Irlandzka Komisja Ochrony Danych (DPC) nałożyła na Meta Platforms Ireland Limited łączną karę 390 mln euro za naruszenie RODO. Spółka, która prowadzi portale Facebook i Instagram w Europie, przetwarzała dane użytkowników bez odpowiedniej podstawy prawnej. Dotyczyło to profilowania pod kątem reklam behawioralnych. Grzywna objęła 210 mln euro za Facebooka i 180 mln euro za Instagrama.
Postępowanie przeciwko Meta rozpoczęto 25 maja 2018 roku, w dniu wejścia w życie RODO. Austriacki aktywista Max Schrems złożył skargę, zarzucając Meta przetwarzanie danych użytkowników bez zgody. Firma, zamiast dalej polegać na zgodzie, uznała, że akceptacja nowego regulaminu oznacza zawarcie umowy. W jej ocenie przetwarzanie danych w celu personalizacji usług, w tym reklam, jest niezbędne do wykonania tej umowy.
Personalizacja usług nie usprawiedliwia przetwarzania
DPC uznała jednak, że personalizacja i reklama behawioralna nie są kluczowymi elementami usługi. Nie można więc uznać ich za niezbędne do wykonania umowy, co oznacza brak podstawy prawnej do przetwarzania danych. Dodatkowo użytkownicy nie wiedzieli dokładnie, jakie dane są przetwarzane ani w jakim celu.
Europejska Rada Ochrony Danych (EROD) interweniuje
Z uwagi na transgraniczny charakter przetwarzania, do projektu decyzji DPC zgłoszono zastrzeżenia z dziesięciu państw. EROD, rozstrzygając spór, znacząco podwyższyła kary – z pierwotnych 36 mln euro dla Facebooka i 23 mln euro dla Instagrama. W uzasadnieniu wskazano, że Meta wprowadzała użytkowników w błąd i nie zapewniła przejrzystości.
Meta ma 3 miesiące na dostosowanie swoich praktyk do RODO. Firma zapowiedziała odwołanie od decyzji. Obowiązki nałożone przez DPC dotyczą także jasnego informowania użytkowników o przetwarzaniu danych.
Inne postępowania wobec Meta
5 grudnia 2022 r. EROD przyjęła inną wiążącą decyzję w sprawie WhatsApp Ireland Limited. Postępowanie prowadzi również irlandzki organ DPC. Ostateczna decyzja nie została jeszcze wydana, ale sprawa dotyczy podobnych naruszeń w zakresie przejrzystości przetwarzania danych.
Decyzje wobec Meta mogą mieć poważne konsekwencje dla wszystkich platform, które opierają swój model biznesowy na reklamie behawioralnej. Organy ochrony danych coraz bardziej egzekwują obowiązki wynikające z RODO. Należy spodziewać się kolejnych kar za brak transparentności i naruszenie zasady minimalizacji danych.
Autorka: r. pr. Edyta Oleszczuk-Romańska
Potrzebujesz profesjonalnej porady prawnej? Skontaktuj się z nami
Sprawdź inne wpisy na blogu Kancelarii Prawnej Chałas i Wspólnicy