det fria flödet av sådana

uppgifter och om upphävande av direktiv 95/46/EG ”allmän

dataskyddsförordning”.

EKMR Europeiska konventionen om skydd


för de mänskliga rättigheterna och
 de grundläggande friheterna.

ICC Internationella handelskammaren.

Insticksfil En fil som tillför funktion till enhetens operativsystem.

Intressebaserad annonsering Annonsering som på internet riktas till en enskild baserat på insamlad information om denne.

KO Konsumentombudsmannen.

Konsument/registrerad Mottagaren av intressebaserad annonsering torde vara både och. En fysisk person som handlar 
 huvudsakligen utanför

LEK Lag (2003:389) om elektronisk
 kommunikation.

Leverantören Den som publicerar annonsen på 
 sin webbsida eller i sin app.

Mellanhanden Den som förmedlar annonsen 


mellan annonsör och leverantör. Vanligen ett annonsnätverk, data 
 brokers eller en annonsbörs.

MFL Marknadsföringslag (2008:486).

Näringsidkare/behandlare Den som ägnar sig åt


intressebaserad annonsering torde ofta vara både och. Driver

verksamhet av ekonomisk art samt behandlar personuppgifter.

Opt-in Att ge samtycke till behandling

eller direkt marknadsföring.

Opt-out Att ha möjligheten att välja att ej vara föremål för behandling eller direkt marknadsföring.

Popup Information, ofta annons, som


dyker upp som ett fönster framför

webbsidans faktiska innehåll.

PuL Personuppgiftslag (1998:204).

Target/targeting Att välja vilka konsumenter som en marknadsföringsåtgärd ska rikta sig till.

Tracking Att spåra någons beteendemönster


1 Inledning

”We are all connected to internet, like neurons in a giant brain” menar forskaren i fysik, Stephen Hawking. Och ja, mängden information på internet är redan nästintill oändligt 1

stor, kanske snarare att likna vid ett universum än en hjärna, och det är vi, som är anslutna som konstant fyller det med information.

En av följderna av att alla är anslutna till internet är att informationen används som underlag för vad som kallas intressebaserad annonsering, att baserat på insamlad personlig information, rikta individualiserade annonser till internetanvändare. Denna marknadsföringsåtgärd började som en revolutionerande typ av marknadsföring men idag är metoden snarare industripraxis. Förutom att förändra annonsbranschen har förfarandet i stor utsträckning satt sin prägel på den enskildes internetupplevelse. Ett besök på internet idag innebär inte bara att i princip varje virtuellt steg som tas på något sätt registreras eller övervakas utan även att upplevelsen är konstant kantad av annonser, speciellt utvalda för just dig. Detta ställer nya rättsliga frågor på sin spets. 2

Det finns två rättsliga aspekter av intressebaserad annonsering på internet. Den första är marknadsföringsaspekten. Intressebaserad annonsering innebär en effektivisering och måste, ur ett rent ekonomiskt perspektiv, ses som ett steg i en positiv utveckling för de inblandade aktörerna med vinstintresse. Det har skapats nya innovativa företag och nya jobb i takt med branschens utveckling. För den enskilde kan intressebaserad annonsering vara positivt sett ur ett konsumtionshänseende, det blir lättare att hitta något som faktiskt intresserar och andelen reklam för sådant som inte över huvud taget är relevant för den enskilde konsumenten minskar. Den andra aspekten är vad 3

intressebaserad annonsering innebär för skyddet för den enskildes integritet och för behandlingen av personuppgifter. Till sin natur kräver intressebaserad annonsering, och liknande typer av riktad marknadsföring, insamling och behandling av personuppgifter.

Swartz, ”Q&A with Stephen Hawking”.

1

On-line Behavioral Tracking: What May Change After The Legal Reform av G. Skouma & L. Léonard i

2

Reforming European Data Protection Law i Serge Gutwirth, Ronald Leenes and Paul de Hert, s. 147. Pavlou, Stewart; ”Measuring the Effects and Effectiveness of Interactive Advertising: A Research

3

Personuppgiftsbehandling är till sin natur något av en brännande fråga och sker den dessutom på internet tycks den gränslöshet som internet präglas av göra att ämnet blir än mer känsligt. Som enskild är det svårt att greppa vem som behandlar vilken personlig data och i vilken utsträckning. Det finns ett allmänt intresse av att ta reda på just det i en tid då nyheter om cyberattacker och läckor förekommer med tätt återkommande, jämna mellanrum.

Avseende intressebaserad annonsering finns det flera exempel på där konsumenter fått, eller åtminstone upplevt sig få, sin personliga integritet avseende personuppgifter kränkt till förmån för företags vinstintresse. Det kanske mest välkända exemplet är följande: en amerikansk butikskedja hade utvecklat ett system i syfte att avgöra vilka kunder som väntade barn. Detta avgjordes av en algoritm som, beroende på vilka produkter en internetshoppare sökte sig till på hemsidan, kunde bedöma sannolikheten för graviditet. Om algoritmen kom fram till att sannolikheten var över en viss procent skickades erbjudanden för gravida med vanlig post till användaren i frågas registrerade hemadress. I just det aktuella fallet gjordes utskicket till en tonårig kvinna som bodde hemma hos sina föräldrar. Den unga kvinnans far reagerade med ilska på erbjudandet och besökte en av kedjans fysiska butiker där han skällde ut en anställd för att företaget uppmuntrade hans dotter att bli gravid genom att skicka sådana erbjudanden. Det visade sig ett tag senare att butikskedjans algoritmsystem hade haft rätt i sin analys när pappan ringde och bad om ursäkt för sitt beteende. 4

Dataintegritet i allmänhet och när den sker för företags egen ekonomiska vinning i synnerhet är en högaktuell fråga. Utvecklingen går dessutom hela tiden framåt och som alltid när det gäller juridik, går tekniken för fort för att juridiken ska hinna med. Inom EU försöker detta åtgärdas genom att reformera dataskyddslagstiftningen och införa en förordning med direkt effekt på ämnesområdet. Den här uppsats är skriven i ljuset av det stundade ikraftträdandet av förordningen.

Hill, ”How Target Figured Out A Teen Girl Was Pregnant Before Her Father Did”.

1.2 Syfte och frågeställning

Syftet med uppsatsen är tudelat, dels att utreda samt analysera det rättsliga läget avseende intressebaserad annonsering och dels att med beaktning av nya dataskyddsförordningen undersöka vilka eventuella förändringar den kan komma att medföra. Intressebaserad annonsering står på två rättsliga ben; ett marknadsföringsrättsligt och ett dataskyddsrättsligt. Målet är, utan att göra anspråk på att åstadkomma en fulländad bild, att undersöka och analysera de förutsättningar som finns för en lagenlig användning av marknadsföringsmetoden enligt de överlappande lagstiftningarna, marknadsrätt och dataskyddsrätt. Därför lyder uppsatsens frågeställning: hur är intressebaserad annonsering reglerat idag och vilka, om några, effekter kan ikraftträdandet av nya dataskyddsförordningen komma att medföra avseende regleringen av denna typ av marknadsföring?

1.3 Avgränsning

Uppsatsen är avgränsad till intressebaserad annonsering med anledning av att det är en relativt ny typ av marknadsföring, men som redan utgör en stor del av den totala annonseringen som sker, och som i sin uppbyggnad skiljer sig avsevärt från hur marknadsföring sett ut innan. Det är därför, enligt min mening, intressant att se vad resultatet blir när den lagstiftning som varit anpassad till traditionella marknadsföringsmetoder appliceras på en ny sådan. En annan anledning till valet av intressebaserad annonsering är dess dubbla karaktär, personuppgiftsbehandling och reklam. Förhoppningen är att uppsatsen ska kunna bidra till rättskunskapen genom att åskådliggöra den eventuella problematik som kan uppstå när dessa två rättsområden med vitt skilda syften ska samspela med varandra.

