Historisk bot til Meta på EUR 390 millioner for manglende rettslig grunnlag for tilpasset markedsføring

| Innsikt

Den 4. januar 2023 ble Meta, morselskapet til Facebook og Instagram, ilagt et gigantisk overtredelsesgebyr på samlet EUR 390 millioner av det irske datatilsynet. Ikke uventet har Meta varslet at de vil anke vedtaket, som langt på vei undergraver selskapets forretningsmodell med finansiering av de to plattformene gjennom bruk av tilpasset markedsføring.

Etter flere år med undersøkelser og gransking av Facebook og Instagram, som begge er eid av Meta Platforms Ireland Limited (Meta), konkluderte det irske datatilsynet i starten av januar i år med at markedsføringspraksisen til de to sosiale mediene grunnleggende er i strid med GDPR. Etterforskningen har pågått siden GDPR trådte i kraft 25. mai 2018, etter at den kjente personvernsaktivisten Max Schrems og en belgisk aktivist klagde inn Facebook og Instagram for ulovlig bruk av personopplysninger i forbindelse med tilpasset markedsføring.

Bakgrunnen for sakene er en rekke endringer som ble gjort i vilkårene og personvernerklæringene for Facebook og Instagram i forbindelse med at GDPR trådte i kraft. Endringene innebar blant annet en overgang fra innhenting av samtykke, til bruk av selskapenes tjenestevilkår som grunnlag for behandling av personopplysninger til markedsføringsformål. Meta har etter dette benyttet tjenesteavtalen som grunnlag for sin brukertilpassede markedsføring på de to plattformene. Meta støtter seg på at behandlingen av personopplysninger er nødvendig for å levere personlig tilpassede tjenester i tråd med vilkårene som brukerne har godkjent. I motsetning til det som gjelder ved samtykke er det heller ikke mulig å trekke tilbake godkjenningen. Både eksisterende og nye brukere må akseptere vilkårene for å benytte plattformene.

Forløperen til det oppsiktsvekkende vedtaket, og de høye bøtene som Meta nå står overfor, er det irske datatilsynets utkast til avgjørelse datert 6. oktober 2021, som inneholdt to sentrale funn. Tilsynet kom for det første frem til at praksisen rundt Metas tilpassede markedsføring ikke oppfyller kravene etter GDPR når det gjelder transparens og åpenhet. Etter tilsynets syn har ikke Meta gitt brukerne tilstrekkelig anledning til å gjøre seg kjent med og forstå hvilke personopplysninger som behandles, hvordan og for hvilke formål. For det andre mente tilsynet at det er adgang til å benytte avtale som grunnlag og at Meta strengt tatt ikke trenger å innhente samtykke for tilpasset markedsføring.

I tråd med konsultasjonsreglene i GDPR ble utkastet sendt til høring hos berørte tilsynsorganer i øvrige EU/EØS land. Tilsynene var alle enige i at markedsføringspraksisen til Meta strider med kravene til åpenhet og transparens. De fleste av tilsynsorganene pekte imidlertid på at bøtene som lå på bordet var for lave. Samtidig var mange av tilsynsorganene uenige når det gjaldt synet på spørsmålet om bruk av avtalevilkårene som behandlingsgrunnlag. Flere ga uttrykk for at tilpasset markedsføring, som en del av levering av de personlig tilpassede tjenestene, ikke kan sies å være nødvendig for å utføre kjerneelementene i Facebook og Instagram.

Som følge av uenigheten mellom tilsynsorganene ble utkastet til avgjørelse sent til Det europeiske Personvernrådet (EDPB) for endelig vurdering. Personvernrådet fattet bindende avgjørelse om at markedsføringen var i strid med kravene til åpenhet og transparens, og la videre til at praksisen også medførte brudd på rettferdighetsprinsippet etter GDPR. Rådet mente derfor at bøtene burde økes for også å reflektere dette bruddet. I spørsmålet om gyldig behandlingsgrunnlag konkluderte Personvernrådet med at Meta på prinsipiell basis ikke kan benytte kontraktsforpliktelse som behandlingsgrunnlag for sin tilpassede markedsføring. Denne konklusjonen er i tråd med Personvernrådets tidligere standpunkt i «Guidelines 8/2020 on the targeting of social media users» fra 13. april 2021. Essensen i denne veilederen er at målrettet markedsføring i sosiale medier er en viktig del av det økonomiske grunnlaget for tjenestene, men ikke kan anses som nødvendig for å oppfylle kontrakten med brukerne.

Etter dette avsa det irske tilsynet tidlig i år sine endelige avgjørelser som på alle punkter er i tråd med Personvernrådets sin vurdering. Konklusjonen ble at Metas markedsføringspraksis strider med GDPR, og at Meta ikke kan basere seg på tjenesteavtalen som grunnlag for sin behandling av personopplysninger for tilpasset markedsføring på Facebook og Instagram. Overtredelsesgebyret til Meta ble samtidig oppjustert til EUR 210 millioner for Facebook og til EUR 180 millioner for Instagram.

Meta har fått en frist på tre måneder til å endre sin markedsføringspraksis, men har tilsynelatende ikke tenkt å gi seg uten omkamp. I offentlige uttalelser har selskapet vært tydelig på at de akter å anke avgjørelsen, noe som er ikke overraskende. Vedtaket har enorme praktiske og, ikke minst, økonomiske konsekvenser for selskapet. Dersom kravet om innhenting av samtykke blir stående, vil det for det første være utfordrende å få brukere til å samtykke. Samtykket kan når som helst trekkes tilbake. For det andre er det trolig at mange ikke vil gi slikt samtykke. Plattformene kan da fortsatt markedsføre, men markedsføringen kan ikke være tilpasset basert på brukernes personopplysninger, noe som antakeligvis vil innebære markant lavere annonseinntekter.

Samtidig kan vedtaket, dersom det blir stående, få betydning også for andre virksomheter med samme forretningsmodell. De prinsipielle sidene i saken kan bety at sosiale medier som baserer seg på avtale som rettslig grunnlag for tilpasset markedsføring må legge om sin praksis.