Gorzkie ciasteczka Facebooka

16 lutego brukselski Trybunał Pierwszej Instancji wydał ważny wyrok, który zwraca uwagę na poważne nadużycia przez Facebook regulacji dotyczących ochrony danych osobowych – zarówno jeśli chodzi o jego użytkowników, jak i osoby, które strony Facebooka nigdy nawet nie odwiedziły. Czy to pierwszy zwiastun rewolucji prywatności, która nadejdzie wraz z RODO?

Facebooka grzechy główne

Postępowanie przed sądem zainicjowała belgijska Komisja Ochrony Życia Prywatnego. Sąd w swoim wyroku, którego pełną treść poznamy za kilka tygodni, przychylił się do argumentacji Komisji. Trybunał uznał, że Facebook pozyskuje oraz przetwarza dane użytkowników bez skutecznego uzyskania od nich zgody. Dodatkowo portal nie informuje wystarczająco swoich klientów o charakterze zbieranych danych, jak i o dalszych ich losach ani o czasie ich przechowywania.

Facebook śledzi również zachowania swoich użytkowników poza domeną facebook.com, nawet jeśli wycofają na to zgodę. Zdaniem belgijskiego sądu portal wymusza zgodę na pozyskiwanie danych poprzez stosowanie techniki take it or leave it, zgodnie z którą użytkownicy nie mogą jednocześnie odmówić wyrażenia zgody i dalej korzystać z serwisu.

Śledzenie odbywa się przy pomocy niewidocznych kodów śledzących oraz datr cookies. Te ostatnie instalowane są na komputerach wszystkich osób, które wejdą na stronę portalu, a więc także tych, które nie mają w nim swoich profili. Pozwala to Facebookowi na zbieranie informacji o kolejnych wizytach internautów na jego stronach bądź na dowolnej innej stronie internetowej, na której znajduje się facebookowa wtyczka (taka jak „polub” czy „udostępnij”).

Oznacza to, że portal w swoim śledzeniu jest demokratyczny – pozyskuje informacje zarówno o swoich zalogowanych, jak i wylogowanych użytkownikach; o osobach, które swoje konto usunęły; o internautach, którzy kiedykolwiek odwiedzili stronę facebook.com, nie rejestrując się na niej; a w niektórych przypadkach również o tych, którzy na facebook.com nigdy nie byli. Belgijski sąd dopatrzył się ponad 10 tysięcy stron, na których Facebook umieścił swoje „pluskwy”.

Wygrana bitwa w przedłużającej się wojnie

Trybunał nakazał firmie zaprzestanie śledzenia i rejestrowania zachowań internautów znajdujących się na terytorium Belgii aż do czasu dostosowania praktyk do obowiązującego prawa dotyczącego ochrony danych osobowych. Facebook ma także usunąć wszystkie nielegalnie pozyskane dane, pod groźbą kary sięgającej 250 tysięcy euro za dzień zwłoki, aż do osiągnięcia maksymalnej kwoty 100 milionów euro.

To kolejny przystanek w trwającej od 2015 r. bitwie między belgijską Komisją a amerykańskim gigantem. Impulsem do wytoczenia sprawy przez Komisję było opublikowanie przez uniwersytet w Leuven raportu, który ujawnił, że Facebook śledzi użytkowników bez ich zgody, łamiąc tym samym prawo europejskie. Sprawa zakończyła się jednak pomyślnie dla Facebooka, ponieważ belgijski sąd apelacyjny uznał, że nie ma kompetencji do sądzenia amerykańskiej firmy, której europejska siedziba znajduje się w Irlandii. Belgijski odpowiednik GIODO nie ugiął się jednak tak łatwo i doprowadził do tego, że tym razem trybunał pierwszej instancji zmienił podejście i rozstrzygnął na korzyść belgijskich użytkowników Internetu. Facebook zapowiada apelację od wyroku.

Początek rewolucji czy pyrrusowe zwycięstwo?

Belgijski kazus budzi nadzieję na lepszą ochronę prywatności internautów, lecz jego praktyczne konsekwencje pozostają niewiadome. W rozstrzygnięciu sądu można dopatrywać się zwiastuna wchodzącego w życie za trzy miesiące RODO. Cieszy nas, że europejskie sądy jeszcze przed nabraniem pełnej mocy prawnej przez unijną regulację orzekają w jej proprywatnościowym duchu. Belgijski wyrok wpisuje się bowiem w szerszą tendencję, w ramach której organy kolejnych państw członkowskich pociągają Facebooka do odpowiedzialności za naruszanie ustawodawstwa dotyczącego prywatności. Przykładowo: w maju 2017 r. francuski urząd ochrony danych osobowych CNIL nałożył na firmę karę w wysokości 150 tysięcy euro, a na początku lutego sąd w Berlinie orzekł, że domyślne ustawienia prywatności (np. co do lokalizacji) naruszają niemieckie prawo.

Czy wyrok brukselski jest pierwszym zwiastunem zmian, które zmuszą Facebooka do przemyślenia jego modelu biznesowego, opartego na śledzeniu i reklamie behawioralnej? Odpowiedź poznamy po rozpatrzeniu przez sąd apelacji oraz ugruntowaniu się w praktyce nowych zasad wprowadzonych przez RODO. Rozstrzygnięcie to ma jednak potencjał wywrotowy i może stanowić furtkę do nowej rewolucji prywatności.

Weronika Adamska

Czytaj także: Belgowie punktują Facebooka

Wesprzyj naszą walkę o wolność i prywatność. Wpłać darowiznę na konto Fundacji Panoptykon i przekaż nam 1,5% podatku (KRS: 0000327613).