IAB Europes preliminära kommentarer om översynen av rättsliga ramar för digitala tjänster (DSA)

Sammanfattning

Detta dokument nedan innehåller en översikt över IAB Europes preliminära kommentarer om granskningen av juridiskt ramverk för digitala tjänster, vidare till Europeiska kommissionen som anger i sitt 2020-arbetsprogram att de kommer att föreslå en ny lag om digitala tjänster (Digital Services Act – DSA) för att stärka den inre marknaden och skydda medborgarna och deras rättigheter.

Här följer den skrivelse framförd till EU Kommission från IAB Sveriges moderorganisation IAB Europe (Transparency Register: 43167137250-27) den europeisk förening för ekosystemet för digital reklam och marknadsföring.

Vi har gjort en direkt översättning av originaldokumentet med dess kommentarer nedan.
Originaldokument med källangivelser hittar du här

  • Vi inser vikten av diskussioner för att stärka den inre marknaden och skydda medborgarna och deras rättigheter. Vi tycker att det är avgörande för de europeiska företagen att fortsätt kunna hämta intäkter till deras verksamhet i den digitala svären, särskilt de europeiska medierna för vilka reklam är den stor inkomstström som följaktligen ger användare obetald tillgång till innehåll och tjänster.
  • Vi uppmanar beslutsfattarna till vetskap om det befintliga regelverket, särskilt EUs ramverk för sekretess- och dataskydd (EU Privacy and Data Protection Framework) som är tillämplig på all underliggande affärsaktivitet baserat data. I den allmänna Dataskyddsförordningen (GDPR) fastställdes entydigt grundreglerna för dataskydd för den digitala reklamkontexten.
  • Att hålla användarna säkra på nätet är avgörande ur det digitala reklamindustrins perspektiv.
    • Därför viktigt att notera skillnaden mellan olagligt och skadligt innehåll. Förekomsten av ett väl etablerat självreglerande ramverk för reklam tillåter konsumenter att lämna in klagomål om alla typer av reklam som anses vara olämplig. (I Sverige Reklamombudsmannen och platt-formarnas egna anmälnings-system)
    • Branschen har åtagit sig att minimera risken för att oavsiktligt finansiera reklam-webbplatser som är värd för olagligt innehåll, samt innehåll som anses vara desinformation med starka frivilliga åtgärder som ex ‘follow-the-money’. Medan utrotning av sådant som våld och utmanande innehåll på grund av den Internets gränslöshet, där har branschen visat att teknikstandarder och bästa praxis erbjuder en sund lösning. Detta möjliggör snabb reaktion och betydande förbättringar av situation över tid. Vilket dessutom möjliggör innovation, till förmån för företagen och i slutändan användare som drar nytta av åtkomst till gratis annonsfinansierat innehåll som driver den öppen webb.
    • Det är viktigt att komma ihåg att ur användarperspektivet, EUs ramverk för integritet och data skydd (EU privacy) tillåter uttryckligen en mängd användarrättigheter som konsumenter kan dra nytta av i relation till reklam som drivs av data.
  • Branschen har åtagit sig att upprätthålla transparens och kvalitet i den digitala reklamen och ekosystemet för marknadsföring för alla former av handel. Industridrivna tillvägagångssätt och tekniska standarder för att generera önskad transparens bör främjas. Med tanke på att tekniken ständigt utvecklas, och genom att införa föreskrifter och åtgärder skulle innovation och tillväxt förhindras, dessutom skulle det vara ett faktum att alla lagliga regler mycket snabbt skulle bli föråldrade.
  • Idag köps digitala medier av köparna på det befintliga ansvarssystem som avspeglar en verklighet av marknaden. Vi välkomnar emellertid reflektion över bestämmelsen om ‘Good samaritan’, vilket kan göra det möjligt för ekosystemet för digitala reklam att fortsätta volontär övervakning utan att förlora fördelarna med ”the Safe harbour”.

