Dana 4. srpnja 2023., Sud Europske unije donio je presudu u predmetu Meta Platforme protiv Saveznog ureda za zaštitu tržišnog natjecanja (Njemačka). Presuda nameće važne zahtjeve u vezi tumačenja GDPR-a i međusobnog djelovanja tijela za tržišno natjecanje i nadzornih tijela za zaštitu podataka, posebno u pogledu personalizirane upotrebe osobnih podataka potrošača za ciljano oglašavanje na platformama društvenih mreža.
Odluka će posebno imati dalekosežne implikacije za one organizacije koje su u dominantnoj marketinškoj poziciji i gomilaju velike količine osobnih podataka iz različitih izvora.
Pozadina slučaja
Meta upravlja Facebookom, jednom od najvećih društvenih mreža na svijetu, zajedno s Instagramom, WhatsAppom, Messengerom i velikim brojem drugih platformi. Poslovanje Mete primarno se financira unovčavanjem podataka svojih korisnika putem ciljanog oglašavanja. Oglašivači plaćaju Meti da prikazuje njihove oglase korisnicima za koje se, na temelju profila podataka koji je Meta izgradila za njih kroz svoje aktivnosti na Metinim proizvodima, smatra da odgovaraju tom oglasu (Metin prihod u 2022. iznosio je 116 milijardi dolara, od čega je 113,6 milijardi dolara došlo od oglašavanja).
Savezni ured istraživao je Metu u Njemačkoj zbog povrede članka 102. Ugovora o funkcioniranju Europske unije („UFEU“ - zloporaba dominantnog položaja). Sud EU-a 2019. utvrdio je da način na koji je Meta obrađivala podatke svojih korisnika krši GDPR i stoga predstavlja zlouporabu dominantnog položaja Mete na tržištu internetskih društvenih mreža. Kršenje GDPR-a sastoji se u Metinoj upotrebi podataka svojih korisnika iz proizvoda koji nisu Facebook („off Facebook podaci“), koji su zatim povezani s Facebook računima tih korisnika kako bi se bolje ciljalo oglašavanje na Facebooku.
Za potrebe obrade navedenih podataka Meta se oslanja na ugovor o uporabi kojem korisnici društvene mreže Facebook pristupaju odabirom opcije „Registriraj se”, čime prihvaćaju uvjete uporabe. Prihvaćanje tih uvjeta nužno je za mogućnost uporabe društvene mreže Facebook.
Prethodna pitanja upućena Sudu EU
Tumačenje i odluka Suda EU-a
Tijela koja reguliraju pravo tržišnog natjecanja mogu postati svjesna problema usklađenosti sa zaštitom podataka uz izvršavanje svojih zakonskih ovlasti. U presudi se priznaje to preklapanje i navodi se da se tijela nadležna za tržišno natjecanje moraju „savjetovati i iskreno surađivati“ s nadzornim tijelima za zaštitu podataka kako bi oba tijela mogla učinkovito djelovati u okviru svoje nadležnosti.
Razlog za procjenu kršenja GDPR-a kao kršenja antimonopolskih pravila je taj što su „pristup osobnim podacima i mogućnost obrade takvih podataka postali značajan parametar konkurencije između poduzetnika u digitalnom gospodarstvu“.
Sud EU-a ostao je pri svojem prethodno izraženom stajalištu (npr. u predmetu C-184/20 – OT protiv Etičkog odbora) da su osjetljivi podaci obuhvaćeni člankom 9. stavkom 1. GDPR-a oni koji omogućuju otkrivanje informacija koje otkrivaju jednu od kategorija obuhvaćenih ovom odredbom“.
Takvo široko tumačenje članka 9. značilo bi da voditelji obrade moraju kao osjetljive podatke tretirati i određene podatke koje ne smatraju osjetljivim podacima, ali koji omogućuju otkrivanje takvih informacija.
Sud EU-a također je naveo da za „očito objavljivanje“ osjetljivih podataka (čl. 9. st. 2. t. (e)) GDPR-a nije dovoljno da ispitanik učita svoje podatke na platformu društvenih mreža ili da koristi gumbe koje nudi ta platforma (npr. „sviđa mi se“, „podijeli“). Potrebno je da ispitanik izričito unaprijed izrazi svoj izbor (npr. izričito omogućavanje pojedinačnih postavki kako bi publikacija bila dostupna neograničenom broju osoba na platformi društvenih medija).
