Az ír DPC végleges döntést hozott a Meta által a felhasználói adatok személyes reklámozás céljából történő jogellenes feldolgozásáról. Itt egy letöltési link és egy első gyors összefoglaló a noyb által.
A DPC határozata egyértelműen mutatja az ír DPC és az EDPB közötti masszív nézeteltérést.
Hatalmas vita a DPC és az uniós partnerek között. A DPC határozatából kiderül, hogy az osztrák, a német, a francia, az olasz, a holland, a norvég, a lengyel, a portugál, a svéd és a lengyel hatóságok hivatalos kifogást emeltek a DPC határozata ellen. Hagyományosan azonban a hatóságok nem emelnek hivatalosan kifogást, ha egyértelmű, hogy az ügyet már több hatóság is felvetette. A DPC nem is törődött a határozat módosításával és az álláspontok kiigazításával, hanem egyszerűen csak átemelte az EDPB álláspontját a korábbi határozatba.
Max Schrems:"A határozat úgy olvasható, mint egy házi feladat, ahol a tanuló még csak nem is törődött a hibák megváltoztatásával, hanem egyszerűen bemásolta a tanár javításait egy szövegbe"
A DPC döntése nem biztos, hogy pontot tesz az ügy végére. A döntés a jelek szerint nem foglalkozik teljes mértékben a noyb panaszaival sem, mivel a határozat nem terjed ki olyan kérdésekre, mint például a személyes adatok felhasználása a Facebook platform fejlesztésére vagy személyre szabott tartalmakhoz. Az EDPB további vizsgálatokat is követelt. Emellett az alapvető konfliktus az, hogy az osztrák vagy a német jog szerint a panasz határozza meg az eljárás hatályát, a DPC azonban úgy véli, hogy az ír jog szerint korlátozhatja a panasz hatályát. a noyb-nek lehet, hogy ezekre hivatkozva fellebbeznie kell a határozat ellen.
Minimális bírság a felhasználói jogok tényleges megsértéséért? Egy meglehetősen megdöbbentő elem a bírságok mértékét érinti. Míg az EDPB "lényegesen magasabb" bírságot követelt, a DPC döntött a végső számokról. Míg a DPC az átláthatósági kérdések miatt összesen 150 millió eurós bírságot szabott ki a Facebookra, addig a DPC csak 60 millió eurós bírságot szabott ki a Metára, mivel nem volt jogalapja több millió európai felhasználó adatainak mintegy öt éven át tartó feldolgozására.
Max Schrems:"A jelek szerint a DPC-nek fontosabb a felhasználók átlátható módon történő átverése, mint az, hogy egyáltalán ne verjék át őket"
További részletek a felsorolásban. A határozat különböző kérdésekkel foglalkozó részekre és egy eljárási kérdésekkel foglalkozó ütemtervre tagolódik. Az alábbiakban olvasható egy rövid összefoglaló a legfontosabb tudnivalókról, azokkal a bekezdésekkel, ahol a Facebook végleges döntésében megtalálható a pont. Az Instagram-határozat esetében lehetnek kisebb eltérések, de várhatóan nagyrészt hasonlóak lesznek.
Ha a Meta használhatja a hozzájárulást (a határozat 1. pontja)
- A DPC megpróbálja figyelmen kívül hagyni azt a kérdést, hogy a Meta szándékosan félrevezette-e a felhasználókat azzal, hogy egyszerűen azt mondja, hogy ez egy átláthatósági kérdés (2.19. pont), a DPC ezért elutasítja, hogy nem vizsgálta ki teljes mértékben az eredeti panaszt (2.20. pont).
- Az EDPB megállapította, hogy a DPC-nek"a panasz teljes körű elbírálásáhoza "[Facebook] feldolgozási műveleteinek, a feldolgozott adatok kategóriáinak (beleértve a feldolgozható személyes adatok különleges kategóriáinak azonosítását) és az általuk szolgált céloknak a vizsgálatát" kellett volna magában foglalnia.
- A DPC továbbra is figyelmen kívül hagyja a panaszok központi kérdését, nevezetesen azt, hogy a feltételekben szereplő záradékok de facto rejtett hozzájárulási záradéknak(falsa demonstratio) minősülnek-e. Ehelyett a DPC csatlakozott a Meta álláspontjához, miszerint ha az adatkezelő soha nem kért hozzájárulást. Ha ez a helyzet, akkor nem lehet szó hozzájárulásról (3.10. §), és ezért az ügyet nem kell vizsgálni, még akkor sem, ha a vád szerint a Meta egyszerűen beleillesztett egy hozzájárulási záradékot a feltételekbe.
