Meta med tidenes høyeste GDPR-gebyr
13/06/23
Den 12. mai fikk Meta det høyeste gebyret som noen gang er gitt på grunn av brudd på GDPR. Gebyret, som var på hele 1,2 milliarder EUR, var det åttende i rekken Meta og deres datterselskaper har fått siden 2019. Om gebyrene vil stoppe bruddene, vil tiden vise.
Metas gebyrhistorikk
Tabellen nedenfor gir en oversikt over gebyr som Facebook og Meta har fått for brudd på personvernregelverket. Meta eier Facebook, Instagram og WhatsApp, og gebyrene til selskapet skyldes regelbrudd hos datterselskapene Facebook og Instagram. WhatsApp har også fått to gebyrer adressert til selskapet WhatsApp Ireland Ltd. som ikke er med i denne oversikten.
| Dato | Mottaker |
Utsteder | Gebyr | Grunnlag |
|---|---|---|---|---|
| Desember 2019 | Facebook Germany GmbH | Det tyske datatilsynet | 51 000 EUR | Facebooks datterselskap i Tyskland hadde ikke oppnevnt et personvernombud. Gebyret ble visstnok begrenset i størrelse fordi Facebook håndterte regelbruddet på en profesjonell måte. |
| 6.okt 2021 | Facebook Ieland Ltd. | Det irske datatilsynet | Varsel om gebyr | Brudd på plikten til å informere de registrerte om det rettslige grunnlaget for behandling av personopplysninger. |
| 31. des 2021 | Facebook Ireland Ltd. |
Det franske datatilsynet | 60 mill. EUR |
Metodene for å hente inn samtykke til bruk av cookies på facebook.com var i strid med den franske personopplysningsloven. |
| 15.mar 2022 | Meta Platforms Ireland Ltd. | Det irske datatilsynet |
17 mill. EUR |
Brudd på plikten til å kunne dokumentere tekniske og organisatoriske sikkerhetstiltak for beskyttelsen av de registrertes personopplysninger. |
5. sep 2022 |
Meta Platforms, Inc. |
Det irske datatilsynet |
405 mill. EUR |
Manglende rettslig grunnlag for å offentliggjøre e-postadresser og telefonnumre til barn som brukte Instagram business accounts, samt en public-by-default-innstilling for personlige Instagramkontoer for barn. |
25. nov 2022 |
Meta Platforms Ireland Ltd. |
Det irske datatilsynet |
265 mill. EUR |
Manglende ivaretakelse av plikten til å sikre innebygd personvern og personvern som standardinnstilling. |
4. jan 2023 |
Meta Platforms Ireland Ltd. |
Det irske datatilsynet |
390 mill. EUR |
Manglende transparens overfor Facebooks brukere om hvilket rettslig grunnlag Facebook hadde for behandling av personopplysninger, hvordan personopplysninger ble behandlet, og til hvilke formål. Manglende ivaretakelse av rettferdighetsprinsippet. |
12. mai 2023 |
Meta Platforms Ireland Ltd. |
Det irske datatilsynet |
1,2 mrd. EUR |
Overføring av personopplysninger fra EU/EØS til USA uten gyldig overføringsgrunnlag, ettersom det ikke er implementert gode nok beskyttelsestiltak som sikrer at EUs standardavtaler som overføringsgrunnlag gir et tilstrekkelig beskyttelsesnivå for overførte personopplysninger. |
Rød tråd i gebyrhistorikken
Flesteparten av gebyrene har Meta og datterselskapene fått fordi de ikke har hatt rettslig grunnlag for å bruke personopplysninger på bestemte måter. Noen av gebyrene er relatert til at selskapene ikke er transparente overfor brukerne sine om hvilket rettslig grunnlag de har for å innhente og bruke personopplysningene. Den manglende transparensen overfor brukerne knyttes til at Meta og Facebook i mange tilfeller ikke har hatt noe rettslig grunnlag for å innhente eller bruke opplysningene.
Den røde tråden er etter vår oppfatning at personvern ikke i tilstrekkelig grad er integrert i forretningsprosesser og -beslutninger hos Meta og deres datterselskaper. Dette ser man ved at Meta jobber nokså reaktivt på personvernområdet. For eksempel endrer selskapene gjerne innstillinger og informasjon til brukerne først etter at de har fått et gebyr eller irettesettelser fra europeiske tilsynsmyndigheter.
