Meta Business Tools: Ευθύνη της Μeta για παράνομες τεχνικές παρακολούθησης της διαδικτυακής συμπεριφοράς χρηστών σε ιστοσελίδες και εφαρμογές τρίτων

Επιμέλεια: Λουκία Εμβαλωμένου, Δικηγόρος, Δ.Σ. Αθηνών

H Meta Platforms Ireland Ltd (“Meta”) παρακολουθεί τη διαδικτυακή συμπεριφορά των χρηστών της σε ιστοσελίδες και εφαρμογές τρίτων, συλλέγοντας παρανόμως απεριόριστα δεδομένα τους μέσω των διαφόρων Εργαλείων της Meta για Επιχειρήσεις (εφεξής τα «Meta Business Tools» ή «Εργαλεία») τα οποία προσφέρει η ίδια.

Τον περασμένο Ιούλιο, ένα γερμανικό Δικαστήριο την υποχρέωσε να καταβάλει σε υποκείμενο δεδομένων 5.000€ αποζημίωση για μη υλική ζημία, για την απλή απώλεια ελέγχου των δεδομένων του. Η απόφαση δεν είναι ακόμη νομικά δεσμευτική.

Τα Εργαλεία της Meta για επιχειρήσεις (Meta Business Tools)

Η Meta, εκτός από τις πλατφόρμες κοινωνικής δικτύωσης (Facebook, Instagram κλπ) (εφεξής οι «Πλατφόρμες»), προσφέρει επίσης διάφορα Εργαλεία για Επιχειρήσεις (Meta Business Tools) σε διαχειριστές ιστοσελίδων, προγραμματιστές εφαρμογών και τους επιχειρηματικούς συνεργάτες τους, συμπεριλαμβανομένων διαφημιζόμενων και άλλων (εφεξής οι «Επιχειρήσεις»), τα οποία ενσωματώνονται στις ιστοσελίδες και στις εφαρμογές τους για κινητές συσκευές. Σύμφωνα με τη Meta, πρόκειται για τεχνολογίες οι οποίες επιτρέπουν στις Επιχειρήσεις «να κατανοούν και να κάνουν μετρήσεις για τα προϊόντα και τις υπηρεσίες τους, καθώς επίσης και να προσεγγίζουν και να εξυπηρετούν καλύτερα τα άτομα που χρησιμοποιούν τα προϊόντα και τις υπηρεσίες τους ή μπορεί να ενδιαφέρονται γι' αυτά^[1]». Χρησιμοποιούνται εν γένει για την παραγωγή διαφημιστικών εσόδων, μέσω της διαχείρισης της διαδικτυακής παρουσίας των χρηστών και την ανάλυση της απόδοσης των προβαλλόμενων από τις επιχειρήσεις διαφημίσεων. Τα Εργαλεία περιλαμβάνουν το Meta Pixel και το Meta Conversions API.

Το ιστορικό της υπόθεσης - Οι τεχνικές παρακολούθησης της Meta

Ένας χρήστης του Facebook στη Γερμανία (υποκείμενο δεδομένων - εφεξής ο «Χρήστης») προσέφυγε στο πρωτοβάθμιο Δικαστήριο της Λειψίας (LG Leipzig), υποστηρίζοντας ότι η Meta επεξεργάζεται παράνομα τα προσωπικά του δεδομένα, παρακολουθώντας τον σε πολυάριθμες και μεγάλες ειδησεογραφικές ιστοσελίδες και εφαρμογές, μέσω των Εργαλείων της Meta για Επιχειρήσεις που είναι ενσωματωμένα σε ιστοσελίδες και εφαρμογές τρίτων (συγκεκριμένα του Meta Pixel και του Meta Conversions API).

