DPC podkreśliła, że postępowanie wynikało z dwóch odrębnych skarg złożonych przez osoby, których dane dotyczą, dotyczących usług Facebooka i Instagrama. Dokładniej rzecz ujmując, wyjaśniono, że przed wejściem w życie RODO, w dniu 25 maja 2018 r. Meta Ireland dokonała zmiany Regulaminu obu serwisów, zmieniając podstawę prawną przetwarzania danych osobowych użytkowników ze „zgody” na „wykonanie umowy”, dla większości swoich operacji przetwarzania.

Skarżący twierdzili, że wbrew własnemu stanowisku Meta Ireland, opierała się na zgodzie jako podstawie prawnej, argumentując, że uzależniając dostępność swoich usług od zaakceptowania przez użytkowników zaktualizowanych warunków świadczenia usług. Meta Ireland wymagała od użytkowników wyrażenia zgody na przetwarzanie ich danych osobowych w celu reklamy behawioralnej i innych spersonalizowanych usług, co stanowi naruszenie RODO.

Po przeprowadzeniu dochodzenia DPC stwierdziła, że Meta Ireland naruszyła swoje obowiązki w zakresie przejrzystości wynikające z RODO. W tej kwestii DPC zauważyła, że dostarczone informacje na temat podstawy prawnej, na której opierała się Meta Ireland, nie zostały jasno przedstawione użytkownikom, co skutkowało niewystarczającą klarownością odnośnie tego, jakie operacje przetwarzania danych osobowych były przeprowadzane, w jakim celu (celach) oraz konkretną podstawę prawną, na którą się powołano. Ponadto DPC podkreśliła, że brak przejrzystości w tak ważnych kwestiach doprowadził do naruszenia art. 12 i art. 13 ust. 1 lit. c) RODO, zauważając, że doszło również naruszenia art. 5 ust. 1 lit. a) RODO.

Jednak w odniesieniu do podstawy prawnej DPC twierdziła początkowo, że usługi Facebooka i Instagramu obejmują świadczenie spersonalizowanej usługi, która obejmuje spersonalizowaną lub behawioralną reklamę, i jest na niej oparta. W związku z tym DPC stwierdził, że porozumienie między użytkownikami a wybranym przez nich usługodawcą stanowi część umowy zawieranej w momencie, w którym użytkownicy akceptują Warunki świadczenia usług. Niemniej, ponieważ w procesie konsultacji nie osiągnięto konsensusu, sprawa została przekazana zainteresowanym organom nadzorczym i Europejskiej Radzie Ochrony Danych („EROD”).

W dniu 5 grudnia 2022 r. EROD wydała postanowienie, w związku z którym DPC wskazała, że ​​EROD podtrzymała ustalenia DPC dotyczące naruszenia wymogów przejrzystości, ale przyjęła odmienne podejście w odniesieniu do podstawy prawnej przyjętej przez Meta Ireland, uznając, że nie miała prawa powoływać się na „umowną” podstawę prawną przetwarzania danych osobowych w celu reklamy behawioralnej. W rezultacie DPC przyjęła ostateczną decyzję w dniu 31 grudnia 2022 r., dostosowując ją do ustaleń EROD (więcej na temat decyzji EROD pisaliśmy w tym artykule: https://odoserwis.pl/a/1802/erod-przyjmuje-wiazace-decyzje-w-sprawie-rozstrzygania-sporow-na-podstawie-art-65-dotyczace-facebooka-instagrama-i-whatsappa), zgodnie z którymi Meta Ireland nie ma prawa powoływać się na „umowną” podstawę prawną w związku z dostarczaniem reklamy behawioralnej w ramach swojej usługi Facebooka i Instagrama.

W świetle powyższego DPC wymierzyła karę grzywny o łącznej sumie 390 mln euro za naruszenia RODO związane z usługami Facebook (210 mln euro) i Instagram (180 mln euro). Ponadto Meta Ireland musi dostosować swoje operacje przetwarzania do RODO w ciągu trzech miesięcy.

DPC wskazała, że chociaż EROD zwróciła się do niej o przeprowadzenie nowego dochodzenia w sprawie operacji przetwarzania danych na Facebooku i Instagramie, nie byłoby to zgodne ze strukturą ustaleń dotyczących współpracy i spójności określonych w RODO. Ponadto, DPC oświadczyła, że rozważy wniesienie skargi o stwierdzenie nieważności poleceń wydanych w tym kontekście. 

O przedmiotowej decyzji możemy również przeczytać więcej w komunikacie prasowym z dnia 12 stycznia br. opublikowanym na stronie EDPB - Decyzje Facebooka i Instagrama: "Istotny wpływ na wykorzystanie danych osobowych do reklamy behawioralnej" | Europejska Rada Ochrony Danych (europa.eu)

Przewodnicząca EROD Andrea Jelinek powiedziała: "Wiążące decyzje EROD wyjaśniają, że Meta bezprawnie przetwarzała dane osobowe na potrzeby reklamy behawioralnej. Taka reklama nie jest konieczna do wykonania rzekomej umowy z użytkownikami Facebooka i Instagrama. Decyzje te mogą mieć również istotny wpływ na inne platformy, które mają reklamy behawioralne w centrum swojego modelu biznesowego.

Więcej: https://dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl