A GDPR hat jogalapot biztosít a személyes adatok feldolgozására. A következők esetében Meta kontra Bundeskartellamt ügybenügyben az EUB ma mindegyikről döntött, tovább pontosítva ezzel a GDPR értelmezését. Az EUB nagyrészt bezárta a Meta előtt a személyes adatok felhasználásának lehetőségét az alapvető termékek (például üzenetküldés vagy tartalommegosztás) biztosításához feltétlenül szükséges mértéket meghaladó mértékben - minden más feldolgozáshoz (például a reklámozáshoz és a személyes adatok megosztásához) a felhasználók önkéntes és tisztességes hozzájárulása szükséges.
- Ítélet a Német és Francia
- Az EUB sajtóközleménye
- Az EDPB korábbi határozata, amely 320 millió eurós bírságot szabott ki
- A Meta által alkalmazott "kényszerített hozzájárulás" megközelítésének háttere
- A Meta "jogos érdek" felé történő elmozdulásának háttere
Első nyilatkozat. a noyb-nak még tanulmányoznia kell ennek a hatalmas ítéletnek a részleteit. A határozat élő olvasata alapján úgy tűnik, hogy a Meta/Facebookot eltiltották attól, hogy a hozzájáruláson kívül bármi mást használjon olyan kulcsfontosságú műveletekhez, amelyekre az európai profitszerzéshez támaszkodik.
Max Schrems:"Üdvözöljük az EUB döntését. Tovább tisztázza, hogy a Meta nem kerülheti meg egyszerűen a GDPR-t néhány bekezdéssel a jogi dokumentumaiban. Ez azt jelenti, hogy a Metának megfelelő hozzájárulást kell kérnie, és nem használhatja fel erőfölényét arra, hogy az embereket olyan dolgok elfogadására kényszerítse, amelyeket nem akarnak. Ez pozitív hatással lesz a noyb és a Meta között Írországban folyamatban lévő peres ügyekre is."
A Meta "meg akarta kerülni" a GDPR-t. A GDPR 6. cikkének (1) bekezdése hat jogalapot tesz lehetővé az adatkezelésre, amelyek közül az egyik a 6. cikk (1) bekezdésének a) pontja szerinti hozzájárulás, de a Meta a másik öt jogalapon keresztül akarta megkerülni a hozzájárulás követelményét. Az EUB lényegében mindegyikükkel foglalkozott - az ítéletben a 6. cikk (1) bekezdésének a) pontjától egészen az f) pontig hivatkozott. A Meta elsősorban azzal próbálta megkerülni a nyomon követésre és az online hirdetésekre vonatkozó hozzájárulási kötelezettséget, hogy a hirdetések a "szolgáltatás" részét képezik, amellyel szerződésszerűen tartozik a felhasználóknak. A jogalap állítólagos váltása pontosan 2018. május 25-én éjfélkor történt, amikor a GDPR hatályba lépett. A 6. cikk (1) bekezdésének b) pontja szerinti úgynevezett "szerződéses szükségességet" általában szűken értelmezik, és például lehetővé tenné egy webáruház számára, hogy továbbítsa a címet egy postai szolgáltatónak, mivel ez feltétlenül szükséges a megrendelés kézbesítéséhez. A Meta azonban úgy vélte, hogy a szerződésbe csak véletlenszerű elemeket (pl. személyre szabott reklámot) illeszthet, hogy a felhasználók számára ne legyen igen/nem beleegyezési lehetőség.
Max Schrems:"Ahelyett, hogy a személyre szabott hirdetésekre vonatkozóan igen/nem opciót adtak volna, egyszerűen áthelyezték a hozzájárulási záradékot az általános szerződési feltételekbe. Ez nem csak tisztességtelen, hanem egyértelműen jogellenes. Nem tudunk más olyan vállalatról, amely ilyen arrogáns módon próbálta volna figyelmen kívül hagyni a GDPR-t."
A Meta "jogos érdek" felé történő elmozdulása szintén kudarcot vallott. Az EDPB döntése után, amely megtiltotta a 6. cikk (1) bekezdésének b) pontja szerinti "megkerülést", a Meta idén tavasszal áttért a GDPR 6. cikke (1) bekezdésének f) pontjára. Az EUB úgy tűnik, hogy a Meta azon reményeit is szertefoszlatta, hogy a GDPR 6. cikke (1) bekezdésének f) pontja szerinti reklámozáshoz csak az úgynevezett "jogos érdek" felé mozduljon el. Bár az EUB nem zárta ki, hogy létezhet jogos érdek (pl. a hálózatbiztonság érdekében), az ítélet egyértelművé teszi, hogy nincs olyan "jogos érdek", amely felülírná a felhasználók jogait, amikor az adatkezelők reklámot próbálnak nyújtani. Ez alapvetően korlátozza bármely uniós adatkezelőt abban, hogy a szabadon adott (igen/nem) beleegyezésen kívül személyre szabott hirdetéseket futtasson.
Max Schrems: "Ez hatalmas csapás a Meta, de más online hirdető cégek számára is. Világossá teszi, hogy az iparág különböző jogi elméletei a GDPR megkerülésére semmisek."
