Írsky úrad DPC vydal konečné rozhodnutie o nezákonnom spracovaní údajov používateľov spoločnosťou Meta na účely osobnej reklamy. Tu je odkaz na stiahnutie a prvé rýchle zhrnutie od noyb.
Rozhodnutie DPC jasne poukazuje na masívne nezhody medzi írskym DPC a EDPB.
- Rozhodnutie DPC o Facebooku
- Instagram Rozhodnutie DPC
- Rozhodnutie EDPB o Facebooku
- Instagram Rozhodnutie EDPB
Veľký boj medzi DPC a partnermi z EÚ. Z rozhodnutia DPC vyplýva, že rakúske, nemecké, francúzske, talianske, holandské, nórske, poľské, portugalské a švédske orgány vzniesli formálne námietky proti rozhodnutiu DPC. Orgány však tradične formálne námietky nevznášajú, ak je jasné, že záležitosť už vznieslo viacero orgánov. DPC sa ani nestarala o zmenu rozhodnutia a prispôsobenie svojich stanovísk, ale jednoducho len skopírovala stanovisko EDPB do predchádzajúceho rozhodnutia.
Max Schrems:"Rozhodnutie sa číta ako domáca úloha, v ktorej sa žiak ani nestaral o zmenu chýb, ale len skopíroval opravy učiteľa do textu."
Rozhodnutím DPC sa prípad nemusí skončiť. Zdá sa tiež, že rozhodnutie sa úplne nezaoberá sťažnosťami spoločnosti noyb, keďže sa netýka takých záležitostí, ako je používanie osobných údajov na zlepšenie platformy Facebook alebo na personalizovaný obsah. EDPB tiež požadovala ďalšie vyšetrovanie. Okrem toho základný rozpor spočíva v tom, že podľa rakúskeho alebo nemeckého práva sťažnosť vymedzuje rozsah konania, DPC sa však domnieva, že podľa írskeho práva môže obmedziť rozsah sťažnosti. noyb sa možno bude musieť z týchto dôvodov proti rozhodnutiu odvolať.
Minimálna pokuta za skutočné porušenie práv používateľa? Pomerne šokujúci prvok sa týka výšky pokút. Zatiaľ čo EDPB požadovala "výrazne vyššiu" pokutu, o konečných číslach rozhodol DPC. Zatiaľ čo DPC udelil Facebooku pokutu v celkovej výške 150 miliónov EUR za problémy s transparentnosťou, spoločnosti Meta udelil DPC pokutu len vo výške 60 miliónov EUR za to, že nemala žiadny právny základ na spracovanie údajov miliónov európskych používateľov počas približne piatich rokov.
Max Schrems:"DPC sa zjavne viac stará o to, aby používateľov ošklbala transparentným spôsobom, než aby ich vôbec neošklbala."
Viac podrobností v odrážkach. Rozhodnutie je rozdelené na rôzne časti, ktoré sa zaoberajú rôznymi otázkami, a na harmonogram, ktorý sa zaoberá procesnými záležitosťami. Krátke zhrnutie hlavných bodov si môžete prečítať nižšie, pričom v záverečnom rozhodnutí spoločnosti Facebook nájdete body, v ktorých sa nachádza. V prípade rozhodnutia o Instagrame môžu byť mierne rozdiely, ale očakávame, že budú do veľkej miery podobné.
Ak môže Meta použiť súhlas (otázka 1 rozhodnutia)
- DPC sa snaží ignorovať otázku, či Meta úmyselne zavádzala používateľov tým, že jednoducho hovorí, že ide o otázku transparentnosti (§ 2.19), DPC preto odmieta, že nie je úplne prešetrená pôvodná sťažnosť (§ 2.20).
- EDPB zistil, že DPC"mal zahrnúť preskúmanie "[operácií spracovania] spoločnosti Facebook, kategórií spracúvaných údajov (vrátane určenia osobitných kategórií osobných údajov, ktoré sa môžu spracúvať) a účelov, na ktoré slúžia", aby úplne rozhodol o sťažnosti.
- DPC naďalej ignoruje hlavnú otázku sťažností, a to či ustanovenia v podmienkach de facto predstavujú skrytú doložku o súhlase(falsa demonstratio). Namiesto toho sa DPC pripojilo k názoru spoločnosti Meta, že ak prevádzkovateľ nikdy nepožiadal o súhlas. V takomto prípade nemôže ísť o súhlas (§ 3 ods. 10), a preto sa vec nemá skúmať, aj keď sa tvrdí, že Meta jednoducho presunula do podmienok doložku o súhlase.
