Irska agencija za zaštitu podataka (Dana Protection Commission, DPC) objavio je 4. siječnja dvije odluke u vezi s kršenjem Opće uredbe o zaštiti podataka (General Data Protection Regulation, GDPR), od strane Metinih društvenih mreža Facebook i Instagram. Odluka obuhvaća i novčane kazne od 210 milijuna eura (Facebook) i 180 milijuna eura (Instagram). Odluke su donesene zbog nepoštivanja odredbi GDPR-a o obradi osobnih podataka korisnika platformi u svrhu personaliziranog oglašavanja i bihevioralnog oglašavanja. Personalizirano je oglašavanje poslovni model Mete koji joj donosi najviše prihoda.  Dvije pritužbe protiv Mete su od 25. svibnja 2018. godine, istog dana kada je GDPR postao važeći. Podnio ih je noyb, nevladine organizacije koju vodi austrijski aktivist Max Schrems.

Dvije društvene mreže prije početka primjene GDPR-a promijenile su svoje Uvjete pružanja usluge, tražeći od postojećih i novih korisnika da prihvate obradu svojih osobnih podataka kako bi koristili njihove usluge. No to prema odluci DPC-a nisu uradili u skladu s GDPR-om, naime niti Facebook niti Instagram nisu od korisnika tražili izričito izjašnjavanje o korištenju osobnih podataka za ciljano i bihevioralno oglašavanje.

Anglosaksonski model

Prije donošenja nove odluke, od prije nekoliko dana, DPC je u svojoj ranijoj odluci smatrao da Meta nije ispunila obveze transparentnosti GDPR-a, budući da su informacije dane korisnicima bile nedovoljno jasne o tome kako se njihovi osobni podaci obrađuju, u koje svrhe i na kojoj pravnoj osnovi. Međutim, u najvažnijem dijelu pritužbe, irska je agencija da Meta nije napravila prisilno pristajanje korisnika na ciljano i bihevioralno oglašavanje, te da se Metin pravni postupak može smatrati alternativnim pristankom korisnika. No, prema internim dokumentima koje je objavio noyb, sam model ugovora bio je rezultat dijaloga između DPC-a i Mete. Razgovaranje regulatora s tvrtkama o tome kako primijeniti zakon relativno je uobičajeno u anglosaksonskom pravnom sustavu, ali mnogo manje u kontinentalnoj Europi.

-- tekst se nastavlja nakon oglasa --

 

jedan od dokumenata o prepisci između Facebooka (Meta i DPC-a koje je objavio noyb

Nacrt te prve odluke DPC-a osporilo je 10 europskih nacionalnih tijela za zaštitu podataka. Osporili su stav DPC-a da je personalizirano oglašavanje može biti dopušteno prema pravnoj osnovi korisničkog ugovora koji je ponudila Meta jer, prema njihovom stavu, pravno ne obuhvaća isporuku personaliziranih usluga društvenih mreža Facebook i Instagram.

Posredovanje EDPB-a

Kako se DPC i deset regulatornih tijela članica Europske unije nisu uspjeli dogovoriti o pravnom tumačenju sporne odluke slučaj je upućen mehanizmu za rješavanje sporova Europskog odbora za zaštitu podataka (European Data Protection Bord, EDPB), tijela koje okuplja sva tijela EU-a za zaštitu podataka, koje je 5. prosinca 2022. donijelo obvezujuću konačnu odluku.

Odbor je u velikoj mjeri potvrdio stajalište DPC-a u vezi s kršenjem transparentnosti, ali je utvrdio da pravna osnova Metinog ugovora nije u skladu s GDPR-om za obradu osobnih podataka u svrhu bihevioralnog oglašavanja. Odbor je zbog utvrđivanja dodatnih kršenja GDPR-a povisio kazne Meti

za 36 milijuna eura u slučaju Facebooka i 23 milijuna eura u slučaju Instagrama. “Vjerujemo da je naš pristup u skladu s GDPR-om, a prethodno se DPC nije bunio na naš pristup. Kao takvi, razočarani smo ovim odlukama i namjeravamo se žaliti i na sadržaj presude i na kaznu”, rekao je glasnogovornik Mete, prenosi Euroaktiv.

Slijedi odluka i za Whatsapp

Noyb je istu tužbu za kršenje GDPR-a podnio i protiv WhatsAppa, također u vlasništvu Mete. Iako je odluka Europskog odbora za zaštitu podataka o WhatsAppu donesena zajedno s druge dvije u prosincu, irskim je vlastima proslijeđena tek tjedan dana nakon toga. Očekuje se da će WhatsAppov upit biti završen sljedeći tjedan, sa sličnim ishodom.

Usto, Odbor je također zatražio od DPC-a da provede novu istragu praksi obrade podataka na Facebooku i Instagramu, posebice u vezi s posebnim kategorijama osobnih podataka.

Serija kazni

Nacionalna komisija za zaštitu podataka izdala je više od milijardu dolara kazni od početka prošle godine. Nova kazna jedna je od najvećih od nekoliko prethodnih kojima je kažnjena Meta zbog kršenja EU propisa. DPC je u studenom 2022. godine kaznio Metu s 276 milijuna dolara zbog curenja podataka 2021. godine, u rujnu 2022. godine je izrekao kaznu od 402 milijuna dolara zbog načina na koji je Meta postupala s podacima tinejdžera na Instagramu, a u ožujku iste godine je Metu kaznio s oko 18 milijuna dolara zbog problema s vođenjem evidencije.

Podijeli:

 

 

Vezane objave