Meta i hardt vær – Starter 2023 med flere milliardbøter (NOK)
Det nye året startet med en lite hyggelig nyttårshilsen fra den irske tilsynsmyndigheten til Meta. Den 4. januar 2023 ble det kjent at selskapet er ilagt to nye bøter på til sammen MEUR 390, for GDPR brudd utført av Facebook og Instagram. En siste bot, for brudd utført av WhatsApp, forventes innen kort tid, men nivået er enda ikke avgjort. Avgjørelsene kommer neppe som en overraskelse i lys av at det har vært kjent allerede siden desember 2022 at vurderingene fra det Europeiske Personvernrådet har vært at praksisen fra Meta er i strid med GDPR. Disse gebyrene føyer seg inn i rekken av øvrige gebyrer som det irske datatilsynet har ilagt tech-giganten i 2022 tilsvarende MEUR 912.
Bakgrunn
Den amerikanske tech-giganten Meta Platforms Ireland Limited (Meta) står bak de kjente plattformene WhatsApp, Facebook og Instagram.
Plattformene er tilsynelatende gratis å bruke, da de finansieres bl.a. gjennom tilpasset markedsføring basert på brukeratferd og profilering. Annonsering og markedsføring på plattformer har blitt ansett å utgjøre legitime forretningsmessige formål og denne type markedsføringspraksis har dermed i stor grad vært akseptert. I flere av de siste sakene mot Meta har det imidlertid vært stilt spørsmål ved om plattformene overholder GDPRs krav til transparens (altså om Meta er tilstrekkelig åpen med hvordan de behandler personopplysninger), blant annet i forbindelse med markedsføringspraksisene sine. I tillegg var det i de tre siste sakene stilt spørsmål rundt Metas behandlingsgrunnlag etter GDPR. Selv om alle behandlingsgrunnlag etter GDPR som et klart utgangpunkt er likestilte, viser de siste sakene at Meta kanskje ikke står så fritt til å velge behandlingsgrunnlag som de har trodd.
Om prosessen bak de siste vedtakene
Meta-sakene har omhandlet problemstillinger som har vært gjenstand for flere omfattende undersøkelser og vurderinger fra europeiske tilsynsmyndigheter de siste årene. I henhold til GDPRs "one-stop shop"-prinsipp*, er det den irske tilsynsmyndigheten, the Data Protection Commissioner (DPC), som er Metas ledende tilsynsmyndighet og som dermed har ansvar for å føre tilsyn og utstede bøter til tech-giganten. I saker behandlet av DPC (og fordi Meta har virksomhet innenfor hele EU/EØS) blir utkast til beslutning sendt på høring til andre berørte tilsynsmyndigheter i EU iht GDPR Art. 60 før saken endelig avgjøres. Dersom tilsynsmyndighetene har ulikt syn på saken enn DPC (og de ikke kommer til enighet) kan saken sendes til det europeiske personvernrådet (EDPB) for endelig avklaring, i henhold til tvisteløsningsmodellen etablert i GDPR Art 65 (1). Denne tvisteløsningsrollen tillagt EDPB skal sikre ensartet håndhevelse av regelverket på tvers av EU- og EØS-landene. De siste bøtene ilagt Meta for Facebook og Instagram, og som påventes for WhatsApp, kommer som følge av slike EDPB avgjørelser, kunngjort i desember 2022. DPC har nå innrettet seg etter EDPBs beslutninger i et nytt vedtak overfor Meta der bøtenivået også er betydelig oppjustert i forhold til DPC’s opprinnelige forslag.
EDPBs bindende beslutninger mot Facebook, Instagram og WhatsApp
Den 6. desember 2022 kunngjorde EDPB at de har fattet tre bindende beslutninger mot Facebook, Instagram og WhatsApp. Beslutningene ble fattet i henhold til de nevnte prosedyrereglene i GDPR Art. 65 og har bakgrunn i tilsynssaker fra DPC og etterfølgende uenighet fra andre lands datatilsyn.
Forløpet til sakene var at Meta innførte bruk av oppfyllelse av avtale etter GDPR Art. 6 (1) b) som behandlingsgrunnlag for behandling av personopplysninger i forbindelse med atferdsbasert markedsføring da GDPR trådte i kraft i 2018. Meta lar brukere velge bort målrettede annonser som er basert på personopplysninger hentet fra nettsteder og apper til tredjeparter, men tilbyr ikke et lignende alternativ når det gjelder annonser basert på data samlet inn gjennom sine egne plattformer. Denne manglende valgfriheten resulterte i klager til DPC og førte til at tilsynsmyndigheten utførte tilsyn hos de tre selskapene, for å undersøke om selskapenes omfattende behandling av personopplysninger oppfylte kravene i GDPR.
Både DPC og EDPB vurderte hvorvidt oppfyllelse av en avtale kunne benyttes som rettslig grunnlag for Facebook og Instagrams behandling av personopplysninger i forbindelse med atferdsbasert markedsføring, og til forbedring av tjenesten i saken mot WhatsApp. I tillegg tok de for seg om Facebook og Instagrams behandling av personopplysninger i forbindelse med markedsføringen har vært tilstrekkelig transparent.
