Irlandzki DPC wydał ostateczną decyzję w sprawie nielegalnego przetwarzania przez Meta danych użytkowników na potrzeby reklamy osobistej. Tutaj jest link do pobrania i pierwsze szybkie podsumowanie przez noyb.
Decyzja DPC wyraźnie pokazuje ogromny brak porozumienia między irlandzkim DPC i EDPB.
Poważna walka między DPC a odpowiednikami z UE. Z decyzji DPC wynika, że władze austriackie, niemieckie, francuskie, włoskie, holenderskie, norweskie, polskie, portugalskie i szwedzkie wniosły formalny sprzeciw wobec decyzji DPC. Tradycyjnie jednak władze nie zgłaszają formalnych zastrzeżeń, jeżeli jest oczywiste, że dana kwestia była już poruszana przez kilka władz. DPC nie zadbała nawet o zmianę decyzji i dostosowanie swoich stanowisk, lecz po prostu skopiowała stanowisko EDPB do poprzedniej decyzji.
Max Schrems:"Decyzję czyta się jak pracę domową, w której uczeń nawet nie zadbał o zmianę błędów, a jedynie skopiował poprawki nauczyciela do tekstu."
Decyzja DPC może nie zakończyć sprawy. Wydaje się, że decyzja nie załatwia też w pełni skarg noyb, ponieważ nie obejmuje takich spraw jak wykorzystanie danych osobowych do ulepszania platformy Facebook czy do personalizacji treści. EDPB zażądała również dalszych dochodzeń. Dodatkowo, podstawowy konflikt polega na tym, że zgodnie z prawem austriackim lub niemieckim skarga określa zakres postępowania, DPC uważa jednak, że zgodnie z prawem irlandzkim może ograniczyć zakres skargi. noyb może być zmuszony do odwołania się od decyzji z tych powodów.
Minimalna grzywna za faktyczne naruszenie praw użytkownika? Dość szokujący element dotyczy wysokości kar pieniężnych. Podczas gdy EDPB domagała się "znacznie wyższej" grzywny, DPC zadecydowała o ostatecznych liczbach. Podczas gdy DPC nałożyła na Facebook grzywnę w wysokości 150 milionów euro za kwestie związane z przejrzystością, DPC ukarała Metę jedynie grzywną w wysokości 60 milionów euro za brak podstawy prawnej do przetwarzania milionów danych europejskich użytkowników przez około pięć lat.
Max Schrems:"Najwyraźniej DPC bardziej zależy na tym, by wydymać użytkowników w sposób transparentny, niż by nie wydymać ich w ogóle."
Więcej szczegółów w punktach. Decyzja jest podzielona na różne sekcje zajmujące się różnymi kwestiami oraz harmonogram, który dotyczy spraw proceduralnych. Krótkie podsumowanie głównych takeaways można przeczytać poniżej, wraz z akapitami, w których można znaleźć dany punkt w ostatecznej decyzji Facebooka. Mogą być niewielkie różnice dla decyzji Instagrama, ale spodziewamy się, że będą w dużej mierze podobne.
Czy Meta może stosować zgodę (kwestia 1 decyzji)
- DPC próbuje zignorować pytanie, czy Meta celowo wprowadziła użytkowników w błąd, mówiąc po prostu, że jest to kwestia przejrzystości (§ 2.19), DPC odrzuca zatem fakt, że nie zbadała w pełni pierwotnej skargi (§ 2.20).
- EIOD stwierdził, że DPC"powinien był uwzględnić badanie "[Facebook] operacji przetwarzania, kategorii przetwarzanych danych (w tym określenie specjalnych kategorii danych osobowych, które mogą być przetwarzane) oraz celów, którym służą", aby w pełni rozstrzygnąć skargę.
- DPC nadal ignoruje zasadniczą kwestię skarg, a mianowicie czy klauzule w warunkach de facto stanowią ukrytą klauzulę zgody(falsa demonstratio). Zamiast tego DPC przyłączył się do poglądu Meta, że jeśli administrator danych nigdy nie zwracał się o zgodę, to nie może być mowy o ukrytej zgodzie. Jeśli tak jest, nie może być mowy o zgodzie (§ 3.10), a zatem sprawa nie podlega badaniu, nawet jeśli zarzut dotyczy tego, że Meta po prostu przeniosła klauzulę zgody do warunków.
