Itävallan korkein oikeus (OGH): Metan on annettava 14 päivän kuluessa mahdollisuus tutustua kaikkiin käyttäjän henkilötietoihin, mukaan lukien tietolähteet, vastaanottajat ja tarkoitukset, joihin kutakin tietoa on käytetty. Kaikki Metan väitteet liikesalaisuuksista tai muista rajoituksista hylättiin, mikä johti ennennäkemättömään pääsyyn Metan sisäiseen toimintaan. Meta keräsi laittomasti tietoja myös kolmansien osapuolten sovelluksista ja verkkosivustoista, ja se saa tarjota henkilökohtaista mainontaa vain, jos käyttäjä on antanut "erityisen, tietoon perustuvan, yksiselitteisen ja vapaasti annetun" suostumuksen. Metan on myös varmistettava, että arkaluonteisia tietoja (kuten poliittisia näkemyksiä, seksuaalista suuntautumista tai terveyttä) ei käsitellä yhdessä muiden tietojen kanssa, ellei siihen ole pätevää tietosuoja-asetuksen 9 artiklan 2 kohdan mukaista oikeusperustaa. Meta ei voi välttää yleisen tietosuoja-asetuksen 9 artiklan soveltamista väittämällä, että se ei kerää tällaisia tietoja tarkoituksellisesti tai että se ei voi teknisesti erottaa tai erottaa niitä toisistaan. Max Schremsin vuonna 2014 vireille panema tapaus kesti alun perin 11 vuotta, ja se kävi kolme kertaa Itävallan korkeimmassa oikeudessa ja kaksi kertaa Euroopan unionin tuomioistuimessa. Schremsille myönnettiin 500 euron vahingonkorvaus.
Täysi oikeus saada kaikki henkilötiedot ja muut tiedot 14 päivän kuluessa. Yleisen tietosuoja-asetuksen 15 artiklan mukaan Metan on toimitettava kaikille sitä pyytäville käyttäjille täydellinen 1:1-kopio kaikista henkilötiedoista sekä tiedot siitä, mihin tarkoituksiin tietoja on käsitelty ja mistä lähteistä ja kenelle kukin tieto on toimitettu. Vuodesta 2011 lähtien kantaja (Max Schrems) on yrittänyt saada täydellisen pääsyn henkilötietoihinsa, mutta Meta on antanut vain osittaisen pääsyn. Keskivertokäyttäjille Meta viittasi vain "lataustyökaluun", joka sisälsi sen mukaan "merkityksellisiä" tietoja, ja muutoin se viittasi yleiseen tietosuojakäytäntöönsä. Itävallan korkein oikeus on nyt päättänyt, että Metan on luovutettava kaikki henkilötiedot (joka ikinen osa) ja myös annettava erityisiä tietoja kaikista tiedoista, kuten lähde, vastaanottaja tai käsittelyn tarkoitus, ja kaikki tämä 14 päivän määräajassa, joka päättyy 31.12.2025. Lain mukainen oletusmääräaika on yksi kuukausi - joka on umpeutunut jo vuosia sitten. Meta ei esittänyt asianmukaisesti väitteitä, jotka koskivat täydellisen tiedonsaantioikeuden väitettyjä rajoituksia (kuten liikesalaisuuksia ja muuta vastaavaa), joten ne hylättiin kokonaisuudessaan. Itävallan korkeimman oikeuden lopullinen ja suoraan täytäntöönpanokelpoinen tuomio antaa Schremsille ennennäkemättömän mahdollisuuden tutustua Metan käytäntöihin, joiden mukaan Meta käsittelee hänen (ja todellisuudessa kaikkien muidenkin) käyttäjätietojaan.
Katharina Raabe-Stuppning, kantajaa edustava itävaltalainen asianajaja: "Se kesti 11 vuotta, mutta nyt on olemassa lopullinen päätös, jonka mukaan Metan on annettava ennennäkemätön pääsy kaikkiin tietoihin, joita se on koskaan kerännyt Schremsistä. Tämä koskee paljon muutakin kuin lataustyökalua tai verkkosivuilla olevia tietoja. Meta on yli vuosikymmenen ajan vastustanut täydellistä avoimuutta siitä, mitä tietoja se käsittelee eurooppalaisista käyttäjistä. Tuomio on suoraan täytäntöönpanokelpoinen koko EU:ssa."
Meta-mainosmalli lainvastainen EU:ssa jo vuosia. Itävallan korkein oikeus katsoi myös, että Metan on lopetettava henkilökohtaisten mainosten tarjoaminen Schremsille, koska sillä ei ole koskaan ollut oikeusperustaa käsitellä hänen henkilötietojaan tähän tarkoitukseen. Tältä osin Schremsin vaatimukset ohitettiin pitkälti EU:n tuomioistuimen asiassa C-252/21 Bundeskartellamt antamassa tuomiossa, jossa EU:n tuomioistuin jo katsoi, että Metalla ei ole tarvittavaa oikeusperustaa käsitellä eurooppalaisten henkilötietoja mainontaa varten.