Under uppsatsen tredje huvudrubrik fokuseras särskilt på aggressiv marknadsföring och begreppet genomsnittskonsument. Jag har valt att ta fokusera särskilt på begreppet genomsnittskonsument för att det varierar beroende på omständigheterna och därför påverkas tydligt av andra faktorer än om det kommer ny praxis på området eller om marknadsföringsrätten ändras. Att aggressiv marknadsföring ryms i avgränsningen är på grund av att dessa regler tar avsikt på marknadsföringens form. Innehållet i intressebaserad annonsering är inte av intresse för uppsatsen, innehållsreglerna är i allmänhet inte beroende av vilket medium som annonseringen sker i. Det bör generellt sett spela någon roll om en annons som inte lever upp till exempelvis kravet på vederhäftighet levereras i form av en pop up eller i en tidning. Det är just intressebaserad annonserings form som är föremål för uppsatsen varför det är intressant att lägga extra fokus på reglerna om aggressiv marknadsföring.

I uppsatsens teknikteoretiska del har jag valt att endast ta upp vissa tekniker. Avgränsningen är främst motiverad utifrån utrymmesskäl, det finns helt enkelt inte tillräckligt med plats för att gå in på alla de tekniker som kan spela in vid intressebaserad annonsering. Jag har valt att ta upp de vanligast förekommande. Utifrån urvalet etableras en bild av marknadsföringsåtgärden som jag anser tillräckligt nyanserad för att användas som underlag för analys.

Jag har valt att fokusera på förhållandet mellan en marknadsförare i egenskap av näringsidkare och en konsument. Detta främst för att jag valt att ställa marknadsföringen mot skyddet för personuppgifter och de rättigheter som ligger bakom personuppgiftsskyddet. Marknadsföring från en näringsidkare till en annan, så kallad business-to-business, lämnas därför därhän.

1.4 Metod och material

Uppsatsen präglas av en rättsanalytisk metod. Gällande rätt etableras utifrån källor som lag, förarbeten, praxis och doktrin men även källor från andra discipliner används. Rättsläget analyseras sedan utifrån de nyss nämnda källorna. Det vanligaste vid författande av ett arbete som det här är att författaren använder sig av den rättsdogmatiska metoden. Rättsdogmatisk metod och rättsanalytisk metod liknar 5

varandra i många hänseenden, men den rättsanalytiska är långt i från lika väletablerad i svensk rättsvetenskap. Skillnaden, som Sandgren beskriver det, är att det inom en rättsanalytsik metod finns mer utrymme för kritisk behandling av rätten samt inslag av källor som härrör från andra vetenskaper än den juridiska. Rättsdogmatiken syftar till 6

att utifrån rättskällor som lagstiftning, förarbeten, doktrin och praxis konstruera en bild av rättsläget de lege lata. Även inom ett rättsanalytiskt arbete finns utrymme för att 7

fastställa gällande rätt de lege lata men utifrån en större variation av källor. Vid användning av den rättsanalytiska metoden finns också en möjlighet för att mer fritt analysera rätten. Rättsdogmatiken, å sin sida, är en deskriptiv metod även om inslag av 8

normativa ställningstaganden förekommer. I och med att fokus inom den 9

rättsdogmatiska metoden ligger till stor del på att fastställa gällande rätt och detta arbete i relativt hög utsträckning behandlar rätt som ännu inte trätt i kraft anser jag att det inte finns tillräcklig möjlighet att använda gällande rättskällor och rättspraxis för att kunna åstadkomma ett regelmässigt rättsdogmatiskt arbete. Komparativ juridisk metod 10

används under uppsatsens fjärde rubrik för att belysa skillnader mellan gällande och kommande rätt.

Att materialet innehåller såväl källor från gemenskapsrätten som nationell rätt ter sig naturligt sett till uppsatsens avgränsning. Då ämnet för uppsatsen aktualiserar en hel del teknik utgörs det litterära materialet inte enbart av juridisk doktrin. För att förstå vilka rättsliga frågor som aktualiseras vid intressebaserad annonsering krävs en

Sandgren (2015), Rättsvetenskap för uppsatsförfattare, s. 43 ff.

5

Sandgren (2005), ”Är rättsdogmatiken dogmatisk?”, s. 656

6

Jfr. Jareborg, ”Rättsdogmatik som vetenskap”, s. 4 ff.

7

Sandgren (2015), Rättsvetenskap för uppsatsförfattare, s. 46.

8

Olsen, ”Rättsvetenskapliga perspektiv”, s. 114 ff.

9

Peczenik, ”Juridikens allmänna läror”, s. 249 ff.

grundläggande förståelse för tekniken bakom. Vad gäller urvalet av källor finns det en medvetenhet gällande tidpunkten för upprättandet av dem. Området för ämnesvalet är ett som är under ständig utveckling varför källorna på ämnet snabbt blir inaktuella. Dock krävs för underbyggande av uppsatsen att det finns en bredd och spridning av källor varför alla tyvärr omöjligen kan vara helt nya. Avsikten med att hämta information från källor ur andra discipliner än den juridiska är att ge läsaren en mer djuplodad förståelse för hur uppsatsens ämne ter sig i praktiken. Marknadsrätten präglas dessutom till stor del av en användning av informell rätt, branschpraxis och internationella rekommendationer, vilka inte ges vikt enligt ett strikt rättsdogmatiskt metodsätt. 11

1.5 Kort om terminologin

Det övergripande ämnet för uppsatsen är intressebaserad annonsering. Denna typ av marknadsföring är bäst känd under det engelska begreppet online behavioral advertising eller förkortningen OBA. På svenska finns flera begrepp för att metoden; intressebaserad annonsering, intressebaserad marknadsföring eller anpassade annonser. Jag har valt att konsekvent använda begreppet intressebaserad annonsering i uppsatsen. På området internet och informationsteknik har det utvecklats en särskild vokabulär. Internet präglas av att det är geografiskt obundet varför mycket av den terminologi som används härstammar från engelskan. Detta är anledningen till att vissa saker rörande terminologin kan behöva klargöras innan fortsatt läsning av uppsatsen. Målsättningen är att uppsatsens språk ska uppnå en nivå av välavvägd balans mellan ett korrekt, juridiskt språk och ett aktuellt språk som speglar den terminologi som faktiskt används på internetområdet.

På området är används engelska ord och uttryck i en stor utsträckning. Genomgående används de mer vedertagna engelska uttrycken men vid första användningen kommer en fri översättning att ges. Det kan tänkas uppfattas som lite ”svengelska” men vid översättning till svenska riskerar begreppen att förlora sin mening. I svensk doktrin har

Sandgren (2015), Rättsvetenskap för uppsatsförfattare, s. 43.

historiskt internet skrivits med versalt i. Detta tycks förlegat varför internet skrivs med gement i uppsatsen igenom.

På engelska pratar man mycket om privacy och framför allt om data privacy eller e-privacy. Privacy är ett vitt begrepp utan någon egentlig direkt motsvarighet i svenska språket, varken privatliv eller integritet. Jag har valt att inte använda mig av en enskild översättning av privacy-begreppen utan istället anpassa ordvalet efter vad som åsyftas i syfte att försöka åstadkomma en så väl motsvarande översättning av sakinnehållet som möjligt.

