Schrems vs Meta: Nová pravidla pro digitální marketing

Dne 4. října 2024 vydal Soudní dvůr EU rozsudek ve věci Schrems v. Meta, který přináší významné změny v tom, jak Meta – a další online inzerenti – mohou používat osobní údaje. Tento rozsudek upřesňuje pravidla v digitálním marketingu, ochraně údajů a svobodě projevu na internetu.

GDPR princip minimalizace údajů a marketing

Rozsudek Soudního dvora Evropské unie (SDEU) v případu C-446/21 se zaměřuje se na dvě klíčové oblasti: rozsah údajů používaných k reklamním účelům a ochranu veřejně dostupných osobních informací. V tomto smyslu představuje zlom ve způsobu, jakým se osobní údaje používají pro online reklamu. Současný reklamní model společnosti Meta závisí na rozsáhlém shromažďování osobních údajů, které jsou uchovávány již od založení Facebooku v roce 2004. Společnost tyto údaje využívá k cílení personalizovaných reklam.

Rozsudek však omezuje používání takových údajů a akcentuje princip minimalizace údajů stanovený v článku 5 odst. 1 písm. c) obecného nařízení o ochraně osobních údajů (GDPR). Tento princip vyžaduje, aby společnosti zpracovávaly pouze takové údaje, které jsou relevantní a skutečně nezbytné pro daný účel zpracování.

Meta, podobně jako mnoho dalších společností, vytvořila rozsáhlou databázi s údaji získanými z různých zdrojů, včetně profilů uživatelů a sledovacích technologií. To v praxi často znamená, že osobní údaje jsou využívány bez jasného časového omezení, což může být v rozporu právě s požadavkem na minimalizaci údajů podle GDPR.

Komentovaný rozsudek nutí společnost Meta přehodnotit přístup ke zpracování osobních údajů a zavádí přísnější požadavky i pro další společnosti v oblasti online reklamy. Společnosti nyní budou muset vytvořit přísné protokoly pro mazání údajů, aby zajistily, že používání osobních údajů je striktně omezeno na to, co je skutečně nezbytné.

Svoboda projevu a veřejně dostupné informace: Jasné vymezení

SDEU se také zabýval otázkou, zda lze veřejně dostupné osobní údaje zpracovávat i pro jiné účely a kombinovat je s dalšími informacemi. Společnost Meta tvrdila, že veřejná vyjádření Maxe Schremse jim implicitně umožnila zpracovávat i další nesouvisející osobní údaje pro reklamní účely. Tato praxe byla založena na článku 9 odst. 1 písm. e) GDPR, který umožňuje zpracování veřejně dostupných údajů.

SDEU však toto tvrzení zamítl a potvrdil princip účelového omezení podle článku 5 odst. 1 písm. b) GDPR. Ten omezuje zpracování údajů pouze, pro který byly údaje shromážděny (s výjimkou upravenou v čl. 6 odst. 4 GDPR). Pan Schrems argumentoval, že jeho veřejné komentáře o praktikách Meta neznamenají souhlas se zpracováním jiných nesouvisejících osobních údajů, které Meta shromáždila již dříve.

Dopad rozsudku na online marketing

Případ má své kořeny v roce 2014, kdy pan Schrems podal žalobu proti Meta Ireland, provozovateli Facebooku. Tvrdil, že reklamní praktiky společnosti Meta porušují GDPR, zejména pokud jde o minimalizaci údajů a souhlas uživatelů s využitím dat. Rakouský nejvyšší soud v roce 2021 postoupil případ na SDEU s několika otázkami týkajícími se porušování GDPR.

Přestože některé otázky již Soudní dvůr EU řešil v předchozí případě C-252/21 (Bundeskartellamt), rozsudek ve věci C-446/21 přinesl významné odpovědi na zbylé otázky, které byly nyní rozhodnuty ve prospěch pana Schremse.

Rozhodnutí má širší dopad nejen na společnost Meta, ale signalizuje také posun v celé digitální oblasti Evropy. Online reklamní společnosti budou muset věnovat větší pozornost minimalizaci údajů a zajistit, aby osobní údaje uživatelů nebyly uchovávány a používány na neurčito. Společnosti budou také muset zvážit, jak nakládají s veřejně dostupnými osobními údaji, zejména pokud jde o citlivé informace, jako jsou zdravotní údaje nebo informace vypovídající o sexuální orientaci.

Poslouží rozsudek Schrems vs. Meta jako precedent?

Komentovaný rozsudek SDEU ve věci C-446/21 představuje významné vítězství pro ochranu osobních údajů a porážku pro společnosti jako Meta, které shromažďovaly rozsáhlé sady údajů pro cílenou reklamu. Tento rozsudek bude pravděpodobně sloužit jako precedent pro budoucí soudní spory týkající se ochrany osobních údajů a posílí práv uživatelů v digitální éře.

Článek je publikován také na doméně GDPR.cz.

Chcete získat dárek k narozeninám?