BREAKING: Meta (Facebook ja Instagram) kieltää henkilötietojen käytön mainonnassa. Merkittävä isku Metan liiketoimintamallille Euroopassa noyb-oikeudenkäynnin jälkeen. Metan sakko yli kymmenkertaistuu 32 eurosta 390 miljoonaan euroon. Kolmas WhatsAppia koskeva tapaus vireillä.
Kuten Irlannin tietosuojaneuvosto vahvisti, Euroopan tietosuojaneuvosto (EDPB) on hylännyt Irlannin tietosuojaneuvoston ja Metan yleisen tietosuoja-asetuksen kiertämisen noyb-kanteiden perusteella Facebookia ja Instagramia vastaan. Meta ei saa nyt kiertää GDPR:ää käyttöehtoihin sisältyvän lausekkeen avulla. Meta on saatava "opt-in" suostumus henkilökohtaiseen mainontaan, ja sen on annettava käyttäjille "kyllä/ei"-vaihtoehto. WhatsAppia koskevan kolmannen rinnakkaisen tapauksen päätös lykkääntyy tammikuun puoliväliin.
- Selitysvideo Metan ohituksesta (joulukuulta 2022)
- Alkuperäiset valitukset noyb vuodelta 2018
- Aiempi raportointi ensimmäisistä tiedoista EDPB:n päätöksestä (Reuters)
Keskeiset faktat:
- Kaksi valitusta, jotka noyb teki itävaltalaisen ja belgialaisen käyttäjän puolesta 25. toukokuuta 2018 (päivänä, jolloin GDPR tuli sovellettavaksi), ratkaistiin tänään.
- Kolmas valitus, joka koski WhatsAppia saksalaisen käyttäjän puolesta, lykättiin tietosuojaneuvoston sähköpostin mukaan tammikuun puoliväliin.
- Meta yritti "kiertää" GDPR:n mukaisen suostumusvaatimuksen lisäämällä lausekkeen mainonnan käyttöehtoihin.
- Joulukuussa 2022 EDPB kumosi Irlannin tietosuojaviranomaisen aikaisemman päätösluonnoksen, jossa katsottiin, että Metan tekemä GDPR:n kiertäminen oli laillista.
- Lopullisessa päätöksessä edellytetään, että Meta ei saa käyttää henkilötietoja mainoksiin väitetyn "sopimuksen" perusteella. Käyttäjille on siis annettava kyllä/ei ("opt-in") -suostumus, muuten Meta ei saa käyttää heidän tietojaan henkilökohtaiseen mainontaan.
- Päätöksessä ei kielletä muita mainonnan muotoja (kuten sivun sisältöön perustuvia kontekstuaalisia mainoksia).
- Sen lisäksi, että päätöksessä todettiin, että Meta on käyttänyt henkilötietoja laittomasti toukokuusta 2018 lähtien.
- Facebookin ja Instragramin sakot ovat yhteensä 380 miljoonaa euroa. WhatsAppille on odotettavissa lisäsakko rinnakkaisessa menettelyssä.
Meta halusi "kiertää" GDPR:n. GDPR sallii kuusi oikeusperustaa tietojen käsittelylle, joista yksi on 6 artiklan 1 kohdan a alakohdan mukainen suostumus. Meta yritti kiertää suostumusta koskevan vaatimuksen seurannan ja verkkomainonnan osalta väittämällä, että mainokset ovat osa "palvelua", jonka se on sopimuksen mukaan velkaa käyttäjille. Väitetty oikeusperustan vaihto tapahtui täsmälleen 25. toukokuuta 2018 keskiyöllä, jolloin yleinen tietosuoja-asetus tuli voimaan. Direktiivin 6 artiklan 1 kohdan b alakohdan mukainen niin sanottu "sopimuksellinen välttämättömyys" ymmärretään yleensä suppeasti, ja se sallisi esimerkiksi verkkokaupan välittää osoitteen postipalvelulle, koska se on ehdottoman välttämätöntä tilauksen toimittamiseksi. Meta kuitenkin katsoi, että se voisi vain lisätä sopimukseen satunnaisia elementtejä (kuten henkilökohtaista mainontaa), jotta käyttäjät eivät tarvitsisi suostumusta kyllä/ei-vaihtoehtoa.
