Czy Facebook może zbierać wszelkie dane o swych użytkownikach — wszelkie, czyli także ze źródeł spoza platformy, bez zgody i wiedzy zainteresowanej osoby — a następnie profilować je w celu dopasowania reklamy? Czy jednak agregowanie w celach reklamowych wszystkich danych użytkownika — zebranych poprzez różne piksele, ciasteczka i wtyczki — jest sprzeczne z RODO? I, wcale nie na marginesie: czy platforma społecznościowa może zbierać i przetwarzać publiczne wypowiedzi użytkownika — i dopisywać te dane do jego profilu reklamowego?
wyrok Trybunału Sprawiedliwości UE z 4 października 2024 r. w/s Schrems vs. Meta Platforms (C‑446/21)
1) Zasada „minimalizacji danych” stoi na przeszkodzie temu, by wszystkie dane osobowe, które zostały pozyskane przez administratora danych, takiego jak operator platformy internetowej sieci społecznościowej, od osoby, której dane dotyczą, lub od podmiotów zewnętrznych i które zostały zebrane zarówno na tej platformie, jak i poza nią, były agregowane, analizowane i przetwarzane do celów ukierunkowanej reklamy, bezterminowo i bez względu na charakter tych danych.
2) Okoliczność, iż dana osoba wypowiedziała się na temat swojej orientacji seksualnej w trakcie otwartej dla publiczności dyskusji panelowej, nie upoważnia operatora platformy internetowej sieci społecznościowej do przetwarzania innych danych dotyczących orientacji seksualnej tej osoby, pozyskanych w danym wypadku poza tą platformą za pośrednictwem aplikacji i stron internetowych podmiotów zewnętrznych w celu ich agregacji i analizy służących oferowaniu tej osobie zindywidualizowanej reklamy.
To kolejna odsłona odwiecznego sporu Maksymiliana Schremsa o sposób gromadzenia i wykorzystania przez Fejsbóka danych użytkowników tej platformy społecznościowej.
opis stanu faktycznego:
- orzeczenie dotyczyło prawa do kierowania przez Fejsbóka do użytkownika reklam opartych na jego — znanych, ponieważ ujawnionych, acz nie publikowanych w tej platformie społecznościowej — cechach;
- sciśle rzecz ujmując: Maksymilian Schrems publicznie ujawnił, choćby podczas relacjonowanej w mediach dyskusji panelowej poświęconej przetwarzaniu danych przez Fejsbóka (sic!), że jest homoseksualistą, acz jako użytkownik serwisu internetowego nie publikował żadnych informacji o swej orientacji seksualnej lub swych danych wrażliwych…
- …co nie przeszkodziło Fejsbókowi w wysyłaniu doń reklam najwyraźniej opartych na profilowaniu w oparciu o dane zgromadzone z innych źródeł, tj. na analizie zainteresowań — a to poprzez cookies, wtyczki, piksele itp. inne śledzące ustrojstwa,
- spór trafił do sądu, który oddalił całość roszczeń, jednak Oberster Gerichtshof uznał, iż nie jest jasne, czy RODO pozwala na agregowanie, analizę i przetwarzanie danych — bez wyraźnej zgody i często pochodzących od osób trzecich, w celu przygotowania targetowanej reklamy — oraz czy spersonalizowana reklama może być tworzona na podstawie treści publicznych wypowiedzi osoby?
art. 5 ust. 1 lit. c) rozporządzenia 679/2016 o ochronie danych osobowych
Dane osobowe muszą być:
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
art. 9 ust. 2 lit. e) RODO
[Zakaz przetwarzania szczególnych kategorii danych osobowych] nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
orzeczenie TSUE:
- w wydanym w piątek wyroku Trybunał Sprawiedliwości UE przypomniał, że zasada minimalizacji danych oznacza obowiązek przetwarzania możliwie najmniejszego zakresu danych osobowych, czyli tylko tych, które są adekwatne i niezbędne dla realizacji celu przetwarzania;
- nie ma też wątpliwości, iż „początkowo zgodne z prawem przetwarzanie danych może z czasem stać się sprzeczne z przepisami RODO„ — jeśli zgromadzone dane nie są już niezbędne, tj. minął racjonalnie uzasadniony czas ich przetwarzania;
W każdym wypadku bezterminowe przechowywanie danych osobowych użytkowników platformy sieci społecznościowej do celów ukierunkowanej reklamy należy uznać za nieproporcjonalną ingerencję w zagwarantowane tym użytkownikom w RODO prawa.
- sęk w tym, że nieograniczone gromadzenie, agregowanie, analizowanie i przetwarzanie danych w celach reklamowych — „jak leci”, a więc także poprzez zamieszczone na zewnętrznych stronach internetowych cookies, wtyczki i piksele — jest sprzeczne z RODO;
- bo przecież w ten sposób dostawca sieci społecznościowej może monitorować cały internet, a więc całą aktywność jego użytkowników — co jest sprzeczne z zasadą minimalizacji danych;
- Fejsbók nie jest także uprawniony do przetwarzania w celach reklamowych publicznej — acz poczynionej poza platformą społecznościową — wypowiedzi swojego użytkownika, w której mówi on o swej orientacji seksualnej;
- owszem, wyjątek od zakazu przetwarzania danych wrażliwych obejmuje m.in. informacje „w sposób oczywisty” — celowo, dobrowolnie, za zgodą, „w drodze wyraźnej czynności potwierdzającej” — upublicznione przez zainteresowaną osobę;
- jak słusznie zauważył TSUE nie można wszakże wykluczyć, iż wypowiedź padła wyłącznie w kontekście tematyki debaty, tj. stanowiła krytykę praktyk Mety — ale może mimo wszystko należy ją oceniać przez pryzmat art. 9 ust. 2 lit. e) RODO? — i tę okoliczność powinien zbadać sąd merytorycznie prowadzący proces.
Zamiast komentarza: więc tak, wreszcie mamy jasno powiedziane, że serwisom internetowym nie wolno zbierać danych o internautach z „całego” internetu, a następnie na ich podstawie profilować swych użytkowników w celu wyświetlenia im reklamy dopasowanej do aktywności.