IAB Europes preliminära kommentarer om granskningen av lagliga ramverk för digitala tjänster (Digital Services Act)

IAB Europe (Transparency Register: 43167137250-27) representerar 25 europeiska nationella organisationer som i sin tur förenar över 5 000 företag från ekosystemet för digital reklam och marknadsföring, från annonsörer och reklambyråer på köparsidan, nyhetsförlag och andra annonsfinansierade webbplatser och onlinetjänster på säljsidan och teknikleverantörer som underlättar leverans av annonser.

I vårt arbetsprogram för 2020 uppgav Europeiska kommissionen (Commission) att den kommer att föreslå en ny lagstiftning om digitala tjänster (DSA) för att stärka den inre marknaden och skydda medborgarna och deras rättigheter.

IAB Europe (Transparency Register: 43167137250-27) vill ta chansen att ge feedback på innehållet som redan diskuterats i samband med DSA-paketet, vi vill förmedling synen på det digitala ekosystemet för reklam- och marknadsföring.

Vi inser vikten av diskussioner för att stärka den inre marknaden och skydda medborgarna och deras rättigheter. Vi anser att det är avgörande för de europeiska företagen att fortsätta hämta förtjänster från sina aktiviteter i den digitala sfären, särskilt för de europeiska medierna för vilka reklam är den viktigaste inkomstströmmen som följaktligen ger användare obetald tillgång till innehåll och tjänster.

Annonsering står för över 81% av europeiska tidningar och tidskrifter digitala intäkter och all neddragning av dessa intäktsmöjligheter som stöder den objektiva journalistiken av god kvalitet skulle få allvarliga konsekvenser för det sociala och politiska landskapet i Europa.
Vi vill därför uppmana beslutsfattarna att vara medvetna om det befintliga regelverket, särskilt EU Privacy för integritet och dataskydd som är tillämpliga på all affärsaktivitet som stöds av data. Dataskyddsförordningen (GDPR) fastställer entydigt grundreglerna för dataskydd i digital reklamkontext.

This paper has been framed in the following way:

  • Part 1 – Introduction – Background
    • Digital advertising and the European economy
    • Digital advertising – practical considerations and binding regulatory framework
  • Part 2 – Keeping users safe online from digital advertising perspective
    • Self-regulatory framework for advertising content
    • Follow-the-money approach to minimice ad misplacement
    • Relevance of the GDPR for user rights
  • Part 3 – Transparency in digital advertising supply chain
  • Part 4 – Liability regime of digital services

Del 1 – Inledning – Bakgrund

Digital reklam och den europeiska ekonomin

Digital reklam är en övergripande term för ett stort antal aktiviteter. Det sträcker sig från betalad sökmarknadsföring, till online-banners, sociala medier, videoannonsering, till digitalt ljud och andra nya format som Out-of-Home och Contective-TV, aktiviteter som alltmer blandas med traditionella medier.

I Europa uppgår digitala annonsinvesteringar till 55 miljarder euro. Men digitala reklamens uppskattade bidrag till EUs bredare ekonomi överstiger 118 miljarder euro, industrin driver mer än 1 miljoner jobb direkt och över 6 miljoner indirekt.
Digital reklam är helt kritiskt för Europas innehållsekonomi och står för över 80% av europeiska tidningar och tidskrifter digitala intäkter. Digital reklam säkerställer att konsumenterna kan välja vad de betalar för och därmed demokratisera tillgången till information och andra online-tjänster.
I själva verket uppskattar europeiska online-användare att deras data används för riktad annonsering så de får tillgång till gratis innehåll som stöds av reklam, och 83% föredrar gratis webbplatser med annonser än att betala för annonsfritt innehåll.

Digital reklam – praktiska överväganden och bindande regelverk

I praktiken stöds mekaniken i det digitala ekosystemet för reklam av förmågan att bearbeta data för reklamrelaterade ändamål, och inte begränsat till leverans utan även nödvändigt för mätning av digital reklam. Uppgifterna som behandlas för denna typ av aktiviteter kan inkludera IP-adresser, online-annonseringsidentifierare, webbadresser till webbplatser som användare använder. Det kan vara information om användarnas beteende på dessa webbplatser och indikationer om användarnas fysiska plats (“geolocation”-data). De flesta eller alla dessa datapunkter anses vara personliga uppgifter under GDPR. Ur detta perspektiv är EUs lagstiftning om integritet och dataskydd det främsta rättsliga styrsättet och som ekosystemets aktörerna anser vara relevant. För närvarande är dessa styrmedel en kombination av GDPR och ePrivacy Directive (2002/58/EC) med tidigare regleringar av behandling av personuppgifter (PUL) men även den för lagring och tillgång till information på en användares enhet.

Digital reklam har varit banbrytande i att nå bättre rätt publik. Istället för att förlita sig bara på breda demografi-segment kan digital reklam använda information om användarnas online-beteende för att ge “målgrupper” – som delar gemensamma intressen, och på grund av dessa gemensamma intressen, kan vara intresserad av en specifik vara eller tjänst. Identiteten till en specifik konsument är inte av intresse för en annonsör. Snarare är målet att skapa smalare segment. Till exempel vill eller behöver inte annonsörer veta vilka individer som ska nås och som bli kunder och åtnjuter deras produkter eller tjänster.
När detta görs korrekt tjänar profilering och riktning av annonser också konsumenternas intresse. Det garanterar möjligheten till kvalitetsreklam och som sannolikt är relevant för mottagaren och minskar risken för att konsumenter utsätts för ännu fler annonser.

Del 2 – Att upprätthålla användarnas säkerhet online från det digitala reklamperspektivet

För att upprätthålla användare säkerhet på nätet, ur det digitala reklamperspektivet är det absolut nödvändigt att förstå och ta itu med de aktuella frågorna som avser olagligt och potentiellt skadligt innehåll och tydligt skilja ut dessa frågor.

Självreglerande ramverk för reklaminnehåll

Till att börja med bör man inte förväxla felaktiga handlingar med vissa juridiska reklammetoder, som Native Advertising, advertorials eller sponsrat innehåll. Dessutom bör det finns bredare accept för de robusta självreglerande system för reklam. 97% av alla annonser som EU-befolkningen har sett bygger på direktivet Unfair Commercial Practices Directive och spelar en viktig roll för att förhindra spridning av vilseledande eller på annat sätt skadlig reklam hos alla medier, inklusive online.

I strävan efter att uppnå att alla reklammetoder ska vara lagliga, anständiga, korrekt och sanningsenligt, så spelar självreglerande ramverket en viktig roll i att säkerställa en hög nivå av konsumentskydd och förtroende.
De självreglerande systemet har inte bara en funktion att upprätthålla uppförandekoder och att de oberoende verkställs av de självreglerande organen, utan tillhandahåller även övervakning, utbildning och efterlevnadsråd till branschen. De europeiska organen behandlar i genomsnitt 60 000 klagomål per år och leverera dessutom 90 000 skräddarsydda råd till branschen.

Follow-the-money för att minimera felaktig placerade annonser

Tyvärr kan laglig reklam visas på webbplatser som är värd för olagligt innehåll, och intäkter som härrör från reklam kan delvis eller helt finansiera sådana webbplatser.

Minimering av risken för att oavsiktligt visas på sådana webbplatser kan underlättas med användning av verktyg för Brand Safety och sund affärspraxis. Varumärkessäkerhet beskriver ett helt område inom industrin där annonsörer, byråer och teknikföretag försöker förhindra reklam från felplaceringar. Den digitala reklambranschen är djupt involverad i varumärkessäkerhet, som får starka stöd från EU-kommissionens ”Follow-the-money” om felaktig placering av annonser på webbplatser som kränker immateriella rättigheter. Den europeiska strategin bygger på erfarenheter från nationella marknader där ett antal framgångsrika branschinitiativ framkommit.

På samma sätt är den digitala reklamindustrin engagerad i att hantera frågan om desinformation. IAB Europe godkände EU Code of Practice on Disinformation, och tillstår att laglig infrastruktur online kan missbrukas av dåliga aktörer för att lura och förvirra medborgarna. Vilket gör det svårare för dem att fatta faktabaserade bedömningar och i slutändan undergräva våra demokratier.

Omvänt, är det i vårt gemensamma intresse att se till att det digitala ekosystemet främst förblir en kraftfull plattform för demokratisk spridning av information och åsikter. Även om alla manifestationer av online-desinformation inte utnyttjar eller hänför sig till reklam. Digital reklam kan underlätta skapande och spridning av desinformation, till exempel genom att oavsiktligt aktivera placering av laglig reklam på webbplatser som möjliggör desinformation. För att minska sådan felaktiga placeringar av annonser kan investeringar i Brand Safety Tools verkligen förbättras situationen.

Relevans av GDPR för användarrättigheter

GDPR fastställer entydigt grundreglerna för dataskydd i den digitala reklamens sammanhang. Vad som är viktigt ur användarperspektivet är det faktum att den rättsliga ramen uttryckligen inkluderar en mängd användarrättigheter som konsumenter kan dra nytta av i relation till datadriven reklam. Vilket är i stort sätt all reklam på nätet.
Alla nya regelverk bör acceptera förekomsten av sådana användarrättigheter i GDPR och inte duplicera dem eller skapa laglig osäkerhet genom att införa tvetydiga relaterade bestämmelser.

Som bakgrund om lagens relevans för branschen är lagens omfattning omfattande och garanterar skydd av personuppgifter både i samband med elektroniska kommunikations-tjänster och informationssamhällets tjänster. Pseudonyma identifierare, online-identifierare, t.ex. cookies och enhetsidentifierare är exempel på personuppgifter som lyder under GDPR (Art. 4 (1), Rec. 30).

Dessutom innehåller GDPR regler om profilering och ger förbättrade rättigheter för användare där profilering äger rum (Art. 4 (4), Art. 22, Rec. 72), inklusive där användarens uppförande spåras online (Rec. 24). GDPR tar uttryckligen upp online-annonsering (rec. 58).

Principen om rättvisa som förankras i GDPR kräver att användarna informeras om det faktum att leverantör av en onlinetjänst (eller dess partners) avser att behandla dina personuppgifter eller att de redan gör det (Rec. 39). Det kräver också att de förstår syftena med behandlingen (Rec. 60), liksom om de är skyldiga att tillhandahålla uppgifterna för att utnyttja tjänsten, och vad skulle hända om de valt att inte göra det.

Användare bör inte heller vara föremål för något beslut baserat på automatiserad behandling utan mänsklig intervention som ger lagliga eller liknande allvarliga effekter på dem (Rec. 71). Hela användarutbudet medges uttryckligen i GDPR och följaktligen tillämplig på fall där personuppgifter behandlas i relation till digital reklam.
Dessa inkluderar: rätt att veta om ens personuppgifter behandlas, rätt till vet varför ens personuppgifter behandlas, rätt att känna till kategorierna av personuppgifter som behandlas, rätt till åtkomst till de personuppgifter som behandlas, rätt till information om vem personuppgifterna har delats eller kommer att delas med (Art. 15), rätt att veta hur länge personuppgifter kommer att bevaras (artikel 15), rätt till rättelse (artikel 16), rätt till radering (artikel 17), rätt att inte bli föremål för automatiserat beslut med lagliga eller liknande effekter (artikel 22), rätt till dataportabilitet (artikel 20), rätt att invända mot att behandla personuppgifter (artikel 21), rätt till information om var personuppgifter som den registeransvarige innehade ursprungligen var erhållen (artikel 15), rätt att kunna lämna in ett klagomål till en lämplig myndighet (artikel 15), rätt till ett effektivt rättsmedel mot en registeransvarig eller processor i händelse av brott mot lagen (Art. 79), rätt till kompensation för skada som lidits till följd av en överträdelse av Förordningen (artikel 82).

