Europeand Data Protection Board (EDPB), har fattet styrende beslutning om gyldigheten av Metas GDRP-behandlingsgrunnlag til bruk av persondata til personalisert markedsføring. Saken har grunnlag i klage mot Meta som behandles av det Irske tilsynet for såkalt grenseoverskridende behandling. Dette leder til at Irske tilsynet må gi alle andre relevante lands tilsyn anledning til å uttale seg før Irland fatter vedtak, og det har vært uenighet mellom tilsynene, hvoretter EDPB har fattet avgjørelse (dette er jobben til EDPB i slike situasjoner).
Jeg har så langt ikke funnet EDPBs begrunnelse offentlig tilgjenglig (det blir den visstnok ikke på en stund), så jeg må ta forbehold, men det er sikkert at EDPB har vurdert om GDPR behandlinggrunnlag «oppfylle avtale» er gyldig for Metas (Facebook og Instagram) bruk av persondata til markedsføringsformål. I følge Reuters er EDPBs svar «nei» (hvilket ikke er sjokkerende).
Dette betyr i praksis at Facebook og Instagram må basere seg på samtykke. Mange har lenge ment at Facebooks samtykker ikke er gyldige under GDPR (ikke «informert», ikke «eksplist/aktivt» og også gjemt bort i lengre vilkårstekster).
Det er all grunn til å tro at den kommende Irske avgjørelsen vil ta stilling til dette.
Økt risiko for at norske bedrifter kan få et medvirkningsansvar
Da blir det viktige spørsmålet hva dette vil bety for norske bedrifters kjøp av tjenester som eksempelvis kundelistematching, kundelistematching lookalike audience og kjøp av tilgang til segmenter Facebook hadde fra før av for å treffe ønsket målgruppe med annonser. Risikoen vil nå (la oss dog avvente den Irske avgjørelsen først, men vi har god grunn til i dag å tro hva denne vil si) trolig øke for at norske bedrifter kan få et medvirkningsansvar under GDPR for å utnytte persondata Meta/Facebook med stor sannsynlighet vil bli funnet å behandle uten gyldig GDPR-behandlingsgrunnlag. Eller for å snu litt på det: kanskje et mer direkte ansvar under GDPR for manglende overholdelse av hovedprinsippene i GDPR artikkel 5 for ansvarlig behandling, hvis bedriften velger å utnytte persondata tilsynsmyndighetene har funnet at Facebook ikke har gyldig GDPR-behandlingsgrunnlag til å behandle (!).
Jeg vil anta at det er ganske sikkert at det blir nødvendig for norske bedrifter å oppdatere sine risikovurderinger for bruk av en rekke Facebook- og Instagram-markedsføringstjenester, når den Irske avgjørelsen, som dessuten er delvis styrt av EDPB, foreligger.