noyb panaszok: A WSJ szerint a Meta üzleti modelljét illegálisnak nyilvánították az EU-ban. A Facebook, az Instagram és a WhatsApp már nem futtathat személyre szabott hirdetéseket a felhasználók beleegyezése nélkül
A The Wall Street Journal beszámolója szerint az EDPB úgy döntött, hogy a Meta nem kényszerítheti a felhasználókat arra, hogy hozzájáruljanak a személyre szabott hirdetésekhez. 2018 májusában, amikor a GDPR hatályba lépett az EU-ban, a Meta Ireland Ltd. úgy vélte, hogy "megkerülheti" a felhasználók opt-in beleegyezésének megszerzésére vonatkozó követelményt, egyszerűen egy rendelkezést beillesztve a felhasználási feltételekbe. A noyb digitális jogvédő szervezet 2018. május 25-én panaszt nyújtott be az illetékes adatvédelmi hatóságokhoz. Most, 4,5 évvel később az Európai Adatvédelmi Testület (EDPB) jogellenesnek találta a Meta állítólagos "megkerülését" a GDPR-nek. Az EDPB elutasította az ír adatvédelmi bizottság (DPC) álláspontját is, amely korábban a Meta pártjára állt, miután négy évig tartott az ügy kivizsgálása.
- A Wall Street Journal exkluzív jelentése
- Eredeti panaszok 2018. május 25-től
- A DPC által a "hozzájárulás megkerüléséhez" adott jóváhagyás háttere
- Háttér, hogy a DPC hogyan nyomta rá az EDPB-t a Meta érdekében
- Az EDPB 2/2019. számú iránymutatása a GDPR 6. cikke (1) bekezdésének b) pontjáról
Főbb tények. Íme a legfontosabb tudnivalók:
- A jelenlegi információk a Wall Street Journal tudósításán alapulnak, amely szerint az EDPB"úgy döntött, hogy az uniós adatvédelmi jogszabályok nem teszik lehetővé, hogy a Meta platformok, például az Instagram és a Facebook, a szolgáltatási feltételeiket indoklásként használják az ilyen reklámok engedélyezésére"
- A döntés a noyb által 2018. május 25-én, a GDPR alkalmazásának napján benyújtott panaszok alapján született.
- Az EDPB határozatban kötelezte az ír DPC-t (az EU-ban a Meta szabályozó hatósága), hogy egy hónapon belül hozzon végleges határozatot.
- Az EDPB határozata nem az eljárás előtt álló feleknek, hanem az ír DPC-nek szól.
- Az EDPB ezzel hatályon kívül helyezte az ír DPC korábbi határozattervezetét, amely szerint a Meta által a GDPR megkerülése jogszerű volt.
- Az EDPB határozata előírja, hogy a Meta nem használhat személyes adatokat hirdetésekhez egy állítólagos "szerződés" alapján. A felhasználóknak ezért igen/nem beleegyezési lehetőséget kell biztosítani.
- Az EDPB-határozat nem tiltja a hirdetések más formáit (például az oldal tartalmán alapuló kontextuális hirdetéseket).
- Magát az EDPB-határozatot nem tették közzé, de a DPC végleges határozatával együtt 2023 januárjában fogják közzétenni.
- Az EDPB jelentős bírságot is kért, a pontos összeg még nem ismert.
A Meta a hozzájárulást akarta "megkerülni". A GDPR hat jogalapot engedélyez az adatkezelésre, ezek egyike a 6. cikk (1) bekezdésének a) pontja szerinti hozzájárulás. A Meta azzal az érveléssel próbálta megkerülni a nyomon követésre és az online hirdetésekre vonatkozó hozzájárulási kötelezettséget, hogy a hirdetések a "szolgáltatás" részét képezik, amellyel szerződés szerint tartozik a felhasználóknak. A jogalap állítólagos váltása pontosan 2018. május 25-én éjfélkor történt, amikor a GDPR alkalmazása megkezdődött. A 6. cikk (1) bekezdésének b) pontja szerinti úgynevezett "szerződéses szükségességet" általában szűken értelmezik, és például lehetővé tenné egy webáruház számára, hogy továbbítsa a címet egy postai szolgáltatónak, mivel ez feltétlenül szükséges a megrendelés kézbesítéséhez. A Meta azonban úgy vélte, hogy a szerződésbe csak véletlenszerű elemeket (pl. személyre szabott reklámot) illeszthet, hogy a felhasználók számára ne legyen igen/nem beleegyezési lehetőség.
