BREAKING: Meta (Facebook i Instagram) ma zakaz wykorzystywania danych osobowych do reklam. Poważny cios dla modelu biznesowego Mety w Europie, po sporze z Noyb . Grzywna dla Mety ponad dziesięciokrotna z 32 do 390 Mio euro. Trzecia sprawa dotycząca WhatsApp w toku.
Jak potwierdza irlandzki DPC, Europejska Rada Ochrony Danych (EDPB) odrzuciła irlandzki DPC i obejście GDPR przez Metę w oparciu o skargi noyb przeciwko Facebookowi i Instagramowi. Meta ma teraz zakaz omijania GDPR poprzez klauzulę w regulaminie. Meta musi uzyskać "opt-in" zgodę na spersonalizowane reklamy i musi zapewnić użytkownikom opcję "tak / nie". Decyzja w sprawie trzeciej równoległej sprawy dotyczącej WhatsApp jest opóźniona do połowy stycznia.
- Explainer video na temat obejścia Meta (z grudnia 2022)
- Oryginalne skargi autorstwa noyb z 2018 r
- Wcześniejsze doniesienia o pierwszych informacjach o decyzji EDPB (Reuters)
Kluczowe fakty:
- Dwie skargi złożone przez noyb w imieniu austriackiego i belgijskiego użytkownika 25 maja 2018 roku (dzień, w którym zaczęło obowiązywać GDPR) zostały dziś rozstrzygnięte.
- Trzecia skarga na WhatsApp w imieniu niemieckiego użytkownika została odłożona do połowy stycznia, zgodnie z e-mailem DPC.
- Meta próbowała "obejść" wymóg zgody w GDPR, dodając klauzulę do warunków reklamy.
- W grudniu 2022 roku EDPB obalił poprzedni projekt decyzji irlandzkiego DPC, który stał na stanowisku, że obejście GDPR przez Metę było legalne.
- Ostateczna decyzja wymaga, aby Meta nie mogła wykorzystywać danych osobowych do reklam na podstawie rzekomej "umowy". Użytkownicy muszą więc mieć zapewnioną opcję zgody tak/nie ("opt-in"), w przeciwnym razie Meta nie może wykorzystywać ich danych do spersonalizowanych reklam.
- Decyzja nie zakazuje innych form reklamy (jak reklamy kontekstowe, oparte na treści strony).
- Oprócz stwierdzenia, że wykorzystywanie przez Meta danych osobowych było nielegalne od maja 2018 r.
- Grzywna dla Facebooka i Instragrama wynosi łącznie 380 mln euro. Należy się spodziewać dodatkowej grzywny dla WhatsApp w równoległym postępowaniu.
Meta chciała "ominąć" GDPR. GDPR pozwala na sześć podstaw prawnych do przetwarzania danych, z których jedną jest zgoda na mocy art. 6 ust. 1 lit. a). Meta próbowała obejść wymóg zgody na śledzenie i reklamy online, argumentując, że reklamy są częścią "usługi", którą umownie zawdzięcza użytkownikom. Rzekoma zamiana podstawy prawnej nastąpiła dokładnie 25 maja 2018 r. o północy, gdy GDPR weszło w życie. Tak zwana "konieczność umowna" z art. 6 ust. 1 lit. b) jest zwykle rozumiana wąsko i pozwalałaby np. sklepowi internetowemu na przekazanie adresu do usługi pocztowej, ponieważ jest to ściśle niezbędne do dostarczenia zamówienia. Meta stanęła jednak na stanowisku, że może po prostu dodać do umowy przypadkowe elementy (takie jak spersonalizowane reklamy), aby uniknąć opcji zgody tak/nie dla użytkowników.
Max Schrems:"Zamiast mieć opcję 'tak/nie' dla spersonalizowanych reklam, po prostu przenieśli klauzulę zgody w warunkach. Jest to nie tylko niesprawiedliwe, ale wyraźnie nielegalne. Nie jesteśmy świadomi żadnej innej firmy, która próbowała zignorować GDPR w tak arogancki sposób."
380 mln euro grzywny, DPC chciała € 28 do 36 mln. Oprócz ogólnego zatrzymania spersonalizowanych reklam, EDPB nalegał na ogromną grzywnę dla Meta. W końcu firma oparła większość komercyjnego przetwarzania danych na celowym naruszeniu prawa. EDPB wydała już wytyczne w tej sprawie w 2019 roku. Meta już wcześniej została uderzona ponad 900 mln euro grzywny GDPR w innych przypadkach. Grzywna trafia do państwa irlandzkiego, a nie do skarżącego, noyb czy EDPB. DPC wcześniej poprosił o 28 do 36 milionów euro w projekcie decyzji, tylko 10% obecnie ostatecznego orzeczenia EDPB.
Max Schrems: "Kara trafi do Irlandii - państwa, które stanęło po stronie Mety i opóźniało egzekwowanie prawa przez ponad cztery lata. Ta sprawa zostanie prawdopodobnie zaskarżona przez Metę, co doprowadzi do kolejnych kosztów dla noyb."
