На 12 януари 2023 г. Европейският комитет по защита на данните (ЕКЗД) публикува прессъобщение, озаглавено „Решенията относно Facebook и Instagram. Важно въздействие върху използването на лични данни за целите на поведенческата реклама”. В него се съобщава за приетите от Ирландския надзорен орган по защита на личните данни решения относно Facebook и Instagram (Meta Platforms Ireland Limited, „Meta IE”), които са резултат от базирани на жалби разследвания на Facebook и Instagram по отношение на законосъобразността и прозрачността на обработването на лични данни за целите на поведенческата реклама.
Окончателните решения на Ирландския надзорен орган от 31 декември 2022 г. включват правната оценка, изразена от Европейския комитет по защита на данните в неговите решения със задължителен характер от 5 декември 2022 г. Те бяха приети въз основа на чл. 65(1)(a) от Общия регламент относно защитата на данните (ОРЗД, GDPR), след като Ирландският надзорен орган в качеството му на водещ задейства две процедури за разрешаване на спорове във връзка с възражения, повдигнати от засегнати надзорни органи от десет държави. Засегнатите органи изразиха възражения относно правното основание за обработка (чл. 6 от ОРЗД), принципите за защита на данните (чл. 5 от ОРЗД) и използването на корективни мерки, включително глоби.
Председателят на ЕКЗД Андреа Йелинек заявява: „Решенията със задължителен характер на ЕКЗД изясняват, че Meta неправомерно е обработвала лични данни за поведенческа реклама. Такава реклама не е необходима за изпълнението на предполагаем договор с потребители на Facebook и Instagram. Тези решения могат също да окажат важно въздействие върху други платформи, които имат поведенчески реклами в центъра на своя бизнес модел.”
Според решението на ЕКЗД, в контекста на Условията за ползване на Facebook и на Instagram, Meta IE неправомерно разчита на договор като правно основание за обработване на лични данни за целите на поведенческата реклама, тъй като това не е основен елемент на услугите. ЕКЗД установява, че и в двата случая Meta IE не разполага с правно основание за тази обработка и следователно неправомерно е обработила тези данни. В резултат на това ЕКЗД инструктира Ирландския надзорен орган да промени констатацията в проекторешенията си и да включи нарушение на чл. 6, параграф 1 от ОРЗД, както и да включи в окончателните си решения разпореждане Meta IE да приведе обработването на лични данни за поведенческа реклама в контекста на услугите Facebook и Instagram в съответствие с чл. 6, параграф 1 от ОРЗД в рамките на три месеца.
В своето прессъобшение ЕКЗД информира, че е проверил дали жалбите са били разгледани с необходимото внимание. Жалбоподателят посочва факта, че чувствителни данни се обработват от Meta IE. Въпреки това Ирландският орган не е оценил обработването на чувствителни данни и следователно ЕКЗД не е разполагал с достатъчно фактически доказателства, които да му позволят да направи констатации относно евентуално нарушение на задълженията на администратора по чл. 9 от ОРЗД. В резултат на това ЕКЗД не е съгласен с предложеното заключение на Ирландския орган, че Meta IE не е законово задължена да разчита на съгласие за извършване на дейностите по обработване, включени в предоставянето на нейните услуги Facebook и Instagram, тъй като това не може да бъде категорично заключено без допълнително разследвания. Поради това ЕКЗД разпорежда на Ирландския орган да проведе ново разследване.
Освен това ЕКЗД инструктира в двете окончателни решения да бъде включена констатация за нарушение на принципа за добросъвестност и да се предприемат подходящи корективни мерки. Комитетът отбелязава, че сериозните нарушения на задълженията за прозрачност са повлияли на разумните очаквания на потребителите, че Meta IE е представила услугите си на потребителите по подвеждащ начин и че връзката между Meta IE и потребителите е била дисбалансирана.
По отношение на административните глоби ЕКЗД нaрежда на Ирландския надзорен орган да наложи административна глоба за допълнителните нарушения на член 6, параграф 1 от ОРЗД (липса на правно основание за обработката на лични данни) и да наложи значително по-високи глоби за установени нарушения относно прозрачността, тъй като установи, че предложените глоби не отговарят на изискването да бъдат ефективни, пропорционални и възпиращи. Това доведе до значително увеличаване на глобите в окончателните решения на Ирландския надзорен орган от максимум 36 и 23 милиона евро за проекторешенията за Facebook и Instagram, съответно до 210 милиона и 180 милиона евро в окончателните решения.
Окончателните решения, взети от Ирландския надзорен орган, са налични в Регистъра за решения, взети от надзорни органи и съдилища по въпроси, разглеждани в механизма за съгласуваност.
На 5 декември 2022 г. ЕКЗД прие и друго решение със задължителен характер относно спор, свързан с WhatsApp Ireland Limited. Окончателното решение на Ирландския надзорен орган все още не е прието.
