BREAKING: Meta (Facebook och Instagram) förbjuds att använda personuppgifter för annonsering. Stort slag mot Metas affärsmodell i Europa, efter noyb-tvisten . Böterna för Meta mer än tiodubblades från 28 miljoner euro till 390 miljoner euro. Tredje fallet om WhatsApp väntar.
Som bekräftats av den irländska DPC har Europeiska dataskyddsstyrelsen (EDPB) avvisat den irländska DPC och Metas förbikoppling av GDPR baserat på noyb-klagomål mot Facebook och Instagram. Meta är nu förbjudet att kringgå GDPR via en klausul i villkoren. Meta måste få "opt-in" samtycke för personlig annonsering och måste ge användarna ett "ja/nej"-alternativ. Beslutet om ett tredje parallellt fall om WhatsApp är försenat till mitten av januari.
- Förklaringsvideo om Metas förbikoppling (från december 2022)
- Originalklagomål från noyb från 2018
- Tidigare rapportering om den första informationen om EDPB-beslutet (Reuters)
Viktiga fakta:
- Två klagomål som lämnats in av noyb på uppdrag av en österrikisk och belgisk användare den 25 maj 2018 (den dag då GDPR blev tillämplig) beslutades idag.
- Ett tredje klagomål på WhatsApp på uppdrag av en tysk användare försenades till mitten av januari, enligt ett e-postmeddelande från DPC.
- Meta försökte "kringgå" samtyckeskravet i GDPR genom att lägga till en klausul i villkoren för annonsering.
- I december 2022 upphävde EDPB ett tidigare utkast till beslut från den irländska DPC som ansåg att Metas förbikoppling av GDPR var laglig.
- Det slutliga beslutet kräver att Meta inte får använda personuppgifter för annonser baserat på ett påstått "kontrakt". Användare måste därför förses med ett ja/nej ("opt-in") samtyckesalternativ, annars får Meta inte använda sina uppgifter för personlig annonsering.
- Beslutet förbjuder inte andra former av annonsering (t.ex. kontextuella annonser, baserade på innehållet på en sida).
- Metas användning av personuppgifter var olaglig sedan maj 2018.
- Böterna för Facebook och Instragram uppgår till totalt 390 miljoner euro. Ytterligare böter för WhatsApp i det parallella förfarandet är att förvänta.
Meta ville "kringgå" GDPR. GDPR tillåter sex rättsliga grunder för att behandla data, varav en är samtycke enligt artikel 6.1 a. Meta försökte kringgå samtyckeskravet för spårning och onlineannonsering genom att hävda att annonser är en del av den "tjänst" som de enligt avtal är skyldiga användarna. Det påstådda bytet av rättslig grund skedde exakt den 25 maj 2018 vid midnatt när GDPR trädde i kraft. Så kallad "avtalsenlig nödvändighet" enligt artikel 6.1 b förstås vanligtvis snävt och skulle t.ex. tillåta en onlinebutik att vidarebefordra adressen till en posttjänst, eftersom detta är absolut nödvändigt för att leverera en beställning. Meta ansåg dock att man bara kunde lägga till slumpmässiga element i avtalet (t.ex. personlig annonsering) för att undvika ett ja/nej-alternativ för användarna.
Max Schrems:"Istället för att ha ett "ja/nej"-alternativ för personliga annonser flyttade de bara samtyckesklausulen i villkoren. Detta är inte bara orättvist utan helt klart olagligt. Vi känner inte till något annat företag som har försökt att ignorera GDPR på ett så arrogant sätt."
380 miljoner euro i böter, DPC ville ha 28 till 36 miljoner euro. Förutom ett övergripande stopp för personaliserade annonser har EDPB insisterat på ett massivt böter för Meta. När allt kommer omkring har företaget baserat mest kommersiell databehandling på en avsiktlig överträdelse av lagen. EDPB har redan utfärdat riktlinjer i frågan under 2019. Meta har redan drabbats av mer än 900 miljoner euro i GDPR-böter i andra fall tidigare. Böterna går till den irländska staten, inte till klaganden, noyb eller EDPB. DPC har tidigare begärt 28 till 36 miljoner euro i ett utkast till beslut(se sidan 87 här), endast 10% av det nu slutliga EDPB-beslutet.
Max Schrems: "Straffet kommer att gå till Irland - den stat som har tagit Metas sida och försenat verkställigheten i mer än fyra år. Detta fall kommer sannolikt att överklagas av Meta, vilket leder till mer kostnader för noyb."
