GDPR vs. Meta Platforms: час змінювати бізнес-модель?

“Вам потрібно правильно налаштувати таргетовану рекламу” – фраза, яку сьогодні чує будь-який бізнес, який хоче знайти ефективні канали просування своєї продукції або послуг. Кожен з нас в середньому проводить в Інтернеті близько 7 годин на день, тож соціальні мережі перетворилися на топові канали продажів. До речі, за даними Better Regulation Delivery Office, ринок електронної комерції лише в Україні декілька років тому становив близько 50 млрд. грн. на рік.

Не секрет, що тех-гігант Meta Platforms (Facebook) збирає всю інформацію, яку може отримати про своїх користувачів. Кожен, хто має акаунт, дозволив Meta Platforms записувати всі свої дії на сайті. Але це лише верхівка айсбергу. Meta Platforms збирає дані й поза межами своїх сайтів: така інформація, як IP-адреса, вид браузеру, переглянуті рекламні оголошення, частота відвідин тих чи інших сайтів та безліч іншого – також зберігається різноманітними інтернет-ресурсами, зокрема, через Facebook Pixel, і передається до Meta Platforms, яка щосекунди обробляє терабайти інформації, створюючи детальний портрет кожного користувача. Саме завдяки контролю над персональними даними користувачів мережі Facebook, Instagram, TikTok, Pinterest та ін. стали, з одного боку, ідеальним майданчиком для взаємодії бізнесу з клієнтами, а з іншого – контролерами персональних даних, масштаби обробки яких вражають.

Доходи Meta Platforms від реклами складають найбільшу частку в структурі загального доходу. Фактично, фінансові показники компанії за 2021 рік засвідчили, що більше 90% зі 118 мільярдів доларів, які компанія заробила, надійшли від продажу персоналізованої реклами. І лише в 2022 році звіт про прибутки Meta Platforms визнав перше в історії компанії зниження доходів від реклами в річному обчисленні, що свідчить про тенденцію, яка, як очікується, продовжиться й надалі через глобальні економічні проблеми, які впливають і на ринок цифрової реклами.

Чому це важливо і до чого тут GDPR?

Загальний регламент із захисту даних, або General Data Protection Regulation, забороняє контролерам персональних даних змушувати своїх користувачів надавати згоду на збір персональних даних в обмін на послугу.

Протягом багатьох років Meta Platforms дозволяла користувачам відмовлятися від персоналізації реклами на основі даних з інших веб-сайтів і мобільних додатків. Але вона не надавала такої можливості щодо даних, отриманих на власних платформах – наприклад, відомостей про те, який контент користувач вподобав в Instagram. Причина проста – якщо користувачі матимуть змогу відмовлятися від такої персоналізації, у Meta зменшиться обсяг інформації для формування цільових аудиторій і продажу персоналізованої реклами.

При цьому, з-поміж шести правових підстав (legal basis) для обробки персональних даних, передбачених GDPR, для надання користувачам послуг з показу персоналізованої реклами, заснованої на їхній активності, з 2018 року й дотепер Meta Platforms спиралась на виконання договору (ст. 6 (1)(b) GDPR).

В ході розгляду спору з регуляторним органом, Meta Platforms стверджувала, що Facebook публічно позиціонує себе не просто як соціальна мережа, але і як надавач послуг з персоналізованої реклами. Саме тому Meta Platforms укладає з користувачами договір у формі умов користування сервісами (Facebook’s Terms of Service and Instagram’s Terms of Use), який передбачає надання такої послуги, а відтак – збір персональних даних для показу персоналізованої реклами є необхідним аспектом роботи платформи, і обумовлюється договірною необхідністю, тож підпадає під виняток, який дозволяє компанії збирати персональні дані для надання послуг.

У оприлюдненому торік проєкті рішення ірландський наглядовий орган (DPC) підтримав цю точку зору, відзначивши, що персоналізована реклама: «є основним елементом комерційної угоди між Facebook і користувачами Facebook. Звідси випливає, що це комерційно важливий елемент договору. Оскільки ця інформація чітко викладена і є загальнодоступною, важко стверджувати, що вона не є частиною взаємних очікувань потенційного користувача і Facebook. Також очевидно, що послуга рекламується (і широко розуміється) як така, що фінансується за рахунок персоналізованої реклами, і тому будь-який розумний користувач очікував би і розумів, що саме така угода була укладена, навіть якщо він вважав би за краще, щоб ринок запропонував йому кращий альтернативний вибір».

