Ny afgørelse: Meta må ikke bruge brugernes persondata til adfærdsbaseret markedsføring som hidtil
Det Europæiske Databeskyttelsesråd har truffet afgørelse om, at Meta ikke må bruge brugernes personoplysninger til adfærdsbaseret markedsføring.
Opløb – Irland, EU, Norge
I december 2022 traf det irske datatilsyn, på baggrund af de samlede europæiske datatilsyns (EDPB) bindende afgørelser om Meta, to afgørelser og udstedte en bøde på 2,9 milliarder danske kroner (læs mere her). Med afgørelserne fastslog det irske tilsyn, at Meta ikke havde et lovligt grundlag for at behandle persondata til brug for adfærdsbaseret markedsføring. Ifølge tilsynet havde Meta ikke hjemmel til det, de gjorde.
Meta lavede efterfølgende en række ændringer. Men en afgørelse fra EU-domstolen i sommeren 2023 slog fast, at Metas adfærdsbaserede markedsføring stadig ikke blev foretaget lovligt.
På den baggrund reagerede det norske datatilsyn (læs mere her) og nedlagde et tidsbegrænset forbud mod Metas adfærdsbaserede markedsføring på baggrund af to konkrete bestemmelser i GDPR, når det omhandlede norske brugere.
De to bestemmelser, som Meta havde henvist til som hjemmel, var artikel 6(1) b, der giver mulighed for behandling af persondata, når det er nødvendigt for at opfylde en konkrakt og artikel 6(1) f om legitim interesse for en virksomhed (denne interesse må dog ikke må gå forud for de rettigheder personen, der behandles data om, har).
Det norske datatilsyn opsatte samtidig en trussel om dagbøder på 1 mio. norske kroner, hvis Meta ikke levede op til forbuddet. En trussel, der hurtigt blev effektueret, hvorfor Meta bad den norske byret om at udsættelse af forbuddet, hvilket de dog underkendte.
Efterfølgende har Meta sagsøgt det norske datatilsyn, da de ikke mener at forbuddet var gyldigt – en sag der forventes afgjort i 2024.
Se det norske Datatilsynets brev til Meta her.
Fra Norge til resten af EU
Som en del af det norske datatilsyns henvendelse til Meta, fremgik det at tilsynet ville rette henvendelse til EDPB (det europæiske databeskyttelsesråd) og bede om en hurtig bindende afgørelse. Det er en mulighed alle tilsyn har i GDPR, når de har truffet en foranstaltning, som de mener, skal have virkning.
Den 27. oktober vedtog EDPB en hurtigt bindende afgørelse, der instruerer det irske datatilsyn om, inden for to uger, at træffe endelige foranstaltninger vedrørende Meta og at indføre et forbud mod behandlingen af personoplysninger til adfærdsbaseret reklame i Det Europæiske Økonomiske Samarbejdsområde (EØS består af EU-landede og Norge, Island og Liechtenstein).
Behandlingsforbuddet træder i kraft en uge efter, at det irske datastilsyn har underrettet den registeransvarlige om de endelige foranstaltninger – det irske DPC datatilsyn underrettede Meta den 31.oktober 2023, hvorfor forbuddet træder i kraft den 7. november 2023.
Se EDPBs nyhed om situationen her.
Hvad sker der nu?
Meta udsendte den 30. oktober 2023 en pressemeddelelse om, at de i november lancerer en ny måde at være bruger på; valget mellem en reklamefri abonnementsløsning og en samtykkebaseret løsning med reklamer. Denne løsning ved vi, at nogle brugere allerede er begyndt at blive eksponeret for.
Meta beder brugere om samtykke til at bruge deres data til adfærdsbaseret markedsføring i fremtiden eller at betale for en reklamefri version.
På deres hjemmeside fremgår det dog samtidigt: ”Vi opdaterer vores politik om beskyttelse af personoplysninger. Vi skal nu have dit samtykke til at bruge dine oplysninger til at vise dig annoncer. Opdateringerne træder i kraft den 12. januar 2024”. Det er derfor uklart, hvornår løsningen er udrullet i sin helhed.
Det er værd at bemærke, at det norske Datatilsyn tvivler på lovligheden af Metas foreslåede samtykkeløsning, der altså betyder, at den, der ikke giver samtykke til adfærdsbaseret markedsføring, skal betale et gebyr.
Det irske datatilsyn er sammen med andre relevante aktører (Concerned Supervisory Authorities) i gang med at evaluere løsningen – tidshorisonten på det er fortsat ukendt.
Hvordan bør man som bureau forholde sig?
Brugen af Metas platforme og værktøjer kræver stillingtagen til, hvordan persondata behandles, og hvilket ansvar platform og bruger-virksomhed har. Det var også gældende før ovenstående afgørelse.
I GDPR-lovgivningen har man pligt til aktivt at forholde sig til de værktøjer, som man anvender i fx markedsføringssammenhæng.
Det er derfor Kreativitet & Kommunikations anbefaling, at man som bureau forsat har en dialog med sine kunder om brugen af Meta, og beder kunderne aktivt tage stilling til det samt løbende følger udviklingen.
Dernæst kan det være relevant at tage stilling til at den danske Digitaliseringsstyrelse, som den 6. november 2023 udsendte en pressemeddelelse om påbud mod Meta og Google for deres anvendelse af cookies og lignende teknologier. Påbud, som de to platforme har fire uger til at rette op på.
Læs pressemeddelelsen og de konkrete påbud her og KreaKoms historie om samme nyhed her.
Er du medlem af Kreativitet & Kommunikation og har brug for at vende situationen, så kontakt vores juridiske seniorrådgiver, Cecilie Kunz Paulsen, på ckp@kreakom.dk eller tlf +45 41 31 60 08.