Personalizované reklamy na Facebooku, Instagramu a WhatsAppu prohlášeny v EU za nezákonné

Obchodní model společnosti Meta byl podle WSJ v EU prohlášen za nezákonný. Facebook, Instagram a WhatsApp již nemohou bez souhlasu uživatelů spouštět personalizované reklamy. Tento příspěvek je doslovným (víceméně automatickým) překladem článku noyb win: Personalized Ads on Facebook, Instagram and WhatsApp declared illegal pro ty z vás, co neumí tak dobře anglicky. Jak informoval deník…

Uveřejněno

Rubrika

Autor

Značky:

Obchodní model společnosti Meta byl podle WSJ v EU prohlášen za nezákonný. Facebook, Instagram a WhatsApp již nemohou bez souhlasu uživatelů spouštět personalizované reklamy.

Tento příspěvek je doslovným (víceméně automatickým) překladem článku noyb win: Personalized Ads on Facebook, Instagram and WhatsApp declared illegal pro ty z vás, co neumí tak dobře anglicky.

Jak informoval deník The Wall Street Journal, EDPB rozhodl, že společnost Meta nemůže nutit uživatele, aby souhlasili s personalizovanými reklamami. V květnu 2018, kdy v EU vstoupilo v platnost nařízení GDPR, se společnost Meta Ireland Ltd. domnívala, že může „obejít“ požadavek na získání souhlasu od uživatelů tím, že jednoduše přidá ustanovení do smluvních podmínek. Dne 25. května 2018 podala organizace noyb zabývající se digitálními právy stížnosti příslušným orgánům pro ochranu osobních údajů. Nyní, o 4,5 roku později, Evropský sbor pro ochranu osobních údajů (EDPB) shledal údajné „obcházení“ GDPR ze strany společnosti Meta nezákonným. EDPB rovněž odmítl názor irské Komise pro ochranu osobních údajů (DPC), která se dříve postavila na stranu společnosti Meta, poté, co jí trvalo čtyři roky, než případ prošetřila.

Klíčová fakta.

Zde jsou klíčové poznatky:

  • Aktuální informace vycházejí ze zprávy deníku Wall Street Journal, podle níž EDPB „rozhodoval o tom, že právo EU na ochranu osobních údajů neumožňuje platformám Meta, jako jsou Instagram a Facebook, používat své podmínky služby jako odůvodnění pro povolení takové reklamy“.
  • Toto rozhodnutí vychází ze stížností podaných společností noyb dne 25. května 2018, tedy v den, kdy začalo platit nařízení GDPR.
  • EDPB vydal rozhodnutí, které ukládá irskému DPC (regulační orgán pro Meta v EU), aby do jednoho měsíce vydal konečné rozhodnutí.
  • Rozhodnutí EDPB není určeno účastníkům řízení, ale irskému DPC.
  • EDPB tím zrušil předchozí návrh rozhodnutí irského DPC, který zastával názor, že obcházení GDPR společností Meta je legální.
  • Rozhodnutí EDPB požaduje, aby společnost Meta nesměla používat osobní údaje pro reklamy na základě údajné „smlouvy“. Uživatelé proto musí mít k dispozici možnost souhlasu ano/ne.
  • Rozhodnutí EDPB nezakazuje jiné formy reklamy (například kontextové reklamy založené na obsahu stránky).
  • Samotné rozhodnutí EDPB nebylo zveřejněno, ale bude zveřejněno spolu s konečným rozhodnutím DPC v lednu 2023.
  • EDPB rovněž požadoval značnou pokutu, jejíž přesná výše zatím není známa.


Meta chtěla „obejít“ souhlas.

GDPR umožňuje šest právních základů pro zpracování údajů, přičemž jedním z nich je souhlas podle čl. 6 odst. 1 písm. a). Společnost Meta se snažila obejít požadavek na souhlas se sledováním a online reklamou argumentem, že reklamy jsou součástí „služby“, kterou smluvně dluží uživatelům. K údajné změně právního základu došlo přesně o půlnoci 25. května 2018, kdy začalo platit nařízení GDPR. Takzvaná „smluvní nezbytnost“ podle čl. 6 odst. 1 písm. b) je obvykle chápána úzce a umožňovala by např. internetovému obchodu předat adresu poštovní službě, protože je to nezbytně nutné k doručení objednávky. Společnost Meta však zastávala názor, že může do smlouvy přidat pouze nahodilé prvky (např. personalizovanou reklamu), aby se vyhnula možnosti souhlasu ano/ne pro uživatele.

