Kara dla Meta IE za niezgodnie z prawem przetwarzanie do celów reklamy behawioralnej
Wiążące decyzje EROD w sprawie rozstrzygania sporów z 5 grudnia 2022 r. zostały przyjęte w rezultacie postępowań opartych na skargach dotyczących działań Facebooka i Instagrama, w szczególności w sprawie zgodności z prawem i przejrzystości przetwarzania do celów reklamy behawioralnej.
Irlandzki organ nadzorczy w następstwie wiążących decyzji EROD w sprawie rozstrzygania sporów nałożył kary pieniężne na administratora Facebooka i Instagrama Meta Platforms Ireland Limited (Meta IE). W związku z naruszeniami dotyczącymi Facebooka – 210 milionów euro, Instagrama – 180 milionów euro.
Wiążące decyzje EROD
Ostateczne decyzje irlandzkiego organu nadzorczego z 31 grudnia 2022 r. uwzględniają ocenę prawną wyrażoną przez EROD w wiążących decyzjach z 5 grudnia 2022 r. W wyniku uruchomienia przez irlandzki organ nadzorczy jako wiodący organ nadzorczy procedur rozstrzygania sporów, dziesięć organów nadzorczych, których sprawa dotyczyła zgłosiło między innymi sprzeciwy dotyczące podstawy prawnej przetwarzania danych (art. 6 RODO), zasad ochrony danych (art. 5 RODO) oraz stosowania środków naprawczych, w tym administracyjnych kar pieniężnych.
„Wiążące decyzje EROD wyjaśniają, że Meta IE niezgodnie z prawem przetwarzała dane osobowe do celów reklamy behawioralnej. Taka reklama nie jest niezbędna do wykonania domniemanej umowy z użytkownikami Facebooka i Instagrama. Decyzje te mogą mieć również istotny wpływ na inne platformy, które mają reklamy behawioralne w centrum swojego modelu biznesowego.” – powiedziała Andrea Jelinek, przewodnicząca EROD.
Argumentacja EROD
EROD uznała, że Meta IE niewłaściwie powołała się na umowę jako podstawę prawną do przetwarzania danych osobowych w kontekście warunków świadczenia usług Facebooka i warunków korzystania z Instagrama do celów reklamy behawioralnej, ponieważ nie był to podstawowy element tych usług. EROD stwierdziła w obu przypadkach, że Meta IE nie posiadała podstawy prawnej do tego przetwarzania i w związku z tym przetwarzała te dane niezgodnie z prawem. EROD zobowiązała irlandzki organ nadzorczy do zmiany ustaleń w swoich projektach decyzji oraz do uwzględnienia naruszeń art. 6 ust. 1 RODO EROD zobowiązała również irlandzki organ nadzorczy do uwzględnienia w swoich ostatecznych decyzjach polecenia dostosowania przez Meta IE przetwarzania danych osobowych do celów reklamy behawioralnej w kontekście usług Facebooka i Instagrama w terminie trzech miesięcy
Następnie EROD zbadała, czy skargi zostały rozpatrzone z należytą starannością. Skarżący podniósł argument, że Meta IE przetwarza dane wrażliwe. Irlandzki organ nadzorczy nie stwierdził jednak przetwarzania danych wrażliwych i w związku z tym EROD nie dysponowała wystarczającymi dowodami faktycznymi umożliwiającymi jej dokonanie ustaleń dotyczących ewentualnego naruszenia obowiązków administratora wynikających z art. 9 RODO.
Ponadto EROD zobowiązała irlandzki organ nadzorczy do uwzględnienia w obu ostatecznych decyzjach stwierdzenia naruszenia zasady rzetelności oraz do przyjęcia odpowiednich środków naprawczych. EROD zauważyła, że poważne naruszenia obowiązków w zakresie przejrzystości wpłynęły na uzasadnione oczekiwania użytkowników. Zdaniem EROD Meta IE przedstawiła swoje usługi użytkownikom w sposób wprowadzający w błąd, a relacje między Meta IE a użytkownikami były pozbawione równowagi.
EROD zobowiązała irlandzki organ nadzorczy do nałożenia administracyjnej kary pieniężnej za dodatkowe naruszenia art. 6 ust. 1 RODO (brak podstawy prawnej do przetwarzania danych osobowych) oraz do znacznego zwiększenia wysokości administracyjnych kar pieniężnych za stwierdzone naruszenia przejrzystości, ponieważ uznała, że proponowane wysokości kar pieniężnych nie spełniały wymogu skuteczności, proporcjonalności i odstraszającego charakteru.
Postępowanie dotyczące WhatsApp Ireland Limited
5 grudnia 2022 r. EROD przyjęła również wiążącą decyzję w sprawie sporu powstałego w związku z postępowaniem dotyczącym WhatsApp Ireland Limited.
Ostateczne decyzje przyjęte przez irlandzki organ nadzorczy są dostępne w rejestrze decyzji wydawanych przez organy nadzorcze i sądy w kwestiach rozpatrywanych w ramach mechanizmu spójności.
Więcej informacji na temat procedury z art. 65 RODO można znaleźć na stronie art. 65 FAQ.