En belgisk undersökning visar att Facebook spårar sina användare även om de explicit avböjt detta, och även sådana som inte har ett Facebook-konto.
Facebook spårar användare som besökt något av företagets sidor, även om de inte har ett Facebook-konto eller har valt att inte bli spårade. Detta visar en ny undersökning som gjorts av universitetet i Leuven och Vrije-universitetet i Bryssel på uppdrag av CPP, den belgiska kommissionen för skydd och integritet.
Enligt undersökningen ändrade Facebook sina användarvillkor och policy den 30 januari 2015, under vilka Facebook tog på sig rätten att spåra sina användare över olika webbsidor och enheter, samt att samla information om sina användare på regelbunden basis. De flesta villkor var dock inte nya, utan hade bara gjorts mer explicita.
Undersökningen konstaterar att Facebooks användarvillkor bryter mot rådande EU-lagstiftning. För det första lägger Facebook för stor del av ansvaret på sina användare genom att göra det svårt och krångligt för de att ställa in sitt konto för önskad grad av integritet. Användare får heller inte alls möjlighet att ställa in delning av platsinformation. Vidare ger Facebook inte sina användare tillräckligt med information om vad de olika inställningarna och villkoren innebär.
Men undersökningen konstaterar dessutom att även användare som inte har något eget Facebook-konto kan spåras av företaget, rapporterar The Guardian. Det räcker att besöka en webbsida på Facebooks domän för att få en så kallad cookie skickad till sin dator. Enligt rådande lagstiftning i EU ska cookies bara skickas efter att användaren gett sin uttryckliga tillåtelse. Undantag är om en cookie är nödvändig för att ansluta till en tjänst, eller för att leverera en tjänst som är beställd av användaren.
I dagsläget kräver Facebook istället att användaren explicit går in och stänger av riktade annonser och spårning. Enligt Brendan Van Alsenoy, som arbetat med undersökningen, innebär Facebooks policy ett tydligt brott mot EU-lagen. Hon säger:
"Europeisk lagstiftning är verkligen tydlig på den här punkten. En användares godkännande av riktad annonsering på nätet måste vara aktiv för att räknas som laglig. Facebook kan inte tolka sina användares passivitet som ett godkännande. Och vad gäller icke-användare har Facebook ingen laglig rätt alls att spåra deras beteende."
Undersökningen visar också på ännu ett övertramp av Facebook, som gör att användare som aktivt väljer att inte bli spårade får en annan cookie skickad till sig, som i sig själv kan användas för att spåra användaren.
Facebook använder sig av en utomstående tjänst för användare som avböjer riktade annonser och väljer att inte bli spårade. Dessa tjänster är olika beroende på vilket land användaren bor i, och inom EU används EDAA (European Digital Advertising Alliance). Europeiska Facebook-användare som inte tidigare blivit spårade och väljer bort detta får från Facebook en ny cookie på sin dator. Günes Acar, en annan av undersökningens författare, säger:
"Om människor som inte tidigare blivit spårade av Facebook använder mekanismen för att avstå spårning, placerar Facebook en cookie med en unik identifierare som kan användas för att spåra användaren i upp till två år. Vidare upptäckte vi att Facebook inte gör detta med motsvarande tjänster för sina amerikanska eller kanadensiska användare."
Facebook skickar visserligen en särskild cookie till alla kunder som avstår spårning, men i normala fall kan den inte användas för att identifiera individer eftersom den inte innehåller en unik identifierare. Varför Facebook gör detta med datorer som tillhör EU-användare är okänt.
Belgiska myndigheter har nu inlett en utredning av Facebook och dess användarvillkor och integritetsregler. En talesperson för Facebook kritiserar dock rapporten, och säger:
"Undersökningen innehåller faktafel. Upphovsmännen kontaktade aldrig oss, eller försökte förtydliga några av de antaganden som rapporten är baserad på. Inte heller inbjöds vi att kommentera rapporten innan den blev offentliggjord."
Val Alsenoy och Acar säger till The Guardian att de inte är förvånade att Facebook har en annan åsikt kring vad europeisk lagstiftning kräver. De säger också att om rapporten innehåller faktafel är Facebook välkomna att skicka in specifika kommentarer kring dessa.
En cookie, eller webbkaka, är en liten textbaserad fil som en webbplats kan spara i en användares dator. Vid ett återbesök på sidan skickas den tillbaka, och det är då möjligt för webbplatsen att hålla reda på användarens identitet och inställningar för exempelvis inloggning eller språkinställning. Informationen i en cookie kan också användas för indivualiserad reklam.