Irlannin tietosuojaviranomainen antaa 3,97 miljardin euron lahjan Meta? Viranomaisen väitetään olevan kykenemätön saamaan taloudellista hyötyä metan GDPR:n rikkomuksista huomioon.
Irlannin tietosuojakomissio (DPC) ilmoitti 04.01.2023, että Meta saa 390 miljoonan euron sakon Facebookissa ja Instagramissa tapahtuneen laittoman personoidun mainonnan vuoksi. Ensimmäinen analyysi päätöksistä paljastaa nyt, että DPC on sakkoa laskiessaan kääntänyt silmänsä GDPR:n rikkomisesta saaduille tuloille. Näin siitä huolimatta, että kaikkien EU:n viranomaisten 2/3 enemmistö (EDPB) oli ohjannut Irlannin tietosuojaviranomaisen ottamaan huomioon Metan miljardien eurojen laittomasti hankkimat tulot. DPC:n manööveri säästi Metalta lähes 4 miljardia euroa.
- noybin kirje EDPB:lle, jossa kerrotaan, että DPC ei noudattanut EDPB:n päätöstä (PDF)
- Taulukko asiaankuuluvista luvuista (PDF)
- Facebookin julkiset tiedot käyttäjistä ja liikevaihdosta (ks. "Ansaintadiat")
Taustaa: Meta rikkoo GDPR:ää. 4,5 vuotta kestäneessä taistelussa siitä, että EU:ssa ei ole oikeusperustaa personoidun mainonnan tarjoamiselle, noyb saavutti merkittävän voiton. Euroopan tietosuojaneuvosto kumosi Irlannin tietosuojaneuvoston aiemman päätösluonnoksen keskeisen osan ja katsoi, että Metalla ei ollut asianmukaista oikeusperustaa henkilötietojen käsittelyyn käyttäytymiseen perustuvaa mainontaa varten. Metan yritys puristaa "sopimus" Facebookin ja Instagramin käyttöehtoihin todettiin laittomaksi. Kaikki tähän "ohitukseen" perustuva käsittely 25. toukokuuta 2018 jälkeen oli näin ollen laitonta. EDPB kertoi tietosuojaneuvostolle, että lisäsakon on "cvastapainona rikkomisesta saadulle hyödylle" ja määräsi DPC:n "määräämään sakon, joka ylittää tämän määrän".
Uusi kehitys: DPC ei pysty arvioimaan Metan laittomia tuloja? Euroopan tietosuojaneuvosto määräsi 5. joulukuuta 2022 DPC:n määrittämään, kuinka paljon Meta oli saanut tuloja tietosuoja-asetuksen rikkomisesta, ja ottamaan tämän summan huomioon sakossaan. Tietosuojaneuvosto jättikuitenkin yksinkertaisesti huomiotta Metan laittomat tulot ja väitti, että"komissio ei pysty määrittämään arviota näistä asioista" ja että se ei näin ollen "voi ottaa näitä asioita huomioon". Näin siitä huolimatta, että sillä oli valtuudet vaatia tällaisia tietoja Metalta yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan nojalla.
Max Schrems, noybin puheenjohtaja:"Me kaikki tiedämme Metan valtavat tulot. On hämmästyttävää, ettei tietosuojaneuvosto ottanut tätä huomioon. DPC ei edes käyttänyt lakisääteisiä valtuuksiaan pyytääkseen tietoja Metalta. Siksi tutkimme julkisesti saatavilla olevia tietoja ja totesimme, että pelkästään tämän tekijän olisi pitänyt nostaa sakkoa 3,97 miljardilla eurolla."