Katharina Raabe-Stuppning: "Itävallan korkein oikeus teki - jälleen kerran - selväksi, että Meta tarvitsee opt-in-suostumuksen voidakseen seurata ihmisiä ja käyttää heidän tietojaan mainontaan."
"Arkaluonteisten tietojen" erottaminen muista tiedoista. Yleisen tietosuoja-asetuksen 9 artiklan mukaan tietyt "arkaluonteiset" tiedot on erityisesti suojattu. Näitä ovat esimerkiksi terveyteen, poliittisiin näkemyksiin, sukupuolielämään tai seksuaaliseen suuntautumiseen liittyvät tiedot. Meta torjuu jyrkästi sen, että sen olisi käsiteltävä tällaisia tietoja - jotka se saa kolmansien osapuolten sovellusten, verkkosivuston tai alustoillaan tapahtuvan käyttäjien toiminnan kautta - eri tavalla kuin muita tietoja. Itävallan korkein oikeus teki kuitenkin selväksi, että vaikka Meta ei käyttäisi tällaisia tietoja tarkoituksellisesti (väite kiistettiin menettelyssä), sen on kuitenkin noudatettava lakia.
Max Schrems: "Facebookin tai Instagramin kaltaisilla alustoilla on valtava vaikutusvalta esimerkiksi tyrkyttämällä käyttäjille poliittisia näkemyksiä. Oli aina absurdia, että Meta väitti, ettei se käsittele tällaisia tietoja eikä sen tarvitse noudattaa lakia. Päätöksessä tehdään selväksi, että Meta ei saa käyttää tällaisia käyttäjäasetuksia ilman kunkin käyttäjän nimenomaista suostumusta."
500 euron vahingonkorvaukset ovat realistisia useimmille Meta-käyttäjille. Aiemmassa osapäätöksessä Schremsille myönnettiin jo 500 euron vahingonkorvaus viivästyneestä vastauksesta hänen käyttöoikeuspyyntöönsä. Schrems vetosi myös muihin yleisen tietosuoja-asetuksen rikkomuksiin. Tuomio vaikuttaa epäselvältä tuomitun vahingonkorvauksen perusteiden osalta, mutta näyttää siltä, että Itävallan korkein oikeus piti vähintään 500 euron suuruista vahingonkorvausta ehdottomasti perusteltuna rikkomuksista, joita lähes jokainen Meta-käyttäjä on kokenut. Schrems ei pyytänyt enempää, joten tuomioistuin piti 500 euroa ylärajana.
Katharina Raabe-Stuppning: "Vaikuttaa realistiselta, että rekisteröidyt voivat vaatia vähintään 500 euron suuruista aineetonta vahingonkorvausta niistä laajoista tietosuoja-asetuksen rikkomuksista, joihin Meta on syyllistynyt. Tämä voisi olla hyvä alaraja monille muille Euroopassa vireillä oleville tapauksille.""
tarvitaan 11 vuotta, 3 korkeimman oikeuden ja 2 EU:n tuomioistuimen päätöstä. Kaiken kaikkiaan tämä tapaus kesti 11 vuotta. Alkuperäinen Wienin alueellinen siviilituomioistuin (Landesgericht für Zivilrechtssachen) oli kieltäytynyt käsittelemästä tapausta kahdesti, jopa väittämällä, että Schrems ei ole "kuluttaja" yksityisen Facebook-tilinsä osalta. Myöhemmin se vetosi yleisen tietosuoja-asetuksen mukaiseen toimivaltaan liittyvään epävarmuuteen. Itävallan korkein oikeus ratkaisi asian kolme kertaa, muun muassa antamalla kaksi ennakkoratkaisua EU:n tuomioistuimelle. Lopullista päätöstä oikeudenkäyntikuluista ei ole vielä tehty, mutta tähän mennessä oikeudenkäyntikulut ovat ylittäneet 200 000 euroa - noin 500 euron suuruisen korvausvaatimuksen osalta.
Max Schrems: "GDPR-oikeudenkäyntien todellisuus on, että keskivertoihmiselle ne kestävät vuosikymmenen ja ovat turmiollisia. Suuret teknologiayritykset piiloutuvat Irlannin kaltaisten lainkäyttöalueiden taakse, esittävät sata syytä, miksi tapaukset pitäisi hylätä, ja sabotoivat menettelyjä joka kulmassa. Meidän on kiireesti työskenneltävä sen eteen, että tietosuoja-asetuksesta tulee käytännössä täytäntöönpanokelpoinen."
Joistakin kanteista luovuttiin. Menettelyn aikana Schrems luopui useista vaatimuksista kustannus- ja menettelyllisistä syistä. Tietyt vaatimukset esitettiin myös vaihtoehtoisesti (joten vain yksi vaatimuksista olisi voinut menestyä). Asian käsittelyä pitkittivät merkittävästi ensimmäisessä oikeusasteessa tehdyt erittäin epäsuotuisat päätökset, sillä esimerkiksi Itävallan lainsäädännön mukaan on hyvin vaikeaa kumota ensimmäisessä oikeusasteessa tehtyjä tosiseikkoja koskevia päätelmiä. Näin ollen monista perustelluista vaatimuksista jouduttiin luopumaan.