Med tanke på att GDPR kräver att enskilda användare har full öppenhet och kontroll över, alla behandlingar av deras personuppgifter. Vilket följaktligen förpliktar datakontrollanter att utnyttja en relevant rättslig grund för behandling av personuppgifter och förse användare med vissa specifika delar av information för att behandlingen ska vara laglig.
Med bakgrund i det har branschen investerat betydande resurser för att utveckla lösningar för laglig efterlevnad. IAB Europe och dess medlemmar har skapade en öppen källkod, branschstandard, IAB Europes Transparence & Concent Franework (TCF). Ramverket inkluderar allt där personuppgifter behandlas i anslutning till leverans och mätning av annonser eller personalisering av redaktionellt innehåll. För både konsumenter och branschens intressenter gynnas av transparens och kontroll. TCF standardiserar hur webbplatser lämnar den information som krävs av GDPR, hur webbplatserna samla in och loggar användarens val, hur de kommunicerar dessa val till sin tredje parts teknikpartners, och vad dessa partners kan och inte får göra som en konsekvens. Ramverket levererar denna funktionalitet med hjälp av en kombination av programvara och en digital signal som överförs från var enskild webbplats till en definierad uppsättning teknikpartners som webbplatsen arbetar med. Signalen fångar vilka databehandlingsändamål och datakontrollanter som användaren har godkänt, om några, och kräver av de som får signalen att beakta den i enlighet med klart definierade regler.

Del 3 – Öppenhet i leveranskedjan för digital reklam

Handel med digital reklam kan ske på många olika sätt. Branschen är engagerad i att bibehålla öppenhet och kvalitet i ekosystemet för digital reklam och marknadsföring, för alla former av handel.

Eftersom ekosystemet utvecklas ständigt och nya och fler spelare kommer in på den öppna marknaden, är det viktigt att finslipa strategierna för att skapa öppenhet för utvecklingen av branschen.

Resurser och tekniska verktyg, till exempel IAB Europe Supply Chain Transparency Guide, IAB Tech Labs ads.txt, sellers.json och OpenRTB Supply Chain möjliggör analys av den vidsträckta leveranskedjan, och kan t o m vara tillämpligt nationellt, som några av de marknadsövergripande Programmatic Codes of Conduct.
Dessa instrument hjälper köpare och säljare av digitala medier att navigera genom relevanta frågor om data, kostnader och lagerkällor eller verifiera enheter för att bara säkerställa de auktoriserade spelare som deltar i annonstransaktionerna.
Trots att den öppna marknaden kan på ytan verka komplicerade, på grund av mängden av aktörer och erbjudanden, förblir det kritiskt viktigt att nå målgrupper i stor skala och att kunna tjäna pengar på annonsutrymmen. Särskilt, med tanke på att mindre spelare och utgivare specifikt förlitar sig på support från deras tekniska leverantörer.

Övergripande, handlar inte frågan om otillgänglig information, utan snarare om att hantera komplexitet och ha rätt analytiska data-kunskaper och -färdigheter.

Med det sagt bör man inte förväxla påstådd opacitet i ekosystemet med komplexiteten i branschen, en bransch som har utvecklats betydligt under det senaste decenniet, särskilt från 2010 då annonsköp sker i realtid med Real Time Bidding-system.
IAB Europe och IAB Sverige främjar aktivt utbildning och relevant kompetens för att få fler människor med dessa färdigheter in i den digital reklambranschen och hjälpa företag att rekrytera rätt kompetens.

