Metas olika processer mot dataskyddslagstiftning – det här har hänt

Den irländska integritetsskyddsmyndigheten DPC (Data Protection Commission), gav den fjärde januari Meta i Irland en bot på totalt 410 miljoner euro, drygt 4,5 miljarder kronor, för brott mot GDPR specifikt i kontexten beteendebaserad reklam. Ungefär halva beloppet är för händelser kopplade till Facebook, och resterande för händelser genom plattformen Instagram. Bakom domen ligger två klagomål, den ena från aktivisten och juristen Max Schrems som sedan 2013 drivit olika mål mot Meta och Facebook relaterade till integritet.

Klagomålen kom in i samband med att GDPR började gälla, 25 maj 2018, och handlade i korthet om att Meta tvingade användare att ge samtycke till de nya användarvillkoren. Här blir det något invecklat. Enligt GDPR får personuppgifter behandlas om det finns en av sex rättsliga grunder. Dessa är samtycke, avtal med den registrerade, rättslig förpliktelse, skydda grundläggande intresse, myndighetsutövning, och intresseavvägning, enligt Integritetsskyddsmyndigheten. 

Meta bytte rättslig grund för sin datainsamling, från användares samtycke till avtal, inför att GDPR började gälla. Klagomålen pekade på att Meta inte hade ett avtal med sina användare, utan i stället tvingade användare till att samtycka, eftersom användare var tvungna att godkänna de uppdaterade användarvillkoren för att fortsätta använda tjänsterna. Det inkluderade alltså att tillåta Meta att använda personlig data för beteendebaserad reklam, eftersom Meta anser att det är en del av den tjänst som man ger användarna. 

Men DPC och European Data Protection Board, EDPB, bedömer inte att beteendebaserad reklam är nödvändig för att tjänsten ska fungera eller kan anses vara en central del av erbjudandet.

– EDPB:s bindande beslut klargör att Meta olagligt behandlade personuppgifter för beteendebaserad reklam. Sådan reklam är inte nödvändig för att fullgöra ett påstått avtal med Facebook- och Instagram-användare, sade EDPB-ordföranden Andrea Jelinek i samband med beslutet.

Många har kritiserat DPC:s senfärdighet i att svara på klagomålet.

Meta har meddelat att man kommer överklaga beslutet och anser att de visst följer GDPR. Aktivisten Tanya O’Carroll menar att Meta antagligen kommer kunna undvika att till punkt och pricka följa lagstiftningen, tack vare kryphål och oändliga resurser. Vilket resulterar i en slags katt-och-råtta-lek.

– Facebook menar att GDPR inte kan tillämpas på hela deras annonsmaskineri, utan att en annan lag ska gälla. Vilket är intressant, för om den europeiska guldstandarden för dataskydd inte omfattar ett av de största techbolagen i världen, vem omfattas?, säger hon i en intervju med The Markup.

Tanya O'Carroll driver själv en process mot Meta, men inte genom den irländska integritetsmyndigheten, som annars hanterar alla GDPR-processer mot Meta, utan genom brittisk domstol. Hon menar att det inte finns politisk vilja eller incitament att driva förändring på Irland, med tanke på att landet är beroende av techjättars etablering.

– Det kommer helt enkelt aldrig att finnas politisk vilja att tillämpa GDPR korrekt i Irland. Det leder till mycket frustration, bland annat från dataskyddsmyndigheter i andra europeiska länder, eftersom deras medborgares klagomål skickas till Irland för att dö, säger hon.

Sedan 2021 har Meta flera gånger fått kritik och böter för att man inte följt GDPR eller på annat sätt använt användardata. Nedan är en tidslinje för några av de största.