BREAKING: Meta (Facebook a Instagram) nesmí používat osobní údaje pro reklamu. Velká rána pro obchodní model společnosti Meta v Evropě v důsledku soudního sporu s Noybem . Pokuta pro společnost Meta se více než zdesetinásobila z 28 milionů eur na 390 milionů eur. Třetí případ týkající se aplikace WhatsApp v jednání.
Jak potvrdil irský DPC, Evropský sbor pro ochranu osobních údajů (EDPB) odmítl irský DPC a společnost Meta obcházet GDPR na základě stížností noyb proti společnostem Facebook a Instagram. Společnost Meta má nyní zakázáno obcházet GDPR prostřednictvím doložky v obchodních podmínkách. Meta musí získat "opt-in"" souhlas pro personalizovanou reklamu a musí uživatelům poskytnout možnost "ano/ne". Rozhodnutí o třetím paralelním případu týkajícím se aplikace WhatsApp je odloženo na polovinu ledna.
- Vysvětlující video o obcházení společnosti Meta (od prosince 2022)
- Původní stížnosti noyb z roku 2018
- Předchozí zpravodajství o prvních informacích o rozhodnutí EDPB (Reuters)
Klíčová fakta:
- Dnes bylo rozhodnuto o dvou stížnostech podaných společností noyb jménem rakouského a belgického uživatele dne 25. května 2018 (den, kdy začalo platit GDPR).
- Třetí stížnost na WhatsApp jménem německého uživatele byla podle e-mailu DPC odložena na polovinu ledna.
- Společnost Meta se pokusila "obejít" požadavek na souhlas podle GDPR přidáním doložky do podmínek pro reklamu.
- V prosinci 2022 EDPB zrušil předchozí návrh rozhodnutí irské DPC, která zastávala názor, že obcházení GDPR společností Meta bylo legální.
- Konečné rozhodnutí vyžaduje, aby společnost Meta nesměla používat osobní údaje pro inzerci na základě údajné "smlouvy". Uživatelům je proto třeba poskytnout možnost souhlasu ano/ne ("opt-in"), jinak Meta nesmí jejich údaje používat pro personalizovanou reklamu.
- Rozhodnutí nezakazuje jiné formy reklamy (například kontextové reklamy založené na obsahu stránky).
- Používání osobních údajů společností Meta bylo od května 2018 nezákonné.
- Pokuty pro Facebook a Instragram činí celkem 390 milionů eur. Lze očekávat další pokutu pro WhatsApp v souběžném řízení.
Společnost Meta chtěla GDPR "obejít". GDPR umožňuje šest právních základů pro zpracování údajů, jedním z nich je souhlas podle čl. 6 odst. 1 písm. a). Společnost Meta se pokusila obejít požadavek na souhlas se sledováním a online reklamou argumentem, že reklamy jsou součástí "služby", kterou smluvně dluží uživatelům. K údajné změně právního základu došlo přesně o půlnoci 25. května 2018, kdy GDPR vstoupilo v platnost. Takzvaná "smluvní nezbytnost" podle čl. 6 odst. 1 písm. b) je obvykle chápána úzce a umožňovala by např. internetovému obchodu předat adresu poštovní službě, protože je to nezbytně nutné k doručení objednávky. Společnost Meta však zastávala názor, že může do smlouvy přidat pouze nahodilé prvky (např. personalizovanou reklamu), aby se vyhnula možnosti souhlasu ano/ne pro uživatele.
Max Schrems:"Místo toho, aby měli možnost 'ano/ne' pro personalizovanou reklamu, prostě přesunuli ustanovení o souhlasu do smluvních podmínek. To je nejen nespravedlivé, ale také zjevně nezákonné. Nevíme o žádné jiné společnosti, která by se snažila ignorovat GDPR tak arogantním způsobem."
eUR na pokutách, DPC chtěla 380 mil 28 až 36 milionů. Kromě celkového zastavení personalizovaných reklam EDPB trvala na masivní pokutě pro společnost Meta. Společnost totiž založila většinu komerčních zpracování údajů na úmyslném porušování zákona. EDPB již v roce 2019 vydala v této věci Pokyny. Společnost Meta již dříve dostala v jiných případech pokuty za porušení GDPR ve výši více než 900 milionů eur. Pokutu dostane irský stát, nikoliv stěžovatel, noyb nebo EDPB. DPC již dříve v návrhu rozhodnutí(viz strana 87 zde) požadovala 28 až 36 milionů eur, což je pouze 10 % nyní pravomocného rozhodnutí EDPB.
Max Schrems: "Pokutu dostane Irsko - stát, který se postavil na stranu Mety a více než čtyři roky odkládal vymáhání. Proti tomuto případu se Meta pravděpodobně odvolá, což povede k dalším nákladům pro noyb."
