Meta er midlertidig utestengt fra å kjøre atferdsreklame på Facebook og Instagram i Norge med mindre de innhenter brukernes samtykke til behandlingen.

Hastepålegget om Metas virksomhet, som er gitt av Datatilsynet, gjelder for en første periode på tre måneder.

Den sier at Meta kan kjøre andre former for målrettet annonsering, for eksempel innholdsmålretting, dvs. som ikke er avhengig av brukersporing og profilering. Eller den kan fortsette å vise adferdsreklame hvis den innhenter brukernes samtykke. Men hvis Meta fortsetter sin personvernfiendtlige «business as usual» på markedet – og viser adferdsannonser uten å gi brukerne et valg om å velge bort sporing og profilering – vil det møte bøter på opptil $1 million NOK (~$100 000) ) per dag.

«Datatilsynet anser praktiseringen av Meta som ulovlig og nedlegger derfor et midlertidig forbud mot adferdsreklame på Facebook og Instagram», skrev hun i en pressemelding som kunngjorde forbudspålegget, og la til «Vi vurderer at kriteriene for å handle raskt. i denne saken er oppfylt, spesielt fordi Meta nylig mottok både en avgjørelse og en dom mot dem som de ikke sluttet seg til.Hvis vi ikke griper inn nå, ville databeskyttelsesrettighetene til flertallet av nordmenn bli krenket på ubestemt tid.

«Invasiv kommersiell overvåking for markedsføringsformål er en av de største databeskyttelsesrisikoene på Internett i dag,» advarte myndigheten også.

Selv om Norges datatilsynsmyndighet ikke er Metas primære datatilsynsførende i regionen, er det i stand til å bruke nødmyndigheter i personvernforordningen (GDPR) som lar myndigheter gripe inn og iverksette tiltak ved akutte problemer for å beskytte brukere i sitt eget marked. Det er derfor besøksforbudet kun gjelder i Norge.

DPAs handling følger en avgjørelse tidligere denne måneden fra EU-domstolen (CJEU) – som avviste det rettslige grunnlaget som Meta for tiden hevder å mikromålrette brukere med annonser i regionen (dvs. legitime interesser).

Tidligere fant en større avgjørelse fra den irske databeskyttelseskommisjonen (DPC) i januar at Metas behandling av annonser brøt blokkens GDPR på grunn av et tidligere krav om å stole på gjennomføringen av en kontrakt som juridisk grunnlag.

Meta ble bøtelagt med mer enn 410 millioner dollar for bruddet og beordret til å rette opp etterlevelsen, og gikk raskt over til et krav om legitime interesser for behandling. Imidlertid har EU-domstolen siden avgjort at det rettslige grunnlaget også er upassende for dens overvåkingsreklamevirksomhet, slik vi rapporterte den gangen. Dette er grunnen til at Datatilsynet sier at de iverksetter hastetiltak nå.

«I desember i fjor utstedte den irske databeskyttelseskommisjonen en avgjørelse på vegne av alle EØS-databeskyttelsesmyndighetene. [European Economic Area] som slo fast at Meta drev ulovlig adferdsreklame. Siden den gang har Meta gjort noen endringer, men en ny kjennelse fra EU-domstolen sa at Metas adferdsreklame fortsatt ikke var i samsvar med loven. Derfor tar Datatilsynet nå grep ved å nedlegge et midlertidig forbud», skrev han.

«Forbudet vil gjelde fra 4. august og vil vare i tre måneder, eller til Meta kan bevise at det følger loven. Dersom Meta ikke følger vedtaket, risikerer selskapet en tvangsmulkt på inntil 1 million kroner per dag. Datatilsynets vedtak gjelder kun brukere i Norge.

Kontaktet for et svar på besøksforbudet, sendte Meta en kort uttalelse (nedenfor) der han prøver å unngå hovedspørsmålet ved å antyde at det fortsatt er en «debatt» om spørsmålet om den kan stole på legitime interesser for sin atferd reklamevirksomhet – til tross for at EU-domstolen avgjorde for noen uker siden at LI ikke er et gyldig juridisk grunnlag for sin reklamevirksomhet. (Hans uttalelse nevner ikke EU-domstolens kjennelse fullstendig.)

Her er Meta-erklæringen i sin helhet:

Debatten rundt rettsgrunnlaget har pågått en stund, og bedrifter opplever fortsatt mangel på reguleringssikkerhet på dette området. Vi fortsetter å samarbeide konstruktivt med den irske DPC, vår hovedregulator i EU, angående vår etterlevelse av deres avgjørelse. Vi vil vurdere Datatilsynets vedtak, og det har ingen umiddelbar innvirkning på våre tjenester

Teknologigiganten har ikke bekreftet om den vil anke bestillingen.

