Jedan od najvećih tehnoloških giganata, Meta (bivša kompanija Facebook) ponovo je kažnjen velikom novčanom kaznom povodom (ne)usaglašenosti sa GDPR-om tj. Opštom uredbom o zaštiti podataka o ličnosti Evropske unije. Dana 4. januara 2023. godine, Irska Komisija za zaštitu podataka (DPC) objavila je svoju odluku u vezi sa upotrebom podataka kompanije Meta za ciljano oglašavanje. Kompanija je ukupno kažnjena sa 390 miliona evra, od čega je kazna od 210 miliona evra namenjena društvenoj mreži Fejsbuk, dok se kazna od 180 miliona evra odnosi na usluge Intagrama.
Sigurno se pitate šta je Meta uradila da zasluži ovakvu kaznu. Srž problema leži u pravnom osnovu obrade podataka. Naime, u Uslovima korišćenja namenjenim korisnicima Fejsbuka i Instagrama navedeno je da su radnje obrade podataka koje su dovele do personalizovanog oglašavanja neophodne da bi Meta mogla da obavlja svoje usluge.
Ova kazna je definitivno veliki udarac za Metu jer nije prošlo mnogo vremena od kada je ona prethodno kažnjena zbog neusaglašenosti sa GDPR-om. DPC joj je 2021. i 2022. godine izrekao sledeće kazne na osnovu GDPR-a:
- Kazna od 225 miliona evra zbog netransparentnosti u poslovanju WhatsApp-a, mobilne aplikacije za razmenu poruka;
- Kazna od 405 miliona evra za nezakonitu obradu ličnih podataka dece;
- Kazna od 265 miliona evra usled curenja podataka koje je učinilo lične podatke više od 500 miliona korisnika Fejsbuka dostupnim na internetu.
Dostižući ukupan trošak od 1285 miliona evra samo za kazne, Meta, kao i svi drugi subjekti koji obrađuju lične podatke, treba da budu veoma oprezni prilikom prikupljanja i obrade podataka svojih korisnika.
U našim blogovima o kaznama izrečenim H&M-u i Google-u možete se upoznati sa drugim slučajevima značajnog kršenja GDPR-a i nezakonitim prikupljanjem ličnih podataka.
Pravni osnovi za obradu podataka
Prema GDPR-u, da bi aktivnost obrade podataka bila zakonita, potrebno je da se zasniva na jednom od sledećih šest pravnih osnova:
- Pristanak
- Zaključenje i izvršenje ugovora
- Poštovanje pravnih obaveza
- Zaštita životno važnih interesa
- Izvršenje javnih ovlašćenja
- Legitimni interes
Kada se utvrdi svrha zbog koje je potrebno prikupljanje podataka, mora se odlučiti i o pravnom osnovu po kome će se vršiti obrada ličnih podataka jer od toga zavise pravila koja se primenjuju na obradu. Ako se obrada u željenu svrhu ne može zasnivati ni na jednom od dostupnih pravnih osnova, onda je takva obrada nezakonita.
Šta je META uradila pogrešno?
Kao što je već pomenuto, DPC je odlučila da Meta nema odgovarajući pravni osnov za obradu ličnih podataka, posebno za korišćenje podataka korisnika radi personalizovanog oglašavanja. Meta je probala da zaobiđe uslove neophodne za korišćenje pristanka kao jednog od pravnih osnova i pokušala da prikaže ciljano oglašavanje kao element koji je neophodan za izvršenje ugovora.
Suštinski, ovaj manevar je omogućio kompaniji Meta da izbegne postavljanje korisnicima izričitog „da ili ne“ pitanja (tzv. opt-in pristup) vezanog za personalizovano oglašavanje kada se od korisnika traži da pristanu na obradu njihovih ličnih podataka u gore pomenutu svrhu. Umesto toga, klauzula o saglasnosti je samo integrisana u Uslove korišćenja.
Od korisnika Instagrama i Fejsbuka je zatraženo da prihvate Uslove korišćenja klikom na dugme ispod obaveštenja o ažuriranju tog kontroverznog dokumenta. Ukoliko se korisnici ne bi složili sa tim, dalje korišćenje usluge bi bilo onemogućeno.
Irski nadzorni organ za primenu GDPR-a odlučio je da to u stvari znači da Meta vrši preveliki pritisak na svoje korisnike da daju saglasnost, što je u suprotnosti sa uslovima predviđenim u GDPR-u za pristanak, jedan od mogućih pravnih osnova. Naime, pristanak mora biti bezuslovan, što između ostalog znači da on ne može da zavisi od prihvatanja drugih usluga ili uslova. Ova odredba podrazumeva da se saglasnost za obradu podataka određene osobe ne može kombinovati sa prihvatanjem celokupnih uslova korišćenja.
Druga tačka gledišta
S druge strane, Meta je navela da se ne slaže sa odlukom DPC-a i da veruje da je poslovanje kompanije bilo u skladu sa GDPR-om imajući u vidu prirodu njihovih usluga. Meta tvrdi da je ciljani marketing neophodan i suštinski činilac njihove usluge i da su usluge društvenih medija generalno prilagođene korisniku kao pojedincu.
