Meta’nın Avrupa’daki temel reklamcılık iş modelinin yasallığını hedef alan büyük gizlilik şikayetleri, nihayet AB’nin Genel Veri Koruma Yönetmeliği’ne (GDPR) uygun bir ihtilaf çözüm mekanizması aracılığıyla çözüme kavuşturuldu.
Mayıs 2018’e kadar uzanan şikayetler, teknoloji devinin davranışsal reklamcılık için profiller oluşturmak üzere kişisel verilerini işleyerek kullanıcıları izlemeye ve hedeflemeye devam etmek için sözde “zorla izin” vermesini hedefliyor, böylece sonuç Meta’nın nasıl yapılacağı konusunda büyük sonuçlar doğurabilir. düzenleyicilerin şirkete uygulamalarını değiştirmesini emretmesi durumunda çalışır.
GDPR ayrıca büyük ihlaller için küresel yıllık cironun %4’üne kadar büyük para cezalarına izin verir.
GDPR için bir yönlendirme organı olan Avrupa Veri Koruma Kurulu (EDPB), bugün onaylandı Meta platformları Facebook, Instagram ve WhatsApp’a yönelik üç şikayette üç bağlayıcı karara adım attı.
Üç şikayet Avrupa gizlilik kampanyası grubu tarafından yapıldı. noyb, GDPR AB genelinde uygulamaya girer girmez. Yani sadece bu noktaya gelmek yaklaşık 4,5 yıl sürdü.
AB’nin amiral gemisi veri koruma yönetmeliği, teknoloji devlerine yönelik büyük sınır ötesi şikayetler üzerindeki yavaş uygulama hızı nedeniyle çok eleştirildi ve bu stratejik şikayetler yığını, bu şikayetler için bir avuç poster çocuğundan biri. Ancak kararlar nihayet görüş alanında olsa da çekişme devam edebilir – çünkü Meta herhangi bir uygulamaya karşı hem İrlanda mahkemelerinde hem de AB yargısı önünde itirazda bulunabilir (EDPB’nin bağlayıcı kararları söz konusu olduğunda), potansiyel olarak herhangi bir düzeltici emri askıya alabilir. temyizlerinin sonucunu beklemektedir.
Tam olarak neye karar verildi? EDPB bunu henüz açıklamıyor. Takip ettiği protokol, bağlayıcı kararlarını Meta’nın AB’deki lider gizlilik düzenleyicisi olan İrlanda Veri Koruma Komisyonu’na (DPC) ilettiği ve vereceği nihai kararlarda bunları uygulaması gerektiği anlamına gelir.
DPC’nin artık nihai kararları vermesi ve mali cezaları onaylaması için bir ayı var. Bu yüzden, tüm kanlı detayları gelecek yılın başlarına kadar almalıyız.
bu Wall Street Gazetesi nelerin geleceğine dair bir fikir sunabilir: Meta’nın reklam modelinin AB’de kısıtlamalarla karşı karşıya kalacağı bildiriliyor — “duruma aşina olan insanlar”a atıfta bulunuluyor.
Ayrıca, şirketin GDPR’yi ihlal ettiği için “önemli” para cezalarıyla karşı karşıya kalacağını bildiriyor.
WSJ, “Kurulun Pazartesi günü henüz kamuya açıklanmayan kararları, doğrudan Meta’ya uygulamalarını değiştirme emri vermiyor, bunun yerine İrlanda Veri Koruma Komisyonu’na önemli para cezalarıyla birlikte kararlarını yansıtan kamu emirleri yayınlaması çağrısında bulunuyor” diye yazdı. , (isimsiz) kaynaklara atıfta bulunarak.
WSJ’nin raporunu kapsayan, Reuters gelişmenin ardından Meta hisselerinin sabah ticaretinde %5,3 düştüğünü kaydetti.
EDPB sözcüsü, aldığı bağlayıcı kararların özü hakkında yorum yapamayacağını doğruladı.
“Sanat uyarınca. 65 (5) GDPR, İrlanda DPC denetleyiciye nihai kararlarını bildirene kadar kararların içeriği hakkında yorum yapamayız,” dedi TechCrunch’a. “Belirttiğimiz gibi basın bülteniEDPB, bir sözleşmenin ifası için kişisel verilerin işlenmesinin davranışsal reklamcılık için uygun bir yasal dayanak olup olmadığını inceledi, ancak şu anda EDPB’nin bu konudaki kararının ne olduğunu doğrulayamıyoruz.”