DPC a Meta spolupracovaly a nechaly se přehlasovat EDPB. V průběhu řízení se Meta opírala o deset důvěrných schůzek s irskou DPC, na kterých DPC umožnila společnosti Meta tento "bypass" použít. Později vyšlo najevo, že se DPC dokonce snažilo ovlivnit příslušné pokyny EDPB v zájmu společnosti Meta. Nicméně ostatní evropské orgány pro ochranu údajů názor DPC interně odmítly v roce 2018, v Pokynech v roce 2019 a znovu v konečném rozhodnutí EDPB v prosinci 2022. Případ eskaloval na 4,5 roku se stovkami stran zpráv a podání, přestože se jednalo o poměrně jednoduchou právní otázku.
Max Schrems:"Tento případ se týká jednoduché právní otázky. Společnost Meta tvrdí, že k 'obchvatu' došlo s požehnáním DPC. DPC roky protahovalo řízení a trvalo na tom, že Meta může GDPR obejít, ale nyní bylo přehlasováno ostatními orgány EU. Celkově je to již počtvrté v řadě, kdy irské DPC bylo přehlasováno."
DPC vidí vítězství v otázce "transparentnosti"? V mediálním prohlášení DPC je klíčová otázka, zda Meta může zpracovávat údaje uživatelů pro účely reklamy, pohřbena menší debatou o transparentnosti, kde shledala porušení.
"Je poněkud ubohé, pokud DPC nyní tvrdí, že se ostatní orgány dohodly na menší otázce transparentnosti. přitom by stačilo změnit nějaký text na webových stránkách společnosti Meta. Jádro problému spočívalo v tom, že Meta více než čtyři roky nezákonně zpracovávala údaje uživatelů, DPC se zaštiťovala Metou a nechala se přehlasovat na úrovni EU."
Důsledek: žádné personalizované reklamy, menší zisky. Rozhodnutí znamená, že Meta musí do tří měsíců umožnit uživatelům verzi všech aplikací, která nepoužívá osobní údaje pro reklamy. Rozhodnutí by společnosti Meta stále umožňovalo používat neosobní údaje (například obsah příběhu) k personalizaci reklam nebo žádat uživatele o souhlas s reklamami prostřednictvím možnosti "ano/ne". Uživatelé musí mít možnost souhlas kdykoli odvolat a společnost Meta nesmí omezit službu, pokud se tak uživatelé rozhodnou. To sice výrazně omezí zisky společnosti Meta v EU, ale reklamy by to zcela nezakázalo. Místo toho rozhodnutí postaví společnost Meta na stejnou úroveň jako jiné webové stránky nebo aplikace, které musí uživatelům poskytnout možnost "ano/ne".
Max Schrems:"Je to obrovská rána pro zisky společnosti Meta v EU. Lidé nyní musí být dotázáni, zda chtějí, aby jejich údaje byly použity pro reklamy, nebo ne. Musí mít možnost volby 'ano, nebo ne' a mohou si to kdykoli rozmyslet. Toto rozhodnutí také zajišťuje rovné podmínky pro ostatní inzerenty, kteří rovněž potřebují získat souhlas s použitím údajů."
DPC cenzuruje rozhodnutí od stěžovatele a veřejnosti, čímž zajišťuje, že Meta a DPC kontrolují mediální narativ. Úžasným krokem dnes DPC informovalo noyb , že přestože je jedním ze dvou účastníků řízení, DPC rozhodnutí noyb nezveřejní. Jako důvod DPC náhle uvedlo údajnou "důvěrnost" rozhodnutí. Rozhodnutí by mělo být stěžovateli zpřístupněno později - možná i po uplynutí lhůty pro odvolání. To je v rozporu s předchozími informacemi DPC, že účastníci řízení obdrží rozhodnutí před jakýmkoli zveřejněním ze strany DPC.
Max Schrems:"Zrušení rozhodnutí EDPB je pro DPC velkou ranou, nyní se zřejmě snaží ovlivnit vnímání tohoto případu veřejností. Za deset let soudních sporů jsem se ještě nesetkal s tím, že by rozhodnutí bylo doručeno pouze jedné straně, ale druhé ne. DPC hraje velmi ďábelskou hru na vztahy s veřejností. Tím, že neumožňuje noyb nebo veřejnosti přečíst si rozhodnutí, se snaží společně s Metou utvářet narativ rozhodnutí. Zdá se, že spolupráce mezi Metou a irským regulátorem je živá a dobrá - navzdory tomu, že ji EDPB přehlasoval."
Další kroky: DPC žaluje EDPB, Meta se pravděpodobně odvolá. Očekává se, že Meta se proti rozhodnutí odvolá k irským soudům, ale šance na výhru takového odvolání jsou po závazném rozhodnutí EDPB minimální. Před Soudním dvorem EU (SDEU) probíhají také dva podobné případy týkající se souhlasu společnosti Meta s obchvatem, které mohou celou záležitost a všechna odvolání nadobro vyřešit. Na okraj DPC také oznámil, že může žalovat EDPB v související věci, neboť EDPB požadoval, aby DPC podnikl další vyšetřovací kroky ve věci Meta, a to nad rámec rozhodnutých stížností ze strany noyb. DPC se domnívá, že EDPB tyto pravomoci nemá, a pokusí se dosáhnout zrušení tohoto rozhodnutí. Uživatelé mohou rovněž podat žalobu kvůli nezákonnému využívání svých údajů za posledních 4,5 roku.