Разом з цим, DPC констатував порушення Facebook статей 5(1)(a), 12(1) та 13(1)(c) GDPR, яке полягає у неналежному повідомленні про правову підставу для обробки персональних даних користувачів та ненаданні необхідної користувачам інформації в простій та доступній для розуміння формі. Надаючи правову оцінку умовам користування Facebook, DPC дійшов висновку, що «не існує єдиного складеного тексту або багаторівневого маршруту, доступного користувачеві, який дозволив би йому швидко і легко зрозуміти повний обсяг операцій з обробки, які відбуватимуться щодо його персональних даних, що випливають з його згоди з Умовами надання послуг. Кожен додатковий рівень надає користувачеві інформацію, подібну до вже наданої, а також деяку нову інформацію, яку нелегко ідентифікувати, оскільки мова, що використовується, схожа на інформацію, яка була надана раніше. Користувач не повинен докладати багато зусиль, щоб отримати доступ до необхідної інформації; також не повинно бути двозначності щодо того, чи всі джерела інформації були вичерпані.».

У грудні 2022 року регуляторний орган ЄС із захисту персональних даних – Європейська рада із захисту даних (EDPB), яка розглядала проєкт рішення ірландського DPC, частково підтримала позицію DPC й ухвалила рішення щодо Meta Platforms Ireland Limited (Meta IE), згідно з якими компанії Meta Platforms (Facebook, Instagram) заборонено використовувати свої умови надання послуг, а фактично – таку правову підставу як виконання договору (ст. 6 (1) (b) GDPR) – для примусового збору персональних даних і подальшого таргетування реклами на користувачів Facebook та Instagram.

Варто зазначити, що раніше EDPB вже роз’яснювала у своїх документах, що виконання договору не може розглядатись як належна правова підстава для показу персоналізованої реклами в Інтернеті, а застосовність ст. 6(1)(b) GDPR слід оцінювати окремо в контексті кожної послуги, що надається, з увагою на те, які персональні дані є об’єктивно необхідними для надання саме тієї послуги, яку запитував суб’єкт даних. Така оцінка може виявити, що обробка певних персональних даних не є об’єктивно необхідною для надання окремих послуг, а скоріше необхідна для більш широкого поняття – бізнес-моделі контролера. У такому випадку стаття 6(1)(b) GDPR не може вважатись належною правовою підставою.

Таким чином, рішення EDPB потенційно обмежує кількість даних, які Меtа може використовувати для продажу персоналізованої реклами, адже покладатись на ст. 6 (1) (b) GDPR Meta більше не зможе, тож буде змушена обрати іншу правову підставу для обробки персональних даних користувачів щодо персоналізації реклами. Нагадаємо, що GDPR передбачає вичерпний перелік з шести підстав. Тож, потенційно, Meta Platforms має почати використовувати згоду на обробку персональних даних (ст.  6 (1) (а) GDPR), правова природа якої дозволяє вільно її надати і вільно від неї відмовитись, що фактично дозволить користувачам в будь-який час відмовитись від надання своїх даних для персоналізації реклами, і, водночас, продовжить зменшувати доходи від реклами. Нагадаємо, що протягом 2022 року Meta Platforms вже втратила близько 10 мільярдів доларів від продажу реклами, коли Apple почала вимагати від мобільних додатків надання користувачам можливості відмовитись від кросплатформенного відстеження їх даних.

Які висновки необхідно зробити?  

По-перше, ані GDPR, ані EDPB прямо не забороняють персоналізації реклами, а лише створюють передумови для справедливого поводження бізнесу з персональними даними своїх клієнтів, виходячи з поваги до фундаментальних прав і свобод людини в епоху data-driven economy. Це означає, що жодна компанія не повинна мати можливості вводити користувачів в оману при отриманні їхньої згоди з умовами надання послуг, а користувачам має бути забезпечена прозора можливість вирішувати, як буде використовуватись їхня інформація, зокрема й для таргетування реклами.

По-друге, тенденція щодо поглиблення законодавчого регулювання цифрового світу впевнено набирає обертів і продовжить укріплюватись, а тому притягнення до відповідальності тех-гігантів – це цілком закономірний процес, який лише засвідчує той факт, що настав час змінювати бізнес-моделі, які працювали раніше, та поважати право користувачів на поширення лише тих даних, які відповідають їх розумним очікуванням від конкретної платформи. Щодо цього EDPB дотримується чіткої позиції, що обробка персональних даних має здійснюватись конкретно в межах кожної послуги, яка надається компанією, і не може бути виправдана бізнес-моделлю компанії. Тим часом Meta  Platforms вже зіткнулася з низкою колективних позовів про порушення конфіденційності, зокрема у Великій Британії, а подальше застосування GDPR лише додасть імпульсу до подання позовів про відшкодування збитків. 

2023-02-22

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)