Facebook bøtelagt med EUR 1,2 mill av det spanske datatilsynet

Facebook er bøtelagt med EUR 1,2 mill. av det spanske datatilsynet for å ha samlet inn informasjon fra brukerne uten å oppgi hvordan informasjonen skal benyttes. Det franske datatilsynet har gitt Facebook bøter på EUR 150.000 for tilsvarende forhold. 

Å informere brukerne tilstrekkelig om hvordan personopplysninger skal brukes, er et krav etter dagens regelverk, og blir et klart krav etter personvernforordningen (GDPR) og ny personopplysningslov. Bl.a. skal samtykke som brukerne gir være dekkende for det som opplysningene skal brukes til (ved at samtykke skal være informert). Videre følger det av GDPR artikkel 13 at brukeren skal opplyses om «formålene med den tiltenkte behandlingen av opplysningene». Er ikke brukeren informert er ikke samtykke gitt lovlig, og da foreligger det ikke noe lovlig grunnlag for behandling. Og er ikke brukeren informert om all bruk av opplysningene, så er det brudd på regelverket.

Dette er forhold som alle som samler inn personopplysninger etter både dagens regelverk og de nye reglene kommer må være klar over og være nøye på. Ellers kan det ilegges bøter.

Det fremgikk også av avgjørelsen fra det spanske datatilsynet at Facebook beholder informasjon om brukerne opp til 17 måneder etter kontoer ble slettet, som også er et klart brudd på regelverket.

Facebook vil imidlertid klage på avgjørelsen, og Facebook vant frem med en klage mot det belgiske datatilsyn i tilsvarende sak i fjor. Men det bør ikke være en sovepute for andre virksomheter om å være påpasselig med å informere brukerne tilstrekkelig og sørge for at samtykker er dekkende.

Dersom bøtene var gitt under de nye reglene i GDPR ville nok også bøtene vært vesentlig større enn de som er ilagt nå. Så det er spennende tider i møte for de som behandler personopplysninger.