– Det som er ulovlig må stoppe nå, sier Tobias Judin i Datatilsynet.
Datatilsynet beordret i sommer Meta, selskapet som eier Facebook og Instagram, å stanse bruken av nordmenns persondata til adferdsbasert reklame. Meta får nå én million i daglige bøter for å ikke følge vedtaket.
Det store spørsmålet har likevel vært om tilsynet ville løfte saken til Personvernrådet i EU (EDPB) og slik utvide forbudet til flere land.
– Vi har nå sendt en formell forespørsel til det europeiske personvernrådet om å utvide vårt forbud. Det vi ber om er et permanent forbud som gjelder for hele Europa, ikke bare for Norge, sier seksjonsleder Tobias Judin i Datatilsynet til NRK.
Personvernrådet vil nå gjennomgå dokumentene til det norske tilsynet før de sendes ut til deres medlemmer. Saken skal så behandles ferdig innen to uker, ifølge regelverket.
– Vårt poeng er at det som er ulovlig må stoppe nå, inntil man finner en lovlig måte å gjøre det på, sier Judin.
Enn så lenge gjelder Datatilsynets vedtak kun for Norge og kun i tre måneder.
Meta på sin side mener de handler i tråd med den europeiske personvernloven.
– Vi er overrasket over Datatilsynets handlinger, gitt at Meta allerede har annonsert at vi skal bytte det lovlige grunnlaget for annonsering til samtykke i EU og EØS, skriver Matt Pollard i Meta til NRK.
– Vi er i samtaler med relevante datatilsyn om dette temaet via det ledende tilsynet i EU, det irske datatilsynet, og vi vil dele mer på et senere tidspunkt.
Vant i tingretten
Meta har tidligere forsøkt å stoppe Datatilsynets vedtak, men tapte i Oslo tingrett i en innledende rettssak.
Teknologigiganten argumenterte da for at det norske datatilsynet unødvendig blandet seg inn i en pågående prosess med det irske datatilsynet (DPC). Ettersom Meta har sitt europeiske hovedkontor i Irland har dette tilsynet det ledende ansvaret for alle saker mot selskapet.
Det norske tilsynet har benyttet en unntaksregel i den europeiske personvernloven for å kunne fatte et vedtak mot selskapet. Datatilsynet mener de kan gjøre det fordi det haster å få på plass et lovlig behandlingsgrunnlag for bruk av persondata for adferdsbasert reklame.
Slik markedsføring kalles gjerne overvåkingsbasert reklame av kritikere fordi informasjon om hva man liker og leser kan brukes til å velge hvem som ser en bestemt annonse.
DPC har tidligere slått fast at Meta ikke kan bruke sitt nåværende lovgrunnlag til å adferdsbasert markedsføring.
– Det vi ikke forstår er hvorfor Meta skal få lov til å fortsette å bryte loven frem til de kanskje finner fram til en ny løsning, sier Judin til NRK.
- For å behandle personopplysninger må man ha et lovlig behandlingsgrunnlag. I personvernforordningen (GDPR) finnes det seks måter å gjøre det.
- De mest brukte av kommersielle selskaper er samtykke (at brukeren gir et ja); at behandlingen skjer som følge av en avtale; eller at selskapet har et behov, en berettiget interesse, som veier tyngre enn hensynet til brukerens personvern.
- Meta benyttet først avtale som lovlig grunnlag, så berettiget interesse.
- Meta har i dag ikke et godt nok lovlig grunnlag til å bruke persondata til adferdsbasert markedsføring, ifølge Datatilsynet.
- Meta har lovet å innføre en samtykke-løsning, men det har enda ikke blitt implementert.
- Meta kan ikke bruke persondata til slik markedsføring inntil en god nok løsning er på plass, mener Datatilsynet.
Meta mener på sin side at de er i en konstruktiv prosess med det irske datatilsynet.
– Vi har allerede annonsert vår intensjon om å flytte alle brukere i EU og EØS til et samtykke-basert lovgrunnlag, og vi vil fortsette å arbeide med det irske datatilsynet for å få det til å skje, uttalte Meta da tingrettens avgjørelse ble kjent.
De har til 24. november å implementere den nye løsningen, ifølge det irske tilsynet.
Oppdatert klokken 13:41 med uttalelser fra Meta.