- Fakt, że badanie przeprowadzone wśród 1 000 użytkowników wykazało, że ponad 60% uznało to za zgodę, a mniej niż 2% uznało to za umowę, jest stale ignorowany przez DPC. EDPB podkreśliła, że badanie to stanowi ważną informację, której DPC nie uwzględnił i nie zawarł w projekcie decyzji.
- EDPB obaliła ocenę DPC dotyczącą tego, czy kliknięcie "akceptuj" na stronie internetowej Meta rzeczywiście należy oceniać jako "zgodę" na podstawie art. 6 ust. 1 lit. a) lub "umowę" na podstawie 6 ust. 1 lit. b) GDPR.
- EDPB zażądała od DPC usunięcia wszystkich wniosków dotyczących "kwestii 1" w decyzji (zob. § 3.26). Podczas gdy DPC nadal utrzymuje wszystkie swoje ustalenia na stronach 15-21 w projekcie decyzji (wbrew stanowisku EDPB), DPC dodała jeden akapit na końcu sekcji, stwierdzając, że (pomimo utrzymania wszystkich argumentów przeciwko poglądowi EDPB) "nie czyni żadnych ustaleń w odniesieniu do kwestii 1".
Czy Meta może korzystać z art. 6 ust. 1 lit. b) "umowy" (kwestia 2 decyzji)
- DPC odmówiła zbadania wszystkich operacji przetwarzania, w których Meta powołuje się na art. 6 ust. 1 lit. b), ponieważ"skarżący ... nie miałbymożliwości domagania się takiej oceny". W związku z tym Facebook nigdy nie dostarczył listy wszystkich operacji przetwarzania danych i odpowiedniej podstawy prawnej. Może to naruszać prawo austriackie, gdzie zakres skargi jest wyraźnie sprawą skarżącego. DPC zbadał więc sprawę jedynie na poziomie zasady (§ 4.7), skupiając się na "reklamie behawioralnej". Może to sprawić, że decyzja będzie zaskarżalna, ponieważ inne formy personalizacji (jak personalizacja treści, ulepszanie produktu i tym podobne) lub przetwarzanie wrażliwych danych osobowych na podstawie art. 9 GDPR były również podnoszone, ale nie zostały rozpatrzone przez dochodzenie i decyzję DPC.
- DPC nie widzi jurysdykcji w interpretowaniu tego, czym jest "umowa" i uważa, że jurysdykcja DPC ogranicza się do GDPR (§ 4.13). Jest to dość zaskakujące, ponieważ ustalenie, co zawiera umowa, jest logicznym warunkiem wstępnym do ustalenia, czy przetwarzanie jest "niezbędne" do wykonania umowy. noyb powiedział wcześniej, że brak oceny umowy jest równoznaczny z podstępem, aby nie zajmować się tą sprawą. DPC"odrzuca, w najostrzejszych słowach, te poważne zarzuty dotyczące mala fides, nieuczciwości i innych nielegalnych działań" przez noyb, gdy konieczność umowna po prostu nie została zbadana przez DPC. DPC nie przyjmuje do wiadomości, że niezbadanie tego, co zawiera umowa, byłoby"odmową sprawiedliwości" (§ 4.16).
- W § 4.26-4.55 DPC powtarza różnicę zdań między DPC a EDPB, gdzie DPC twierdzi, że nie może oceniać treści umów i opowiadałaby się za szeroką interpretacją, w której wszystko, co zostało umieszczone w umowie lub warunkach, jest "konieczne" na mocy art. 6 ust. 1 lit. b) GDPR.
- Wydaje się, że EDPB oparł się na odniesieniach TSUE w sprawach C-252/21 i C-446/21 dotyczących ustaleń faktycznych w sprawie wykorzystywania przez Meta danych osobowych do celów reklamowych i podobnych, ponieważ DPC odmówił pełnego zbadania tej sprawy (strona 37 i 38). Wydaje się, że istnieje poważny problem proceduralny, ponieważ EDPB może po prostu nie mieć dowodów rzeczowych, by podjąć decyzję w sprawie całej skargi, jeśli DPC stale odmawia nawet pełnego zbadania sprawy.