Ο Χρήστης υποστήριξε ότι τα Meta Business Tools συλλέγουν και διαβιβάζουν στην Meta δεδομένα (όπως: ονοματεπώνυμο, αριθμό τηλεφώνου, διεύθυνση email, διευθύνσεις IP, user-agents, χαρακτηριστικά συσκευής, click IDs, διευθύνσεις παραπομπής (referrer URLs) και πληροφορίες δακτυλικής αποτύπωσης (fingerprinting)), ακόμη και όταν ο κάθε χρήστης δεν είναι συνδεδεμένος στις Πλατφόρμες. Τα Εργαλεία επεξεργάζονται προσωπικά δεδομένα αδιακρίτως, καθώς δεν διαθέτουν ενσωματωμένο μηχανισμό επιλογής για το ποια δεδομένα θα υποβάλλονταν σε επεξεργασία, με αποτέλεσμα να επεξεργάζονται όλα τα δεδομένα, περιλαμβανομένων αυτών που αφορούν την υγεία, τις πολιτικές απόψεις, την ιδεολογία, την οικονομική κατάσταση και το σεξουαλικό προσανατολισμό των χρηστών. Η παρακολούθηση αυτή παρακάμπτει τις «προστασίες σε επίπεδο προγράμματος περιήγησης» (Browser Protections), μπορεί δε να συλλέγει δεδομένα από χρήστες που δεν έχουν συναινέσει στην επεξεργασία τους. Κατά συνέπεια, ο Χρήστης υποστήριξε ότι η Meta μπορεί να αναγνωρίζει ανά πάσα στιγμή κάθε χρήστη, κατά την πλοήγηση του στο διαδίκτυο ή τη χρήση μιας εφαρμογής, μέσω της λεγόμενης «ψηφιακής αποτύπωσης» (Digital Fingerprinting). Μόνο αφού τα δεδομένα αποσταλούν στους διακομιστές της Meta, αξιολογείται εάν υπάρχει νόμιμη βάση για περαιτέρω επεξεργασία. Τα δεδομένα στη συνέχεια διαβιβάζονται σε τρίτες χώρες, ιδίως στις ΗΠΑ.

Ο Χρήστης ισχυρίστηκε ότι δεν είχε παράσχει ποτέ στη Meta συγκατάθεση για την επεξεργασία των δεδομένων του μέσω των Meta Business Tools και ότι υπέστη απώλεια ελέγχου επί των δεδομένων του, ενόσω επισκεπτόταν ιστοσελίδες όπου αυτά τα Εργαλεία ήταν εγκατεστημένα. Ζήτησε από το Δικαστήριο να εκδώσει αναγνωριστική απόφαση, να διατάξει τη διαγραφή των δεδομένων του και να του επιδικάσει αποζημίωση για μη υλική ζημία ύψους 5.000€.

Η Meta δεν αρνήθηκε όσα εξέθεσε ο Χρήστης σχετικά με την παρακολούθηση των χρηστών μέσω των Εργαλείων. Υποστήριξε απλώς ότι η συλλογή δεδομένων από τις Επιχειρήσεις είναι νόμιμη και δεν απαιτεί νομική βάση, καθώς η ίδια δεν ενεργεί ως υπεύθυνος επεξεργασίας αλλά απλώς παρέχει τα Εργαλεία στις Επιχειρήσεις, οι οποίες είναι υπεύθυνες για τη λήψη συγκατάθεσης των χρηστών. Επιπλέον, η Meta ισχυρίστηκε ότι ο Χρήστης αντιτίθεται μόνο στην επεξεργασία για εξατομικευμένη διαφήμιση, η οποία βασίζεται πάντα σε συγκατάθεση, και που εν προκειμένω δεν είχε δοθεί. Συνεπώς δεν έλαβε χώρα η εξατομικευμένη διαφήμιση.

H Απόφαση του Δικαστηρίου (LG Leipzig - 05 O 2351/23)

Πρώτον, το Δικαστήριο έκρινε ότι η Meta ενεργεί ως υπεύθυνος επεξεργασίας (κατά το άρθρο 4(7) GDPR) όσον αφορά τα δεδομένα που συλλέγονται μέσω των Εργαλείων από ιστοσελίδες και εφαρμογές τρίτων. Καθοριστικός παράγοντας είναι ότι τα δεδομένα διαβιβάζονται στη Meta για συγκεκριμένο σκοπό, δηλαδή για την εξατομίκευση της εμπειρίας των χρηστών, και συνεπώς για νέα χρήση τους. Δεν μπορούσε, επομένως, η Meta να μεταθέσει την ευθύνη στις Επιχειρήσεις.