1.6 Disposition

2 Om intressebaserad annonsering

I detta avsnitt redogörs för förutsättningarna för intressebaserad annonsering. I första delen presenteras vad det egentligen är och hur det fungerar. Under delrubrik 2.3 förklaras några av de tekniska metoder som används för insamling av information som annonseringen sedan baseras på. Avsnittet fortsätter sedan med ett avsnitt om ett par specifika aktörer för att avslutas med en kortare sammanfattning.

2.2 Vem, vad, hur?

Intressebaserad annonsering är marknadsföring som är riktad till en individ beroende på dennes beteendemönster. Genom att kartlägga individens beteende på internet sammanställs en profil utefter vilken marknadsföring riktad till individen kan skräddarsys. Intressebaserad annonsering är inte samma sak som så kallad contextual 12

advertising (kontextuell annonsering). Contextual advertising innebär att innehållet på den webbplats som besöks för tillfället avläses för att sedan anpassa bannerreklam eller popups där utefter. Till exempel, om sidan som besöks innehåller information om pollenallergi kan reklamen vara för pollenmedicin. Contextual advertising används också vid besök av sökmotor. Om användaren exempelvis söker efter resmål i Italien kan reklamen handla om hyrbil eller hotellalternativ i Italien. 13

En grundförutsättning för att intressebaserad annonsering ska fungera är att de följande tre aktörerna finns: någon som tillhandahåller ett annonsnätverk, en annonsör som söker någonstans att visa sina annonser och någon som vill öka sina annonsintäkter och kan tänka sig att publicera annonser på sin webbplats. Annonsnätverket är ansvarigt för att se till att samarbetet ger maximal effekt, den publicerande webbsidan står för den faktiska annonsplatsen men annonsnätverket sköter identifiering av målgrupper och sammanställande av profiler, det vill säga själva det intressebaserade riktandet. Ju större nätverk desto bättre effekt kommer annonseringen ha då det finns bättre resurser att bygga profileringen på och riktandet kan bli mer specifikt. I det här fallet är det

WP 171, s. 4-5.

12

European Interactive Digital Advertising Alliance, Ordlista.

annonsören som förhandlar med ett eller flera annonsnätverk om vilka förutsättningar som gäller för samarbetet, annonsören vet inte nödvändigtvis om på vilka webbsidor deras annonser finns tillgängliga. Det är vanligt att leverantören samarbetar med flera 14

olika annonsnätverk till exempel genom att låta en del av annonsplatsen vara reserverad för innehåll som tillhandahålls av annonsnätverk A och en annan del för sådant som tillhandahålls av annonsnätverk B. 15

Det finns även intressebaserad annonsering där annonsnätverk inte är inblandat och relationen endast är mellan annonsören och leverantören I det fallet underrättar annonsören leverantören om vilken som är dess intended target group (tilltänkta målgrupp) preciserat till mer än de vanliga faktorerna som kön, ålder och geografisk hemort, kanske istället baserat på sökord och dokumenterade intressen. Leverantören ser därefter till att annonsen når de besökare som matchar målgruppen genom att använda sig av targeting-teknologi och genom att kontrollera annonsens placering. Den här typen av intressebaserad annonsteknologi används bland annat av vissa sociala nätverk där användarens intressen är lättare att kartlägga än på många andra typer av webbsidor. 16

För att förenkla det hela kan sägas att det finns tre dimensioner när det kommer till spårning av webb-beteende. Den första är att samla in informationen genom att spåra en webbläsares rörelsemönster över internet. Den andra dimensionen uppstår när den insamlade informationen sammanställs och slutsatser kan dras om till exempel användarens intressen och vanor. Den sista dimensionen är när all den information som insamlats jämförs med andra användare för att kunna avgöra vilken typ av kategori av konsument just den här webbläsarens användare tillhör. 17

Intressebaserad annonsering riktas mot internetanvändare konstant och än mer frekvent är insamlingen av data. Flera parter tar sedan del av informationen, ett enda besök på en webbsida kan resultera i att användarens personuppgifter hanteras av närmare hundra olika aktörer. Först leverantörerna, säljarna av annonsplatsen. Mellansteget utgörs av annonsnätverken, annonsbörser och data brokers (datamäklare). Data brokers är företag

Den som publicerar annonsen.

14

WP 171, s. 5.

15

A.a., s. 5.

16

Léonard och Skouma, ”On-line Behavioral Tracking: What May Change After The Legal Reform”, s.

17

som sammanställer profiler av konsumenter från källor som sociala medier och register, offentliga eller kundregister från andra företag, för att sedan sälja informationen vidare. Profilen kan tänkas innehålla all möjlig typ av information, exemplevis kön, ålder och intressen. Det kanske mest kända svenska data broking-företaget är Bisnode, men det finns självfallet även utländska data brokers som kan få tillgång till information om en svensk användare. Den sista gruppen som får del av informationen utgörs av annonsörerna. 18

Merparten av den intressebaserade annonseringen som görs utförs idag helt av artificiell intelligens och kallas programmatic buying. Det fungerar som ovan beskrivet mellan säljare, annonsnätverk och köpare men hela processen är automatiserad och hela förloppet går snabbare än en sekund. Exempelvis, då en användare läser en dagstidnings internetupplaga. När läsaren går in på tidningens webbplats kontaktas automatiskt en server som anmodar tidningen att täcka annonsutrymmena på sidan med reklam. Tidningen, det vill säga leverantören, kontaktar en annonsbörs med en förfrågan om innehåll. I förfrågan finns information om användaren som grundar sig på vilka artiklar personen visat intresse för och på de uppgifter som användaren lämnat och som webbplatsen noterat via trackingmetoder vid registrering på webbplatsen. Uppgifterna som annonsbörsen får del av kan till exempel vara om användarens kön, geografiska position, IP-adress, inkomst och intressen. På annonsbörsen sker sedan budgivning mellan olika annonsörer, helt automatiskt, där högsta bud vinner och där vinnarens annons visas då användaren öppnar webbsidan. 19

Vid intressebaserad annonsering finns det två huvudsakliga sätt att hantera profilering, genom att etablera predictive profiles (förutsägande profiler), eller explicit profiles (explicita profiler). De förstnämnda skapas genom att studera såväl en specifik webbanvändares beteendemönster över tid genom att studera vilka webbsidor som besöks och vilka annonser som får flest ”klick”. Den senare profilen sammanställs av information som användaren själv försett någon slags webbservice med, typexemplet är genom registrering. De båda olika sätten kan också kombineras för att kunna sammanställa en så informationsrik profil som möjligt. Om en användare skapar en

SOU 2016:41, s. 331.

18

A.a., s. 330 ff.

profil efter att redan ha besökt webbsidan ett antal gånger kan den information som redan sparats i en predictive profile även läggas till i den explicit profile som kommer startas i och med registreringen. 20

2.3 Tekniska förutsättningar

För att företag ska kunna rikta marknadsföring till en specifik person eller grupp människor krävs olika sätt att samla in informationen som behövs som underlag för intressebaserad annonsering. Detta är en uppsats i disciplinen juridik och inte teknik varför det inte görs anspråk på att förklara något särskilt utförligt. Det kan tilläggas att inom tech-industrin är de olika sätten att utnyttja och tillgodogöra sig information för att kunna rikta reklam något som helst inte skyltas med, det hålls relativt tyst om vilka tekniska processer som föregår informationsinsamlingen samt till vilken grad den pågår. Här nedan presenteras av ovanstående anledningar ett antal av de vanligast 21

förekommande, och mest välkända, tekniska metoderna för insamling av information.

