Økt juridisk risiko ved bruk av Meta (FB, Instagram) markedsføringstjenester, nå igjen?

LinkedIn icon
articleCreated with Sketch.7. desember 2022

Akkurat nå som det ser ut som Schrems II-problemene er i ferd med å bli løst, dukker det opp et nytt og trolig større skjær i sjøen.

social-media-marketing-digitally-generated-image-engagement.jpg_s=1024x1024&w=is&k=20&c=GnHfnIfMdTzbQsyX3SlxkEJvyHldpsX1aY1iJIWJzfw=.jpg

European Data Protection Board (EDPB), har fattet styrende beslutning om gyldigheten av Metas GDRP-behandlingsgrunnlag til bruk av persondata til personalisert markedsføring. Saken har grunnlag i klage mot Meta som behandles av det Irske tilsynet for såkalt grenseoverskridende behandling. Dette leder til at Irske tilsynet må gi alle andre relevante land sine tilsyn anledning til å uttale seg før Irland fatter vedtak. Det har vært uenighet mellom tilsynene, hvoretter EDPB har fattet en avgjørelse, (dette er jobben til EDPB i slike situasjoner).

EDPBs begrunnelse er ikke offentlig tilgjenglig (det blir den ikke på en stund), så dermed noen forbehold, men det som er sikkert er at EDPB har vurdert om GDPR behandlinggrunnlag "oppfylle avtale" er gyldig for Metas (FB+Insta) bruk av persondata til markedsføringsformål, og i følge Reuters er EDPBs svar "nei".

Dette betyr i praksis at FB + Insta må basere seg på samtykke, og mange har lenge ment at FBs samtykker ikke er gyldige under GDPR (ikke "informert", ikke "eksplistt/aktivt" og også gjemt bort i lengre vilkårstekster).

Det er all grunn til å tro at den kommende Irske avgjørelsen vil ta stilling til dette.

Så blir det viktige spørsmålet hva dette vil bety for norske bedrifters kjøp av tjenester som eksempelvis kundelistematching, kundelistematching lookalike audience og kjøp av tilgang til segmenter FB hadde fra før av for å treffe ønsket målgruppe med annonser. Risikoen vil nå (la oss dog avvente den Irske avgjørelsen først, men vi har god grunn til å i dag tro hva denne vil si) trolig øke for at norske bedrifter kan få et medvirkningsansvar under GDPR for å utnytte persondata FB med stor sannsynlighet vil bli funnet å behandle uten gyldig GDPR-behandlingsgrunnlag. Eller for å snu litt på det: kanskje et mer direkte ansvar under GDPR for manglende overholdelse av hovedprinsippene i GDPR art 5 for ansvarlig behandling, hvis bedriften velger å utnytte persondata tilsynsmyndihgetene har funnet at FB ikke har gyldig GDPR-behandlingsgrunnlag til å behandle (!).

Det er nok ganske sikkert at det blir nødvendig å oppdatere risikovurderinger ved norske bedrifters bruk av en rekke FB- og Insta-markedsføringstjenester, når den Irske avgjørelsen, som dessuten er delvis styrt av EDPB, foreligger.

Vi oppdaterer artikkelen når vi vet mer om EU tilsynsmyndigheters begrunnelser. Dette kan fort ta noen måneder.

Les EDPB sak her

Ønsker du våre oppdateringer?

Ja, takk!

Vi i Ræder brenner for faget vårt, og er levende opptatt av å dele kunnskap. Derfor vil vi oppdatere deg jevnlig med å sende siste faglige nytt samt invitasjoner til gratis seminarer. Fyll ut din kontaktinfo nedenfor og få tilsendt vårt nyhetsbrev.

Laster....