Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Toto je ověřovací provoz nového webu ÚOOÚ. Původní stránky Úřadu naleznete na old.uoou.cz.

Irský ochránce osobních údajů definitivně rozhodl o pokutách pro Instagram a Facebook za behaviorální reklamu

  1. Úvod
  2. Novinky
  3. Článek
Datum zveřejnění
Zpět na seznam

Společnost Meta Platforms Ireland Limited (Meta IE), která provozuje internetové sociální platformy Facebook a Instagram má zaplatit celkovou pokutu ve výši 390 miliónů Eur (Facebook 210 mil. euro a Instagram 180 mil. euro) za netransparentnost zpracování osobních údajů klientů pro tzv. behaviorální (zájmovou) reklamu. Evropský sbor pro ochranu osobních údajů přitom výši pokuty udělenou irským dozorovým úřadem ještě násobně navýšil.

Tisková zpráva Evropského sboru pro ochranu osobních údajů (EDPB)

Neoficiální překlad

Rozhodnutí o Facebooku a Instagramu: „Významný dopad na používání osobních údajů pro behaviorální reklamu“

Brusel, 12. ledna 2023 – Po závazných rozhodnutích EDPB o řešení sporů ze dne 5. prosince 2022 přijal irský úřad pro ochranu údajů (IE DPA) svá rozhodnutí týkající se Facebooku a Instagramu (Meta Platforms Ireland Limited, „Meta IE“). Tato rozhodnutí jsou výsledkem šetření na základě stížností na aktivity Facebooku a Instagramu, a to zejména ve vazbě na zákonnost a transparentnost zpracování údajů pro behaviorální reklamu. Společnost Meta IE dostala od IE DPA pokutu 210 milionů eur v rozhodnutí o Facebooku a 180 milionů eur v rozhodnutí o Instagramu.

Konečná rozhodnutí irského dozorového úřadu (IE DPA ze dne 31. prosince 2022 zahrnují právní posouzení vyjádřené EDPB v kontextu jeho závazných rozhodnutí ze dne 5. prosince 2022. Tato závazná rozhodnutí byla přijata na základě čl. 65 odst. 1 písm. a) GDPR poté, co IE DPA jako vedoucí dozorový úřad (LSA) zahájil dva postupy řešení sporů ohledně námitek vznesených dotčenými dozorovými úřady v obou případech z deseti zemí. Dotčené dozorové úřady mimo jiné vznesly námitky týkající se právního základu pro zpracování (článek 6 GDPR), zásad ochrany osobních údajů (článek 5 GDPR) a použití nápravných opatření včetně pokut.

Předsedkyně EDPB Andrea Jelinek k tomu uvedla: „Závazná rozhodnutí EDPB objasňují, že Meta nezákonně zpracovávala osobní údaje pro behaviorální reklamu. Taková reklama není nezbytná pro plnění domnělé smlouvy s uživateli Facebooku a Instagramu. Tato rozhodnutí mohou mít také důležitý dopad na další platformy, které mají behaviorální reklamy v centru jejich obchodního modelu.

Evropský sbor pro ochranu osobních údajů (EDPB) rozhodl, že společnost Meta IE se nevhodně spoléhala na smlouvu jako právní základ pro zpracování osobních údajů v kontextu smluvních podmínek Facebooku a smluvních podmínek Instagramu pro účely behaviorální reklamy, protože to nebyl hlavní prvek služeb. EDPB v obou případech zjistil, že Meta IE postrádala právní základ pro toto zpracování, a proto tyto údaje zpracovávala nezákonně. V důsledku toho dal EDPB pokyn IE DPA, aby upravil zjištění ve svých návrzích rozhodnutí a zahrnul do nich porušení čl. 6 odst. 1 GDPR.

Evropský sbor zároveň pověřil irského regulátora (IE DPA, aby do svých konečných rozhodnutí zahrnul příkaz, aby společnost Meta IE uvedla své zpracování osobních údajů pro behaviorální reklamu v kontextu služeb Facebook a Instagram do tří měsíců do souladu s čl. 6 odst. 1 GDPR.

Dále EDPB zkoumal, zda byly stížnosti vyřízeny s náležitou péčí. Stěžovatel upozornil na skutečnost, že Meta IE zpracovává citlivé údaje. IE DPA však zpracování citlivých údajů neposoudil, a proto EDPB neměl dostatečné věcné důkazy umožňující zjistit jakékoli možné porušení povinností správce podle čl. 9 GDPR. V důsledku toho EDPB nesouhlasil s navrhovaným závěrem IE DPA, že Meta IE není právně povinna spoléhat se na souhlas s prováděním zpracovatelských činností souvisejících s poskytováním jejích služeb Facebook a Instagram, protože to nelze kategoricky uzavřít bez dalšího vyšetřování. Proto EDPB rozhodl, že IE DPA musí provést nové šetření.

EDPB dal navíc pokyn IE DPA, aby do obou konečných rozhodnutí zahrnul zjištění porušení zásady korektnosti a přijal vhodná nápravná opatření. EDPB poznamenal, že závažná porušení povinností týkajících se transparentnosti ovlivnila důvodná očekávání uživatelů, že Meta IE prezentovala své služby uživatelům zavádějícím způsobem, a že vztah mezi Meta IE a uživateli byl nevyvážený.

Ve věci správních pokut EDPB nařídil IE DPA uložit správní pokutu za dodatečná porušení čl. 6 odst. 1 GDPR (tj. absence právního základu pro zpracování osobních údajů) a udělit výrazně vyšší pokuty za zjištěná porušení transparentnosti. Shledal totiž, že navrhované pokuty nesplňují požadavek účinnosti, přiměřenosti a odrazení. To vedlo k tomu, že IE DPA ve svých konečných rozhodnutích pokuty výrazně zvýšil (z maximálních 36 milionů EUR a 23 milionů EUR v návrzích rozhodnutí k Facebooku a Instagramu na 210 milionů EUR, resp. 180 milionů EUR v konečných rozhodnutích).

Konečná rozhodnutí IE DPA jsou dostupná na webu EDPB v registru rozhodnutí dozorových úřadů a soudů k věcem řešeným v mechanismu jednotnosti.

EDPB také 5. prosince 2022 schválil další závazné rozhodnutí ohledně sporu vzniklého ze šetření společnosti WhatsApp Ireland Limited. Konečné rozhodnutí IE DPA bude teprve přijato.

Další informace týkající se postupů podle čl. 65 GDPR jsou k dispozici na webu EDPB v často kladených otázkách k čl. 65.

Originální znění Tiskové zprávy EDPB ze dne 12/1/2023 je k dispozici zde.