EDPS: Opomin za Evropsko komisijo
Evropski nadzornik za varstvo podatkov je Evropski komisiji izrekel opomin zaradi nezakonitega ciljanja na uporabnike X na podlagi njihovih političnih stališč.
Odločitev je bila objavljena 13.12.2024
Od 15. do 28. septembra 2023 je Evropska komisija izvajala ciljno usmerjeno oglaševalsko kampanjo na X, ki se je osredotočala na uporabnike v osmih državah članicah. Kampanja je bila namenjena obveščanju o predlogu uredbe o določitvi pravil za preprečevanje spolne zlorabe otrok in boj proti njej, tako imenovani »Chat Control Regulation«.
Komisija (upravljavec) je za izvedbo pooblastila zunanjega izvajalca. Za ciljno strategijo je upravljavec določil posamezne vključitvene in izključitvene ključne besede. Te ciljane parametre so nato povezali s ključnimi besedami na X in oblikovali ciljne skupine z metodo »look- alike«. Tako so lahko ciljali ljudi z interesi, podobnimi ključnim besedam in vsebinam računov. Kampanja je bila namenjena uporabnikom X, ki govorijo nizozemsko in so bili iz Nizozemske in so bili starejši od 18 let.
Pritožba
Dne 16. novembra 2023 je Noyb v imenu posameznika proti Komisiji vložil pritožbo pri Evropskem nadzorniku za varstvo podatkov zaradi domnevne nezakonite obdelave podatkov za ciljano oglaševanje. Posameznik, na katerega se nanašajo osebni podatki, je svojo pritožbo utemeljil sklicevanje na določila Uredbe 2018/1725, ki zagotavlja zaščitno, enakovredno GDPR, vendar velja za dejanja institucij EU.
Posameznik je trdil, da je upravljavec glede na Uredbo 2018/1725 obdelal posebne vrste njegovih podatkov v skladu s členom 10(2) in s tem kršil načelo zakonitosti iz člena 4(1)(a). Poleg tega je posameznik navedel, da Komisija kot skupni upravljavec prav tako nosi odgovornost.
Posebne vrste osebnih podatkov
Upravljavec je izločil profile s ključnimi besedami, ki so povezane z »evroskeptičnim« političnim mnenjem, kot je »Viktor Orban«. Vključili pa so profile, ki so bili označeni kot »pro EU« in so vključevali določene stranke in politike. Zato je posameznik trdil, da je nameraval upravljavec ciljati na ljudi glede na politična mnenja. Tovrstna praksa naj bi vključevala profiliranje na podlagi posebnih vrst osebnih podatkov, v tem primeru politično prepričanje. S tem naj bi Komisija kršila člen 10(1), ki prepoveduje obdelavo posebnih vrst osebnih podatkov, saj ni veljala nobena od izjem iz člena 10(2). Poleg tega, tudi če Komisija ni nameravala obdelati posebnih vrst podatkov, člen 10(1) in člen 4(1)(a) ne zahtevata opredelitve namena upravljavca.
Zagovor Komisije
Komisija je trdila, da izbira ključnih besed za vključitev in izključitev ni temeljila na osebnih podatkih določenih uporabnikov X. Ciljali naj bi skupine glede na njihovo starost, lokacijo in govorjeni jezik, vendar so izjavili, da niso nameravali obdelovati posebnih vrst osebnih podatkov. Komisija je pojasnila, da algoritem X določi ljudi s podobnimi interesi na podlagi tega, kar objavijo in delijo, za objavo kampanje so tako zgolj uporabili storitve družbe X.
Komisija naj bi obdelavo podatkov izvajala za opravljanje nalog v javnem interesu iz člena 5(1)(a), pri čemer se je sklicevala na sporočanje zakonodajnih predlogov. Kot pravno podlago za to se je Komisija sklicevala na člen 17(2) Pogodbe o Evropski uniji (PEU), ki jim podeljuje splošno pravico do pobud za zakonodajne predloge.
Odločitev EDPS
EDPS je menil, da Komisija določa sredstva in namene ciljanega oglaševanja v politične namene. Poudaril je, da je uveljavljanje interesa s postopkom obdelave znak določanja namenov obdelave. Komisija je izbrala storitve, ki jih ponuja X, in izbrala ključne besede, ki so nato določile ciljno občinstvo, kar pomeni, da je Evropska komisija delovala kot upravljavec.
Opravljanje nalog v javnem interesu
EDPS navaja, da je člen 17(2) PEU po naravi zelo splošen in se ne nanaša na promocijske dejavnosti Komisije ter zato ne izpolnjuje zahteve po jasni in natančni pravni podlagi iz člena 5(2). EDPS je zato zavrnil trditev Komisije, da je bila obdelava podatkov potrebna za opravljanje naloge v javnem interesu. Ugotovljeno je bilo, da druge pravne podlage, kot je soglasje, niso uporabne. Zato je EDPS ugotovil, da je upravljavec kršil člene 4(1)(a), 4(2), 5 in 26 Splošne uredbe.
Posebne vrste osebnih podatkov
EDPS je določil, da če ponudnik družbenih medijev uporabnike kategorizira glede na določena verska, filozofska ali politična prepričanja, je treba to razumeti kot obdelavo posebnih vrst osebnih podatkov. EDPS je pojasnil, da je X ciljal na uporabnike z interesi, podobnimi ključnim računom, in besede, ki so bile neposredno povezane s politično pripadnostjo. EDPS je pojasnil, da je X ravnal po navodilih Komisije, zato nosi del odgovornosti. Nadalje je EDPS še izpostavil, da je namen upravljavca, da bo obdeloval posebne vrste osebnih podatkov, nepomemben, kot je ustaljeno v sodni praksi Sodišča EU (npr. C-131/12).
Izjeme pri obdelavi posebnih vrst osebnih podatkov
EDPS je obravnaval izjeme pri obdelavi posebnih vrst podatkov v skladu s členom 10(2) Uredbe, vendar je ugotovil, da niso relevantne.
Izpostavil je, da je Sodišče EU v zadevi C-252/21 pokazalo, da deljenja ali všečkanja določenih objav ni mogoče šteti za očitno javno objavo podatkov. V tem primeru je imel posameznik svoj račun nastavljen na zasebni in da tudi če so bili podatki očitno javno objavljeni, to samo po sebi ne dovoljuje nadaljnje obdelave teh podatkov za politično oglaševanje, zlasti če tega posameznik razumno ne pričakuje.
Zaključek
EDPS je odločil, da je Komisija kršila člene 4(1)(a), 4(2), 5, 10(1) in 26 Splošne uredbe z nezakonito obdelavo osebnih podatkov, vključno s posebnimi vrstami osebnih podatkov, brez privolitve. EDPS je upravljavcu izrekel opomin in pojasnil, da globa ni potrebna, saj se je praksa že končala.
Celotna odločitev je dostopna tukaj
Vir: EDPS
Naslovna slika: RawPixel
