Varför dataskyddsjurister dissar Metas betalversion

Meta (före detta Facebook) har efter beslut och domar runt om i EU/EES förbjudits att profilera användare för reklamsyften utan samtycke i EU. Detta hoppas Meta komma runt genom att införa en reklamfri betalversion av alla sina tjänster som alternativ till den vanliga gratisversionen, vilket ni kanske har märkt om ni har använt några av deras tjänster på sistone.

Metas tanke är att om man som användare väljer gratisversionen så samtycker man även till profilering för reklam och allt är frid och fröjd. ”Nä nä”, säger dataskyddsjuristerna, ”det håller inte! Det är ett villkorat samtycke och det är inte lagligt enligt GDPR”.

Hänger ni med? Nej, förstår det. Jag ska göra mitt bästa att försöka förklara alla juridiska vindlingar, men jag kommer även spekulera lite om vad jag tror kommer att hända framöver och hur det påverkar användare och annonsörer. Så häng med!

Är allt frid och fröjd nu efter att Meta lanserat betalversioner av alla sina tjänster i EU?

Nä nä, säger dataskyddsjuristerna.

Kommer de få rätt?

Jag ska börja med att säga att jag tror att dataskyddsjuristerna kommer att få rätt i att dissa Metas betalversion. Den löser inte problemet och det vet gissningsvis Meta, men de var tvungna att köpa sig lite tid. Hursomhelst, nu dyker vi in i detta!

Allt handlar om ”ändamål” och ”laglig grund

Vad är ett ändamål enligt GDPR?

Om vi ska koka ner soppan så handlar det först och främst om vilka personuppgifter som behöver behandlas för vilka ändamål? Raskt uppstår då frågan; hur definierar man ett ”ändamål”? I Meta-fallet kan vi förenkla lite och säga att det finns två huvudsakliga ändamål:

dataskyddsjurister dissar Metas betalversion. Avtalsändamål

1. För att kunna leverera tjänsten – alltså för att användaren ska kunna registrera ett konto och sina preferenser, skapa sitt nätverk av vänner, gå med i grupper, göra inlägg, se andras inlägg, gilla, kommentera, osv. Här ingår gissningsvis också behandlingar för Metas behov av ”profilera” användaren med algoritmer för att kunna prioritera vilka inlägg (alltså ej reklam) som ska exponeras i användarens flöde. Till exempel om användaren ofta gillar eller kommenterar en viss väns eller grupps inlägg så får inlägg från dessa högre prioritet. Vi kan kalla alla dessa behandlingar för ”Avtalsändamål”.

Marknadsföringsändamål

2. För att Meta ska kunna profilera och välja ut vilka användare som ska träffas av vilken reklam efter annonsörers beställningar av målgrupper. Dessa målgrupper baseras på uppgifter från användarens profil, användning av tjänsten och beteendedata som till exempel spårningsdata om hur länge en användare stannar på inlägg var sig de sedan agerar eller inte. Här ingår naturligtvis också externt data som webbplatsägare samlat in tillsammans med Meta med hjälp av ”Facebook-pixeln” på sina egna webbplatser. Detta för att annonsören ska kunna rikta annonser specifikt mot användare som tidigare besökt annonsörens webbplats (så kallad ”retargeting”) även på Metas plattformar. Alla dessa behandlingar kan vi kalla för ”Marknadsföringsändamål”.

Vad är en laglig grund?

Enligt GDPR måste det finnas en laglig grund för behandling av personuppgifter. Det här området är det som förvirrar oss lekmän allra mest så jag förenklar lite. I Metas fall kan vi begränsa oss till att det finns tre lagliga grunder som kan komma ifråga för ovanstående behandlingar:

  • För ingående eller fullgörande av avtal. Uppgifterna måste behandlas för kunna tillhandahålla en tjänst eller vara. I Metas fall skulle sannolikt behandlingarna under ”Avtalsändamål” kunna falla in här.
  • Berättigat intresse efter intresseavvägning. Denna lagliga grund innebär att ni som företag gör bedömningen att ert intresse för att behandla uppgifterna väger tyngre än personernas vars uppgifter ni behandlar, men ni kan inte hävda att behandlingen krävs för ett avtal. Enligt GDPR är marknadsföring ett sådant berättigat intresse, men det står även tydligt i artikel 21 att om en person säger nej till behandling för marknadsföringsändamål – inklusive profilering för detta – så måste man som företag upphöra med den behandlingen. Vi marknadsförare brukar kalla detta ”opt-ut”1.
  • Samtycke. Användaren säger aktivt OK till att personuppgifterna behandlas för ett tydligt beskrivet och avgränsat ändamål. Vi marknadsförare brukar kalla detta ”opt-in”. Ett samtycke för behandling av uppgifter för ett ändamål får inte innebära ett ”inbakat” samtycke också till ett annat ändamål. Enligt GDPR krävs inte samtycke regelmässigt för marknadsföringsändamål men beroende på vilka uppgifter som behandlas, hur många uppgifter, hur de samlas in (exempelvis genom spårning) och om det sker omfattande profilering så kan det krävas. I Metas fall har man konstaterat att den personuppgiftsbehandling som sker av användarna för marknadsföringsändamål är så omfattande, delvis består av uppgifter insamlade med hjälp av spårning och är mycket närgående att de inte kan hävda ett berättigat intresse som laglig grund utan den kräver samtycke.

