Datatilsynet mot Meta
22/08/23
I midten av juli, fattet Datatilsynet et hastevedtak mot Meta, selskapet bak Facebook og Instagram. I vedtaket nedla Datatilsynet midlertidig forbud mot at personopplysninger om norske brukere kan benyttes til atferdsbasert markedsføring på Facebook og Instagram. Dagbøtene på 1 million kroner startet samme dag.
Tilsynet krevde at Meta skulle innrette seg etter vedtaket innen 14. august 2023. Fra den dagen har det påløpt det tvangsmulkt på 1 million kroner per dag, såkalt dagbøter, dersom Meta ikke retter seg etter vedtaket.
Meta varslet raskt at de vil angripe Datatilsynets vedtak, og som et resultat av dette har selskapet bedt Oslo tingrett om såkalt midlertidig forføyning, som vil si at Meta ikke må etterleve vedtaket eller betale dagbøter før saken er endelig avgjort i domstolene. Saken behandles i Oslo tingrett 22. og 23. august.
Markedsføring basert på brukerens handlinger
Bakgrunnen for Datatilsynets hastevedtak er at Meta samler inn store mengder personopplysninger om brukerne av Facebook og Instagram. Dette er opplysninger om blant annet lokasjon, innhold brukeren interesserer seg for, antall pålogginger og innhold brukeren deler.
Informasjonen som samles inn benyttes slik at Meta kan gi brukerne personalisert innhold. Ved å analysere bruk av og samhandling på plattformen kan Meta gjøre presise antagelser om brukerens personlighet og interesser.
I vedtaket defineres atferdsbasert markedsføring som målrettet markedsføring basert på antagelser på grunnlag av observert atferd, samt på grunnlag av den registrertes bevegelser, estimert lokasjon og hvordan den registrerte samhandler med annonser og brukergenerert innhold. Dermed blir brukerens profil avgjørende for hvilket innhold, inkludert markedsføring, brukeren vises og ikke vises.
Datatilsynet har selv uttalt at den «inngripende kommersielle overvåkningen for markedsføringsformål er en av de største personvernrisikoene på Internett i dag». I den samme uttalelsen viser tilsynet til en undersøkelse fra Ipsos hvor 82 prosent av den voksne befolkningen opplyste at de har konto på Facebook, mens 62 prosent har brukerkonto på Instagram. Mange benytter Facebook og Instagram for samhandling om temaer som politikk, seksuell orientering og egen helse. Dette er personopplysninger som er ansett som sensitive, og har derfor et særlig krav på vern.
Krevde umiddelbar reaksjon
Datatilsynets hastevedtak kommer som et resultat av to klagesaker som har versert for det irske datatilsynet siden 25. mai 2018, altså den samme dagen som personvernforordningen fikk virkning. Personvernforordningen er et regelverk som skal styrke og harmonisere personvernet ved behandling av personopplysninger i EØS.
Det irske datatilsynet fattet først endelig vedtak i disse to sakene 31. desember 2022. I vedtakene kom tilsynet frem til at atferdsbasert markedsføring ikke er nødvendig for å oppfylle avtalen brukerne godtar når de starter å bruke Metas tjenester. Dermed gir ikke avtalen Meta rett til å bruke personopplysninger i atferdsbasert markedsføring. Meta ble derfor pålagt å finne et annet rettslig grunnlag innen tre måneder. Selskapet ble også ilagt overtredelsesgebyr på til sammen 290 millioner euro.
Etter vedtaket endret Meta det rettslige grunnlaget, og mener at behandling av personopplysninger for atferdsbasert markedsføring er en berettiget interesse for selskapet som går foran brukernes interesser og deres grunnleggende rettigheter og friheter.
Det norske datatilsynet ytret raskt bekymring for at endringen ikke innebærer at Meta etterlever vilkårene om rettslig grunnlag for behandling av personopplysninger, og mener også at Meta innskrenker brukernes rett til å protestere mot behandling av personopplysninger for atferdsbasert markedsføring.
Datatilsynet sendte derfor en forespørsel til det irske datatilsynet 5. mai 2023 om å ilegge Meta et midlertidig forbud mot behandling av personopplysninger for atferdsbasert markedsføring. 2. juni 2023 svarte det irske datatilsynet at det ikke ville etterkomme forespørselen.
En måned senere, 4. juli 2023, avsa EU-domstolen avgjørelse i en sak mellom Meta og det tyske konkurransetilsynet, hvor den uttalte at selv om sosiale nettverkstjenester som Facebook er gratis, kan ikke brukerne forvente at leverandøren av tjenesten behandler brukerens personopplysninger, uten samtykke, for atferdsbasert markedsføring. Domstolen mente brukerens interesser og grunnleggende rettigheter går foran leverandørens interesse i å finansiere tjenesten ved hjelp av atferdsbasert markedsføring.
Med dette som bakteppet kom Datatilsynet i Norge til at Metas kontinuerlige mangel på etterlevelse krevde en umiddelbar reaksjon. Det norske datatilsynet mener at det irske datatilsynets vedtak, viser alvorlige brudd på personvernforordningen og at en forsinkelse i utbedring av bruddene vil medføre akutt risiko for brukerne av Facebook og Instagram, i tillegg til at personvernforordningen i praksis ikke gir dem effektiv beskyttelse.
