Zo strany nyob bol zverejnený (10/21) návrh rozhodnutia Írskeho úradu na ochranu osobných údajov (Úrad) v konaní sťažovateľky (zastúpenej nyob) proti Facebook Ireland Limited (Facebook) vo veci ochrany osobných údajov; nyob vystupoval aj v konaní Schrems II, ktoré položilo Privacy Shield.
Čoho sa konanie týka?
Možnosti spracúvať osobné údaje (okrem iného) na účely personalizovanej reklamy na právnom základe plnenia zmluvy (Terms of Service Facebooku). Teda bez súhlasu užívateľa.
Sťažovateľka
Sťažovateľka namieta, že jej osobné údaje na účely personalizovanej reklamy môže Facebook spracúvať len na základe jej súhlasu. Nie teda na právnom základe plnenia zmluvy, ako to tvrdí Facebook. Svoj názor odvodzuje aj z príručky EDPB (European Data Protection Board).
(Pozn. príručka EDPB 2/2019, odsek 52.: „Spracúvanie osobných údajov na účel behaviorálnej reklamy spravidla nie je nevyhnutné na plnenie zmluvy o poskytovaní on-line služieb. Za normálnych okolností by bolo ťažké tvrdiť, že zmluva nebola splnená z dôvodu neexistencie behaviorálnej reklamy. Podporuje to aj skutočnosť, že dotknuté osoby majú podľa článku 21 absolútne právo namietať proti spracúvaniu svojich údajov na účely priameho marketingu“).
Facebook v konaní tvrdí, že súhlas užívateľov nepotrebuje. Jeden z jeho základných zmluvných záväzkov voči užívateľom je aj poskytovanie personalizovanej reklamy. Tento záväzok Facebooku je vyjadrený hneď v úvode zmluvy (Terms of Service), a pre jeho plnenie Facebook tieto údaje potrebuje.
Ako sťažnosť a znenie príručky EDPB predbežne vyhodnotil Írsky Úrad?
Komisár Írskeho Úradu v návrhu rozhodnutia mimo iné dôvody vyslovil: "Aj keď akceptujem, že EPDB sa vo všeobecnosti domnieva, že spracovanie pre online behaviorálnu reklamu nie je nevyhnutné na plnenie zmluvy o online službách, v tomto konkrétnom prípade so zreteľom na konkrétne podmienky zmluvy a povahu služby poskytovanej a dohodnutej stranami, usudzujem, že Facebook sa v zásade môže odvolávať na článok 6 ods. 1 písm. b) ako na právny základ spracúvania údajov používateľov potrebných na poskytovanie svojej služby, a to aj poskytovanie behaviorálnej reklamy, pokiaľ tvorí základnú súčasť tejto služby ponúkanej a akceptovanej užívateľmi. "(pozn. bod 4.53, str. 39)
Napriek vyššie uvedenému k právnemu základu spracúvania, pri ktorom k porušeniu GDPR dôjsť nemalo, Írsky Úrad v návrhu rozhodnutia navrhuje Facebooku za nedostatočnú transparentnosť pri plnení informačnej povinnosti a iné porušenia GDPR uložiť pokutu od 28 do 36 miliónov eur.
Záverom, prípad ešte zďaleka nie je uzatvorený, a predpokladáme, že ak Írsky Úrad takéto rozhodnutie vydá, tak rozhodnutie bude predmetom ďalšieho skúmania. Rozhodnutie by na jednej strane mohlo výrazne pomôcť prezentácii podnikateľov (a ich produktov) relevantnému publiku, no na druhej strane by mohlo narušiť celú podstatu GDPR, ktorá je založená na ochrane práv jednotlivca, a to aj v online priestore (súhlas nahradený zmluvou = aplikovateľné minimálne na každú platformu). V každom prípade bude zaujímavé toto konanie sledovať aj do budúcna, keďže okrem GDPR môže vyvolať aj diskusiu na úrovni ochrany spotrebiteľa a nekalých obchodných praktík.
Celé znenie návrhu rozhodnutia nájdete tu.