DPC ayrıca gazetenin raporu hakkında yorum yapmayı reddetti – ancak komiser yardımcısı Graham Doyle, Ocak ayı başlarında bu şikayetlerle ilgili bağlayıcı kararları açıklayacağını bize doğruladı.
Gelişmeye yanıt vermesi için Meta’ya da ulaştık.
şirket yakın zamanda görüldü 2022 ve 2023’teki veri koruma cezaları için 3 milyar Euro’luk bir dosyalama ayarında – büyük bir kısmı henüz inmedi.
Meta için bu yıl şimdiye kadar GDPR cezaları arasında geçen ay bir Facebook veri kazıma ihlali için 265 milyon avroluk bir ceza; Eylül ayında Instagram’ın çocukların mahremiyetini ihlal etmesi için 405 milyon avro; ve Mart ayında gerçekleşen çeşitli 2018 Facebook veri ihlalleri için 17 milyon avro – artı Fransa’nın veri koruma bekçisi, Meta’yı Ocak ayında AB’nin eGizlilik Direktifi’nin Facebook çerez onayı ihlalleri nedeniyle 60 milyon avroluk bir cezayla vurdu – kamuya açıklanan AB veri korumasında toplam 747 milyon avro ve mahremiyet cezaları… bu nedenle, başvurusuna göre teknoloji devi, 2023’ün Avrupa işi için çok daha pahalı olmasını bekliyor gibi görünüyor.
Açık olan bir şey var: Şirket için tehlikede olan çok şey var.
EDPB’nin basın açıklamasının da onayladığı gibi, kararları “uzlaşma[s]diğerlerinin yanı sıra, bir sözleşmenin ifası için kişisel verilerin işlenmesinin, Facebook ve Instagram söz konusu olduğunda davranışsal reklamcılık için ve WhatsApp durumunda hizmet iyileştirme için uygun bir yasal dayanak olup olmadığı sorusu”.
Yani, neye karar verildiğine bağlı olarak, Meta sonunda zorlanabilir. sormak kullanıcılar takip edilmek istiyorlarsa – bu, reklam teknolojisi devinin şu anda reddettiği bir seçimdir. Facebook ve Instagram’da ya profil oluşturmayı ve hedeflenmeyi kabul edersiniz ya da size hizmet verilmez.
Meta, kullanıcılara “kişiselleştirilmiş” reklamlar isteyip istemediklerini sormak zorunda kalırsa (gözetleme reklamları için tercih ettiği örtmece), bu kesinlikle büyük bir haberdir – web kullanıcılarına hedefli reklamlar yerine gerçekten bir seçenek sunulduğunda reddedilme oranları genellikle çok yüksektir. (Örneğin, üçüncü taraf iOS uygulamaları için Apple’ın Uygulama İzleme Şeffaflığı ‘izleme isteği’ özelliğine bakın – bu yılın başlarında yayınlanan ve ABD tarafından kapsanan Adjust verilerine göre retlerin yaklaşık %75 oranında çalıştığı yer) medya gönderisi.)
Noyb’nin Meta hizmetlerine yönelik orijinal şikayetlerinin özü, kullanıcılara reklam için işlenmesini reddetme seçeneği sunulmamasıydı – GDPR’nin kişisel verilerin işlenmesi için yasal dayanak olması halinde, bunun belirli, bilgilendirilmiş ve özgürce verilmesi gerektiğini öngörmesine rağmen . (Paketlenmiş, manipüle edilmiş ve zorlanmış değil!)
Ancak – arsa dönüşü! — daha sonra, GDPR’nin uygulamaya girmesiyle Meta’nın, bu davranışsal reklam işlemenin yasal dayanağı olarak rıza göstermekten, bunun bir sözleşmenin yerine getirilmesi için gerekli olduğunu söylemeye ve Facebook ve Instagram kullanıcılarının bir sözleşme içinde olduğunu iddia etmeye sessizce geçtiği ortaya çıktı. hedefleme reklamları almak için Meta ile.
Bu argüman, Meta’nın temel hizmetinin sosyal ağ oluşturma olmadığını ima eder; davranışsal reklamcılıktır. noyb’nin onursal başkanı ve Facebook’un uzun süredir gizlilik yasası dikeni olan Max Schrems, bunu GDPR’yi atlamak için son derece utanmaz bir girişim olarak nitelendirdi.