Mišljenja je da je izvršenje ugovora validan pravni osnov u ovom slučaju jer bi bilo nemoguće da njihove platforme rade bez korišćenja prikupljenih podataka u svrhu oglašavanja.
Takođe, Meta ističe kako se pojedini regulatori čak i među sobom nisu složili povodom ovog pitanja do konačne odluke DPC-a, te smatra da je nepravedno da bude kritikovana zbog svog pristupa.
Novi pokušaj zaobilaženja propisa?
Od 5. aprila 2023. godine, Meta je promenila pravni osnov koji je koristila za obradu određenih korisničkih podataka u Evropi sa „neophodno za izvršenje ugovora“ u „legitimne interese“. Međutim, može biti da je ovo slučaj zamene jedne nezakonite opcije sa drugom nezakonitom opcijom i novi pokušaj Mete da zaobiđe pravila.
Legitimni interes kao pravni osnov takođe postavlja svoje uslove koje je potrebno ispuniti. Istina je da rukovalac podacima o ličnosti, subjekat koji određuje u koje svrhe i na koji način će se lični podaci obrađivati, može zasnovati obradu podataka na jednom od svojih legitimnih interesa, ali ne i ako nad tim interesom pretežu interesi ili osnovna prava i slobode ljudi čiji se lični podaci koriste.
Neprofitna organizacija NOYB, koja je podnela žalbe zbog kojih je Meta kažnjena prethodno pomenutim kaznama, najavila je da će takođe preduzeti pravne radnje da spreči kompaniju Meta da koristi ovaj pravni osnov i da Meta mora da ima opt-in pristup (da/ne pitanje), koji zahteva aktivnu ulogu korisnika kada se odriču svog osnovnog prava na privatnost.
Moglo je biti gore
Čak i ako zvuči nestvarno, izrečena kazna za prikazivanje bihejvioralnih oglasa na Fejsbuku i Instagramu je mogla biti veća za nekoliko milijardi dolara. Evropski odbor za zaštitu podataka (EOZP) dao je uputstva DPC-u povodom obračuna kazne. Da je DPC primenio ove instrukcije, kazna za Metu bi mogla da bude maksimalna moguća prema GDPR-u, što iznosi 4% ukupnog globalnog prometa firme u prethodnoj fiskalnoj godini (oko 4 milijarde evra u ovom slučaju!).
Lista provere ukoliko prikupljate i obrađujete podatke o ličnosti
Na osnovu slučaja Mete, jasno je da posledice nepoštovanja GDPR-a mogu biti katastrofalne. Bez obzira da li imate veb-sajt, platformu ili aplikaciju, ako obrađujete lične podatke i obavljate marketinške aktivnosti, ova pravila se primenjuju na Vas i trebalo bi da preduzmete potrebne mere da Vaše poslovanje bude u skladu sa GDPR-om i relevantnim normama o zaštiti podataka o ličnosti.
Pre nego što pređete na prikupljanje i obradu ličnih podataka, morate da razmislite o sledećim koracima:
- Odmerite koji su Vam podaci zaista potrebni. Prikupljanje, čuvanje i obrada podataka koji nisu stvarno neophodni za Vaše poslovanje je samo finansijski i tehnički teret za koji će takođe biti teško pronaći valjan pravni osnov.
- Razmislite o svrsi – Zašto je potrebno da obrađujete određene informacije? Ovo će vas pripremiti za sledeći korak.
- Odredite pravni osnov – Zakonitost obrade podataka zavisi od činjenice da li ste odabrali jednu od 6 ranije pomenutih opcija u ovom tekstu.
- Proverite da li su ispunjeni svi zahtevi i uslovi predviđeni za određeni pravni osnov, u zavisnosti od pravnog osnova koji ste izabrali u prethodnom koraku.
- Obavestite korisnike svojih usluga na transparentan, jednostavan i jasan način o tome koje podatke obrađujete, u koje svrhe, koji je osnov obrade i koliko dugo čuvate te podatke, zajedno sa svim ostalim potrebnim informacijama.
Čak i ako dolazite iz zemlje van Evropske unije, to ne znači da dobijate besplatnu propusnicu. Mnoga nacionalna zakonodavstva su preuzela odredbe GDPR-a, i unela ih u svoje nacionalne zakone, uključujući srpski Zakon o zaštiti podataka o ličnosti.
Osim toga, svi rukovaoci podacima o ličnosti treba da budu svesni eksteritorijalnog dejstva GDPR-a, što znači da se njegove odredbe mogu primeniti i na fizička i pravna lica koja nisu iz Evropske Unije. Na primer, čak i ako samo nudite robu ili usluge pojedincima čiji se podaci obrađuju u EU, možete biti podvrgnuti odredbama GDPR-a, a potencijalno i višemilionskim kaznama, u slučaju da se ne pridržavate Opšte uredbe o zaštiti podataka o ličnosti.
Ako mislite da su troškovi usklađivanja sa GDPR-om preskupi, razmislite ponovo, jer oni sigurno nisu ni blizu iznosu od 4% globalnog godišnjeg prihoda Vaše firme.