Max Schrems: "Sensijaan, että heillä olisi ollut "kyllä/ei"-vaihtoehto henkilökohtaisia mainoksia varten, he vain siirsivät suostumuslausekkeen käyttöehtoihin.Tämä ei ole vain epäoikeudenmukaista vaan myös selvästi laitonta. Emme oletietoisia mistään muusta yrityksestä, joka olisi yrittänyt sivuuttaa GDPR:n näin ylimielisellä tavalla."
380 miljoonan euron sakot, DPC halusi 380 miljoonaa euroa 28-36 miljoonaa. Henkilökohtaisten mainosten yleisen lopettamisen lisäksi EDPB on vaatinut Metalle massiivista sakkoa. Yhtiö on nimittäin perustanut suurimman osan kaupallisesta tietojenkäsittelystä tahalliseen lain rikkomiseen. EDPB on jo antanut asiasta suuntaviivat vuonna 2019. Meta on jo aiemmin saanut yli 900 miljoonan euron GDPR-sakot muissa tapauksissa. Sakko menee Irlannin valtiolle, ei kantelijalle, noybille tai EDPB:lle. DPC on aiemmin pyytänyt päätösluonnoksessa 28-36 miljoonaa euroa, mikä on vain 10 prosenttia nyt lopullisesta EDPB:n tuomiosta.
Max Schrems: " Rangaistus maksetaan Irlannille - valtiolle, joka on asettunut Metan puolelle ja viivyttänyt täytäntöönpanoa yli neljä vuotta. Meta todennäköisesti valittaa tästä tapauksesta, mikä aiheuttaa lisää kustannuksia noybille."
DPC ja Meta tekivät yhteistyötä ja saivat EDPB:n hylätyksi. Menettelyn aikana Meta on vedonnut kymmeneen luottamukselliseen tapaamiseen Irlannin DPC:n kanssa, joissa DPC on sallinut Metan käyttää tätä "kiertotietä". Myöhemmin paljastui, että DPC oli jopa yrittänyt vaikuttaa EDPB:n suuntaviivoihin Metan etujen mukaisesti. Siitä huolimatta muut eurooppalaiset tietosuojaviranomaiset hylkäsivät DPC:n näkemyksen sisäisesti vuonna 2018, suuntaviivoissa vuonna 2019 ja jälleen lopullisessa EDPB:n päätöksessä joulukuussa 2022. Juttu kesti 4,5 vuotta ja siihen liittyi satoja sivuja raportteja ja lausuntoja, vaikka kyse oli varsin yksinkertaisesta oikeudellisesta kysymyksestä.
Max Schrems: "Tässä tapauksessa on kyse yksinkertaisesta oikeudellisesta kysymyksestä. Meta väittää, että ohitus tapahtui DPC:n siunauksella. Tietosuojaneuvosto on vuosia pitkittänyt menettelyä ja vaatinut, että Meta voi kiertää tietosuoja-asetuksen, mutta muut EU:n viranomaiset ovat nyt hylänneet sen. Tämä on kaiken kaikkiaan neljäs kerta peräkkäin, kun Irlannin tietosuojaviranomainen hylättiin."
DPC näkee voiton "läpinäkyvyyskysymyksessä"? DPC:n medialle antamassa lausunnossa ydinkysymys siitä, saako Meta käyttää käyttäjätietoja mainontaan, on haudattu pienempään keskusteluun läpinäkyvyydestä, jossa se havaitsi rikkomuksen.
"On melko säälittävää, jos DPC nyt väittää, että muut viranomaiset olivat samaa mieltä pienestä avoimuuskysymyksestä." Tähän olisi tarvittu vain muuttaa muutama teksti Metan verkkosivuilla. Ydinasia oli, että Meta käsitteli laittomasti käyttäjätietoja yli neljän vuoden ajan, DPC suojasi Metaa ja heidät äänestettiin alas EU:n tasolla."
