Ирландската Комисия за защита на данните издаде окончателно решение относно незаконната обработка на потребителски данни от Meta за лична реклама. Ето линк за изтегляне и първо кратко резюме от noyb.
Решението на DPC ясно показва огромно несъгласие между ирландския DPC и EDPB.
- Решение на ДКП относно Facebook
- Решение на DPC относно Instagram
- Решение на Facebook EDPB
- Instagram Решение на EDPB
Голяма борба между DPC и партньорите от ЕС. От решението на DPC става ясно, че австрийските, германските, френските, италианските, нидерландските, норвежките, полските, португалските и шведските органи са повдигнали официални възражения срещу решението на DPC. По традиция обаче органите не повдигат официално възражения, ако е ясно, че въпросът вече е бил повдигнат от редица органи. КЗД дори не се погрижи да измени решението и да адаптира позициите си, а просто просто копира позицията на EDPB в предишното решение.
Макс Шремс:"Решението прилича на домашна работа, в която ученикът дори не се е погрижил да промени грешките, а просто е копирал поправките на учителя в текста."
Решението на ДКП може да не сложи край на делото. Изглежда, че решението също така не разглежда изцяло оплакванията на noyb, тъй като решението не обхваща въпроси като използването на лични данни за подобряване на платформата Facebook или за персонализирано съдържание. ЕДПБ също така поиска допълнителни разследвания. Освен това основният конфликт се състои в това, че съгласно австрийското или германското право жалбата определя обхвата на процедурата, ЕДПБ обаче счита, че съгласно ирландското право може да ограничи обхвата на жалбата. може да се наложи noyb да обжалва решението на тези основания.
Минимална глоба за действително нарушение на правата на потребителите? Един доста шокиращ елемент се отнася до размера на глобите. Докато EDPB настояваше за "значително по-висока" глоба, DPC взе решение за окончателните цифри. Докато КЗД наложи глоба на Facebook в размер на общо 150 млн. евро заради проблеми с прозрачността, КЗД глоби Meta само с 60 млн. евро за липсата на каквото и да е правно основание за обработката на данни на милиони европейски потребители в продължение на около пет години.
Макс Шремс:"Очевидно КЗД е по-загрижена да прецака потребителите по прозрачен начин, отколкото да не ги прецака изобщо."
Повече подробности в точките. Решението е разделено на различни раздели, в които се разглеждат различни въпроси, и на график, в който се разглеждат процедурни въпроси. Кратко обобщение на основните изводи можете да прочетете по-долу, като са посочени параграфите, в които можете да намерите точката в окончателното решение на Facebook. Възможно е да има леки разлики за решението за Instagram, но очакваме те да бъдат до голяма степен сходни.
Дали Meta може да използва съгласие (въпрос 1 от решението)
- КЗД се опитва да пренебрегне въпроса дали Meta умишлено подвежда потребителите, като просто казва, че това е въпрос на прозрачност (§ 2.19), следователно КЗД отхвърля, че не е разследвала изцяло първоначалната жалба (§ 2.20).
- EDPB установи, че КЗД"е трябвало да включи разглеждане на "[Facebook] операциите по обработване, категориите данни, които се обработват (включително да се идентифицират специалните категории лични данни, които могат да бъдат обработвани), и целите, за които те служат", за да определи напълно жалбата.
- КЗД продължава да пренебрегва основния въпрос на жалбите, а именно дали клаузите в условията де факто представляват клауза за скрито съгласие(falsa demonstratio). Вместо това DPC се присъединява към становището на Meta, че ако администраторът никога не е искал съгласие. Ако случаят е такъв, не може да има съгласие (§ 3.10) и следователно въпросът не трябва да се разследва, дори ако твърдението е, че Meta просто е преместила клауза за съгласие в условията.
- Фактът, че проучване сред 1000 потребители показва, че повече от 60% намират това за съгласие и по-малко от 2% смятат, че става въпрос за договор, непрекъснато се игнорира от ДКП. EDPB изтъква, че проучването е важна информация, която не е била взета предвид от КЗД и не е включена в проекта на решение.
- EDPB отмени оценката на DPC за това дали кликването върху "Приемам" на уебсайта Meta действително трябва да се оценява като "съгласие" по член 6, параграф 1, буква а) или "договор" по член 6, параграф 1, буква б) от ОРЗД.
- EDPB поиска от DPC да премахне всички заключения по "Въпроси 1" в решението (вж. § 3.26). Въпреки че КЗД продължава да запазва всички свои заключения на страници 15-21 в проекторешението (срещу позицията на EDPB), КЗД добавя един параграф в края на раздела, в който се казва, че (въпреки че запазва всички аргументи срещу становището на EDPB) тя "не прави никакви заключения по отношение на въпрос 1".
Ако Meta може да използва член 6, параграф 1, буква б) "договор" (въпрос 2 от решението)
- КЗД отказва да разследва всички операции по обработка, при които Meta се позовава на член 6, параграф 1, буква б), тъй като"не би било възможно жалбоподателят ... да поиска такава оценка". Вследствие на това Facebook така и не предостави списък на всички операции по обработване и съответното правно основание. Това може да е в нарушение на австрийското законодателство, където обхватът на жалбата е ясно, че е въпрос на жалбоподателя. Поради това КЗЛД проучи въпроса само на принципно ниво (§ 4.7), като се съсредоточи върху "поведенческата реклама". Това може да направи решението оспоримо, тъй като други форми на персонализация (като персонализация на съдържанието, подобряване на продукта и други подобни) или обработката на чувствителни лични данни съгласно член 9 от ОРЗД също бяха повдигнати, но не бяха разгледани от разследването и решението на КЗД.
