Meta Platforms Ireland Limited („Meta”), spółka będąca właścicielem usług Facebook i Instagram świadczonych na obszarze Europejskiego Obszaru Gospodarczego, została ukarana przez Irlandzką komisję ochrony danych osobowych („DPC”) grzywną w łącznej wysokości 390 mln euro za naruszanie unijnych zasad ochrony danych osobowych polegające m. in. na bezpodstawnym przetwarzaniu danych osobowych użytkowników w celu targetowania reklam: 210 mln euro za naruszenia w portalu Facebook i 180 mln euro za naruszenia w portalu Instagram. Decyzje te mogą mieć istotny wpływ także na inne platformy, dla których reklamy behawioralne stanowią centrum modelu biznesowego.
Sprawa została wszczęta już 25 maja 2018 roku, czyli w dniu wejścia w życie Ogólnego rozporządzenia o ochronie danych osobowych („RODO”) w wyniku skargi znanego austriackiego działacza na rzecz prywatności, Maxa Schremsa. Przed tym czasem Meta polegała na zgodzie użytkownika na przetwarzanie jego danych. W dniu wejścia w życie RODO spółka zmieniła przy tym regulamin serwisów Facebook i Instagram. Dotychczasowi użytkownicy zostali poproszeni o zaakceptowanie zaktualizowanego regulaminu, w przeciwnym razie zostaliby pozbawieni dalszego dostępu do usług. Każdy nowy użytkownik również był i jest zmuszony do jego akceptacji (jeśli chce korzystać z serwisów). Meta uznała, że w momencie zaakceptowania regulaminu usługi zostaje zawarta umowa z użytkownikiem. Przetwarzanie danych użytkowników w celu świadczenia usług spersonalizowanych, w tym reklamy behawioralnej, jest jej zdaniem niezbędne w celu wykonania tej umowy i wobec tego jest oparte na art. 6 ust. 1 lit. b RODO.
W decyzjach DPC ustalono jednak, że przetwarzanie danych osobowych w ramach reklamy behawioralnej nie jest niezbędne do świadczenia usług na rzecz użytkowników, nie stanowi bowiem podstawowego elementu tych usług. Tym samym takie przetwarzanie jest bezpodstawne i nie ma podstawy prawnej. Dodatkowo wskazano, że użytkownicy platform nie mieli wystarczającej jasności co do tego, jakie operacje przetwarzania są przeprowadzane na ich danych osobowych, a także w jakim celu (celach) są one przetwarzane w odniesieniu do odpowiednich podstaw prawnych wskazanych w RODO – informacje te nie zostały im jasno przedstawione.
Co przy tym istotne, decyzja została wydana w następstwie wiążących zaleceń Europejskiej Rady Ochrony Danych („EROD”). Ze względu na fakt, że przetwarzanie danych przez Meta ma charakter transgraniczny i dotyczy obywateli różnych państw europejskich, aż dziesięć krajów złożyło zastrzeżenia do projektu decyzji DPC. Miały one przy tym rozbieżne stanowiska, więc spór musiał zostać rozstrzygnięty przez organ unijny. EROD podwyższyła projektowane kary wielokrotnie, bo z maksymalnie 36 i 23 mln euro w projektach decyzji Facebooka i Instagrama DPC do odpowiednio 210 mln euro i 180 mln euro w ostatecznych decyzjach. Zauważyła bowiem, że poważne naruszenia obowiązków w zakresie przejrzystości wpłynęły na uzasadnione oczekiwania użytkowników, a Meta przedstawiała użytkownikom swoje usługi w sposób wprowadzający w błąd. Same relacje między Meta a użytkownikami także były (są) nierówne.
W decyzji DPC Meta została także zobligowana do zapewnienia zgodności z RODO: spółka ma 3 miesiące na dostosowanie procesów przetwarzania do wymogów prawnych. Z informacji prasowych wynika, że Meta zapowiedziała odwołanie od decyzji.
EROD przyjęła również inną wiążącą decyzję w dniu 5 grudnia 2022 r. w sprawie sporu wynikającego z dochodzenia dotyczącego WhatsApp Ireland Limited, innej usługi giganta internetowego. Ostateczna decyzja DPC nie została jednak jeszcze wydana.
Autorka: r. pr. Edyta Oleszczuk-Romańska