2.3.1 Cookies

En cookie är en datafil som placeras på varje enhet; dator, mobiltelefon eller surfplatta, via den webbläsare som används som gör det möjligt att identifiera användaren. Cookies är specifika till vilken enhet samt vilken webbläsare som används, det vill säga om en användare av en och samma dator använder olika webbläsare för att gå in på en och samma sida sparas en cookie per webbläsare. Cookies sparas som textfiler, vanligen en fil per webbsida som besöks. Det finns olika typer av cookies. Persistent cookies (fritt översatt ihärdiga cookies) är cookies som finns kvar på enheten trots att användaren lämnat sidan och stängt av datorn. Motsatt finns session cookies (sessionscookies) som är temporära. Den typen av cookies används för att hantera användarens aktiviteter på en och samma hemsida under samma besök. Den förstnämnda typen används för att känna igen en återkommande besökare och för att exempelvis guida besökaren åter till en produkt som den redan besökt eller en produkt som liknar något som besökaren tidigare varit intresserad av. First-party cookies (förstapartscookies) är sådana som tillhandahålls av den sidan som besöks vid det

WP 171, s. 7.

20

Faith Cranor et al., ”Smart, Useful, Scary, Creepy: Perceptions of Online Behavioral Advertising”.

aktuella tillfället. Den typiska tillhandahållaren av first-party cookies är en hemsida för e-handel och dessa cookies kan vara antingen persistent cookies eller session cookies. Third-party cookies (tredjepartscookies) innehas av en annan part än den hemsida som faktiskt besöks. Typiskt för sådana cookies är att de antingen styrs på avstånd av ett annonsnätverk eller att cookien placerats på hemsidan av någon typ av mjukvara för webbanalys. Third-party cookies är typiskt sett persistent cookies. 22

Användningsområdet för cookies är varierande. Ett av dessa är system för onlinebeställningar. I det fallet gör cookies att hemsidan kan behålla varor i en ”varukorg” eller på en ”minneslista” medan besökaren tittar på fler produkter från hemsidan som beställaren eventuellt vill lägga till ordern. Ett annat sätt att använda 23

cookies är för att individualisera hemsidan, skräddarsy den, efter en specifik individ. Här används cookien för att identifiera en person och få tillgång till dennes preferenser från en databas som bildats i cookien. Exempel på detta är när en besökare registrerar sig på en hemsida, med användarnamn och lösenord. Vid återbesök av från samma enhet och samma webbläsare på sidan kommer inlogg och lösenord automatiskt att uppenbara sig. Beroende på hemsidans funktioner kan även annan information vara sparad, exempelvis på streamingtjänster som Netflix, kommer det även automatiskt komma upp det senaste avsnittet som tittades på samt vilka andra TV-serier eller filmer som användaren kan tänkas uppskatta baserat på vad som tidigare konsumerats. På många av dessa sidor, där åtkomst till innehåll är helt eller delvis baserat på ett registrerat konto, finns det ett valbart alternativ i likhet med ”kom ihåg mig”, exempelvis på Facebook, vilket när valt faktiskt innebär ett godkännande av cookiespårning. 24

Ännu ett användningsområde för cookies är att spåra besökare på en hemsida. Mjukvara för webbanalys eller analysstatistik av besökare på en och samma hemsida spårar en besökares besök via persistent cookies för att se vilka produkter eller dylikt som just den besökaren tycks vara mest intresserad av för att kunna rikta sig mot just den

Chaffey et al., Internet Marketing - Strategy, Implementation and Practice, s. 147.

22

SOU 2016:41, s. 336.

23

Chaffey et al., Internet Marketing - Strategy, Implementation and Practice, s. 147 f.

besökaren. First-party cookies torde vara ett bättre val än third-party cookies för sådana verktyg då de är mer exakta. 25

Många webbläsare erbjuder private browsing sessions (privata webbsessioner) där webbläsaren automatiskt förstör de cookies som skapats under sessionen ifråga. Persistent cookies kan raderas manuellt i webbläsarens historikinställningar om de inte raderas automatiskt vid ett satt utgångsdatum. Utgångsdatumet brukar dock vara satt långt i framtiden och ofta flyttas det framåt om cookien uppdateras genom att webbsidan återbesöks. 26

Huvudregeln är som sagt att varje webbläsare på varje enhet spåras individuellt men i och med nya tekniker, så som molntjänster som gör att användare kan spara såväl information som dokument och bilder på ”molnet” som webbsidebesök, är det även möjligt att följa en och samma användare över olika enheter. Detsamma gäller om en 27

person surfar medan han eller hon är inloggad på en viss tjänst. 28

2.3.2 Supercookies

Supercookies är en annan, förstärkt typ av cookies. Supercookies sparas inte, som vanliga cookies gör, i webbläsaren och typiskt sett får inte besökaren heller någon notis om att deras information spåras via supercookies. De raderas inte när en användare manuellt rensar cookies från sin webbläsare och de fastnar inte i blockeringsnätet som finns i vissa webbläsares private browsing sessions. Supercookies kan spåra en användare på samma sätt som persistent cookies, det vill säga tvärs över internet. De används därför ofta i syfte att spåra även de användare som ställt in sin webbläsare att inte tillåta cookies. 29

Den vanligaste versionen av supercookie är så kallade Flash cookies som sparas via det populära insticksprogrammet Adobe Flash Player, som många gånger krävs för att kunna tillgodogöra sig videoinnehåll från internet och därför är mycket vanligt förekommande. Flash cookies kan inte raderas genom webbläsarens historikhanterare,

A.a., s. 148. 25 WP 171, s. 6. 26 WP 196, s. 4. 27

Se under delrubrik 2.4.1 om Facebook och 2.4.2 om Google.

28

European Network and Information Security Agency (ENISA) ”Privacy Considerations och Online

29

för att göra sig av med Flash cookies måste användaren gå in på Adobes webbsida. De har heller inte, till skillnad från persistent cookies, något utgångsdatum utan förnyas hela tiden. Flash cookies innehåller information bland annat om användarens inställningar som används vid uppspelningen av videoinsticksfiler.30

Cookies är den mest välkända metoden för informationsinsamling och kartläggning av webb-beteende. Det har gjort att fler och fler är medvetna om persistent cookies och i och med ökad förståelse har de anpassat sitt beteende efter det genom att radera cookies kontinuerligt eller blockera cookies i sin webbläsare. Färre är medvetna om Flash cookies funktionssätt men det är förmodligen bara en tidsfråga innan även detta blir mer välkänt. 31

Olika variationer av cookies fortsätter att utvecklas för att optimera spårning och för att undkomma de allt bättre blockeringsmekanismer som också utvecklas konstant. Det är lite som en kapprustning, den ena måste avancera för att hela tiden ligga före den andra som gör det samma åt andra hållet. En av de nyare versionerna kallas för evercookie, en förevigkaka, och som namnet insinuerar är avsikten att den aldrig ska försvinna. Evercookies kombinerar olika typer av tracking-mekanismer som alla kompletterar och förstärker varandra för att kunna spåra en användare även när Flash cookies och vanliga persistent cookies raderats av användaren. 32

2.3.3 Digitala fingeravtryck

En annan metod för webbtracking är något som kallas fingeravtrycksalgoritmer, där webbläsarna lämnar så kallade digitala fingeravtryck. Algoritmerna kan användas för att spåra användare som har blockerat cookiespårning. De kan vara svårare för en användare att upptäcka än super cookies då digitala fingeravtryck inte lämnar några varaktiga spår på enheten i fråga. Trots att webbläsaren är inställd på private browsing 33

session lämnar webbläsaren från sig information till de webbplatser som besöks. Informationen innehåller bland annat vilken webbläsare som används, vilket operativsystem som är installerat på enheten i fråga om några insticksfiler, som Adobe

A.a., s. 7.

