BREAKING: A Meta (Facebook és Instagram) megtiltotta a személyes adatok reklámozásra való felhasználását. Komoly csapás a Meta üzleti modelljére Európában, a noyb pereskedés után. A Meta bírsága több mint tízszeresére, 28 millió euróról 390 millió euróra emelkedett. Harmadik ügy a WhatsAppra vonatkozóan folyamatban.
Amint azt az ír DPC megerősítette, az Európai Adatvédelmi Testület (EDPB) elutasította az ír DPC és a Meta által a Facebook és az Instagram ellen benyújtott noyb-panaszok alapján a GDPR megkerülését. A Meta mostantól nem kerülheti meg a GDPR-t a felhasználási feltételek egy záradékán keresztül. Meta nek "opt-in"-t kell szereznie" hozzájárulást kell kérnie a személyre szabott hirdetésekhez, és a felhasználók számára "igen/nem" lehetőséget kell biztosítania. A WhatsAppra vonatkozó harmadik, párhuzamos ügyben a döntés január közepéig elhalasztva.
- Magyarázó videó a Meta megkerüléséről (2022 decemberétől)
- A noyb eredeti panaszai 2018-ból
- Korábbi tudósítás az EDPB döntéséről szóló első információkról (Reuters)
Főbb tények:
- A noyb által egy osztrák és egy belga felhasználó nevében 2018. május 25-én (a GDPR hatálybalépésének napján) benyújtott két panaszról ma született döntés.
- Egy harmadik, egy német felhasználó nevében a WhatsAppon benyújtott panasz elbírálását január közepére halasztották a DPC e-mailje szerint.
- A Meta úgy próbálta "megkerülni" a GDPR-ban foglalt hozzájárulási kötelezettséget, hogy a hirdetési feltételekhez egy záradékot csatolt.
- Az EDPB 2022 decemberében hatályon kívül helyezte az ír DPC korábbi határozattervezetét, amely úgy vélte, hogy a Meta által a GDPR megkerülése jogszerű volt.
- A végleges határozat előírja, hogy a Meta nem használhat személyes adatokat hirdetésekhez egy állítólagos "szerződés" alapján. A felhasználók számára ezért igen/nem ("opt-in") hozzájárulási lehetőséget kell biztosítani, ellenkező esetben a Meta nem használhatja adataikat személyre szabott hirdetésekhez.
- A határozat nem tiltja a hirdetések más formáit (például az oldal tartalmán alapuló kontextuális hirdetéseket).
- A Meta a személyes adatok felhasználása 2018 májusa óta jogellenes volt.
- A Facebookra és az Instragramra kiszabott bírság összesen 390 millió euró. A párhuzamos eljárásban további bírság várható a WhatsApp számára.
A Meta a GDPR-t akarta "megkerülni". A GDPR hat jogalapot engedélyez az adatok feldolgozására, amelyek közül az egyik a 6. cikk (1) bekezdésének a) pontja szerinti hozzájárulás. A Meta azzal az érveléssel próbálta megkerülni a nyomon követésre és az online hirdetésekre vonatkozó hozzájárulási kötelezettséget, hogy a hirdetések a "szolgáltatás" részét képezik, amellyel szerződés szerint tartozik a felhasználóknak. A jogalap állítólagos váltása pontosan 2018. május 25-én éjfélkor történt, amikor a GDPR hatályba lépett. A 6. cikk (1) bekezdésének b) pontja szerinti úgynevezett "szerződéses szükségességet" általában szűken értelmezik, és például lehetővé tenné egy webáruház számára, hogy továbbítsa a címet egy postai szolgáltatónak, mivel ez feltétlenül szükséges a megrendelés kézbesítéséhez. A Meta azonban úgy vélte, hogy a szerződésbe csak véletlenszerű elemeket (pl. személyre szabott reklámot) illeszthet, hogy a felhasználók számára ne legyen igen/nem beleegyezési lehetőség.
Max Schrems:"Ahelyett, hogy a személyre szabott hirdetésekre vonatkozóan igen/nem opciót adtak volna, egyszerűen áthelyezték a hozzájárulási záradékot az általános szerződési feltételekbe. Ez nem csak tisztességtelen, de egyértelműen jogellenes is. Nem tudunk olyan vállalatról, amely ilyen arrogáns módon próbálta volna figyelmen kívül hagyni a GDPR-t."
380 millió eurós bírság, a DPC 380 millió eurót akart 28-36 millió. A személyre szabott hirdetések általános leállítása mellett az EDPB ragaszkodott a Meta hatalmas bírságához. Végül is a vállalat a legtöbb kereskedelmi adatfeldolgozást a törvény szándékos megsértésére alapozta. Az EDPB már 2019-ben iránymutatást adott ki az ügyben. A Metát már korábban is több mint 900 millió eurós GDPR-bírsággal sújtották más esetekben. A bírságot az ír állam kapja, nem a panaszos, a noyb vagy az EDPB. A DPC korábban 28-36 millió eurót kért egy határozattervezetben(lásd a 87. oldalt itt), ami a most végleges EDPB-ítéletnek mindössze 10%-a.
Max Schrems: "A büntetést Írország kapja - az az állam, amelyik a Meta pártjára állt, és több mint négy évig késleltette a végrehajtást. Ezt az ügyet a Meta valószínűleg megfellebbezi, ami további költségeket fog okozni a noyb számára."
