skarginoyb : Model biznesowy Meta uznany za nielegalny w UE wg WSJ. Facebook, Instagram i WhatsApp nie mogą już uruchamiać spersonalizowanych reklam bez zgody użytkowników
Jak donosi The Wall Street Journal, EDPB zdecydowała, że Meta nie może zmuszać użytkowników do wyrażenia zgody na spersonalizowane reklamy. W maju 2018 roku, kiedy GDPR weszło w życie w UE, Meta Ireland Ltd. uważała, że może "obejść" wymóg uzyskania zgody opt-in od użytkowników, po prostu dodając zapis w warunkach. 25 maja 2018 roku organizacja praw cyfrowych noyb złożyła skargi do odpowiednich organów ochrony danych (DPA). Teraz, 4,5 roku później, Europejska Rada Ochrony Danych (EDPB) uznała rzekome "obejście" GDPR przez Meta za nielegalne. EDPB odrzuciła również pogląd irlandzkiej Komisji Ochrony Danych (DPC), która wcześniej stanęła po stronie Mety, po tym jak zajęła cztery lata na zbadanie sprawy.
- Ekskluzywny raport przygotowany przez Wall Street Journal
- Oryginalne skargi z 25 maja 2018 r
- Tło, w jaki sposób DPC zatwierdził "obejście zgody"
- Tło, jak DPC naciskał na EDPB w interesie Mety
- Wytyczne EDPB 2/2019 dotyczące art. 6 ust. 1 lit. b) GDPR
Kluczowe fakty. Oto kluczowe wnioski:
- Aktualne informacje opierają się na raportach Wall Street Journal, zgodnie z którymi EDPB"orzekał, że prawo prywatności UE nie pozwala platformom Meta, takim jak Instagram i Facebook, na wykorzystanie ich warunków świadczenia usług jako uzasadnienia dla zezwolenia na takie reklamy."
- Decyzja ta opiera się na skargach złożonych przez noyb 25 maja 2018 roku, czyli w dniu, w którym zaczęło obowiązywać GDPR.
- EDPB wydała decyzję zobowiązującą irlandzki DPC (regulator dla Meta w UE) do wydania ostatecznej decyzji w ciągu miesiąca.
- Decyzja EDPB nie jest skierowana do stron postępowania, ale do irlandzkiego DPC.
- EDPB uchyliła tym samym poprzedni projekt decyzji irlandzkiego DPC, w którym uznano, że obejście GDPR przez Metę było zgodne z prawem.
- Decyzja EDPB wymaga, aby Meta nie mogła wykorzystywać danych osobowych do reklam na podstawie rzekomej "umowy". Użytkownicy muszą więc mieć opcję zgody tak/nie.
- Decyzja EDPB nie zakazuje innych form reklamy (jak reklamy kontekstowe, oparte na treści strony).
- Sama decyzja EDPB nie została opublikowana, ale zostanie opublikowana wraz z ostateczną decyzją DPC w styczniu 2023 r.
- EDPB zażądało też sporej grzywny, dokładna kwota nie jest jeszcze znana.
Meta chciała "ominąć" zgodę. GDPR dopuszcza sześć podstaw prawnych do przetwarzania danych, jedną z nich jest zgoda na mocy art. 6 ust. 1 lit. a). Meta próbowała obejść wymóg zgody na śledzenie i reklamy online, argumentując, że reklamy są częścią "usługi", którą umownie zawdzięcza użytkownikom. Rzekoma zamiana podstawy prawnej nastąpiła dokładnie 25 maja 2018 r. o północy, kiedy GDPR zaczęło obowiązywać. Tak zwana "konieczność umowna" na podstawie art. 6 ust. 1 lit. b) jest zwykle rozumiana wąsko i pozwalałaby np. sklepowi internetowemu na przekazanie adresu do usługi pocztowej, ponieważ jest to ściśle niezbędne do dostarczenia zamówienia. Meta stanęła jednak na stanowisku, że może po prostu dodać do umowy przypadkowe elementy (takie jak spersonalizowane reklamy), aby uniknąć opcji zgody tak/nie dla użytkowników.
