Téves jogalapon kezelte a személyes adatokat a Meta


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az EDPB szerint a viselkedés alapú reklámozás nem szükséges a Facebook és Instagram felhasználókkal kötött állítólagos szerződés teljesítéséhez.

Az Európai Adatvédelmi Testület (EDPB) 2022. december 5-i kötelező érvényű vitarendezési döntéseit követően az ír adatvédelmi hatóság elfogadta a Facebookra és az Instagramra (Meta Platforms Ireland Limited, „Meta IE”) vonatkozó határozatait.

Ezek a döntések a Facebook és az Instagram tevékenységével kapcsolatos panaszok kivizsgálása eredményeként születtek, különös tekintettel a viselkedésalapú reklámok általi adatkezelés jogszerűségére és átláthatóságára vonatkozóan.

A Metát a Facebookra vonatkozó határozatban 210 millió euróra, az Instagramra vonatkozó határozatban pedig 180 millió euróra büntette az ír adatvédelmi hatósága.

Az ír adatvédelmi hatóság 2022. december 31-i végleges határozatai tartalmazzák az EDPB által a 2022. december 5-i kötelező határozataiban kifejtett jogi értékelést.

A GDPR 65. cikkének (1) bekezdése a) pontja szerint, miután az ír adatvédelmi hatóság mint vezető felügyeleti hatóság (LSA) két vitarendezési eljárást indított a tíz ország felügyeleti hatóságai (CSA) által emelt kifogásokkal kapcsolatban.

A CSA-k többek között kifogást emeltek az adatkezelés jogalapjával (GDPR 6. cikk), az adatvédelmi elvekkel (GDPR 5. cikk), valamint a korrekciós intézkedésekkel kapcsolatban, beleértve az adatvédelmi bírságokat is.

Andrea Jelinek, az EDPB elnöke elmondta: „Az EDPB kötelező határozatai egyértelművé teszik, hogy a Meta jogellenesen kezelte a személyes adatokat viselkedésalapú reklámozás céljából.

Az ilyen reklámozás nem szükséges a Facebook és Instagram felhasználókkal kötött állítólagos szerződés teljesítéséhez. Ezek a döntések fontos hatással lehetnek más platformokra is, amelyek üzleti modelljük középpontjában a viselkedésalapú hirdetések állnak.” Az EDPB úgy döntött, hogy a Meta helytelenül hivatkozott a felhasználókkal kötött szerződésre mint jogalapra a személyes adatok kezelése során a Facebook Általános Szerződési Feltételei és az Instagram Felhasználási Feltételei keretében a viselkedésalapú reklámozás céljából, mivel ez nem volt a szolgáltatások alapvető eleme.

Az adatvédelmi hatóság mindkét esetben megállapította, hogy a Meta-nak nem volt jogalapja ehhez az adatkezeléshez, ezért jogellenesen kezelte ezeket az adatokat. Következésképpen az európai adatvédelmi hatóság utasította az ír adatvédelmi hatóságot, hogy módosítsa határozattervezeteiben a megállapítást, és foglalja bele a GDPR 6. cikk (1) bekezdésének megsértését.

Az EDPB utasította továbbá az ír adatvédelmi hatóságot, hogy végső határozataiba kötelezze a Metá-t, hogy a Facebook és Instagram vonatkozásában három hónapon belül intézkedjen a viselkedésalapú reklámozás céljából történő adatkezelésnek a GDPR 6. cikk (1) bekezdésének megfelelő módosításáról.

Ezt követően az EDPB megvizsgálta, hogy az érintettek panaszait kellő gondossággal kezelték-e.

A panaszos felvetette, hogy a Meta érzékeny személyes adatokat kezel. Az ír adatvédelmi hatóság azonban nem értékelte az érzékeny személyes adatok kezelését, ezért az adatvédelmi hatóságnak nem állt rendelkezésére elegendő ténybeli bizonyíték ahhoz, hogy megállapításokat tegyen az adatkezelőnek a GDPR 3. cikk szerinti kötelezettségeinek esetleges megsértésére vonatkozóan. Ennek eredményeként az EDPB nem értett egyet az ír adatvédelmi hatóság azon következtetésével, miszerint a Meta jogilag nem köteles a felhasználók hozzájárulását kérni a Facebook- és az Instagram-szolgáltatásainak nyújtásához kapcsolódó adatkezelési tevékenységek végzéséhez, mivel ez további vizsgálat nélkül nem dönthető el. Ezért az EDPB úgy határozott, hogy az ír adatvédelmi hatóságnak új vizsgálatot kell végeznie. Ezenkívül az EDPB utasította az ír adatvédelmi hatóságot, hogy mindkét végső határozatba foglalja bele a méltányosság elve megsértésének megállapítását, és fogadja el a megfelelő korrekciós intézkedéseket. Az EDPB megállapította, hogy az átláthatósági kötelezettségek súlyos megsértése hatással volt a felhasználók észszerű elvárásaira, a Meta félrevezető módon mutatta be szolgáltatásait a felhasználóknak, és a Meta,i llletve a felhasználók közötti kapcsolat kiegyensúlyozatlan volt.

Az adatvédelmi bírságok tekintetében az EDPB arra utasította az ír adatvédelmi hatóságot, hogy a GDPR 6. cikke (1) bekezdésének további megsértése miatt (a személyes adatok kezelésére vonatkozó érvényes jogalap hiánya) szabjon ki adatvédelmi bírságot, valamint szabjon ki lényegesen magasabb bírságot az átláthatóság érdekében, mivel megállapította, hogy a javasolt bírságok nem feleltek meg a hatékony, arányos és visszatartó erejű bírság követelményének.

Ez ahhoz vezetett, hogy az ír adatvédelmi hatóság a végső határozataiban jelentősen megemelte a bírságokat (a Facebook- és Instagram-határozattervezetekben maximális 36 és 23 millió euróról szerepelt a végső határozatokban azonban már 210 millió euró, illetve 180 millió euró).

(edpb.europa.eu)


Kapcsolódó cikkek