Η DPC επιβάλλει πρόστιμο στη META 390 εκατ. ευρώ για παραβίαση του GDPR – Data Privacy Manager

Στις 4 Ιανουαρίου, Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας (DPC) ανακοίνωσε την ολοκλήρωση δύο ανακρίσεων κατά της Meta Ireland και την απόφαση έκδοσης πρόστιμο 390 εκατομμυρίων ευρώ σε σχέση με το Facebook και Instagram Υπηρεσίες.

Οι έρευνες διενεργήθηκαν σε σχέση με δύο καταγγελίες που εγείρουν το ίδιο ζήτημα σχετικά με τη νομική βάση για την επεξεργασία και συλλογή προσωπικών δεδομένων στις πλατφόρμες Facebook και Instagram.

Ωστόσο, αυτή η απόφαση έχει μεγαλύτερη σημασία από μια απλή προειδοποιητική ιστορία και εγείρει σημαντικά ερωτήματα σχετικά με την το μέλλον της σχέσης παρόχου-καταναλωτή διαδικτυακών υπηρεσιών.

Ολόκληρη η διαδικτυακή υπηρεσία ήταν μια συμφωνία μεταξύ παρόχων και καταναλωτών, όπου στους καταναλωτές προσφέρονται «δωρεάν» υπηρεσίες σε αντάλλαγμα για τα προσωπικά τους δεδομένα. Αυτό αφήνει το ερώτημα πώς θα πληρώνονται οι διαδικτυακές υπηρεσίες στο μέλλον, εάν οι πάροχοι δεν μπορούν συγκομιδή και δημιουργία εσόδων από δεδομένα.

Λεπτομέρειες της υπόθεσης

Ακριβώς πριν από την επιβολή του Γενικός Κανονισμός Προστασίας Δεδομένων στις 25 Μαΐου 2018, η Meta άλλαξε τους Όρους Παροχής Υπηρεσιών για τους χρήστες του Facebook και Instagram, αλλαγή της νομικής βάσης από τη συγκατάθεση σε σύμβαση για τις περισσότερες από τις μεταποιητικές της δραστηριότητες.

Ζητήθηκε από τους χρήστες αποδεχτείτε τους νέους ενημερωμένους Όρους Παροχής Υπηρεσιών να έχουν πρόσβαση στους λογαριασμούς τους στο Facebook και στο Instagram· Διαφορετικά, οι υπηρεσίες δεν θα ήταν διαθέσιμες σε αυτούς.

Η Meta θεώρησε ότι, αποδεχόμενοι τους Όρους Παροχής Υπηρεσιών, οι χρήστες θα συνάψουν σύμβαση με τη Meta, υποστηρίζοντας ότι η επεξεργασία των προσωπικών δεδομένων ήταν απαραίτητη για την παράδοση των υπηρεσιών Facebook και Instagram και την εκτέλεση της σύμβασης, επομένως οποιαδήποτε εξατομικευμένη και συμπεριφοριστική διαφήμιση θα λαμβάνεται υπόψη σύμφωνα με τον GDPR.

Ωστόσο, δύο καταγγέλλοντες υποστήριξαν ότι, εξαρτώντας την προσβασιμότητα των υπηρεσιών της από την αποδοχή των ενημερωμένων Όρων Παροχής Υπηρεσιών από τους χρήστες, η Meta, στην πραγματικότητα, „αναγκάζοντας» να συναινέσουν στην επεξεργασία των προσωπικών τους δεδομένων για διαφημίσεις συμπεριφοράς και άλλες εξατομικευμένες υπηρεσίες, παραβιάζοντας επομένως τον GDPR.

Έρευνα και ευρήματα της DPC

Το DPC διεξήγαγε έρευνες και έκανε μια σειρά από ευρήματα εναντίον του Meta. Συγκεκριμένα, η παραβίαση του διαφάνεια υποχρέωση, δεδομένου ότι οι πληροφορίες σχετικά με τη νομική βάση δεν ήταν σαφώς καθορισμένες.

Αυτό προκάλεσε ανεπαρκή σαφήνεια σχετικά με το ποιες δραστηριότητες επεξεργασίας πραγματοποιούνταν στα προσωπικά δεδομένα, για ποιο σκοπό και σε ποια από τις έξι νομικές βάσεις βασίζονταν στη συλλογή προσωπικών δεδομένων.

Ως εκ τούτου, το DPC εξέτασε το Meta παραβίασε την αρχή της διαφάνειας που σχετίζονται με Άρθρα 12 και 13(1)(γ) και Άρθρο 5 παράγραφος 1 στοιχείο α), που ορίζει τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε επεξεργασία νόμιμα, δίκαια και με διαφάνεια, προτείνοντας πρόστιμα στη Meta με εντολή να συμμορφωθεί με την επεξεργασία τους.

