Interdicție impusă companiei Meta Ireland Limited pentru prelucrarea datelor cu caracter personal în scopuri de publicitate comportamentală
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre decizia EDPB, prin intermediul căreia, companiei Meta Ireland Limited (Meta IE) i s-a impus o interdicție pentru prelucrarea datelor cu caracter personal în scopuri de publicitate comportamentală pe baza unui contract și a interesului legitim. Decizia obligatorie urgentă a EDPB a urmat unei solicitări din partea Autorității Norvegiene pentru Protecția Datelor (NO DPA) de a dispune măsuri definitive pe baza acestui subiect și vizează utilizatorii din întreg Spațiul Economic European (SEE).
Anterior, la data de 14 iulie 2023, NO DPA a adoptat un ordin prin care a impus o interdicție temporară asupra Meta IE și Facebook Norway AS, în temeiul art. 66 (1) din GDPR. Această interdicție a fost limitată în timp și în sfera geografică: a fost valabilă timp de trei luni și s-a aplicat numai în Norvegia. La data de 26 septembrie 2023, NO DPA a înaintat o cerere către EDPB pentru o decizie obligatorie urgentă de a dispune adoptarea unor măsuri finale aplicabile pentru utilizatorii din toate statele SEE.
În urma analizei dosarului, EDPB a constatat că există o încălcare continuă a art. 6 (1) din GDPR din cauza utilizării necorespunzătoare a temeiurilor juridice, precum și neconformitatea companiei cu deciziile anterioare emise, în special deciziile finale ale Autorității Irlandeze pentru Protecția Datelor (IE DPA) din decembrie 2022.
În ceea ce privește existența urgenței, EDPB a concluzionat că mecanismele de cooperare nu pot fi aplicate în modul lor obișnuit și că necesitatea urgentă de a dispune măsuri finale este evidentă, având în vedere riscurile de prejudicii grave și ireparabile cauzate subiecților de date fără adoptarea acestor măsuri.
În plus, EDPB a constatat că IE DPA nu a răspuns la o cerere de asistență reciprocă din partea NO DPA, în termenul stabilit în GDPR. Prin urmare, prezumția de urgență stabilită de art. 61 alineatul (8) din GDPR se aplică, ceea ce coroborează și mai mult necesitatea de a deroga de la mecanismele regulate de cooperare și coerență.
În context, EDPB a decis că măsurile finale trebuie să fie adoptate de către IE DPA, impunând o interdicție de prelucrare adresată Meta IE pentru prelucrarea datelor cu caracter personal colectate cu privire la produsele companiei în scopuri de publicitate comportamentală pe baza contractului și a interesului legitim.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare