05.01.2023 Скопје
Двете одлуки објавени во текот на вчерашниот ден се голем неуспех за социјалните медиуми во сопственост на Мета бидејќи ризикуваат да го загрозат целиот деловен модел на компанијата и да добијат голема парична казна.
Ирскиот комесар за заштита на податоци (DPC) објави две одлуки поврзани со прекршување на Општата регулатива за заштита на податоци (GDPR), од страна на Facebook и Instagram на Мета, што резултираше со казни во вкупна вредност од 210 милиони евра, односно 180 милиони евра.
Одлуките се однесуваат на правната основа за обработка на лични податоци со цел персонализирано рекламирање, што се наоѓа во основата на деловниот модел на компанијата. Досегашната правна основа беше прогласена за некомпатибилна со законодавството на ЕУ, а Мета ќе има рок од три месеци да најде нова.
Двете жалби датираат од 25 мај 2018 година, истиот ден кога во апликацијата влезе Правилникот за заштита на податоците на ЕУ. Пред тој датум, двете социјални мрежи ги променија Условите за користење, барајќи од постоечките и новите корисници да ја прифатат обработката на нивните лични податоци за да ги користат нивните услуги.
Сегашната правна основа на Мета се состои од таканаречениот „модел на договор“, што значи дека со прифаќање на Условите за користење, корисниците склучиле договор со платформата. Дополнително, компанијата сметаше дека личните податоци се неопходни за да се спроведе таков договор, кој вклучуваше обезбедување персонализирани услуги и рекламирање во однесувањето.
На овој начин, Мета сметаше дека е во согласност со GDPR, наместо да бара согласност од корисниците за обработка на нивните лични податоци. Сепак, овој пристап беше на удар на критиките на НОЈБ, невладината организација предводена од австрискиот активист Макс Шремс, која го означи како „бајпас“ на GDPR.
Во изјавата на Шремс стои „наместо да имаат опција „да/не“ за персонализирани реклами, тие само ја преместија клаузулата за согласност во одредбите и условите. Ова не е само неправедно, туку очигледно е нелегално. Не сме свесни за друга компанија која се обидела да го игнорира GDPR на таков арогантен начин“.
Согласноста е веројатно најчесто користената правна основа за обработка на лични податоци според GDPR, но неколку други опции се исто така дозволени и во моментов се користат од страна на други Big Tech компании како легитимен интерес.
Во својата прелиминарна одлука, DPC сметаше дека Мета не ги исполнила обврските за транспарентност на GDPR, бидејќи информациите доставени до корисниците беа недоволно јасни за тоа како се обработуваат нивните лични податоци, за кои цели и врз која правна основа.
Сепак, за најважниот дел од жалбата, ирскиот орган првично застана на страната на Мета, сметајќи дека аргументот за „присилна согласност“ не стои и дека правната основа на „договорот“ е остварлива алтернатива за потпирање на согласност.
Според внатрешните документи објавени од НОЈБ, самиот модел на договор е резултат на дијалогот меѓу ДПЦ и Мета. Регулаторите кои разговараат со компаниите како да го применат законот е релативно вообичаено во англосаксонскиот правен систем, но многу помалку во континентална Европа.
Нацрт-одлуката на DPC беше оспорена од 10 европски органи за заштита на податоци, кои го оспорија фактот дека персонализираното рекламирање може да биде дозволено според правната основа на договорот, бидејќи тоа не се сметаше за основен елемент за испорака на персонализираните услуги на платформите.
Бидејќи не можеше да се постигне консензус, случајот беше упатен до механизмот за решавање спорови на Европскиот одбор за заштита на податоци, тело кое ги собира сите органи на ЕУ за заштита на податоците, кој донесе обврзувачка конечна одлука на 5 декември 2022 година.
Одборот во голема мера ја потврди позицијата на DPC во однос на прекршувањата на транспарентноста, но го поништи неговото мислење за прашањето за правната основа, наоѓајќи дека правната основа „договор“ не е законска за обработка на лични податоци за целите на рекламирање во однесувањето.
Бидејќи толкувањето на телото откри нови прекршоци, исто така ги зголеми првично предложените административни казни, 36 милиони евра за Фејсбук и 23 милиони евра за Инстаграм.
Заедно со Фејсбук и Инстаграм, НОЈБ го насочи и сервисот за пораки во сопственост на Мета, WhatsApp. Иако одлуката на Европскиот одбор за заштита на податоци за WhatsApp беше донесена заедно со другите двајца во декември, таа не беше пренесена до ирската власт дури една недела потоа.
Бидејќи водечкиот орган има еден месец да ја финализира својата одлука, истрагата на WhatsApp се очекува да биде завршена следната недела, со сличен исход.
Покрај тоа, Одборот побара од DPC да спроведе нова истрага за практиките за обработка на податоци на Фејсбук и Инстаграм, особено во однос на посебните категории на лични податоци.
Сепак, ирската власт смета дека овој последен дел од одлуката е пречекорување, тврдејќи дека телото нема моќ да ја поучува и насочува работата на независна власт. Така, по овој елемент од одлуката, ДПЦ ќе поднесе тужба за поништување пред Судот на правдата на ЕУ.
Подготвено од А.Ѓ.