Комиссия по защите данных (DPC) сегодня объявила о завершении двух расследований операций по обработке данных Meta Platforms Ireland Limited («Meta Ireland») в связи с предоставлением ее услуг Facebook и Instagram. (Meta Ireland ранее была известна как Facebook Ireland Limited).
В настоящее время DPC принял окончательные решения, в которых он оштрафовал Meta Ireland на 210 миллионов евро (за нарушение GDPR в отношении ее службы Facebook) и на 180 миллионов евро (за нарушения в отношении ее службы Instagram).
Meta Ireland также было поручено привести свои операции по обработке данных в соответствие с требованиями в течение 3 месяцев.
Запросы касались двух жалоб на сервисы Facebook и Instagram, каждая из которых поднимала одни и те же основные вопросы. Одна жалоба была подана австрийским субъектом данных (в отношении Facebook); другой был сделан бельгийским субъектом данных (в отношении Instagram).
Жалобы были поданы 25 мая 2018 года, когда GDPR вступил в силу.
В преддверии 25 мая 2018 года Meta Ireland изменила Условия предоставления услуг для своих сервисов Facebook и Instagram. Он также отметил тот факт, что он меняет правовую основу, на которую он опирается, чтобы узаконить обработку персональных данных пользователей. (Согласно статье 6 Общего регламента по защите данных обработка данных является законной только в том случае и в той мере, в какой она соответствует одному из шести установленных правовых оснований). Ранее полагаясь на согласие пользователей на обработку их персональных данных в контексте предоставления услуг Facebook и Instagram (включая поведенческую рекламу), Meta Ireland теперь стремилась полагаться на «договорную» правовую основу для большинства (но не все) его операций обработки.
Если они хотели и дальше иметь доступ к службам Facebook и Instagram после введения GDPR, существующих (и новых) пользователей просили нажать «Я принимаю», чтобы подтвердить свое согласие с обновленными Условиями обслуживания. (Услуги не будут доступны, если пользователи откажутся сделать это).
Meta Ireland считает, что при принятии обновленных Условий обслуживания между Meta Ireland и пользователем был заключен договор. Он также пришел к выводу, что обработка данных пользователей в связи с предоставлением его услуг Facebook и Instagram была необходима для выполнения этого контракта, включая предоставление персонализированных услуг и поведенческой рекламы, чтобы такие операции обработки были законными. со ссылкой на статью 6(1)(b) GDPR («договорная» правовая основа для обработки).
Заявители утверждали, что, вопреки заявленной позиции Meta Ireland, Meta Ireland на самом деле все еще пыталась полагаться на согласие, чтобы обеспечить законное основание для обработки ею данных пользователей. Они утверждали, что, ставя доступность своих услуг в зависимость от принятия пользователями обновленных Условий обслуживания, Meta Ireland фактически «заставляла» их давать согласие на обработку их личных данных для поведенческой рекламы и других персонализированных услуг. Заявители утверждали, что это было нарушением GDPR.
После всесторонних расследований DPC подготовил проекты решений, в которых он сделал ряд выводов против Meta Ireland. В частности, было обнаружено, что:
- 1. В нарушение своих обязательств в отношении прозрачности информация о правовой основе, на которую ссылается Meta Ireland, не была четко изложена для пользователей, в результате чего у пользователей не было достаточно ясности в отношении того, какие операции по обработке данных выполнялись на их персональные данные, для каких целей и со ссылкой на какое из шести правовых оснований, указанных в статье 6 GDPR. DPC счел, что отсутствие прозрачности в таких фундаментальных вопросах противоречит статьям 12 и 13(1)(c) GDPR. Он также посчитал, что это равносильно нарушению статьи 5(1)(а), в которой закреплен принцип, согласно которому персональные данные пользователей должны обрабатываться законно, справедливо и прозрачно. DPC предложил весьма существенные штрафы для Meta Ireland в связи с нарушением этих положений и поручил ей привести свои операции обработки в соответствие с установленным и коротким периодом времени.
- 2. В обстоятельствах, когда было установлено, что Meta Ireland фактически не полагалась на согласие пользователей как на законное основание для обработки их персональных данных, аспект «вынужденного согласия» в жалобах не мог быть подтвержден. Далее DPC решил, что Meta Ireland полагается на «договор» как на правовую основу для обработки персональных данных пользователей в связи с предоставлением своих персонализированных услуг (включая персонализированную рекламу). Здесь DPC обнаружил, что Meta Ireland не обязана полагаться на согласие; в принципе, GDPR не исключает того, что Meta Ireland может полагаться на договорно-правовую основу.
