Zákaz reklamy na Meta - rozhodnutí zveřejněno

Irský úřad DPC vydal konečné rozhodnutí o nezákonném zpracování uživatelských údajů společností Meta pro účely osobní reklamy. Zde je odkaz ke stažení a první rychlé shrnutí od noyb.

Z rozhodnutí DPC jasně vyplývá masivní neshoda mezi irským DPC a EDPB.

• Rozhodnutí DPC o Facebooku
• Rozhodnutí DPC o Instagramu
• Facebook Rozhodnutí EDPB
• Instagram Rozhodnutí EDPB

Velký boj mezi DPC a protějšky z EU. Z rozhodnutí DPC vyplývá, že rakouské, německé, francouzské, italské, nizozemské, norské, polské, portugalské a švédské orgány vznesly proti rozhodnutí DPC formální námitky. Tradičně však úřady námitky formálně nevznášejí, pokud je zřejmé, že věc již vznesla řada úřadů. DPC se ani nepostarala o změnu rozhodnutí a přizpůsobení svých stanovisek, ale prostě jen zkopírovala stanovisko EDPB do předchozího rozhodnutí.

Max Schrems:"Rozhodnutí se čte jako domácí úkol, kde se žák ani nestaral o změnu chyb, ale pouze opsal opravy učitele do textu"

Rozhodnutím DPC případ nemusí skončit. Zdá se také, že rozhodnutí se plně nevypořádává se stížnostmi noyb, protože se netýká záležitostí, jako je využití osobních údajů pro vylepšení platformy Facebook nebo pro personalizovaný obsah. EDPB rovněž požadovala další šetření. Základní rozpor navíc spočívá v tom, že podle rakouského nebo německého práva stížnost vymezuje rozsah řízení, DPC se však domnívá, že podle irského práva může rozsah stížnosti omezit. noyb se možná bude muset z těchto důvodů proti rozhodnutí odvolat.

Minimální pokuta za skutečné porušení práv uživatele? Poněkud šokující prvek se týká výše pokut. Zatímco EDPB požadovala "výrazně vyšší" pokutu, o konečných číslech rozhodla DPC. Zatímco DPC udělila Facebooku pokutu v celkové výši 150 milionů eur kvůli otázkám transparentnosti, Meta dostala od DPC pokutu pouze 60 milionů eur za to, že neměla žádný právní základ pro zpracování údajů milionů evropských uživatelů po dobu přibližně pěti let.

Max Schrems:"DPC se zjevně více zajímá o to, jak uživatele transparentně ojebat, než aby je neojebávala vůbec."

Další podrobnosti v odrážkách. Rozhodnutí je rozděleno na jednotlivé části, které se zabývají různými otázkami, a na rozvrh, který se zabývá procesními záležitostmi. Níže si můžete přečíst stručné shrnutí hlavních poznatků a odstavce, v nichž najdete daný bod v konečném rozhodnutí Facebooku. U rozhodnutí o Instagramu mohou být drobné rozdíly, ale očekáváme, že budou do značné míry podobné.

Může-li společnost Meta použít souhlas (otázka 1 rozhodnutí)

