Od sierpnia platformy internetowe należące do koncernu Marka Zuckerberga nie będą mogły stosować w Norwegii reklamy behawioralnej opartej na śledzeniu i profilowaniu użytkowników. Tamtejszy urząd (Datatilsynet) jest pierwszym krajowym organem ochrony danych w Europejskim Obszarze Gospodarczym (EOG), który uznał taką promocję za nielegalną.
Zaszyta zgoda
Należące do Mety serwisy społecznościowe Facebook i Instagram śledzą aktywność swoich użytkowników i profilują ich m.in. na podstawie tego, gdzie się znajdują, jakiego rodzaju treściami się interesują i co publikują. Te informacje są potem wykorzystywane do celów marketingowych, tzn. do targetowania reklamy behawioralnej.
Norweski urząd uważa, że praktyka Mety jest niezgodna z przepisami RODO. Jak wyjaśnia, poprzednią decyzję w tej kwestii – w imieniu wszystkich organów ochrony danych w EOG – wydał urząd irlandzki (DPC), bo tam koncern ma europejską siedzibę. W styczniu br. DPC ogłosił swoje ustalenia, że Meta prowadziła nielegalną reklamę behawioralną, bo wbrew RODO, które nakazuje pozyskiwać zgodę użytkowników na śledzenie ich, zaszywała ten element w ogólnych warunkach korzystania z platformy.
Po decyzji DPC Meta na początku kwietnia br. zmieniła podstawę prawną przetwarzania danych – z „konieczności umownej” na „uzasadniony interes”. Teraz biuro prasowe spółki zapewnia nas, że kontynuuje „konstruktywną współpracę” z irlandzkim regulatorem.
Norweski urząd wskazuje jednak, że wedle orzeczenia Trybunału Sprawiedliwości Unii Europejskiej z 4 lipca br. (sprawa C-252/21) targetowana na podstawie tak zbieranych danych reklama behawioralna Mety nadal nie jest zgodna z RODO. Stąd obecny zakaz jej prowadzenia wobec internautów w Norwegii, który będzie obowiązywał od 4 sierpnia br. przez trzy miesiące lub do czasu, aż big tech wykaże, że działa zgodnie z prawem.
Milion koron kary
Jeśli Meta nie zastosuje się do decyzji regulatora, grozi jej do 1 mln koron norweskich kary dziennie (co odpowiada ok. 393 tys. zł lub 99 tys. dol.).
– Decyzja nie zakazuje Facebooka ani Instagrama w Norwegii – podkreśla Tobias Judin, szef działu międzynarodowego w Datatilsynet. Jak dodaje, chodzi raczej o zapewnienie, aby mieszkańcy Norwegii mogli korzystać z tych usług w bezpieczny sposób i aby ich prawa były chronione. Wyjaśnia też, że norweski urząd nie zabrania reklam spersonalizowanych na Facebooku i Instagramie jako takich.
– Decyzja nie powstrzymuje Meta np. przed targetowaniem reklam na podstawie informacji, które użytkownik umieścił w swoim biogramie, takie jak miejsce zamieszkania, płeć i wiek lub na podstawie zainteresowań, które sam podał – wylicza Tobias Judin.
Platformy będą też mogły wyświetlać reklamy behawioralne tym użytkownikom w Norwegii, którzy wyrazili na to ważną zgodę, o jakiej mowa w przepisach RODO.
– Wszystkie modele biznesowe muszą szanować prywatność jako prawo człowieka. Użytkownicy muszą mieć wystarczającą kontrolę nad własnymi danymi, a wszelkie śledzenie musi być ograniczone – stwierdza Tobias Judin.
Spytaliśmy Metę, jakie kroki podejmie w związku z zakazem reklamy behawioralnej i jak wpłynie to na działanie Facebooka i Instagrama, gdzie – według danych Ipsos – konta ma odpowiednio 82 proc. i 65 proc. dorosłych Norwegów.
„Przeanalizujemy decyzję norweskiego organu ochrony danych. Nie ma ona bezpośredniego wpływu na nasze usługi” – odpowiada biuro prasowe firmy. Dodaje, że „przedsiębiorstwa nadal borykają się z brakiem pewności regulacyjnej w tej dziedzinie”.
Organizacja obrońców prywatności NOYB uważa, że norweska decyzja „to ważny pierwszy krok w kierunku rzeczywistego egzekwowania RODO”.
– Wyraźnie wygląda to na próbę ominięcia irlandzkiego organu ochrony danych, który nie egzekwował własnej decyzji wobec Mety – stwierdza Romain Robert, dyrektor programowy NOYB. To właśnie po skardze tej organizacji DPC zajął się sprawą śledzenia użytkowników Facebooka i Instagrama, ale decyzję o nielegalności tego procederu wydał dopiero zmuszony przez Europejską Radę Ochrony Danych.
Teraz NOYB wzywa organy w innych krajach do pójścia śladem Datatilsynet. Spytaliśmy polski Urząd Ochrony Danych Osobowych, czy zamierza podjąć takie kroki. Do zamknięcia tego wydania DGP nie otrzymaliśmy odpowiedzi. ©℗