Datatilsynet i Hamburg (HmbBfDI) kom tirsdag denne uken med en ordre som med umiddelbar virkning forbyr Facebook Ireland Ltd å utføre egen prosessering av persondata hentet fra meldingstjenesten Whatsapp. Dette skriver tilsynet i en engelskspråklig pressemelding.
Datatilsynet i Hamburg har jurisdiksjon over Facebook i Tyskland fordi Facebooks tyske hovedkontor ligger i nettopp Hamburg.
Facebook kjøpte Whatsapp-selskapet i 2014. Da ble det i hvert fall fra Whatsapps side lovet at en betingelse for oppkjøpet var at ingen brukerdata skulle deles mellom Whatsapp og Facebooks daværende tjenester. Godt personvern var blant de viktigste egenskapene til Whatsapp.
WhatsApp snur – vil ikke lenger «tvinge» brukere til å godta de nye vilkårene
Ikke første gang
Mye vann har rent i sjøen siden den gang, og allerede i 2016 kom Hamburgs datatilsyn med en lignende ordre som nå. Den ville Facebook den gang anke.
Noe av det siste som har skjedd når det gjelder Facebooks datainnsamling fra Whatsapp, er at brukerne av tjenesten tidligere i år måtte godta nye brukervilkår for fortsatt å kunne bruke tjenesten. I brukervilkårene må brukerne gi Whatsapp tillatelse til å dele brukerdata med Facebook med datterselskaper.
I utgangspunktet måtte brukerne akseptere de nye betingelsene innen den 8. februar, ifølge HmbBfDI er det midten av mai som nå er fristen. Det er disse endringene i brukerbetingelsene som har fått tilsynet til å ta opp saken på nytt. Tilsynet frykter at Facebook vil bruke dataene til markedsføringsformål og i forbindelse med direkte annonsering, i tillegg til eksisterende formål som produktforbedring og analyse.
– Villedende og selvmotsigende
Hamburgs datatilsyn mener at innholdet i de nye betingelsene både er villedende og selvmotsigende, og at det ikke går klart fram hvilke konsekvenser et samtykke vil ha for brukerne. Fordi fortsatt bruk av Whatsapp-tjenesten avhenger av samtykke, anses ikke samtykke som frivillig, og heller ikke informert. Ikke minst gjelder dette overfor mindreårige.
I tillegg mener tilsynet blant annet at Facebook mangler juridisk grunnlag for egen prosessering av data fra Whatsapp.
Alt dette kan være brudd på den europeiske personvernforordningen, GDPR. Ifølge tilsynet kommer rettighetene til brukerne foran interessene Facebook måtte ha for å gjøre slik prosessering.
– Facebook jobber med en løsning for å analysere krypterte meldinger
Frykter påvirkning av valg
– Hensikten med ordren er å sikre rettighetene og friheten til de mange millioner brukerne som samtykker til betingelsene på tvers av Tyskland. Målet er å hindre ulemper og skade forbundet med en slik svart-boks-prosedyre. Dataskandalene i de siste årene, fra «Cambridge Analytica» til nylig avslørte datalekkasjer som berørte mer enn 500 millioner Facebook-brukere, viser omfanget og truslene ved masseprofilering, sier Johannes Caspar, som leder Hamburgs datatilsyn, i pressemeldingen.
– Dette berører fundamentale rettigheter og også muligheten for å påvirke velgeres avgjørelser for å manipulere demokratiske beslutningsprosesser. Med nærmere 60 millioner brukere av Whatsapp (i Tyskland, journ. anm.), er faren desto mer konkret i lys av de kommende, føderale valgene i Tyskland i september 2021, som vill skape ønsker blant deler av Facebooks annonsekunder om å påvirke velgere, fortsetter Caspar.
Skal bringes opp på europeisk nivå
Ordren som nå er utgitt, er et resultat av nødprosedyrer. Derfor har den bare tre måneders varighet. Datatilsynet i Hamburg legge saken fram for European Data Protection Board (EDPB), hvor også Norge er medlem, med mål om å oppnå en bindende beslutning på europeisk nivå.
Facebook og Whatsapp er naturligvis ikke enige med Hamburgs datatilsyn. En talsperson for Whatsapp sier til BBC News at datatilsynet helt har misforstått hensikten og effekten av de oppdaterte betingelsene, og at det derfor ikke har noe juridisk grunnlag for forbudet.
– Vi forblir fullt engasjert i å levere sikker og privat kommunikasjon til alle, sier talspersonen.
Ikke rett frem å skrape data