W dniu 27 października 2023 roku Europejska Rada Ochrony Danych (EROD) podjęła decyzję, że właściciel Facebooka i Instagrama, koncern Meta Platforms, nie może już wyświetlać spersonalizowanych reklam opartych na zachowaniach użytkowników w internecie w krajach europejskich, gdyż są one sprzeczne z europejskimi przepisami dotyczącymi prywatności.
„Meta śledzi co publikujesz, na co klikasz lub lubisz na Facebooku i Instagramie, i wykorzystuje te informacje do oferowania spersonalizowanych reklam. Niewłaściwe przetwarzanie danych osobowych milionów ludzi na Facebooku jest dla tej firmy modelem biznesowym” – ocenił Aleid Wolfsen, szef holenderskiego urzędu ochrony danych osobowych i wiceprzewodniczący EROD.
EROD doszła do wniosku, że Meta nie posiada wystarczającej podstawy prawnej na gruncie RODO, aby przetwarzać dane osobowe użytkowników w celu reklamy behawioralnej, a powoływany przez spółkę prawnie uzasadniony interes administratora danych osobowych nie jest wystarczającą przesłanką do przetwarzania takich danych w celu wyświetlania spersonalizowanych reklam.
Nie jest to pierwsze postępowanie dotyczące bezprawnego przetwarzania danych osobowych przez Meta. W grudniu 2022 roku EROD zdecydowała o ukaraniu spółki karą administracyjną za bezpodstawne przetwarzanie danych w celu tworzenia spersonalizowanych reklam. Meta musiała zapłacić 180 milionów euro.
W związku z tym, że Meta nie wprowadziła realnych zmian mających zmienić niezgodną z prawem praktykę, EROD uznała za stosowne użyć środków idących dalej niż kary finansowe – zakaz przetwarzania danych osobowych na terenie Europejskiego Obszaru Gospodarczego (EOG). EROD zakazała Meta przetwarzania danych osobowych w celu wyświetlania spersonalizowanych reklam, w sytuacji, gdy dane takie są zbierane na podstawie prawnie uzasadnionego interesu spółki, jak i wtedy, gdy dane są zbierane w celu wykonania umowy.
EROD poinformowała, że decyzja jest „pilnie wiążąca”, a jej wykonawcą ma być irlandzki organ ochrony danych, gdyż europejską siedzibą spółki-matki Facebooka i Instagrama jest Dublin. W ciągu dwóch tygodni ma on podjąć „ostateczne środki” dotyczące Meta Ireland Limited i nałożyć zakaz przetwarzania danych osobowych na potrzeby reklamy behawioralnej na podstawie umowy i uzasadnionego interesu administratora na terenie całego EOG.
Zakaz przetwarzania danych osobowych zacznie obowiązywać po upływie tygodnia od powiadomienia administratora (Meta) o ostatecznych środkach przez irlandzki urząd ochrony danych osobowych.
EROD poinformował, że Meta zaproponowała, aby „ostateczne środki” uwzględniały podejście oparte na zgodzie użytkownika Facebooka i Instagrama jako podstawie prawnej. Irlandzki urząd ochrony danych osobowych ocenia obecnie propozycję wspólnie z innymi zainteresowanymi organami nadzorczymi.