Kao što je potvrdio irski DPC, Europski odbor za zaštitu podataka (EDPB) odbacio je irski DPC i Metino zaobilaženje GDPR-a na temelju noyb-ovih pritužbi protiv Facebooka i Instagrama. Meti je sada zabranjeno zaobilaziti GDPR putem klauzule u uvjetima. Mora dobiti "opt-in" privolu za personalizirano oglašavanje i mora korisnicima dati opciju "da/ne". Određen je rok od tri mjeseca da obradu podataka usklade s Općom uredbom o zaštiti podataka. Odluka proizlazi iz pritužbi koje je podnijela grupa za zaštitu privatnosti noyb 25. svibnja 2018., na dan kada je GDPR stupio na snagu. Sada znamo da su Facebook i Instagram tijekom gotovo pet godina prikupili više informacija o svojim europskim korisnicima nego što zakon EU dopušta.
DPC je donio konačnu odluku o dvije istrage o Metinom Facebooku i Instagramu, kaznivši tvrtku s ukupno 390 milijuna eura i potencijalno dovodeći do preokreta njezinog modela personaliziranog oglašavanja u EU. Sankcije slijede četiri druge novčane kazne irskih regulatora zbog kršenja privatnosti podataka od 2021., u ukupnom iznosu većem od 900 milijuna eura. Odluka o trećem paralelnom slučaju WhatsApp-a odgođena je do sredine siječnja te se može očekivati dodatna kazna za Metu.
DPC je rekao da njegove konačne odluke odražavaju obvezujuće odluke Europskog odbora za zaštitu podataka da je Meta prekršila obveze transparentnosti jer nije jasno navela pravnu osnovu za obradu osobnih podataka korisnicima i poništava pravnu osnovu "ugovor" za obradu osobnih podataka za personalne oglase.
GDPR dopušta šest pravnih osnova za obradu podataka, od kojih je jedna privola prema članku 6. stavku 1. točki (a). Meta je pokušala zaobići zahtjev za pristankom za praćenje i online oglašavanje tvrdeći da je oglašavanje dio "usluge" koja je ugovorno obvezan korisnicima. Navodna promjena pravnog okvira dogodila se točno u ponoć 25. svibnja 2018., kada je GDPR stupio na snagu. Takozvana "ugovorna nužnost" prema članku 6. stavku 1. točki (b) obično se shvaća u užem smislu i, na primjer, omogućuje internetskoj trgovini prijenos adrese poštanskoj službi, budući da je to potrebno za dostavu. Meta, međutim, vjeruje da može jednostavno dodati nasumične elemente (kao što su oglasi temeljeni na interesu) u ugovor kako bi se izbjegla opcija da/ne za korisnike. EDPB je utvrdio da stavljanje pravnog pristanka unutar uvjeta usluge u prisiljava korisnike da prihvate personalizirane oglase.
Max Schrems: “Umjesto opcije da/ne za personalizirane oglase, jednostavno su premjestili klauzulu o pristanku u odredbe i uvjete. Ovo ne samo da je nepravedno, već je očito i nezakonito.“
Tijekom postupka, tvrtka Meta se oslanjala na deset povjerljivih sastanaka s irskim DPC-om, na kojima je DPC dopustio Meti korištenje ove "zaobilaznice". Kasnije je otkriveno da je DPC čak pokušao utjecati na relevantne preporuke EDPB-a u interesu Mete. Međutim, drugi europski DPA-ovi interno su odbacili mišljenje DPC-a 2018., u Smjernicama 2019. i ponovno u konačnoj odluci EDPB-a u prosincu 2022. Slučaj se odužio 4,5 godine sa stotinama stranica izvješća i materijala.
