Adtech devi Meta’nın, bloğun kapsamlı veri koruma yasalarına rağmen Avrupa’daki Facebook ve Instagram kullanıcılarını izlemeye ve profillerini çıkarmaya devam etme teklifi, gizlilik hakları savunucusu grup tarafından ikinci bir zorlukla karşı karşıya kalıyor noyb. Avusturya veri koruma makamına sunulan ve şirketin, kullanıcıların izleme reklamlarına yönelik onaylarını geri çekmesini kabul etmekten çok daha zor hale getiren bir seçim çerçeveleyerek AB yasalarını ihlal ettiğini iddia eden yeni bir şikayeti destekliyor.
Aklınızı geçen yıla geri döndürdüğünüzde, Meta’ya karşı (Ocak ve Temmuz aylarında) alınan birkaç önemli gizlilik kararının, daha önce Avrupalıların verilerini reklam hedefleme için işlemek için iddia ettiği yasal dayanakları – kelimenin tam anlamıyla yıllar süren gizlilik kampanyalarından sonra – geçersiz kıldığını hatırlayacaksınız. şikayetler.
Ardından geçen sonbaharda Meta’nın takip için izin esasına geçileceği yönündeki iddiası geldi. Ancak çerçevelediği seçim, takip edilmek ve profil oluşturmak istemeyen kullanıcıların, ürünlerinin reklamsız sürümlerine erişmek için aylık abonelikler için ödeme yapmasını gerektiriyor. Hizmetlere ücretsiz erişime devam etmek isteyen Facebook ve Instagram kullanıcılarının, izleme işlemine “izin vermeleri” gerekiyor; Meta bunun, bloğun Genel Veri Koruma Yönetmeliği (GDPR) uyarınca geçerli bir izin olduğunu iddia ediyor. Ancak elbette Noyb ve onu destekleyen şikayetçiler aynı fikirde değil.
Noyb’un Meta’nın onay sürümüne karşı geçen Kasım ayında Avusturya DPA’ya sunduğu önceki şikayeti, Meta’nın takip edilmemek için kullanıcılardan ne kadar ücret aldığına odaklanıyordu; başlangıç maliyeti web’de 9,99 Euro/ay veya mobilde bağlantı başına 12,99 Euro’ydu. Şirketin kullanıcı başına ne kadar değer elde ettiğiyle “orantının çok dışında” olduğunu savunan bu ikinci şikayet, Meta’nın kullanıcıların düzenleme kapsamında takip iznini geri çekmesini ne kadar kolaylaştırdığını (veya daha doğrusu kolay olmadığını) ele alıyor.
Meta’nın tasarladığı senaryoda iznin geri çekilmesi, kullanıcıların aylık aboneliğe kaydolmasını gerektiriyor. İzlemeyi kabul etmek çocuk oyuncağı: Kullanıcıların yalnızca ‘tamam’ı tıklaması yeterli. Buradaki yasal sorun, GDPR’nin, iznin verilmesi kadar geri çekilmesinin de kolay olmasını gerektirmesidir. Yani Noyb’un takip şikayeti, Meta’nın gizliliklerini korumak için kullanıcılardan para talep etmesindeki doğal sürtüşmeyi hedef alıyor.
Bir basın bülteninde “Kullanıcılar takip edilmeye onay verdikten sonra bunu daha sonraki bir tarihte geri çekmenin kolay bir yolu yoktur” diye yazıyor. “Bu yasa dışı. GDPR’nin 7. Maddesi açıkça ‘izin vermek kadar geri çekilmenin de kolay olacağını’ belirtmesine rağmen, (tek tıklamayla) izni ‘geri çekmenin’ tek seçeneği 251,88 €’luk bir abonelik satın almaktır. Ayrıca şikayetçinin rızasını gerçekten iptal edebileceği sayfayı bulmak için birçok pencere ve banner arasında gezinmesi gerekiyordu.”
Bir açıklamada yorum yapan, veri koruma avukatı Massimiliano Gelmi noyb, ekledi: “Yasa açık, rızayı geri almak, ilk etapta vermek kadar kolay olmalı. İzni geri çekmek için yılda 251,88 Euro ödemenin, takibi kabul etmek için ‘Tamam’ düğmesine basmak kadar kolay olmadığı acı bir şekilde ortada.”