Gebyrene viser også at Metas forretningsbehov og -ønsker ikke alltid er forenlige med hva som er tillatt etter europeiske lover og regler. Selskapets forretningsmodell handler nettopp om å kapitalisere på personopplysninger. Med det store antallet brukere selskapet har, blir volumet stort, noe som er vanskelig å forene med GDPRs krav til at minst mulig data skal samles inn og være i omløp, kalt dataminimering. Da Meta fikk et gebyr på 265 millioner euro var årsaken at Instagram hadde en såkalt «public-by-default»-løsning, som nettopp oppfordrer til mest mulig deling av flest mulige personopplysninger til en størst mulig gruppe mennesker.
Neppe siste gebyr
Det finnes flere tegn på at Meta har vanskeligheter med å sikre personvernet godt nok, selv etter åtte gebyrer for brudd på GDPR.
I en dokumentlekkasje fra våren 2022, hvor et internt arbeidsdokument hos Facebook ble lekket til teknologiavisen Motherboard i 2022, viste at noen av Facebook sine ingeniører hadde skrevet et dokument som var ment for Facebook sin «Ad and Business Product»-avdeling. Motherboard skrev om dokumentet for å beskytte kilden, og i notatet står blant annet følgende omskrevet sitat fra ingeniørene:
“We do not have an adequate level of control and explainability over how our systems use data, and thus we can’t confidently make controlled policy changes or external commitments such as ‘we will not use X data for Y purpose.’ And yet, this is exactly what regulators expect us to do, increasing our risk of mistakes and misrepresentation,”
Dette underbygges av også følgende omskrevne sitat:
«We’ve built systems with open borders. The result of these open systems and open culture is well described with an analogy: Imagine you hold a bottle of ink in your hand. This bottle of ink is a mixture of all kinds of user data (3PD, 1PD, SCD, Europe, etc.) You pour that ink into a lake of water (our open data systems; our open culture) … and it flows … everywhere (...) How do you put that ink back in the bottle? How do you organize it again, such that it only flows to the allowed places in the lake?»
I tillegg har NOYB (Non-of-your-business), med Max Schrems i spissen, vært på nakken til Meta og Facebook for brudd på GDPR siden 2013. NOYB er en NGO basert i Østerrike, og ble startet av Max Schrems. De bruker særlig klager og rettsprosesser som middel til å fremme personvern til europeiske borgere. Det var blant annet NOYB som saksøkte det tidligere Facebook Inc., nå Meta, for ulovlig overføring av personopplysninger fra EU/EØS til USA. Søksmålet resulterte i den anerkjente Schrems II-avgjørelsen fra 2021, som konkluderte med at overføringsgrunnlaget ‘Privacy Shield’, som blant andre Facebook brukte for sine overføringer, ikke var gyldig.
Tidenes høyeste gebyr
Ettersom Facebook ikke tok nødvendige grep for å sikre lovlig overføring av personopplysninger til USA etter Schrems II-avgjørelsen, har de nå fått det høyeste gebyret som noen gang er gitt i medhold av GDPR på 1,2 milliarder euro. De har også fått pålegg om å stoppe alle overføringer inntil videre. Spørsmålet er om dette i det hele tatt er mulig, om vi skal ta uttalelsene fra Facebooks ingeniører for god fisk.
Metas plattformer har milliarder av brukere over hele verden, noe som gjør dem spesielt eksponert for klager fra brukere og negativ medieoppmerksomhet. På bakgrunn av dette, og det som kom frem i dokumentlekkasjen i 2022, har vi nok ikke sett de siste gebyrene enda.
Brukerne bør være mer bevisste på hva slags informasjon som deles med Facebook, Instagram og WhatsApp, og andre verdensomspennende SoMe-plattformer, som TikTok. Tjenestetilbyderne navigerer i et komplekst regulatorisk landskap hvor regelbrudd er vanskelig å unngå, i tillegg til at de gjerne har interesse av at brukerne deler mest mulig. Mange selger også personopplysninger videre til tredjeparter, og vil neppe klare, for eksempel, å slette opplysningene dine fullstendig selv om du ber om det. Nettvett og sunn fornuft er og forblir noen av våre viktigste redskaper i den datadrevne økonomien.
Les også: Ni spørsmål du bør stille deg før du flytter IT ut i skyen