Irska Komisija za zaštitu podataka (DPC) je 04. siječnja 2023. objavila završetak dvaju istraga o operacijama obrade podataka tvrtke Meta Platforms Ireland Limited ("Meta Ireland") u vezi s pružanjem usluga Facebooka i Instagrama.
Podsjećamo, irski DPC kaznio je Metu s 210 milijuna eura zbog kršenja GDPR-a u vezi s Facebookom i 180 milijuna eura zbog kršenja u vezi s Instagramom. Meta Ireland također je dobila upute da svoje postupke obrade podataka uskladi u roku od 3 mjeseca. Ako žele nastaviti imati pristup uslugama Facebook i Instagram nakon uvođenja GDPR-a, postojeći (i novi) korisnici bit će ponuđeni da kliknu "Prihvaćam" kako bi naznačili prihvaćanje ažuriranih Uvjeta pružanja usluge.
Sa novim kaznama od 390 milijuna eura ukupne kazne iznose više od milijardu eura ukupnog iznosa financijskih kazni koje je DPC nametnuo Meti i njenim platformama. DPC ima još 12 otvorenih zasebnih istraga o tehnološkom divu i njegovim platformama.
Meta Ireland je smatrala da je nakon prihvaćanja ažuriranih Uvjeta pružanja usluge sklopljen ugovor između Meta Ireland i korisnika. Također je zauzela stav da je obrada podataka korisnika u vezi s isporukom njegovih Facebook i Instagram usluga nužna za izvršenje tog ugovora, da uključuje pružanje personaliziranih usluga i oglašavanja, tako da su takvi postupci obrade bili zakoniti pozivanjem na članak 6. stavak 1. točka (b) GDPR-a („ugovorna” pravna osnova za obradu). Podnositelji pritužbe tvrdili su da je Meta zapravo "prisiljavala" na pristanak na obradu osobnih podataka u svrhu personaliziranog oglašavanja što je u suprotnosti s GDPR-om.
EDPB je donio odluku 5. prosinca 2022., zauzevši drugačije stajalište o pitanju „pravne osnove”, utvrdivši da, u načelu, Meta Ireland nije imala pravo oslanjati se na pravnu osnovu „ugovora” kao pravnu osnovu za obradu osobnih podataka u svrhu personaliziranog oglašavanja. DPC nije mijenjao odluku i prilagodio i svoje stavove, već je samo prepisao stav EDPB-a. Kazne koje je izrekao DPC značajno su povećane u odnosu na one u nacrtu odluke u listopadu, u kojem je predložio iznos između 28 i 36 milijuna eura za Facebook i 23 milijuna eura za Instagram.
DPC je upute EDPB-a opisao kao "prekoračenje" i nije isključio pokretanje tužbe pred Sudom EU-a "kako bi se tražilo poništenje uputa EDPB-a".
Djelomično se čini da je DPC odstupio od obvezujuće odluke EDPB-a, na primjer dodijelivši Meti dulje razdoblje provedbe nego što je odredio EDPB.
Čini se da se odluka također ne bavi u potpunosti pritužbama noyba, budući da odluka ne pokriva pitanja poput upotrebe osobnih podataka za poboljšanje platforme Facebook ili za personalizirani sadržaj. EDPB je također zahtijevao daljnje istrage. Osim toga, temeljni sukob je u tome što prema austrijskom ili njemačkom zakonu pritužba definira opseg postupka, međutim DPC vjeruje da se prema irskom zakonu može ograničiti opseg pritužbe. noyb će se možda žaliti na odluku po ovim osnovama.
Sažetak glavnih zaključaka odluke možete pročitati u nastavku:
Pitanje 1 Odluke – Privola
DPC pokušava ignorirati pitanje je li Meta namjerno obmanula korisnike jednostavno govoreći da se radi o problemu transparentnosti (§ 2.19), DPC stoga odbacuje da nije u potpunosti istražio izvornu žalbu (§ 2.20).
EDPB je utvrdio da je DPC "trebao uključiti ispitivanje "[Facebookovih] operacija obrade, kategorija obrađenih podataka (uključujući utvrđivanje posebnih kategorija osobnih podataka koji se mogu obrađivati) i svrhe kojima služe", kako bi se u potpunosti utvrditi prigovor.