„Místo toho, aby měli možnost ano/ne pro personalizovanou reklamu, prostě přesunuli ustanovení o souhlasu do smluvních podmínek. To je nejen nespravedlivé, ale také zjevně nezákonné. Nevíme o žádné jiné společnosti, která by se snažila ignorovat GDPR tak arogantním způsobem.“

Max Schrems

Očekává se značná pokuta.

Kromě celkového zastavení personalizovaných reklam EDPB podle WSJ trvá na masivní pokutě pro společnost Meta. Společnost totiž založila většinu komerčního zpracování údajů na právním základě, který EDPB v roce 2019 ve výslovných pokynech jasně vyloučil, což vedlo k jasně úmyslnému porušování zákona. Společnost Meta již byla na pokutách za GDPR dosud postižena částkou přesahující 1 miliardu eur. EUR, které musí společnost Meta zaplatit irskému státu.

„Tento postup čerpá z mnoha zdrojů našeho sdružení financovaného z darů. Případ se pravděpodobně následně dostane k soudu. Pokuta však půjde Irsku – státu, který se postavil na stranu společnosti Meta a řízení více než čtyři roky zdržoval.“

Max Schrems

DPC a Meta spolupracovaly na způsobu, jak omezení obejít.

V průběhu řízení se Meta opírala o deset důvěrných schůzek s irskou DPC, na kterých DPC údajně umožnila společnosti Meta tento „bypass“ použít. Později vyšlo najevo, že DPC se dokonce snažilo ovlivnit příslušné pokyny EDPB v zájmu společnosti Meta. Nicméně ostatní evropské orgány pro ochranu údajů názor DPC odmítly již v roce 2018 a znovu v konečném rozhodnutí EDPB. Případ trval více než 4,5 roku a vedl ke stovkám stran zpráv a podání, přestože se jednalo o poměrně jednoduchou právní otázku.

„Tento případ se týká jednoduché právní otázky. Navzdory pomalému postupu jsme z rozhodnutí EDPB nakonec šťastní.“

Max Schrems

Důsledek: žádné personalizované reklamy.

Rozhodnutí znamená, že Meta musí uživatelům umožnit, aby měli k dispozici verzi všech aplikací, která nepoužívá osobní údaje pro reklamy. Rozhodnutí by společnosti Meta stále umožňovalo používat neosobní údaje (například obsah příběhu) k personalizaci reklam nebo žádat uživatele o souhlas s reklamami prostřednictvím možnosti ano/ne. Uživatelé musí mít možnost souhlas kdykoli odvolat a Meta nesmí tuto službu omezovat. To sice výrazně omezí zisky společnosti Meta v EU, ale reklamy by to zcela nezakázalo. Místo toho rozhodnutí postaví společnost Meta na stejnou úroveň jako ostatní webové stránky nebo aplikace, které musí uživatelům poskytnout možnost ano/ne.

„Je to obrovská rána pro zisky společnosti Meta v EU. Lidé nyní musí být dotázáni, zda chtějí, aby jejich údaje byly použity pro reklamy, nebo ne. Musí mít možnost odpovědět ‚ano, nebo ne‘ a mohou si to kdykoli rozmyslet. Toto rozhodnutí také zajišťuje rovné podmínky pro ostatní inzerenty, kteří rovněž potřebují získat souhlas s použitím údajů.“

Max Schrems

Další kroky.

Rozhodnutí EDPB je doručeno irskému DPC. Rozhodnutí pak musí být doručeno společnosti Meta v Irsku a noyb v Rakousku do jednoho měsíce (tedy v lednu 2023). Společnost Meta se pak může proti rozhodnutí odvolat, ale šance na výhru takového odvolání jsou po rozhodnutí EDPB minimální. Před Soudním dvorem EU (SDEU) probíhají také dva podobné případy týkající se souhlasu společnosti Meta s obchvatem, které mohou tuto otázku a všechna odvolání nadobro vyřešit. Uživatelé také mohou podat žalobu kvůli nezákonnému používání svých údajů za posledních 4,5 roku.

Nové články sem přidávám porůznu, tak jestli nechcete, aby vám něco uniklo, přidejte si můj feed do RSS čtečky, sledujte můj Twitter, Facebook a LinkedIn, případně si nechte nové příspěvky posílat mailem (žádný spam!)