Saken gjelder behandling av personopplysninger til adferdsbasert markedsføring på Facebook og Instagram. Sosiale medier flest følger med på hva du liker, hvilket innhold du interagerer med og så videre for å finne ut hva du er interessert i. Disse analysene brukes for å tilpasse hvilke annonser du ser. Dette er en vanlig forretningsmodell i de digitale økosystemene.

Spørsmålet er om Meta har et gyldig behandlingsgrunnlag for deres profilerings- og markedsføringspraksiser. Et behandlingsgrunnlag er nødvendig for at behandlingen av personopplysninger skal være lovlig. Meta mener at de har behandlingsgrunnlag fordi markedsføringspraksisene etter deres syn er nødvendig for å gjennomføre avtalen med brukerne. Praksisene har vært omtalt i tjenestevilkårene, og dermed mener Meta at de ikke trenger å be om samtykke eller la brukere slå av profilering.

De europeiske datatilsynsmyndighetene har konkludert med at den adferdsbaserte markedsføringen ikke er nødvendig for avtalen med brukerne, og dermed har Meta behandlet personopplysninger ulovlig. I tillegg har Meta gitt utilstrekkelig informasjon om behandlingsgrunnlag til brukerne.

– Konklusjonen er at Meta har brutt GDPR, og de får tre måneder på seg til å rette opp i ulovlighetene. I tillegg ilegges de overtredelsesgebyr på over 4,1 milliarder kroner. Dette viser med all tydelighet hvor alvorlig bruddet er, sier Tobias Judin, seksjonssjef for internasjonal seksjon.

De aktuelle artiklene i GDPR som er brutt er artikkel 5(1)(a), 6(1) 12 og 13(1)(c).

Europeisk samarbeid
Siden Meta har sitt europeiske hovedkvarter i Dublin, er det datatilsynsmyndigheten i Irland som har holdt i saken og som har fattet vedtakene mot Meta (dataprotection.ie). Datatilsynet ønsker vedtakene fra Irland velkommen.

Saken har imidlertid blitt behandlet gjennom samarbeids- og konsistensmekanismen i GDPR, ettersom saken er grenseoverskridende. Alle datatilsynsmyndighetene i EØS er såkalte «berørte tilsynsmyndigheter» i saken, og mange av tilsynene har deltatt aktivt i saksbehandlingen.

Saken har reist kompliserte juridiske spørsmål, og det har vært krevende diskusjoner om hva vedtaket skal gå ut på. Derfor har saken blitt løftet til behandling i Personvernrådet, også kjent som EDPB. I EDPB har Datatilsynet kommet frem til hva vedtaket skal gå ut på.

Det norske datatilsynet prioriterer å gi innspill i store, betydningsfulle saker, og det har de gjort også her. Datatilsynets innspill har vært med på å forme utfallet i saken.

Utfallet følger for øvrig EDPBs retningslinjer om hva som er nødvendig for å gjennomføre en avtale (edpb.europa.eu), som det norske Datatilsynet har vært hovedrapportør for.

– Datatilsynet har engasjert seg i dette juridiske spørsmålet i mange år nettopp fordi det har så store implikasjoner for nordmenns personvern, sier Judin.

Veien videre
Meta har varslet at de kommer til å anke avgjørelsen i irske domstoler (about.fb.com), som har mulighet til å henvise saken til EU-domstolen. Derfor vil det trolig ta flere år før saken er endelig avgjort. Datatilsynet forstår det slik at vedtaket blir rettskraftig i irsk rett først når alle ankemuligheter er uttømt. Det betyr i så fall at vi neppe vil se endringer på Facebook eller Instagram med det første.

Avgjørelsen sier at Meta ikke kan basere profilerings- og markedsføringspraksisene sine på avtalemessig nødvendighet. Avgjørelsen tar imidlertid ikke stilling til om praksisene kan baseres på et av de andre behandlingsgrunnlagene. Samtidig er vilkårene for de andre behandlingsgrunnlagene annerledes, som betyr at dersom avgjørelsen blir stående, må Meta mest sannsynlig foreta endringer i forretningsmodellen sin.