Skyhøye gdpr-bøter til Meta for ulovlig målrettet markedsføring

Av Sindre Dyrhovden (senior associate), Miriam Bierman (associate) og Kjetil Vågen (partner) i Advokatfirmaet CLP DA

Hva er saken?

Facebook og Instagram har siden ikrafttredelsen av GDPR benyttet virksomhetenes tjenestevilkår/brukervilkår som grunnlag for behandling av personopplysninger til markedsføringsformål. Dette inkluderer bruken av målrettet (adferdsbasert) markedsføring, som kort fortalt er markedsføring som bygger på analyser av den enkelte brukers data med formål om å tilpasse hvilke annonser den enkelte brukeren skal motta.

De to virksomhetene ble allerede i 2018 klaget inn av sine brukere for påstått ulovlig praksis med målrettet markedsføring. De mente at Facebook og Instagram ikke kunne behandle brukernes personopplysninger ved å ta inn målrettet markedsføring som del av tjenestevilkårene. Nå, snart fem år senere, har det endelig kommet en avgjørelse i saken – i brukernes favør.

Saken er spesiell fordi det irske datatilsynet i utgangspunktet aksepterte Metas praksis med å bruke tjenestevilkårene på denne måten. Flere av de europeiske tilsynsmyndighetene (herunder det norske Datatilsynet) var derimot sterkt uenig i dette og saken ble derfor løftet til Det europeiske Personvernrådet (European Data Protection Board). Personvernrådet konkluderte med at Meta på prinsipiell basis ikke kan bruke tjenestevilkårene til å etablere behandlingsgrunnlag for sin målrettede markedsføring, og påla det irske datatilsynet å gripe inn mot Meta.

Hva har Meta gjort galt?

Personopplysninger kan bare behandles dersom det foreligger et lovlig behandlingsgrunnlag. Et slikt lovlig behandlingsgrunnlag kan man finne i GDPR artikkel 6 nr.1 bokstav b (kontraktsforpliktelse), som gir virksomheter anledning til å behandle personopplysninger i den grad det er "nødvendig for å oppfylle en avtale som den registrerte er part i". Dette er en praktisk viktig regel, som for eksempel gir nettbutikker adgang til å dele kundens betalingsinformasjon, så den kan ta seg betalt, og adresse, så den kan sende varene. Dette er nødvendig for å oppfylle kjøpsavtalen.

Meta har på tilsvarende måte brukt tjenesteavtalen sin som grunnlag for målrettet markedsføring på sine plattformer. Meta har i den forbindelse støttet seg på at den målrettede markedsføringen og de personaliserte tilpasningene er del av tjenesten som brukeren har akseptert, og at det derfor er nødvendig å behandle personopplysninger til dette formålet for å oppfylle tjenesteavtalen.

Det irske datatilsynet (og Personvernrådet) påpekte derimot at hovedformålet med bruken av Facebook og Instagram, sett fra brukernes perspektiv, er kommunikasjon og interaksjon med hverandre og ikke målrettet markedsføring. Det avgjørende er ikke om den relevante behandlingsaktiviteten er tatt inn i tjenestevilkårene, men om den behandlingen av personopplysninger som knyttes til kontraktsforpliktelsen objektivt sett er nødvendig for å oppfylle kjerneelementet i avtalen med den registrerte. Tilsynet konkluderte med at den målrettede markedsføringen for å personalisere tjenesten, ikke kan anses som nødvendig for å utføre kjerneelementene i Facebook og Instagrams tjenester.

Meta har fått tre måneder på seg til å rette opp i ulovlighetene, og er i tillegg ilagt overtredelsesgebyr på over 4,1 milliarder kroner. Vedtaket vil føre til at Meta må endre sin forretningsmodell, og det er derfor ikke overraskende at de allerede har varslet at vedtaket vil klages inn for de irske domstolene.

Hva må retailere passe på?

Saken kan få betydning for hvilket behandlingsgrunnlag retailere bør velge når det kommer til målrettet markedsføring i forbindelse med blant annet kundeklubbmedlemskap. Dersom man i dag baserer seg på avtale/brukervilkår, bør det vurderes om et annet behandlingsgrunnlag er mer egnet.

I lys av Meta-saken må retailere huske på at for å benytte kontraktsforpliktelse som behandlingsgrunnlag, så kreves det at den relevante behandlingen av personopplysninger objektivt sett er nødvendig for å oppfylle avtalen, sett opp mot avtalens kjerneelementer. Prinsipielt kan det derfor stilles spørsmåltegn ved om kontraktsforpliktelse (brukervilkår) er egnet som grunnlag for målrettet markedsføring i forbindelse med blant annet kundeklubbmedlemskap. Selv om målrettede tilpasninger og markedsføring riktignok kan forbedre kundeopplevelsen og gi mer relevant innhold, er det ikke gitt at dette er objektivt nødvendig for å kunne tilby et kundeklubbmedlemskap og de tilknyttede fordeler. I så fall kan utfallet bli likt som i Meta-saken – at man ikke kan etablere et lovlig behandlingsgrunnlag for målrettet markedsføring gjennom kundeklubbavtalen.

Det mest praktiske alternative behandlingsgrunnlaget er antakelig samtykke. Hvorvidt et slikt samtykke kan settes som vilkår for innmelding i kundeklubben er derimot omdiskutert og praktisert ulikt. Det er likevel verdt å merke seg at det danske datatilsynet i nyere tilsynspraksis i enkelte tilfeller ser ut til å ha godtatt en slik praksis.

Selv om Meta har varslet at de vil klage avgjørelsen inn for de irske domstolene, er det sannsynlig at Datatilsynet i stor grad vil følge den lovforståelsen som er lagt til grunn i vedtaket. Datatilsynet har selv vært en aktiv pådriver for denne forståelsen, som i tillegg bygger på tidligere veiledning fra Personvernrådet.

Den fulle avgjørelsen fra Personvernrådet vedrørende Facebook er tilgjengelig her. Avgjørelsen vedrørende Instagram er tilgjengelig her.