İrlanda’nın DPC’sinin geçen yıl noyb tarafından yayınlanan şikayetlerle ilgili bir karar taslağı (DPC’yi üzecek kadar), İrlandalı düzenleyicinin Meta’nın izin bypass’ına itiraz etmeyi düşünmediğini ortaya çıkardı. Bununla birlikte, GDPR’nin sınır ötesi şikayetlerle ilgilenmek için tek noktadan hizmet alma mekanizması kapsamında bir baş denetçinin taslak kararına itirazda bulunabilen diğer AB DPA’ları itiraz etti ve bunu farklı AB düzenleyicileri bunu görmek için savurduğu için aylarca süren düzenleyici çekişmeler izledi. eğer anlaşabilirlerse.
Açıkçası, bu durumda, DPA’lar kendi aralarında fikir birliği bulamadı – bu nedenle EDPB şimdi bağlayıcı kararlarla devreye giriyor. Ve Kurulun kararı kesindir.
Noyb, bu gelişmeye yanıt vererek – ve WSJ’nin haberine atıfta bulunarak – şöyle yazıyor: basın bülteni EDPB’nin, DPC’nin çok alay konusu olan taslak kararını (aynı zamanda yalnızca 36 milyon dolarlık önemsiz bir para cezası önermişti) bozduğunu, kararın “Meta’nın kişisel verileri iddia edilen bir ‘sözleşmeye’ dayalı reklamlar için kullanmamasını gerektirdiğini” söyledi.
“Bu nedenle kullanıcıların bir evet/hayır onay seçeneğine sahip olması gerekecek” dedi – sonucu “kazanan” olarak nitelendirdi (EDPB tarafından talep edildiğini söylediği “önemli” para cezasının tam boyutunu bilmeden bile).
Hedeflemenin görüntülenen sayfanın içeriğine dayalı olduğu bağlamsal reklamlar gibi Meta’nın diğer reklam biçimleri, EDPB’nin kararında yasaklanmamıştır, bu kararın yine de Meta’nın AB’deki kârını “dramatik” şekilde sınırlayacağını öngörmektedir.
Schrems yaptığı açıklamada, “Kişiselleştirilmiş reklamlar için evet/hayır seçeneğine sahip olmak yerine, [Meta] az önce şartlar ve koşullardaki izin maddesini taşıdım. Bu sadece haksız değil, aynı zamanda açıkça yasa dışıdır. GDPR’yi bu kadar kibirli bir şekilde görmezden gelmeye çalışan başka bir şirketin farkında değiliz.”
“Bu, Meta’nın AB’deki kârına büyük bir darbe” diye ekledi. “Artık insanlara verilerinin reklamlar için kullanılmasını isteyip istemediklerinin sorulması gerekiyor. Cevapları ‘evet’ veya ‘hayır’ olmalıdır ve her an fikirlerini değiştirebilirler. Karar, katılım onayı alması gereken diğer reklamverenlerle eşit koşullar sağlıyor.”
noyb’nin geliştirmeyi ele alışı, temel iş modeline yapılan bu GDPR darbesine karşı herhangi bir Meta temyiz olasılığına soğuk su döküyor – nihai kararlar EDPB tarafından verildiği için şirketin böyle bir temyizi kazanma şansını “asgari” olarak nitelendiriyor. , GDPR’nin blok genelinde uyumlu bir şekilde uygulanmasını sağlamaktan (örneğin, kuralların pratikte nasıl uygulanması gerektiğine dair rehberlik sağlayarak) sorumlu bir uzman kuruluş.
Ayrıca, Meta’nın rızasını devre dışı bırakma konusunda AB Adalet Divanı’nın (CJEU) önünde olan iki benzer davaya işaret ediyor – bu davaların “sorunu ve tüm temyizleri sonsuza dek çözebileceğini” öne sürüyor.
noyb ayrıca Meta’nın, “verilerinin son 4,5 yıldır yasa dışı kullanımı nedeniyle” kullanıcılardan yasal işlem görebileceğini öne sürüyor.
Meta, halihazırda Avrupa’da bir dizi toplu gizlilik gerekçesi davasıyla karşı karşıya. Daha fazla GDPR uygulaması, dava fon sağlayıcıları zafer kokusu aldıkça tazminat talepleri için yalnızca daha fazla ivme kazanacaktır.