- Skutočnosť, že z prieskumu medzi 1 000 používateľmi vyplýva, že viac ako 60 % to považovalo za súhlas a menej ako 2 % si mysleli, že ide o zmluvu, DPC neustále ignoruje. EDPB zdôraznil, že táto štúdia je dôležitou informáciou, ktorú DPC nezohľadnila a nezahrnula do návrhu rozhodnutia.
- EDPB zrušil posúdenie DPC o tom, či sa kliknutie na tlačidlo "akceptovať" na webovej lokalite Meta skutočne malo posudzovať ako "súhlas" podľa článku 6 ods. 1 písm. a) alebo "zmluva" podľa článku 6 ods. 1 písm. b) GDPR.
- EDPB požadoval, aby DPC odstránil všetky závery týkajúce sa "otázok 1" v rozhodnutí (pozri § 3.26). Zatiaľ čo DPC naďalej ponecháva všetky svoje závery na stranách 15 až 21 v návrhu rozhodnutia (v rozpore so stanoviskom EDPB), DPC pridala na koniec oddielu jeden odsek, v ktorom sa uvádza, že (napriek ponechaniu všetkých argumentov proti stanovisku EDPB) "neuvádza žiadne zistenia týkajúce sa otázky 1".
Ak Meta môže použiť článok 6 ods. 1 písm. b) "zmluva" (otázka 2 rozhodnutia)
- DPC odmietla preskúmať všetky spracovateľské operácie, pri ktorých sa Meta odvoláva na článok 6 ods. 1 písm. b), pretože"bynebolo možné, aby sťažovateľ ... požadoval takéto posúdenie". Spoločnosť Facebook následne nikdy nedodala zoznam všetkých operácií spracovania a príslušný právny základ. To môže byť v rozpore s rakúskym právom, kde je rozsah sťažnosti jednoznačne vecou sťažovateľa. DPC preto vec preskúmala len na principiálnej úrovni (§ 4 ods. 7) so zameraním na "behaviorálnu reklamu". To môže spôsobiť, že rozhodnutie bude napadnuteľné, keďže boli namietané aj iné formy personalizácie (ako personalizácia obsahu, zlepšenie produktu a podobne) alebo spracúvanie citlivých osobných údajov podľa článku 9 GDPR, ktorými sa však DPC v rámci prešetrovania a rozhodnutia nezaoberalo.
- DPC nevidí žiadnu právomoc pri výklade toho, čo je "zmluva", a domnieva sa, že právomoc DPC je obmedzená na GDPR (§ 4 ods. 13). Je to dosť zarážajúce, pretože určenie toho, čo zmluva obsahuje, je logickým predpokladom na určenie, či je spracúvanie "nevyhnutné" na plnenie zmluvy. noyb už skôr uviedol, že neposudzovanie zmluvy sa rovná triku, aby sa vecou nezaoberal. DPC"dôrazne odmieta tieto závažné obvinenia zo zlého úmyslu, nečestnosti a iného nezákonného konania" zo strany spoločnosti noyb, keď DPC zmluvnú nevyhnutnosť jednoducho neskúmala. DPC nesúhlasí s tým, že nepreskúmanie toho, čo zmluva obsahuje, by bolo"odmietnutím spravodlivosti" (§ 4 ods. 16).
- V § 4.26 až 4.55 DPC opakuje nezhodu medzi DPC a EDPB, kde DPC uvádza, že nemôže posudzovať obsah zmlúv a uprednostňoval by široký výklad, keď všetko, čo sa vloží do zmluvy alebo obchodných podmienok, je "nevyhnutné" podľa článku 6 ods. 1 písm. b) GDPR.
- Zdá sa, že EDPB sa spoliehal na odkazy SDEÚ vo veciach C-252/21 a C-446/21 týkajúce sa skutkových zistení o používaní osobných údajov spoločnosťou Meta na reklamu a podobne, keďže DPC odmietol túto záležitosť úplne preskúmať (strany 37 a 38). Zdá sa, že ide o závažný procesný problém, keďže EDPB môže jednoducho nemať dostatok skutkových dôkazov na to, aby rozhodol o celej sťažnosti, ak DPC neustále odmieta čo i len úplne prešetriť vec.
- DPC potom len skopíruje rozhodnutie EDPB do návrhu rozhodnutia DPC. EDPB zdôrazňuje:
- EDPB zväčša odmieta názory DPC a zdôrazňuje, že zo štúdie noyb vyplýva, že používatelia to nevnímajú ako zmluvu, ale ako súhlas.