- A DPC folyamatosan figyelmen kívül hagyja azt a tényt, hogy egy 1.000 felhasználó körében végzett vizsgálat szerint több mint 60%-uk ezt beleegyezésnek, kevesebb mint 2%-uk pedig szerződésnek tekintette. Az EDPB kiemelte, hogy a tanulmány fontos információ, amelyet a DPC nem vett figyelembe, és nem szerepelt a határozattervezetben.
- Az EDPB hatályon kívül helyezte a DPC értékelését arra vonatkozóan, hogy a Meta weboldalon az "elfogadás" gombra való kattintás valóban a 6. cikk (1) bekezdésének a) pontja szerinti "hozzájárulásnak" vagy a 6. cikk (1) bekezdésének b) pontja szerinti "szerződésnek" minősül-e a GDPR alapján.
- Az EDPB követelte, hogy a DPC távolítsa el a határozatból az "1. kérdéssel" kapcsolatos összes következtetést (lásd a 3.26. pontot). Míg a DPC továbbra is megtartja a határozattervezet 15-21. oldalán található összes megállapítását (az EDPB álláspontjával szemben), a DPC a szakasz végén egyetlen bekezdéssel egészítette ki, amely szerint (annak ellenére, hogy megtartotta az EDPB álláspontjával szembeni összes érvet) "nem tesz megállapítást az 1. kérdéssel kapcsolatban".
Ha a Meta használhatja a 6. cikk (1) bekezdésének b) pontja szerinti "szerződést" (a határozat 2. kérdése)
- A DPC megtagadta minden olyan feldolgozási művelet vizsgálatát, ahol a Meta a 6. cikk (1) bekezdésének b) pontjára hivatkozik, mivel"a panaszosnak ... nem állna módjában ilyen értékelést követelni". A Facebook következésképpen soha nem nyújtott be listát az összes feldolgozási műveletről és a vonatkozó jogalapról. Ez sértheti az osztrák jogot, ahol a panasz terjedelme egyértelműen a panaszosra tartozik. A DPC ezért csak elvi szinten vizsgálta az ügyet (4.7. §), a "viselkedésalapú hirdetésekre" összpontosítva. Ez megtámadhatóvá teheti a határozatot, mivel a személyre szabás más formái (mint például a tartalom személyre szabása, a termék javítása és hasonlók) vagy a GDPR 9. cikke szerinti érzékeny személyes adatok kezelése is felmerült, de a DPC vizsgálata és határozata nem foglalkozott vele.
- A DPC nem lát joghatóságot annak értelmezésére, hogy mi a "szerződés", és úgy véli, hogy a DPC joghatósága a GDPR-ra korlátozódik (4.13. §). Ez eléggé megdöbbentő, mivel annak meghatározása, hogy mit tartalmaz a szerződés, logikus előfeltétele annak meghatározásához, hogy az adatkezelés "szükséges"-e a szerződés teljesítéséhez. noyb korábban azt mondta, hogy a szerződés értékelésének mellőzése egyenlő azzal a trükkel, hogy nem foglalkoznak az üggyel. A DPC"a leghatározottabban visszautasítja a noyb részérőla rosszhiszeműségre, tisztességtelenségre és egyébként jogellenes magatartásra vonatkozó súlyos állításokat", amikor a szerződéses szükségességet a DPC egyszerűen nem vizsgálta. A DPC nem fogadja el, hogy a szerződésben foglaltak nem kivizsgálása"az igazságszolgáltatás megtagadása" lenne (4.16. §).
- A 4.26-4.55. §-ban a DPC megismétli a DPC és az EDPB közötti nézeteltérést, ahol a DPC azt mondja, hogy nem értékelheti a szerződések tartalmát, és a tág értelmezést részesítené előnyben, amikor bármi, amit egy szerződésbe vagy általános szerződési feltételbe tesznek, "szükséges" az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja értelmében.
- Úgy tűnik, hogy az EDPB az EUB C-252/21 és C-446/21 számú, a Meta által a személyes adatok reklámcélú felhasználására vonatkozó ténymegállapításokra vonatkozó hivatkozásaira támaszkodott, és hasonlóképpen, mivel a DPC elutasította az ügy teljes körű vizsgálatát (37. és 38. oldal). Úgy tűnik, hogy komoly eljárási probléma áll fenn, mivel az EDPB-nek egyszerűen hiányozhatnak a tényszerű bizonyítékok ahhoz, hogy a teljes panaszról döntést hozzon, ha a DPC folyamatosan megtagadja az ügy teljes körű kivizsgálását is.
- A DPC ezután egyszerűen átmásolja az EDPB határozatát a DPC határozattervezetébe. Az EDPB kiemeli:
- Az EDPB nagyrészt elutasítja a DPC véleményét, és kiemeli, hogy a noyb tanulmánya szerint a felhasználók ezt nem szerződésnek, hanem beleegyezésnek tekintik.