30

Eckersley, ”How Unique Is Your Web Browser?” s. 3 ff.

31

European Network and Information Security Agency (ENISA) ”Privacy Considerations och Online

32

Behavioral Tracking”, s. 7.

Eckersley, ”How Unique Is Your Web Browser?” s. 3 ff.

Flash, finns installerade på enheten med mera. Sammanställd blir denna information om webbanvändaren mer eller mindre unik och därmed kan en specifik besökare särskiljas från mängden. Om digitala fingeravtryck används tillsammans med cookies och 34

supercookies är det ett än mer kraftfullt sätt att spåra internetanvändare. 35

I och med att internet är uppbyggt på ett sådant sätt att webbsidor inte bara hämtar innehåll från den som ansvarar för den egna webbplatsen utan även från utomstående parter har den information som fås genom fingeravtryck från en sida även spridning till dessa tredje parter. 36

2.3.4 Geo tracking

I många applikationer finns det inbyggda plug-ins som innebär att enhetens 37

geografiska position fastställs. Till exempel uppmanar det sociala nätverket Instagram till att användaren ska lägga till vilken plats som ett foto är taget på i samband med publicering. Denna typ av tracking grundar sig vanligen på ett informerat samtycke i 38

början men inte alla användare är nödvändigtvis medvetna om att trackingen sedan fortsätter i bakgrunden. Sociala medier och andra appar med geo trackingfunktion gör att en innehavare av en smartphone i princip spåras vart han eller hon än går. Denna typ av information kan sedan användas för att fastställa ett visst rörelsemönster vilket i sin tur gör att annonsörer kan rikta reklam utefter det. 39

Även då användaren själv inte uppger vilken plats de befinner sig på eller har tillåtit en geografisk spårare i bakgrunden finns det teknologi som via censorer och analys kan avgöra var personen befinner sig utifrån en bild. Detta på grund av något som kallas participatory sensing (avkänning via deltagande). Andra användare har frivilligt delat med sig av viss information som gör att utifrån faktorer som vädret, byggnader i bakgrunden och i kombination med texten som ackompanjerar bilden kan tekniken fastställa geografisk position egentligen genom att utesluta alla de platser som inte

SOU 2016:41, s. 337 ff.

34

European Network and Information Security Agency (ENISA) ”Privacy Considerations och Online

35

Behavioral Tracking”, s. 7. SOU 2016:41, s. 337 ff.

36

Vidare i uppsatsen alterneras mellan begreppet ”applikation” och förkortningen ”app”.

37

Instagram, ”Help”.

38

Léonard och Skouma, ”On-line Behavioral Tracking: What May Change After The Legal Reform”, s.

39

passar in på beskrivningen. Den här typen av teknologi är ny och inte särskilt väl utbredd än. 40

Inte bara smart phones och surfplattor använder sig av geo tracking i någon mån, utan även många webbläsare. Dessa webbläsare låter webbsidor efterfråga geografisk information och med ett godkännande från användaren så skickar webbläsaren information som IP-adresser och adressen till det trådlösa nätverk som används vilket kan användas till att uppskatta var användaren befinner sig. 41

2.4 Om några specifika aktörer

För att konkret visa applicera det ovan nämnda på några verkliga exempel redogörs i detta avsnitt för hur två av de största aktörerna på internet samlar in information och hur de agerar i egenskap av mellanhand och leverantör inom fältet intressebaserad annonsering.

2.4.1 Sociala medier i allmänhet och Facebook i synnerhet

Sociala medier använder sig av olika metoder för tracking. Flera av medierna är väldigt öppna med sin tracking, det är en av del av funktioner som används för att marknadsföra tjänsten. På exempelvis LinkedIn, en social mediaplattform som i stort har till syfte att låta sina användare främja yrkeskontakter och utveckla sina karriärer, används tracking för att visa profilbesökare. En användare kan se vem som besökt dennes profil och eventuellt dra slutsatsen att besökarna är intresserad av honom eller henne för en tjänst eller samarbete. I och med omfattningen av sociala medier har mängden information 42

som en näringsidkare kan få tillgång till för att använda i intressebaserad annonsering drastiskt ökat de senaste 10 åren. Facebook, Twitter och de andra stora sociala medieplattformarna är gratis för medlemmar och finansieras i stället genom annonsintäkter. Det faktum att plattformarna besitter sådana stora mängder information om sina användare möjliggör för en än snävare, riktad annonsering. Detta är såklart värt mycket för annonsören för ju snävare urval, desto mer träffsäkra annonskampanjer

Castelluccia, ”Behavioral Tracking on the Internet: A Technical Perspective”, s. 26.

40

European Network and Information Security Agency (ENISA) ”Privacy Considerations och Online

41

Behavioral Tracking”, s. 7-8.

Léonard och Skouma, ”On-line Behavioral Tracking: What May Change After The Legal Reform”, s.

42

vilket i sin tur resulterar i att sett till hur många konsumenter som annonsen når är andelen som faktiskt väljer att köpa produkten som annonseras mycket högre än om annonsen når en bredare publik. 43

Störst av alla sociala medier är Facebook, 71 % av svenskarna använde Facebook 2016. Facebook skapades 2004 av den dåvarande studenten Mark Zuckerberg. Syftet, 44

enligt Facebook själva, är att ”ge folket makten att dela med sig och göra världen mer öppen och ansluten”. Facebook är en av de aktörer vars databehandling redan 45

resulterat i förändring på rättsområdet genom att få delar av sin den prövad i domstol. Domen hade inte närmare att göra med intressebaserad annonsering men resulterade däremot i att EU reformerade sin policy om överföring av personuppgifter från EU till tredje land. 46

En användare på Facebook lämnar frivilligt information om sig själv. Vilken information en användare väljer att lämna varierar men för att registrera sig på sidan krävs minst att uppge namn, födelsedatum, mailadress eller mobilnummer och kön (man eller kvinna). Den frivilligt lämnade informationen kan dock innehålla långt mycket 47

mer än så beroende på vad användaren väljer att uppge. Det finns möjlighet att uppge tidigare och nuvarande arbetsplats och skola, tidigare och nuvarande residensstad, vilka släktband som finns till andra Facebookanvändare, civilstatuts, favoritmusik och så vidare. Det finns till och med en ruta där användaren kan fylla i vad som gör honom eller henne glad. Facebook är som bekant ett socialt nätverk som går ut på att bli vän med folk varför den kanske allra största källan till information är en användares ”vänlista”. Förutom att ta del av den information som en användare själv bidragit genom kan slutsatser även dras från vad dennes vänner ”like:ar” , ”attend:ar” för 48 49

event och går med i för grupper. 50

SOU 2016:41, s. 382-384.

43

Internetstiftelsen i Sverige, Alexanderson et al., ”Svenskarna och internet - En årlig studie av svenska

44

folkets internetvanor: Sociala medier”. Facebook, ”About”.

45

Mål C-362/14, Maximillian Schrems v. Data Protection Commissioner.

46

Facebook, ”Sign up”.

47

Facebook-applikation där ikonen är en ”tumme upp” som indikerar att användaren ställer sig positivt

48

till det aktuella innehållet.

Användaren indikerar att han eller hon planerar att delta i ett annonserat evenemang.

49

Roosendaal, ”We are all connected to Facebook….by Facebook!”, s. 4 ff.