Max Schrems: „U ovom slučaju govorimo o jednostavnom pravnom pitanju. Meta tvrdi da se "obilaznica" dogodila uz blagoslov DPC-a. Godinama je DPC odugovlačio s procesom i inzistirao na tome da Meta može zaobići GDPR, no sada su druga tijela EU-a poništila njegovu odluku. Sve u svemu, ovo je četvrti put zaredom da je irska DPC odluka odbijena.“
DPC je Facebooku i Instagramu poslao kopije svoje odluke i dao im tri mjeseca da legaliziraju svoje prikupljanje podataka. Maxu Schremsu, koji je podnio žalbu, rečeno je da će kopiju te konačne odluke dobiti kasnije, putem austrijskog tijela za podatke. Ako je ta verzija redigirana na bilo koji značajan način, mogla bi predstavljati zanimljive pravne argumente u žalbenom postupku.
Max Schrems: „Čini da irski DPC pokušava utjecati na javnu percepciju ovog slučaja. U deset godina parničenja nikada nisam vidio da je odluka uručena samo jednoj strani, a da nije uručena drugoj. DPC igra vrlo dijaboličnu igru odnosa s javnošću. Spriječavajući noyb ili javnost da pročitaju odluku, on pokušava oblikovati narativ odluke s Metom. Čini se da je suradnja između Mete i irskog regulatora u dobrom tijeku unatoč tome što ju je EDPB odbio.”
DPC je također najavio da će tražiti "tužbu za poništenje" od Suda Europske unije u vezi s određenim elementima "jurisdikcije" odluke EDPB-a. DPC je rekao da mu je EDPB naložio da provede istragu "koja bi obuhvatila sve obrade podataka na Facebooku i Instagramu i ispitala posebne kategorije osobnih podataka koji se mogu ili ne moraju obrađivati."
DPC je rekao da njegove odluke "naravno ne uključuju upućivanje na nove istrage svih obrada podataka na Facebooku i Instagramu", nazvavši smjer EDPB-a "problematičnim" i navodeći da se "ne čini u skladu sa strukturom suradnje i postavljenim dogovorima o dosljednosti prema GDPR-u.”
Helen Dixon, čelnica irskog Povjerenstva za zaštitu podataka, rekla je da regulatori moraju biti "pošteni posrednici" i ne popuštati zahtjevima aktivista za privatnost koji forsiraju presude koje ne bi izdržale pravne izazove.
"Nećemo postići rezultate jednostavnim traženjem ponovnog pisanja GDPR kao što bismo željeli da je napisan", rekla je gospođa Dixon u intervjuu.
Pojednostavljeno rečeno: agenciju koja je prethodno stala na stranu Facebooka oko ključnih točaka u vezi s pritužbom glasnog austrijskog borca za zaštitu privatnosti Maxa Schremsa u svibnju 2018. pozvale su na odgovornost druge europske vlasti i bile prisiljene promijeniti svoje stajalište. Prečesto je irski DPC dosljedno zauzimao stavove o zaštiti podataka u EU-u za koje najviši europski sudovi - i drugi regulatori - kažu da su pogrešni.
Ako velik broj korisnika odluči ne dijeliti svoje podatke, to bi prilično utjecalo na jedan od najvrjednijih dijelova Metina poslovanja. Meta, koja je prijavila 89,77 milijardi eura godišnje bruto globalne dobiti u 2021., morat će promijeniti svoj visoko profitabilni model personaliziranog oglašavanja u Europi.
Ova odluka je najnovija poslovna prepreka s kojom se suočava Meta, koja se već borila s velikim padom prihoda od oglašavanja zbog promjene koju je uveo Apple 2021. i koja je korisnicima iPhonea dala mogućnost da odaberu mogu li ih oglašivači pratiti. Meta je prošle godine rekla da će ga Appleove promjene stajati oko 10 milijardi dolara 2022., a ankete potrošača pokazuju da je većina korisnika blokirala praćenje.
Potpredsjednica za globalnu privatnost pri „Future of Privacy Forum“ Gabriela Zanfir-Fortuna rekla je da je to "vjerojatno najznačajnija odluka o provedbi" od implementacije GDPR-a, ne zbog značajne novčane kazne nego "promjene koje će Meta morati napraviti pri pružanju uslugama."
