Meta: a 390 millió eurós büntetés csak a kezdet, nagy bajban a Facebook
A Meta európai üzleti modelljét alapjaiban rázhatja meg az ír adatvédelmi hatóság döntése, de nem a horribilis büntetés, hanem a GDPR tekintetében aggályos személyre szabott hirdetések miatt.
Fotó: Unsplash/Dima Solomin Az ír adatvédelmi hatóság (DPC) tegnap jelentette be a Facebook és Instagram ellen indult adatvédelmi eljárás lezárultát. A döntés azon túlmenően, hogy mintegy 390 millió eurós bírsággal marasztalta a platformokat tulajdonló Meta társaságot, alapjaiban rengeti meg a Meta európai üzleti modelljét.
A döntés egyértelművé teszi, hogy a felhasználók hozzájárulása nélkül nem kerülhet sor személyre szabott hirdetések nyújtására; a Meta GDPR megkerülésére irányuló eddigi gyakorlata jogellenes – derül ki a Taylor Wessing nemzetközi ügyvédi iroda adatvédelmi szakértőinek összefoglalójából.
A mintegy 4,5 éve indult eljárás kereszttüzében a Meta azon személyes adatok kezelésére épülő reklámozási gyakorlata állt, amellyel igyekezett elkerülni, hogy a Facebook és Instagram szolgáltatásai során nyújtott személyre szabott hirdetésekhez a felhasználók hozzájárulását kérje be.
A gazdasági észszerűség világos a megközelítés mögött, hiszen a hirdetésekből bevételt generáló társaság részére előnyösebb, ha valós választási lehetőség nélkül valamennyi felhasználója részére, a szolgáltatása alapvető részeként/feltételeként biztosítja a személyre szabott hirdetéseket, szemben azzal a lehetőséggel, hogy minderről a felhasználók transzparens tájékoztatás mellett maguk dönthetnének.
Míg az előbbi esetben 100%-os a hirdetési hatékonyság a Meta részére, utóbbi esetben ez már közel sem mondható el, hiszen bőven akadhatnak olyan felhasználók, akik egyszerűen nem tartanak igényt személyre szabott hirdetésekre, vagy nem kívánják személyes adataikat ilyen célokra megosztani.
Szakértők szerint aggályos a Meta gyakorlata
„A Meta tehát azt az utat választotta, hogy a GDPR hatálybalépésével egyidejűleg általános szerződési feltételeibe integrálva szerződéses jogalapon nyújtotta a felhasználók személyes adatain alapuló és rájuk szabott hirdetéseket, megfosztva a felhasználókat mindazon garanciális biztosítékoktól, amelyekben a GDPR szerinti hozzájárulás alapján részesülhettek volna, kezdve egyáltalán a döntés szabadságától, hogy igényelnek-e személyre szabott hirdetéseket a platformok használata során egészen az ehhez adott hozzájárulásuk visszavonásának lehetőségéig”
– összegzi Dr. Kopasz János ügyvéd, a Taylor Wessing nemzetközi ügyvédi iroda adatvédelmi szakértője.
A döntés alapján a Facebook és Instagram eltiltásra került a személyes adatok fentiek szerinti történő hirdetési célokra való felhasználásától és a tetemes bírság mellett három hónapnyi türelmi időt kaptak, hogy adatkezelési gyakorlatukat a GDPR követelményeihez igazítva, transzparens tájékoztatás mellett, egyértelmű hozzájárulását szerezze be a felhasználói személyes adatainak személyre szabott hirdetések céljából történő kezeléséhez.
A bírságon túl talán azonban jelentősebb csapás a társaság számára, hogy eddigi hirdetéseken alapuló üzleti modelljében alapvető változtatásokat kénytelen eszközölni a GDPR követelményeinek történő megfelelés érdekében.
„Ahogy az ilyen horderejű ügyeknél lenni szokott, természetesen a Meta fellebbezése várható a döntés ellen. Így a GDPR hatálybalépésekor – mintegy négy és fél éve – kezdődött eljárás tényleges végrehajtása még várathat magára. A jelen eljárás is Max Schrems adatvédelmi aktivista nevével fémjelzett noyb szervezethez köthető, amely már megannyi esetben okozott fejtörést az európai adatvédelmi koncepciótól távolabb álló amerikai székhelyű cégeknek, elérve például az amerikai adattovábbításokat lehetővé tevő korábbi megfelelőségi határozatok érvénytelenítését.”
„A Meta és hasonló platformok esetében különös koncepcióváltást igényel az adatvédelmi követelmények GDPR szellemisége szerinti elérése, és ez a magas szintű elvárás az adatvédelmi jogok biztosítása terén nem lesz másképp a Meta jelenlegi fő fejlesztési területét képező metaverzumban történő adatkezelések esetében sem”
– zárja gondolatait Dr. Kopasz János adatvédelmi szakértő.
