EU-domstolen har nok en gang felt Meta (Facebook, Instagram, WhatsApp) i en sak om personvern. Denne gangen handler det om hvordan Meta samler inn og bruker dataene dine til målrettet annonsering.
Dommen setter viktige grenser for markedsførere og viser hvordan GDPR skal tolkes i praksis.
Saken handler kort om at Schrems ikke samtykket til at Meta brukte hans personopplysninger til målrettet annonsering, inkludert opplysninger om hans seksuelle legning, noe han ikke hadde delt offentlig på Facebook. Meta mente behandlingen var lovlig.
Her er hovedpunktene, med referanser til relevante artikler i GDPR:
Data-minimering (artikkel 5(1)(c) GDPR)
Meta kan ikke samle inn og lagre all mulig data om deg uten begrensninger. De må begrense seg til data som er nødvendige og relevante for formålet med annonseringen. Domstolen understreker at ubegrenset lagring av data for målrettet annonsering er et disproporsjonalt inngrep i brukerens rettigheter.
Praktisk betydning for markedsførere:
- Vær tydelig på hvilke data dere samler inn og hvorfor (artikkel 13(1)(c) GDPR).
- Begrens datainnsamling: Samle kun data som er relevante for markedsføringsformålet.
- Slett data som ikke lenger er nødvendige (artikkel 5(1)(e) GDPR): Ikke lagre data "for sikkerhets skyld".
- Implementer tiltak for å sikre at kun nødvendige data behandles (artikkel 25(2) GDPR).
Sensitive data (artikkel 9 GDPR)
Selv om du har delt noe sensitiv informasjon offentlig (f.eks. seksuell legning), gir ikke det Meta rett til å samle inn annen sensitiv informasjon om deg fra andre kilder. Domstolen presiserer at artikkel 9(2)(e) GDPR, som tillater behandling av sensitive data som er "åpenbart offentliggjort" av den registrerte, må tolkes restriktivt.
Hva betyr dette for markedsførere:
- Vær forsiktig med sensitive data: Unngå å samle inn eller bruke sensitive data med mindre du har et tydelig og lovlig formål, og eksplisitt samtykke fra brukeren (artikkel 9(2)(a) GDPR).
Tidligere dommer
Denne dommen bygger på tidligere avgjørelser i Schrems-saken og saken om Metas generelle brukervilkår (C-252/21). Disse dommene, sammen med denne siste avgjørelsen, viser en tydelig trend: EU-domstolen stiller strenge krav til hvordan selskaper som Meta kan bruke personopplysninger.
Her kan du lese dommen i sin helhet.
PS! Jeg har benyttet KI til å oversette og oppsummere dommen.
PPS! Hvis du vil ha en prat om GDPR rundt markedsføring - book et møte med meg!