Facebook-afgørelse fra Irland forventes omstødt inden den rammer hele EU

Billedet: Udsnit fra cbs.dk, facebook.com og den elektroniske kopi af  bogen Your Privacy Is Important To Us! 

Kort før 2021’s slutning udkom en bog, der har været 12 år undervejs og hvor færdiggørelsen blev trukket netop så længe, at forfatteren kunne nå at få den sidste store bemærkelsesværdige konflikt om det irske datatilsyn med i sin skrivning.

Og Jan Trzaskowski, forfatteren, professor på CBS, er ikke i tvivl. Afgørelsen fra det irske tilsyn kommer til at blive omstødt.

Det siger han, samtidig med at han slår fast, at han normalt afholder sig fra at spå. Men her mener han sig sikker.

Det handler om det irske tilsyn, der i oktober har accepteret et tre år gammelt Facebook-tiltag, en ændring i deres Terms of Service, hvor de i 2018 undergraver et grundlæggende element i GDPR - for nu at bruge en formulering fra privacy-aktivisten Max Schrems.

En formulering som Jan Trzaskowski bakker op. Professoren på CBS har gennem flere årtier haft sine undersøgende øjne på de juridiske aspekter og internettet specielt med fokus på, hvordan marketing og beskyttelsen af de private data udvikler sig.

Den problematiske afgørelse og værdigheden

Facebook ændrede i 2018 den måde, de henter tilladelse fra alle deres brugere - tilladelse til at høste privat data og til at bruge den data.

Og det mener det irske datatilsyn med en afgørelse i oktober 2021, at de, Facebook, nu Meta, fremadrettet skal have lov til. Det er den korte opsummering af det udkast til en afgørelse, der på papiret kan blive gældende i hele EU.

Den afgørelse er et problem. For det er fundamentale og store sager det drejer sig om, og det handler om, hvor alvorligt vi tager os selv og vores værdighed, sådan som det også anes i ikke mindst sidste del af titlen på Jan Trzaskowskis bogudgivelse:

Your Privacy Is Important to Us! - Restoring Human Dignity in Data-Driven Marketing.

Selv siger han til K-NEWS, at bogen ”opsummerer mine sidste 12 års forskning”.

det er sindssyg vigtigt at finde ud af, hvor går grænsen - hvornår samtykke og hvornår kontraktbunden nødvendighed. For samtykke har den egenskab at du kan trække det tilbage

Jan Trzaskowski

Med bogen ser han på, hvad forskningen fortæller os, at juraen kan og skal, når vi indtænker alt det, vi i dag ved om, hvordan teknologi og psykologi kan bruges til at styre, nudge eller - om man foretrækker den skarpeste formulering - snyde os.

Trzaskowski formulerer det selv således:

”Hvad sker der, hvis vi tager den forskning, der er inden for psykologien, om hvordan vi træffer valg, og anvender den på juraen, og hvordan man designer teknologi - du ved, man kan jo designe teknologien på mange måder, så man får folk til at gøre det, man har lyst til.
Hvis man tager den forskning, blander juraen og tager grundrettighederne også - altså retten til privatliv og persondatabeskyttelse - hvad får vi så ud af det?”.

Hovedbudskabet fra ham efter bogarbejdet er, at vi sådan set allerede har lovgivningen på plads til at dæmme op for nogle af de uheldige konsekvenser, der er ved datadrevet markedsføring. Primært i GDPR og også i markedsføringsretten.

”Hovedtesen i bogen er, at hvis vi vurderer juraen med afsæt i grundrettigheder og med det kendskab, vi har til psykologi og teknologi, så burde databeskyttelsesretten blive fortolket på en måde, så der er store grænser for, hvad man kan gøre med datadrevet markedsføring.”

Vi tillader os at kondensere ovenstående til sætningen: Databeskyttelsesretten burde blive fortolket, så der er snævrere grænser, end det i dag er tilfældet.

Superprofilering på forkert grundlag

Man kan jo ikke rigtig høre det, hvis man siger det højt, men datadrevet markedsføring rimer helt gevaldigt på Facebook.
Og det er nemt at se det, hvis du kigger på, hvor veltimede de fleste annoncer er, der bliver pushet til dig og alle andre på Facebook.