A DPC és a Meta együttműködött, és az EDPB felülbírálta őket. Az eljárás során a Meta az ír DPC-vel tartott tíz bizalmas találkozóra hivatkozott, amelyeken a DPC engedélyezte a Meta számára, hogy ezt a "kerülőutat" használja. Később kiderült, hogy a DPC a Meta érdekében még a vonatkozó EDPB-iránymutatásokat is megpróbálta befolyásolni. Ennek ellenére a többi európai adatvédelmi hatóság 2018-ban belsőleg, 2019-ben az iránymutatásokban, majd 2022 decemberében a végleges EDPB-határozatban ismét elutasította a DPC álláspontját. Az ügy 4,5 évig eszkalálódott, több száz oldalnyi jelentéssel és beadvánnyal, annak ellenére, hogy az ügy egy meglehetősen egyszerű jogi kérdésről szólt.
Max Schrems:"Ez az ügy egy egyszerű jogi kérdésről szól. A Meta azt állítja, hogy a 'bypass' a DPC áldásával történt. A DPC évekig húzta az eljárást, és ragaszkodott ahhoz, hogy a Meta megkerülheti a GDPR-t, de most a többi uniós hatóság felülbírálta. Összességében ez már a negyedik alkalom egymás után, hogy az ír DPC-t felülbírálták."
A DPC győzelmet lát az "átláthatóság" kérdésében? A DPC sajtónyilatkozatában a központi kérdés, hogy a Meta feldolgozhat-e felhasználói adatokat reklámozás céljából, egy kisebb, az átláthatóságról szóló vitába temetkezik, ahol jogsértést állapított meg.
"Elég szánalmas, ha a DPC most azt állítja, hogy egy kisebb átláthatósági kérdésben más hatóságok is egyetértettek." Ehhez csak néhány szöveget kellett volna megváltoztatni a Meta honlapján. A lényegi kérdés az volt, hogy a Meta több mint négy éven keresztül jogellenesen kezelte a felhasználói adatokat, a DPC leárnyékolta a Metát, és uniós szinten leszavazták őket"."
Következmény: nincsenek személyre szabott hirdetések, kevesebb profit. A döntés azt jelenti, hogy a Metának három hónapon belül lehetővé kell tennie a felhasználók számára, hogy minden alkalmazásból olyan változatot kapjanak, amely nem használ személyes adatokat hirdetésekhez. A döntés továbbra is lehetővé tenné a Meta számára, hogy nem személyes adatokat (például egy történet tartalmát) használjon a hirdetések személyre szabásához, vagy hogy a felhasználók hozzájárulását kérje a hirdetésekhez egy "igen/nem" opcióval. A felhasználóknak bármikor vissza kell tudniuk vonni a hozzájárulást, és a Meta nem korlátozhatja a szolgáltatást, ha a felhasználók így döntenek. Bár ez drasztikusan korlátozza a Meta nyereségét az EU-ban, nem tiltja meg teljesen a hirdetéseket. Ehelyett a döntés a Metát ugyanarra a szintre helyezi, mint más weboldalakat vagy alkalmazásokat, amelyeknek "igen/nem" lehetőséget kell biztosítaniuk a felhasználók számára.
Max Schrems: "Ez hatalmas csapás a Meta profitjára az EU-ban. Az embereket mostantól meg kell kérdezni, hogy akarják-e, hogy az adataikat reklámokra használják vagy sem. Igen vagy nem opciót kell biztosítani számukra, és bármikor meggondolhatják magukat. A döntés egyenlő versenyfeltételeket biztosít más hirdetőkkel szembenis , akiknek szintén opt-in beleegyezést kell kérniük."
A DPC cenzúrázza a döntést a felperes és a nyilvánosság elől, biztosítva, hogy a Meta és a DPC irányítsa a média narratíváját. Meglepő módon a DPC ma arról tájékoztatta a noyb-ot , hogy annak ellenére, hogy a DPC az egyik fél az eljárásban, nem fogja kiadni a döntést a noyb-nak. A DPC hirtelen a határozat állítólagos "bizalmas jellegére" hivatkozott. A határozatot egy későbbi időpontban - esetleg a fellebbezési határidő lejárta után is - kellene kiadni a felperesnek. Ez ellentétes a DPC korábbi tájékoztatásával, miszerint a felek a DPC általi bármilyen közzététel előtt megkapják a határozatot.
Max Schrems: "Az, hogy az EDPB hatályon kívül helyezte a határozatot, nagy csapás a DPC-re, most úgy tűnik, hogy megpróbálják befolyásolni az ügy nyilvános megítélését. Tíz évnyi pereskedés során még soha nem láttam, hogy egy határozatot csak az egyik félnek kézbesítettek volna, a másiknak nem. A DPC nagyon ördögi PR-játékot játszik. Azzal, hogy nem engedi, hogy a noyb vagy a nyilvánosság elolvashassa a határozatot, megpróbálja a Meta-val közösen alakítani a határozat narratíváját. Úgy tűnik, hogy a Meta és az ír szabályozó hatóság együttműködése jól működik - annak ellenére, hogy az EDPB felülbírálta."
Következő lépések: A DPC beperli az EDPB-t, a Meta valószínűleg fellebbez. A Meta várhatóan fellebbez a döntés ellen az ír bíróságokon, de az EDPB kötelező érvényű döntése után minimális az esélye, hogy megnyerje a fellebbezést. Az EU Bírósága (EUB) előtt két hasonló ügy is folyamatban van a Meta hozzájárulásos megkerülésével kapcsolatban, ami végleg lezárhatja a kérdést és az összes fellebbezést. Egy mellékszálként a DPC azt is bejelentette, hogy egy kapcsolódó kérdésben beperelheti az EDPB-t, mivel az EDPB további vizsgálati lépések megtételére kötelezte a DPC-t a Metával kapcsolatban, a noyb által eldöntött panaszokon túl. A DPC úgy véli, hogy az EDPB-nek nincs ilyen hatásköre, és megpróbálja majd elérni, hogy ezt a határozatot megsemmisítsék. A felhasználók is felléphetnek az adataik elmúlt 4,5 év során történt jogellenes felhasználása miatt.