Seuraus: ei personoituja mainoksia, vähemmän voittoja. Päätös tarkoittaa sitä, että Metan on kolmen kuukauden kuluessa annettava käyttäjille kaikista sovelluksista versio, joka ei käytä henkilötietoja mainoksiin. Päätöksen mukaan Meta voisi edelleen käyttää muita kuin henkilötietoja (kuten jutun sisältöä) mainosten personointiin tai pyytää käyttäjiltä suostumusta mainoksiin kyllä/ei-vaihtoehdon avulla. Käyttäjien on voitava peruuttaa suostumus milloin tahansa, eikä Meta saa rajoittaa palvelua, jos käyttäjät niin päättävät. Vaikka tämä rajoittaa huomattavasti Metan voittoja EU:ssa, se ei kuitenkaan estäisi mainoksia kokonaan. Sen sijaan päätös asettaa Metan samalle tasolle kuin muut verkkosivustot ja sovellukset, joiden on tarjottava käyttäjille kyllä/ei-vaihtoehto.
Max Schrems: "Tämä on valtava isku Metan voitoille EU:ssa. Ihmisiltä on nyt kysyttävä, haluavatko he, että heidän tietojaan käytetään mainoksiin vai ei. Heillä on oltava kyllä- tai ei-vaihtoehto, ja he voivat muuttaa mielensä milloin tahansa. Päätös takaa myös tasapuoliset toimintaedellytykset muiden mainostajien kanssa, joiden on myös saatava suostumus."
DPC sensuroi päätöksen kantajalta ja yleisöltä, mikä varmistaa, että Meta ja DPC hallitsevat mediakertomusta. Hämmästyttävällä tavalla DPC ilmoitti tänään noybille , että vaikka se on toinen menettelyn osapuolista, DPC ei julkaise päätöstä noybille. Yllättäen DPC vetosi syyksi päätöksen mukaiseen "luottamuksellisuuteen". Päätös pitäisi luovuttaa kantajalle myöhemmin - mahdollisesti jopa mahdollisen valitusajan umpeuduttua. Tämä on vastoin DPC:n aiempia tietoja, joiden mukaan osapuolet saisivat päätöksen ennen DPC:n julkaisuja.
Max Schrems: "EDPB:n päätöksen kumoaminen on suuri isku DPC:lle, eivätkä he näytä ainakin yrittävän saada julkista kuvaa tästä tapauksesta. Kymmenen vuoden aikana, jolloin olen käynyt oikeudenkäyntejä, en ole koskaan nähnyt, että päätös olisi annettu tiedoksi vain yhdelle osapuolelle, mutta ei toiselle. DPC pelaa hyvin pirullista suhdetoimintapeliä. Kun se ei anna noybin tai yleisön lukea päätöstä, se yrittää muokata päätöksen tarinaa yhdessä Metan kanssa. Näyttää siltä, että Metan ja Irlannin sääntelyviranomaisen välinen yhteistyö voi hyvin ja elää - huolimatta siitä, että EDPB hylkäsi sen."
Seuraavat vaiheet: DPC haastaa EDPB:n oikeuteen, Meta todennäköisesti valittaa. Metan odotetaan valittavan päätöksestä Irlannin tuomioistuimiin, mutta mahdollisuudet voittaa valitus ovat minimaaliset EDPB:n sitovan päätöksen jälkeen. EU:n tuomioistuimessa (CJEU) on käsiteltävänä myös kaksi samankaltaista tapausta, jotka koskevat Metan suostumuksen ohitusta, mikä saattaa ratkaista asian ja kaikki valitukset lopullisesti. Sivuhuomautuksena DPC ilmoitti myös, että se saattaa haastaa EDPB:n oikeuteen eräästä asiasta, koska EDPB vaati DPC:tä ryhtymään lisätutkimuksiin Metan osalta noybin päättämien valitusten lisäksi. DPC katsoo, että EDPB:llä ei ole tällaisia valtuuksia, ja se yrittää saada päätöksen kumottua. Käyttäjät voivat myös nostaa kanteen tietojensa laittoman käytön vuoksi viimeisten 4,5 vuoden aikana.