Facebookapplikationer finns inkorporerade på mängder av andra olika webbsidor. Det är exempelvis många nyhetssidor som istället för att ha ett klassiskt kommentatorsfält under artiklar har en reserverad yta där inloggade Facebook-användare kan kommentera, dela eller ”like:a”. Andra vanliga Facebookapplikationer är kopplade till ett användarkonto på en annan tjänst, Instagram eller Spotify till exempel. Facebook använder sig av cookies för att samla information om sina användare. Cookies är som redan fastslagits generellt kopplade till en specifik webbläsare på en specifik enhet. 51

Facebooks cookies innehåller dock en användares unika identifikationsnummer vilket gör det möjligt för Facebook att spåra en användares beteende över flera olika enheter. 52

Genom att komplettera de uppgifter om användare som kan fås genom Facebook och tracking med inköp gjorda i fysiska butiker kan träffsäkerheten ytterligare förbättras. Facebook samarbetar med ett antal företag som samlar in stora mängder information från bland annat amerikanska butikers bonusprogram. På så vis kan Facebook koppla ihop informationen som användaren själv ger på sin profil med informationen som kan fås genom att se till den personens vänner eller medlemskap i nätverk med information om vad personen köpte när han eller hon drog sitt medlemskort. Det gör att profilerna som sammanställs är oerhört informationsrika. 53

Facebook samlar inte bara in informationen utan är även en stor leverantörsplattform när det kommer till intressebaserad annonsering. Den som vill visa sina annonser på Facebook formulerar vilken typ av användare de vill ska nås av annonsen och Facebook använder sig sedan av de informationsrika profiler de sammanställt om sina användare för att para ihop annonsen med lämpliga användare. Annonsören kan välja att rikta sig till följande typ av publik: core audience, lookalike audience eller custom audience. Den förstnämnda typen, fritt översatt kärnpubliken, baseras på faktorer som geografisk plats, intressen och beteenden. Den andra, bygger på att hitta användare som har liknande profiler som redan existerande kunder. Den sistnämnda typen kan översättas till skräddarsydd publik och där tillåts annonsören att vända sig till personer som redan visat något typ av intresse för tjänsten eller produkten. Annonserna visas för användare

Se avsnitt 2.3.1.

51

Roosendaal, ”We are all connected to Facebook…By Facebook!" s. 9 ff.

52

SOU 2016:41, s. 382-384.

som redan är kund hos näringsidkaren, som har besökt näringsidkarens webbplats eller som har laddat ner näringsidkarens app på sin smartphone. 54

Facebook tillåter dessutom via sitt Audience Network att annonsörerna når ut på fler plattformar än Facebook. Audience Network är Facebooks egna annonsnätverk där de är mellanhanden mellan annonsören och leverantören som i det här fallet är olika appar. Audience Network använder sig av samma information och targetingteknik som vid annonsering på Facebook. Audience Network lanserades 2014 men har redan blivit ett 55

av de största annonsnätverken. Facebook uppger själva att hela 6 % av all app-56

användning representeras av Audience Network och bland de företag som använder sig av nätverket finns exempelvis Spotify. 57

2.4.2 Särskilt om Google

Precis som Facebook har Google och dess hantering av personuppgifter varit föremål för en prövning som resulterat i förändring av EU-rätten. I det fallet handlade det om rätten att bli bortglömd. Google är en unik aktör på internet och det är inte bara för att 58

företaget har den förmodligen absolut mest välkända sökmotorn i världen. Google har mängder med tjänster förutom sin söktjänst, bland annat den egna webbläsaren Google Chrome, en mycket välanvänd karttjänst, Google Maps, och ett av de absolut största email-systemen, Gmail. Dessa olika tjänster och funktioner gör att Google kan fylla 59

användarprofilerna med oerhörda mängder information. Vid frekvent användande av Google Maps avslöjas var personen spenderar mycket tid och Gmail gör att Google har tillgång till miljoner och åter miljoner email-konversationer. Google har en applikation 60

som heter ”OK Google” som tillåter en användare att använda sökfunktionen genom att ”prata med” enheten, det vill säga, uttala frågan istället för att skriva den. Det innebär att applikationen använder sig av röst-igenkännings-teknolog varför Google även har

Facebook, ”Ad Targeting”.

54

Facebook, ”Business: News: Audience Network Improvements and Performance”.

55

Facebook, ”Business: News: Audience Network”.

56

Facebook, ”Business: News: Audience Network Improvements and Performance”.

57

Mål C-131/12, Google Spain SL, Google Inc. v Agencia Española de Protección de Datos and Mario

58

Costeja Gonzáles.

Google, ”About: Products”.

59

Castelluccia, ”Behavioral Tracking on the Internet: A Technical Perspective”, s. 22.

tillgång till många av sina användares röster. Dessa är bara några av alla de tjänster 61

som Google erbjuder.

Den som har ett Google-konto kan genom att besöka sidan ”My Activity”, fritt översatt ”min aktivitet”, kan se alla aktiviteter som han eller hon har gjort på en tjänst ansluten till Google, exempelvis på den av Google ägda hemsidan för videoklipp, YouTube. 62

Den trackingmetod som Google använder ger alltså företaget möjlighet att spåra sina användare över flera enheter så länge personen är inloggad på sitt Google-konto. Kontot måste loggas utifrån manuellt, annars är användaren inloggad i bakgrunden hela tiden. Inte heller att radera sina cookies från webbläsaren hjälper i och med att informationen inte sparats på webbläsaren utan på Google-kontot. Det är möjligt att stänga av spårningen i kontoinställningarna. 63

När det kommer till Google och intressebaserad annonsering finns det hela fyra Google-tjänster att hålla reda på: Google Analytics, Google AdWords, Google AdSense och Double Click. Google Analytics är ett statistikverktyg vilket ett företag som anlitas av externa parter för att ta fram statistik om besökare för att sedan kunna rikta reklam till dem. Google AdWords är en annonseringstjänst där Google spelar rollen av leverantör, 64

annonsörer som vill visa sina annonser på någon av Googles tjänster, som i sökmotorn, på Gmail eller på YouTube. AdSense är Googles annonsnätverk, det vill säga 65

förmedlaren mellan leverantör och annonsör. Leverantören väljer vilken typ av annons de vill visa och var den ska sitta så ser AdSense till att fylla platsen med lämpligt innehåll. Double Click är inte en Googleprodukt från början men köptes av Google år 66

2008 för 3.1 miljarder dollar. Double Click utvecklar och utrustar andra företag med 67

tjänster för internetannonsering. De har lösningar för mängder av olika typer av annonsering. 68

Google, ”Support: OK Google”.

61

Google, ”My Activity”.

62

Google, ”My Account”.

63

SOU 2016:41, s. 336.

64

Google, ”AdWords: How it works”.

65

Google, ”AdSense: How it works”.

66

Dagens Nyheter Ekonomi, ”Google köper Double Click”.

67

Double Click by Google, ”Insights”.