Det sammenholdt med firmaets overskud: I tredje kvartal 2021 steg omsætningen 35 procent til 186 milliarder kroner og gav en overskudsstigning på 17 procent, der primært skyldes højere indtægt på reklamer.

Så gode er Meta i dag til at profilere os alle sammen ud fra de data, vi har givet dem tilladelse til at bruge.

Men tilladelsen til at høste de data fra hver enkelt bruger er indhentet - mener Jan Trzaskowski - på et forkert og ikke acceptabelt grundlag.

At den høst overhovedet kan lade sig gøre - og har kunne lade sig gøre siden GDPRs indførsel - skyldes, at Facebook er særdeles løst reguleret i forhold til, hvad der reelt - ifølge Jan Trzaskowskis hovedtese - er muligt inden for gældende lovgivning.

Sådan ser virkeligheden ud.

Og forrest i kampen for den aktuelle juridiske virkelighed, der er ude af synk med det teknologiske, psykologiske og juridiske anno 2022, har det irske datatilsyn altså stillet sig med deres administrative afgørelse i oktober 2021.

Af samme årsag ventede CBS-professoren på afgørelsen.

”Jeg har den her afgørelse med i bogen, for den rører noget helt centralt. Afgørelsen der jo er truffet af de administrative myndigheder i Irland”,

svarer Jan Trzaskowski i forlængelse af et spørgsmål om, hvorfor det var vigtigt at vente med bogens færdiggørelse.

Altså har han ventet på at der kom en afgørelse fra det irske datatilsyn i den sag mod Facebook, som Max Screms var med til at starte i 2018.

Og altså ventetid, der har været noget længere end de ellers normale aftalte sagsbehandlingstider i den her type sager under one-stop-shop-proceduren, som vi på K-NEWS tidligere har beskrevet i en artikel under overskriften 'Datatilsyn anklages for korruption af Max Schrems i Facebook-sag'.

”De har været knap 3 ½ år undervejs med noget som er sindssygt vigtigt. Når vi taler om tidsfrister, så er det jo interessant, at i andre sammenhænge taler man om sagsbehandlingstider på 2-3 måneder. Og i det lys er 3 år noget langt. Men der kan sagtens være gode grunde til, at det har taget lang tid.”

Og gode grunde kan selvfølgelig også have flere fædre og mødre.

”Altså man kan jo godt have en fornemmelse af, at det, at Facebook og en lang række andre techvirksomheder ligger i Irland, (har europæisk hovedsæde i Irland, red.) har Irlands interesse. Så hvis ikke det kan undgås, at det bliver kendt ulovligt, så kan man da i hvert fald trække det ud,” siger Jan Trzaskowski om den irske version af  datatilsynet.

En myndighed i Irland, der i øvrigt i mange år er blevet joket om både i flere kritiske medier, og - som professoren også fortæller - på faglige konferencer. Joket om som en myndighed, der har været synligt ressourcemæssigt underprioriteret og dermed langt fra vægtklassen med de teknologivirksomheder, de skal føre tilsyn med.

Og det irske datatilsyn er også mål for andet end spottende jokes.

Udsnit fra Meta's mobilside, hvor de under forskellige overskrifter beskriver bl.a. Facebooks tjenestevilkår.

Hos den europæiske ombudsmand er i november lagt en klage over Kommisionens manglende handling overfor Irlands GDPR-håndtering.

Det er den irske ngo ICCL, der har afleveret klagen. ICCL, der arbejder for civile friheds- og menneskerettigheder, og blandt sine stiftende personer har Mary Robinson, senere præsident i Irland og Menneskerettighedskommisær i EU, har forud for klagen blotlagt, at stort set alle sager med alvorlig betydning på tværs af grænserne i EU forbliver uløst i den irske administration.

Det gælder ifølge ICCL for 98% af de større sager med cross-border-relevans.

Og, som de skriver i deres udmelding 29.november, så længe Kommissionen tillader den irske mangel på handling, er hele EU paralyseret, når det handler om GDPR og sager med Google, Facebook, Microsoft, Apple og andre store techvirsomheder.

