Irlannin tietosuojaviranomainen antoi lopullisen päätöksensä Metan laittomasta käyttäjätietojen käsittelystä henkilökohtaista mainontaa varten. Tässä on latauslinkki ja ensimmäinen nopea yhteenveto, jonka on tehnyt noyb.
DPC:n päätös osoittaa selvästi, että Irlannin DPC:n ja EDPB:n välillä on suuria erimielisyyksiä.
DPC:n ja EU:n kollegoiden välinen suuri riita. DPC:n päätöksestä käy ilmi, että Itävallan, Saksan, Ranskan, Italian, Alankomaiden, Norjan, Puolan, Portugalin, Ranskan, Ruotsin ja Saksan viranomaiset esittivät virallisia vastalauseita DPC:n päätöstä vastaan. Perinteisesti viranomaiset eivät kuitenkaan muodollisesti esitä vastalauseita, jos on selvää, että useat viranomaiset ovat jo ottaneet asian esille. DPC ei edes välittänyt muuttaa päätöstä ja mukauttaa kantojaan, vaan yksinkertaisesti vain kopioi EDPB:n kannan aiempaan päätökseen.
Max Schrems:"Päätös lukee kuin kotitehtävä, jossa oppilas ei edes välittänyt muuttaa virheitä, vaan vain kopioi opettajan korjaukset tekstiin."
DPC:n päätös ei välttämättä lopeta tapausta. Päätös ei myöskään näytä täysin käsittelevän noybin valituksia, sillä päätös ei kata esimerkiksi henkilötietojen käyttöä Facebook-alustan parantamiseen tai personoituun sisältöön. EDPB vaati myös lisätutkimuksia. Lisäksi taustalla on ristiriita siitä, että Itävallan tai Saksan lain mukaan valitus määrittelee menettelyn laajuuden, EPDP katsoo kuitenkin, että Irlannin lain mukaan se voi rajoittaa valituksen laajuutta. noyb joutuu ehkä valittamaan päätöksestä näillä perusteilla.
Vähäinen sakko käyttäjän oikeuksien tosiasiallisesta loukkaamisesta? Melko järkyttävä seikka koskee sakkojen suuruutta. Vaikka EDPB vaati "huomattavasti suurempaa" sakkoa, DPC päätti lopullisista luvuista. Vaikka tietosuojaneuvosto määräsi Facebookille yhteensä 150 miljoonan euron sakon avoimuuskysymysten vuoksi, tietosuojaneuvosto määräsi Metalle vain 60 miljoonan euron sakon, koska sillä ei ollut minkäänlaista oikeusperustaa miljoonien eurooppalaisten käyttäjien tietojen käsittelylle noin viiden vuoden ajan.
Max Schrems:"Ilmeisesti DPC on enemmän huolissaan siitä, että käyttäjiä kusetetaan läpinäkyvästi kuin siitä, että heitä ei kuseteta lainkaan."
Lisää yksityiskohtia pykälissä. Päätös on jaettu eri asioita käsitteleviin osioihin ja aikatauluun, jossa käsitellään menettelyllisiä asioita. Lyhyt yhteenveto tärkeimmistä poimituista asioista on luettavissa alta, ja alla on kohdat, joista kohta löytyy Facebookin lopullisesta päätöksestä. Instagram-päätöksessä voi olla pieniä eroja, mutta odotamme niiden olevan pitkälti samanlaisia.
Jos Meta voi käyttää suostumusta (päätöksen kohta 1)
- DPC yrittää sivuuttaa kysymyksen siitä, onko Meta tahallisesti johtanut käyttäjiä harhaan, sanomalla vain, että kyseessä on avoimuuskysymys (2.19 kohta), ja siksi DPC torjuu sen, että se ei ole tutkinut alkuperäistä valitusta perusteellisesti (2.20 kohta).
- Euroopan tietosuojaneuvosto totesi, että kuluttajansuojaneuvoston olisi pitänyttutkia "Facebookin" käsittelytoimia, käsiteltyjen tietojen luokkia (mukaan lukien sellaisten erityisten henkilötietoryhmien yksilöiminen, joita voidaan käsitellä) ja niiden tarkoituksia", jotta kantelu olisi voitu ratkaista kokonaisuudessaan.
- DPC jättää edelleen huomiotta valitusten ydinkysymyksen, nimittäin sen, ovatko ehtojen lausekkeet tosiasiallisesti piilotettua suostumusta koskeva lauseke(falsa demonstratio). Sen sijaan tietosuojaneuvosto yhtyi Metan näkemykseen, jonka mukaan jos rekisterinpitäjä ei ole koskaan pyytänyt suostumusta. Jos näin on, ei voi olla kyse suostumuksesta (3.10 §), eikä asiaa näin ollen ole tutkittava, vaikka väite olisikin, että Meta on yksinkertaisesti siirtänyt suostumuslausekkeen käyttöehtoihin.
