Dataskyddsförordningen ger möjlighet till sex rättsliga grunder för behandling av personuppgifter. I målet Meta mot Bundeskartellamthar EU-domstolen idag avgjort alla dessa - vilket ytterligare förtydligar tolkningen av GDPR. EU-domstolen har i stort sett stängt dörrarna för Meta att använda personuppgifter utöver vad som är absolut nödvändigt för att tillhandahålla kärnprodukterna (t.ex. meddelanden eller delning av innehåll) - all annan behandling (som annonsering och delning av personuppgifter) kräver fritt givet och rättvist samtycke från användarna.
- Domen på Tyska och Franska
- EU-domstolens pressmeddelande
- Tidigare beslut av EDPB som ledde till böter på 320 miljoner euro
- Bakgrund om Metas strategi med "påtvingat samtycke"
- Bakgrund om Metas övergång till "berättigat intresse"
Första uttalandet. noyb måste fortfarande studera detaljerna i denna massiva dom. Från direktläsningen av innehavet verkar det som om Meta / Facebook var förbjudet att använda något annat än samtycke för viktiga operationer som det förlitar sig på för att göra vinster i Europa.
Max Schrems:"Vi välkomnar CJEU-beslutet. Det klargör ytterligare att Meta inte helt enkelt kan kringgå GDPR med några stycken i sina juridiska dokument. Detta kommer att innebära att Meta måste söka korrekt samtycke och inte kan använda sin dominerande ställning för att tvinga människor att samtycka till saker de inte vill ha. Detta kommer också att ha en positiv inverkan på pågående tvister mellan noyb och Meta i Irland."
Meta ville "kringgå" GDPR. Artikel 6.1 GDPR tillåter sex rättsliga grunder för att behandla uppgifter, varav en är samtycke enligt artikel 6.1 a, men Meta ville kringgå samtyckeskravet via de andra fem rättsliga grunderna. EU-domstolen har behandlat i princip alla dessa - med hänvisning till artikel 6.1 a hela vägen till f i domen. Meta försökte främst kringgå samtyckeskravet för spårning och onlineannonsering genom att hävda att annonser är en del av den "tjänst" som företaget enligt avtal är skyldigt användarna. Det påstådda bytet av rättslig grund skedde exakt den 25 maj 2018 vid midnatt när GDPR trädde i kraft. Så kallad "avtalsenlig nödvändighet" enligt artikel 6.1 b förstås vanligtvis snävt och skulle t.ex. tillåta en onlinebutik att vidarebefordra adressen till en posttjänst, eftersom detta är absolut nödvändigt för att leverera en beställning. Meta ansåg dock att man bara kunde lägga till slumpmässiga element i avtalet (t.ex. personlig reklam) för att undvika ett ja/nej-alternativ för användarna.
Max Schrems:"Istället för att ha ett "ja/nej"-alternativ för personliga annonser flyttade de bara samtyckesklausulen i villkoren. Detta är inte bara orättvist utan helt klart olagligt. Vi känner inte till något annat företag som har försökt ignorera GDPR på ett så arrogant sätt."
Metas flytt till "legitimt intresse" misslyckades också. Efter EDPB: s beslut, som förbjuder "bypass" enligt artikel 6.1 b, har Meta gått vidare till artikel 6.1 f GDPR i vår. EU-domstolen verkar också förstöra Metas förhoppningar om att bara gå vidare till ett så kallat "legitimt intresse" för annonsering enligt artikel 6.1 f GDPR. Även om EU-domstolen inte har uteslutit att det kan finnas ett legitimt intresse (t.ex. för nätverkssäkerhet), klargör domen att det inte finns något "legitimt intresse" som skulle åsidosätta användarnas rättigheter när personuppgiftsansvariga försöker tillhandahålla reklam. Detta begränsar i princip alla personuppgiftsansvariga i EU från att visa personlig reklam annat än efter ett frivilligt (ja/nej) samtycke.
Max Schrems:"Detta är ett stort slag för Meta, men också för andra onlineannonsföretag. Det klargör att olika juridiska teorier från branschen för att kringgå GDPR är ogiltiga."
