Niezbędność przetwarzania do wykonania umowy a profilowanie behawioralne w celach marketingowych
Irlandzki organ ochrony danych (DPC) opublikował 11 stycznia 2023 r. decyzje dotyczące usług społecznościowych Meta Platforms Ireland Limited (platform Facebook i Instagram; dalej: „Meta”). Przedmiotem obu decyzji jest dopuszczalność przetwarzania danych osobowych użytkowników Facebooka i Instagrama przez Meta na potrzeby wyświetlania im reklam behawioralnych. Spółka uznawała bowiem, że wraz z zaakceptowaniem przez użytkownika warunków świadczenia usług doszło między Meta Ireland a użytkownikiem do zawarcia umowy, do której wykonania niezbędne było przetwarzanie jego danych obejmujące świadczenie spersonalizowanych usług i reklamę behawioralną. Ostatecznie spółka została ukarana przez DPC dwiema administracyjnymi karami pieniężnymi w wysokości 180 mln euro (decyzja dot. Instagrama) oraz 210 mln euro (decyzja dot. Facebooka). Dodatkowo organ nakazał Meta dostosować w ciągu 3 miesięcy operacje przetwarzania na Instagramie i Facebooku do przepisów RODO[1].
Analiza treści decyzji DPC
DPC przyjął obie decyzje w następstwie przyjęcia przez EROD wiążących decyzji, które kończyły spór pomiędzy DPC a innymi krajowymi organami nadzorczymi zaangażowanymi w sprawy. Zarówno DPC, jak i EROD, oceniając zgodność wyświetlania reklam behawioralnych użytkownikom IG oraz FB, skupiły się na analizie warunków korzystania z tych serwisów społecznościowych. Na podstawie tej analizy stwierdzono, że:
- Meta błędnie oparła legalność profilowania behawioralnego użytkowników Facebooka oraz Instagrama na przesłance niezbędności przetwarzania do wykonania umowy zawartej z podmiotem danych (art. 6 ust. 1 lit. b RODO);
- Meta naruszyła zasadę przejrzystości przetwarzania poprzez przekazanie użytkownikom Instagrama/Facebooka niejasnych informacji o przetwarzaniu danych, w tym obowiązek przejrzystej komunikacji administratora z podmiotem danych.
Badając prawidłowość wyboru podstaw przetwarzania danych przez Meta, podkreślono w pierwszej kolejności, że regulamin Facebooka/Instagrama nie przewiduje żadnego wiążącego Meta zobowiązania umownego do oferowania użytkownikom Facebooka spersonalizowanych reklam ani żadnej kary umownej w przypadku, gdy Meta tego nie uczyni, co wskazuje, że przynajmniej z perspektywy użytkownika Facebooka/Instagrama przetwarzanie to nie jest niezbędne do wykonania umowy. Zapewnienie spersonalizowanej reklamy użytkownikom może być zobowiązaniem pomiędzy Meta a konkretnymi reklamodawcami, którzy płacą za ukierunkowane wyświetlanie przez Meta ich reklam w serwisach społecznościowych spółki. Z tego względu DPC przyjął za EROD, że model biznesowy Meta, polegający na oferowaniu usług bez kosztów pieniężnych dla użytkownika i generowaniu przychodów poprzez reklamę behawioralną w celu wsparcia swojego serwisu Instagram, nie powoduje, że profilowanie behawioralne jest niezbędne do wykonania umowy z użytkownikiem. Artykuł 6 ust. 1 lit. b RODO nie obejmuje przetwarzania, które jest przydatne administratorowi, ale nie jest obiektywnie konieczne do wykonania przedmiotu umowy, nawet jeśli jest niezbędne do innych celów biznesowych administratora danych. Zdaniem organów dokonanie oceny tego, co jest „niezbędne” do wykonania umowy w rozumieniu art 6 ust. 1 lit. b RODO, obejmuje połączoną, opartą na faktach ocenę przetwarzania „dla osiągnięcia zamierzonego celu oraz tego, czy jest ono mniej inwazyjne w porównaniu z innymi opcjami osiągnięcia tego samego celu”. Jeżeli istnieją realistyczne, mniej inwazyjne alternatywy, przetwarzanie nie jest „konieczne”. Biorąc powyższe pod uwagę, EROD oraz DPC uznały, że profilowanie behawioralne użytkowników Facebooka i Instagrama nie jest niezbędne do świadczenia im usług. Zauważamy, że nie jest to nowe stanowisko. W wytycznych EROD nr 2/2019 wprost wskazano, że personalizacja usług przez internetowe platformy handlowe nie jest obiektywnie niezbędna do wykonywania usług online lub zawierania umów w środowisku cyfrowym[2].
Przechodząc do oceny prawidłowości spełnienia obowiązków informacyjnych wobec użytkowników Instagrama oraz Facebooka, organy zauważyły, że podejście warstwowe do spełnienia obowiązku informacyjnego przyjęte przez Meta naruszało obowiązek przejrzystej komunikacji z podmiotem danych. Zdaniem DPC spełnienie obowiązku informacyjnego nie zawsze jest gwarancją realizacji art. 12 ust. 1 RODO. Informacje dostarczone podmiotom danych przez Meta były chaotyczne i ogólne (wręcz przeglądowe). Język treści dotyczących przetwarzania danych nie był jasny ani łatwy do zrozumienia, ponieważ odnosił się do abstrakcyjnych celów i zadań, bez powiązania z konkretnymi kategoriami danych osobowych lub operacjami na danych, które są wykonywane przez Meta. Użytkownik Instagrama na podstawie informacji Meta dotyczących przetwarzania danych nie jest w stanie określić z jakąkolwiek dokładnością podstaw prawnych dla przedstawionych mu procesów przetwarzania oraz ich celów przetwarzania. Wiele podanych przez Meta informacji ma charakter raczej ilustracyjny niż konkretny, o czym świadczy m.in. posługiwanie się zwrotem „takie jak” w informacjach dotyczących przetwarzania. Braki w informacjach o przetwarzaniu danych przeznaczonych dla użytkowników Instagrama i Facebooka powodowały, że podmiot danych mógł, zdaniem organów, odnosić wrażenie, że odpowiednie przetwarzanie (w tym odpowiednie operacje przetwarzania i/lub zestaw operacji przetwarzania) było oparte na zgodzie, tak jak miało to miejsce przed rozpoczęciem stosowania RODO.
Praktyczny wymiar decyzji ws. Facebooka oraz Instagrama
- Mając na uwadze wnioski z decyzji DPC ws. Facebooka/Instagrama, podmioty, które do tej pory opierały profilowanie behawioralne użytkowników swoich usług na podstawie niezbędności takiego przetwarzania do wykonania umowy, powinny niezwłocznie ocenić, jaka inna podstawa prawna z art. 6 RODO zapewni im legalność takiego przetwarzania.
Komentowane przez nas decyzje podkreślają także, jak ważne jest jasne i zrozumiałe informowanie podmiotów danych o sposobie przetwarzania ich danych na potrzeby reklamy behawioralnej. Obowiązek informacyjny, poza treściami określonymi w art. 13/14 RODO, musi mieć również jasną i przejrzystą strukturę i styl.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2] Wytyczne EROD nr 2/2019 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b) rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) w kontekście świadczenia usług online na rzecz osób, których dane dotyczą, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_pl (dostęp: 24.01.2023).