Sotsiaalmeediahiid Meta Platforms Ireland, kellele kuulub ka Facebooki platvorm, saab alatasa isikuandmete töötlemise tõttu tähelepanu. Sel korral juhtis Euroopa Kohus oma otsuses tähelepanu sellele, et Meta ei või suhtlusvõrgustiku platvormi kasutajate isikuandmeid piiramata ajaks säilitada neile suunatud reklaami pakkumise eesmärgil ning tundlikke isikuandmeid suunatud reklaami tegemiseks koguma ei peaks.
Mis on suunatud reklaam?
Meta ärimudel rajaneb reklaamitulule. Selleks, et tulemuslikku reklaami teha, kasutab Meta sisuliselt piiramatult oma platvormide kasutajate isikuandmeid. Suunatud reklaami tegemist võimaldavad Meta kasutatavad küpsised (cookies), sotsiaalpluginad (nt like-nupud) ja Meta pikslid (mida kolmandad isikud saavad oma veebisaitidele integreerida). Kogutud andmete alusel koostatakse võrgustiku kasutajate kohta üksikasjalikud profiilid nende tarbimiskäitumise, huvide ja isikliku olukorra põhjal. Koostatud profiilide abil saab kasutajatele suunata neile eelduslikult huvipakkuvat ja isikupärastatud reklaami.
Suunatud reklaam ei puuduta mitte ainult Meta enda suhtlusvõrgustikus Facebook toimuva jälgimist. Lisaks sellele kogub Meta andmeid ka oma kasutajate tegevuse kohta väljaspool suhtlusvõrgustikku, mis pärinevad ühelt poolt Facebookiga programmiliideste kaudu seotud kolmandate isikute veebisaitide ja rakenduste külastamisest ning teiselt poolt lisaks ka teiste Meta kontserni kuuluvate veebipõhiste teenuste, sealhulgas Instagrami ja WhatsAppi kasutamisest.
Suunatud reklaami eesmärgil ei saa isikuandmeid igavesti kasutada
Meta kasutustingimuste kohaselt on Meta seni kasutajate isikuandmeid piiramatult säilitanud, et neile suunatud ja isikupärastatud reklaami saata. GDPR-st tulenevalt on üheks isikuandmete töötlemise põhimõtteks koguda võimalikult väheseid andmeid. Hiljutises otsuses osundas Euroopa Kohus, et selle põhimõttega läheb vastuollu sotsiaalmeediaplatvormi kasutajate isikuandmete piiramata ajaks säilitamine suunatud reklaami eesmärgil.
Tundlikke isikuandmeid suunatud reklaami tegemiseks koguma ei peaks
Kasutaja tegevustest sotsiaalvõrgustikes võib teha järeldusi ka delikaatsete teemade osas nagu näiteks tervis, seksuaalne sättumus, rahvus või poliitilised vaated. Näiteks kui kasutaja on like’nud mõne poliitilise partei postitusi, võib kogutud andmete põhjal teha järeldusi tema poliitiliste vaadete kohta.
Kõne all olev kohtuasi ilmestab hästi, kui kaugele suunatud reklaami tegemiseks kogutavad andmed ja nende analüüs võivad minna. Kaebaja sai suunatud reklaami ühe Austria poliitiku kohta, mis põhines Meta analüüsil, millest nähtus, et tal on ühiseid omadusi teiste kasutajatega, kes olid selle poliitiku meeldivaks märkinud. Teiselt poolt sai kaebaja ka regulaarselt LGBT reklaame ja kutseid vastavatele üritustele, kuigi ta ei olnud neist varem huvitatud olnud. Need reklaamid ei lähtunud mitte kaebaja ja tema Facebook’i sõprade seksuaalsest sättumusest, vaid nende huvide analüüsist – üks tema sõpradest oli märkinud meeldivaks toote, mis võimaldas selliseid järeldusi teha. Tavaliselt tulebki andmetöötluse invasiivsus suhtlusvõrgustike kasutajatele täieliku üllatusena.
Euroopa Kohus leidis, et suunatud reklaami eesmärgil ei või isikuandmeid koguda üldiselt ja vahet tegemata. Isikuandmetel tuleks teha vahet teha selle järgi, kui delikaatsed need on. Tundlikud (ehk GDPR-i mõistes eriliiki) isikuandmed väärivad erilist kaitset ning seetõttu on nende töötlemine reeglina keelatud, v.a erandlikel juhtudel. Ehk et järgides kohtu juhiseid, tuleb hoiduda selliste andmete kogumisest, mis ei ole töötlemise eesmärkide seisukohast tingimata vajalikud.
Kuidas mõjutab Euroopa Kohtu otsus neid, kes Meta reklaamiteenuseid kasutavad?
Meta reklaamiteenused on niivõrd laiahaardelised, sest selle aluseks on piiramatu hulk andmeid nii Facebooki enda lehel toimuva kohta kui ka väljaspool seda. Olgugi et pakutavad reklaamiteenused võivad andmete suure hulga tõttu olla väga efektiivsed, on mündil ka teine külg – selliste reklaamiteenuste kasutamisega kaasneb ka vastutus.
See tähendab, et ettevõtjal, kes kasutab andmesubjektide õiguseid riivavaid reklaamiteenuseid, lasub ka GDPR-i mõttes vastutus andmekaitsereeglite rikkumise eest. Rikkumisega võivad kaasneda suured trahvid, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
Seepärast on oluline, et ettevõtja oleks reklaamiteenuste valikul kaalutletud ja teadlik. Läbi tuleb mõelda see, milline andmetöötlus konkreetse reklaamiteenusega kaasneb ja piirduda üksnes minimaalselt vajalikuga. Ühe osana andmekaitsealaste nõuete täitmisest tuleb ettevõtjatel reklaami sisseostmisel mõelda sellele, kas vajalik on koostada andmetöötluse mõjuhinnang, õigustatud huvi hinnang või sõlmida andmetöötluslepinguid.