390 mln euro kary musi zapłacić spółka Meta za to, że nielegalnie profiluje reklamy wyświetlane Europejczykom – tak orzekła irlandzka Komisja Ochrony Danych (DPC).
Decyzja dotyczy dwóch platform społecznościowych cyfrowego giganta. Chodzi o sposób, w jaki pozyskiwały – a właściwie nie pozyskiwały – one zgody internautów na zbieranie ich danych, których następnie używały do tworzenia profili reklamowych. Decyzja regulatora zmusi spółkę Marka Zuckerberga do bardziej przejrzystego postępowania z informacjami. Na dostosowanie się do zaleceń platformy będą miały trzy miesiące.
Nie taki regulator uważny
Rozstrzygnięcie może podminować model biznesowy Mety, a w konsekwencji także pozostałych platform internetowych. Intrygujące są również kulisy jego wydania.
Reklama
Cała sprawa jest następstwem skarg, jakie 25 maja 2018 r. – czyli od razu w dniu wejścia w życie europejskiego rozporządzenia ogólnego o ochronie danych (RODO) – złożyła austriacka organizacja pozarządowa NOYB (to akronim od słów „none of your business”, czyli „nie twój interes”).
Według jej przedstawicieli Meta nie przestrzegała i nie zamierzała przestrzegać RODO, które nakazywało pozyskiwać zgodę użytkowników na śledzenie ich i wyświetlanie reklamy online.
Jak wyjaśnia NOYB, amerykańska spółka próbowała ominąć ten wymóg, argumentując, że reklamy są częścią świadczonej usługi dostępu do serwisu społecznościowego.
Przed majem 2018 r. Facebook i Instagram zbierały od użytkowników zgody na przetwarzanie ich danych osobowych. Wraz z wejściem w życie przepisów RODO taką zgodę big tech wpisał do regulaminu obu platform. Aby użytkownik mógł z nich korzystać, musiał zaakceptować dokumenty – w pakiecie ze zbieraniem danych na potrzeby reklamowe.
Sęk w tym, że w świetle unijnych przepisów taka „zgoda” to za mało, bo użytkownik powinien zostać o nią zapytany wprost, a ponadto odpowiedź odmowna nie mogła skutkować zablokowaniem usługi. – Nie znamy drugiej firmy, która ignorowałaby RODO w tak arogancki sposób – stwierdza Max Schrems z NOYB.
Skargi organizacji trafiły do irlandzkiego urzędu odpowiadającego za ochronę danych osobowych, bo właśnie w tym kraju mieści się europejska siedziba big techu.
Po ponad trzech latach rozpatrywania sprawy, w październiku 2021 r., regulator przygotował projekt decyzji w sprawie Facebooka i Instagrama.
Irlandzka DPC uznała w niej, że owszem, użytkownicy serwisów nie byli przez big tech dość jasno informowani, jakie operacje są przeprowadzane na ich danych osobowych. Za ten brak transparentności urząd zaproponował kary 28–36 mln euro (a więc dużo niższe od tej, którą ostatecznie Meta ma zapłacić). DPC polecił też spółce wprowadzenie przejrzystych zasad co do przetwarzania danych.
Natomiast w zasadniczej kwestii irlandzki regulator zgodził się z argumentacją firmy Marka Zuckerberga, że zbieranie danych może się odbywać na podstawie zaakceptowanego przez internautów regulaminu platformy.
Tajemnicze spotkania z Metą
Według NOYB irlandzka DPC przez lata tolerowała działania Mety, pozwalając jej na stosowanie zabronionych przez RODO praktyk. Zgodnie z dokumentami ujawnionymi przez organizację członkowie DPC spotykali się z przedstawicielami Meta 10 razy, zanim RODO weszło w życie. Zdaniem Schremsa mieli w ich trakcie uzgodnić, jak dokładnie spółka obejdzie europejskie przepisy. – To, co próbował zrobić Facebook, jest śmiechu warte. Jedyna rzecz, która naprawdę może martwić, to że DPC była zaangażowana w prace z Facebookiem, kiedy spółka projektowała ten scam, a teraz ma niezależnie to kontrolować – ocenia.