- Następnie DPC po prostu kopiuje decyzję EDPB do projektu decyzji DPC. Podkreślenia EDPB:
- EDPB w dużej mierze odrzuca poglądy DPC i podkreśla, że badanie przeprowadzone przez noyb pokazuje, że użytkownicy nie postrzegają tego jako umowy, ale jako zgodę.
- EIOD twierdzi również, że sam fakt, iż Meta decyduje się na osiąganie zysków dzięki spersonalizowanym reklamom, nie czyni ich "koniecznymi", ponieważ Meta mogłaby również uruchamiać reklamy oparte na kontekście lub innych danych.
- EIOD utrzymuje, że głównym celem, dla którego użytkownik korzysta z usług Mety, jest komunikacja, a nie spersonalizowane reklamy.
- Zdaniem EIOD stanowisko DPC i Mety mogłoby również zachęcić innych operatorów do wykorzystania art. 6 ust. 1 lit. b) jako obejścia wymogu uzyskania zgody.
- EDPB podziela pogląd władz austriackich, niemieckich, francuskich, włoskich, holenderskich, norweskich, polskich, portugalskich i szwedzkich, że reklama behawioralna"obiektywnie nie jest konieczna do wykonania domniemanej umowy spółki Meta".
- Bez dalszego komentarza DPC stwierdza następnie (wbrew wszystkiemu, co wcześniej argumentowała) w § 4.56, że"zgodnie z zaleceniami EDPB" stwierdza,"że Facebook nie był uprawniony do powoływania się na art. 6 ust. 1 lit. b GDPR" w celu targetowania behawioralnego.
Przejrzystość "obejścia"
- Do tej pory DPC stała głównie na stanowisku, że Meta powinna była po prostu uczynić (zdaniem DPC skądinąd legalne) obejście GDPR bardziej przejrzystym. Oznaczałoby to, że użytkownicy widzieliby jedynie dodatkowy pop-up lub podobnie, ale nie powstrzymałoby to Mety przed dalszym nadużywaniem danych użytkowników. Brak przejrzystości został zachowany w decyzji i wyjaśniony w § 5.1 do § 5.77.
- EDPB nalegała jednak, że prowadzi to również do naruszenia art. 5 ust. 1 lit. a) GDPR, co z kolei oznaczałoby, że dane osobowe użytkowników nie powinny być przetwarzane.
- DPC ponownie po prostu skopiowała/przykleiła decyzję EDPB do swojej decyzji i dodała jeden wiersz, stwierdzając, że zgodnie z decyzją EDPB musi dokonać tego dodatkowego ustalenia.
Postanowienia końcowe:
- EDPB zażądała trzymiesięcznego okresu na wykonanie nakazu od momentu doręczenia nakazu EDPB. Zakazuje ona Mecie stosowania art. 6 ust. 1 lit. b) w sposób opisany w nakazie EDPB.
- DPC określiła, że postanowienie EDPB musi oznaczać, że "przetwarzanie" jest ograniczone wyłącznie do przetwarzania w celach reklamowych. Wydaje się, że inne aspekty skargi nie zostały rozpatrzone przez DPC, co samo w sobie może być niezgodne z prawem.
- DPC zmieniła decyzję EDPB w taki sposób, że trzymiesięczny termin biegnie nie od momentu doręczenia decyzji EDPB do Mety (około grudnia), lecz od doręczenia decyzji DPC (około stycznia) (zob. § 8.11). To odejście DPC od decyzji EDPB wydaje się być bezprawne.
- EDPB zasadniczo nie zgodziła się z poglądami DPC na temat grzywny. Niemiecki organ nazwał ją nawet "kontrfaktyczną" (str. 91). Jednocześnie EDPB nie miała również dowodów, aby stwierdzić, że Meta "umyślnie" naruszyła GDPR, jak twierdził szwedzki DPA.
- EDPB nie określiła konkretnej grzywny, a jedynie zażądała od DPC "znacznie wyższej" grzywny.
- Strony od 100 do 153 są poświęcone ponownej ocenie podwyższonej grzywny przez DPC. Grzywna dzieli się na 80 mln EUR i 70 mln EUR za brak przejrzystości oraz jedynie 60 mln EUR w związku z faktycznym bezprawnym przetwarzaniem danych osobowych milionów użytkowników z UE na mocy art. 6 ust. 1 lit. b) (§ 10.45).
