Yleinen tietosuoja-asetus sallii kuusi oikeusperustaa henkilötietojen käsittelylle. Kun kyseessä on Meta vastaan BundeskartellamteU:n tuomioistuin on tänään antanut tuomion kaikista näistä perusteista, mikä selventää entisestään yleisen tietosuoja-asetuksen tulkintaa. Tuomioistuin on suurelta osin sulkenut Metalta ovet henkilötietojen käyttämiseltä muuhun kuin siihen, mikä on ehdottoman välttämätöntä ydintuotteiden tarjoamiseksi (kuten viestien lähettäminen tai sisällön jakaminen) - kaikki muu käsittely (kuten mainonta ja henkilötietojen jakaminen) edellyttää käyttäjien vapaaehtoista ja oikeudenmukaista suostumusta.
- Tuomio asiassa Saksan ja Ranskaksi
- EUT:n lehdistötiedote
- Euroopan tietosuojaneuvoston aiempi päätös, joka johti 320 miljoonan euron sakkoihin
- Taustaa Metan "pakotettua suostumusta" koskevasta lähestymistavasta
- Taustaa Metan siirtymisestä "oikeutettuun etuun"
Ensimmäinen lausunto. noybin on vielä tutkittava tämän massiivisen tuomion yksityiskohdat. Livenä luettuna näyttää siltä, että Meta/Facebookia kiellettiin käyttämästä muuta kuin suostumusta keskeisissä toiminnoissa, joihin se luottaa saadakseen voittoa Euroopassa.
Max Schrems:"Olemme tyytyväisiä EU:n tuomioistuimen päätökseen.Se selventää entisestään sitä, että Meta ei voi yksinkertaisesti kiertää yleistä tietosuoja-asetusta muutamalla kohdalla oikeudellisissa asiakirjoissaan. Tämä tarkoittaa, että Metan on pyydettävä asianmukainen suostumus eikä se voi käyttää määräävää asemaansa pakottaakseen ihmiset suostumaan asioihin, joita he eivät halua. Tällä on myös myönteinen vaikutus noybin ja Metan välillä Irlannissa vireillä olevaan oikeudenkäyntiin."
Meta halusi "ohittaa" GDPR:n. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa sallitaan kuusi oikeusperustaa tietojen käsittelylle, joista yksi on 6 artiklan 1 kohdan a alakohdan mukainen suostumus, mutta Meta halusi kiertää suostumusvaatimuksen viiden muun oikeusperusteen avulla. EU:n tuomioistuin on käsitellyt periaatteessa kaikkia niitä - tuomiossa viitataan 6 artiklan 1 kohdan a alakohtaan aina f alakohtaan asti. Meta yritti pääasiassa kiertää seurantaan ja verkkomainontaan liittyvää suostumusta koskevan vaatimuksen väittämällä, että mainokset ovat osa "palvelua", jonka se on sopimuksen mukaan velkaa käyttäjille. Väitetty oikeusperustan vaihto tapahtui täsmälleen 25. toukokuuta 2018 keskiyöllä, jolloin yleinen tietosuoja-asetus tuli voimaan. Direktiivin 6 artiklan 1 kohdan b alakohdan mukainen niin sanottu "sopimuksellinen välttämättömyys" ymmärretään yleensä suppeasti, ja se sallisi esimerkiksi verkkokaupan välittää osoitteen postipalvelulle, koska se on ehdottoman välttämätöntä tilauksen toimittamiseksi. Meta kuitenkin katsoi, että se voisi vain lisätä sopimukseen satunnaisia elementtejä (kuten henkilökohtaista mainontaa), jotta käyttäjät eivät tarvitsisi suostumusta kyllä/ei-vaihtoehtoa.
Max Schrems: "Sensijaan, että heillä olisi ollut "kyllä/ei"-vaihtoehto henkilökohtaisia mainoksia varten, he vain siirsivät suostumuslausekkeen käyttöehtoihin.Tämä ei ole vain epäoikeudenmukaista vaan myös selvästi laitonta. Emme oletietoisia mistään muusta yrityksestä, joka olisi yrittänyt sivuuttaa GDPR:n näin ylimielisellä tavalla."
Myös Metan siirtyminen "oikeutettuun etuun" epäonnistui. Sen jälkeen, kun EDPB:n tuomio kielsi 6 artiklan 1 kohdan b alakohdan mukaisen "ohituksen", Meta on tänä keväänä siirtynyt GDPR:n 6 artiklan 1 kohdan f alakohtaan. EUT näyttää myös romuttavan Metan toiveet siirtyä vain niin sanottuun "oikeutettuun etuun" mainonnan osalta yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan nojalla. Vaikka EUT ei ole sulkenut pois sitä, että oikeutettu etu voi olla olemassa (esim. verkkoturvallisuuden vuoksi), tuomiossa selvennetään, että ei ole olemassa "oikeutettua etua", joka syrjäyttäisi käyttäjien oikeudet, kun rekisterinpitäjät yrittävät tarjota mainontaa. Tämä periaatteessa rajoittaa kaikkia EU:n rekisterinpitäjiä toteuttamasta henkilökohtaista mainontaa muutoin kuin vapaasti annetun (kyllä/ei) suostumuksen perusteella.
Max Schrems:"Tämä on valtava isku Metalle, mutta myös muille verkkomainosyrityksille. Se selventää, että alan erilaiset oikeudelliset teoriat GDPR:n kiertämiseksi ovat mitättömiä."