- КЗЛД не вижда компетентност в тълкуването на това какво е "договор" и счита, че компетентността на КЗЛД е ограничена до ОРЗД (§ 4.13). Това е доста учудващо, тъй като определянето на това какво съдържа договорът е логична предпоставка за определяне дали обработването е "необходимо" за изпълнението на договора. noyb вече заяви, че неоценяването на договора е равносилно на трик да не се разглежда въпросът. КЗД"отхвърля по най-категоричен начин тези сериозни твърдения за недобросъвестност, непочтеност и друго незаконно поведение" от страна на noyb, когато договорната необходимост просто не е била разследвана от КЗД. КЗД не приема, че непроучването на това, което съдържа договорът, би било"отказ от правосъдие" (§ 4.16).
- В § 4.26 до 4.55 ДПК повтаря несъгласието между ДПК и ЕНОЗД, където ДПК казва, че не може да оценява съдържанието на договорите и би предпочел широко тълкуване, при което всичко, което е поставено в договора или общите условия, е "необходимо" съгласно член 6, параграф 1, буква б) от ОРЗД.
- Изглежда, че ПзД се е позовал на преюдициалните запитвания на СЕС по дела C-252/21 и C-446/21 относно фактическите констатации за използването на лични данни от Meta за реклама и други подобни, тъй като ДПК е отказал да проучи въпроса изцяло (стр. 37 и 38). Изглежда, че е налице сериозен процедурен проблем, тъй като ЕЗПД може просто да не разполага с фактически доказателства, за да вземе решение по цялата жалба, ако КЗД непрекъснато отказва дори само да разследва въпроса изцяло.
- След това КЗД просто копира решението на ЕНОП в проекта за решение на КЗД. EDPB подчертава:
- ЕДПБ до голяма степен отхвърля становищата на КЗД и подчертава, че проучването на noyb показва, че потребителите не възприемат това като договор, а като съгласие.
- EDPB казва също, че само защото Meta избира да реализира печалби чрез персонализирани реклами, това не ги прави "необходими", тъй като Meta може да пуска реклами и въз основа на контекст или други данни.
- EDPB счита, че основната цел, за която потребителят използва услугите на Meta, е комуникацията, а не персонализираните реклами.
- По мнение на ЕНОП позицията на КЗД и Meta би могла да насърчи и други оператори да използват член 6, параграф 1, буква б) като заобикаляне на изискването за съгласие.
- ЕДПБ се присъединява към становището на австрийските, германските, френските, италианските, нидерландските, норвежките, полските, португалските и шведските органи, че поведенческата реклама"обективно не е необходима за изпълнението на предполагаемия договор на Meta".
- След това, без никакъв допълнителен коментар, в § 4.56 КЗД установява (противно на всичко, което е твърдяла преди това), че"съгласно указанията на EDPB" тя установява,"че Facebook не е имал право да се позовава на член 6, параграф 1, буква б) от ОРЗД" за целите на поведенческото таргетиране.
Прозрачност на "заобикалянето"
- Досега КЗД е възприемала главно становището, че Meta просто е трябвало да направи (според КЗД иначе законното) заобикаляне на ОРЗД по-прозрачно. Това би означавало, че потребителите просто ще видят допълнителен изскачащ прозорец или нещо подобно, но не би попречило на Meta да злоупотребява допълнително с данните на потребителите. Липсата на прозрачност е запазена в решението и е обяснена в § 5.1 до § 5.77.
- ЕНОЗД обаче настоява, че това води и до нарушение на член 5, параграф 1, буква а) от ОРЗД, което на свой ред би означавало също, че личните данни на потребителите не е трябвало да бъдат обработвани.
- КЗЛД отново просто копира/вмъкна решението на EDPB в своето решение и добави един ред, в който казва, че според решението на EDPB трябва да направи тази допълнителна констатация.
Окончателните решения:
- EDPB поиска тримесечен срок за изпълнение на заповедта, считано от момента на връчване на заповедта на EDPB. Тя забранява на Meta да използва член 6, параграф 1, буква б), както е описано в заповедта на EDPB.
- DPC уточнява, че решението на EDPB трябва да означава, че "обработката" е ограничена до обработка само за целите на рекламата. Изглежда, че други аспекти на жалбата не са били разгледани от DPC, което само по себе си може да е незаконно.
- КЗД измени решението на EDPB, така че тримесечният срок да не тече от момента, в който решението на EDPB е било връчено на Meta (по някое време през декември), а от връчването на решението на КЗД (по някое време през януари) (вж. § 8.11). Това отклонение на КЗД от решението на EDPB изглежда незаконосъобразно.
- EDPB изразява принципно несъгласие с мнението на DPC относно глобата. Германският орган дори я нарече "контрафактна" (стр. 91). В същото време EDPB също така не е разполагал с доказателства, за да установи, че Meta е нарушила "умишлено" ОРЗД, както твърди шведският ДЗД.
- EDPB не определи конкретна глоба, а само изиска от ДЗД да има "значително по-висока" глоба.
- Страници от 100 до 153 са посветени на повторната оценка на увеличената глоба от страна на ДПК. Глобата е разделена на 80 млн. евро и 70 млн. евро за липса на прозрачност и едва 60 млн. евро във връзка с действителното незаконно обработване на лични данни на милиони потребители от ЕС по член 6, параграф 1, буква б) (§ 10.45).