Irländska dataskyddsmyndigheten ger 3,97 miljarder euro i present till Meta? Myndigheten påstås inte kunna ta ekonomisk fördel från Metas GDPR-överträdelser med i beräkningen.
Den 04.01.2023 tillkännagav den irländska dataskyddskommissionen (DPC) ett böter på 390 miljoner euro mot Meta på grund av olaglig personlig reklam på Facebook och Instagram. En första analys av besluten avslöjar nu att DPC har blundat för de intäkter som genereras genom att bryta mot GDPR när de beräknar sina böter. Detta trots att en 2/3 majoritetsomröstning av alla EU-myndigheter (EDPB) hade instruerat den irländska DPC att ta hänsyn till Metas miljarder euro av orättmätiga intäkter. DPC:s manöver sparade Meta nästan 4 miljarder euro.
- noybs brev till EDPB som beskriver DPC: s underlåtenhet att följa EDPB-beslutet (PDF)
- Tabell med relevanta siffror (PDF)
- Facebooks offentliga information om användare och intäkter (se "Earning Slides")
Bakgrund: Metas överträdelse av GDPR. I en 4,5 år lång strid om avsaknaden av en rättslig grund för att tillhandahålla personlig annonsering i EU, vann noyb en stor seger. Europeiska dataskyddsstyrelsen (EDPB) upphävde kärnelementet i ett tidigare utkast till beslut från den irländska DPC och ansåg att Meta inte hade en korrekt rättslig grund för att behandla personuppgifter för beteendeannonsering. Metas försök att pressa in ett "avtal" i villkoren för Facebook och Instagram ansågs vara olagligt. All behandling baserad på denna "förbikoppling" sedan den 25 maj 2018 var därför olaglig. EDPB meddelade DPC att ytterligare böter måste "uppvägauppväga vinsterna från överträdelsen" och beordrade DPC att "ålägga ett bötesbelopp som överstiger detta belopp".
Ny utveckling: DPC kan inte uppskatta Metas olagliga intäkter? Den 5 december 2022 beordrade Europeiska dataskyddsstyrelsen (EDPB) DPC att kvantifiera hur mycket intäkter Meta hade genererat genom att bryta mot GDPR och att ta hänsyn till den summan i böterna. DPC ignoreradedock helt enkelt de olagliga intäkter som Meta hade gjort och hävdade att"kommissionen inte kan fastställa en uppskattning av frågorna" och att den därför "inte kan ta hänsyn till dessa frågor" . Detta trots att man har befogenhet att kräva sådan information från Meta enligt artikel 58.1 i GDPR.
Max Schrems, ordförande för noyb:"Vi vet alla om Metas enorma intäkter. Det är förvånande att detta inte togs med i beräkningen av DPC. DPC använde inte ens sina lagstadgade befogenheter för att be Meta om informationen. Vi undersökte därför offentligt tillgänglig information och fann att denna faktor ensam borde ha ökat böterna med 3,97 miljarder euro."
Bakgrund om böter enligt GDPR. I artikel 83 i dataskyddsförordningen fastställs reglerna för böter. Varje böter måste i allmänhet vara"effektiva, proportionerliga och avskräckande", måste ta hänsyn till de"ekonomiska fördelar som uppnåtts ... genom överträdelsen" men är också begränsade till 4% av den globala omsättningen under det senaste året. I Metas fall skulle detta motsvara ett maximalt bötesbelopp på 4,36 miljarder euro. EDPB bad följaktligen DPC att undersöka de "ekonomiska fördelarna" för Meta från att bryta mot artikel 6.1 i GDPR i cirka 4,5 år, eftersom ett böter som skulle ligga under dessa fördelar knappast skulle kunna vara"effektivt, proportionellt och avskräckande".
Max Schrems:"Det maximala taket på 4% av den globala omsättningen överskreds lätt av intäkterna från olaglig behandling under de senaste 4,5 åren. Det är lätt att utifrån offentlig information visa att enbart intäktsfaktorn skulle ha krävt att det högsta bötesbeloppet utdömdes."
Offentlig information och ett kalkylblad. Meta, som är ett börsnoterat företag, publicerar de flesta relevanta finansiella uppgifter. Enligt rapporter från Meta självt tjänade man 84,7 miljarder euro (91,59 miljarder US-dollar) på annonsering på den europeiska kontinenten mellan Q3 2018 och Q3 2022. Justerat för antalet användare endast i EU uppgick detta till cirka 72,5 miljarder euro (78,4 miljarder US-dollar). Även om "beteendebaserad annonsering" inte utgör alla intäkter från Metas totala annonsering, är det tydligt att i alla realistiska scenarier överskred intäkterna från "beteendebaserad annonsering" i EU det maximala bötesbeloppet på 4,36 miljarder euro.
Max Schrems:"Genom att inte ens kontrollera offentligt tillgänglig information gav DPC 3,97 miljarder euro till Meta. Det tog oss en timme och ett kalkylblad att göra beräkningen. Jag är säker på att de irländska skattebetalarna inte skulle ha något emot att ha de extra pengarna, om en DPC-anställd bara hade öppnat en sökmotor och gjort lite forskning
Meta tjänar fortfarande upp till 68,17 miljarder euro på att bryta mot GDPR. Även om det maximala bötesbeloppet på 4% skulle ha ålagts, skulle Meta fortfarande ha gjort upp till 68 miljarder euro från överträdelsen av GDPR sedan 2018, om det antas att i princip varje annons på Meta för närvarande är "beteendeannonsering". Detta beror främst på att förfarandet försenades massivt av DPC och tog 4,5 år, medan det maximala bötesbeloppet endast kan beräknas baserat på ett enda år. Metas överträdelse överskred sannolikt också 4% för varje år, vilket innebär att intäkterna långt översteg det maximala bötesbeloppet per år.
Max Schrems:"Slutsatsen är att det absolut betalade sig för Meta att bryta mot GDPR och den irländska DPC gjorde det ännu mer lönsamt för Meta att bryta mot EU-lagstiftningen."
Brev till EDPB. noyb har nu skickat ett brev till EDPB som beskriver problemet i DPC-beslutet och alla beräkningar. noyb ber EDPB att se till att dess beslut upprätthålls fullt ut av DPC.
