noyb valitukset: WSJ:n mukaan Metan liiketoimintamalli julistetaan laittomaksi EU:ssa. Facebook, Instagram ja WhatsApp eivät voi enää ajaa personoituja mainoksia ilman käyttäjän suostumusta
Kuten The Wall Street Journal kertoo, EDPB on päättänyt, että Meta ei voi pakottaa käyttäjiä suostumaan personoituihin mainoksiin. Toukokuussa 2018, kun GDPR tuli voimaan EU:ssa, Meta Ireland Ltd. uskoi voivansa "kiertää" vaatimuksen saada opt-in-suostumus käyttäjiltä yksinkertaisesti lisäämällä ehdoissaan määräyksen. Digitaalisten oikeuksien järjestö noyb teki 25. toukokuuta 2018 valituksen asianomaisille tietosuojaviranomaisille. Nyt, 4,5 vuotta myöhemmin, Euroopan tietosuojaneuvosto (EDPB) on todennut, että Metan väitetty GDPR:n "kiertäminen" on laitonta. EDPB hylkäsi myös Irlannin tietosuojakomission (DPC) näkemyksen, joka oli aiemmin asettunut Metan puolelle tutkittuaan tapausta neljä vuotta.
- Wall Street Journalin yksinomainen raportti
- Alkuperäiset valitukset 25. toukokuuta 2018
- Taustaa DPC:n hyväksymästä "suostumuksen ohituksesta"
- Taustaa siitä, miten DPC painosti EDPB:tä Metan etujen mukaisesti
- EDPB:n suuntaviivat 2/2019 yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdasta
Keskeiset tosiasiat. Tässä ovat keskeiset asiat:
- Tämänhetkiset tiedot perustuvat Wall Street Journalin raportointiin, jonka mukaan EDPB oli"päättämässä, että EU:n yksityisyydensuojaa koskeva lainsäädäntö ei salli Meta-alustojen, kuten Instagramin ja Facebookin, käyttää käyttöehtojaan perusteena tällaisen mainonnan sallimiselle"
- Päätös perustuu valituksiin, jotka noyb teki 25. toukokuuta 2018, jolloin GDPR tuli sovellettavaksi.
- EDPB on antanut päätöksen, jossa se vaatii Irlannin DPC:tä (Meta-alan sääntelyviranomainen EU:ssa) antamaan lopullisen päätöksen kuukauden kuluessa.
- EDPB:n päätöstä ei ole osoitettu menettelyn osapuolille, vaan Irlannin DPC:lle.
- EDPB on näin ollen kumonnut Irlannin tietosuojaviranomaisen aikaisemman päätösluonnoksen, jossa katsottiin, että Metan tekemä GDPR:n kiertäminen oli laillista.
- EDPB:n päätöksessä edellytetään, että Meta ei saa käyttää henkilötietoja mainoksiin, jotka perustuvat väitettyyn "sopimukseen". Käyttäjillä on siis oltava kyllä/ei-suostumusvaihtoehto.
- EDPB:n päätös ei kiellä muita mainonnan muotoja (kuten sivun sisältöön perustuvia kontekstuaalisia mainoksia).
- Itse EDPB:n päätöstä ei julkaistu, mutta se julkaistaan yhdessä tietosuojaneuvoston lopullisen päätöksen kanssa tammikuussa 2023.
- EDPB vaati myös huomattavaa sakkoa, jonka tarkka määrä ei ole vielä tiedossa.
Meta halusi "ohittaa" suostumuksen. Tietosuoja-asetus sallii kuusi oikeusperustaa tietojen käsittelylle, joista yksi on 6 artiklan 1 kohdan a alakohdan mukainen suostumus. Meta yritti kiertää suostumusta koskevan vaatimuksen seurannan ja verkkomainonnan osalta väittämällä, että mainokset ovat osa "palvelua", jonka se on sopimuksen mukaan velkaa käyttäjille. Väitetty oikeusperustan vaihto tapahtui täsmälleen 25. toukokuuta 2018 keskiyöllä, jolloin tietosuoja-asetusta alettiin soveltaa. Direktiivin 6 artiklan 1 kohdan b alakohdan mukainen niin sanottu "sopimuksellinen välttämättömyys" ymmärretään yleensä suppeasti, ja se sallisi esimerkiksi verkkokaupan välittää osoitteen postipalvelulle, koska se on ehdottoman välttämätöntä tilauksen toimittamiseksi. Meta kuitenkin katsoi, että se voisi vain lisätä sopimukseen satunnaisia elementtejä (kuten henkilökohtaista mainontaa), jotta käyttäjät eivät tarvitsisi suostumusta kyllä/ei-vaihtoehtoa.