Meta se oslanja na ugovor kao zakonitu pravnu osnovu za korištenje osobnih podataka. Međutim, u presudi se navodi da se ovaj ugovor ne odnosi na korištenje osobnih podataka ljudi za bilo što, što nije „nužno“ prema tom ugovoru, odnosno od temeljnog značaja za pružanje usluge. Konkretno, u ovom slučaju, prikazivanje personaliziranih oglasa ljudima nije potrebno, već predstavlja izvor prihoda za Meta-u.
Voditelj obrade mogao bi se osloniti na ugovornu osnovu ako je ta obrada objektivno nužna za izvršenje ugovora (što također proizlazi iz GDPR-a), ali Sud EU-a također dodaje zahtjev da voditelj obrade mora biti u mogućnosti dokazati da se glavna svrha ugovora ne može izvršiti bez dotične obrade.
Uvođenjem ovog dodatnog zahtjeva moglo bi se očekivati da će se opseg ugovorne osnove u određenoj mjeri smanjiti, što će otežati opravdanost obrade po ovoj osnovi.
Što se tiče pravnog temelja legitimnog interesa, Sud EU-a slijedio je mišljenje nezavisnog odvjetnika, što je u skladu s dosadašnjom praksom u tom pogledu. Dakle, da bi se oslonili na legitimni interes potrebno je ocijeniti da:
Obično se ove procjene rade u kontekstu procjene legitimnog interesa (LIA).
Što se tiče pravne obveze kao osnove, Sud EU-a navodi da i ovdje postoji nekoliko uvjeta koje treba ispuniti, a to su:
Da bi tvrtke mogle koristiti pristanak kao zakoniti uvjet obrade moraju dokazati da je osoba dobrovoljno dala tu privolu. U praksi to može biti teško dokazati kada tvrtka ima dominantan položaj na tržištu jer ljudi imaju manje izbora o tome koju platformu mogu koristiti, ali presuda kaže da je moguće, a na tvrtki je da dokaže da su ljudi u stanju slobodno dati svoj pristanak.
Prema Sudu EU-a, činjenica da operater internetske društvene mreže, kao voditelj obrade, ima dominantan položaj na tržištu društvenih mreža, kao takva ne sprječava korisnike da valjano daju privolu za obradu svojih osobnih podataka. Međutim, taj se čimbenik mora uzeti u obzir prilikom utvrđivanja je li privola doista bila valjana i, posebice, slobodno dana.
Glavni zaključci
Presuda daje jasnoću u vezi s dugo kontroverznim pitanjem smije li nadzorno tijelo zaduženo za kontrolu tržišnog natjecanja istraživati i utvrđivati povrede iz područja zaštite osobnih podataka. Poduzeća s dominantnim položajem na tržištu morat će obratiti još veću pozornost na prakse usklađene s GDPR-om.
Međutim, kršenje pravila GDPR-a predstavlja novu de facto skupinu slučajeva u vezi članka 102. UFEU-a. To će dovesti do novih neriješenih pitanja, npr. nejasno je u kojoj se mjeri povrede zaštite podataka moraju temeljiti na dominantnom položaju na tržištu.
Nadalje, odluka može rezultirati obvezom suradnje nadzornih tijela za zaštitu podataka ne samo s odgovarajućim nacionalnim tijelima za tržišno natjecanje, već i s drugim tijelima. Konkretno, novi digitalni režimi EU-a kao što su Zakon o digitalnim uslugama EU-a, predloženi Zakon EU-a o umjetnoj inteligenciji ili predloženi Zakon EU-a o podacima zahtijevaju da države članice uspostave nacionalna tijela.
Posljedično, u svjetlu ove odluke, ta bi tijela također mogla imati pravo istraživati i sankcionirati povrede zaštite podataka u suradnji s nadzornim tijelima za zaštitu podataka. Sud EU-a smatra da bi isključivanje „pravila o zaštiti osobnih podataka iz pravnog okvira koje bi tijela za tržišno natjecanje trebala uzeti u obzir prilikom ispitivanja zlouporabe vladajućeg položaja zanemarujući realnost ovog gospodarskog razvoja, što može potkopati učinkovitost prava tržišnog natjecanja unutar Europske unije”.