Az ír adatvédelmi hatóság 3,97 milliárd eurós ajándékot ad a Meta? A hatóság állítólag nem tud anyagi hasznot húzni a Meta GDPR megsértéséből figyelembe venni.
2023.01.04-én az ír adatvédelmi bizottság (DPC) 390 millió eurós bírságot jelentett be a Meta ellen a Facebookon és az Instagramon történő jogellenes személyre szabott reklámok miatt. A határozatok első elemzéséből most kiderül, hogy a DPC a bírság kiszámításakor szemet hunyt a GDPR megsértéséből származó bevétel felett. Mindez annak ellenére történt, hogy az összes uniós hatóság (az EDPB) 2/3-os többségi szavazata arra utasította az ír DPC-t, hogy vegye figyelembe a Meta több milliárd eurós jogtalan bevételét. A DPC manőverével a Meta közel 4 milliárd eurót takarított meg.
- a noyb levele az EDPB-nek, amelyben ismerteti, hogy a DPC nem tett eleget az EDPB határozatának (PDF)
- Táblázat a vonatkozó számokkal (PDF)
- A Facebook nyilvános adatai a felhasználókról és a bevételekről (lásd "Earning Slides")
Háttérinformációk: Meta megsértette a GDPR-t. A személyre szabott reklámok nyújtásának jogalapjának hiánya miatt az EU-ban folytatott 4,5 éves csatában a noyb jelentős győzelmet aratott. Az Európai Adatvédelmi Testület (EDPB) hatályon kívül helyezte az ír adatvédelmi hatóság korábbi határozattervezetének központi elemét, és megállapította, hogy a Meta nem rendelkezett megfelelő jogalapot a személyes adatok viselkedésalapú reklámozás céljából történő feldolgozásához. Jogellenesnek találták a Meta azon kísérletét, hogy a Facebook és az Instagram általános szerződési feltételeibe beleszorítson egy "megállapodást". Ezért minden, ezen a "megkerülésen" alapuló adatkezelés 2018. május 25. óta jogellenes volt. Az EDPB közölte a DPC-vel, hogy további bírságot kell "cellensúlyozni a jogsértésből származó nyereséget", és kötelezte a DPC-t, hogy "az említett összeget meghaladó bírságot szabjon ki".
Új fejlemény: A DPC nem tudja megbecsülni a Meta jogellenes bevételeit? 2022. december 5-én az Európai Adatvédelmi Testület (EDPB) arra utasította a DPC-t, hogy számszerűsítse, mennyi bevételt termelt a Meta a GDPR megsértésével, és ezt az összeget vegye figyelembe a bírság kiszabásakor. A DPC azonban egyszerűen figyelmen kívül hagyta a Meta által elért jogellenes bevételt, és azt állította, hogy"a Bizottság nem tudja megállapítani a becslést" , és ezért "nem tudja figyelembe venni ezeket a kérdéseket". Mindezt annak ellenére, hogy az általános adatvédelmi rendelet 58. cikkének (1) bekezdése alapján jogosult volt ilyen információkat kérni a Metától.
Max Schrems, a noyb elnöke:"Mindannyian ismerjük a Meta hatalmas bevételeit. Megdöbbentő, hogy a DPC ezt nem vette figyelembe. A DPC még csak nem is élt a törvényes hatáskörével, hogy tájékoztatást kérjen a Metától. Ezért utánanéztünk a nyilvánosan elérhető információknak, és megállapítottuk, hogy csak ennek a tényezőnek 3,97 milliárd euróval kellett volna megnövelnie a bírságot"."
A GDPR-bírságok háttere. A GDPR 83. cikke határozza meg a bírságokra vonatkozó szabályokat. Minden bírságnak általában"hatékonynak, arányosnak és visszatartó erejűnek" kell lennie, figyelembe kell vennie a"jogsértésből származó ... pénzügyi előnyöket", de a bírságok felső határa az elmúlt év globális forgalmának 4%-a is lehet. A Meta esetében ez legfeljebb 4,36 milliárd eurós bírságot jelentene. Az EDPB ezért arra kérte a DPC-t, hogy vizsgálja meg, hogy a Meta milyen "pénzügyi hasznot" húzott a GDPR 6. cikke (1) bekezdésének megsértéséből mintegy 4,5 éven keresztül, mivel az ezen hasznok alatti bírság aligha lehet"hatékony, arányos és visszatartó erejű".
Max Schrems: "A globális árbevétel 4%-ában meghatározott felső határt könnyedén túllépte az elmúlt 4,5 év során a jogellenes adatkezelésből származó bevétel. A nyilvános információkból könnyen kimutatható, hogy a bevételi tényező önmagában is megkövetelte volna a maximális bírság kiszabását."
Nyilvános információk és egy táblázat. A Meta, mint nyilvánosan jegyzett vállalat, a legtöbb releváns pénzügyi adatot közzéteszi. A Meta saját maga által készített jelentések szerint 2018 harmadik negyedéve és 2022 harmadik negyedéve között 84,7 milliárd eurót (91,59 milliárd USD) keresett az európai kontinensen a hirdetésekből. Kizárólag az uniós felhasználói számokkal kiigazítva ez nagyjából 72,5 milliárd eurót (78,4 milliárd USD) tett ki. Bár a "viselkedésalapú reklám" nem teszi ki a Meta teljes reklámbevételét, egyértelmű, hogy minden reális forgatókönyv szerint a "viselkedésalapú reklámból" származó bevétel az EU-ban meghaladta a 4,36 milliárd eurós maximális bírságot.
Max Schrems:"Azzal, hogy a DPC még csak nem is ellenőrizte a nyilvánosan elérhető információkat, 3,97 milliárd eurót ajándékozott a Metának. Egy óránkba és egy táblázatba került a számítás. Biztos vagyok benne, hogy az ír adófizetők nem bánnák ezt a plusz pénzt, ha a DPC egyik alkalmazottja csak megnyitott volna egy keresőmotort, és végzett volna egy kis kutatást."
A Meta így is 68,17 milliárd euróra tesz szert a GDPR megsértéséből. Még ha a maximális, 4%-os bírságot szabták volna ki, a Meta akkor is akár 68 milliárd eurót keresett volna a GDPR megsértéséből 2018 óta, ha feltételezzük, hogy alapvetően minden hirdetés a Metán jelenleg "viselkedésalapú hirdetés". Ez főként azért van így, mert az eljárást a DPC masszívan elhúzta, és 4,5 évig tartott, míg a maximális bírságot csak egyetlen év alapján lehet kiszámítani. A Meta jogsértése is valószínűleg minden évben túllépte a 4%-ot, ami azt jelenti, hogy a bevétel messze meghaladta az éves maximális bírságot.
Max Schrems:"Végeredményben a Meta számára abszolút kifizetődő volt a GDPR megsértése, az ír DPC pedig még jövedelmezőbbé tette a Meta számára az uniós jog megsértését"
Levél az EDPB-nek. A noyb most levelet küldött az EDPB-nek, amelyben részletezi a DPC határozatában és az összes számításban rejlő problémát. noyb arra kéri az EDPB-t, hogy biztosítsa a DPC határozatának teljes körű betartását.
