Η ιρλανδική Αρχή Προστασίας Δεδομένων παρουσιάζει τη δική της εκδοχή για το πώς κατέληξε να επιβάλει πρόστιμα με τα οποία δεν συμφωνεί και αμφισβητεί ανοικτά τη δυνατότητα του ΕΣΠΔ να καθορίζει τις επόμενες ενέργειές της
Η ιρλανδική αρχή προστασίας δεδομένων (DPC) ανακοίνωσε σήμερα (σ.σ. χτες) την ολοκλήρωση των δύο ερευνών σχετικά με τις πράξεις επεξεργασίας δεδομένων από τη Meta Platforms Ireland Limited (“Meta Ireland”) σε σχέση με την παροχή υπηρεσιών στο Facebook και το Instagram. (H Meta Ireland ήταν μέχρι πρότινος γνωστή ως Facebook Ireland Limited).
Με τις τελικές αποφάσεις, που η DPC έχει πλέον λάβει, επεβλήθη στη Meta Ireland πρόστιμο 210 εκατομμυρίων ευρώ (για παραβιάσεις του ΓΚΠΔ σχετικά με το Facebook) και 180 εκατομμυρίων ευρώ (για παραβιάσεις σχετικά με το Instagram). Περαιτέρω, η Meta Ireland έχει λάβει την εντολή να προχωρήσει εντός 3 μηνών σε συμμόρφωση των πράξεων επεξεργασίας που διενεργεί.
Οι έρευνες αφορούσαν δύο καταγγελίες σχετικά με τη λειτουργία των Facebook και Instagram, οι οποίες ήγειραν τα ίδια βασικά ζητήματα. Η μια καταγγελία είχε υποβληθεί από ένα υποκείμενο των δεδομένων από την Αυστρία (ως προς το Facebook), ενώ η άλλη είχε υποβληθεί από ένα υποκείμενο των δεδομένων από το Βέλγιο (ως προς το Instagram). Οι καταγγελίες υποβλήθηκαν την 25η Μαΐου 2018, ημέρα έναρξης εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων.
Σε χρόνο πρότερο της 25ης Μαΐου 2018, η Meta Ireland είχε τροποποιήσει τους Όρους Χρήσης για τις υπηρεσίες του Facebook και του Instagram. Επεσήμαινε το γεγονός ότι τροποποιείτο η νομική βάση στην οποία στηριζόταν η νομιμότητα της επεξεργασίας προσωπικών δεδομένων των χρηστών. (Σύμφωνα με το άρθρο 6 ΓΚΠΔ, η επεξεργασία δεδομένων είναι σύννομη μόνο εάν και εφόσον ισχύει μια από τις έξι νομικές βάσεις του άρθρου). Έχοντας μέχρι τότε στηριχτεί στη συγκατάθεση των χρηστών για την επεξεργασία των προσωπικών δεδομένων τους στο πλαίσιο της παροχής των υπηρεσιών των Facebook και Instagram (συμπεριλαμβανόμενης της συμπεριφορικής διαφήμισης), η Meta Ireland πλέον αναζητούσε τη θεμελίωση στη νομική βάση της «σύμβασης» για τις περισσότερες (αλλά όχι όλες) από τις πράξεις επεξεργασίας που διενεργούσε.
Στους παλαιούς (και νέους) χρήστες που ήθελαν να συνεχίσουν να έχουν πρόσβαση στις υπηρεσίες του Facebook και του Instagram ζητείτο να πατήσουν «Αποδέχομαι», ως ένδειξη της αποδοχής των επικαιροποιημένων Όρων Χρήσης (Οι υπηρεσίες δεν θα ήταν διαθέσιμες, εάν οι χρήστες αρνούνταν να αποδεχθούν).
Η Meta Ireland ισχυρίστηκε ότι η αποδοχή των επικαιροποιημένων Όρων Χρήσης συνιστούσε σύναψη σύμβασης μεταξύ της εταιρείας και του χρήστη. Υποστήριξε επίσης ότι η επεξεργασία δεδομένων των χρηστών σε σχέση με την παροχή των υπηρεσιών της ήταν αναγκαία για την εκτέλεση αυτής της σύμβασης, συμπεριλαμβανόμενης της παροχής προσωποποιημένων υπηρεσιών και συμπεριφορικής διαφήμισης, κατά συνέπεια οι πράξεις επεξεργασίας αυτές θεμελιώνονταν στο άρθρο 6 παρ.1β ΓΚΠΔ (η νομική βάση της «σύμβασης»).
Οι καταγγέλλοντες αντέκρουσαν ότι, σε αντίθεση με τους ισχυρισμούς της, η Meta Ireland στην πραγματικότητα εξακολουθούσε να αναζητά θεμελίωση στη συγκατάθεση, ως νομική βάση για την επεξεργασία δεδομένων των χρηστών. Υποστήριξαν ότι, με το να καθιστά την αποδοχή των επικαιροποιημένων Όρων Χρήσης υποχρεωτική για την πρόσβαση στις υπηρεσίες της, η Meta Ireland στην πράξη τους εξανάγκαζε να συγκατατεθούν στην επεξεργασία των προσωπικών δεδομένων τους για συμπεριφορική διαφήμιση και άλλες προσωποποιημένες υπηρεσίες. Οι καταγγέλλοντες υποστήριξαν ότι κάτι τέτοιο αποτελούσε παραβίαση του ΓΚΠΔ.
Μετά από διεξοδική έρευνα, η DPC προετοίμασε σχέδια αποφάσεων, στις οποίες κατέληγε σε σειρά διαπιστώσεων σε βάρος της Meta Ireland. Πρωτίστως διαπίστωνε ότι:
- 1. Κατά παράβαση των υποχρεώσεών της ως προς τη διαφάνεια, οι πληροφορίες για τη νομική βάση στην οποία στηριζόταν η Meta Ireland δεν περιγράφονταν με σαφήνεια στους χρήστες, με αποτέλεσμα αυτοί να μην έχουν πλήρη εικόνα ως προς το ποιες πράξεις επεξεργασίας των δεδομένων τους διενεργούνταν, για ποιους σκοπούς και σύμφωνα με ποια από τις έξι νομικές βάσεις του άρθρου 6 ΓΚΠΔ. Η DPC είχε την άποψη ότι η έλλειψη διαφάνειας σε τόσο θεμελιώδη ζητήματα παραβίασε τα άρθρα 12 και 13 παρ.1γ ΓΚΠΔ. Παράλληλα, θεώρησε ότι συνιστούσε και παραβίαση του άρθρου 5 παρ.1α, το οποίο προβλέπει ότι τα προσωπικά δεδομένα των χρηστών πρέπει υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο. Η DPC πρότεινε πολύ σημαντικά πρόστιμα σε βάρος της Meta Ireland, σχετικά με την παραβίαση των διατάξεων αυτών, και της έδινε εντολή να καταστήσει τις πράξεις επεξεργασίας σύννομες σε καθορισμένο και σύντομο χρονικό διάστημα.
- 2. Στις περιπτώσεις όπου η αρχή έκρινε πως η Meta Ireland δεν βασιζόταν στη συγκατάθεση των χρηστών, ως νομική βάση για την επεξεργασία των δεδομένων τους, η προσέγγιση των καταγγελλόντων περί «αναγκαστικής συγκατάθεσης» δεν μπορούσε να θεωρηθεί βάσιμη. Περαιτέρω, η DPC προχώρησε στην εξέταση του κατά πόσον η επίκληση της «σύμβασης» από τη Meta Ireland μπορούσε να παρέχει νομική βάση για την επεξεργασία δεδομένων των χρηστών σε σχέση με την παροχή προσωποποιημένων υπηρεσιών (συμπεριλαμβανόμενης της προσωποποιημένης διαφήμισης). Επί του ζητήματος αυτού, η DPC κατέληξε ότι η Meta Ireland δεν ήταν υποχρεωμένη να βασίζεται στη συγκατάθεση, καθώς ο ΓΚΠΔ δεν απέκλειε καταρχήν τη στήριξη της Meta Ireland στη νομική βάση της σύμβασης.