DPC i Meta współpracowały i dostały uchylenie przez EDPB. W trakcie postępowania Meta powołała się na dziesięć poufnych spotkań z irlandzkim DPC, w których DPC zezwoliła Mecie na korzystanie z tego "obejścia". Później ujawniono, że DPC próbował nawet wpłynąć na odpowiednie wytyczne EDPB w interesie Mety. Mimo to pozostałe europejskie organy ochrony danych odrzuciły pogląd DPC wewnętrznie w 2018 roku, w Wytycznych w 2019 roku i ponownie w ostatecznej decyzji EDPB w grudniu 2022 roku. Sprawa eskalowała do 4,5 roku z setkami stron raportów i zgłoszeń, mimo że sprawa dotyczyła dość prostego pytania prawnego.
Max Schrems:"Ta sprawa dotyczy prostego pytania prawnego. Meta twierdzi, że 'obwodnica' powstała z błogosławieństwem DPC. Przez lata DPC przeciągało procedurę i nalegało, że Meta może ominąć GDPR, ale teraz zostało unieważnione przez inne organy UE. W sumie to już czwarty raz z rzędu irlandzkie DPC zostało unieważnione."
DPC widzi zwycięstwo w kwestii "przejrzystości"? W oświadczeniu medialnym DPC kluczowa kwestia, czy Meta może udostępniać dane użytkowników do celów reklamowych, została pogrzebana w mniejszej debacie na temat przejrzystości, w której znalazła naruszenie.
"To dość żałosne, jeśli DPC twierdzi teraz, że inne organy zgodziły się na drobną kwestię przejrzystości.To wymagałoby tylko zmiany niektórych tekstów na stronie Meta. Zasadniczą kwestią było to, że Meta nielegalnie przetwarzała dane użytkowników przez ponad cztery lata, DPC osłaniało Metę i zostali przegłosowani na poziomie UE."
Konsekwencja: brak spersonalizowanych reklam, mniejsze zyski. Decyzja oznacza, że Meta musi w ciągu trzech miesięcy pozwolić użytkownikom na taką wersję wszystkich aplikacji, która nie wykorzystuje danych osobowych do reklam. Decyzja nadal pozwalałaby Mecie wykorzystywać dane nieosobowe (takie jak treść opowiadania) do personalizacji reklam lub pytać użytkowników o zgodę na reklamy poprzez opcję "tak/nie". Użytkownicy muszą mieć możliwość wycofania zgody w dowolnym momencie, a Meta nie może ograniczyć usługi, jeśli użytkownicy zdecydują się to zrobić. Choć ograniczy to drastycznie zyski Meta w UE, nie zablokuje całkowicie reklam. Zamiast tego decyzja postawi Metę na tym samym poziomie, co inne strony internetowe lub aplikacje, które muszą zapewnić użytkownikom opcję "tak/nie".
Max Schrems:"To ogromny cios dla zysków Mety w UE. Ludzie muszą być teraz pytani, czy chcą, aby ich dane były wykorzystywane do reklam, czy nie. Muszą mieć opcję "tak lub nie" i mogą w każdej chwili zmienić zdanie. Decyzja zapewnia również równe szanse z innymi reklamodawcami, którzy również muszą uzyskać zgodę opt-in."
DPC cenzuruje decyzję od powoda i opinii publicznej, zapewniając, że Meta i DPC kontrolują narrację medialną. W zadziwiającym posunięciu DPC poinformowało dziś noyb , że pomimo bycia jedną z dwóch stron postępowania, DPC nie wyda decyzji noyb. Jako powód DPC podał nagle rzekomą "poufność" decyzji. Decyzja powinna zostać wydana powodowi w późniejszym terminie - być może nawet po upływie czasu trwania ewentualnego odwołania. Jest to sprzeczne z wcześniejszymi informacjami DPC, że strony otrzymają decyzję przed jakąkolwiek publikacją przez DPC.
Max Schrems:"Obalenie decyzji przez EDPB to poważny cios dla DPC, nie wydaje się, aby próbowali oni przynajmniej zyskać na publicznym odbiorze tej sprawy. W ciągu dziesięciu lat prowadzenia sporów sądowych nigdy nie widziałem, aby decyzja została doręczona tylko jednej stronie, ale nie drugiej. DPC gra bardzo diaboliczną grę public relations. Nie pozwalając Noyb ani opinii publicznej na zapoznanie się z decyzją, próbuje kształtować narrację decyzji wspólnie z Metą. Wygląda na to, że kooperacja pomiędzy Metą a irlandzkim regulatorem ma się dobrze i żyje - pomimo uchylenia decyzji przez EDPB."
Kolejne kroki: DPC pozywa EDPB, Meta prawdopodobnie się odwoła. Meta prawdopodobnie odwoła się od decyzji w irlandzkich sądach, ale szanse na wygranie takiego odwołania są minimalne po wiążącej decyzji EDPB. Przed Trybunałem Sprawiedliwości UE (TSUE) toczą się również dwie podobne sprawy dotyczące obejścia Meta, które mogą rozstrzygnąć sprawę i wszystkie odwołania na dobre. Na marginesie DPC ogłosiło również, że może pozwać EDPB w odniesieniu do kilku kwestii, ponieważ EDPB zażądało od DPC podjęcia dalszych kroków dochodzeniowych w sprawie Mety, wykraczających poza skargi złożone przez Noyb. DPC uważa, że EDPB nie ma takich uprawnień i będzie się starać o unieważnienie tej decyzji. Użytkownicy mogą wtedy również podjąć działania w związku z nielegalnym wykorzystaniem ich danych przez ostatnie 4,5 roku.