– Det norske Datatilsynet er en av de små aktørene som faktisk gjør noe, sier personvernsaktivist Max Schrems til NRK.
Nylig innførte Datatilsynet daglige bøter til Meta, som eier Facebook og Instagram, på én million kroner.
Den østerrikske juristen har blitt et kjent fjes i personvern- og IT-miljøet for sin årelange kamp mot overvåking. Derfor var han på plass under den årlige sikkeherhetsfestivalen i Lillehammer.
Schrems var den første som vant en europeisk rettssak mot Facebook og leder i dag rettighetsorganisasjonen NOYB.
Samlet har han påført Meta mer enn 18 milliarder norske kroner i bøter.
Han roser Datatilsynets vedtak om å bøtelegge Meta.
Samtidig synes han det er bekymringsfullt at ikke flere av de europeiske datatilsynene følger i samme fotspor.
– På den ene siden er det veldig bra, men samtidig burde det også være et minstekrav. Vi burde forvente at alle de 24 europeiske datatilsynene gjør det samme, sier han.
Bakgrunnen er at Datatilsynet mener det er akutt at selskapet stanser sin bruk av personopplysninger til adferdsbasert markedsføring.
Ved å samle informasjon om hvor vi befinner oss, hva slags innhold vi bruker tid på og hva vi legger ut på Instagram og Facebook, kan Meta rette reklame mot oss som de tror vi har interesse for. Slik tjener teknologiselskapet store penger.
Det er denne praksisen Datatilsynet og flere aktører i EU de siste årene har reagert på.
Kan bli forbud i flere land
Meta har på sin side tatt Datatilsynet til Oslo tingrett i håp om å stanse bøtene.
Det norske Datatilsynet har mulighet til å be om at vedtaket behandles av Personvernrådet i EU (EDPB).
Dersom tilsynet vinner frem med sitt syn i EDPB, kan lignende vedtaket gjelde i hele EU. Det kan få store konsekvenser for Meta som hovedsakelig tjener penger på reklame.
– Vi holder fremdeles på å vurdere om vi skal gjøre dette, sier seksjonsleder Tobias Judin i Datatilsynet.
Han legger likevel til at det kan bli nødvendig.
– Dette er jo et europeisk problem, sier Judin.
De siste årene har EU pålagt Meta milliardbøter i flere omganger. Sist var i mai, da EU dømte Meta til en rekordbot på 14 milliarder norske kroner for misbruk av persondata i EU og USA.
Også denne har Meta anket.
– Meta mest ekstrem
Schrems mener Meta er mye verre enn mange andre teknologiselskaper fordi de er så økonomisk avhengige av å tjene penger på å samle inn data om oss.
– Apple har for eksempel ikke det samme behovet fordi deres hovedinntektskilde er produktene de selger. De tjener masse penger på hver telefon du kjøper fra dem og er dermed ikke så avhengige av å skvise ut det de kan av våre personopplysninger, påpeker Schrems.
Han mener Meta bevisst motarbeider europeisk lov med tenner og klør.
– Meta er de mest ekstreme av alle sammen. De hadde mottoet om å «bevege seg raskt og ødelegge ting». En av de store tingene de ønsker å ødelegge, er loven. Det er en kulturell greie i selskapet om at de vil være over loven, sier han og legger til:
– Den europeiske personvernforordningen er egentlig veldig streng, men teknologiindustrien ser på lovverket som absolutt galskap. De er grunnleggende uenige i hele loven, sier Schrems.
Meta: – Sikrer høye standarder for personvern
Meta har bedt Oslo tingrett om å stanse Datatilsynets vedtak. Det er foreløpig ikke kommet en avgjørelse etter den innledende rettssaken som var i forrige uke.
NRK har vært i kontakt med Meta og forelagt kritikken fra Schrems.
Talsperson Matthew Pollard påpeker at Meta de siste årene har gjennomgått og gjort store endringer i hvordan de behandler brukeres personvern og lagrer data.
– Vi samarbeider med myndigheter, beslutningstakere og eksperter for å sikre at vi følger høye standarder for personvern. Vi fortsetter også å utvikle personvernpraksisen og retningslinjer i tråd med at teknologi, lovverk og brukeres forventninger endrer seg, sier Pollard.
Meta sa også tidligere denne måneden at de fremover kun skal samle inn informasjon om brukere så lenge de selv takker ja til dette.
Etterlyser strengere tilsyn
Schrems mener Europa har strenge personvernregler på papiret, men at de ikke følges i praksis.
– Du kan beskytte selskapet ditt ved å velge et tilsyn som ikke gjør noe, sier Schrems om det irske tilsynet.
I likhet med Meta, har de fleste multinasjonale teknologiselskaper sitt europeiske hovedkontor i Irland. Det gjør landets datatilsyn (DPC) til det ledende tilsynet i nesten alle klagesaker mot store teknologiselskaper.
Schrems er ikke alene om kritikken av det irske tilsynet. Blant annet er noe av årsaken til at det norsk Datatilsynet innførte dagbøter mot Meta, at de mener irene jobber for sakte.
I desember i fjor konkluderte det irske tilsynet, i likhet med det norske, med at Meta ikke har lov til å bruke persondata til adferdsbasert reklame. Men de påla ikke Meta akutte tiltak.
– I praksis gjør de ingenting, sier Schrems.
Har bøtelagt for 2,5 milliarder euro
Det irske datatilsynet tibakeviser kritikken fra Schrems.
Pressesjef Graham X. Doyle påpeker at tilsynet har tatt en rekke grep og sikrer at teknologiselskapene får pålegg når de ikke følger personvernloven.
Til dags dato har det irske tilsynet bøtelagt brudd på personvernloven for til sammen 2,5 milliarder euro.
– Jeg mener det irske datatilsynets handlinger for å overholde personvernloven taler for seg selv, sier Doyle.