Om man är duktig på att bena ut vilka behandlingar av vilka uppgifter som sker för vilka ändamål så är det betydligt enklare att bestämma laglig grund. På grund av den särskilda skrivningen avseende marknadsföring i GDPR så blir det extra viktigt att sortera ut vad som är marknadsföring och vad som är behandling för andra ändamål.

Nu börjar vi närma oss kärnan i dataskyddsjuristernas diss av Metas betalversion…

Att ”betala” med personuppgifter

I Sverige hetsar vi inte upp oss så mycket över att ”betala” för en gratistjänst genom att företaget som tillhandahåller tjänsten i utbyte får använda våra uppgifter för marknadsföringsändamål. Så länge de inte spammar oss med utskick eller att tjänsten blir helt hopplös att använda på grund av alla annonser så har vi inte så mycket emot lite reklam. Inom EU är vi dock ganska ensamma om denna inställning.

GDPR är dessutom tydlig på två punkter som är relevanta i Meta-fallet:

  • Vi som privatpersoner har alltid en ovillkorlig rätt att slippa att våra personuppgifter behandlas för marknadsföringsändamål om vi säger ifrån. Antingen genom ”opt-ut” eller genom att dra tillbaka ett samtycke.
  • Samtycken för flera olika ändamål får inte bakas ihop till ett – då är de inte giltiga.

Tillsammans innebär dessa två punkter att Metas försök att villkora användarnas samtycke till behandling av personuppgifter för marknadsföringsändamål med att överhuvudtaget kunna använda tjänsten utan att betala sannolikt kommer att bedömas som olagligt av tillsynsmyndigheter och slutligen EU-domstolen.

”Men det är väl ingen mänsklig rättighet att ha ett gratis Facebook-konto utan reklam?” tänker du kanske nu och det har du helt rätt i. Och då kommer vi till frågan om Meta måste behandla personuppgifter bara för att kasta in reklam i användarnas flöden? Nej, säger juristerna då. Det går bra ändå, menar de och i teorin har de rätt. Men i verkligheten då?

Juristernas målbild för Meta och dess konsekvenser

Nedan försöker jag sammanfatta det som jag uppfattar som juristernas målbild för Meta.

Dataskyddsjuristerna dissar Metas betalversion. Juristernas målbild för Meta.

I nuläget finns inte den inringade versionen av Metas tjänster eftersom de har villkorat samtycket, men låt oss slutligen spekulera lite kring följderna av att de blir tvungna efter nästa rond med Max Schrems och EU-domstolen att gå den här vägen.

Frågan är ju först och främst vilka annonsörer som skulle vilja betala för att Meta lite slumpmässigt ska kasta ut reklam i ett antal diverse anonyma användares flöden? Och vilka användare vill ha helt irrelevant reklam? Hur ska en annonsör tänka nu?

Jag förutser följande möjliga scenarios eller kombinationer av dem:

  1. Meta prissätter annonsering mot användare som inte samtyckt till personuppgiftsbehandling för marknadsföring väldigt lågt, eller till och med gratis, så att tjänsten blir olidlig att använda och användarna samtycker för att slippa irrelevant spammande, väljer betalversionen eller lämnar tjänsten.
  2. Ingen annonsör är intresserad av att betala för annonsering mot denna användargrupp varför ”Gratis utan samtycke” blir nästan lika reklamfri som betalversionen. Varför betala för något man kan få gratis resonerar användarna? Meta går i konkurs eller väljer att enbart erbjuda betalversionen.
  3. De flesta samtycker från början för de gillar tjänsten som den är, Metas omsättning sjunker lite men i övrigt fortsätter allt som vanligt.

Vad tror ni kommer att hända? Och vad kommer EU att vinna i alla dessa turer med Max Schrems vs de amerikanska drakarna? Börjar det inte bli lite tröttsamt?


  1. Till alla jurister som läser detta; jag vet att jag inte använder helt korrekta juridiska begrepp och jag vet att ”opt-in” och ”opt-ut” inte är riktigt samma sak som samtycke och berättigat intresse enligt GDPR. Men mitt fokus i detta blogginlägg är främst att förklara någorlunda begripligt för lagom initierade marknadsförare. ↩︎