• DPC se snaží ignorovat otázku, zda Meta záměrně uvádí uživatele v omyl, tím, že jednoduše říká, že se jedná o otázku transparentnosti (§ 2.19), DPC proto odmítá, že by původní stížnost plně neprošetřila (§ 2.20).
• EDPB zjistil, že DPC"měl zahrnout zkoumání "[operací zpracování] ze strany Facebooku, kategorií zpracovávaných údajů (včetně určení zvláštních kategorií osobních údajů, které mohou být zpracovávány) a účelů, kterým slouží", aby stížnost plně posoudil.
• DPC nadále ignoruje hlavní otázku stížností, a sice zda se doložky v podmínkách de facto rovnají skryté doložce o souhlasu(falsa demonstratio). Místo toho se DPC připojil k názoru společnosti Meta, že pokud správce nikdy o souhlas nepožádal. V takovém případě nemůže jít o žádný souhlas (§ 3 odst. 10), a věc proto nemá být zkoumána, i když se jedná o tvrzení, že společnost Meta pouze přesunula doložku o souhlasu do obchodních podmínek.
• Skutečnost, že z průzkumu mezi 1 000 uživateli vyplývá, že více než 60 % z nich to považuje za souhlas a méně než 2 % za smlouvu, DPC neustále ignoruje. EDPB zdůraznil, že studie je důležitou informací, kterou DPC nezohlednila a nezahrnula do návrhu rozhodnutí.
• EDPB zrušil posouzení DPC ohledně toho, zda kliknutí na tlačítko "přijmout" na webových stránkách Meta mělo být skutečně posouzeno jako "souhlas" podle čl. 6 odst. 1 písm. a) nebo "smlouva" podle čl. 6 odst. 1 písm. b) GDPR.
• EDPB požadoval, aby DPC z rozhodnutí odstranil všechny závěry týkající se "otázek 1" (viz § 3.26). Zatímco DPC v návrhu rozhodnutí na stranách 15 až 21 nadále zachovává všechny své závěry (proti stanovisku EDPB), DPC na konec oddílu přidala jediný odstavec, v němž uvádí, že (navzdory zachování všech argumentů proti stanovisku EDPB) "neučinila žádné zjištění, pokud jde o otázku 1".

Pokud Meta může použít čl. 6 odst. 1 písm. b) "smlouva" (otázka 2 rozhodnutí)

• DPC odmítla prošetřit všechny operace zpracování, u nichž se Meta odvolává na čl. 6 odst. 1 písm. b), protože by"stěžovatel ... nemohl takové posouzení požadovat". Facebook následně nikdy nedodal seznam všech operací zpracování a příslušný právní základ. To může být v rozporu s rakouským právem, kde je rozsah stížnosti jednoznačně věcí stěžovatele. DPC proto věc prošetřil pouze v principiální rovině (§ 4.7) se zaměřením na "behaviorální reklamu". To může činit rozhodnutí napadnutelným, neboť byly vzneseny i další formy personalizace (jako personalizace obsahu, vylepšení produktu a podobně) nebo zpracování citlivých osobních údajů podle čl. 9 GDPR, kterými se však DPC při šetření a rozhodování nezabýval.
• DPC nespatřuje žádnou pravomoc ve výkladu toho, co je "smlouva", a domnívá se, že pravomoc DPC je omezena na GDPR (§ 4.13). To je docela zarážející, protože určení toho, co smlouva obsahuje, je logickým předpokladem pro určení, zda je zpracování "nezbytné" k plnění smlouvy. noyb již dříve uvedl, že neposuzování smlouvy se rovná triku, jak se věcí nezabývat. DPC"důrazně odmítá tato závažná obvinění z mala fides, nepoctivosti a jinak nezákonného jednání" ze strany noyb, když DPC smluvní nezbytnost jednoduše nezkoumala. DPC nesouhlasí s tím, že by nezkoumání toho, co smlouva obsahuje, bylo"odepřením spravedlnosti" (§ 4.16).
• V § 4.26 až 4.55 DPC opakuje neshodu mezi DPC a EDPB, kdy DPC uvádí, že nesmí posuzovat obsah smluv a upřednostňoval by široký výklad, kdy cokoli, co je vloženo do smlouvy nebo obchodních podmínek, je "nezbytné" podle čl. 6 odst. 1 písm. b) GDPR.
• Zdá se, že EDPB se opírá o odkazy Soudního dvora EU ve věcech C-252/21 a C-446/21 týkající se skutkových zjištění ohledně používání osobních údajů společností Meta pro reklamu a podobně, neboť DPC odmítl tuto záležitost plně prozkoumat (strana 37 a 38). Zdá se, že zde existuje zásadní procesní problém, neboť EDPB může jednoduše postrádat věcné důkazy pro rozhodnutí o celé stížnosti, pokud DPC neustále odmítá věc byť jen plně prošetřit.
• DPC pak pouze kopíruje rozhodnutí EDPB do návrhu rozhodnutí DPC. EDPB zdůrazňuje:
  • EDPB z velké části odmítá názory DPC a zdůrazňuje, že studie noyb ukazuje, že uživatelé to nevnímají jako smlouvu, ale jako souhlas.
  • EDPB také uvádí, že jen proto, že se Meta rozhodla dosahovat zisku prostřednictvím personalizovaných reklam, neznamená to, že jsou "nezbytné", protože Meta by mohla také spouštět reklamy na základě kontextu nebo jiných údajů.
  • EDPB zastává názor, že hlavním účelem, pro který uživatelé využívají služby společnosti Meta, je komunikace, nikoli personalizované reklamy.
  • Podle názoru EDPB by postoj DPC a společnosti Meta mohl povzbudit i další provozovatele, aby využili čl. 6 odst. 1 písm. b) jako obcházení požadavku na souhlas.
  • EDPB se připojuje k názoru rakouských, německých, francouzských, italských, nizozemských, norských, polských, portugalských a švédských orgánů, že behaviorální reklama"objektivně není nezbytná pro plnění údajné smlouvy společnosti Meta".
• Bez jakéhokoli dalšího komentáře pak DPC v § 4.56 konstatuje (proti všemu, co tvrdila předtím), že"podle pokynů EDPB" shledává,"že Facebook nebyl oprávněn dovolávat se čl. 6 odst. 1 písm. b) GDPR" pro účely behaviorálního cílení.