DPC och Meta samarbetade och blev överkörda av EDPB. Under förfarandets gång har Meta åberopat tio konfidentiella möten med den irländska DPC där DPC har tillåtit Meta att använda denna "bypass". Det avslöjades senare att DPC till och med har försökt att påverka relevanta EDPB-riktlinjer i Metas intresse. Ändå avvisade de andra europeiska dataskyddsmyndigheterna DPC:s uppfattning internt 2018, i riktlinjer 2019 och återigen i det slutliga EDPB-beslutet i december 2022. Ärendet eskalerade till 4,5 år med hundratals sidor av rapporter och inlagor, trots att ärendet handlade om en ganska enkel juridisk fråga.
Max Schrems:"Det här ärendet handlar om en enkel juridisk fråga. Meta hävdar att 'förbifarten' skedde med DPC:s välsignelse. I åratal har DPC dragit ut på förfarandet och insisterat på att Meta kan kringgå GDPR, men nu överprövades av de andra EU-myndigheterna. Det är totalt sett fjärde gången i rad som den irländska DPC blev överkörd."
DPC ser vinst på "öppenhet" -frågan? I DPC:s pressmeddelande begravs kärnfrågan om Meta får behandla användardata för annonsering i en mindre debatt om transparens, där man fann en överträdelse.
"Det är ganska patetiskt om DPC nu hävdar att andra myndigheter kom överens om en mindre öppenhetsfråga. Detta skulle bara ha behövt ändra lite text på Metas webbplats. Kärnfrågan var att Meta olagligt behandlade användardata i mer än fyra år, DPC skyddade Meta och de blev nedröstade på EU-nivå."
Konsekvens: inga anpassade annonser, mindre vinst. Beslutet innebär att Meta inom tre månader måste tillåta användare att ha en version av alla appar som inte använder personuppgifter för annonser. Beslutet skulle fortfarande tillåta Meta att använda icke-personliga uppgifter (t.ex. innehållet i en berättelse) för att anpassa annonser eller för att be användarna om samtycke till annonser via ett "ja/nej"-alternativ. Användare måste kunna återkalla samtycke när som helst och Meta får inte begränsa tjänsten om användare väljer att göra det. Även om detta kommer att begränsa Metas vinster dramatiskt i EU, skulle det inte helt förbjuda annonser. Istället kommer beslutet att sätta Meta på samma nivå som andra webbplatser eller appar, som måste tillhandahålla ett "ja/nej"-alternativ till användarna.
Max Schrems:"Detta är ett enormt slag mot Metas vinster i EU. Människor måste nu tillfrågas om de vill att deras data ska användas för annonser eller inte. De måste ha ett "ja eller nej"-alternativ och kan ändra sig när som helst. Beslutet säkerställer också lika villkor för andra annonsörer som också måste få samtycke."
DPC censurerar beslutet från käranden och allmänheten, vilket säkerställer att Meta och DPC kontrollerar medieberättelsen. I ett fantastiskt drag informerade DPC noyb idag att trots att DPC är en av de två parterna i förfarandet kommer DPC inte att släppa beslutet till noyb. DPC angav plötsligt påstådd "konfidentialitet" av beslutet som skäl. Beslutet bör lämnas ut till käranden i ett senare skede - eventuellt till och med efter det att tidsfristen för överklagande har löpt ut. Detta står i strid med tidigare information från DPC om att parterna skulle få beslutet före eventuella offentliggöranden från DPC.
Max Schrems:"Att få sitt beslut upphävt av EDPB är ett hårt slag mot DPC, nu verkar de försöka påverka allmänhetens uppfattning om detta mål. Under mina tio år som processförare har jag aldrig varit med om att ett beslut bara delges den ena parten, men inte den andra. DPC spelar ett mycket diaboliskt PR-spel. Genom att inte tillåta noyb eller allmänheten att läsa beslutet försöker den forma berättelsen om beslutet tillsammans med Meta. Det verkar som om samarbetet mellan Meta och den irländska tillsynsmyndigheten är väl och levande - trots att det har överskridits av EDPB."
Nästa steg: DPC stämmer EDPB, Meta kommer sannolikt att överklaga. Meta förväntas överklaga beslutet i de irländska domstolarna, men chanserna att vinna ett sådant överklagande är minimala efter ett bindande EDPB-beslut. Det finns också två liknande fall inför EU-domstolen (CJEU) om Metas samtycke bypass, som kan lösa frågan och alla överklaganden för gott. I en sidohistoria meddelade DPC också att den kan stämma EDPB i en relaterad fråga, eftersom EDPB krävde att DPC skulle vidta ytterligare undersökningsåtgärder på Meta, utöver de beslutade klagomålen från noyb. DPC anser att EDPB inte har dessa befogenheter och kommer att försöka få detta beslut ogiltigförklarat. Användare kan också vidta åtgärder mot den olagliga användningen av deras data under de senaste 4,5 åren.