GDPR’nin onaylanan ihlallerine ilişkin cezalar, küresel yıllık cironun %4’üne kadar ölçeklenebilir; ancak hedefli reklamlar satmak için milyarlarca kullanıcısını takip edip profillerini çıkararak 2022’de 116,61 milyar dolar elde eden Meta’nın, AB düzenleyicilerinin bu konuda endişe duyması daha muhtemel. sonunda onu kullanıcılara takibini reddetme konusunda gerçekten özgür bir seçenek sunmaya zorluyor, bu da bölgesel takip reklamları işini diz çöktürebilir. Geçen yıl şirket, küresel reklam gelirinin yaklaşık %10’unun AB’deki kullanıcılardan geldiğini öne sürmüştü.
Bir Avusturya DPA tarafından geçen ay yayınlanan SSSÇerezler ve veri koruma konusuyla ilgili olarak, bazen rıza ücreti olarak adlandırılan “öde ya da tamam” şeklindeki tartışmalı konuyu tartışıyor. İçinde DPA yazıyor [in German; English translations here are generated with AI] bir web sitesine erişim için ödeme yapılması “olabilmek rızaya bir alternatif temsil ediyor” – vurgu öyle – ancak rızanın spesifik olması (yani paketlenmemiş olması da dahil olmak üzere) GDPR’ye tam olarak uyulması şartıyla buna izin verildiğini söylüyor; şirketin piyasada tekel veya “yarı-tekel” konumunun bulunmadığı; ve ödeme alternatifinin fiyatının “uygun ve adil” olması ve “proforma olarak tamamen gerçek dışı yüksek bir fiyatla” teklif edilmemesi“, söylediği gibi.
Ancak DPA, Avrupa Birliği’nin yüksek mahkemesinin “öde ya da tamam” konusunda henüz bir içtihatı olmadığını da belirtiyor; dolayısıyla SSS’nin “mevcut görüşünü” temsil ettiği konusunda uyarıda bulunuyor. Ve pek çok gizlilik uzmanı, sorunun en sonunda ABAD’a sevk yoluyla çözülmesi gerektiğini düşünüyor.
Bu arada, AB DPA’ları ile Meta’ya karşı yapılan GDPR şikayetleri genellikle, düzenlemenin tek noktadan hizmet (OSS) mekanizması kapsamında şirketin baş veri denetçisi olan İrlanda Veri Koruma Komisyonu’na (DPC) yönlendiriliyor. Bu, Noyb’un Meta’nın ‘öde ya da tamam’ taktiğine yönelik şikayetlerinin muhtemelen er ya da geç Dublin’deki bir masada sonuçlanacağı anlamına geliyor. Aslında İrlandalı düzenleyici, şirketin geçen yaz bu fikri ortaya atmasından bu yana Meta’nın yaklaşımını gözden geçirdiğini iddia etti.
DPC, Meta’nın onay verme yaklaşımına ilişkin incelemesini resmi bir soruşturma temeline kaydırırsa, taktiğe ilişkin nihai düzenleyici karardan önce, yine de yıllar süren bir soruşturma gerekebilir; Meta’nın reklamlara yönelik yasal dayanağına karşı başka bir noyb şikayetinde olduğu gibi; Mayıs 2018’de başvuruda bulunuldu ancak Ocak 2023’e kadar karar verilmedi (bu karar şu anda İrlanda’da Meta tarafından yasal olarak temyiz aşamasındadır).
Bu durumda, sonunda İrlanda’dan çıkan karar aslında DPC’nin, AB düzenleyicileri arasındaki anlaşmazlıkları çözmek için devreye girmek zorunda kalan Avrupa Veri Koruma Kurulu’nun (EDPB) talimatı üzerine hareket etmesiydi. Bu nedenle, diğer DPA’lar meseleyi kendi ellerine almaya karar vermedikçe, Meta’nın rıza oyununa hızlı bir gizlilik kısıtlaması getirilmesi pek mümkün görünmüyor.
Kağıt üzerinde bunu yapabilirler. Sınır ötesi işlemeyle ilgili şikayetlerle ilgilenmek üzere bir lider otoritenin atanmasına yol açabilecek OSS mekanizmasının GDPR’sinde mevcut olmasına rağmen, düzenleme, diğer DPA’ların kendi pazarlarındaki veri risklerini azaltmak için harekete geçmesine olanak tanıyan acil durum yetkileri içermektedir. Yerel kullanıcıları korumak için. Ayrıca, EDPB’den geçici eylemlerini kalıcı ve AB çapında hale getirmesini isteyerek yerel olarak uyguladıkları geçici önlemleri de takip edebilirler. geçen yıl oldu Norveç’in DPA’sı, Meta’nın reklamlara ilişkin yasal dayanağı konusunda EDPB’ye dilekçe verdiğinde. Ancak o zamana kadar Meta, iddia ettiği temeli rızaya kaydırmıştı, bu da düzenleyici müdahaleden kaçabileceği anlamına geliyordu. (Bu sadece geciken icranın icranın reddedildiğini gösterir.)
