Den irländska DPC utfärdade sitt slutliga beslut om Metas olagliga behandling av användardata för personlig reklam. Här är en nedladdningslänk och en första snabb sammanfattning av noyb.
DPC-beslutet visar tydligt massiv oenighet mellan den irländska DPC och EDPB.
Stor strid mellan DPC och EU:s motsvarigheter. Av DPC:s beslut framgår att myndigheterna i Österrike, Tyskland, Frankrike, Italien, Nederländerna, Norge, Polen, Portugal och Sverige alla har gjort formella invändningar mot DPC:s beslut. Traditionellt brukar dock myndigheter inte göra formella invändningar om det är uppenbart att frågan redan har tagits upp av ett antal myndigheter. DPC brydde sig inte ens om att ändra beslutet och anpassa sina ståndpunkter, utan kopierade helt enkelt bara EDPB:s ståndpunkt i det tidigare beslutet.
Max Schrems:"Beslutet liknar en läxa där eleven inte ens brytt sig om att rätta till felen, utan bara kopierat in lärarens rättelser i en text."
DPC-beslut kanske inte avslutar ärendet. Beslutet verkar inte heller fullt ut behandla klagomålen från noyb, eftersom beslutet inte omfattar frågor som användning av personuppgifter för att förbättra Facebook-plattformen eller för personligt innehåll. EDPB krävde också ytterligare utredningar. Dessutom är den underliggande konflikten att enligt österrikisk eller tysk lag definierar klagomålet omfattningen av förfarandet, men DPC anser dock att det enligt irländsk lag kan begränsa omfattningen av ett klagomål. noyb kan behöva överklaga beslutet på dessa grunder.
Minimala böter för faktiska kränkningar av användares rättigheter? Ett ganska chockerande inslag gäller bötesbeloppens storlek. EDPB krävde "betydligt högre" böter, men det var DPC som beslutade om de slutliga siffrorna. Medan DPC utfärdade böter på totalt 150 miljoner euro för Facebook på grund av transparensfrågor, bötfällde DPC endast Meta med 60 miljoner euro för att de saknade rättslig grund för behandlingen av miljontals europeiska användares uppgifter under cirka fem år.
Max Schrems:"Tydligen är DPC mer bekymrad över att skruva användare på ett transparent sätt än att inte skruva dem alls."
Mer detaljer i punktform. Beslutet är indelat i olika avsnitt som behandlar olika frågor och en tidsplan som behandlar procedurfrågor. En kort sammanfattning av de viktigaste punkterna kan läsas nedan, med de stycken där du kan hitta punkten i det slutliga Facebook-beslutet. Det kan finnas små skillnader för Instagram-beslutet, men vi förväntar oss att de i stort sett är likartade.
Om Meta får använda samtycke (fråga 1 i beslutet)
- DPC försöker ignorera frågan om Meta avsiktligt vilseleder användare genom att helt enkelt säga att detta är en transparensfråga (§ 2.19), DPC avvisar därför att det inte har undersökt det ursprungliga klagomålet fullt ut (§ 2.20).
- EDPB fann att DPC"borde ha inkluderat en undersökning av [Facebooks] behandlingsåtgärder, de kategorier av uppgifter som behandlas (inklusive att identifiera särskilda kategorier av personuppgifter som kan behandlas) och de ändamål som de tjänar", för att helt avgöra klagomålet.
- Datainspektionen fortsätter att ignorera kärnfrågan i klagomålen, nämligen om klausulerna i villkoren de facto utgör en dold samtyckesklausul(falsa demonstratio). Istället anslöt sig DPC till Metas uppfattning att om den personuppgiftsansvarige aldrig har begärt samtycke. Om så är fallet kan det inte finnas något samtycke (§ 3.10) och frågan ska därför inte utredas, även om påståendet är att Meta helt enkelt har flyttat en samtyckesklausul till villkoren.
- Det faktum att en studie bland 1.000 användare visar att mer än 60% ansåg att detta var samtycke och mindre än 2% trodde att det var ett kontrakt, ignoreras kontinuerligt av DPC. EDPB har lyft fram studien som viktig information som inte beaktades av DPC och som inte ingick i utkastet till beslut.
- EDPB upphävde DPC:s bedömning av huruvida ett klick på "acceptera" på Meta-webbplatsen verkligen skulle bedömas som "samtycke" enligt artikel 6.1 a eller ett "avtal" enligt 6.1 b i GDPR.
- EDPB har krävt att DPC tar bort alla slutsatser om "Frågor 1" i beslutet (se § 3.26). Medan DPC fortsätter att behålla alla sina slutsatser på sidorna 15 till 21 i utkastet till beslut (mot EDPB:s ståndpunkt) lade DPC till ett enda stycke i slutet av avsnittet och sade att (trots att hon behåller alla argument mot EDPB:s uppfattning) hon "inte gör någon slutsats med avseende på fråga 1".
Om Meta får använda artikel 6(1)(b) "avtal" (fråga 2 i beslutet)
- DPC nekade att undersöka alla behandlingsåtgärder där Meta förlitar sig på artikel 6.1(b) eftersom det inte skulle"vara öppet för en klagande ... att kräva en sådan bedömning". Facebook har följaktligen aldrig levererat en lista över alla behandlingsåtgärder och den relevanta rättsliga grunden. Detta kan strida mot österrikisk lag, där omfattningen av ett klagomål helt klart är en fråga för den klagande. DPC har därför endast undersökt ärendet på principiell nivå (§ 4.7), med fokus på "beteendebaserad annonsering". Detta kan göra beslutet överklagbart, eftersom andra former av personalisering (såsom personalisering av innehåll, förbättring av produkten och liknande) eller behandling av känsliga personuppgifter enligt artikel 9 GDPR också togs upp, men inte behandlades av DPC:s utredning och beslut.
- Datainspektionen anser sig inte ha någon behörighet att tolka vad ett "avtal" är och anser att Datainspektionens behörighet är begränsad till GDPR (§ 4.13). Detta är ganska förvånande eftersom en logisk förutsättning för att avgöra om behandlingen är "nödvändig" för att fullgöra ett avtal är att fastställa vad avtalet innehåller. noyb har tidigare sagt att det är ett trick att inte behandla ärendet om man inte bedömer avtalet. Datainspektionen"tillbakavisar på det bestämdaste dessa allvarliga anklagelser om illvilja, oärlighet och i övrigt olagligt agerande" från noybs sida när den avtalsenliga nödvändigheten helt enkelt inte undersöktes av Datainspektionen. DPC accepterar inte att det skulle vara en "denialof justice" (§ 4.16) att inte undersöka vad avtalet innehåller.
- I punkterna 4.26 till 4.55 upprepar DPC oenigheten mellan DPC och EDPB, där DPC säger att det inte får bedöma innehållet i avtal och att det skulle gynna en vid tolkning, där allt som läggs in i ett avtal eller allmänna villkor är "nödvändigt" enligt artikel 6.1 b i GDPR.
- EDPB verkar ha förlitat sig på EU-domstolens hänvisningar i C-252/21 och C-446/21 om faktiska omständigheter om Metas användning av personuppgifter för annonsering och liknande, eftersom DPC vägrade att undersöka frågan fullt ut (sidan 37 och 38). Det verkar finnas ett stort procedurproblem, eftersom EDPB helt enkelt kan sakna faktiska bevis för att fatta ett beslut om hela klagomålet, om DPC kontinuerligt vägrar att ens bara undersöka ärendet fullt ut.
- DPC kopierar sedan bara EDPB:s beslut till DPC:s utkast till beslut. Europeiska dataskyddsstyrelsen belyser:
- EDPB avvisar till stor del DPC:s synpunkter och framhåller att studien av noyb visar att användarna inte ser detta som ett avtal utan som ett samtycke.
