Irlandzki Urząd Ochrony Danych daje 3,97 mld euro prezentu Mecie? Urząd rzekomo nie może czerpać korzyści finansowych z naruszeń GDPR przez Metę pod uwagę.
W dniu 04.01.2023 r. irlandzka Komisja Ochrony Danych (DPC) ogłosiła grzywnę w wysokości 390 milionów euro przeciwko Meta w związku z bezprawnymi spersonalizowanymi reklamami na Facebooku i Instagramie. Pierwsza analiza decyzji ujawnia obecnie, że DPC przy obliczaniu grzywny przymknęła oko na przychody uzyskane z naruszenia GDPR. Stało się tak pomimo tego, że większość 2/3 głosów wszystkich organów UE (EDPB) nakazała irlandzkiemu DPC uwzględnienie miliardów euro nieuczciwie uzyskanych przez Metę przychodów. Dzięki temu manewrowi DPC Meta zaoszczędziła prawie 4 mld euro.
- pismo Noyb do EDPB, w którym podkreśla się, że DPC nie zastosowała się do decyzji EDPB (PDF)
- Tabela z odpowiednimi liczbami (PDF)
- Publiczne informacje Facebooka na temat użytkowników i przychodów (zob. "Earning Slides")
Kontekst: Naruszenie GDPR przez Meta. W trwającej 4,5 roku batalii o brak podstawy prawnej do dostarczania spersonalizowanych reklam w UE, noyb zaliczył ważne zwycięstwo. Europejska Rada Ochrony Danych (EDPB) obaliła zasadniczy element poprzedniego projektu decyzji irlandzkiego DPC i uznała, że Meta nie miała odpowiedniej podstawy prawnej do przetwarzania danych osobowych na potrzeby reklamy behawioralnej. Próba wciśnięcia przez Metę "porozumienia" do warunków Facebooka i Instagrama została uznana za niezgodną z prawem. Wszelkie przetwarzanie oparte na tym "obejściu" od 25 maja 2018 r. było zatem nielegalne. EDPB powiedział DPC, że dodatkowa grzywna musi "czrównoważyć zyski z naruszenia" i nakazał DPC "nałożyć grzywnę, która przekracza tę kwotę".
Nowy rozwój sytuacji: DPC nie jest w stanie oszacować bezprawnych przychodów Meta? W dniu 5 grudnia 2022 r. Europejska Rada Ochrony Danych (EDPB) nakazała DPC oszacować, ile Meta uzyskała dochodów w wyniku naruszenia GDPR, i uwzględnić tę kwotę w grzywnie. Jednak D PC po prostu zignorowała nielegalne przychody uzyskane przez Metę i stwierdziła, że"Komisja nie jest w stanie oszacować tych kwestii" , a zatem "nie może ich uwzględnić". Dzieje się tak pomimo posiadania uprawnień do żądania takich informacji od Mety na mocy art. 58 ust. 1 GDPR.
Max Schrems, przewodniczący noyb:"Wszyscy wiemy o ogromnych przychodach Meta. To zadziwiające, że nie zostało to wzięte pod uwagę przez DPC. DPC nie skorzystało nawet ze swoich ustawowych uprawnień, aby poprosić Metę o te informacje. Zbadaliśmy zatem publicznie dostępne informacje i stwierdziliśmy, że sam ten czynnik powinien był zwiększyć grzywnę o 3,97 mld euro."
Kontekst dotyczący grzywien GDPR. Artykuł 83 GDPR określa zasady dotyczące grzywien. Każda grzywna musi być ogólnie"skuteczna, proporcjonalna i odstraszająca", musi uwzględniać"korzyści finansowe uzyskane ... z naruszenia", ale są również ograniczone do 4% globalnego obrotu z ubiegłego roku. W przypadku spółki Meta oznaczałoby to maksymalną grzywnę w wysokości 4,36 mld EUR. EDPB w konsekwencji zwróciła się do DPC o zbadanie "korzyści finansowych" Meta z naruszenia art. 6 ust. 1 GDPR przez około 4,5 roku, ponieważ grzywna, która byłaby poniżej tych korzyści, z trudem mogłaby być"skuteczna, proporcjonalna i odstraszająca".
Max Schrems:"Maksymalny pułap 4% globalnego obrotu został łatwo przekroczony przez przychody z bezprawnego przetwarzania danych w ciągu ostatnich 4,5 roku. Z informacji publicznej łatwo wykazać, że sam czynnik przychodu wymagałby nałożenia maksymalnej grzywny."
Informacja publiczna i arkusz kalkulacyjny. Meta, będąc spółką giełdową, publikuje większość istotnych danych finansowych. Według raportów samej Mety, w okresie od III kwartału 2018 r. do III kwartału 2022 r. zarobiła ona na reklamach na kontynencie europejskim 84,7 mld euro (91,59 mld dolarów). Po skorygowaniu o liczbę użytkowników tylko w UE było to mniej więcej 72,5 mld euro (78,4 mld dolarów). Podczas gdy "reklama behawioralna" nie stanowi całego przychodu z reklamy Meta, jasne jest, że w każdym realistycznym scenariuszu przychód z "reklamy behawioralnej" w UE przekroczył maksymalną grzywnę w wysokości 4,36 mld euro.
Max Schrems:"Nie sprawdzając nawet publicznie dostępnych informacji, DPC przekazał Mecie 3,97 mld euro. Dokonanie obliczeń zajęło nam godzinę i arkusz kalkulacyjny. Jestem pewien, że irlandzcy podatnicy nie mieliby nic przeciwko posiadaniu tej dodatkowej gotówki, gdyby pracownik DPC po prostu otworzył wyszukiwarkę i zrobił kilka badań."
Meta wciąż zarabia na łamaniu GDPR aż 68,17 mld euro. Nawet jeśli zostałaby nałożona maksymalna kara w wysokości 4%, to Meta i tak zarobiłaby na naruszeniu GDPR od 2018 roku aż 68 miliardów euro, jeśli przyjąć, że w zasadzie każda reklama na Mecie jest obecnie "reklamą behawioralną". Wynika to głównie z faktu, że postępowanie było masowo opóźniane przez DPC i trwało 4,5 roku, podczas gdy maksymalna grzywna może być obliczana tylko na podstawie jednego roku. Naruszenie Meta również prawdopodobnie przekroczyło 4% w każdym roku, co oznacza, że przychody znacznie przekroczyły maksymalną grzywnę rocznie.
Max Schrems:"Bottom line, absolutnie opłaciło się Meta naruszać GDPR, a irlandzki DPC sprawił, że jeszcze bardziej opłacało się Meta naruszać prawo UE."
List do EDPB. noyb wysłał teraz list do EDPB wyszczególniając problem w decyzji DPC i wszystkie obliczenia. noyb prosi EDPB o zapewnienie, że jego decyzja zostanie w pełni podtrzymana przez DPC.