Transparentnost "obcházení"

• DPC dosud zastával především názor, že Meta měla pouze zprůhlednit (podle názoru DPC jinak legální) obcházení GDPR. To by znamenalo, že by se uživatelům pouze zobrazilo další vyskakovací okno nebo něco podobného, ale nezabránilo by to společnosti Meta v dalším zneužívání údajů uživatelů. Netransparentnost je v rozhodnutí zachována a vysvětlena v § 5.1 až § 5.77.
• EDPB však trval na tom, že to rovněž vede k porušení čl. 5 odst. 1 písm. a) GDPR, což by následně rovněž znamenalo, že osobní údaje uživatelů neměly být zpracovávány.
• DPC opět pouze zkopírovala/vložila rozhodnutí EDPB do svého rozhodnutí a přidala jeden řádek s tím, že podle rozhodnutí EDPB musí učinit toto dodatečné zjištění.

Konečná rozhodnutí:

• EDPB požadovala tříměsíční lhůtu pro splnění příkazu od okamžiku doručení příkazu EDPB. Zakazuje společnosti Meta používat čl. 6 odst. 1 písm. b), jak je popsáno v příkazu EDPB.
• DPC upřesnil, že rozhodnutí EDPB musí znamenat, že "zpracování" je omezeno pouze na zpracování pro účely reklamy. Zdá se, že dalšími aspekty stížnosti se DPC nezabývala, což samo o sobě může být nezákonné.
• DPC změnil rozhodnutí EDPB tak, že tříměsíční lhůta neběží od okamžiku, kdy bylo rozhodnutí EDPB doručeno společnosti Meta (někdy v prosinci), ale od doručení rozhodnutí DPC (někdy v lednu) (viz § 8 odst. 11). Tento odklon DPC od rozhodnutí EDPB se zdá být nezákonný.
• EDPB zásadně nesouhlasil s názory DPC na pokutu. Německý orgán ji dokonce označil za "kontrafaktuální" (strana 91). EDPB zároveň neměl k dispozici důkazy, na jejichž základě by mohl konstatovat, že společnost Meta "úmyslně" porušila GDPR, jak tvrdil švédský orgán pro ochranu údajů.
• EDPB nestanovil konkrétní pokutu, ale pouze požadoval, aby DPC měla "výrazně vyšší" pokutu.
• Strany 100 až 153 jsou věnovány přehodnocení zvýšené pokuty ze strany DPC. Pokuta je rozdělena na 80 milionů eur a 70 milionů eur za nedostatek transparentnosti a pouhých 60 milionů eur v souvislosti se skutečným nezákonným zpracováním osobních údajů milionů uživatelů v EU podle čl. 6 odst. 1 písm. b) (§ 10.45).

Oprava: V první verzi tohoto článku bylo uvedeno, že se DPC částečně odchýlil od rozhodnutí EDPB. Vzhledem k tomu, že nyní bylo zveřejněno celé rozhodnutí EDPB, zdá se, že příslušný prvek je v souladu s rozhodnutím EDPB, a komentář byl z internetových stránek noyb.eu odstraněn.