Irlandzki urząd nie działa jednak w pojedynkę. Zgodnie z RODO projekty jego decyzji są analizowane przez inne, równorzędne organy ochrony danych w UE/EOG. W tym przypadku grono – określane jako „zainteresowane organy nadzorcze” (CSAs) – nie w pełni podzieliło opinię DPC.
Po pierwsze, zasugerowało podniesienie kar za brak transparentności. Po drugie, część regulatorów w ramach CSA uznała, że Meta nie może się powoływać na regulamin jako podstawę prawną zbierania danych. Argumentowali, że – przeciwnie do stanowiska big techu – dostarczania spersonalizowanych reklam nie można uznać za niezbędne do świadczenia usług serwisów społecznościowych.
Ale DPC obstawała – i nadal obstaje – przy swoim. – Usługi Facebooka i Instagrama obejmują spersonalizowaną lub behawioralną reklamę – stwierdza irlandzki urząd, dodając, że w efekcie zbieranie danych do profilowania reklam ma „kluczowe znaczenie” dla umowy zawieranej między platformami a ich użytkownikami. Jak podkreśla DPC, zdanie odrębne zgłosiło 10 z 47 podmiotów w CSAs.
Ponieważ regulatorzy nie doszli do porozumienia, sprawa trafiła do Europejskiej Rady Ochrony Danych (EDPB).
A ta zgodziła się z mniejszością oraz zaleciła podwyższenie kary dla Mety.
– Ostateczne decyzje przyjęte przez DPC 31 grudnia 2022 r. odzwierciedlają wiążące ustalenia EDPB – zapewnia irlandzki regulator.
Sprawa potoczyła się więc po myśli NYOB. Wątpliwości organizacji budzą jednak też inne działania DPC dotyczące tego big techu. Na przykład to, że dopóki Meta nie odniesie się do decyzji regulatora, jej treść pozostanie utajniona, także dla NOYB, które jest stroną w sprawie.
– Wygląda na to, że irlandzka procedura polega na braku przejrzystości i nierówności między stronami – stwierdza w rozmowie z DPG Romain Robert z NOYB.
DPC zastosowała się wprawdzie do rozstrzygnięć Europejskiej Rady Ochrony Danych, ale nie składa broni. Bruksela zaleciła bowiem Dublinowi także przeprowadzenie nowego dochodzenia w sprawie operacji przetwarzania danych na Facebooku i Instagramie. Irlandzki urząd uważa, że to przekroczenie jej uprawnień i zapowiada skargę do Trybunału Sprawiedliwości UE. Według DPC Rada nie może wydawać poleceń „niezależnemu organowi krajowemu” ani nakazywać mu śledztw „opartych na spekulacjach”.
Czy DPC zamierza rozpocząć zalecone dochodzenie, czy też będzie czekać na orzeczenie trybunału? – Rozpatrywanie wszelkich spraw, które mogłyby być przedmiotem dochodzeń opartych na skargach lub wszczętych z własnej inicjatywy, będzie procedowane przez DPC w zwykły sposób – wymijająco odpowiada urząd.
A Facebook protestuje
Odwołanie planuje też sama Meta. Zdaniem rzecznika prasowego amerykańskiej spółki, w jej działaniu nie ma bowiem niczego złego. Firma zamierza odwołać się od decyzji irlandzkiego organu. I nic dziwnego – decyzja DPC została wydana w czasie, kiedy dwie największe spółki zarabiające na reklamie w internecie, czyli Meta i Alphabet (dawniej Google), tracą udziały w tym rynku. Jak zauważył „Wall Street Journal”, po raz pierwszy od dekady ich łączny udział w amerykańskim torcie reklamowym spadł poniżej połowy.
Również w Europie zbierają się nad nimi czarne chmury – możliwości wykorzystywania danych użytkowników do reklam wkrótce zostaną poważnie ograniczone przez nowe regulacje: akt o usługach cyfrowych i akt o rynkach cyfrowych. Na ich podstawie platformy nie będą mogły wykorzystywać w celach reklamowych danych dzieci i danych m.in. na temat stanu zdrowia, poglądów politycznych czy wyznania. Decyzja budzi też dodatkowe pytania – nie wiadomo bowiem, co Meta ma zrobić z danymi, które zebrała w trakcie nielegalnego procederu.