Σύμφωνα με τη διαδικασία που προβλέπεται από τον ΓΚΠΔ, τα σχέδια αποφάσεων που είχαν συνταχθεί από τη DPC υποβλήθηκαν στις εποπτικές αρχές της ΕΕ/ΕΟΧ, γνωστές ως Ενδιαφερόμενες Εποπτικές Αρχές (“Ενδιαφερόμενες ΕΑ”).
Ως προς το ζήτημα του κατά πόσον η Meta Ireland είχε ενεργήσει κατά παράβαση των απαιτήσεων διαφάνειας, οι Ενδιαφερόμενες ΕΑ συμφώνησαν με τις αποφάσεις της DPC, αν και είχαν την άποψη ότι τα προτεινόμενα πρόστιμα θα έπρεπε να αυξηθούν.
Δέκα από τις 47 Ενδιαφερόμενες ΕΑ προέβαλαν ενστάσεις επί άλλων ζητημάτων των σχεδίων απόφασης (ένα εκ των οποίων στη συνέχεια αποσύρθηκε από την απόφαση για το Facebook). Ειδικότερα, αυτό το υποσύνολο των Ενδιαφερόμενων ΕΑ είχε την άποψη ότι δεν πρέπει να επιτραπεί στη Meta Ireland να στηρίζεται στη νομική βάση της σύμβασης, με το επιχείρημα πως η παροχή προσωποποιημένης διαφήμισης (ως τμήμα της γενικότερης παροχής προσωποποιημένων υπηρεσιών του Facebook και του Instagram) δεν θα μπορούσε να θεωρηθεί αναγκαία για την εκτέλεση των κύριων στοιχείων μιας πολύ πιο περιορισμένης μορφής σύμβασης.
Η DPC διαφώνησε, εκφράζοντας την άποψη πως οι υπηρεσίες των Facebook και Instagram περιλαμβάνουν, και κατά βάση προϋποθέτουν, την παροχή προσωποποιημένων υπηρεσιών, οι οποίες συμπεριλαμβάνουν και προσωποποιημένη ή συμπεριφορική διαφήμιση. Κατά τη γνώμη της DPC, η πραγματικότητα αυτή είναι θεμελιώδης στη συμφωνία μεταξύ χρηστών και του παρόχου υπηρεσιών της επιλογής τους και αποτελεί τμήμα της σύμβασης που συνάπτεται όταν οι χρήστες αποδέχονται τους Όρους Χρήσης.
Μετά από διαδικασία διαβούλευσης, κατέστη σαφές ότι δεν θα μπορούσε να επιτευχθεί ομοφωνία. Σύμφωνα με τις υποχρεώσεις της βάσει του ΓΚΠΔ, η DPC στη συνέχεια υπέβαλε τα σημεία διαφωνίας στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ). Το ΕΣΠΔ εξέδωσε τις αποφάσεις του στις 5 Δεκεμβρίου 2022.
Οι αποφάσεις του ΕΣΠΔ απέρριψαν πολλές από τις ενστάσεις των Ενδιαφερόμενων ΕΑ, ενώ υιοθέτησαν την κρίση της DPC ως προς την παραβίαση της διαφάνειας από τη Meta Ireland, με μόνη διαφορά μια επιπρόσθετη παραβίαση (την αρχή της θεμιτής επεξεργασίας) και μια καθοδήγηση προς τη DPC για αύξηση του προτεινόμενου διοικητικού προστίμου.
