Í dag, 28. janúar, er alþjóðlegi persónuverndardagurinn. Af því tilefni er ástæða til að minna á þetta mikilvæga svið sem viðkemur öllum fyrirtækjum og stofnunum.
Tæp fjögur ár eru liðin frá því að ný persónuverndarlög tóku gildi og hefur þekking íslenskra fyrirtækja og stofnana á sviðinu aukist mikið á þeim tíma. Þannig hefur stór hluti fyrirtækja og stofnana gripið til ráðstafana til að tryggja hlýtingu við lögin, en fyrirtæki verða þó ávallt að vera á varðbergi og huga að persónuverndinni, t.d. við innleiðingu á nýju kerfum eða þegar nýjar markaðsaðferðir eru teknar upp.
Persónuvernd fer með eftirlit með framfylgni við persónuverndarlögin. Einstaklingar sem telja að brotið hafi verið á réttindum sínum á grundvelli laganna geta kvartað til stofnunarinnar og getur hún jafnframt tekið upp mál að eigin frumkvæði, í úttektum og frumkvæðisathugunum.
Persónuvernd hefur birt lista yfir þau atriði sem stofnunin mun leggja áherslu á í úttektum og frumkvæðisathugunum sínum á árinu 2022 og eru persónusnið sem notuð eru við svokallaða örnálgun (e. microtargeting) þar á meðal.
Ætla má að stór hluti íslenskra fyrirtækja nýti persónusnið í markaðstilgangi án þess að gera sér endilega grein fyrir því.
Með persónusniði er átt við vinnslu persónuupplýsinga á Netinu sem nýtt er til að greina eða spá fyrir um hegðun eða hagi einstaklinga, s.s. áhugamál, smekk eða fjárhagsstöðu. Með örnálgun eru persónusnið svo notuð til þess að beina sérsniðnum skilaboðum og auglýsingum beint að einstaklingum.
Til að búa til þessi persónusnið eru tól eins og vefkökur (e. cookies), dílar (e. pixels) og viðbætur (e. plug-ins) notuð sem gera aðilum kleift að rekja ferðir einstaklinga um Netið og fylgjast með hegðun þeirra, m.a. hverju þeir sýna áhuga. Með þessari tækni verður til persónusnið sem hægt er að nýta til að beina efni og auglýsingum að viðkomandi einstaklingum sem eru líklegar til að bera árangur.
Samfélagsmiðlar bjóða flestir upp á þjónustur sem gera fyrirtækjum kleift að skilgreina hópa á viðkomandi miðli sem þau vilja ná til og er slík þjónusta byggð á persónusniði. Með sk. „Core Audience“ þjónustu hjá Facebook geta fyrirtæki t.d. skilgreint þá hópa sem þau vilja ná til út frá lýðfræðiupplýsingum, áhugasviði og hegðun. Þannig geta fyrirtæki t.d. valið að ákveðnar auglýsingar séu birtar háskólamenntuðum karlmönnum á aldrinum 28-35 ára, sem búsettir eru í Reykjavík, hafa áhuga á mannréttindum, dýrum og lífrænu kaffi og ferðast með almenningssamgöngum.
Fyrirtæki geta einnig miðlað tengiliðaupplýsingum viðskiptavina sinna til Facebook og óskað eftir því að Facebook birti þessum hópi tilgreindar auglýsingar (sk. „Custom Audience“ þjónusta). Til viðbótar getur Facebook tekið þessar upplýsingar um viðskiptavinahóp fyrirtækis, greint persónusnið þeirra og í framhaldinu fundið út hvaða aðrir notendur samfélagsmiðilsins hafa sambærileg persónusnið og gætu þannig verið líklegir nýir viðskiptavinir viðkomandi fyrirtækis (sk. „Lookalike Audience“ þjónusta). Til að nýta þessa þjónustu þurfa fyrirtæki að miðla tilgreindum persónuupplýsingum viðskiptavina sinna til Facebook og úr verður vinnsla sem fyrirtækið og Facebook bera að ákveðnu leyti sameiginlega ábyrgð á.
Mikilvægt er fyrir fyrirtæki og stofnanir að vera meðvituð um það hvort þau eru að nýta persónusnið og örnálgun í starfsemi sinni því ákveðnar skyldur vakna á grundvelli persónuverndarlaga við slíka notkun.
Þannig er t.a.m. mikilvægt að tryggja að grundvöllur sé til staðar fyrir vinnslu persónuupplýsinga viðkomandi, þ.m.t. þeirri miðlun sem á sér stað á upplýsingum um viðskiptavini til samfélagsmiðla. Þá þurfa viðkomandi viðskiptavinir að vera upplýstir um að þessi vinnsla eigi sér stað og að upplýsingum þeirra sé miðlað áfram. Auk þess er mikilvægt að veita einstaklingunum tækifæri til þess að andmæla vinnslunni eða eftir atvikum afturkalla samþykki sitt, og við þær aðstæður þarf að gæta að því að ekki sé unnið frekar með upplýsingar viðkomandi aðila í þessum tilgangi.
Í ljósi áherslna Persónuverndar fyrir árið 2022 er mikilvægt að fyrirtæki og stofnanir skoði að hvaða leyti verið er að nota persónusnið og örnálgun og grípi til þeirra aðgerða sem nauðsynlegar eru til að tryggja að slík notkun sé í samræmi við persónuverndarlög.