Ochrana osobních údajů se stává stále závažnějším tématem v digitálním světě, což dokazuje nedávný případ společnosti Meta Ireland Limited (Meta IE), irské pobočky firmy Meta Platforms, Inc. (dříve Facebook, Inc.). V říjnu 2023 Evropský sbor pro ochranu osobních údajů (EDPB) nařídil irskému úřadu pro ochranu údajů (DPC) přijmout opatření proti Meta IE kvůli jejich způsobu zpracování osobních údajů, zejména v oblasti behaviorálního marketingu.
Tento krok reflektuje rostoucí důraz Evropské unie na dodržování pravidel GDPR a ukazuje na vážnost, s jakou EU přistupuje k ochraně osobních údajů svých občanů. Přečtěte si více o tomto důležitém případu, který odhaluje klíčové otázky ochrany dat v moderním digitálním prostředí.
Rozhodnutí Evropského sboru pro ochranu osobních údajů (EDPB)
Dne 27. října 2023 vydal Evropský sbor pro ochranu osobních údajů (EDPB) závazné rozhodnutí, kterým uložil irskému orgánu pro ochranu údajů (DPC) povinnost přijmout konečná opatření týkající se společnosti Meta Ireland Limited (Meta IE). Počátkem listopadu o tom informoval Úřad pro ochranu osobních údajů na svém webu.
Co je Meta IE
Meta IE je irská pobočka globální společnosti Meta Platforms, Inc. (dříve Facebook, Inc.). Pod společnost Meta nyní spadají nejznámější sociální platformy jako je Facebook, Instagram, WhatsApp či Messenger.
Meta IE má klíčovou roli v rámci celé korporace Meta a mezi její hlavní úkoly spadá správa dat a ochrana osobních údajů pro uživatele v Evropském hospodářském prostoru.
Problematický behaviorální marketing společnosti Meta
Společnost Meta využívala osobní údaje svých uživatelů pro cílenou reklamu (tzv. behaviorální marketing). To se nelíbilo nejprve Norsku, které sice nepatří do Evropské Unie, ale je členem Evropského hospodářského prostoru (EHP). Norský úřad pro ochranu osobních údajů společnosti Meta využívání osobních údajů zakázal a požádal o rozšíření zákazu na celý EHP.
Evropský sbor pro ochranu osobních údajů tak následně vydal závazné rozhodnutí, kterým nakázal irskému úřadu pro ochranu osobních údajů, aby zjednal nápravu a zpracování osobních údajů pro potřeby behaviorální reklamy zakázal.
A co na to Meta?
Pochopitelně se předestřenému zákazu brání a snaží se najít legální cestičku, jak cílenou reklamu i nadále využívat, neboť právě reklamy jsou pro fungování sociálních sítí stěžejní.
Nutno poznamenat, že tento spor se táhne již od roku 2018, přičemž nejprve kontrolní orgány shledaly, že je v pořádku, když společnost Meta přidá do svých podmínek využívání sociálních sítí odstavec o využití personalizované reklamy. Následně však příslušné orgány toto obcházení GDPR vyhodnotily jako nezákonné.
Na konci roku 2023, aby Meta vyhověla evropským standardům, nabídla uživatelům placenou verzi Facebooku a Instagramu bez reklam. Uživatelé, kteří si připlatit odmítnou, se budou muset smířit s personalizovanou reklamou. Jinými slovy – buď uživatel zaplatí, nebo bude muset udělit souhlas se zpracováním osobních údajů pro účely reklamy. Zda bude toto opatření ze strany Mety stačit, však není jisté a v této oblasti tak můžeme očekávat další spory.
Rekordní pokuta 1,2 miliardy EUR
Společnost Meta IE má s porušováním principů ochrany osobních údajů dlouhodobý problém. V květnu roku 2023 jí například byla udělena pokuta v rekordní výši 1,2 miliardy eur (přes 28 miliard Kč). Informoval o tom Úřad pro ochranu osobních údajů na svém webu.
Dle Evropského sboru pro ochranu osobních údajů se Meta IE provinila tím, že předávala osobní údaje uživatelů sociální sítě Facebook do USA.
Předsedkyně EDPB Andrea Jelinek odůvodnila rozhodnutí takto: „Evropský sbor pro ochranu osobních údajů zjistil, že porušení obecného nařízení společností Meta IE je velmi závažné, protože se týká převodů, které jsou systematické, opakující se a nepřetržité. Facebook má v Evropě miliony uživatelů, takže objem přenesených osobních údajů je masivní. Bezprecedentní pokuta je tak jasným signálem pro organizace, že závažná porušení mají dalekosáhlé důsledky.“
Byť se spor se společností Meta vleče již pátým rokem, je zřejmé, že Evropská Unie bere ochranu osobních údajů Evropanů vážně a porušování GDPR fakticky trestá.