- Az EDPB szerint az, hogy a Meta a személyre szabott hirdetéseken keresztül akar profitot termelni, még nem teszi azt "szükségessé", mivel a Meta a kontextus vagy más adatok alapján is futtathatna hirdetéseket.
- Az EDPB úgy véli, hogy a Meta szolgáltatásainak fő célja a kommunikáció, nem pedig a személyre szabott hirdetések.
- Az EDPB véleménye szerint a DPC és a Meta álláspontja más szolgáltatókat is arra ösztönözhet, hogy a 6. cikk (1) bekezdésének b) pontját a hozzájárulási kötelezettség megkerülésére használják.
- Az EDPB csatlakozik az osztrák, német, francia, olasz, holland, norvég, lengyel, portugál, svéd, olasz és német hatóságok álláspontjához, miszerint a viselkedésalapú reklám"objektíve nem szükséges a Meta állítólagos szerződésének teljesítéséhez".
- Minden további kommentár nélkül a DPC ezután a 4.56. §-ban megállapítja (mindazzal ellentétben, amit korábban állított), hogy"az EDPB utasításának megfelelően" megállapítja, hogy"a Facebook nem volt jogosult a GDPR 6. cikke (1) bekezdésének b) pontjára hivatkozni" a viselkedésalapú célzással kapcsolatban.
A "megkerülés" átláthatósága
- A DPC eddig főként azon az állásponton volt, hogy a Metának egyszerűen átláthatóbbá kellett volna tennie a GDPR (a DPC szerint egyébként jogszerű) megkerülését. Ez azt jelentette volna, hogy a felhasználók csupán egy további felugró ablakot vagy hasonlót láthattak volna, de ez nem akadályozta volna meg a Metát abban, hogy tovább visszaéljen a felhasználói adatokkal. Az átláthatóság hiányát a határozatban fenntartják és az 5.1-5.77. §-ban kifejtik.
- Az EDPB azonban ragaszkodott ahhoz, hogy ez a GDPR 5. cikke (1) bekezdésének a) pontját is sérti, ami viszont azt is jelenti, hogy a felhasználók személyes adatait nem lett volna szabad feldolgozni.
- A DPC ismét csak bemásolta/beillesztette az EDPB határozatát a saját határozatába, és egy sorral kiegészítette, mondván, hogy az EDPB határozata szerint ezt a további megállapítást neki kell megtennie.
A végleges végzések:
- Az EDPB három hónapos határidőt kért a végzés teljesítésére az EDPB végzés kézbesítésétől számítva. Megtiltja a Metának, hogy a 6. cikk (1) bekezdésének b) pontját az EDPB végzésében leírtak szerint alkalmazza.
- A DPC leszögezte, hogy az EDPB határozatának azt kell jelentenie, hogy "az adatkezelés" kizárólag a reklám célú adatkezelésre korlátozódik. Úgy tűnik, hogy a panasz egyéb szempontjaival a DPC nem foglalkozott, ami önmagában is jogellenes lehet.
- A DPC úgy módosította az EDPB határozatát, hogy a három hónapos határidő nem az EDPB határozat Meta részére történő kézbesítésétől (valamikor decemberben), hanem a DPC határozatának kézbesítésétől (valamikor januárban) kezdődik (lásd a 8.11. pontot). A DPC-nek az EDPB határozatától való ilyen eltérése jogellenesnek tűnik.
- Az EDPB alapvetően nem értett egyet a DPC bírsággal kapcsolatos álláspontjával. A német hatóság még "kontrafaktikusnak" is nevezte azt (91. oldal). Ugyanakkor az EDPB-nek nem állt rendelkezésére olyan bizonyíték sem, amely alapján megállapíthatta volna, hogy a Meta "szándékosan" megsértette a GDPR-t, ahogyan azt a svéd adatvédelmi hatóság állította.
- Az EDPB nem állapított meg konkrét bírságot, hanem csak "lényegesen magasabb" bírságot követelt az adatvédelmi hatóságtól.
- A 100-153. oldalt a DPC által megemelt bírság újraértékelésének szentelték. A bírság 80 millió euróra, 70 millió euróra oszlik az átláthatóság hiánya miatt, és csupán 60 millió euróra az uniós felhasználók millióinak személyes adatainak a 6. cikk (1) bekezdésének b) pontja szerinti tényleges jogellenes feldolgozásával kapcsolatban (10.45. §).
Helyesbítés: E cikk első változata azt említette, hogy a DPC részben eltért az EDPB határozatától. Tekintettel arra, hogy a teljes EDPB-határozat mostanra megjelent, úgy tűnik, hogy a vonatkozó elem összhangban van az EDPB-határozattal, és a megjegyzést eltávolítottuk a noyb.eu weboldalról.