“ [Austrian] Yetkili makam, Meta’ya işleme faaliyetlerini Avrupa veri koruma kanununa uygun hale getirmesi ve kullanıcılara herhangi bir ücret ödemek zorunda kalmadan onaylarını geri çekmeleri için kolay bir yol sunması talimatını vermeli” diye yazıyor noyb, “daha fazla önlem almak için para cezası verilmesini talep ediyor” GDPR’nin ihlalleri”.
Noyb aynı zamanda bir aciliyet prosedürü başlatması için Avusturya DPA’ya dilekçe veriyor – güncel CJEU içtihadına atıfta bulunarak, DPA’ların bir aciliyet prosedürünü başlatıp başlatmayacağına karar verme konusundaki takdir yetkisinin “veri korumanın etkili bir şekilde korunmasını sağlama görevleri” ile sınırlı olduğunu öne sürüyor Haklar”. Bir noyb sözcüsü, “Dolayısıyla, belirli durumlarda (bizimki gibi) veri sahibinin acil prosedüre başvurma hakkı vardır” dedi.
Ancak şu ana kadar Avusturya otoritesinin acil durum önlemleri alma çağrısına direndiğini söylediler. “Avusturya DPA’sı bize şikayeti aldıklarını, acil prosedür hakkının bulunmadığını ve başka bir DPA’nın önde gelen denetim otoritesi olabileceğini söyledi. Ancak şikayet bildiğim kadarıyla henüz resmi olarak DPC’ye iletilmedi” diye ekledi noyb’un sözcüsü.
Tüm bu dolambaçlı mevzuat değişiklikleri ve dönüşleri devam ederken, Avrupa’daki Facebook ve Instagram kullanıcıları için sonuç, tüm bunlara paralel olarak, gizliliklerinin Mark Zuckerberg’in insafına kalmasıdır – baskın sosyal ağlarını kullanmayı tamamen bırakmadıkları sürece veya bırakana kadar. Yıllar süren gizlilik incelemesi ve yaptırımları sayesinde adtech devi, Avrupalıların kişisel verilerini sürekli olarak paraya çevirmeyi başardı; Yasal dayanaklarına itiraz edilmesine ve hatta birkaç ay boyunca geçersiz kılınmasına rağmen reklam hedefleme için işlenmesi ((ilk) sözleşmeden doğan gerekliliğin (ve ardından meşru menfaatlerin) reddedildiği ve Meta geçişi arasındaki aylarda olduğu gibi) alternatiflere (geçen yılın başlarında meşru menfaatler; şimdi rıza)).
Bununla birlikte, Meta’ya karşı mahremiyet konusunda dava açmak için daha fazla hamle görüyoruz – örneğin geçen yıl İspanya’daki yayıncıların mikro hedefleme kullanıcıları için yasal dayanak eksikliğinin haksız rekabete yol açtığını iddia eden yayıncılar tarafından ileri sürülen 600 milyon dolarlık rekabet tazminatı iddiası gibi, telafi edilmeleri gerekiyor – böylece reklam teknolojisi devi, eski veri koruma ihlalleri nedeniyle artan maliyetlerin yanı sıra, ihlal bulgularına yol açması halinde yeni gizlilik şikayetlerinden kaynaklanacak gelecekteki yaptırımlar olasılığı şeklinde bir hesaplaşmayla karşı karşıya kalabilir.
GDPR’nin kişisel verilerin işlenmesine ilişkin yalnızca sınırlı sayıda (altı) yasal dayanağa sahip olduğunu belirtmekte fayda var. Bazıları Meta gibi bir adtech devi için tamamen alakasızken, diğerleri düzenleyiciler ve CJEU tarafından reddedildi. Dolayısıyla reklamlar için kullanıcıları izleme ve profil oluşturma seçenekleri tek bir olasılığa kadar daraldı: Onay. Meta’nın bu seçimi nasıl çerçevelediği, gizlilik eyleminin şu anda nerede olduğudur.