Max Schrems:"Ahelyett, hogy a személyre szabott hirdetésekre vonatkozóan igen/nem opciót adtak volna, egyszerűen áthelyezték a hozzájárulási záradékot a szerződési feltételekbe. Ez nem csak tisztességtelen, hanem egyértelműen jogellenes. Nem tudunk más olyan vállalatról, amely ilyen arrogáns módon próbálta volna figyelmen kívül hagyni a GDPR-t."
Jelentős bírság várható. A WSJ szerint a személyre szabott hirdetések általános leállítása mellett az EDPB ragaszkodik ahhoz, hogy a Meta masszív bírságot kapjon. A vállalat ugyanis a legtöbb kereskedelmi adatfeldolgozást olyan jogalapra alapozta, amelyet az EDPB 2019-ben kifejezett iránymutatásokban egyértelműen kizárt, ami egyértelműen szándékos törvénysértéshez vezetett. A Metát eddig már több mint 1 milliárd euró GDPR-bírsággal sújtották. Ezt a bírságot a Metának kell megfizetnie az ír államnak.
Max Schrems: "Ez az eljárás az adományokból finanszírozott egyesületünk sok erőforrásából merít. Az ügy ezt követően valószínűleg bíróság elé kerül. A büntetést azonban Írország fogja kapni - az az állam, amely a Meta oldalára állt, és több mint négy éve késlelteti az eljárást."
A DPC és a Meta együttműködött a "bypass" ügyében. Az eljárás során a Meta az ír DPC-vel folytatott tíz bizalmas találkozóra támaszkodott, amelyeken a DPC állítólag engedélyezte a Meta számára, hogy ezt a "kerülőutat" használja. Később kiderült, hogy a DPC még a Meta érdekében is megpróbálta befolyásolni a vonatkozó EDPB iránymutatásokat. Ennek ellenére a többi európai adatvédelmi hatóság már 2018-ban, majd a végleges EDPB-határozatban is elutasította a DPC álláspontját. Az ügy több mint 4,5 évig tartott, és több száz oldalnyi jelentéshez és beadványhoz vezetett, annak ellenére, hogy az ügy egy meglehetősen egyszerű jogi kérdésről szólt.
Max Schrems:"Ez az ügy egy egyszerű jogi kérdésről szól. A lassú eljárás ellenére végül is örülünk az EDPB határozatának"
Következmény: nincsenek személyre szabott hirdetések. A döntés azt jelenti, hogy a Meta köteles lehetővé tenni a felhasználók számára, hogy az összes alkalmazásból olyan változatot kapjanak, amely nem használ személyes adatokat hirdetésekhez. A döntés továbbra is lehetővé tenné a Meta számára, hogy nem személyes adatokat (például egy történet tartalmát) használjon a hirdetések személyre szabásához, vagy hogy a felhasználók hozzájárulását kérje a hirdetésekhez egy igen/nem opcióval. A felhasználóknak bármikor vissza kell tudniuk vonni a hozzájárulást, és a Meta nem korlátozhatja a szolgáltatást. Bár ez drasztikusan korlátozza a Meta nyereségét az EU-ban, nem tiltaná meg teljesen a hirdetéseket. Ehelyett a döntés a Metát ugyanarra a szintre helyezi, mint más weboldalakat vagy alkalmazásokat, amelyeknek igen/nem opciót kell biztosítaniuk a felhasználók számára.
Max Schrems: "Ez hatalmas csapás a Meta profitjára az EU-ban. Az embereket mostantól meg kell kérdezni, hogy akarják-e, hogy az adataikat hirdetésekhez használják vagy sem. Igennel vagy nemmel kell válaszolniuk, és bármikor meggondolhatják magukat. A döntés egyenlő versenyfeltételeket biztosít más hirdetőkkel szembenis , akiknek szintén opt-in beleegyezést kell kérniük."
Következő lépések. Az EDPB döntése az ír DPC elé kerül. Ezt követően a határozatot egy hónapon belül (tehát 2023 januárjában) kézbesíteni kell az írországi Meta és az ausztriai noyb részére. A Meta ezután fellebbezhet a határozat ellen, de az EDPB-határozat után minimális az esélye, hogy megnyerje a fellebbezést. Az EU Bírósága (EUB) előtt két hasonló ügy is folyamatban van a Meta hozzájárulásával kapcsolatban, ami végleg eldöntheti a kérdést és az összes fellebbezést. A felhasználók is felléphetnek az adataik elmúlt 4,5 év során történt jogellenes felhasználása miatt.
