Odločitvi glede Facebooka in Instagrama: „Pomemben vpliv na uporabo osebnih podatkov za vedenjsko oglaševanje“

12 January 2023

Bruselj, 12. januarja – Irski organ za varstvo podatkov (IE DPA) je po zavezujočih odločitvah Evropskega odbora za varstvo podatkov z dne 5. decembra 2022 sprejel odločitvi v zvezi s Facebookom in Instagramom (Meta Platforms Ireland Limited, v nadaljevanju: Meta IE). Odločitvi sta rezultat preiskav aktivnosti Facebooka in Instagrama, začetih na podlagi pritožb, zlasti v zvezi z zakonitostjo in preglednostjo obdelave za vedenjsko oglaševanje. Meta IE je bila s strani irskega organa za varstvo podatkov v odločitvi glede Facebooka kaznovana z 210 milijoni EUR in z 180 milijoni EUR v odločitvi glede Instagrama.

Končni odločitvi irskega organa za varstvo podatkov z dne 31. decembra 2022 vključujeta pravno oceno, ki jo je Evropski odbor za varstvo podatkov izrazil v svojih zavezujočih odločitvah z dne 5. decembra 2022. Ti zavezujoči odločitvi sta bili sprejeti na podlagi člena 65(1)(a) Splošne uredbe o varstvu podatkov, potem ko je irski organ za varstvo podatkov kot vodilni nadzorni organ sprožil dva postopka reševanja sporov v zvezi z ugovori zadevnih nadzornih organov iz desetih držav v vsaki zadevi. Zadevni nadzorni organi so med drugim podali ugovore v zvezi s pravno podlago za obdelavo (člen 6 Splošne uredbe o varstvu podatkov), načeli varstva podatkov (člen 5 Splošne uredbe o varstvu podatkov) in uporabo korektivnih ukrepov, vključno z globami.

Predsednica Evropskega odbora za varstvo podatkov Andrea Jelinek je povedala: „Zavezujoči odločitvi Evropskega odbora za varstvo podatkov razjasnjujeta, da je Meta nezakonito obdelala osebne podatke za namene vedenjskega oglaševanja. Takšno oglaševanje ni potrebno za izvajanje domnevne pogodbe z uporabniki Facebooka in Instagrama. Ti odločitvi lahko pomembno vplivata tudi na druge platforme, ki imajo vedenjske oglase v središču svojega poslovnega modela.“

Evropski odbor za varstvo podatkov je odločil, da se družba Meta IE neustrezno zanaša na pogodbo kot pravno podlago za obdelavo osebnih podatkov v okviru Facebookovih pogojev storitve in pogojev uporabe Instagrama za namene vedenjskega oglaševanja, saj to ni osrednji element storitev. Evropski odbor za varstvo podatkov je v obeh primerih ugotovil, da Meta IE nima pravne podlage za to obdelavo in je zato te podatke nezakonito obdelovala. Zato je Evropski odbor za varstvo podatkov naročil irskemu organu za varstvo podatkov, naj spremeni ugotovitev v svojih osnutkih odločitev in vključi kršitev člena 6(1) Splošne uredbe o varstvu podatkov.

Evropski odbor za varstvo podatkov je irskemu organu za varstvo podatkov naročil, da naj v svoji končni odločitvi odredi družbi Meta IE, naj obdelavo osebnih podatkov za vedenjsko oglaševanje v okviru storitev Facebooka in Instagrama uskladi s členom 6(1) Splošne uredbe o varstvu podatkov v roku treh mesecev. 

Nato je Evropski odbor za varstvo podatkov preučil, ali sta bili pritožbi obravnavani s potrebno skrbnostjo. Pritožnik je navedel dejstvo, da družba Meta IE obdeluje občutljive podatke, vendar irski organ za varstvo podatkov ni ocenil obdelave občutljivih podatkov, zato Evropski odbor za varstvo podatkov ni imel zadostnih dejanskih dokazov, da bi lahko ugotovil morebitno kršitev obveznosti upravljavca iz člena 9 Splošne uredbe o varstvu podatkov. Zato se Evropski odbor za varstvo podatkov ni strinjal s predlaganim zaključkom irskega organa za varstvo podatkov, da se družba Meta IE pravno ni dolžna opreti na privolitev za izvajanje dejavnosti obdelave, povezanih z zagotavljanjem svojih storitev Facebooka in Instagrama, saj tega ni bilo mogoče kategorično zaključiti brez nadaljnjih preiskav. Zato je Evropski odbor za varstvo podatkov odločil, da mora irski organ za varstvo podatkov izvesti novo preiskavo.

Poleg tega je Evropski odbor za varstvo podatkov naročil irskemu organu za varstvo podatkov, naj v obe končni odločitvi vključi ugotovitev kršitve načela pravičnosti in sprejme ustrezne popravljalne ukrepe. Evropski odbor za varstvo podatkov je ugotovil, da so hude kršitve obveznosti glede preglednosti vplivale na razumna pričakovanja uporabnikov, da je Meta IE uporabnikom svoje storitve predstavila na zavajajoč način ter da je bilo razmerje med Meta IE in uporabniki neuravnoteženo.

V zvezi z upravnimi globami je Evropski odbor za varstvo podatkov odredil irskemu organu za varstvo podatkov, naj naloži upravno globo za dodatne kršitve člena 6(1) Splošne uredbe o varstvu podatkov (pomanjkanje pravne podlage za obdelavo osebnih podatkov) in izda znatno višji globi za ugotovljene kršitve v zvezi s preglednostjo, saj je ugotovilo, da predlagani globi ne izpolnjujeta zahteve po učinkovitosti, sorazmernosti in odvračilnosti. To je privedlo do tega, da je irski organ za varstvo podatkov v svojih končnih odločitvah znatno povišal globi (iz 36 in 23 milijonov EUR v osnutkih sklepov Facebooka in Instagrama na 210 milijonov EUR oziroma 180 milijonov EUR v končnih odločitvah).

Končni odločitvi irskega organa za varstvo podatkov sta na voljo v registru odločb, ki jih sprejmejo nadzorni organi in sodišča v zvezi z vprašanji, obravnavanimi v okviru mehanizma za skladnost.

Evropski odbor za varstvo podatkov je 5. decembra 2022 sprejel še eno zavezujočo odločitev o sporu v zvezi s preiskavo glede družbe WhatsApp Ireland Limited. Končno odločitev mora irski organ za varstvo podatkov še sprejeti.

Za več informacij v zvezi s postopkom iz člena 65 GDPR glejte Pogosta vprašanja glede člena 65 Splošne uredbe.

The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.