Поведенческая реклама: нужно ли согласие? Решение по резонансному кейсу Meta Ireland

Meta Ireland оштрафована на сумму почти €400 млн за то, что «заставляла» пользователей Facebook и Instagram соглашаться на поведенческую рекламу*.

Поведенческая реклама предполагает отслеживание действий пользователя в Интернете в течение определенного времени для показа ему рекламы, основанной на его предполагаемых интересах. К примеру, рекламная сеть (допустим, Facebook) отслеживает посещения пользователем веб-сайтов и видит, что он посещает несколько сайтов школ танцев. Так, сеть предполагает, что потребитель интересуется танцами, и показывает такому пользователю соответствующую рекламу студии танцев недалеко от его дома. 

Фабула дела

Ранее Meta Ireland ссылались на согласие пользователей как на основание для обработки их персональных данных для целей показа поведенческой рекламы. Однако, незадолго до вступления в силу GDPR, Meta Ireland изменили условия пользования сервисов Facebook и Instagram. 

Согласно изменениям, при использовании Facebook и Instagram, пользователь автоматически соглашается на то, что ему будет показываться поведенческая реклама: 

«Вы не будете оплачивать использование Facebook и других продуктов и услуг, которые мы предлагаем, однако использование вами Продуктов Facebook, на которые распространяются настоящие Условия, означает, что вы соглашаетесь с тем, что мы можем показывать вам рекламу, за которую нам платят компании и организации, продвигающие свои товары и услуги в Продуктах Компаний Facebook и за их пределами. Мы используем ваши личные данные, такие как информация о вашей активности и интересах, чтобы показывать вам наиболее актуальные для вас рекламные объявления».

Если пользователь хотел и дальше пользоваться Facebook и Instagram после внесения изменений, ему необходимо было принять новые условия пользования. 

Так, Meta Ireland заменили правовое основание обработки персональных данных для целей предоставления поведенческой рекламы с согласия на «необходимость исполнения договора». 

Meta Ireland обосновывали это тем, что предоставление поведенческой рекламы и иных персонифицированных сервисов – это неотъемлемая часть их сервисов. Заявители по жалобе в отношении Meta Ireland же считают, что основная цель социальных сетей – это коммуникация. Эта цель может быть обеспечена и без обработки персональных данных для показа поведенческой рекламы. Соответственно, у пользователей должна быть возможность согласиться или отказаться от предоставления поведенческой рекламы. Отказ от предоставления поведенческой рекламы не должен препятствовать дальнейшему пользованию Facebook и Instagram как социальными сетями*. 

Согласно статье 6 GDPR, обработка персональных данных является законной только в том случае и в той степени, если она соответствует одному из 6-ти правовых оснований: согласие; исполнение договора; выполнения правовых обязательств и иные. Чтобы ссылаться на необходимость исполнения договора как на основание обработки, контролёр должен доказать, что основной предмет договора не может быть исполнен, если конкретная обработка персональных данных не происходит. К примеру, договор оказания услуг по доставке не может быть исполнен без обработки информации об адресе доставки, а также контактных данных получателя для связи с курьером. При этом, если компания, которая осуществляет доставку, желает в последующем направлять клиенту информацию об акциях компании, то для такой обработки компания не может ссылаться на необходимость исполнения договора, поскольку нежелание клиента получать рассылку, не влияет на возможность компании оказать клиенту услугу. 

Решение комиссии по защите данных (DPC) Ирландии

Согласно проекту решения, изначально разработанного единолично DPC, Meta Ireland нарушает лишь принцип прозрачности обработки, т.е. недостаточно ясно сообщает пользователям о том, как и на каком основании используются их данных. В отношении выбранного основания обработки персональных данных («исполнение договора») изначально же DPC решил, что Meta Ireland не обязана полагаться на «согласие», а GDPR не препятствует тому, чтобы Meta Ireland полагалась на «исполнение договора» для целей показа поведенческой рекламы. 

Решение EDPB

В связи с возникшими разногласиями в правовой оценке данной ситуации спорные вопросы были переданы в Европейский совет по защите данных (EDPB), который согласился с DPC в отношении нарушения Meta Ireland своих обязательств по обеспечению прозрачности. На вопрос о правовом основании EDPB занял иную точку зрения и указал, что Meta Ireland не имеет права полагаться на «исполнение договора» как на правовое основание для обработки персональных данных для целей показа поведенческой рекламы.

Финальное решение DPC

Финальное решение DPC от 31 декабря 2022 года отражает позицию EDPB в отношении правового основания. Соответственно, Meta Ireland не имеет права полагаться на «исполнение договора» при предоставлении поведенческой рекламы пользователя Facebook и Instagram. Meta Ireland обязали в течение 3 месяцев привести свои процессы обработки персональных данных в соответствии с требованиями GDPR.
 

Вероятнее всего, решение DPC приведет к увеличению стоимости рекламы на Facebook и Instagram, а эффективность рекламы может снизиться. 
 


Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения. 

Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/iiiihaaaa