Ωστόσο, το DPC έκρινε ότι η Meta δεν όφειλε να βασιστεί στη συγκατάθεση για τις δραστηριότητές της επεξεργασίας, επομένως η καταγγελία βασιζόταν σε αναγκαστική συναίνεση δεν μπορούσε να ληφθεί υπόψη.

Διαφωνία για το σχέδιο απόφασης της DPC

Κάτω από ένα διαδικασία που επιβάλλει ο GDPRη DPC υπέβαλε τα σχέδια αποφάσεων στις ομοτίμους της ρυθμιστικές αρχές στην ΕΕ/ΕΟΧ, γνωστές και ως Ενδιαφερόμενες Εποπτικές Αρχές (CSA).

Μια μειοψηφία άλλων ρυθμιστικών αρχών δεδομένων της ΕΕ υποστήριξε ότι η Meta δεν θα πρέπει να επιτρέπεται να βασίζεται στη σύμβαση ως νομική βάση, δεδομένου ότι η παράδοση εξατομικευμένης διαφήμισης δεν είναι απαραίτητη να εκτελέσει τα βασικά στοιχεία της σύμβασης και αντιτάχθηκε στο σχέδιο απόφασης της DPC.

Το DPC διαφώνησε, δηλώνοντας ότι οι υπηρεσίες Facebook και Instagram φαίνεται να βασίζονται στην παροχή μιας εξατομικευμένης υπηρεσίας που περιλαμβάνει εξατομικευμένη ή συμπεριφορική διαφήμιση.

Απόφαση EDPB

Αφού απέτυχε να καταλήξει σε συναίνεση, το DPC παρέπεμψε την απόφαση στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB), η οποία απέρριψε την απόφαση της DPC και επέβαλε τη δική της δεσμευτική απόφαση.

Στην απόφασή του, το EDPB απέρριψε πολλές αντιρρήσεις που προβλήθηκαν από τα CSA και έλαβε την ίδια θέση για την παραβίαση της διαφάνειας (προσθήκη της αρχής της δικαιοσύνης στον κατάλογο των παραβιάσεων) με το DPC.

Ωστόσο, το EDPB διαπίστωσε ότι η Meta δεν είχε το δικαίωμα να βασιστεί στη σύμβαση ως νομική βάση σε σχέση με την παράδοση διαφημίσεων συμπεριφοράς ως μέρος των υπηρεσιών της στο Facebook και στο Instagram.

Αποτέλεσμα

Υπό το φως των νέων ευρημάτων EDPB, το DPC αύξησε το ποσό του προστίμου στα 390 εκατομμύρια ευρώ (210 εκατομμύρια ευρώ για παραβίαση του GDPR σχετικά με την υπηρεσία Facebook και 180 εκατομμύρια ευρώ που σχετίζονται με την υπηρεσία Instagram), διατάσσοντας τη Meta να συμμορφωθεί εντός περίοδο 3 μηνών.

Ωστόσο, πιο σημαντική από το πραγματικό πρόστιμο είναι η απόφαση που Η Meta δεν θα μπορεί να συλλέγει προσωπικά δεδομένα βασιζόμενη σε σύμβαση ως νομική βάση για να δικαιολογήσει τη συλλογή δεδομένων μιας τέτοιας ποικιλίας και θα πρέπει ζητήστε τη συναίνεση των χρηστών προκειμένου να συλλέξετε τα προσωπικά τους δεδομένα για την πώληση στοχευμένων και εξατομικευμένων διαφημίσεων.

Διαβάστε ολόκληρη την απόφαση: Η Επιτροπή Προστασίας Δεδομένων ανακοινώνει την ολοκλήρωση δύο ερευνών στη Meta Ireland

Ο Μέτα θα ασκήσει έφεση

Ο Meta σκοπεύει να ασκήσει έφεση απόφαση του DPC και το πρόστιμο. Η εταιρεία είπε ότι θα αξιολογήσει μια ποικιλία επιλογών που θα της επιτρέψουν να συνεχίσει να προσφέρει πλήρως εξατομικευμένες υπηρεσίες στους χρήστες.

Ο Μέτα ανέφερε σε δήλωσή του ότι υπήρξε α έλλειψη κανονιστικής σαφήνειας και συζήτηση μεταξύ ρυθμιστικών αρχών και φορέων χάραξης πολιτικής σχετικά με τη νομική βάση για την ανταλλαγή δεδομένων για κάποιο χρονικό διάστημα.