DPC i dalje ignorira ključno pitanje pritužbi -što ako klauzule u uvjetima de facto predstavljaju klauzulu skrivenog pristanka? Umjesto toga, DPC se pridružio Metinom stajalištu da ne treba tražiti privolu. Ako je to slučaj, ne može biti nikakvog pristanka (§ 3.10) i predmet se stoga ne treba istraživati, čak i ako je tvrdnja da je Meta jednostavno premjestila klauzulu o pristanku u odredbe i uvjete.
DPC kontinuirano ignorira činjenicu da istraživanje među 1.000 korisnika pokazuje da je više od 60% smatralo da je to pristanak, a manje od 2% da je riječ o ugovoru. EDPB je istaknuo da je studija važna informacija koju DPC nije razmotrio i nije uključena u nacrt odluke.
EDPB je poništio procjenu DPC-a o tome treba li klik na "prihvati" na web stranici Meta doista biti ocijenjen kao "privola" prema članku 6. stavku 1. točki (a) ili "ugovor" prema članku 6. stavku 1. točki (b) GDPR-a.
EDPB je zahtijevao da DPC ukloni sve zaključke o "Pitanjima 1" u odluci (vidi odlomak 3.26). Dok DPC i dalje zadržava sve svoje zaključke na stranicama 15 do 21 u nacrtu odluke (protiv stajališta EDPB-a), DPC je dodao jedan odlomak na kraju odjeljka, rekavši da (unatoč zadržavanju svih argumenata protiv stajališta EDPB-a) DPC nije otkrio ništa u vezi s pitanjem 1[PD1] ".
Može li Meta može koristiti članak 6(1)(b) -"ugovor"? (pitanje 2 Odluke)
DPC je odbio istražiti sve radnje obrade u kojima se Meta oslanja na članak 6. stavak 1. točku (b) jer "tužitelju nije dopušteno ... zahtijevati takvu procjenu". Facebook stoga nikada nije dostavio popis svih postupaka obrade i relevantnu pravnu osnovu. Time se može prekršiti austrijski zakon, gdje je opseg pritužbe očito stvar podnositelja pritužbe. DPC je stoga samo istražio stvar na razini načela (§ 4.7), s fokusom na "bihevioralno oglašavanje". To bi moglo učiniti odluku spornom, budući da su drugi oblici personalizacije (poput personalizacije sadržaja, poboljšanja proizvoda i slično) ili obrade osjetljivih osobnih podataka prema članku 9. GDPR-a također bili pokrenuti, ali nisu obuhvaćeni istragom i odlukom DPC-a.
DPC ne vidi nadležnost u tumačenju što je "ugovor" i smatra da je nadležnost DPC-a ograničena na GDPR (§ 4.13). To je prilično zapanjujuće jer je utvrđivanje sadržaja ugovora logičan preduvjet za utvrđivanje je li obrada "nužna" za ispunjenje ugovora. noyb je ranije rekao da neocjenjivanje ugovora predstavlja trik da se ne bavi tim pitanjem. DPC "najoštrije odbacuje ove ozbiljne tvrdnje o mala fidesu, nepoštenju i drugom nezakonitom ponašanju" od strane noyba kada DPC jednostavno nije istražio ugovornu nužnost. DPC ne prihvaća da bi neispitivanje sadržaja ugovora bilo "uskraćivanje pravde" (§ 4.16).
U § 4.26 do 4.55 DPC ponavlja neslaganje između DPC-a i EDPB-a, gdje DPC kaže da ne smije ocjenjivati sadržaj ugovora i da bi dao prednost širokom tumačenju, gdje je sve što je stavljeno u ugovor ili odredbe i uvjete " potrebno" prema članku 6. stavku 1. točki (b) GDPR-a.
Čini se da se EDPB oslonio na reference CJEU-a u C-252/21 i C-446/21 o činjeničnim nalazima o Metinoj upotrebi osobnih podataka za oglašavanje i slično, budući da je DPC odbio u potpunosti istražiti stvar (stranica 37 i 38 ). Čini se da postoji veliki proceduralni problem, budući da EDPB-u možda jednostavno nedostaju činjenični dokazi za donošenje odluke o cijeloj pritužbi, zbog DPC-ovog odbijanja da u potpunosti istraži stvar.
