Det Europeiske Personvernrådet (EDPB), har fattet en beslutning om gyldigheten av Metas GDRP-behandlingsgrunnlag til bruk av persondata i personalisert markedsføring, skriver Vebjørn Søndersrød. Her Meta-sjef Mark Zuckerberg. 📸: AP Photo/Marcio Jose Sanchez

Meta kan bryte GDPR, og norske selskaper kan få ansvaret: - Stort skjær i sjøen

- Nødvendig å oppdatere risikovurderinger med en rekke Facebook- og Insta-tjenester, skriver advokat.

Publisert

✍ leserinnlegg

Dette er et leserinnlegg fra en ekstern skribent, som betyr at innholdet ikke nødvendigvis speiler kode24s meninger. Vil du også bidra? Send oss en epost på hei@kode24.no, eller les mer her! Teksten ble først publisert på Vebjørn Søndersrøds Linkedin-side.

Økt juridisk risiko ved bruk av Metas (Facebook og Instagram) markedsføringstjenester, nå igjen?

Ajda, akkurat nå som det ser ut som Schrems II-problemene er i ferd med å bli løst, dukker det opp et nytt og trolig større skjær i skjøen.

Det Europeiske Personvernrådet (EDPB), har fattet en styrende beslutning om gyldigheten av Metas GDRP-behandlingsgrunnlag til bruk av persondata i personalisert markedsføring.

Saken har grunnlag i en klage mot Meta som behandles av det irske tilsynet for såkalt grenseoverskridende behandling. Dette leder til at det irske tilsynet må gi alle relevante lands tilsyn anledning til å uttale seg, før Irland fatter et vedtak. De ulike tilsynene har vært uenig, hvor så EDPB har fattet en avgjørelse - som er jobben til EDPB i slike situasjoner.

Schrems II-dommen

  • EU-domstolen avsa 16. juli 2020 en prinsipiell dom om overføring av personopplysninger til land utenfor EU/EØS, som har fått navnet Schrems II.
  • EU-domstolen understreket at man alltid må undersøke om beskyttelsesnivået i praksis vil bli undergravd av forhold i tredjelandet, for eksempel overvåkingslover som går lenger enn det som er nødvendig og proporsjonalt. I så fall må man iverksette ytterligere tiltak.

kilde: Digdir, Datatilsynet

Må basere seg på samtykke

Jeg har så langt ikke funnet EDPBs begrunnelse offentlig tilgjengelig, det blir den visstnok ikke på en stund, så jeg må ta forbehold.

Men det er sikkert at EDPB har vurdert om GDPR behandlinggrunnlag "oppfylle avtale" er gyldig for Metas (Facebook og Instagram) bruk av persondata til markedsføringsformål.

Ifølge Reuters er EDPBs svar "nei", noe som ikke er sjokkerende. Dette betyr i praksis at Facebook og Instagram må basere seg på samtykke.

Og mange har lenge ment at Facebooks samtykker ikke er gyldige under GDPR (ikke "informert", ikke "eksplisitt/aktivt" og også gjemt bort i lengre vilkårstekster).

Det er all grunn til å tro at den kommende irske avgjørelsen vil ta stilling til dette.

Vil få medvirkningsansvar

Så blir det viktige spørsmålet hva dette vil bety for norske bedrifters kjøp av tjenester. Dette kan være kundelistematching, kundelistematching med lookalike audience, og kjøp av tilgang til segmenter Facebook hadde fra før av for å treffe ønsket målgruppe med annonser.

La oss dog avvente den irske avgjørelsen først, men vi har god grunn til i dag å tro hva denne vil si:

Risikoen vil nå trolig øke for at norske bedrifter kan få et medvirkningsansvar under GDPR. Medvirkningsansvaret kommer av å utnytte persondata Facebook med stor sannsynlighet blir funnet å behandle uten gyldig GDPR-behandlingsgrunnlag.

Eller for å snu litt på det: Kanskje et mer direkte ansvar under GDPR for manglende overholdelse av hovedprinsippene i GDPR artikkel fem for ansvarlig behandling, dersom bedriften velger å utnytte persondata tilsynsmyndighetene har funnet at Facebook ikke har gyldig GDPR-behandlingsgrunnlag til å behandle (!).

Blir nødvendig å opppdatere

Jeg vil allerede nå påstå at det er sikkert at det blir nødvendig å oppdatere risikovurderinger ved norske bedrifters bruk av en rekke Facebook- og Insta-markedsføringstjenester, når den irske avgjørelsen, som dessuten er delvis styrt av EDPB, foreligger.

Jeg skal oppdatere dere når vi vet mer om EU tilsynsmyndigheters begrunnelser. Det kan fort ta noen måneder.

Powered by Labrador CMS