- EDPB tiež uvádza, že len preto, že sa Meta rozhodla dosahovať zisky prostredníctvom personalizovaných reklám, neznamená to, že sú "nevyhnutné", keďže Meta by mohla spúšťať reklamy aj na základe kontextu alebo iných údajov.
- EDPB zastáva názor, že hlavným účelom, na ktorý používateľ využíva služby Meta, je komunikácia, nie personalizované reklamy.
- Podľa názoru EDPB by stanovisko DPC a spoločnosti Meta mohlo povzbudiť aj iných prevádzkovateľov, aby využívali článok 6 ods. 1 písm. b) ako obchádzanie požiadavky súhlasu.
- EDPB sa pripája k názoru rakúskych, nemeckých, francúzskych, talianskych, holandských, nórskych, poľských, portugalských a švédskych orgánov, že behaviorálna reklama"objektívne nie je potrebná na plnenie údajnej zmluvy spoločnosti Meta".
- Bez ďalšieho komentára potom DPC v § 4 ods. 56 konštatuje (v rozpore so všetkým, čo predtým tvrdila), že"podľa pokynov EDPB" konštatuje,"že Facebook nebol oprávnený odvolávať sa na článok 6 ods. 1 písm. b) GDPR" na účely behaviorálneho cielenia.
Transparentnosť "obchádzania"
- DPC doteraz zastával najmä názor, že Meta mala len sprehľadniť (podľa názoru DPC inak legálne) obchádzanie GDPR. To by znamenalo, že používatelia by videli len dodatočné vyskakovacie okno alebo niečo podobné, ale nezabránilo by to spoločnosti Meta v ďalšom zneužívaní údajov používateľov. Nedostatok transparentnosti je v rozhodnutí zachovaný a vysvetlený v § 5.1 až § 5.77.
- EDPB však trval na tom, že to vedie aj k porušeniu článku 5 ods. 1 písm. a) GDPR, čo by následne znamenalo aj to, že osobné údaje používateľov sa nemali spracúvať.
- DPC opäť len skopírovala/vložila rozhodnutie EDPB do svojho rozhodnutia a pridala jeden riadok, v ktorom uviedla, že podľa rozhodnutia EDPB musí urobiť toto dodatočné zistenie.
Konečné uznesenia:
- EDPB požadovala trojmesačnú lehotu na splnenie príkazu od doručenia príkazu EDPB. Zakazuje spoločnosti Meta používať článok 6 ods. 1 písm. b), ako je opísané v príkaze EDPB.
- DPC spresnil, že rozhodnutie EDPB musí znamenať, že "spracovanie" je obmedzené len na spracovanie na účely reklamy. Zdá sa, že inými aspektmi sťažnosti sa DPC nezaoberala, čo samo osebe môže byť nezákonné.
- DPC zmenil rozhodnutie EDPB tak, že trojmesačná lehota neplynie od momentu, keď bolo rozhodnutie EDPB doručené spoločnosti Meta (niekedy v decembri), ale od doručenia rozhodnutia DPC (niekedy v januári) (pozri § 8 ods. 11). Tento odklon DPC od rozhodnutia EDPB sa zdá byť nezákonný.
- EDPB zásadne nesúhlasil s názormi DPC na pokutu. Nemecký orgán ju dokonca označil za "kontrafaktuálnu" (strana 91). EDPB zároveň nemal dôkazy na to, aby zistil, že spoločnosť Meta "úmyselne" porušila GDPR, ako tvrdil švédsky orgán DPA.
- EDPB nestanovil konkrétnu pokutu, ale iba požadoval, aby DPC mala "výrazne vyššiu" pokutu.
- Strany 100 až 153 sú venované prehodnoteniu vyššej pokuty zo strany DPC. Pokuta je rozdelená na 80 miliónov EUR a 70 miliónov EUR za nedostatočnú transparentnosť a len 60 miliónov EUR v súvislosti so skutočným nezákonným spracúvaním osobných údajov miliónov používateľov v EÚ podľa článku 6 ods. 1 písm. b) (§ 10.45).
Oprava: V prvej verzii tohto článku bolo uvedené, že DPC sa čiastočne odchýlil od rozhodnutia EDPB. Vzhľadom na to, že teraz bolo zverejnené celé rozhodnutie EDPB, sa zdá, že príslušný prvok je v súlade s rozhodnutím EDPB a komentár bol z webovej stránky noyb.eu odstránený.