Hun klarte heller ikke å svare på spørsmål vi stilte henne og ba henne rettferdiggjøre påstanden om «pågående debatt» på et punkt som EU-domstolen nylig avklarte. Den har heller ikke bekreftet om den vil endre måten den driver Facebook og Instagram på i Norge.

Siden Meta gikk over til et krav fra LI om å behandle brukerdata for adferdsreklameformål, måtte det tilby brukere i EU et middel til å protestere mot denne behandlingen – som er et krav for å kunne stole på det juridiske grunnlaget. Det betyr at den allerede har en måte å tilby brukere en versjon av tjenesten som ikke er avhengig av sporing og profilering for annonsemålretting. Så den kan bare bruke denne mindre påtrengende formen for annonsemålretting til alle brukere i Norge. Det er imidlertid ikke klart om selskapet vil aktivere det i markedet. (Eller faktisk gjøre endringer i hvordan det driver Facebook og Instagram i Norge.)

Hvis Meta utsetter håndhevingen av DPA besøksforbudet, risikerer han dagbøter for de neste tre månedene, som kan utgjøre millioner av dollar i bøter.

Kanskje mer bekymringsfullt for Meta er det faktum at norsk myndighet har advart om at den kan søke å klage til European Data Protection Board (EDPB) – for eksempel å be den om å gi et bindende vedtak om å forlenge besøksforbudet utover de første tre måneders gyldighet periode.

En slik EDPS-ordre kan tvinge Meta til å slutte å levere adferdsreklame uten samtykke i hele EU. Selv om styret kanskje foretrekker å oppmuntre det irske DPC til å overta, i egenskap av ledende datatilsynsførende for Meta, gjenstår det derfor å se om vi vil se en rask respons fra europeiske databeskyttelsesregulatorer på vedtakelsen av denne siste EU-domstolen. kjennelse eller en annen sakte brenning – med Meta klar til å dra nytte av eventuelle ytterligere håndhevingsforsinkelser.

Vi har kontaktet den irske DPC for å spørre om de vil iverksette tiltak angående Metas avhengighet av LI for adferdsreklame i lys av EU-domstolens avgjørelse, og vil oppdatere denne rapporten med ethvert svar.

Oppdatering: DPC-nestleder Graham Doyle har bekreftet at regulatoren har utført en samsvarsvurdering av Meta etter den tidligere anvendelsen av GDPR på det juridiske grunnlaget for annonser og CJEU-dommen – som den har videresendt til andre EUs databeskyttelsesmyndigheter for gjennomgang. Han la til at han forventer å avslutte denne prosessen i midten av neste måned. Meta vil derfor sannsynligvis møte ytterligere handling i spørsmålet om rettslig grunnlag denne sommeren.

Her er DPC-uttalelsen:

Etter å ha tatt sine endelige avgjørelser i disse undersøkelsene, videresendte DPC dem til Meta og overvåker nå overholdelse av ordrene i avgjørelsene. For dette formål vurderte DPC Metas rapporter om overholdelse av ordrene og innhentet synspunkter fra alle relevante tilsynsmyndigheter (“ASCs”). DPC har nå laget et foreløpig vurderingsdokument om samsvarsrapportering som inkluderer synspunktene til CSA og har tatt hensyn til den nylige CJEU Bundeskartellamt-dommen.

DPC har gitt sin vurdering til alle CSA-er, og de har frist til fredag ​​21. juli på seg til å sende inn bidrag til DPC. Våre norske kolleger er faktisk de første av våre kollegaer som svarer oss, og de bekreftet overfor oss at de «fant din analyse veldig grundig, gjennomtenkt og fornuftig». Som du kan se, er denne prosessen veldig avansert, og DPC har til hensikt å avslutte med en harmonisert tilnærming sitt tilsyn med Meta i denne saken senest i midten av august. Alle tilsynsmyndigheter som er involvert i denne prosessen er klar over denne tidsplanen.

I mellomtiden fortsetter europeiske Facebook- og Instagram-brukere å være underlagt Metas sporing og profilering som standard, uten noe første valg om å velge bort overvåkingen – selv om den nylige dommen fra EU-domstolen antyder at samtykket sannsynligvis er det eneste levedyktige grunnlaget for Meta å lovlig drive sin adferdsreklame i regionen.

«Meta, selskapet bak Facebook og Instagram, har store mengder data om nordmenn, inkludert sensitive data. Mange nordmenn bruker mye tid på disse plattformene, og derfor kan sporing og profilering brukes til å tegne et detaljert bilde av disse menneskenes privatliv, personlighet og interesser. Mange samhandler med innhold som det som er relatert til helse, politikk og seksuell legning, og det er også en fare for at dette indirekte vil bli brukt til å målrette markedsføring mot dem, advarer Datatilsynet.

Personvernproblemer med Threads, Metas siste sosiale nettverk – som også sporer brukeraktivitet, inkludert innsamling av sensitiv informasjon som finans- og helsedata – er også grunner til at tjenesten ikke har blitt lansert i EU.