Del 4 – Ansvarsregler för digitala tjänster

Det befintliga e-handelsdirektivet reglerar i “Governs Information Society Services (ISS)” Art 1 i Society Services Directive och art. 2 (d), Rec. 18, Rec. 20 av Direktiv om e-handel).
Det kan rimligen antas att de flesta av spelarna i det digitala ekosystemet för reklam tillhandahåller en tjänst som kan betraktas som information av samhällstjänst.

Ramverket styr också “kommersiell kommunikation” som är en del av eller utgör information av samhällstjänst (artikel 2 f), artikel 6). Kommersiell kommunikation måste vara tydligt identifierbar som sådan, tillsammans med den fysiska eller juridiska person för vars räkning kommersiell kommunikation görs och andra detaljer såsom villkoren för eventuella kampanjerbjudanden som rabatter (artikel 6). De lägger därför en börda och ansvar på de som tagit fram dessa kampanjer.

Detta är relevant i ett starkt sammankopplat ekosystem för digital reklam där parter samarbetar för att placera annonser och kan i slutändan betraktas som underleverantörer av en annan. De flesta annonser kommer att utgöra kommersiell kommunikation om de skickas som en del av information av samhällstjänst och de kommer nästan alltid att skickas på uppdrag av en köpare. De flesta av partners i leveranskedjan kommer vanligtvis inte att delta i sändning av kommersiella kommunikation, eftersom det är köparens annonsserver som normalt överför annonser till utgivare. Annonsören är därför i allmänhet den part på vars vägnar en annons är tillverkad. Synsättet återspeglar marknadens verklighet, varigenom det är annonsören som är insatt i produkt eller tjänst som det annonseras för, och därmed är i stånd att ta beslut om innehållet i reklam och dess syfte, liksom andra bestämmelser när det gäller medieköp, till exempel metoden för handel och önskad målgrupp.

Direktivet innehåller också olika bestämmelser som reglerar ansvaret för “mellan-handstjänster” leverantörer (ISP). Om vissa villkor är uppfyllda, är leverantörerna inte ansvariga för information överförs eller lagras, i förekommande fall. Medlemsstaterna är också skyldiga att inte övervaka information som de överför eller lagrar, eller en allmän skyldighet att aktivt söka fakta eller omständigheter som indikerar olaglig aktivitet. En leverantör av ett ISS har inte automatiskt rätt till the ”Safe harbours-erbjudande” till ISPs under Direktivet som erbjuds ISP: er enligt direktivet (sk. 42).

Som en allmän regel är det värt att komma ihåg att även om teknisk kapacitet och funktion är specifik för en spelare i leveranskedjan kommer det skilja sig åt, dessa spelare förblir enheter som arbetar för andra aktörer, särskilt annonsörer och utgivare. I allmänhet har de olika spelarna ingen kunskap eller kontroll över innehållet eller datalagrade eller det överförda. Som sagt bör det noteras att många spelare kan genomföra olika övervaknings-aktiviteter för att följa lagen men inte begränsat till exempelvis för att förbättra kvaliteten och insynen i digital handel, minimera tillhörande risk, eller se till att mäta själva annonseringen eller de tjänster som tillhandahålls – allt vidare till deras kunders önskemål.

En av utmaningarna med den nuvarande styrsätt för ISS-leverantörer är att om de åtar sig moderering eller övervakning och får för hög grad av kunskap eller kontroll av innehåll eller data, sedan de kan förlora fördelarna med ”Safe harbours” under enligt Direktivet. Det skulle vara olyckligt om det i kraft av att följa lagen eller utföra due diligence att de med digital reklam förlorade skydd mot ansvar som de har på grund av ytterligare kunskap eller kontroll som de kan utöva över innehållet eller data som de övervakar. Därför välkomnar vi allmänhetens reflektion om “Good Samaritan”-bestämmelserna.

Se hela skrivelsen från IAB Europe här, 
där framgår också alla källor och referenser 
som har används i skrivelsen.