DPC støttet opprinnelig Metas tilnærming til behandlingsgrunnlag, men de andre europeiske tilsynsmyndighetene var uenige i DPCs vurdering. Uenigheten lot seg ikke løse og dette er grunnen til at endelig vedtak så ble fattet av EDPB. EDPBs beslutning er enda ikke publisert, da disse først publiseres etter at den irske tilsynsmyndigheten informerer Meta om sitt vedtak (hvilke ble kunngjort 4. januar 2023). Den konkrete vurderingen gjenstår derfor fortsatt å se, men DPC kunngjorde 4. januar at EDPB som prinsipielt standpunkt ikke aksepterer at Meta benytter oppfyllelse av en avtale som rettslig grunnlag ved atferdsbasert markedsføring. Meta vil dermed ikke lenger kunne implementere behandling av personopplysninger til slik markedsføring som en del av de generelle bruksvilkårene for tjenestene, men må gi forbrukere muligheten til selv å velge "ja" eller "nei" til slik behandling i form av et gyldig innhentet samtykke i samsvar med kravene i GDPR.
Ved DPC sin kunngjøring 4. januar ble det videre annonsert at Facebook ilegges bot tilsvarende MEUR 210 for bruddet, og Instagram MEUR 180. Hvor stor boten til WhatsApp blir, gjenstår å se, og forventes i midten av januar.
Avgjørelsene blir spennende å lese i sin helhet, da de kan legge viktige føringer for fremtidig GDPR-praksis.
Øvrige saker mot Meta fra 2022
Bøtene nå ilagt av DPC er de siste i rekken av hva som kan karakteriseres som et tungt GDPR-år for Meta. I det følgende oppsummeres de største sakene fra 2022, i korte trekk.
MEUR 225 gebyr fra det irske datatilsynet opprettholdt av EU-domstolen
Den 7. desember 2022 kom avgjørelse fra EU-domstolen i saken mellom WhatsApp Irland og EDPB.
Saken gjaldt spørsmålet om hvorvidt WhatsApp var tilstrekkelig åpen (transparent) om behandlingsaktivitetene de foretok som baserte seg på berettiget interesse, herunder hvilke kategorier opplysninger som ble behandlet for de ulike behandlingsaktivitetene.
EDPB hadde fattet sin beslutning 28. juli 2021, hvor det ble konstatert brudd på GDPR Art. 13 (1) d) – dvs. at det var gitt utilstrekkelig informasjon om de berettigete interessene som utgjorde behandlingsgrunnlaget etter GDPR Art. 6(1) (f). Informasjonsplikten var ikke oppfylt og behandlingen var dermed heller ikke i samsvar med det grunnleggende prinsippet om åpenhet i artikkel 5 nr. 1 a).
Som følge av EDPBs beslutning, fattet DPC vedtak om gebyr på MEUR 225 mot WhatsApp.
Denne beslutningen ble opprettholdt av EU-domstolen.
MEUR 265 OG MEUR 405 gebyr fra DPC
Avgjørelsen fra EU-domstolen og de tre nye beslutningene fra EDPB i desember kom på toppen av to andre vedtak fattet av DPC mot Meta i 2022.
Den 28. november kunngjorde DPC sin konklusjon og vedtak om å ilegge Meta et gebyr på MEUR 265. Bakgrunnen for saken var en lekkasje i 2019 av personopplysninger knyttet til en halv milliard Facebook-brukere, hvilket DPC konstaterte at utgjorde brudd på kravet til innebygget personvern (GDPR Art. 25) . Beslutningen og gebyret var omforent med tilsynsmyndighetene i andre EU-land og ble derfor ikke behandlet av EDPB.
November-gebyret kom i tillegg til DPCs gebyr på MEUR 405 for Instagrams brudd på barns personvern (en sak som har vært undersøkt siden 2020) ilagt tidligere i 2022, etter at EDBP fattet en bindende beslutning om brudd på GDPR 28. juli.
Hvilke implikasjoner har disse sakene?
Selv om vi enda ikke har sett det konkrete innholdet i de tre siste avgjørelsene fra EDPB kan vi allerede nå trekke konklusjonen om at det å benytte avtale som det rettslige behandlingsgrunnlaget etter GDPR for atferdsbasert markedsføring neppe vil stå seg. Avtale som rettsgrunnlag skal tolkes snevert og begrenses til de opplysninger som må behandles for å gjennomføre avtalen (f.eks leveringsadresse dersom man kjøper varer). Som en konsekvens av avgjørelsene vil Meta nå trolig måtte gi forbrukeren et spesifikt valg – tillate eller nekte behandling av personopplysninger for atferdsbasert markedsføring – som nok vil medføre at Meta må gjøre endringer i sin forretningsmodell. Dette kan kanskje forklare hvorfor Metas aksjekurs sank markant da beslutningene fra EDPB ble kjent i desember.
Avgjørelsene er enda ikke rettskraftig og det må forventes at de vil bli påklaget og brakt inn for domstolene.
* One-stop shopping-prinsippet innebærer at det landet hvor virksomheten har sin hovedetablering (typisk hvor virksomheten er selskapsrettslig etablert) også er førende for hvilket lands tilsynsmyndighet virksomheten må forholde seg til.
