Midlertidig forbud mot adferdsbasert markedsføring på Facebook og Instagram
Datatilsynet nedlegger forbud mot at Meta kan tilpasse reklame basert på overvåking og profilering av brukere i Norge. Forbudet varer i første omgang til oktober.
På Metas plattformer Facebook og Instagram blir brukernes aktivitet sporet i detalj. Brukerne blir profilert ut fra blant annet informasjon om hvor de befinner seg, hva slags innhold de viser interesse for og hva de legger ut. Personprofilene brukes så for markedsføringsformål – såkalt adferdsbasert markedsføring. Datatilsynet mener at Metas praksis er ulovlig og nedlegger nå et midlertidig forbud mot adferdsbasert markedsføring på Facebook og Instagram.
Ulovlig adferdsbasert markedsføring
I desember fattet det irske datatilsynet et vedtak på vegne av datatilsynsmyndighetene i hele EØS. Vedtaket slo fast at Meta har drevet ulovlig adferdsbasert markedsføring. Siden den tid har Meta gjort noen endringer, men en nylig avsagt dom fra EU-domstolen (curia.europa.eu) slår fast at Metas adferdsbaserte markedsføring fortsatt ikke skjer lovlig og i tråd med reglene. Derfor griper Datatilsynet nå inn og forbyr praksisen midlertidig.
Vedtaket gjelder fra 4. august og varer i tre måneder eller frem til Meta kan vise at de har innrettet seg på en lovlig måte. Dersom Meta ikke retter seg etter vedtaket, risikerer selskapet tvangsmulkt på opptil én million kroner per dag. Vedtaket fra Datatilsynet gjelder kun brukere i Norge.
Plattformene kan fortsatt operere i Norge
Mange i Norge har stor nytte og glede av sosiale medier. Tall fra Ipsos viser at 82 prosent av den voksne norske befolkningen har brukerkonto på Facebook og 65 prosent har brukerkonto på Instagram (ipsos.com).
– Datatilsynets vedtak forbyr ikke Facebook eller Instagram i Norge. Formålet er imidlertid å sikre at innbyggerne kan bruke disse tjenestene på en trygg måte og slik at rettighetene deres blir ivaretatt, sier sjef for internasjonal seksjon i Datatilsynet, Tobias Judin.
Datatilsynet forbyr heller ikke personalisert markedsføring på Facebook eller Instagram som sådan. Meta kan for eksempel målrette markedsføring basert på informasjon som brukere legger inn på profilen sin, slik som bosted, kjønn og alder, eller interesser som brukerne selv oppgir at de vil se markedsføring om. Vedtaket er heller ikke til hinder for at Meta viser adferdsbasert markedsføring til brukere som gir gyldig samtykke til det.
– Alle forretningsmodeller må respektere personvern som menneskerettighet. Brukerne må ha tilstrekkelig kontroll over egne data, og sporingen må begrenses, sier Judin.
Adferdsbasert markedsføring blant de største risikoene for personvernet
Meta, altså selskapet bak Facebook og Instagram, sitter på store mengder data om nordmenn, herunder sensitiv informasjon. Mange nordmenn bruker mye tid på plattformene, og derfor vil sporingen og profileringen kunne tegne et detaljert bilde av den enkeltes privatliv, personlighet og interesser. I tillegg samhandler mange med innhold knyttet til for eksempel helse, politikk og legning, og det er en fare for at også dette brukes indirekte til å tilpasse markedsføring til dem.
– Den inngripende kommersielle overvåkingen for markedsføringsformål er en av de største personvernrisikoene på Internett i dag, sier Judin.
Når Meta bestemmer hvilke annonser man får se, bestemmer de også hvilket innhold man ikke får se. Dette påvirker ytrings- og informasjonsfriheten i samfunnet. Det er en fare for at den adferdsbaserte markedsføringen forsterker eksisterende stereotypier eller at den kan føre til usaklig forskjellsbehandling av ulike grupper. Adferdsbasert målretting av politiske annonser i forbindelse med valg er særlig problematisk i et demokratiperspektiv.
Siden sporingen skjer i det skjulte, er den vanskelig å forstå for de fleste. Dessuten er det mange ekstra sårbare personer som bruker Facebook og Instagram som trenger særlig beskyttelse, for eksempel unge, eldre og de med kognitive funksjonsnedsettelser.
Europeisk saksbehandling og veien videre
Siden Meta har sitt europeiske hovedkvarter i Dublin, er det normalt det irske datatilsynet som fører tilsyn med selskapet i EØS. Datatilsynet i Norge kan imidlertid gripe inn direkte mot Meta i hastesaker, og vi kan da fatte vedtak som er gyldig i tre måneder.
Vi mener vilkårene for hastesaker er oppfylt, siden Meta nylig har fått vedtak og dom mot seg som de fremdeles ikke har innrettet seg etter, og fordi vi allerede har forsøkt den vanlige saksbehandlingsmekanismen. Hvis vi ikke griper inn nå, vil personvernet til flertallet av nordmenn krenkes av Meta på ubestemt tid.
Som et neste steg kan Datatilsynet ta saken inn for Det europeiske personvernrådet (EDPB) som vi er medlem av, etter sommeren. Saksbehandlingen hos EDPB vil avgjøre om vedtaket blir forlenget ut over tre måneder.
Meta har uttalt seg i saken, og selskapet er uenig i våre vurderinger. Meta kan velge å ta Datatilsynets vedtak inn for Oslo tingrett.