I sidste uge slog det Europæiske datatilsyn EDPB, som består af 26 forskellige datatilsyn fra hele EU, fast, at Meta-platformens måde at bygge sine brugeres samtykker ind i sine vilkår på blandt andet Facebook-platformen, er ulovlig.
I afgørelsen erklæres målrettede reklamer fra Facebook, Instagram og WhatsApp for ulovlige i henhold til GDPR.
Og nu har disse 26 EDPB-tilsyn forkastet det irske datatilsyns udkast til en afgørelse og ønsket en skærpelse af teksten. Det skal det irske datatilsyn nu på en måned sørge for.
Til Finans siger it-sikkerhedsspecialist Allan Frank fra det danske datatilsyn, om sagen:
"Der mangler en mere udførlig accept, hvis Facebook skal kunne sige, at man lovligt har fået et samtykke til indsamling og behandling af data. Det er ikke nok at sige, at ved at acceptere Facebooks bruger- og privatlivsvilkår over én kam, har man givet et gyldigt samtykke til enhver behandling."
Fra Dansk Erhverv Digital Handel forholder man sig afventende, da det nye udlæg af afgørelsen kan komme til at betyde ekstra omkostninger til markedsføring for virksomheder, der bruger Facebook.
Og, forklarer fagchef hos Dansk Erhverv, Carsten Rose Lundberg, så kan det betyde, at det i sidste ende er brugerne, der kommer til at betale prisen.
EU-datatilsynets afgørelse
Det er på foranledning af en anmeldelse fra privatlivsaktivisten Max Schrems' rettighedsorganisation NOYB (None Of Your Business), som blev indsendt i 2018, at Meta, som ejer de tre sociale medier Facebook, Instagram og WhatsApp, at det europæiske datatilsyn nu har truffet denne afgørelse.
Og det er stort.
Når EDPB tager en sag op, så er det fordi sagen er principiel, og afgørelsen skal derfor gælde for samtlige EU-lande.
Facebook prøvede ellers i denne sag, at komme uden om GDPR-spørgsmålet i deres annoncerings-muligheder, ved blot at lave sine brugerbetingelser om, så de indeholdt et samtykke til personaliserede reklamer gennem platformen.
Men den gik altså ikke, hvilket er bemærkelsesværdigt.
På NOYB's hjemmeside, udtaler Max Schrems:
"I stedet for at have en ja/nej-mulighed for personlige annoncer, flyttede de bare samtykkeklausulen i vilkårene og betingelserne. Dette er ikke bare uretfærdigt, men klart ulovligt. Vi kender ikke til nogen anden virksomhed, der har forsøgt at ignorere GDPR på sådan en arrogant måde."
Han uddyber:
"Dette er kæmpe slag mod Metas indtjening i EU. Folk skal nu spørges, om de ønsker, at deres data skal bruges til annoncer eller ej. De skal give et 'ja eller nej'-svar og kan til enhver tid ændre mening. Beslutningen sikrer også lige vilkår med andre annoncører, der også skal have samtykke."
Til mediet Radar, siger Jesper Lund, der er formand for It-Politisk Forening:
"Det her er en meget vigtig afgørelse, som kan få meget store konsekvenser. Men Facebook vil formentlig gå til EU-domstolen og der er mange muligheder for at trække tingene i langdrag."
Han forventer desuden, at der kommer et krav om en bøde til de tre sociale netværk. Men det bliver sandsynligvis ikke uden en vis modstand.
Også EU-politiker Christel Schaldemose (S), der har været talsperson på det store digitale lovkompleks Digital Services Act (DSA), erkender omfanget af afgørelsen og kalder det "et nybrud".
"Det har været frustrerende at være vidne til, at vi på den ene side har vedtaget GDPR, som har forbedret retten til at bestemme over egne data, og på den anden side har store spillere som Facebook, der har haft en tilgang, hvor man enten skal acceptere al tracking, eller også kan man ikke være der. Det er take it or leave, og det mener jeg ikke har været intentionen i GPDR," siger hun ifølge Finans.
Den principielle sag, som EDPB har overtaget, er rejst i Irland, hvor Metas europæiske del af koncernen har hjemme. Det er også ved det irske datailsyn, at dommen nu skal effektueres.
Helt konkret betyder det, at Meta nu ikke længere må bruge sine europæiske brugeres personlige data til annoncering.