Στη σημερινή απόφαση C-446/21 (Schrems κατά Meta), το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) υποστήριξε πλήρως μια αγωγή που ασκήθηκε κατά της Meta μέσω της υπηρεσίας της στο Facebook. Το Δικαστήριο αποφάσισε για δύο ερωτήματα: Πρώτον, τον μαζικό περιορισμό της χρήσης προσωπικών δεδομένων για διαδικτυακές διαφημίσεις. Δεύτερον, ο περιορισμός της χρήσης των διαθέσιμων στο κοινό προσωπικών δεδομένων στους αρχικά επιδιωκόμενους σκοπούς για δημοσίευση.
- Δελτίο Τύπου του ΔΕΕ
- Πλήρης κρίση
- Περίληψη της απόφασης για το GDPRhub
Katharina Raabe-Stuppnig, δικηγόρος που εκπροσωπεί τον κ. Schrems: « Είμαστε πολύ ευχαριστημένοι από την απόφαση, παρόλο που αυτό το αποτέλεσμα ήταν πολύ αναμενόμενο».
Πρώτο ερώτημα: Η χρήση δεδομένων για διαφήμιση πρέπει να «ελαχιστοποιηθεί». Μέχρι στιγμής, η Meta χρησιμοποιεί όλα τα προσωπικά δεδομένα που έχει συλλέξει ποτέ για διαφήμιση. Για παράδειγμα, τα δεδομένα χρήστη του Facebook μπορούν να προέρχονται από το 2004 και να περιλαμβάνουν δεδομένα που έχουν εισαχθεί από τον χρήστη, από άλλους χρήστες ή δεδομένα που συλλέγονται μέσω διαδικτυακής παρακολούθησης ή παρακολούθησης σε εφαρμογές για κινητά. Για την αποτροπή τέτοιων πρακτικών, ο GDPR καθιέρωσε την αρχή της «ελαχιστοποίησης δεδομένων» στο άρθρο 5 παράγραφος 1 στοιχείο γ) του GDPR, απαιτώντας τον περιορισμό της επεξεργασίας στα αυστηρά απαραίτητα δεδομένα. Μέχρι στιγμής, η Meta και πολλοί άλλοι παίκτες στον διαδικτυακό διαφημιστικό χώρο απλώς αγνόησαν αυτόν τον κανόνα και δεν προέβλεπαν περιόδους διαγραφής ή περιορισμούς με βάση τον τύπο των προσωπικών δεδομένων. Η εφαρμογή της «αρχής ελαχιστοποίησης δεδομένων» περιορίζει ριζικά τη χρήση προσωπικών δεδομένων για διαφήμιση. Η αρχή της ελαχιστοποίησης δεδομένων ισχύει ανεξάρτητα από τη νομική βάση που χρησιμοποιείται για την επεξεργασία, επομένως ακόμη και ένας χρήστης που συναινεί στην εξατομικευμένη διαφήμιση δεν μπορεί να χρησιμοποιεί τα προσωπικά του δεδομένα επ' αόριστον. Σύμφωνα με την κοινή πρακτική του ΔΕΕ, το Δικαστήριο άφησε τις λεπτομέρειες σχετικά με τον τρόπο εφαρμογής της αρχής της ελαχιστοποίησης των δεδομένων στα εθνικά δικαστήρια.
Katharina Raabe-Stuppnig: "Η Meta δημιουργεί βασικά μια τεράστια δεξαμενή δεδομένων για τους χρήστες εδώ και 20 χρόνια και αυξάνεται καθημερινά. Ωστόσο, η νομοθεσία της ΕΕ απαιτεί "ελαχιστοποίηση δεδομένων". Μετά από αυτήν την απόφαση, μόνο ένα μικρό μέρος των δεδομένων της Meta Το pool θα επιτρέπεται να χρησιμοποιείται για διαφημίσεις - ακόμη και όταν οι χρήστες συναινούν σε διαφημίσεις.