Et kort uddrag fra 29.novembers ICCL-hjemmeside lyder:

'As a result, EU enforcement against Google, Facebook, Microsoft, Apple, and other Big Tech is paralysed by Ireland’s failure to deliver draft decisions on cross-border cases. The Commission, as the guardian of the treaties, is responsible for ensuring that Member States uphold EU law. Article 258 of the Treaty on the Functioning of the European Union gives the European Commission the power to take Member States that fail to do so to the European Court of Justice.

Vejen til den irske afgørelse

Men hvad er det Facebook har gjort? Kort fortalt:

Få dage inden GDPR trådte i kraft i 2018 gennemførte de den ændring, at samtykke blev erstattet af en kontraktuel aftale.

Max Schrems, velkendt privacy-aktivist, havde hurtigt fokus på ændringen, der reelt blev gennemtrumfet i 2018, uden reel valgmulighed for brugerne, af Facebook overfor deres dengang 2,2 brugere. Og Schrems gik på barrikaderne med det samme, da han med sin organisation NOYB (forkortelse for Non Of Your Business) ved det østrigske datatilsyn rejste en sag på vegne af en enkelt borger.

Som det er aftalt i EU-regi er der er en one-stop-shop procedure, og den sendte den NOYB-støttede sag til datatilsynet i Irland. Det giver god mening, at ’lead’ i one-stop-proceduren bliver lagt hos det land, der er tættest på den virksomhed, som sagen omhandler - sprogligt, kommunikativt, arbejdsgange frem og tilbage taget i betragtning. Og ja, Facebook har jo som flere andre amerikanske techfirmaer
til huse i netop det EU land.

I oktober 2021 kom så udkastet til afgørelsen, draft decision, efter mere end tre års ventetid.

Afgørelsen fra den irske myndighed stempler noget af det Facebook gennemførte i 2018 som en alvorlig krænkelse af GDPR og giver en bøde, men giver samtidig en blåstempling af firmaets ageren.

As a result, EU enforcement against Google, Facebook, Microsoft, Apple, and other Big Tech is paralysed by Ireland’s failure to deliver draft decisions on cross-border cases

ICCL-udtalelse ifm deres klage til European Ombudman

Jan Trzaskowski detaljerer, hvad den Facebook-ageren er og efterlader ingen tvivl om, hvorfor den i hans øjne er på den forkerte side af grænsen.

”For at behandle personoplysninger, skal du både have et legitimt formål, og du skal have en behandlingshjemmel. Hjemlen kan være samtykke, men den kan også være kontraktbunden nødvendighed. Og det er sindssyg vigtigt at finde ud af, hvor går grænsen - hvornår samtykke og hvornår kontraktbunden nødvendighed. For samtykke har den egenskab at du kan trække det tilbage.”

Og, tillad os igen at parafrasere, det var uklarheden omkring den grænse Facebook var dygtige til at se og udnytte inden GDPR trådte i kraft.

Så i 2018 - ganske kort inden GDPR rullede genne Europa - stillede Facebook altså alle sine brugere overfor valgene: A) Forlad platformen eller B) forbliv bruger hos os og sig ja til, at det er kontraktuelt nødvendigt for det, vi leverer til dig, at vi må bruge dine data.

Men det kontraktuelt nødvendige er der ifølge blandt andre Jan Trzaskowski ikke belæg for.

For at forklare den konklusion skal der ses på virksomhedens brug af data til forskellige formål. Det ene formål - dit som bruger - forudsætter klart, at du giver adgang til private data. Men det andet formål - nemlig firmaets annoncesalgsforretning - bør anses som uafhængigt af det førstnævnte.

”Facebook er dels en socialmedieplatform, og så sælger de annoncer. Når du skriver noget til dine venner, og det at du er venner med dem, er noget de sagtens kan bruge i deres markedsføring. Og de siger, at det er nødvendigt for at opfylde kontrakten."

Og her kommer så Jan Trzaskowski afgørende men.

