Hva betyr det for deg at Meta snur om GDPR?
Etter fem års krangel med EU, gir Meta nå etter, og endrer praksis for hvordan de samler inn persondata fra brukerne. Hva betyr det i praksis for deg at Facebook og Instagram nå blir mer GDPR-vennlig? Det korte svaret: Ikke så mye.
Helt siden EUs personvernforordning GDPR trådte i kraft i 2018, har Meta kranglet med EU om hvorvidt de følger reglene eller ikke. EU og det irske datatilsynet (som har ansvaret for å følge opp Meta i EU) har gitt selskapet flere milliarder i bøter for brudd på GDPR.
Hva handler det om?
En av de viktigste diskusjonene har vært om Meta bruker riktig grunnlag for å behandle personinformasjon (behandlingsgrunnlag) når de samle inn data om hva brukerne gjør på plattformen, og bruker det til å vise målrettet reklame. Striden står om begrepene kontraktuell nødvendighet, berettiget interesse og samtykke.
Kontraktuell nødvendighet vil si at behandling av informasjonen er nødvendig for at plattformen skal gi brukerne de tjenestene de har avtalt.
Meta har frem til april i år brukt dette behandlingsgrunnlaget, og begrunnet det med at målrettede annonser basert på brukernes adferd er nødvendig for at de skal kunne tilby Facebook og Instagram som gratis apper. I praksis gir du Meta et implisitt samtykke til å behandle informasjonen din når du godtar brukeravtalen og tar i bruk Facebook eller Instagram.
Berettiget interesse betyr at det er i brukernes interesse at Meta samler inn og bruker personinformasjon til å vise målrettede annonser. Det behandlingsgrunnlaget forutsetter at fordelen brukerne får oppveier ulempen ved at personopplysningene deres samles inn og brukes.
Meta har brukt berettiget interesse fra april frem til nå, fremdeles med behandlingsgrunnlaget som en del av den ordinære brukeravtalen.
Samtykke vil si at du gir et eksplisitt samtykke til at Meta samler inn og bruker dataene dine til å vise målrettet reklame. I stedet for at samtykket er en del av brukeravtalen, forutsetter dette behandlingsgrunnlaget at du får et eget spørsmål om du gir Meta samtykke til å behandle informasjonen din.
Det er dette behandlingsgrunnlaget EU mener at Meta skal bruke.
Etter fem års krangling og flere milliarder i bøter, velger Meta nå å akseptere kravet fra EU, og endrer behandlingsgrunnlaget fra berettiget interesse til samtykke.
Hva vil det bety for deg som bruker?
Først og fremst betyr det at du snart vil få et spørsmål i Facebook og Instagram om du gir Meta samtykke til å behandle din personinformasjon og bruke den til å vise målrettede annonser.
Hvis du svarer JA, vil alt være som før.
Hvis du svarer NEI, vil Meta ikke lenger ha lov til å bruke din personinformasjon til å målrette annonser. Det vil si at annonsene ikke lenger vil være knyttet til hvem du er, hvilke interesser du har og hva du gjør på plattformen (og andre nettsider).
Uansett hva du svarer, vil du se like mange annonser som før. Men hvis du svarer nei, kan du oppleve at annonsene ikke er like tilpasset deg og dine interesser.
Meta vil fortsatt samle inn informasjon om hvem du er og hva du gjør på plattformene, men de vil ikke kunne bruke den informasjonen til å målrette annonser. De vil sannsynligvis også måtte begrense hvor mye data de samler inn om hva du gjør på andre nettsider, utenfor plattformene.
Hva vil det bety for deg som annonsør?
Meta vil fortsatt tilby målrettede annonser på Facebook og Instagram. Det er mulig at noen kategorier etter hvert blir borte, og at det tilgjengelige publikumet i noen kategorier blir mindre.
Slike endringer skjer imidlertid jevnlig både hos Meta og på andre plattformer allerede.
For å få et inntrykk av konsekvensene for annonsører, kan vi se på Google. De har i utgangspunktet mye mindre detaljert personinformasjon om sine brukere enn Meta, men klarer likevel å tilby målrettet annonsering med ganske god effekt.
Hvorfor skjer det nå?
I januar fikk Meta en bot av det irske datatilsynet på over 4 milliarder kroner. Boten var resultatet at EU i desember slo fast at Meta ikke brukte riktig behandlingsgrunnlag.
Som et svar på EUs krav, endret Meta i april fra Kontraktuell nødvendighet til Berettiget interesse. Det var en kosmetisk justering, og innebar ingen reell endring.
4. juli avsa EU-domstolen en dom som slo fast at Meta fortatt brøt GDPR, og at de nasjonale datatilsynene i hvert enkelt land hadde mulighet til å slå ned på slike brudd mot sine egne borgere.
To uker senere fattet Datatilsynet i Norge sitt vedtak om midlertidig forbud mot adferdsbasert markedsføring på Facebook og Instagram, med en million kroner i bot per dag hvis Meta ikke etterkom forbudet.
Når Meta nå snur, og etterkommer EUs krav, så er det en liten fjær i hatten for Datatilsynet. Ikke fordi dagbøtene er noen trussel for Meta (de tjener i snitt 35 millioner kroner i timen), men fordi Datatilsynet var først ute med å demonstrere konsekvensen av å ikke tilpasse seg til EUs krav.
I prinsippet kunne datatilsynet i hvert eneste land i Europa ha gjort tilsvarende vedtak. Det ville både ha fått betydelige økonomiske konsekvenser, og kunnet medføre mye mer alvorlige juridiske følger, som igjen kunne ha rammet Metas forretningsmodell.
Neste steg
Etter at Meta aksepterte at de må begynne å spørre brukerne om lov til å bruke dataene deres til målrettet annonsering, skrev de brev til Datatilsynet og ba om at vedtaket om dagbøter ble opphevet. Begrunnelsen var at de trengte tid til å gjøre endringene.
Da Datatilsynet ikke ville etterkomme Metas ønske, gikk selskapet fredag til Oslo tingrett og ba om en midlertidig forføyning. Det vil si at de ville at retten skulle stoppe dagbøtene. Det fikk de medhold i.
Selv om de slipper dagbøter foreløpig, må Meta nå snu seg rundt og gjøre endringene relativt fort. Somler de for mye nå, risikerer de nok både gult og rødt kort for uthaling av tiden fra utålmodige datatilsyn rundt i Europa.
2 Responses
[…] Du kan lese mer om detaljene i saken her. […]
[…] Du kan lese mer om hva de var uenige om her. […]