Meta була оштрафована на 390 мільйонів євро за порушення правил ЄС щодо зберігання та використання даних.

Ірландська комісія із захисту даних (DPC) стверджує, що спосіб, у який Meta запитувала дозвіл на використання даних людей для реклами у Facebook та Instagram, був незаконним.

Meta, яка володіє обома платформами, має три місяці, щоб змінити спосіб отримання та використання даних для таргетування реклами.

Водночас в Meta повідомили, що компанія «розчарована» і має намір подати апеляцію, підкреслюючи, що це рішення не перешкоджає персоналізованій рекламі на її платформах.

Регулюючий орган заявив, що Facebook і Instagram не можуть «примусово вимагати згоду». Наразі споживачі повинні прийняти та погодитися з тим, як використовуються їхні дані, або покинути платформу.

Оскільки Facebook та Instagram мають європейські штаб-квартири в Ірландії, DPC бере на себе провідну роль у забезпеченні дотримання законодавства ЄС про дані.

Активісти, що виступають за збереження конфіденційності вважають, що це рішення є великою перемогою і означає, що Meta повинна буде дати користувачам реальний вибір щодо використання їхніх даних для націлювання онлайн-реклами.

Це означає, що Meta потенційно доведеться змінити спосіб роботи ключової частини свого бізнесу.

Основна частина грошей компанії, понад 118 мільярдів доларів у 2021 році, надходить від реклами.

Штраф є другим значним покаранням, накладеним регуляторним органом за останні місяці.

У листопаді DPC оштрафувала Meta на 265 мільйонів євро через витік даних, у результаті якого особисті дані сотень мільйонів користувачів Facebook були опубліковані в Інтернеті.

За даними Irish Times, в Meta виділили 2 мільярди євро на покриття потенційних європейських штрафів у 2023 році.

Розслідування DPC було спровоковано скаргами, поданими у 2018 році активістом за конфіденційність Максом Шремсом від імені двох користувачів з Австрії та Бельгії. Скаргу було подано саме тоді, коли набув чинності новий закон ЄС про дані та конфіденційність, Загальний регламент захисту даних (GDPR).

З моменту запровадження Загального регламенту захисту даних, який був розроблений для створення рівних умов для всіх учасників та встановлення відповідних заходів безпеки для захисту конфіденційності та даних споживачів, кожен бізнес-сайт, незалежно від операцій, які він виконує (від каршерінгу до продажу товарів або гри в покер онлайн) має інформувати користувачів про дані, які він збирає, і про те, як ці дані зберігатимуться та використовуватимуться. Останніми роками Uber, Amazon, Otto, PokerStars та інші онлайн-гіганти змушені були посилити захист особистих даних своїх користувачів.

Щоб відповідати вимогам GDPR, Facebook і Instagram попросили користувачів натиснути «Я згоден, щоб вказати, що вони погоджуються з оновленими умовами використання, які визначають, як їхні дані використовуватимуться в рекламі. Якщо користувачі не погоджувалися, вони не могли використовувати Facebook або Instagram.

Подавачі скарги стверджували, що це означало, що Meta «змушувала» їх дати згоду на використання їхніх даних у цільовій рекламі — і це порушувало GDPR.

Представники Meta, в свою чергу, стверджують, що Facebook і Instagram «за своєю суттю персоналізовані» і що в рамках цієї персоналізації цільова реклама є «необхідною та важливою частиною» роботи платформ.

У компанії наполягають, що Meta не ставить користувачам ультиматум, і що платформи просто не можуть працювати без використання даних для реклами. Але в DPC виявили, що це не так, тобто користувачів змушували дати згоду.

Комісія також виявила, що Meta недостатньо чітко розповіла користувачам про те, як вона використовує їхні особисті дані та навіщо.

Але рішення було прийнято лише після диспуту з іншими європейськими органами по роботі з даними. Остаточно це було вирішено в грудні Європейською радою із захисту даних.

Прес-секретарі Meta повідомляють, що вони планують оскаржити розмір накладених штрафів, «враховуючи те, що самі регулятори не погоджуються один з одним у цьому питанні».

Компанія стверджує, що не змушує людей приймати те, як вона використовує дані, і дає споживачам ряд інструментів для контролю того, як використовуються їхні дані.

У 2022 році новин про захист та конфіденційність даних було більше, ніж будь-коли. 

Підприємства, особливо ті, що працюють у високорегульованих секторах, таких як фінансові послуги, охорона здоров’я та уряд, і ті, що працюють у багатьох країнах, стикаються зі зростаючою кількістю норм щодо конфіденційності даних.

Ці правила, які регулюють, як дані повинні зберігатися, використовуватися та ділитися, можуть бути непосильними для відділів кібербезпеки та управління ризиками, які обмежені ресурсами, тому організаціям потрібно вжити заходів для кращого управління своїми операціями з дотримання вимог.

Починаючи з 2018 року, коли набрав чинності Загальний регламент захисту даних Європейського Союзу, кількість таких нормативних актів постійно зростає. Сьогодні у всьому світі налічується близько 100 країн, які мають певну форму конфіденційності даних або правил безпеки. До того ж, з кожним роком ці правила стають все жорсткішими.