Το ΕΣΠΔ είχε διαφορετική άποψη ως προς το ζήτημα της νομικής βάσης, διαπιστώνοντας ότι καταρχήν η Meta Ireland δεν νομιμοποιείτο να στηρίζεται στη νομική βάση της σύμβασης για την επεξεργασία προσωπικών δεδομένων προς τον σκοπό της συμπεριφορικής διαφήμισης.
Οι τελικές αποφάσεις που εκδόθηκαν από την DPC την 31η Δεκεμβρίου 2022 αποτυπώνουν τις ως άνω δεσμευτικές αποφάσεις του ΕΣΠΔ. Κατά συνέπεια, οι αποφάσεις της DPC περιλαμβάνουν τις διαπιστώσεις πως η Meta Ireland δεν δικαιούται να στηρίζεται τη νομική βάση της σύμβασης σε σχέση με την παροχή συμπεριφορικής διαφήμισης, ως μέρος των υπηρεσιών της στο Facebook και το Instagram, και πως η μέχρι σήμερα επεξεργασία δεδομένων των χρηστών κατ’ επίκληση της νομικής βάσης της σύμβασης αποτελεί παραβίαση του άρθρου 6 ΓΚΠΔ.
Ως προς τις κυρώσεις και υπό το φως της πρόσθετης αυτής παραβίασης του ΓΚΠΔ, η DPC αύξησε το ύψος των επιβαλλόμενων διοικητικών προστίμων σε βάρος της Meta Ireland σε 210 εκατομμύρια ευρώ για το Facebook και 180 εκατομμύρια ευρώ για το Instagram. (Τα αναθεωρημένα ποσά αυτά καλύπτουν και την άποψη του ΕΣΠΔ ως προς την παραβίαση των υποχρεώσεων της Meta Ireland σχετικά με τη διαφανή και θεμιτή επεξεργασία των δεδομένων των χρηστών).
Η αρχική απαίτηση της DPC προς τη Meta Ireland για να καταστήσει τις πράξεις επεξεργασίας της σύμφωνες με τον ΓΚΠΔ εντός περιόδου τριών μηνών διατηρήθηκε.
Αυτοτελώς, το ΕΣΠΔ υποστήριξε ότι έδωσε στη DPC την οδηγία να διενεργήσει νέα έρευνα, με την οποία θα καλύπτονται όλες οι πράξεις επεξεργασίας από το Facebook και το Instagram και θα εξετάζεται η ενδεχόμενη επεξεργασία ειδικών κατηγοριών δεδομένων στο πλαίσιο των πράξεων αυτών. Όπως είναι φυσικό, οι αποφάσεις της DPC δεν περιλαμβάνουν αναφορά σε νέες έρευνες για κάθε πράξη επεξεργασίας δεδομένων από το Facebook και το Instagram, όπως αυτές ζητήθηκαν από το ΕΣΠΔ με τις δεσμευτικές αποφάσεις του. Το ΕΣΠΔ δεν έχει γενικό εποπτικό ρόλο, κατά τρόπο παρόμοιο με τα εθνικά δικαστήρια, έναντι των εθνικών ανεξάρτητων αρχών, ούτε έχει το ΕΣΠΔ τη δυνατότητα να δίνει οδηγίες και να κατευθύνει μια αρχή να εμπλακεί σε μια έρευνα με υποθετικό χαρακτήρα και αόριστη διάρκεια. Η καθοδήγηση αυτή είναι προβληματική με όρους αρμοδιότητας και φαίνεται να μη βρίσκεται σε συμφωνία με το οικοδόμημα των ρυθμίσεων συνεργασίας και συνεκτικότητας που θεσπίζονται από τον ΓΚΠΔ. Στον βαθμό που μια τέτοια καθοδήγηση μπορεί να συνιστά υπέρβαση από πλευράς ΕΣΠΔ, η DPC θεωρεί σκόπιμο να υποβάλει αίτηση ακύρωσης ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης, με σκοπό την εξαφάνιση των οδηγιών του ΕΣΠΔ.