DPC tada samo kopira odluku EDPB-a u nacrt odluke DPC-a. EDPB ističe:
EDPB uglavnom odbija stavove DPC-a i naglašava da studija noyba pokazuje da korisnici ovo ne vide kao ugovor, već kao pristanak.
EDPB također kaže da samo zato što je Meta odlučila ostvariti profit putem personaliziranih oglasa, to ih ne čini "potrebnima" jer Meta također može prikazivati oglase na temelju konteksta ili drugih podataka.
EDPB drži da je glavna svrha za koju korisnik koristi Meta usluge komunikacija, a ne za personalizirane oglase.
Prema mišljenju EDPB-a, stav DPC-a i Mete također bi mogao potaknuti druge operatere da koriste članak 6. stavak 1. točku (b) kao zaobilaženje zahtjeva za pristankom.
EDPB se pridružuje stajalištu austrijskih, njemačkih, francuskih, talijanskih, nizozemskih, norveških, poljskih, portugalskih i švedskih vlasti da bihevioralno oglašavanje "objektivno nije potrebno za izvršenje Metinog navodnog ugovora".
Bez ikakvih daljnjih komentara, DPC zatim nalazi (protiv svega što je ranije tvrdio) u § 4.56 da se "Facebook nije imao pravo osloniti na članak 6(1)(b) GDPR" u svrhu bihevioralnog targetiranja.
Transparentnost "zaobilaženja"
DPC je do sada uglavnom zauzeo stajalište da je Meta samo trebala učiniti transparentnijim (po mišljenju DPC-a inače legalnim) zaobilaženje GDPR-a. To bi značilo da bi korisnici samo vidjeli dodatni skočni prozor ili slično, ali ne bi spriječilo Metu da dalje zlorabi korisničke podatke. Nedostatak transparentnosti je zadržan u odluci i objašnjen u § 5.1 do § 5.77.
EDPB je, međutim, inzistirao da to također dovodi do kršenja članka 5. stavka 1. točke (a) GDPR-a, što bi zauzvrat također značilo da osobni podaci korisnika nisu smjeli biti obrađeni.
DPC je opet samo kopirao/zalijepio odluku EDPB-a u svoju odluku i dodao jedan redak, rekavši da je prema odluci EDPB-a morao donijeti ovaj dodatni zaključak.
Završne odredbe:
EDPB je zatražio rok od tri mjeseca za ispunjavanje naloga od trenutka dostave naloga EDPB-a. Zabranjuje tvrtki Meta korištenje članka 6. stavka 1. točke (b) kako je opisano u nalogu EDPB-a.
DPC je naveo da odluka EDPB-a mora značiti da je "obrada" ograničena samo na obradu za oglašavanje. Čini se da se DPC nije bavio drugim aspektima pritužbe, što samo po sebi može biti nezakonito.
DPC je izmijenio odluku o EDPB-u tako da rok od tri mjeseca nije od trenutka kada je odluka EDPB-a uručena Meti (prosinac), već od dostave odluke DPC-a (siječanj) (vidi odlomak 8.11). Čini se da je ovo odstupanje DPC-a od odluke EDPB-a nezakonito.
EDPB se u osnovi nije složio sa stajalištima DPC-a o kazni. Njemačka vlast ga je čak nazvala "kontračinjeničnim" (stranica 91). U isto vrijeme EDPB također nije imao dokaze da utvrdi da je Meta "namjerno" prekršila GDPR, kao što je tvrdio švedski DPA.
EDPB nije odredio konkretnu novčanu kaznu, već je samo zahtijevao da DPC ima "znatno veću" kaznu.
Stranice 100 do 153 posvećene su ponovnoj procjeni povećane novčane kazne od strane DPC-a. Kazna je podijeljena na 80 milijuna eura i 70 milijuna eura zbog nedostatka transparentnosti i samo 60 milijuna eura u odnosu na nezakonitu obradu osobnih podataka milijuna korisnika EU-a prema članku 6. stavku 1. točki (b) (§ 10.45) .
