Partner / Attorney at Advokatfirmaet Føyen. GDPR-, infosec, marketing law- and IP expert and speaker.
IRSKE DATATILSYNET GIR MASSIVE BØTER TIL META, ETTER PÅLEGG FRA EDPB. METAS FORRETNINGSMODELL SIDEN 2018 REELT SETT KJENT ULOVLIG. Som varslet rett før jul, har nå det Irske datatislynets avgjørelse mot Meta (for Facebook og Instagram) kommet. Saken har versert siden GDPR trådte i kraft, og gjelder Metas grunnlag for adferdsbasert markedsføring, det vil si bruk av personopplysninger til å personalisere annonser. Vedtaket er egentlig en underkjennelse av lovligheten av hele Metas forretningsmodell, og bøtene er enorme - 400 millioner Euro. Meta har nemlig ment at de ikke trenger den enkelte brukers samtykke for å utnytte brukernes personopplysninger til personalisert markedsføring. Meta har ment at de lovlig kan gjøre dette "for å oppfylle avtale" (om å ha konto på FB/Insta). Dette var det Irske tilsynet enig i, men ble overstyrt av EDPB. Det Norske Datatilsynet er enige med EDPB. Og dette er ikke det eneste det Irske tilsynet ikke er enige med EDPB om, EDPB har instruert det Irske tilsynet om å nå undersøke lovligheten av Metas behandling av spesielle kategorier personopplysninger (feks helse, religion, seksuell orientering), men dette nekter det irske tilsynet foreløig å gjøre. I alle tilfeller, ved at Meta ikke kan bruke "oppfylle avtale" for å levere markedsføringstjenstene de lever av, må Meta isteden ha et gyldig samtykke og det har de ikke i dag. Ikke overraskende er Meta helt uenig i avgjørelsen, og vil påklage den, og trolig deretter ta saken videre til retten. Det vil trolig gå lang tid før en avgjørelse er rettskraftig. HVA BETYR DETTE FOR NORSKE ANNONSØRER OG KJØPERE AV META MARKEDSFØRINGSTJENESTER? Både EDPB og det Norske Datatilsynet mener Meta på ulovlig måte samler inn og bruker personopplysninger til å tilby kunder (som norske annonsører) tilgang til markedsføringstjenester som kundelistematching, sporing ved FB pixel, konverteringsmålinger og utplassering av annonser til "audiences". Dette betyr at vi i Norge nå vet at vi kjøper tjenester Datatilsynet mener er i strid med GDPR ved fortsatt bruk av Metas tjenester. Samtidig er jo avgjørelsen ikke rettskraftig og vil neppe bli det på en stund. Teknisk sett er det ikke endelig etablert at Metas tjenester er i strid med GDPR. Imidlertid må jeg være ærlig: EDPBs juss fremstår som overbevisende. Meta burde hatt et GDPR-gyldig samtykke fra sluttbrukere, og det har de altså ikke. Vet at vi vet hva det Norske Datatilsynet mener, har risikoen ved kjøp av Metas digitale markedsføringstjenester nå økt. Men om denne risikoen manifisterer seg før avgjørelsen er rettskraftig, er mye vanskeligere å svare på. ANFO Annonsørforeningen Advokatfirmaet Ræder https://lnkd.in/dxWrS3uB
Interessant og viktig. Hvor lang tid tror du det vil ta før dette blir en større risiko i Norge?
Flott det, men samtykke er svært manipulerbart. Hos Google er det omtrent 2% som ikke har personifisert reklame, mens det er 60% hos Apple, så design har veldig mye å si. Det er arbeidet rundt dark patterns som er avgjørende på dette området. Jeg oppfatter denne dommen som av ganske marginal betydning, selv om det er et skritt i riktig retning.
I know about privacy and technology
1åTanker om at EDPB måtte inn med korreks "mot" tilsynet i Irland? Dette har jo fremstått som en ganske åpenbar problemstilling for de fleste utenfor det irske tilsynet og Meta. Min tanke er at dette hinter til en for sterk kobling mellom Meta og lokale tilsyn, noe som trekker andre litt strenge eller litt svake avgjørelser i tvil også? Eller er jeg bare litt for paranoid av natur her?