оплаквания: Бизнес моделът на Meta е обявен за незаконен в ЕС според WSJ. Facebook, Instagram и WhatsApp вече не могат да пускат персонализирани реклами без съгласието на потребителя
Както се съобщава от The Wall Street Journal, EDPB е решил, че Meta не може да принуждава потребителите да се съгласяват с персонализирани реклами. През май 2018 г., когато GDPR влезе в сила в ЕС, Meta Ireland Ltd. смяташе, че може да "заобиколи" изискването за получаване на съгласие от потребителите, като просто добави разпоредба в общите условия. На 25 май 2018 г. организацията за цифрови права noyb подаде жалби до съответните органи за защита на данните (ОЗД). Сега, 4,5 години по-късно, Европейският комитет по защита на данните (ЕКЗД) установи, че предполагаемото "заобикаляне" на GDPR от страна на Meta е незаконно. EDPB също така отхвърли становището на Ирландската комисия за защита на данните (DPC), която преди това застана на страната на Meta, след като й отне четири години да разследва случая.
- Ексклузивен доклад на Wall Street Journal
- Оригинални жалби от 25 май 2018 г
- Предистория на одобрението на DPC за "заобикаляне на съгласието"
- Обща информация за това как КЗД е притискала ЕЗПД в интерес на Meta
- Насоки на ЕНОП 2/2019 относно член 6, параграф 1, буква б) от ОРЗД
Ключови факти. Ето основните факти:
- Настоящата информация се основава на репортаж на Wall Street Journal, според който EDPB е"постановил, че правото на ЕС за защита на личните данни не позволява на платформите Meta, като Instagram и Facebook, да използват своите условия за ползване като оправдание за разрешаване на такава реклама"
- Това решение се основава на жалби, подадени от noyb на 25 май 2018 г., в деня, в който GDPR започна да се прилага.
- EDPB издаде решение, с което изисква от ирландския DPC (регулаторният орган за Meta в ЕС) да издаде окончателно решение в рамките на един месец.
- Решението на EDPB не е насочено към страните по процедурата, а към ирландския DPC.
- По този начин EDPB отменя предишното проекторешение на ирландския DPC, в което се изразява мнение, че заобикалянето на GDPR от Meta е законно.
- Решението на EDPB изисква Meta да не може да използва лични данни за реклами въз основа на предполагаем "договор". Поради това потребителите трябва да разполагат с опция за даване на съгласие с "да" или "не".
- Решението на EDPB не забранява други форми на реклами (като контекстуални реклами, основани на съдържанието на страницата).
- Самото решение на EDPB не беше публикувано, но ще бъде публикувано заедно с окончателното решение на КЗД през януари 2023 г.
- ЕДПБ поиска и значителна глоба, като точният ѝ размер все още не е известен.
Мета искаше да "заобиколи" съгласието. ОРЗД допуска шест правни основания за обработване на данни, едно от които е съгласието съгласно член 6, параграф 1, буква а). Meta се опита да заобиколи изискването за съгласие за проследяване и онлайн рекламиране, като се аргументира, че рекламите са част от "услугата", която тя дължи по договор на потребителите. Предполагаемата смяна на правното основание се е случила точно на 25 май 2018 г. в полунощ, когато GDPR започна да се прилага. Така наречената "договорна необходимост" по член 6, параграф 1, буква б) обикновено се разбира тясно и би позволила например на онлайн магазин да препрати адреса на пощенска служба, тъй като това е строго необходимо за доставката на поръчката. Meta обаче е на мнение, че може просто да добави случайни елементи към договора (като персонализирана реклама), за да избегне възможността за даване на съгласие от потребителите с "да/не".
Макс Шремс:"Вместо да има опция "да/не" за персонализираните реклами, те просто преместиха клаузата за съгласие в общите условия. Това е не само несправедливо, но и очевидно незаконно. Не ни е известна друга компания, която да се е опитала да пренебрегне GDPR по такъв арогантен начин."
Очаква се значителна глоба. Освен цялостното спиране на персонализираните реклами, според WSJ EDPB е настоял за огромна глоба за Meta. В края на краищата, компанията е основала повечето търговски обработки на данни на правно основание, което е било ясно изключено от EDPB в изрични Насоки през 2019 г., което е довело до явно умишлени нарушения на закона. Досега на Meta вече са наложени глоби по GDPR в размер на повече от 1 млрд. евро. Meta трябва да плати тази глоба на ирландската държава.
Макс Шремс: "Тази процедура черпи много от ресурсите на нашето сдружение, финансирано с дарения. Делото вероятно ще стигне до съдилищата след това. Глобата обаче ще отиде в Ирландия - държавата, която е застанала на страната на Мета и е забавила процедурата повече от четири години."
DPC и Meta си сътрудничат в областта на "байпаса". В хода на процедурата Meta се позовава на десет поверителни срещи с ирландския DPC, на които се твърди, че DPC е позволил на Meta да използва този "байпас". По-късно стана ясно, че DPC дори се е опитал да повлияе на съответните насоки на EDPB в интерес на Meta. Въпреки това другите европейски ДЗД отхвърлиха становището на DPC още през 2018 г. и отново в окончателното решение на EDPB. Делото отне повече от 4,5 години и доведе до стотици страници доклади и становища, въпреки че делото се отнасяше до един доста прост правен въпрос.
Макс Шремс:"Това дело е за един доста прост правен въпрос. Въпреки бавната процедура, ние все пак сме доволни от решението на EDPB."
Последица: няма персонализирани реклами. Решението означава, че Meta трябва да позволи на потребителите да разполагат с версия на всички приложения, която не използва лични данни за реклами. Решението все пак ще позволи на Meta да използва нелични данни (като например съдържанието на дадена история) за персонализиране на реклами или да иска от потребителите съгласие за реклами чрез опция "да/не". Потребителите трябва да могат да оттеглят съгласието си по всяко време и Meta не може да ограничава услугата. Макар че това ще ограничи драстично печалбите на Meta в ЕС, то няма да забрани напълно рекламите. Вместо това решението ще постави Meta на същото ниво като други уебсайтове или приложения, които трябва да предоставят на потребителите опция "да/не".
Макс Шремс:"Това е огромен удар върху печалбите на Meta в ЕС. Сега хората трябва да бъдат питани дали искат данните им да бъдат използвани за реклами или не. Те трябва да имат отговор "да или не" и да могат да променят мнението си по всяко време. Решението също така гарантира равнопоставеност с други рекламодатели, които също трябва да получат съгласие за използване на данните."
Следващи стъпки. Решението на EDPB е предадено на ирландския DPC. След това решението трябва да бъде връчено на Meta в Ирландия и на noyb в Австрия в рамките на един месец (така че през януари 2023 г.). След това Meta може да обжалва решението, но шансовете за спечелване на такова обжалване са минимални след решението на EDPB. В Съда на ЕС (СЕС) също има две подобни дела относно байпаса на съгласието на Meta, които могат да решат въпроса и всички обжалвания завинаги. Потребителите могат също така да предприемат действия във връзка с незаконното използване на техните данни през последните 4,5 години.