Midlertidig forbud mot å bruke personopplysninger
Datatilsynets vedtak fastslår at personopplysninger ikke kan brukes til atferdsbasert markedsføring basert på personvernforordningen artikkel 6 nr. 1 bokstav b eller f, altså på grunnlag av avtale eller Metas berettigede interesse. Vedtaket gjelder kun Metas norske brukere og varer i første omgang til 3. november 2023.
I praksis innebærer vedtaket at Meta må innhente samtykke fra brukerne for å kunne bruke personopplysninger om dem til atferdsbasert markedsføring. Meta har ikke innrettet seg etter vedtaket og dagbøtene begynte derfor å løpe fra 14. august 2023.
Meta har misforstått definisjonen av atferdsbasert markedsføring
I personvernerklæringen brukerne godtar når de godtar Metas vilkår, står det at annonser vises blant annet på grunnlag av brukerens lokasjon og hvordan brukeren samhandler med annonsene som vises. Meta opplyser at det rettslige grunnlaget for å behandle informasjon om samhandling med innhold, inkludert annonser, er avtalen brukerne godtar når de tar i bruk tjenestene.
Datatilsynet mener at behandling av lokasjonsdata til markedsføringsformål helt klart innebærer at markedsføringen som er omtalt i personvernerklæringen er atferdsbasert markedsføring. Det irske datatilsynet har på sin side nedlagt forbud mot å benytte avtalen som grunnlag for behandling av personopplysninger i atferdsbasert markedsføring.
Meta misforstår brukernes rimelige forventninger om atferdsbasert markedsføring
Meta mener at brukerne både ønsker og forventer atferdsbasert markedsføring som baserer seg på monitorering og profilering av deres atferd på Facebook og Instagram. Datatilsynet mener på sin side at denne tolkningen av brukernes ønsker og forventninger, har påvirket Metas vurdering av om vilkårene for å bruke sine berettigede interesser er oppfylt.
Datatilsynet understreker at innholdet i en personvernerklæring ikke har avgjørende betydning for vurderingen av hvilken behandling av personopplysninger brukerne med rimelighet må kunne forvente.
Til slutt viser Datatilsynet til EU-domstolens uttalelser om at brukere av sosiale nettverkstjenester ikke kan forvente at leverandøren av tjenesten behandler personopplysninger for atferdsbasert markedsføring uten å be om samtykke.
I vurderingen av nødvendighetskriterier kommer Datatilsynet med uttalelser om at hver enkelt berettigede interesse som forfølges av den behandlingsansvarlige må vurderes separat.
Les hvordan våre personverneksperter kan bistå din virksomhet
Forretningsmodell basert på atferdsbasert markedsføring
Meta har derimot gjort en samlet vurdering av det overordnede målet om å levere personaliserte annonser og maksimere profitt. Dette overordnede målet krever inngående monitorering av brukerne.
Datatilsynet mener at Meta heller ikke har vurdert om det er mulig å oppnå formålet om en inntektsbringende forretningsmodell uten atferdsbasert markedsføring, eller dersom brukerne ble gitt større adgang til involvering.
Tilsynet konkluderer med at det mest sannsynlig er mulig for Meta å generere profitt og forfølge sine berettigede interesser på en rekke måter som er mindre inngripende overfor brukerne enn dagens løsning for atferdsbasert markedsføring. Når Meta ikke har vurdert noen av disse mulighetene, mener Datatilsynet at det ikke er nødvendig å behandle personopplysninger for atferdsbasert markedsføring.
Datatilsynet er uenig i at Metas interesser veier tyngre enn brukernes interesser
Datatilsynet mener at Meta ikke har gjennomført en tilstrekkelig objektiv og balansert interesseavveining. I stedet mener tilsynet at Meta har utelatt og bagatellisert negative effekter og risikoer for brukernes interesser og grunnleggende rettigheter og friheter.
Fra Datatilsynets argumentasjon kan vi utlede at virksomheter må vurdere den planlagte behandlingen av personopplysninger i detalj for å identifisere hvilke negative effekter den kan ha for de registrerte og hvilke tiltak som bør innføres for å begrense de negative effektene. Vurderingene må dokumenteres og personvernfremmende verktøy må være lett tilgjengelig.
Datatilsynet kom til at brukernes interesser og grunnleggende rettigheter og friheter veier tyngre enn Metas berettigede interesser.
Oslo tingretts behandling
Saken som behandles av Oslo tingrett i dag og i morgen har kun betydning for spørsmålet om når Meta må rette seg etter Datatilsynets vedtak og om de må betale dagbøter. Samtidig vil avgjørelsen også ha betydning for hvordan virksomheter som bruker Metas tjenester skal forholde seg til vedtaket.
Vi vil publisere en ny artikkel med råd til virksomhetene så snart Oslo tingrett har kommet med sin avgjørelse.
Les mer om PwCs tjenester innen personvern og GDPR