Både Facebook og Instagram får problemer med personaliserte reklamer fremover, etter at eierselskapet Meta ble ilagt et gebyr på 390 millioner euro for sin praksis.
Men saken kan få andre vidtrekkende konsekvenser, som ingen foreløpig aner rekkevidden av.
Over lengre tid har Metas tjenester Facebook og Instagram benyttet ulike personopplysninger for å tilby personaliserte reklameannonser. Logikken med slike skreddersydde reklamer er naturligvis at de fleste av oss er mer tilbøyelige til å kjøpe produkter som er basert på våre interesser på nett.
Må si klart «ja»
Nylig avga det europeiske Personvernrådet (EDPB) en streng avgjørelse, som har fått mye oppmerksomhet. Meta manglet samtykke for bruken av personopplysninger til målrettede annonser, men hadde inntatt en klausul i brukervilkårene som tillater bruk av data til annonser.
Det irske datatilsynet, DPC, kom først til at innretningen med avtaleregulert annonsering var tillatt. I desember 2022 omgjorde imidlertid EDPB utkastet til avgjørelse fra DPC. EDPB mente Meta ikke kunne bruke personopplysninger til annonser basert på en form for kontrakt. Brukere må derfor si klart «ja», ellers kan Meta ikke bruke dataene deres til personlig tilpasset annonsering.
Saken er ikke bare interessant for Metas del, men også for en rekke selskaper som har forretningsmodeller basert på ulike former for kontraktsvilkår for å kunne bruke personopplysninger.
Snevrere rammer
Den aktuelle hjemmelen som Meta har støttet seg på, er GDPR artikkel 6 nr. 1 bokstav b, som gir mulighet for å bruke personopplysninger hvis «behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse».
Tidligere har det vært antatt at dette kontraktsgrunnlaget ville gi en utstrakt adgang til å benytte personopplysninger. GDPR-boken fra Paul Voigt og Axel von dem Bussche uttrykte at det som var nødvendig å bruke av data i forbindelse med en kontrakt, måtte forstås «in a wide manner and, thus, includes processing taking place in the context of a contract».
I dag antar EDPB at det er snevrere rammer, og dette skaper problemer i grensetilfeller.
De helt opplagte problemstillingene knytter seg til andre aktører som har gjort det samme som Meta: Ulike plattformer som har kontraktsvilkår om annonser eller ulike tjenester i bytte mot personopplysninger, kan risikere at hele forretningsmodellen ryker.
Det finnes imidlertid fremdeles et visst mulighetsrom for mer tilpassede annonser som ikke vil kreve samtykke. Eksempelvis er det trolig tillatt med ulike former for kontekstuell markedsføring, som tilpasser annonser ut fra hva slags nettsideinnhold som besøkes.
Hvor går grensen?
Hovedproblemet er at det er uklart hvor langt «kontrakten» kan sies å rekke. Er det for eksempel tillatt å opprette en brukerkonto for alle typer tjenester, eller må man se om det er mulig å ha mer avgrensede løsninger? Og hva slags motytelser er det greit å akseptere?
En nokså vanlig situasjon er at det innhentes kredittvurdering av den som kjøper eller leier i et avtaleforhold. Tidligere har Personvernnemnda akseptert kredittsjekk i medhold av kontraktsalternativet, for eksempel i forbindelse med avtale om leie av leiligheter. Dette har det blitt stilt spørsmål ved fra forgjengeren til EDPB, og med den siste avgjørelsen synes det vanskelig å opprettholde den norske tilnærmingen.
I et interessant eksempel fra Tyskland drøftet et datatilsyn om det var tillatt å akseptere mottak av nyhetsbrev som en avtalefestet motytelse for å delta i et lotteri på internett. Tilsynet mente en slik ordning måtte tillates og viste til at: «Det må tas i betraktning at brukernes plikt til å tillate bruk av deres e-postadresse for nyhetsbrev har en gjensidig plikt for leverandøren til å la brukere delta i konkurransen.»
I dag virker også en slik løsning mer usikker.
Del av avtale eller tjeneste?
Slik jeg forstår EDPBs avgjørelse, synes kontraktsalternativet i GDPR mest å kunne brukes for å sørge for at en tjenesteleverandør kan yte sin tjeneste overfor forbrukeren. Et typisk eksempel er lagring av adresse for å sende en vare hjem til en kjøper.
Den nyere praksisen synes altså – litt karikert – å bety at det ikke lenger fokuseres på om «behandlingen er nødvendig for å oppfylle en avtale», men om behandlingen skjer «for å yte en tjeneste». Helt naturlige behandlinger av opplysninger, der man gir og tar, som del av et kontraktsforhold, synes nå å måtte skje ved hjelp av andre hjemler.
I Danmark hadde en fotograf inngått en avtale med en person som stilte opp som modell. Bildene skulle brukes i en database, og enkelte bilder var av mer intim karakter. Modellen klaget og ville trekke sitt samtykke til bildebruken. Det danske Datatilsynet kom til at bildebruken ikke var samtykkebasert – og at avtalen medførte at fotografen hadde en hjemmel for å bruke bildene videre, siden bildene var en ytelse fra modellen i avtalen.
Det er vanskelig å vite om standpunktet kan forsvares i dag.
Den endelige avgjørelsen fra EDPB og DPC bør leses med lupe, for her blir det krevende avveininger. Konsekvensen av å se mellom fingrene kan fort bli noen titalls millioner i gebyrutgifter.
.jpg)
Kunngjorde store ambisjoner: Nå vil han bygge menneskelignende kunstig intelligens