В соответствии с процедурой, установленной GDPR, проекты решений, подготовленные DPC, были переданы его коллегам-регуляторам в ЕС/ЕЭЗ, также известным как Заинтересованные надзорные органы («CSA»).
На вопрос о том, действовала ли Meta Ireland в нарушение своих обязательств по обеспечению прозрачности, CSA согласились с решениями DPC, хотя и сочли, что штрафы, предложенные DPC, должны быть увеличены.
Десять из 47 СВГ выдвинули возражения в отношении других элементов проектов решений (одно из которых впоследствии было отозвано в отношении проекта решения, касающегося службы Facebook). В частности, это подмножество CSA выразило мнение, что Meta Ireland не должно разрешаться полагаться на юридическую основу контракта на том основании, что доставка персонализированной рекламы (как часть более широкого набора персонализированных услуг, предлагаемых как часть Facebook и услуги Instagram) нельзя было назвать необходимыми для выполнения основных элементов того, что было названо гораздо более ограниченной формой контракта.
DPC не согласился, отражая свое мнение о том, что услуги Facebook и Instagram включают предоставление персонализированных услуг, включающих персонализированную или поведенческую рекламу, и действительно, по-видимому, основаны на них. По сути, это персонализированные услуги, которые также содержат персонализированную рекламу. По мнению DPC, эта реальность является центральной в сделке, заключаемой между пользователями и выбранным ими поставщиком услуг, и является частью договора, заключаемого в момент, когда пользователи принимают Условия обслуживания.
После консультаций стало ясно, что консенсуса достичь не удалось. В соответствии со своими обязательствами в соответствии с GDPR, DPC затем передал спорные вопросы в Европейский совет по защите данных («EDPB»).
EDPB издал свои определения 5 декабря 2022 года.
Определения EDPB отклонили многие возражения, выдвинутые CSA. Они также поддержали позицию DPC в отношении нарушения Meta Ireland своих обязательств по обеспечению прозрачности, за исключением включения дополнительного нарушения (принципа «справедливости») и указания, чтобы DPC увеличил сумму предложенных им штрафов. навязывать.
EDPB занял иную точку зрения на вопрос о «правовой основе», установив, что в принципе Meta Ireland не имеет права полагаться на «договорную» правовую основу как на законное основание для обработки ею персональных данных для Цель поведенческой рекламы.
Окончательные решения, принятые DPC 31 декабря 2022 года, отражают обязательные решения EDPB, изложенные выше. Соответственно, решения DPC включают выводы о том, что Meta Ireland не имеет права полагаться на «контрактное» правовое основание в связи с доставкой поведенческой рекламы в рамках своих услуг Facebook и Instagram и что на сегодняшний день обработка данных пользователей, в предполагаемой опоре на правовую основу «договора» равносильно нарушению статьи 6 GDPR.
Что касается санкций и в свете этого дополнительного нарушения GDPR, DPC увеличил сумму административных штрафов, наложенных на Meta Ireland, до 210 миллионов евро (в случае Facebook) и 180 миллионов евро в случае Instagram. . (Пересмотренные уровни этих штрафов также отражают точку зрения EDPB в отношении нарушений Meta Ireland своих обязательств в отношении честной и прозрачной обработки персональных данных пользователей).
Существующее требование DPC о том, что Meta Ireland должна привести свои операции обработки в соответствие с GDPR в течение 3 месяцев, было сохранено.
Отдельно EDPB также намеревался поручить DPC провести новое расследование, которое охватило бы все операции по обработке данных Facebook и Instagram и рассмотрело бы специальные категории персональных данных, которые могут или не могут быть обработаны в контексте этих операций. Решения DPC, естественно, не включают ссылки на новые расследования всех операций по обработке данных Facebook и Instagram, которые были направлены EDPB в его обязывающих решениях. EDPB не имеет общей надзорной роли, подобной национальным судам, в отношении национальных независимых органов, и EDPB не имеет права давать указания и направлять орган для участия в открытом и спекулятивном расследовании. Таким образом, направление является проблематичным с точки зрения юрисдикции и не соответствует структуре договоренностей о сотрудничестве и согласованности, установленных GDPR. В той степени, в которой указание может быть связано с превышением полномочий со стороны EDPB, DPC считает целесообразным подать иск об аннулировании в Суд ЕС, чтобы добиться отмены указаний EDPB.
