Sosiale mediegigantene Facebook og Instagram får snart midlertidig forbud i Norge fra å spore brukere på nett for å målrette dem med reklame.

Datatilsynet har pålagt det amerikanske teknologiselskapet Meta, morselskapet til Facebook og Instagram, å slutte å vise brukere i Norge personaliserte annonser basert på deres nettaktivitet og estimerte plasseringer. Forbudet trer i kraft fra august, ifølge a bestilling innhentet eksklusivt av POLITICO og sendt til Meta 14. juli.

Metas annonseringspraksis på Facebook og Instagram innebærer i dag «behandling av svært private og sensitive personopplysninger gjennom svært ugjennomsiktige og påtrengende overvåkings- og profileringsoperasjoner», skriver Datatilsynet.

Forbudet mot såkalt atferdsreklame varer i tre måneder, med start 4. august. Facebook og Instagram vil kunne vise folk personlig tilpassede annonser, men bare basert på informasjon gitt av brukere i «om»-delen av deres profiler.

Meta vil møte dagbøter på 1 million norske kroner (€89.500) dersom de ikke etterkommer pålegget.

Det midlertidige forbudet kan oppheves hvis Meta finner en måte å lovlig behandle personopplysninger på og gir brukere rett til å velge bort målrettet sporingsbasert annonsering, ifølge ordren.

Begrensningen kommer etter at EU-domstolen avgjorde 4. juli at Meta samlet ulovlig inn folks data for å målrette dem med annonser uten deres eksplisitte samtykke og basert på selskapets «legitime interesse».

Meta er også for tiden under gransking av sin viktigste personvernregulator, den irske databeskyttelseskommisjonen, over sin annonseringspraksis. Den Dublin-baserte myndigheten bøtelagt i januar det sosiale medieselskapet til sammen 390 millioner euro for brudd på personvernet til europeere. Hun påla Meta å finne et nytt juridisk grunnlag for sin forretningsmodell. Teknologiselskapet anket avgjørelsen.

Irlands databeskyttelseskommisjon forventer å ta en avgjørelse om Metas juridiske grunnlag for sine målrettede annonseringsoperasjoner «senest i midten av august», sa visekommissær og talsmann for byrået Graham.Doyle.

Den irske regulatoren fører tilsyn med Meta under General Data Protection Regulation (GDPR) for hele Europa, ettersom teknologiselskapet har sitt regionale hovedkontor der. Andre europeiske land som Norge kan treffe nasjonale vedtak innen tre måneder i en «nødsak» under GDPR.

«Den vedvarende tilstanden av manglende overholdelse etter [Irish] vedtak krever[s] umiddelbar handling for å beskytte rettighetene og frihetene til europeiske registrerte», skriver det norske databyrået i sin ordre.

Den norske tilsynsmyndigheten er den første europeiske personvernmyndigheten som strengt begrenser Metas datadrevne aktiviteter etter kjennelsen fra EUs øverste domstol. Han sa at han også planla å søke en presserende bindende avgjørelse fra European Data Protection Board (EDPB) – det regionale nettverket av personvernregulatorer – for å bestemme endelige tiltak.

Den irske databeskyttelseskommisjonen sa at den konsulterte andre europeiske myndigheter og sendte dem en foreløpig vurdering av Metas overholdelse av GDPR for målrettet annonsering etter den nye rettsavgjørelsen. Myndighetene har frist til 21. juli på seg til å sende inn bidrag til det irske DPC, sa Doyle.

I et svar sa Matt Pollard, en talsmann for Meta: «Debatten om rettslig grunnlag har pågått en stund, og selskaper fortsetter å møte en mangel på regulatorisk sikkerhet på dette området … Vi fortsetter å engasjere oss konstruktivt med irene. DPC, vår hovedregulator i EU, angående vår etterlevelse av deres vedtak. Vi vil vurdere det norske datatilsynets vedtak, og det er ingen umiddelbar innvirkning på tjenestene våre.»