Max Schrems:"Zamiast mieć opcję tak/nie dla spersonalizowanych reklam, po prostu przenieśli klauzulę zgody w warunkach. Jest to nie tylko niesprawiedliwe, ale wyraźnie nielegalne. Nie jesteśmy świadomi żadnej innej firmy, która próbowała zignorować GDPR w tak arogancki sposób."
Spodziewana znaczna grzywna. Oprócz ogólnego zatrzymania spersonalizowanych reklam, EDPB nalegało na ogromną grzywnę dla Meta, według WSJ. W końcu firma oparła większość komercyjnego przetwarzania danych na podstawie prawnej, która została wyraźnie wykluczona przez EDPB w wyraźnych wytycznych w 2019 roku, co doprowadziło do wyraźnie celowego naruszenia prawa. Meta została już uderzona ponad 1 miliardem euro w karach GDPR do tej pory. Meta musi zapłacić tę grzywnę państwu irlandzkiemu.
Max Schrems: "To postępowanie czerpie z wielu zasobów naszego stowarzyszenia finansowanego z darowizn. Sprawa prawdopodobnie trafi później do sądów. Kara trafi jednak do Irlandii - państwa, które stanęło po stronie Mety i od ponad czterech lat opóźnia procedurę."
DPC i Meta współpracowały przy "obejściu". W trakcie trwania procedury Meta powołała się na dziesięć poufnych spotkań z irlandzkim DPC, w których DPC rzekomo pozwoliło Mecie na zastosowanie tego "obejścia". Później ujawniono, że DPC próbował nawet wpłynąć na odpowiednie wytyczne EDPB w interesie Mety. Mimo to pozostałe europejskie organy ochrony danych odrzuciły pogląd DPC jeszcze w 2018 roku i ponownie w ostatecznej decyzji EDPB. Sprawa trwała ponad 4,5 roku i doprowadziła do setek stron raportów i zgłoszeń, mimo że sprawa dotyczyła dość prostego pytania prawnego.
Max Schrems:"Ta sprawa dotyczy prostego pytania prawnego. Pomimo powolnego postępowania, mimo wszystko jesteśmy zadowoleni z decyzji EDPB."
Konsekwencja: brak spersonalizowanych reklam. Decyzja oznacza, że Meta musi pozwolić użytkownikom na taką wersję wszystkich aplikacji, która nie wykorzystuje danych osobowych do reklam. Decyzja nadal pozwalałaby Mecie wykorzystywać dane nieosobowe (takie jak treść opowiadania) do personalizacji reklam lub pytać użytkowników o zgodę na reklamy poprzez opcję tak/nie. Użytkownicy muszą mieć możliwość wycofania zgody w dowolnym momencie, a Meta nie może ograniczyć usługi. Choć ograniczy to drastycznie zyski Meta w UE, nie zablokuje całkowicie reklam. Zamiast tego decyzja postawi Metę na tym samym poziomie, co inne strony internetowe lub aplikacje, które muszą zapewnić użytkownikom opcję tak/nie.
Max Schrems:"To ogromny cios dla zysków Mety w UE. Ludzie muszą być teraz pytani, czy chcą, aby ich dane były wykorzystywane do reklam, czy nie. Muszą mieć odpowiedź "tak lub nie" i mogą w każdej chwili zmienić zdanie. Decyzja zapewnia również równe szanse z innymi reklamodawcami, którzy również muszą uzyskać zgodę opt-in."
Dalsze kroki. Decyzja EDPB jest dostarczana do irlandzkiego DPC. Następnie decyzja musi zostać doręczona Meta w Irlandii i noyb w Austrii w ciągu miesiąca (a więc w styczniu 2023 roku). Meta może wtedy odwołać się od decyzji, ale szanse na wygranie takiego odwołania są minimalne po decyzji EDPB. Przed Trybunałem Sprawiedliwości UE (TSUE) toczą się też dwie podobne sprawy dotyczące obejścia zgody Meta, które mogą rozstrzygnąć sprawę i wszystkie odwołania na dobre. Użytkownicy mogą również podjąć działania w związku z nielegalnym wykorzystaniem ich danych przez ostatnie 4,5 roku.