GDPR-sakkojen taustaa. Tietosuoja-asetuksen 83 artiklassa vahvistetaan sakkoja koskevat säännöt. Jokaisen sakon on yleensä oltava"tehokas, oikeasuhteinen ja varoittava", ja siinä on otettava huomioon"rikkomisesta saatava taloudellinen hyöty", mutta sen enimmäismäärä on 4 prosenttia viime vuoden maailmanlaajuisesta liikevaihdosta. Metan tapauksessa sakon enimmäismäärä olisi 4,36 miljardia euroa. Tietosuojavaltuutettu pyysi näin ollen kuluttajansuojaneuvostoa tutkimaan, kuinka paljon Meta sai "taloudellista hyötyä" tietosuoja-asetuksen 6 artiklan 1 kohdan rikkomisesta noin 4,5 vuoden ajan, sillä sakko, joka olisi pienempi kuin tämä hyöty, tuskin olisi"tehokas, oikeasuhteinen ja varoittava".
Max Schrems: "4 prosentin enimmäismäärä maailmanlaajuisesta liikevaihdosta ylittyi helposti 4,5 viime vuoden aikana laittomasta käsittelystä saaduilla tuloilla. Julkisten tietojen perusteella on helppo osoittaa, että pelkästään tulotekijä olisi edellyttänyt enimmäissakon määräämistä."
Julkiset tiedot ja laskentataulukko. Meta on julkisesti noteerattu yritys, joka julkaisee suurimman osan asiaankuuluvista taloudellisista tiedoista. Metan omien raporttien mukaan se teki 84,7 miljardia euroa (91,59 miljardia Yhdysvaltain dollaria) mainonnasta Euroopan mantereella vuoden 2018 kolmannen neljänneksen ja vuoden 2022 kolmannen neljänneksen välisenä aikana. Pelkästään EU:n käyttäjämäärillä oikaistuna tämä oli noin 72,5 miljardia euroa (78,4 miljardia Yhdysvaltain dollaria). Vaikka "käyttäytymiseen perustuva mainonta" ei muodosta kaikkia Meta-mainonnan kokonaistuloja, on selvää, että missä tahansa realistisessa skenaariossa "käyttäytymiseen perustuvasta mainonnasta" saatavat tulot EU:ssa ylittivät 4,36 miljardin euron enimmäissakon.
Max Schrems: "Koska DPC ei edes tarkistanut julkisesti saatavilla olevia tietoja, se lahjoitti Metalle 3,97 miljardia euroa. Laskelman tekemiseen kului tunti ja taulukkolaskentaohjelma. Olen varma, että Irlannin veronmaksajat eivät olisi pahoillaan tuosta ylimääräisestä rahasta, jos DPC:n työntekijä olisi vain avannut hakukoneen ja tehnyt tutkimusta."
Meta tienaa edelleen jopa 68,17 miljardia euroa GDPR:n rikkomisesta. Vaikka 4 prosentin enimmäissakko olisi määrätty, Meta olisi silti tienannut GDPR:n rikkomisesta vuodesta 2018 lähtien jopa 68 miljardia euroa, jos oletetaan, että periaatteessa jokainen Meta-mainos on tällä hetkellä "käyttäytymiseen perustuvaa mainontaa". Tämä johtuu pääasiassa siitä, että tietosuojaneuvosto viivytti menettelyä massiivisesti ja se kesti 4,5 vuotta, kun taas enimmäissakko voidaan laskea vain yhden vuoden perusteella. Metan rikkomus myös todennäköisesti ylitti 4 %:n rajan jokaisena vuonna, mikä tarkoittaa, että tulot ylittivät reilusti enimmäissakon vuodessa.
Max Schrems:"Lopputulos on, että GDPR:n rikkominen kannatti ehdottomasti Metalle, ja Irlannin DPC teki EU-lainsäädännön rikkomisesta Metalle entistäkin kannattavampaa."
Kirje EDPB:lle. noyb on nyt lähettänyt EDPB:lle kirjeen, jossa kerrotaan yksityiskohtaisesti DPC:n päätöksen ongelmista ja kaikista laskelmista. noyb pyytää EDPB:tä varmistamaan, että DPC pitää päätöksensä täysin voimassa.