Det irske datatilsynet gir massive bøter til Meta etter pålegg fra EDPB for å ha brutt EUs personvernslover. Metas forretningsmodell siden 2018 er reelt sett kjent ulovlig.
Som varslet rett før jul, har nå det irske datatilsynets avgjørelse mot Meta, altså for Facebook og Instagram, kommet. Saken har versert siden GDPR trådte i kraft, og gjelder Metas grunnlag for adferdsbasert markedsføring, det vil si bruk av personopplysninger til å personalisere annonser.
Vedtaket er egentlig en underkjennelse av lovligheten av hele Metas forretningsmodell, og bøtene er enorme - 400 millioner Euro.
Meta kan bryte GDPR, og norske selskaper kan få ansvaret: - Stort skjær i sjøen
Kan ta det videre
Meta har nemlig ment at de ikke trenger den enkelte brukers samtykke for å utnytte brukernes personopplysninger til personalisert markedsføring. Meta har ment at de lovlig kan gjøre dette "for å oppfylle avtale" (om å ha konto på FB/Insta). Dette var det irske tilsynet enig i, men ble overstyrt av EDPB. Det norske datatilsynet er enige med EDPB.
Og dette er ikke det eneste det irske tilsynet ikke er enige med EDPB om. EDPB har instruert det Irske tilsynet om å nå undersøke lovligheten av Metas behandling av spesielle kategorier personopplysninger (for eksempel helse, religion, seksuell orientering), men dette nekter det irske tilsynet foreløpig å gjøre.
I alle tilfeller, ved at Meta ikke kan bruke "oppfylle avtale" for å levere markedsføringstjenstene de lever av, må Meta isteden ha et gyldig samtykke og det har de ikke i dag.
Ikke overraskende er Meta helt uenig i avgjørelsen, og vil påklage den, og trolig deretter ta saken videre til retten. Det vil trolig gå lang tid før en avgjørelse er rettskraftig.
«Meta burde hatt et GDPR-gyldig samtykke fra sluttbrukere, og det har de altså ikke.»
Dette betyr det for deg
Hva betyr dette for norske annonsører og kjøpere av Metas markedsføringstjenester?
Både EDPB og det Norske Datatilsynet mener Meta på ulovlig måte samler inn og bruker personopplysninger til å tilby kunder (som norske annonsører) tilgang til markedsføringstjenester som kundelistematching, sporing ved FB pixel, konverteringsmålinger og utplassering av annonser til "audiences".
Dette betyr at vi i Norge nå vet at vi kjøper tjenester Datatilsynet mener er i strid med GDPR ved fortsatt bruk av Metas tjenester. Samtidig er jo avgjørelsen ikke rettskraftig og vil neppe bli det på en stund. Teknisk sett er det ikke endelig etablert at Metas tjenester er i strid med GDPR. Imidlertid må jeg være ærlig: EDPBs juss fremstår som overbevisende. Meta burde hatt et GDPR-gyldig samtykke fra sluttbrukere, og det har de altså ikke.
Vet at vi vet hva det Norske Datatilsynet mener, har risikoen ved kjøp av Metas digitale markedsføringstjenester nå økt. Men om denne risikoen manifisterer seg før avgjørelsen er rettskraftig, er mye vanskeligere å svare på.