Økt juridisk risiko ved bruk av Metas (Facebook og Instagram) markedsføringstjenester, nå igjen?
Ajda, akkurat nå som det ser ut som Schrems II-problemene er i ferd med å bli løst, dukker det opp et nytt og trolig større skjær i skjøen.
Det Europeiske Personvernrådet (EDPB), har fattet en styrende beslutning om gyldigheten av Metas GDRP-behandlingsgrunnlag til bruk av persondata i personalisert markedsføring.
Saken har grunnlag i en klage mot Meta som behandles av det irske tilsynet for såkalt grenseoverskridende behandling. Dette leder til at det irske tilsynet må gi alle relevante lands tilsyn anledning til å uttale seg, før Irland fatter et vedtak. De ulike tilsynene har vært uenig, hvor så EDPB har fattet en avgjørelse - som er jobben til EDPB i slike situasjoner.
Må basere seg på samtykke
Jeg har så langt ikke funnet EDPBs begrunnelse offentlig tilgjengelig, det blir den visstnok ikke på en stund, så jeg må ta forbehold.
Men det er sikkert at EDPB har vurdert om GDPR behandlinggrunnlag "oppfylle avtale" er gyldig for Metas (Facebook og Instagram) bruk av persondata til markedsføringsformål.
Ifølge Reuters er EDPBs svar "nei", noe som ikke er sjokkerende. Dette betyr i praksis at Facebook og Instagram må basere seg på samtykke.
Og mange har lenge ment at Facebooks samtykker ikke er gyldige under GDPR (ikke "informert", ikke "eksplisitt/aktivt" og også gjemt bort i lengre vilkårstekster).
Det er all grunn til å tro at den kommende irske avgjørelsen vil ta stilling til dette.
Du har kanskje kvitta deg med Google Analytics - men hva med Google Ads?
Vil få medvirkningsansvar
Så blir det viktige spørsmålet hva dette vil bety for norske bedrifters kjøp av tjenester. Dette kan være kundelistematching, kundelistematching med lookalike audience, og kjøp av tilgang til segmenter Facebook hadde fra før av for å treffe ønsket målgruppe med annonser.
La oss dog avvente den irske avgjørelsen først, men vi har god grunn til i dag å tro hva denne vil si:
Risikoen vil nå trolig øke for at norske bedrifter kan få et medvirkningsansvar under GDPR. Medvirkningsansvaret kommer av å utnytte persondata Facebook med stor sannsynlighet blir funnet å behandle uten gyldig GDPR-behandlingsgrunnlag.
Eller for å snu litt på det: Kanskje et mer direkte ansvar under GDPR for manglende overholdelse av hovedprinsippene i GDPR artikkel fem for ansvarlig behandling, dersom bedriften velger å utnytte persondata tilsynsmyndighetene har funnet at Facebook ikke har gyldig GDPR-behandlingsgrunnlag til å behandle (!).
Blir nødvendig å opppdatere
Jeg vil allerede nå påstå at det er sikkert at det blir nødvendig å oppdatere risikovurderinger ved norske bedrifters bruk av en rekke Facebook- og Insta-markedsføringstjenester, når den irske avgjørelsen, som dessuten er delvis styrt av EDPB, foreligger.
Jeg skal oppdatere dere når vi vet mer om EU tilsynsmyndigheters begrunnelser. Det kan fort ta noen måneder.