EDPB forbyder Metas adfærdsbaserede annoncering i EU/EØS
Det Europæiske Databeskyttelsesråd (EDPB) har den 27. oktober 2023 truffet en hastende bindende afgørelse efter GDPR art. 66, stk. 2, som forbyder Meta at anvende adfærdsbaseret markedsføring på Facebook og Instagram i EU/EØS. EDPB instruerede samtidig det irske datatilsyn om inden 14 dage at indføre endelige foranstaltninger. Afgørelsen betyder, at Metas brug af kontraktgrundlag (GDPR art. 6, stk. 1, litra b) og legitim interesse (litra f) ikke kan bære profilering til reklameformål.
Forbuddet kommer i kølvandet på norsk håndhævelse, hvor Datatilsynet i sommer udstedte et midlertidigt forbud og senere pålagde en daglig tvangsbøde som følge af fortsatte ulovlige praksisser. Baggrunden er risikoen for omfattende sporing og profilering, herunder udledning af følsomme oplysninger, der skærper kravene til lovligt behandlingsgrundlag.
Retslige rammer: samtykke som eneste bæredygtige grundlag
Behandling af personoplysninger til markedsføring kræver et klart formål, oplysningspligt og et gyldigt behandlingsgrundlag. Når markedsføringen bygger på profilering og tracking, har EDPB længe fremhævet, at legitim interesse sjældent kan opveje indgrebet i den registreredes rettigheder. Dermed står samtykke tilbage som det realistiske grundlag.
Et samtykke skal være frivilligt, specifikt, informeret og utvetydigt. Metas model med ”pay or consent” rejser spørgsmål om frivillighed, særligt for eksisterende brugere, som kan føle sig presset til at acceptere sporing for at bevare netværk og funktionalitet. Hvor samtykke ikke kan anses for reelt frivilligt, er det ugyldigt og kan ikke legitimere profilering.
Konsekvenser for virksomheder og praktiske skridt
Virksomheder, der annoncerer via Metas platforme, bør antage, at adfærdsbaseret målretning kræver gyldigt samtykke. Alternativer som kontekstuel annoncering og brug af førstehandsdata uden tracking kan mindske risici. Nationale tilsyn kan intensivere håndhævelse, herunder påbud og økonomiske sanktioner, hvis ulovlig profilering fortsætter.
For at reducere compliance-risiko anbefales det at gennemgå databehandlingen og dokumentere valg af grundlag og kontrolforanstaltninger. Følgende tiltag kan hjælpe med at sikre efterlevelse og retlig robusthed:
- Opdater samtykkemekanismer og Consent Management Platform, så samtykker er frivillige, granulære og dokumenterede.
- Udfør DPIA ved omfattende profilering og vurder risiko for udledning af følsomme oplysninger.
- Revurdér målretningsstrategi og skift til kontekstuel annoncering, hvor samtykke ikke er opnået.
- Sørg for klare oplysninger om formål, modtagere, opbevaring og den registreredes rettigheder.
Udviklingen bør følges tæt, da irsk håndhævelse og EDPB’s praksis kan påvirke platformenes tekniske og kontraktuelle setup. Indtil videre må adfærdsbaseret markedsføring kun ske på et gyldigt og dokumenteret samtykke.