Δεύτερο ερώτημα: Η δημόσια κριτική δεν επιτρέπει επεξεργασία. Σύμφωνα με το άρθρο 9 παράγραφος 2 στοιχείο ε) του ΓΚΠΔ, πληροφορίες που "δημοσιεύονται εμφανώς" μπορούν να υποβληθούν σε επεξεργασία από μια εταιρεία, επειδή ο νομοθέτης υποθέτει ότι το υποκείμενο των δεδομένων συμφώνησε με τη χρήση. Ο κ. Schrems υποστήριξε ότι τα δημόσια σχόλιά του έγιναν χρόνια μετά την επεξεργασία άλλων πληροφοριών. Τα μεταγενέστερα σχόλιά του δεν μπορούσαν να θεωρηθούν ως συμφωνία για την επεξεργασία άλλων πληροφοριών πριν από χρόνια και δεν μπορούν να έχουν «ταξιδέψει» πίσω στο χρόνο. Άλλα μέρη στη διαδικασία αμφισβήτησαν επίσης εάν η απλή αναφορά ενός γεγονότος κατά τη διάρκεια μιας δημόσιας συζήτησης θα ισοδυναμούσε με τη δημοσιοποίηση τέτοιων πληροφοριών "προδήλως".
Katharina Raabe-Stuppnig: "Θα είχε τεράστιο ανατριχιαστικό αποτέλεσμα στην ελευθερία του λόγου, εάν χάνατε το δικαίωμά σας στην προστασία δεδομένων τη στιγμή που επικρίνετε την παράνομη επεξεργασία προσωπικών δεδομένων δημόσια. Χαιρετίζουμε το γεγονός ότι το ΔΕΕ απέρριψε αυτήν την ιδέα. "
Φόντο:
Το ιστορικό της υπόθεσης. Η υπόθεση αφορά μια πολιτική διαδικασία μεταξύ του Max Schrems, ως ιδιώτη, και της Meta Ireland Platforms Limited (ως διαχειριστής του «Facebook») ενώπιον των Αυστριακών Δικαστηρίων. Η υπόθεση κατατέθηκε για πρώτη φορά το 2014 και εκδικάστηκε για πρώτη φορά πλήρως στην Αυστρία το 2020 και αφορά μεγάλο αριθμό παραβιάσεων του GDPR, συμπεριλαμβανομένης της έλλειψης νομικής βάσης για διαφημίσεις και άλλα παρόμοια. Το Ανώτατο Δικαστήριο της Αυστρίας παρέπεμψε τέσσερις ερωτήσεις στο ΔΕΕ το 2021. Ωστόσο, καθώς μια άλλη υπόθεση (C-252/21 Bundeskartellamt ) κάλυψε εν μέρει παρόμοια ζητήματα, το ΔΕΕ «διέκοψε» την υπόθεση μεταξύ του κ. Schrems και του Meta μέχρι το 2024. Οι αρχικές ερωτήσεις 1 και 3 «κερδίστηκαν» (έμμεσα) επειδή το ΔΕΕ τάχθηκε υπέρ της άποψης του κ. Schrems στην υπόθεση C-252/21 Bundeskartellamt . Το υπόλοιπο της υπόθεσης εκδικάστηκε στη συνέχεια στο Λουξεμβούργο στις 8 Φεβρουαρίου 2024, αλλά περιορίστηκε σε δύο εναπομείνασες ερωτήσεις (αρχικές ερωτήσεις 2 και 4) που δεν είχαν ήδη αποφασιστεί στο C-252/21 Bundeskartellamt . Οι υπόλοιπες ερωτήσεις ήταν:
