noyb klagomål: Metas affärsmodell förklaras olaglig i EU enligt WSJ. Facebook, Instagram och WhatsApp kan inte längre köra personliga annonser utan användarens samtycke
Som rapporterats av The Wall Street Journal har EDPB beslutat att Meta inte kan tvinga användare att samtycka till personliga annonser. I maj 2018, när GDPR trädde i kraft i EU, trodde Meta Ireland Ltd. att det kunde "kringgå" kravet på att få opt-in-samtycke från användare genom att helt enkelt lägga till en bestämmelse i villkoren. Den 25 maj 2018 lämnade den digitala rättighetsorganisationen noyb in klagomål till de berörda dataskyddsmyndigheterna (DPA). Nu, 4,5 år senare, fann Europeiska dataskyddsstyrelsen (EDPB) Metas påstådda "bypass" av GDPR olaglig. EDPB avvisade också åsikten från den irländska dataskyddskommissionen (DPC) som tidigare stod på Metas sida, efter att ha tagit fyra år att undersöka ärendet.
- Exklusiv rapport av Wall Street Journal
- Originalklagomål från 25 maj 2018
- Bakgrund till DPC:s godkännande av "samtyckesbypass"
- Bakgrund till hur DPC pressade EDPB i Metas intresse
- EDPB:s riktlinjer 2/2019 om artikel 6.1 b i GDPR
Viktiga fakta. Här är de viktigaste slutsatserna:
- Den aktuella informationen är baserad på rapportering från Wall Street Journal, enligt vilken EDPB"beslutade att EU:s integritetslagstiftning inte tillåter Meta-plattformar, som Instagram och Facebook, att använda sina användarvillkor som en motivering för att tillåta sådan reklam."
- Beslutet grundar sig på klagomål som noyb lämnade in den 25 maj 2018, samma dag som GDPR började tillämpas.
- EDPB har utfärdat ett beslut som kräver att den irländska DPC (tillsynsmyndigheten för Meta i EU) utfärdar ett slutligt beslut inom en månad.
- EDPB-beslutet riktar sig inte till parterna före förfarandet utan till den irländska DPC.
- EDPB har därmed upphävt ett tidigare utkast till beslut av den irländska DPC som ansåg att Metas förbikoppling av GDPR var laglig.
- EDPB-beslutet kräver att Meta inte får använda personuppgifter för annonser baserat på ett påstått "kontrakt". Användare måste därför ha ett ja / nej samtycke alternativ.
- EDPB-beslutet förbjuder inte andra former av annonsering (som kontextuella annonser, baserade på innehållet på en sida).
- EDPB:s beslut i sig offentliggjordes inte, men kommer att offentliggöras tillsammans med DPC:s slutliga beslut i januari 2023.
- EDPB begärde också ett betydande bötesbelopp, det exakta beloppet är ännu inte känt.
Meta ville "kringgå" samtycke. GDPR tillåter sex rättsliga grunder för att behandla uppgifter, varav en är samtycke enligt artikel 6.1 a. Meta försökte kringgå samtyckeskravet för spårning och onlineannonsering genom att hävda att annonser är en del av den "tjänst" som de enligt avtal är skyldiga användarna. Det påstådda bytet av rättslig grund skedde exakt den 25 maj 2018 vid midnatt när GDPR började tillämpas. Så kallad "avtalsenlig nödvändighet" enligt artikel 6.1 b förstås vanligtvis snävt och skulle t.ex. tillåta en onlinebutik att vidarebefordra adressen till en posttjänst, eftersom detta är absolut nödvändigt för att leverera en beställning. Meta ansåg dock att man bara kunde lägga till slumpmässiga element i avtalet (t.ex. personlig reklam) för att undvika ett ja/nej-alternativ för användarna.
Max Schrems:"Istället för att ha ett ja/nej-alternativ för personliga annonser flyttade de bara samtyckesklausulen i villkoren. Detta är inte bara orättvist utan helt klart olagligt. Vi känner inte till något annat företag som har försökt att ignorera GDPR på ett så arrogant sätt."
Betydande böter väntas. Förutom ett övergripande stopp för personaliserade annonser har EDPB insisterat på ett massivt böter för Meta, enligt WSJ. När allt kommer omkring har företaget baserat den mest kommersiella databehandlingen på en rättslig grund som tydligt uteslöts av EDPB i uttryckliga riktlinjer 2019, vilket ledde till tydligt avsiktliga överträdelser av lagen. Meta har redan drabbats av mer än 1 miljard euro i GDPR-böter hittills. Meta måste betala denna böter till den irländska staten.
Max Schrems: "Detta förfarande drar från en hel del resurser i vår donationsfinansierade förening. Fallet kommer förmodligen att träffa domstolarna därefter. Straffet kommer dock att gå till Irland - den stat som har tagit Metas sida och har försenat förfarandet i över fyra år."
DPC och Meta samarbetade om "bypass". Under förfarandets gång har Meta förlitat sig på tio konfidentiella möten med den irländska DPC där DPC påstås ha tillåtit Meta att använda denna "bypass". Det avslöjades senare att DPC till och med har försökt att påverka relevanta EDPB-riktlinjer i Metas intresse. Ändå avvisade de andra europeiska dataskyddsmyndigheterna DPC:s uppfattning redan 2018 och återigen i det slutliga EDPB-beslutet. Ärendet tog mer än 4,5 år och ledde till hundratals sidor med rapporter och inlagor, trots att ärendet handlade om en ganska enkel juridisk fråga.
Max Schrems:"Det här ärendet handlar om en enkel juridisk fråga. Trots det långsamma förfarandet är vi trots allt glada över EDPB:sbeslut."
Konsekvens: inga personliga annonser. Beslutet innebär att Meta måste tillåta användare att ha en version av alla appar som inte använder personuppgifter för annonser. Beslutet skulle fortfarande tillåta Meta att använda icke-personliga data (t.ex. innehållet i en berättelse) för att anpassa annonser eller för att be användarna om samtycke till annonser via ett ja/nej-alternativ. Användare måste kunna återkalla samtycke när som helst och Meta får inte begränsa tjänsten. Även om detta kommer att begränsa Metas vinster dramatiskt i EU, skulle det inte helt förbjuda annonser. Istället kommer beslutet att sätta Meta på samma nivå som andra webbplatser eller appar, som måste tillhandahålla ett ja / nej-alternativ till användarna.
Max Schrems:"Detta är ett enormt slag mot Metas vinster i EU. Människor måste nu tillfrågas om de vill att deras data ska användas för annonser eller inte. De måste ha ett "ja eller nej"-svar och kan ändra sig när som helst. Beslutet säkerställer också lika villkor med andra annonsörer som också behöver få samtycke."
Nästa steg. EDPB-beslutet levereras till den irländska DPC. Beslutet måste sedan delges Meta i Irland och noyb i Österrike inom en månad (så i januari 2023). Meta kan sedan överklaga beslutet, men chanserna att vinna ett sådant överklagande är minimala efter ett EDPB-beslut. Det finns också två liknande fall inför EU-domstolen (CJEU) om Metas samtycke bypass, som kan lösa frågan och alla överklaganden för gott. Användare kan också vidta åtgärder mot den olagliga användningen av deras uppgifter under de senaste 4,5 åren.
