Pénzbírsággal indul az év a Meta számára a Facebook és az Instagram adatkezelési gyakorlata miatt, az ír adatvédelmi testület (DPC) 390 millió eurót szabott ki a közösségi óriásnak egy négy éven át tartó, rendkívül elhúzódó vizsgálat eredményeként. Január közepén születik meg a döntés a WhatsApp platformmal kapcsolatban is egyező panaszokkal, ami további pénzbírságot helyez kilátásba.

Az adatvédelmi hatóság kimondta, hogy a technológiai vállalat 2018 óta megsértette az uniós adatvédelmi rendeletet (GDPR) azon gyakorlatával, ahogy a Facebookon és az Instagramon megjelenő hirdetések személyre szabásához olyan módon használ fel személyes adatokat, hogy a beleegyezésre lényegében rákényszeríti a felhasználókat. A Meta nyilatkozata szerint fellebbezni tervez, ami akár egy évekig tartó jogi procedúrát eredményezhet.

Az "elfogadod a szabályzatunkat vagy törlünk" opció nem felel meg a rendelet követelményeinek. A GDPR egyértelműen szabályozza, hogy a cégeknek meg kell indokolni minden egyes felhasználói adatról, milyen célból tárolják. A felhasználónak pedig külön-külön kell tudni nyilatkozni, hogy milyen adatai kezeléséhez járul hozzá. Kötelező a beleegyezés kérése a hozzájárulásnál, a profilalkotásnál, a külföldi adattovábbításnál és az emailes direkt marketingnél (eDM) külön-külön. Úgyhogy a vállalat a tárolt adatok listázása helyett inkább úgy döntött, hogy összevonja a beleegyezés kéréseket, és kényszeríti a felhasználóikat az eddig is kezelt adatok elfogadására vagy máskülönben nem használhatják a szolgáltatást.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A döntést az uniós adatvédelmi hatóságokat tömörítő Európai Adatvédelmi Testület (EDPB) decemberben hozta meg, miután hatályon kívül helyezte az ír DPC korábbi határozattervezetét, miszerint a Meta jogszerűen járt el, és arra kérte a hatóságot, hogy a döntés tartalmát tükröző végzést adjon ki. A büntetés mértékében is nehéz volt megegyezni, mivel az ír hatóság eredetileg 28-36 millió eurós összegre gondolt, ami a végleges határozatban kiszabott mérték mindössze 10 százaléka, de az EDPB ragaszkodott a magas összegű büntetéshez.

A NOYB nonprofit szervezet oldalán közzétett közlemény egyenesen úgy fogalmaz: a DPC összejátszott a Metával, és tíz bizalmas találkozó keretén belül arról egyeztettek, hogy a Meta miként használhat ki a jogi kiskapukat, aminek érdekében akár egyes irányelveket is hajlandóak lettek volna megváltoztatni.

Max Schrems adatvédelmi aktivista és jogász (aki korábban a Safe Harbor mechanizmust is megbuktatta) szerint összességében egyszerű jogi kérdés merült fel, de a DPC évekig húzta az eljárást, míg a többi uniós hatóság felül nem bírálta a döntését, ez már negyedik alkalommal történik meg.

A változtatások implementálására három hónapot kapott a vállalat. A döntés nem szabja ki, hogy a Metának pontosan milyen lépéseket kell tennie a hirdetési politikája megváltoztatásához, de arra kényszeríti, hogy a személyes adatokon alapuló hirdetések célzása előtt kérje ki az ügyfelek hozzájárulását. Ez ahhoz vezethet, hogy a felhasználók szélesebb rétege utasítaná el az adatai megosztását, többek közt a digitális előzményeikhez való hozzáférést, tehát hogy milyen böngészési szokásaik vannak mondjuk az Instagramon, vagy milyen típusú linkekre kattintanak a Facebook hírfolyamból, ez pedig mind-mind rengeteg pénzt ér a Meta számára. Dan Ives, a Wedbush Securities elemzője szerint az ítélet a cég teljes hirdetési bevételének 5-7 százalékát teszi kockára.

A GDPR-pert Schrems indította még 2018-ban, amikor a NOYB nonprofit szervezetén keresztül fordult a hatóságokhoz. Az aktivista indoklása szerint sok felhasználó egyáltalán nincs is tudatában, hogy ez a kényszerítés az adatvédelmi rendelet szerint a legtöbb esetben kifejezetten tilos, az így megszerzett adatkezelési hozzájárulás nem érvényes. A vállalatok csak azokat az adatokat használhatják fel, amelyek a szolgáltatás szempontjából szükségesek, és ezekhez a cégeknek nem is kell hozzájárulást kérni. Azonban a hirdetések személyre szabása a Facebook adatai alapján például nem tartozik közvetlenül a Facebook vagy Instagram fő szolgáltatásai közé, ezért erről a felhasználóktól külön beleegyezést kellene kérni - és az sem elegendő, ha ezt utólag ki lehet kapcsolni, de hozzájárulást nem kért a cég.

A büntetés is mutatja az Európa és az Egyesült Államok közti éles kontrasztot, hiszen az USA-ban nincsen hasonló szövetségi adatvédelmi törvény, és eddig csak egyes államok, például Kalifornia tettek kezdetleges lépéseket hasonló szabályozás kialakítására. De az ítélet eredményeként bevezetett bármilyen változtatás hatással lehet az Egyesült Államok felhasználóira is, mivel sok technológiai vállalat vezeti be végül globálisan is az európai szabályozásnak megfelelő szabályokat, minthogy egy régióra korlátozzon.

GDPR vs. Meta

Amellett, hogy a tavalyi év során piaci értéke jelentősen zuhant, a Meta számos ügyet elvesztett az uniós adatvédelmi rendelet megsértése miatt, mely trend láthatóan az újévvel is folytatódik. Az AtlasVPN friss jelentése szerint az uniós szakhatóságok tavaly 832 millió eurót szabtak ki a GDPR megsértéséért, ennek több mint 80 százalékát, 670 millió eurót a Meta fizetett meg. A Meta a mai napig összességében már körülbelül egymilliárd eurót fizetett ki a GDPR megsértéséért.

Az írek és a Meta korábbi összetűzései:

• 2021. szeptember: 225 millió euró a WhatsApp miatt, a szolgáltatás több ponton nem felelt meg az uniós adatkezelés-transzparencia előírásoknak. 
• 2022. március: 17 millió euró adatszivárgások miatt.
• 2022. szeptember: 405 millió euró az Instagramnak, amiért a szolgáltató éveken keresztül jogszerűtlenül kezelte fiatalkorúak személyes adatait. 
• 2022. november: 265 millió euró, 530 millió Facebook-felhasználó adatainak kiszivárgása miatt.