Fortolkning af GDPR: Dataminimering og følsomme oplysninger ved Metas personaliserede reklamer (Schrems mod Meta)

Denne præjudicielle sag, indgivet af Oberster Gerichtshof (Østrig), omhandler lovligheden af Meta Platforms Irelands (tidligere Facebook Ireland) omfattende behandling af personoplysninger til brug for målrettet reklame i lyset af databeskyttelsesforordningens (GDPR) principper, specifikt dataminimering og forbuddet mod behandling af særlige kategorier af personoplysninger.

Sagsøgeren, Maximilian Schrems, en bruger og kendt aktivist, anfægtede Metas forretningsmodel. Modellen bygger på indsamling og sammenstilling af brugerdata fra både Facebook-platformen og eksterne tredjepartswebsites (via cookies, plugins og pixels – såkaldte »off Facebook-oplysninger«) for at skabe detaljerede profiler til personaliseret reklame.

Schrems gjorde gældende, at denne omfattende praksis tilsidesatte flere bestemmelser i GDPR. Tidligere dele af sagen vedrørte, om brugerens accept af de almindelige tjenestevilkår udgjorde et gyldigt retsgrundlag (Art. 6, stk. 1, litra a eller b), men i nærværende sag fokuserede de relevante, tilbageværende spørgsmål på:

• Om princippet om dataminimering (Art. 5, stk. 1, litra c)) tillader en dataansvarlig at sammenstille og behandle alle personoplysninger, der er indhentet fra tredjeparter, uden tidsbegrænsning til målrettet reklame (Det andet spørgsmål).
• Om en persons tydelige offentliggørelse af sin seksuelle orientering (følsom data) giver platformen ret til at behandle andre ikke-offentliggjorte oplysninger om samme følsomme kategori, indsamlet uden for platformen (Det fjerde spørgsmål).

Oberster Gerichtshof noterede sig, at Meta Platforms Ireland behandlede oplysninger, der gjorde det muligt at identificere følsomme emner som politisk overbevisning og seksuel orientering, selvom Schrems ikke havde angivet disse på sin Facebook-profil, og at platformen fortsat indsamlede »off Facebook-oplysninger«.

Domstolen fastslog, at den dataansvarlige, Meta Platforms Ireland, har en forpligtelse til at overholde databeskyttelsesforordningens principper kumulativt, og at den pågældende behandling i hovedsagen udgjorde et uforholdsmæssigt indgreb i de registreredes rettigheder.

Afgørelse vedrørende dataminimering

Domstolen konkluderer, at den udifferentierede og tidsmæssigt ubegrænsede indsamling og analyse af samtlige personoplysninger, som Meta har adgang til – inklusive »off Facebook-oplysninger« indhentet fra tredjeparter – med henblik på målrettet reklame, er i strid med princippet om dataminimering (GDPR artikel 5, stk. 1, litra c)).

• Den dataansvarlige er forpligtet til at begrænse indsamlingsperioden for personoplysninger til det strengt nødvendige.