Штраф в размере 390 миллионов евро, наложенный Ирландской комиссией по защите данных (DPC) на прошлой неделе против Meta, знаменует собой как последнюю стычку в продолжающейся регулятивной войне за использование данных частными фирмами, так и серьезный удар по рекламному бизнесу. модель, которая лежит в основе большинства онлайн-сервисов.

В частности, Европейский совет по защите данных (EDPB) вынудил DPC признать, что Meta нарушила Общий регламент по защите данных (GDPR), когда полагалась на свои договорные отношения с пользователями Facebook и Instagram в качестве основы для использования пользовательских данных в персонализированных целях. реклама.

У Meta все еще есть другие основания, на которые она может ссылаться, чтобы использовать пользовательские данные, но более серьезная проблема в игре: выводы решения о том, что использование пользовательских данных для персонализированной рекламы не является «необходимым» между службы и ее пользователей, и что регуляторы конфиденциальности могут провести такую ​​оценку.

В более широком смысле это дело также подчеркивает, что в Европейском союзе нет единого мнения относительно широкой интерпретации GDPR, которую предпочитают некоторые национальные регуляторы и EDPB.

Решение ЦОД

Основное разногласие между DPC и Meta, с одной стороны, и некоторыми другими регуляторами конфиденциальности ЕС, с другой, заключается в том, законно ли для Meta рассматривать использование пользовательских данных для персонализированной рекламы как «необходимое для выполнения» контракт между Meta и ее пользователями. Ирландский DPC принял доводы Meta о том, что природа Facebook и Instagram такова, что необходимо обрабатывать персональные данные именно таким образом. EDPB применил противоположный подход и использовал свои полномочия в соответствии с GDPR, чтобы дать указание DPC принять решение, противоречащее собственному решению DPC. Примечательно, что DPC объявил, что рассматривает возможность оспорить участие EDPB в Суде ЕС как незаконное превышение полномочий совета.

По мнению EDPB, Meta может предлагать Facebook и Instagram без персонализированной рекламы. И насколько это возможно, Meta не может полагаться на «необходимость выполнения контракта» для обработки данных в соответствии со статьей 6 GDPR. Вместо этого Мета в большинстве случаев должна полагаться на основу «согласия», предполагающую явный выбор «да/нет». Другими словами, пользователей Facebook и Instagram следует прямо спрашивать, дают ли они согласие на использование их данных для персонализированной рекламы. Если они откажутся, то в соответствии с этим обоснованием они смогут продолжать пользоваться услугой без персонализированной рекламы (но с, например контекстная реклама).

Примечательно, что решение не мандат конкретная договорная основа для обработки, но только делает недействительной «договорную необходимость» для персонализированной рекламы. Действительно, Meta считает, что у нее есть другие возможности для продолжения обработки пользовательских данных для персонализированной рекламы, не зависящие от «согласия». Конечно, только время покажет, будет ли принято это рассуждение. Тем не менее, неприязнь EDBP к «необходимости» персонализированной рекламы по-прежнему вызывает обеспокоенность.

Что «необходимо» для службы?

Позиция EDPB согласуется с растущей кампанией против использования фирмами данных в целом. Но, как и в аналогичных жалобах на использование данных, демонстрируемый вред здесь преувеличен, а возможность того, что от использования данных может возникнуть польза, предполагается нулевой.

Откуда EDPB знает, что Meta не обязательно полагаться на персонализированную рекламу? И что значит «необходимость» в данном контексте? Согласно собственному руководству EDPB, бизнес «должен быть в состоянии продемонстрировать, как основной предмет конкретный договор с субъектом данных на самом деле не может быть выполнено, если конкретная обработка личные данные под вопросом не происходит.» Следовательно, если можно выделить различные «элементы услуги, которые на самом деле разумно могут выполняться независимо друг от друга», то даже если для одних элементов необходима определенная обработка персональных данных, это нельзя использовать для объединения их с другими. элементов и создать для пользователей ситуацию «принимай или оставляй». EDPB подчеркнул, что:

Эта оценка может показать, что определенные действия по обработке не являются необходимыми для отдельных услуг, запрошенных субъектом данных, а скорее необходимы для более широкой бизнес-модели контролера.

Этот неестественный взгляд на то, что считается «услугой», совершенно не учитывает того, что «необходимость» должна означать нечто большее, чем просто технологически возможное. Любое предложение услуг сталкивается как с техническими, так и с экономическими ограничениями. То, что технически возможно предложить, может быть настолько нерентабельным в некоторых формах, что это практически невозможно. Конечно, есть альтернативы персонализированной рекламе как средству монетизации социальных сетей, но определение того, что это такое, требует тщательного анализа и экспериментов. Более того, альтернатива «контекстной рекламы», предложенная EDPB, не явно превосходит статус-кво, и при этом не было продемонстрировано ее экономической жизнеспособности в масштабе.

Таким образом, несмотря на то, что это не следует строго из руководящих принципов, решение по делу Meta предполагает, что на практике EDPB уделяет мало внимания экономической реальности договорных отношений между поставщиками услуг и их пользователями, вместо этого пытаясь вырезать искусственный, формалистический подход. Сомнительно, чтобы EDPB проводил надежный экономический анализ Facebook и Instagram, который позволил бы ему сделать вывод об экономической жизнеспособности этих сервисов без использования персонализированной рекламы.

Однако здесь следует отметить ключевой институциональный момент. Регуляторы конфиденциальности, вероятно, будут в высшей степени не готовы к проведению такого рода анализа, который, возможно, должен привести к значительному уважению наблюдаемого выбора компаний и их клиентов.

Заключение

Использование службой персональных данных своих пользователей — будь то для персонализированной рекламы или других целей — может быть проблемой, но также может принести пользу. В любой конкретной ситуации нет простого способа определить, перевешивают ли затраты той или иной бизнес-модели ее преимущества. Критически важно, что баланс затрат и выгод от технологических и экономических компонентов бизнес-модели — это то, что действительно определяет, является ли какой-либо конкретный компонент «необходимым». В решении Meta EDPB ошибся, отказавшись включить все экономические и технологические компоненты бизнес-модели компании.