GDPR vs. Meta Platforms: продовження історії. Згода користувача має бути надана

Нещодавно ми вже розповідали про те, які труднощі спіткали тех-гіганта Meta Platforms з європейськими наглядовими органами (ірландським DPC, загальноєвропейським EDPB), а також про перспективи подальших судових проваджень з питань незаконної обробки персональних даних користувачів, зокрема, колективних позовів (class actions). Як виявилось, ми були частково праві, а щодо добросовісності Facebook очікувано помилялися. 

У березні 2023 року Meta Platforms програла в суді Амстердаму колективний позов голландській фундації захисту приватності (Data Privacy Stichting), що діяла спільно з асоціацією захисту споживачів (Consumentenbond, Dutch Consumers’ Association). Але навіть попри це, Meta Platforms не почала використовувати згоду як правову підставу для обробки даних користувачів на виконання рішення EDPB, обравши легітимний інтерес (ст. 6(1)(f) GDPR). 

Пропонуємо більш детально розібратися з тим, чому рішення суду Амстердаму є важливим прецедентом і які висновки з нього може винести кожен, хто займається профілюванням та таргетованою рекламою в соціальних мережах. 

Договір як підстава для обробки даних

Варто нагадати, що під час розгляду спору загальноєвропейським EDPB у 2022 році, який застосував до Meta Platforms штраф у розмірі близько 390 млн. доларів, позиція Meta Platforms зводилась до того, що Facebook публічно позиціонує себе не просто як соціальна мережа, а як надавач послуг з персоналізованої реклами. Відтак, остання є основним елементом угоди між Facebook та його користувачами, а отже – комерційно важливим елементом договору, який укладається у формі умов користування сервісами (Facebook’s Terms of Service and Instagram’s Terms of Use) і передбачає надання послуги персоналізованої реклами, тож збір персональних даних для її показу є необхідним аспектом роботи платформи, і обумовлюється договірною необхідністю.

EDPB не погодився з аргументами Facebook щодо необхідності збору даних користувачів, і послідовно дотримався позиції, неодноразово висвітленої у своїх роз’ясненнях про те, що контракт з точки зору цивільного права та права приватності – це не тотожні поняття, і “необхідність” визначається, в першу чергу, виходячи з розуміння, яке пропонує право приватності. 

Зокрема, у роз’ясненнях щодо обробки персональних даних відповідно до ст. 6(1)(b) GDPR при наданні онлайн-послуг, EDBP зазначив, що поняття даних

“необхідних для виконання контракту” – це не просто оцінка того, що дозволено або записано в умовах контракту. Поняття необхідності має самостійне значення в праві Європейського Союзу, яке повинно відображати цілі законодавства про захист даних. Тому воно також включає в себе розгляд основоположного права на недоторканність приватного життя та захист персональних даних, а також вимоги принципів захисту даних, включаючи, зокрема, принцип справедливості. Відправною точкою є визначення мети обробки, і в контексті договірних відносин можуть існувати різноманітні цілі обробки. Ці цілі повинні бути чітко визначені та доведені до відома суб’єкта даних відповідно до обмежень та зобов’язань контролера щодо прозорості.

Так само суд Амстердаму з посиланням на роз’яснення WP29 (попередниці EDPB), у п. 12.13.1 рішення зазначив, що положення стосовно контракту

слід тлумачити суворо та не охоплювати ситуації, коли обробка фактично не є необхідною для виконання контракту, а скоріше в односторонньому порядку накладається на суб’єкта даних контролером. Крім того, той факт, що обробка певних даних підпадає під дію договору, не означає автоматично, що обробка необхідна для його виконання. Існує чіткий зв’язок між оцінкою необхідності та дотриманням принципу обмеження мети. Важливо визначити точну причину укладення договору, тобто його зміст і основну мету, оскільки це має використовуватися для оцінки того, чи потрібна обробка даних для виконання.

Отже, “необхідність” збору персональних даних визначається не умовами контракту, а метою їх обробки, відтак послуга, обробка даних (а з ними і правова підстава у вигляді виконання контракту) перебувають у межах дії мети, і якщо дані необхідні для досягнення останньої, то критерій “необхідності” збору інформації витримується, а якщо ні (але потреба надання даних передбачена договором), то має бути використана інша правова підстава, зокрема, згода або легітимний інтерес.

Більше того, EDPB також вважає, що легітимний інтерес, на який тепер покладається Meta Platforms, не виправдовує профілювання на платформах соціальних мереж. 

Враховуючи це, цілком закономірно, що аргументи Facebook були сприйняті скептично судом Амстердаму: у п. 12.16. рішення суд дійшов висновку, що

оскільки основною та взаємозрозумілою метою користувацької угоди є надання профілю в соціальній мережі, питання необхідності має оцінюватися у світлі цієї мети. Не було заявлено або доведено, що надання профілю в соціальній мережі фактично не може бути здійснено, якщо не відбувається обробка персональних даних в рекламних цілях. Тому немає впевненості в тому, що це було б неможливо. Таким чином, для Facebook Ireland не є об’єктивною та фактичною необхідністю обробляти персональні дані користувача в рекламних цілях для того, щоб запропонувати профіль у соціальній мережі платформи Facebook.