"Men det er jo to forskellige formål. Og det, der så er spørgsmålet, er, om de kan bruge kontraktbunden nødvendighed til begge dele. Er det virkelig nødvendigt at bruge oplysninger i det her omfang til markedsføringsformål, til opfyldelse af den kontrakt Facebook har lavet med deres brugere? Svaret på det er jo åbenbart, at det er det ikke.”

Kæmpe udfordring for forretningsmodellen

Jan Trzaskowski argumenterer i sin bog for, at Facebook ikke kan tillade sig at gøre det, de gør, og at myndighederne ikke skal tillade det. Men hvordan det ender, ved vi ikke endnu, for som han - selvfølgelig - siger.

”Det er jo jura, så vi skal finde ud af, hvad domstolene siger til det.”

Og det, der skal afklares, er ikke kun alvor for al ’værdigheden’ hos alle os brugere af Metas produkter.

”Det et helt centralt spørgsmål, fordi det er jo en kæmpe udfordring af Facebooks forretningsmodel, hvis de skal have samtykke. Samtykket skal være granuleret på de forskellige formål. Og hvis det er samtykke, så skal du som borger kunne trække samtykke tilbage til at gælde bare en af delene.”

Dermed henvist til de to forskellige formål A han tidligere artiklen definerer - som socialt medie for dig og som markedsføringsspiller for forretningen.

Og blot for at skære det helt ud i pap:

Det er åbenlyst en kontraktlig nødvendighed, at lade Facebook behandle oplysninger om dig og hvem du er forbundet med, for at du kan skrive til - være i forbindelse med - vedkommende.

Men det er i al markedsføringen, hvor andre, som du ikke har forbindelse til, vil i forbindelse med dig, at det kontraktuelle krav er skudt forbi.

Firmaer, annoncører, køber sig hos Facebook/Meta adgang til dig, ud fra hvad du har liket de sidste ti år, hvor meget tid du har brugt på hvad, hvem du er venner med, hvad de kan lide at bruge tid på osv osv.

”Hele ideen er, at det (GDPR) skal beskytte vores personoplysninger, og det er os, der skal være - langt hen ad vejen - i kontrol. Dvs vi kan sige nej tak, hvis det ikke er nødvendigt for at opfylde en aftale. Og her har du ikke noget reelt valg. Det er mit argument, at det er både ikke nødvendigt, og det er ret indgribende i vores privatsfære, at markedsføring bliver målrettet. Det er simpelthen ikke nødvendigt.”

Her lægger Jan Trzaskowski sig tæt på den udvikling, der arbejdes på på EU-plan, når det handler om målrettet markedsføring. Det vil der blive reguleret kraftigt imod.

Men noget af det første, vi kommer til at se, er altså ifølge Jan Trzaskowski, at den irske administrative afgørelse bliver afvist af det Europæiske Data Protection Board (EDPB).

”Lige på den her, der forventer jeg - som jeg også har skrevet i bogen - at afgørelsen bliver omstødt. Men igen, vi ved det ikke med sikkerhed, men det strider imod EDPBs egne retningslinjer, så det tyder på, at det bliver omstødt”

det er jo en kæmpe udfordring af Facebooks forretningsmodel, hvis de skal have samtykke

Jan Trzaskowski

Han forventer altså, at udkastet fra det irske datatilsyn bliver afvist som en juridisk transeuropæisk myndighedsafgørelse. Og derefter bliver det ændret. Hvad enten det sker med afsæt i stor modstand fra andre landes tilsyn, eller det bliver EDPB, der trækker i håndbremsen.

Og så kommer næste runde. Eller som Jan Trzaskowski afrunder.

”EDPB skal nu tage stilling og sender deres afgørelse til det irske tilsyn, som de så skal følge. Og så har Facebook jo så mulighed for at prøve det ved domstolene. Så må vi se om der går lidt mere tid med det.”

Det danske datatilsyn har på K-NEWS forespørgsel ingen kommentar til, hvordan Danmark stiller sig overfor udkastet. Udkastet kom og blev sendt til EDPB i oktober, der normalt har to måneder til tage stilling, men den tid kan forlænges hvis det er en kompliceret sag.

”Og det er det jo nok det her, fordi der er ret meget på spil”,

spår Jan Trzaskowski endnu en gang.