Google använder alltså både information som användare själva uppger när de registrerar sig på någon av dess tjänster och information som de får genom tracking. Beroende på tjänstens beskaffenhet varierar vilken typ av information som användaren ger ifrån sig. Trackingmetoderna de använder sig av är logginformation, det vill säga information t.ex. om aktiviteten i sig samt om IP-adress eller telefonnummer, och geografisk platsinformation. Google samlar även information från cookies. De sammanställer all information från de olika tjänsterna för att kunna intressebaserad reklam för sig och sina kunder. 69

De olika tjänsterna gör att Google samlar in och analyserar data om flera miljarder fysiska personer i syfte att ta fram individualiserade tjänster och innehåll. 70

2.5 Sammanfattning av avsnittet

Intressebaserad annonsering på internet är individualiserad för mottagaren och levereras vid sidan av, ovanför, under eller framför innehållet på en webbsida eller app. Det finns oftast tre grupper av aktörer inblandande när det kommer till intressebaserad annonsering: en annonsör, ett annonsnätverk/annonsbörs/data broker och en leverantör av innehållet. Beroende på hur upplägget ser ut kan hundratals aktörer ta del av informationen. Processen sker allt som oftast automatiserat. För att rikta annonseringen använder aktörerna sig av insamlad data för att sammanställa en profil om en webbanvändare. Profilen kan innehålla faktorer som kön, geografisk plats eller ålder men också faktorer som vilka webbplatser som enheten ofta besöker, vem personen som använder enheten är släkt med och var han eller hon jobbar - allt beroende på vilken information som finns tillgänglig. Vilken information som finns tillgänglig avgörs av vilka webbplatser som användaren besökt och vilka trackingmetoder som dessa webbplatser har aktiverat. En av de mer välkända är cookies men även verktyg som digitala fingeravtryck och supercookies är vanliga. Informationen kan också komma från sådant som användaren själv uppgivit, medvetet eller omedvetet, på sociala medier eller från appar som tillåter att enhetens geografiska rörelsemönster registreras. En stor aktör som Facebook eller Google kan sammanställa väldigt informationsrika profiler av

Google, ”Privacy Policies”.

69

SOU 2016:41, s. 360.

3 Marknadsrättslig lagstiftning och praxis

I detta avsnitt presenteras den lagstiftning som är relevant med hänsyn till syftet som rör den marknadsrättsliga aspekten av intressebaserad annonsering. Avsnittet är uppdelat i underrubriker, där den första innehåller EU-rättslig reglering och den andra innehåller nationell rätt. Den tredje respektive fjärde underrubriken handlar om två specifika företeelser inom marknadsrätten, aggressiv marknadsföring och genomsnittskonsument. Avsnittet avslutas med en sammanfattande del där det också förekommer analys.

3.2 EU-reglering

3.2.1 Direktiv om otillbörliga affärsmetoder

Direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av direktiv 84/450/EEG och direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder), har till syfte att bidra till en välfungerande inre marknad med ett högt konsumentskydd. 71

”Svarta listan” återfinns i bilaga 1 till direktivet om otillbörliga affärsmetoder och är en ej outtömlig lista på marknadsföringsmetoder som alltid ska anses otillbörliga. Sett till avgränsningen för denna uppsats finns det främst en punkt som kan tänkas aktualiseras. Listans tjugosjätte punkt förbjuder en näringsidkare från att upprepade och oönskade gånger ta kontakt via t.ex. email eller annat medium undantaget om näringsidkaren gör så i enlighet med lag i syfte att få konsumenten att fullgöra en avtalsmässig förpliktelse. Detta ska inte påverka tillämpningen av artikel 10 i direktiv 97/7/EG (konsumentskydd vid distansavtal) och direktiven 95/46/EG (dataskyddsdirektivet) och 2002/58/EG (integritet och elektronisk kommunikation).

Utöver punkt 26 kan även punkt 28 vara av intresse för uppsatsen. Därur framkommer att direkta köpuppmaningar till barn eller annonsering som syftar till att förmå barn att

Direktiv 2005/29/EG, artikel 1.

övertala föräldrar eller annan vuxen att köpa produkter till barnet är otillbörlig marknadsföring.

I direktivet om otillbörliga affärsmetoder hänvisas kontinuerligt till en genomsnittskonsument. Begreppet refereras till i artikel 5 där det stadgas att en affärsmetod är otillbörlig om den strider mot god yrkessed och innebär eller sannolikt kommer att innebära att den genomsnittlige konsumentens avsevärt förändrar sitt ekonomiska beteende i förhållande till produkten. Även i direktivets sjätte artikel utgås från en genomsnittlig konsument när det kommer till att avgöra om affärsmässig handling varit vilseledande. Detsamma gäller avseende vilseledande underlåtenhet i artikel 7 samt aggressiva affärsmetoder i direktivets åttonde artikel. Begreppet genomsnittskonsument är inte statiskt, utan påverkas av hur affärsmetoden ifråga ser ut. Om annonseringen exempelvis är riktad mot barn i en viss ålder är genomsnittskonsumenten ett sådant barn. I allmänhet kan dock sägas att en genomsnittskonsument är ”är normalt informerad samt skäligen uppmärksam och upplyst, med beaktande av sociala, kulturella och språkliga faktorer”. 72

3.2.2 E-handelsdirektivet

Direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (e-handelsdirektivet) har enligt artikel 1.1 till syfte att se till att den fria rörligheten för informationssamhällets tjänster fungerar väl på den inre marknaden. Det huvudsakliga syftet är att reglera särskilt elektronisk handel men enligt artikel 1.2 omfattas även kommersiella meddelanden av direktivet. I artikel 2f finns en lång definition av vad som menas med kommersiellt meddelande under direktivet. Definitionen medför att intressebaserad annonsering faller in under direktivet som kommersiellt meddelande om annonseringen har: till syfte att direkt eller indirekt främja konsumtion av vara eller tjänst eller syfte att direkt eller indirekt främja en person, ett företag eller en organisations anseende och avsändaren inte är oberoende av objektet för annonseringen. Förutom undantaget för oberoende är vem avsändaren är inte av relevans för direktivets tillämplighet.

Direktiv 2005/29/EG, ingresspunkt 18.

Ingresspunkt 29 innehåller en motivering till inkluderandet av kommersiella meddelanden i direktivet. Lagstiftaren skriver där att förekomsten av sådana meddelanden är ett grundläggande villkor för att en sådan stor del av tjänsterna på internet är tillgängliga för användare gratis. Dock, är det viktigt, sett till konsumentskyddets karaktär och i syfte att åstadkomma en lojal konkurrens, att det ställs vissa krav på öppenhet.

De bestämmelser som rör kommersiella meddelanden specifikt stadgar bland annat att det tydligt ska framgå att det rör sig om reklam. Det ska också vara klart identifierbart för vems räkning reklamen utgår. När det kommer till icke-begärda kommersiella 73

meddelanden ska de som sänder sådana via e-post kontinuerligt konsultera de register som finns för att opt-out. De ska även respektera om en person anslutit sig till sådant register. 74

Direktivet är införlivat i svensk lag genom lagen (2002:562) om elektronisk handel och andra informationssamhällets tjänster.

3.3 Svensk reglering - marknadsföringslagen

Marknadsföringslagen (2008:486) (MFL) är den huvudsakliga lagstiftningen när det kommer till svensk marknadsrätt. Lagen tillämpas enligt 2 § MFL då näringsidkare marknadsför eller själva efterfrågar produkter i sin näringsverksamhet och är där med tillämplig på intressebaserad annonsering. ”Svarta listan” i direktivet om otillbörliga affärsmetoder är inkorporerat i svensk rätt genom 4 § MFL.

3 § MFL definierar god marknadsföringssed ”god affärssed eller andra vedertagna normer som syftar till att skydda konsumenter och näringsidkare vid marknadsföring av produkter”. Begreppet kan inte anses ha en enhetlig betydelse utan utgår från branschpraxis som är föränderlig och kan se olika ut beroende på vilken del av branschen som är aktuell. 5 § MFL hänvisar till seden. För att ta reda på vad begreppet 75

innebär rent konkret bör ses till praxis och Internetionella handelskammarens (ICC) grundregler om reklam och marknadskommunikation. Begreppet inbegriper även god

Direktiv 2000/31/EG, artikel 6.