- Tietosuojaneuvosto jättää jatkuvasti huomiotta sen, että 1 000 käyttäjän keskuudessa tehdyn tutkimuksen mukaan yli 60 prosenttia piti tätä suostumuksena ja alle kaksi prosenttia sopimuksena. EDPB on korostanut, että tutkimus on tärkeää tietoa, jota tietosuojaneuvosto ei ottanut huomioon eikä sisällyttänyt sitä päätösluonnokseen.
- EDPB kumosi tietosuojaneuvoston arvion siitä, oliko Meta-sivuston "hyväksyn" -painikkeen painaminen todellakin arvioitava 6 artiklan 1 kohdan a alakohdassa tarkoitetuksi suostumukseksi tai 6 artiklan 1 kohdan b alakohdassa tarkoitetuksi sopimukseksi.
- EDPB on vaatinut, että kuluttajansuojaneuvosto poistaa päätöksestä kaikki "kysymystä 1" koskevat päätelmät (ks. kohta 3.26). Vaikka tietosuojaneuvosto säilyttää edelleen kaikki päätösluonnoksen sivuilla 15-21 olevat päätelmänsä (EDPB:n kannan vastaisesti), tietosuojaneuvosto lisäsi jakson loppuun yhden kappaleen, jossa todetaan, että (huolimatta kaikkien EDPB:n näkemyksen vastaisten perustelujen säilyttämisestä) hän "ei tee päätelmiä kysymyksestä 1".
Jos Meta voi käyttää 6 artiklan 1 kohdan b alakohdassa tarkoitettua "sopimusta" (päätöksen kohta 2)
- DPC kieltäytyi tutkimasta kaikkia käsittelytoimia, joissa Meta vetoaa 6 artiklan 1 kohdan b alakohtaan, koska"kantelijan ei olisi mahdollista ... vaatia tällaista arviointia". Facebook ei näin ollen ole koskaan toimittanut luetteloa kaikista käsittelytoimista ja niiden oikeusperustasta. Tämä saattaa olla vastoin Itävallan lainsäädäntöä, jossa kantelun laajuus on selvästi kantelijan asia. Sen vuoksi tietosuojaneuvosto tutki asiaa vain periaatteellisella tasolla (4.7 §) ja keskittyi "käyttäytymiseen perustuvaan mainontaan". Tämä saattaa tehdä päätöksestä riitautettavissa olevan, sillä myös muita personoinnin muotoja (kuten sisällön personointia, tuotteen parantamista ja vastaavaa) tai arkaluonteisten henkilötietojen käsittelyä yleisen tietosuoja-asetuksen 9 artiklan mukaisesti otettiin esille, mutta niitä ei käsitelty tietosuojaneuvoston tutkimuksessa ja päätöksessä.
- DPC ei näe toimivaltaa tulkita, mitä "sopimus" on, ja katsoo, että DPC:n toimivalta rajoittuu GDPR:ään (4.13 §). Tämä on varsin hämmästyttävää, sillä sen määrittäminen, mitä sopimus sisältää, on looginen edellytys sen määrittämiselle, onko käsittely "välttämätöntä" sopimuksen täyttämiseksi. noyb on aiemmin todennut, että sopimuksen arvioimatta jättäminen on yhtä kuin temppu jättää asia käsittelemättä. Tietosuojavirasto"torjuu jyrkästi nämä vakavat väitteet noybin vilpillisestä, epärehellisestä ja muutoin lainvastaisesta toiminnasta", kun tietosuojavirasto ei yksinkertaisesti tutkinut sopimuksen tarpeellisuutta. DPC ei hyväksy sitä, että sen tutkimatta jättäminen, mitä sopimus sisältää, olisi"oikeuden epäämistä" (§ 4.16).
- Kohdissa 4.26-4.55 tietosuojaneuvosto toistaa tietosuojaneuvoston ja EDPB:n välisen erimielisyyden, jossa tietosuojaneuvosto toteaa, että se ei voi arvioida sopimusten sisältöä ja että se suosisi laajaa tulkintaa, jonka mukaan kaikki sopimukseen tai sopimusehtoihin kirjatut asiat ovat "tarpeellisia" tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan mukaisesti.
- EDPB näyttää luottaneen EU:n tuomioistuimen C-252/21- ja C-446/21-viittauksiin, jotka koskevat tosiseikkoja, jotka koskevat henkilötietojen käyttöä Meta-yrityksessä mainontaan ja vastaaviin tarkoituksiin, koska tietosuojaneuvosto kieltäytyi tutkimasta asiaa perusteellisesti (s. 37 ja 38). Näyttää siltä, että kyseessä on merkittävä menettelyllinen ongelma, sillä Euroopan tietosuojaneuvostolla ei ehkä yksinkertaisesti ole riittäviä tosiseikkoja, jotta se voisi tehdä päätöksen koko kantelusta, jos kuluttajansuojaneuvosto kieltäytyy jatkuvasti edes tutkimasta asiaa perusteellisesti.
- Sen jälkeen kuluttajavalvontakomitea vain kopioi EDPB:n päätöksen kuluttajavalvontakomitean päätösluonnokseen. EDPB korostaa:
- EDPB torjuu suurelta osin kuluttajansuojaneuvoston näkemykset ja korostaa, että noybin tutkimus osoittaa, että käyttäjät eivät pidä tätä sopimuksena vaan suostumuksena.