Чутливі дані під загрозою

Окрім дискваліфікації контракту як підстави для обробки даних в рекламних цілях, ця справа торкнулась оскарження наступних аспектів: 

• порушення зобов’язань щодо прозорості, передбачених статтями 5, 12, 13 і 14 GDPR, які полягають у неповідомленні користувачам достатньої інформації про низку операцій з обробки персональних даних;
• незаконна обробка спеціальних категорій персональних даних відповідно до ст. 9 GDPR, в тому числі без явної згоди (explicit consent);
• відсутність дійсної згоди на використання файлів cookie, відстеження поведінки користувачів в інтернеті та використання додатків поза межами Facebook – в рекламних цілях – в порушення статті 11.7a Закону Нідерландів про телекомунікації.

Так, досліджуючи питання щодо обробки чутливих даних в рекламних цілях, суд визначив у п. 13.14 рішення, що Facebook пропонував рекламодавцям такі категорії та підкатегорії інтересів, як здоров’я, релігія та політична або сексуальна орієнтація, з чого випливає, що Facebook Ireland обробляв чутливі персональні дані користувачів в рекламних цілях, відстежуючи їх поведінку та класифікуючи отриману таким чином інформацію. При цьому, явної згоди (explicit consent) для цього отримано не було. Спираючись на роз’яснення EDBP, суд зауважив, що класифікація користувачів за ознакою релігії, філософських переконань або політичних поглядів вважається обробкою чутливих персональних даних, незалежно від точності класифікації. А тому Meta незаконно обробляла цю інформацію. 

Також варто виокремити наступні висновки суду в цій справі, що потенційно вплинуть на подальшу правозастосовну практику з питань захисту персональних даних.

Недобросовісна комерційна практика при обробці персональних даних

Суд зазначив (п. 5.17. рішення), що Facebook Ireland недостатньо поінформував користувачів про мету та спосіб обробки персональних даних під час укладення угоди про використання сервісу Facebook. Крім того, Facebook Ireland не надав достатньої ясності щодо своєї бізнес-моделі. Неповідомлення (достатньо чітко) при укладанні договору про те, що персональні дані, які споживач надає Facebook Ireland для отримання доступу до сервісу Facebook, також будуть використовуватися в рекламних цілях у спосіб, у який це робиться, слід розглядати як упущення істотної інформації, що вводить в оману і може вплинути на середньостатистичного споживача, тобто на достатньо поінформованого, розсудливого і спостережливого споживача, який повинен мати можливість прийняти обґрунтоване рішення щодо участі в сервісі Facebook.

Таким чином, суд відхилив доводи Facebook про те, що претензії, які ґрунтуються на вимогах щодо захисту персональних даних, не можуть одночасно розглядатись як недобросовісна комерційна практика, яка полягає, зокрема, у ненаданні користувачам необхідної інформації. Відтак, за висновком суду, як GDPR, так і Директива ЄС про недобросовісну комерційну практику можуть застосовуватися в межах розгляду однієї справи одночасно. Аналогічний висновок був сформульований Європейським судом справедливості у рішенні від 28.04.2022 (C-319-20) щодо Meta Platforms.

Використання трекінгових cookies

Стосовно трекінгових cookies суд дійшов висновку, що “не викликає заперечень той факт, що завдяки розміщенню файлів cookie на сторонніх веб-сайтах відбувається обмін інформацією між браузером користувача та сервером Facebook.” (п. 14.14. рішення). Facebook може делегувати за угодою обов’язок повідомляти користувачів про використання трекінгових cookies третій особі, тобто ресурсу, який безпосередньо їх використовує на власному вебсайті. При цьому, Facebook  повинен дотримуватися вимог закону при обробці персональних даних, отриманих за допомогою файлів cookie. Це означає, що персональні дані, отримані за допомогою файлів cookie, повинні мати законну підставу для обробки. Але Facebook не мав таких законних підстав для обробки персональних даних за допомогою файлів cookie в рекламних цілях.

Стягнення збитків

Вирішуючи питання про можливість стягнення збитків, спричинених порушенням приватності, суд послався на складність проведення їх оцінки у грошовому еквіваленті, й зазначив (п. 18.5. рішення), що позивачем не було надано достатніх доказів того, що користувачі Facebook дійсно зазнали зменшення вартості своїх активів або збільшення своїх зобов’язань. Тим не менш, це питання може бути предметом окремого судового розгляду. 

До речі, раніше з підстави неправильності обрахування розміру збитків суд Великої Британії відхилив інший колективний позов проти Facebook.

А тим часом, голландська асоціація споживачів анонсувала підготовку до подання другого позову проти Meta Platforms. 

Висновки

Як відомо, краще вчитись на чужих помилках, аніж на власних. Судова практика, яка формується навколо соціальних мереж та тех-гігантів, визначає загальний дискурс правозастосування, що найближчим часом почне відображатись на всіх інших суб’єктах ринку, які обробляють персональні дані. Тому, як мінімум, варто завчасно робити висновки та вживати кроків для недопущення тих помилок Meta Platforms, які перебувають під пильною увагою суспільства: ретельно перевіряти, чи повідомляє Ваш сервіс або мобільний додаток всю необхідну інформацію користувачам, чи правильно визначені підстави обробки кожного з видів інформації, яку Ви обробляєте, чи знаєте Ви, що робити, у випадку витоку персональних даних тощо. Якщо хоча б за одним з перелічених пунктів у Вас є сумніви – краще звернутись до нас за допомогою та зберегти свій час, кошти й репутацію.