73

Direktiv 2000/31/EG, artikel 7.

74

Levin, Marknadsföringslag (2008:486) 3 §.

yrkessed som innebär att näringsidkaren gentemot konsumenten ska bibehålla en nivå av fackmässigt och visa skälig aktsamhet för att motsvara hederlig marknadspraxis och/ eller leva upp till den allmänna principen om god tro. ICC:s grundregler innehåller 26 76

artiklar. ICC har också tagit fram speciella regler, bland annat en rörande intressebaserad annonsering. Av intresse för uppsatsens syfte bland kan bland grundreglerna särskilt nämnas artikel 19 som stadgar att vid insamling av personuppgifter i marknadskommunikationssyfte ska integritetsskyddande normer iakttas noga.

Artikel D7 i ICC:s regelsamling handlar specifikt om intressebaserad annonsering. Artikeln nämner både regler som redan lagligen måste uppfyllas så som att det ska finnas etablerade säkerhetsåtgärder vid behandling av persondata, att den registrerade ska meddelas om behandlingen och att känsliga uppgifter inte får behandlas utan uttryckligt samtycke, men har även gått utanför etablerad rätt med kompletterande 77

regler. Framförallt innehåller artikel D7.2 ett krav på användarkontroll som innebär utförliga krav på tredje part att inte bara ska informera om behandlingen utan även att det ska finnas en lättillgänglig funktion för registrerade att välja bort sådan behandling. En sådan funktion ska även finnas tillhandahållen av sådana parter som ”samlar in och använder uppgifter med hjälp av särskilda tekniker eller metoder avsedda att hämta in uppgifter från alla eller nästan alla webbplatser som besöks från en viss dator eller enhet över ett flertal webbdomäner och som använder dessa uppgifter för OBA-ändamål”. 78

Reklamombudsmannen har publicerat en rekommendation om hur cookies och jämförlig teknik ska användas för att svara till god marknadsföringssed. 79

Rekommendationen innehåller att EASA och IAB:s regelverk för intressebaserad 80

annonsering också ska beaktas vid användning av sådan teknisk som rekommendationen avser. Båda dessa dokument är dock självreglering och ingen 81

egentlig rättskälla utan snarare att se som utfyllnad.

Prop. 2007/08:115, s. 81.

76

Se vidare huvudrubrik 4.

77

ICC:s Regler för reklam och marknadskommunikation” D7.2 om Användarkontroll.

78

Reklamombudsmannens rekommendation om användning av cookies och jämförlig teknik 1.1.

79

International Advertising Bureau.

80

Reklamombudsmannens rekommendation om användning av cookies och jämförlig teknik 1.3.

Reklamidentifiering är ett krav enligt 9 § MFL, det ska vara tydligt att det är marknadsföring och vem som svarar för den.

I MFL används inte begreppet genomsnittskonsument men däremot utgås i svensk praxis från något som kallas transaktionstestet. Testet innebär att för att regleringen 82

ska bli tillämplig krävs att marknadsföringsåtgärden på något sätt fått en snedvridande effekt i den mening att den påverka konsumentens slutfattningsförmåga till ekonomisk fördel för marknadsföraren. 8 § MFL läses tillsammans med någon av bestämmelserna 83

om vilseledande reklam i 9, 10 eller 12-17 §§ MFL och innebär att marknadsföringen är otillbörlig om den påverkar eller sannolikt påverkar mottagarens förmåga att fatta ett välgrundat beslut. I MD 2014:8 marknadsförde ett företag hälsokostprodukter via direktreklam vilket ansågs otillbörligt då reklamen innehöll ovederhäftiga påståenden (10 § MFL) och ansågs uppfylla transaktionstestet. 84

I MFL används inte begreppen direktreklam eller riktad reklam men däremot finns en definition av begreppet elektronisk post i 3 §, där reklam på email åtminstone omfattas. Begreppet kommer från artikel 2h i direktiv 2002/58/EG. Även obeställd 85 86

reklam förekommer som begrepp och regleringen återfinns i 19 § MFL. I begreppet innefattas reklam som riktas till en fysisk persons email-adress eller telefon men inte sådan som dyker upp på internet i form av banners eller dylikt. Obeställd reklam i sig är inte otillbörlig men ska såklart svara till kravet på god marknadsföringssed. Huvudregeln är att obeställd reklam måste grunda sig på samtycke, det vill säga att det finns krav på opt-in från konsumentens håll. Undantag från huvudregeln finns i paragrafens andra stycke och innefattar sådan reklam som grundar sig på kontaktinformation som näringsidkaren erhållit när konsumenten köpt något från näringsidkaren. I sådana fall ska konsumenten inte ha motsatt sig att adressen används för marknadsföring, det ska röra sig om liknande produkter och personen ska ha möjlighet att avsäga sig reklamen kostnadsfritt och enkelt. 87

Mer om begreppet genomsnittskonsument under delrubrik 3.5.

82

SOU 2006:76, s. 351.

83

Se särskilt p. 28 och 33 i domskälen.

84

Levin, Marknadsföringslag (2008:486) 2 §.

85

Se vidare om det under rubrik 4.2.1.

86

Levin, Marknadsföringslag (2008:486) 19 §.

3.4 Aggressiv marknadsföring 3.4.1 Om begreppet

De punkter från ”svarta listan” som särskilt tagits upp under underrubrik 3.2.1, det vill säga främst punkt 26 om upprepad kontakt men även punkt 28 om marknadsföring till barn, omfattas av begreppet aggressiv marknadsföring i MFL och är enligt 7 § 4 st. MFL alltid att anse som otillbörlig. Aggressiv marknadsföring enligt MFL:s mening är sådan som innehåller aggressivt påtryckningsmedel av någon sort och som uppfyller transaktionstestet. Transaktionstestet i 7 § är dock formulerat något annorlunda än det som finns avseende vilseledande reklam i 8 § MFL, då påverkan måste ske i märkbar mån.

Aggressiv marknadsföring kan till exempel vara marknadsföring som är förknippat med hot eller trakasserier. Det kan även anses vara aggressiv marknadsföring om näringsidkaren utnyttjar en maktställning som den har i förhållande till konsumenten. Dock har svenske lagstiftaren valt att inte uttryckligen inkludera marknadsföring som sker genom upprepad oombedd kontakt som exempel på vad som utgör aggressiv marknadsföring i 7 § MFL. Regeringen diskuterade kring detta i propositionen till MFL och angav att det istället tillfaller rättstillämparen att med stöd av gemenskapsrättslig praxis närmare utveckla när särskilt pådrivande och frekventa marknadsföringsåtgärder faller in under förbudet mot aggressiv marknadsföring. Rättstillämparen har till ansvar att både tolka och fylla ut innehållet av sådan marknadsföring genom att beakta och väga alla relevanta omständigheter från fall till fall. För att anses som otillbörlig måste utsträckningen i vilken marknadsföringsmetoderna är högfrekventa och/eller pådrivande måste överstigas vad som kan anses som normal uppsökande marknadsbearbetning i högre mån än ringa. 88

Ordalydelsen i 7 § MFL är lite krånglig och styckena är inte kumulativa men beroende av varandra. Högfrekvent, oombedd marknadsföring är alltså alltid att anse som otillbörlig genom ”svarta listan” och referensen till punkt 26 i 7 § 4 st. MFL men när sådan reklam är olaglig är upp till rättstillämparen att avgöra. Enligt 7 § 2 st. krävs för att marknadsföringen ska vara aggressiv att den utförs i kombination med någon typ av

Prop. 2007/08:115, s. 80-81.