- EDPB toteaa myös, että se, että Meta haluaa tehdä voittoa personoiduista mainoksista, ei tee niistä "välttämättömiä", sillä Meta voisi myös käyttää kontekstiin tai muihin tietoihin perustuvia mainoksia.
- EDPB katsoo, että käyttäjien päätarkoitus Metan palveluiden käyttämisessä on viestintä, ei personoidut mainokset.
- EDPB:n mielestä DPC:n ja Metan kanta voisi myös rohkaista muita operaattoreita käyttämään 6 artiklan 1 kohdan b alakohtaa suostumusvaatimuksen kiertämiseen.
- EDPB yhtyy Itävallan, Saksan, Ranskan, Italian, Alankomaiden, Norjan, Puolan, Portugalin, Ranskan, Portugalin ja Ruotsin viranomaisten näkemykseen, jonka mukaan käyttäytymiseen perustuva mainontaei ole "objektiivisesti katsoen välttämätöntä Meta:n väitetyn sopimuksen täyttämiseksi".
- Ilman lisäkommentteja tietosuojaneuvosto toteaa sitten (vastoin kaikkea, mitä se on aiemmin väittänyt) 4.56 §:ssä, että"EDPB:n ohjeiden mukaisesti" hän katsoo,"että Facebookilla ei ollut oikeutta vedota yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohtaan" käyttäytymiseen perustuvan kohdentamisen osalta.
"Ohituksen" avoimuus
- Tietosuojaneuvosto on tähän mennessä pääasiassa katsonut, että Metan olisi vain pitänyt tehdä (tietosuojaneuvoston mielestä muutoin laillinen) GDPR:n kiertäminen avoimemmaksi. Tämä olisi merkinnyt sitä, että käyttäjät olisivat vain nähneet ylimääräisen ponnahdusikkunan tai vastaavaa, mutta se ei olisi estänyt Metaa käyttämästä käyttäjätietoja edelleen väärin. Läpinäkyvyyden puute mainitaan päätöksessä ja selitetään 5.1-5.77 kohdassa.
- EDPB kuitenkin vaati, että tämä johti myös yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan rikkomiseen, mikä puolestaan merkitsisi myös sitä, että käyttäjien henkilötietoja ei olisi pitänyt käsitellä.
- Tietosuojavaltuutettu vain kopioi/liimasi EDPB:n päätöksen omaan päätökseensä ja lisäsi yhden rivin, jossa hän totesi, että EDPB:n päätöksen mukaan hänen oli tehtävä tämä lisähavainto.
Lopulliset määräykset:
- EDPB pyysi kolmen kuukauden määräaikaa määräyksen noudattamiselle siitä, kun EDPB:n määräys on annettu tiedoksi. Siinä kielletään Metaa käyttämästä 6 artiklan 1 kohdan b alakohtaa EDPB:n määräyksessä kuvatulla tavalla.
- Tietosuojaneuvosto täsmensi, että EDPB:n päätöksen on tarkoitettava sitä, että "käsittely" rajoittuu ainoastaan mainostamiseen liittyvään käsittelyyn. Vaikuttaa siltä, että kuluttajavalvontakomitea ei käsitellyt valituksen muita näkökohtia, mikä sinänsä voi olla lainvastaista.
- Tietosuojaneuvosto muutti EDPB:n päätöstä siten, että kolmen kuukauden määräaika ei ala siitä, kun EDPB:n päätös annettiin tiedoksi Metalle (joskus joulukuussa), vaan siitä, kun DPC:n päätös annettiin tiedoksi (joskus tammikuussa) (ks. 8.11 kohta). Tämä poikkeama, jonka DPC teki EDPB:n päätöksestä, vaikuttaa lainvastaiselta.
- EDPB on ollut perusteellisesti eri mieltä kuluttajavalvontakomitean sakkoa koskevista näkemyksistä. Saksan viranomainen kutsui sitä jopa "vastatodellisuudeksi" (s. 91). Samaan aikaan EDPB:llä ei myöskään ollut näyttöä, jonka perusteella se olisi voinut todeta, että Meta on "tahallaan" rikkonut tietosuoja-asetusta, kuten Ruotsin tietosuojaviranomainen väitti.
- EDPB ei asettanut tiettyä sakkoa, vaan edellytti ainoastaan, että tietosuojaviranomaisella on "huomattavasti korkeampi" sakko.
- Sivut 100-153 on omistettu tietosuojavaltuutetun korotetun sakon uudelleenarvioinnille. Sakko jakautuu 80 miljoonaan euroon ja 70 miljoonaan euroon avoimuuden puutteen vuoksi ja vain 60 miljoonaan euroon, joka liittyy miljoonien EU:n käyttäjien henkilötietojen tosiasialliseen laittomaan käsittelyyn 6 artiklan 1 kohdan b alakohdan nojalla (10.45 §).