- Αρχική ερώτηση 2: «Το άρθρο 5 παράγραφος 1 στοιχείο γ) του GDPR (ελαχιστοποίηση δεδομένων) πρέπει να ερμηνευθεί υπό την έννοια ότι όλα τα δεδομένα προσωπικού χαρακτήρα που διατηρούνται από μια πλατφόρμα όπως αυτή της κύριας δίκης (ιδίως ως υποκείμενο των δεδομένων ή τρίτα μέρη εντός και εκτός της πλατφόρμας) μπορεί να συγκεντρωθούν, να αναλυθούν και να υποβληθούν σε επεξεργασία για σκοπούς στοχευμένης διαφήμισης χωρίς περιορισμό ως προς το χρόνο ή τον τύπο των δεδομένων;"
- Αρχική ερώτηση 4: «Το άρθρο 5 παράγραφος 1 στοιχείο β) του ΓΚΠΔ, σε συνδυασμό με το άρθρο 9 παράγραφος 2 στοιχείο ε) του ΓΚΠΔ, ερμηνεύεται ότι σημαίνει ότι μια δήλωση που γίνεται από ένα άτομο σχετικά με τη δική του σεξουαλική Ο προσανατολισμός για τους σκοπούς μιας συζήτησης σε πάνελ επιτρέπει την επεξεργασία άλλων δεδομένων που αφορούν τον σεξουαλικό προσανατολισμό με σκοπό τη συγκέντρωση και ανάλυση των δεδομένων για σκοπούς εξατομικευμένης διαφήμισης;"
Ελαχιστοποίηση δεδομένων. Η αρχική ερώτηση 2 αφορά την προσέγγιση της Meta να ισχυρίζεται ότι όλα τα προσωπικά δεδομένα ουσιαστικά μπαίνουν σε μια μεγάλη «δεξαμενή δεδομένων» και μπορούν να χρησιμοποιηθούν για προσωπική διαφήμιση επ' αόριστον - χωρίς κανέναν περιορισμό - καθώς αυτό φαίνεται να αποτελεί προφανή παραβίαση της αρχής ελαχιστοποίησης δεδομένων. Ενώ σε ορισμένες περιπτώσεις υπάρχει σαφές όριο για τη διαγραφή (π.χ. όταν λήγει η νομική υποχρέωση τήρησης αρχείων), το ζήτημα είναι πιο περίπλοκο όσον αφορά τη διαφήμιση. Οι εταιρείες πρέπει να αναπτύξουν πρωτόκολλα διαχείρισης δεδομένων για να διαγράψουν σταδιακά τα περιττά δεδομένα ή να σταματήσουν να τα χρησιμοποιούν.
Περαιτέρω χρήση ευαίσθητων δεδομένων. Η αρχική ερώτηση 4 αφορά ένα επιχείρημα του Πρωτοδικείου (και εν μέρει του Meta) ότι ο κ. Schrems ανέφερε τον σεξουαλικό του προσανατολισμό σε εκδήλωση στη Βιέννη και, ως εκ τούτου, ενδέχεται να έχει (σιωπηρά) συναινέσει στην επεξεργασία οποιωνδήποτε δεδομένων προσωπικού χαρακτήρα που σχετίζονται με τον σεξουαλικό προσανατολισμό (και όντως σεξουαλική ζωή, η οποία προστατεύεται χωριστά στο άρθρο 9 GDPR) για διαφημίσεις που έλαβαν χώρα χρόνια πριν από τη δημόσια δήλωση. Υπάρχει συμφωνία ότι αυτές οι δηλώσεις δημοσιοποιήθηκαν. Ωστόσο, ο κ. Schrems αρνείται ότι η Meta μπορεί επομένως να είχε επεξεργαστεί άλλες - άκρως προσωπικές - λεπτομέρειες τα προηγούμενα χρόνια. Ο κ. Schrems τονίζει ότι η αρχή του "περιορισμού του σκοπού" ισχύει παράλληλα και ότι οι πληροφορίες που μοιράζονται με σκοπό την κριτική της παράνομης επεξεργασίας από τη Meta δεν μπορούν (αναδρομικά) να επιτρέψουν τη χρήση προσωπικών δεδομένων για εντελώς διαφορετικό σκοπό, όπως η διαφήμιση.