Max Schrems: "Sensijaan, että heillä olisi ollut kyllä/ei-vaihtoehto henkilökohtaisia mainoksia varten, he vain siirsivät suostumuslausekkeen käyttöehtoihin.Tämä ei ole vain epäoikeudenmukaista vaan myös selvästi laitonta. Emme oletietoisia mistään muusta yrityksestä, joka olisi yrittänyt sivuuttaa GDPR:n näin ylimielisellä tavalla."
Huomattava sakko odotettavissa. Personoitujen mainosten yleisen lopettamisen lisäksi EDPB on WSJ:n mukaan vaatinut Metalle massiivista sakkoa. Yhtiö on nimittäin perustanut suurimman osan kaupallisesta tietojenkäsittelystä oikeusperustaan, jonka EDPB on selvästi sulkenut pois nimenomaisissa suuntaviivoissaan vuonna 2019, mikä on johtanut selvästi tahallisiin lainrikkomuksiin. Meta on jo tähän mennessä saanut yli miljardi euroa GDPR-sakkoja. Meta joutuu maksamaan tämän sakon Irlannin valtiolle.
Max Schrems: " Tämä menettely vie paljon lahjoitusvaroin rahoitetun yhdistyksemme resursseja. Tapaus tulee todennäköisesti sen jälkeen oikeuteen. Rangaistus menee kuitenkin Irlannille - valtiolle, joka on asettunut Metan puolelle ja viivytellyt menettelyä yli neljä vuotta."
DPC ja Meta tekivät yhteistyötä "ohituskaistalla". Menettelyn aikana Meta on vedonnut kymmeneen luottamukselliseen tapaamiseen Irlannin DPC:n kanssa, joissa DPC on väitetysti sallinut Metan käyttää tätä "ohituskaistaa". Myöhemmin paljastui, että DPC on jopa yrittänyt vaikuttaa asiaan liittyviin EDPB:n suuntaviivoihin Metan etujen mukaisesti. Siitä huolimatta muut eurooppalaiset tietosuojaviranomaiset hylkäsivät DPC:n näkemyksen jo vuonna 2018 ja uudelleen lopullisessa EDPB:n päätöksessä. Asia kesti yli 4,5 vuotta ja johti satojen sivujen raporttien ja lausuntojen laatimiseen, vaikka kyse oli varsin yksinkertaisesta oikeudellisesta kysymyksestä.
Max Schrems: "Tässä tapauksessa on kyse yksinkertaisesta oikeudellisesta kysymyksestä. Hitaasta menettelystä huolimatta olemme loppujen lopuksi tyytyväisiä EDPB:n päätökseen."
Seuraus: ei henkilökohtaisia mainoksia. Päätös tarkoittaa, että Metan on sallittava käyttäjille kaikista sovelluksista versio, joka ei käytä henkilötietoja mainoksiin. Päätös sallisi edelleen Metan käyttää muita kuin henkilötietoja (kuten jutun sisältöä) mainosten personointiin tai pyytää käyttäjiltä suostumusta mainoksiin kyllä/ei-vaihtoehdon avulla. Käyttäjien on voitava peruuttaa suostumus milloin tahansa, eikä Meta saa rajoittaa palvelua. Vaikka tämä rajoittaa huomattavasti Metan voittoja EU:ssa, se ei kuitenkaan estäisi mainoksia kokonaan. Sen sijaan päätös asettaa Metan samalle tasolle kuin muut verkkosivustot tai sovellukset, joiden on tarjottava käyttäjille kyllä/ei-vaihtoehto.
Max Schrems:"Tämä on valtava isku Metan voitoille EU:ssa. Ihmisiltä on nyt kysyttävä, haluavatko he, että heidän tietojaan käytetään mainoksiin vai ei. Heidän on voitava vastata kyllä tai ei, ja he voivat muuttaa mielensä milloin tahansa. Päätös takaa myös tasapuoliset toimintaedellytykset muiden mainostajien kanssa, joiden on myös saatava suostumus."
Seuraavat vaiheet. EDPB:n päätös toimitetaan Irlannin DPC:lle. Sen jälkeen päätös on annettava tiedoksi Irlannissa toimivalle Metalle ja Itävallassa toimivalle noybille kuukauden kuluessa (eli tammikuussa 2023). Meta voi sitten valittaa päätöksestä, mutta mahdollisuudet voittaa valitus ovat minimaaliset EDPB:n päätöksen jälkeen. EU:n tuomioistuimessa (CJEU) on käsiteltävänä myös kaksi samanlaista tapausta, jotka koskevat Metan suostumuksen ohituskaistaa, mikä saattaa ratkaista asian ja kaikki valitukset lopullisesti. Käyttäjät voivat myös nostaa kanteen, koska heidän tietojaan on käytetty laittomasti viimeisten 4,5 vuoden aikana.