Δεύτερον, το Δικαστήριο έκανε δεκτό το αίτημα του Χρήστη για αναγνωριστική απόφαση και έκρινε ότι η σύμβαση μεταξύ του Χρήστη και της Meta δεν επέτρεπε την επεξεργασία των επίμαχων δεδομένων. Η Meta δεν μπορούσε να στηριχθεί στη συγκατάθεση αλλά ούτε και σε άλλη νομική βάση επεξεργασίας των δεδομένων του GDPR, παραβιάζοντας την Αρχή της Λογοδοσίας (άρθρο 5(2) GDPR), καθώς και την Αρχή της Ελαχιστοποίησης των δεδομένων (άρθρο 5(1)(γ) GDPR).

Τρίτον, το Δικαστήριο διέταξε τη διαγραφή των δεδομένων του Χρήστη και του επιδίκασε αποζημίωση για μη υλική ζημία ύψους 5.000€ βάσει του άρθρου 82 GDPR, λόγω απώλειας ελέγχου επί των δεδομένων του. Έκρινε ότι η επεξεργασία είναι εκτεταμένη και ισοδυναμεί με την σχεδόν πλήρη παρακολούθηση της διαδικτυακής συμπεριφοράς του Χρήστη. Σύμφωνα με το Δικαστήριο, το γεγονός και μόνο της αίσθησης συνεχούς παρακολούθησης κρίθηκε επαρκές για θεμελίωση βάσης αποζημίωσης.

Τέλος, το Δικαστήριο τόνισε ότι η υπόθεση διαφέρει σημαντικά από τις υποθέσεις κατά της Meta σε σχέση με το περιστατικό απόξεσης δεδομένων (data scraping) 533 εκατομμυρίων χρηστών του Facebook το 2021, όπου η κατά μέσο όρο αποζημίωση που είχε δοθεί ανέρχονταν σε 100€, λόγω της πολύ μεγαλύτερης ποσότητας και ποιότητας δεδομένων. Αιτιολόγησε το υψηλό ποσό της αποζημίωσης επισημαίνοντας ότι η Meta, μέσω των Meta Business Tools, προβαίνει σε ιδιαίτερα εκτεταμένη και μαζική συλλογή και επεξεργασία των προσωπικών δεδομένων των χρηστών των Πλατφορμών, επεξεργάζεται τα δεδομένα τους με σκοπό τη δημιουργία προφίλ χρηστών και αποκομίζει έτσι δισεκατομμύρια από το επιχειρηματικό μοντέλο εξατομικευμένης διαφήμισης.

Σχόλιο

Πρόκειται για απόφαση ορόσημο στη γερμανική νομολογία αναφορικά με τις πρακτικές της Meta, η οποία ευθυγραμμίζεται με τη νομολογία του ΔΕΕ στην υπόθεση Fashion ID (C-40/17), σχετικά με τον καθορισμό του ποιος φέρει την ευθύνη συμμόρφωσης με τον GDPR στο πλαίσιο της ενσωμάτωσης λειτουργιών τρίτων (π.χ. pixels) σε ιστοσελίδες. Η απόφαση επιβεβαιώνει ότι η Meta παραμένει υπεύθυνη επεξεργασίας, όταν επεξεργάζεται προσωπικά δεδομένα που έχει συλλέξει μέσω εργαλείων παρακολούθησης (όπως pixels και server-side APIs) από ιστοσελίδες και εφαρμογές τρίτων. Το Δικαστήριο απέρριψε κάθε προσπάθεια μετακύλισης της ευθύνης και υιοθέτησε αυστηρή στάση όσον αφορά τη συγκατάθεση, αποκλείοντας ρητά εν προκειμένω την ύπαρξη εννόμου συμφέροντος για αδιαφανή και συνεχή παρακολούθηση ως νόμιμη βάση επεξεργασίας. Επιπλέον, το Δικαστήριο αναγνώρισε ρητά ότι ακόμα και η απλή απώλεια ελέγχου επί των δεδομένων συνιστά μη υλική ζημία.