- EDPB säger också att bara för att Meta väljer att göra vinster via personliga annonser, gör det inte dem "nödvändiga" eftersom Meta också kan köra annonser baserade på sammanhang eller andra data.
- EDPB anser att det huvudsakliga syftet med användarnas användning av Metas tjänster är kommunikation, inte för personliga annonser.
- Enligt EDPB:s uppfattning kan DPC:s och Metas ståndpunkt också uppmuntra andra operatörer att använda artikel 6.1 b som ett sätt att kringgå kravet på samtycke.
- EDPB ansluter sig till de österrikiska, tyska, franska, italienska, nederländska, norska, polska, portugisiska och svenska myndigheternas uppfattning att beteendebaserad annonsering"objektivt sett inte är nödvändig för att Meta ska kunna fullgöra sitt påstådda avtal".
- Utan någon ytterligare kommentar finner DPC sedan (mot allt hon hävdade tidigare) i § 4.56 att "enligt anvisningarfrån EDPB" finner hon "att Facebook inte hade rätt att förlita sig på artikel 6.1(b) GDPR" för syftet med beteendeinriktad inriktning.
Öppenhet i "förbikopplingen"
- DPC har hittills huvudsakligen intagit ståndpunkten att Meta bara borde ha gjort (enligt DPC:s uppfattning annars lagligt) kringgående av GDPR mer transparent. Detta skulle ha inneburit att användarna bara skulle se en extra popup eller liknande, men skulle inte ha stoppat Meta för att missbruka användardata ytterligare. Bristen på insyn finns kvar i beslutet och förklaras i § 5.1 till § 5.77.
- EDPB insisterade dock på att detta också ledde till en överträdelse av artikel 5.1 a i GDPR, vilket i sin tur också skulle innebära att användarnas personuppgifter inte borde ha behandlats.
- Datainspektionen kopierade och klistrade in EDPB:s beslut i sitt eget beslut och lade till en rad där det stod att hon enligt EDPB:s beslut var tvungen att göra denna ytterligare bedömning.
De slutliga besluten:
- EDPB begärde en tremånadersperiod för att följa föreläggandet från den tidpunkt då EDPB:s föreläggande delgavs. Det förbjuder Meta att använda artikel 6.1 b på det sätt som beskrivs i EDPB:s föreläggande.
- DPC angav att EDPB:s beslut måste innebära att "behandlingen" är begränsad till behandling endast för annonsering. Det förefaller som om andra aspekter av klagomålet inte behandlades av dataskyddsmyndigheten, vilket i sig kan vara olagligt.
- DPC ändrade EDPB:s beslut så att tremånadersfristen inte räknas från den tidpunkt då EDPB:s beslut delgavs Meta (någon gång i december) utan från den tidpunkt då DPC:s beslut delgavs Meta (någon gång i januari) (se § 8.11). Denna avvikelse från EDPB:s beslut förefaller vara olaglig.
- EDPB har i grunden inte instämt i DPC:s syn på böterna. Den tyska myndigheten kallade den till och med "kontrafaktisk" (s. 91). Samtidigt hade EDPB inte heller bevis för att Meta "avsiktligt" har brutit mot GDPR, vilket hävdades av den svenska datainspektionen.
- EDPB fastställde inte ett specifikt bötesbelopp, utan krävde endast att DPC skulle ha ett "betydligt högre" bötesbelopp.
- Sidorna 100 till 153 ägnas åt en omprövning av Datainspektionens höjda böter. Böterna är uppdelade i 80 miljoner euro och 70 miljoner euro för bristande insyn och endast 60 miljoner euro för den faktiska olagliga behandlingen av personuppgifter för miljontals EU-användare enligt artikel 6.1 b (§ 10.45).
Rättelse: I den första versionen av denna artikel angavs att DPC i vissa delar har avvikit från EDPB:s beslut. Med tanke på att hela EDPB-beslutet nu har offentliggjorts verkar det relevanta elementet vara i linje med EDPB-beslutet och kommentaren har tagits bort från webbplatsen noyb.eu.
