Nakon pet godina na snazi golemog zakona EU-a o privatnosti podataka, malo je onih koji su zadovoljni rezultatima.
Opća uredba EU-a o zaštiti podataka (GDPR) hvali se kao najstroži propis o privatnosti podataka na svijetu. Uređuje kako internetske tvrtke mogu koristiti podatke iz EU-a. građana i namjerno je nejasan kako bi se mogao široko primijeniti. Ali mnogi ukazuju na propuste u provedbi koji kažnjavaju neke industrije u odnosu na druge i ostavljaju tvrtke u neznanju o tome kako slijediti njihova pravila.
Meta — Facebook, Instagram i WhatsApp roditelj koji vodi Mark Zuckerberg — jedan je od najvećih primatelja kazni povezanih s GDPR-om. Duguje 1,37 milijardi eura (1,5 milijardi dolara) iz devet slučajeva, ili polovicu ukupne vrijednosti kazni koje je odredilo svih 27 EU-a. zemlje zajedno.
“Mislim da se Meta nije ponašala onako kako je mogla”, rekao je za Observer Ray Friel, profesor prava na Sveučilištu Limerick u Irskoj. 'Ostavljajući to po strani, mislim da je slučaj da su Europljani izdvojili američke tehnološke tvrtke, a Meta je jedan od eklatantnijih primjera.'
Budući da se europsko sjedište Mete nalazi u Irskoj, irski regulator preuzima primarnu odgovornost kažnjavanja društvene mreže u ime svih zemalja u EU-u, kao što je propisano GDPR-om. Dok je samo sedam od 24 kazne irskog regulatora protiv Mete, optužbe protiv Zuckerbergove tvrtke iznose 99,8 posto novčane vrijednosti koju je Irska kaznila. Francuska i njemačka regulatorna tijela također su izrekla kazne protiv kompanije.
Irski regulator, Komisija za zaštitu podataka (DPC), nema namjeru usporiti, s još 12 otvorenih istraga protiv diva društvenih medija, prema Cianu O'Brienu, zamjeniku povjerenika DPC-a koji nadzire opsežne istrage.
Tvrtka je optužena za svoje prakse prikupljanja podataka, za pogrešno postupanje s podacima djece i za niz curenja, između ostalog. Za većinu tih tužbi Meta je iznijela probleme pred sud i branila svoje postupke. Nijedan od sudskih sporova nije okončan. Dok tvrtka ima a povijest problema s privatnošću , učestalost i vrijednost kazni protiv Mete—u usporedbi s tužbama protiv sličnih tvrtki—pokreću pitanja o tome kako agencije za provedbu dodjeljuju kazne.
Za usporedbu, TikToku je naplaćeno 15,3 milijuna eura (16,7 milijuna dolara), ili 1 posto ukupnog iznosa Mete, iako su dvije velike istrage DPC-a pri kraju. Amazon i Google dobili su kazne od 748 milijuna eura, odnosno 216 milijuna eura, ali kombinirani iznos još uvijek ne doseže Metin ukupni iznos. Druge velike tehnološke tvrtke poput Microsofta i Applea, kao i tvrtke društvenih medija poput Snapa, Pinteresta i LinkedIna, nikada nisu bile kažnjene prema GDPR-u.
Slučajevi DPC-a protiv Mete ilustriraju veće kršenje privatnosti podataka koje se događa u Europi i SAD-u. GDPR predviđa kazne koje dosad nisu bile dosegnute u EU-u, a d usprkos njegovim kritikama, mnogi ga još uvijek smatraju najopsežnijim i najnaprednijim zakonom o zaštiti podataka u svijetu. U SAD-u zakonodavci imaju gurao regulaciju ili zabranu TikToka , strahujući da tvrtka dijeli korisničke podatke s kineskom vladom. Prijetnja kaznama i regulacijom sve više otežava velikim tehnološkim tvrtkama poslovanje na nekim od najunosnijih tržišta.
Provedba GDPR-a teška je bitka
Dok irski DPC dostavlja službene odluke protiv Mete, nacrti se dijele među svim tijelima za zaštitu podataka u EU. za odobrenje. GDPR ovaj sustav naziva 'one-stop-shop', s namjerom da pojednostavi postupak dodjele i žalbe na kazne. Osim kazni, DPC nalaže tvrtkama da izvrše ispravke u svojoj praksi. Kada regulator kažnjen Facebook i Instagram u siječnju su zbog nedostatka odgovarajuće pravne osnove za prikupljanje i obradu korisničkih podataka također zahtijevali da tvrtka ažurira svoje poslovanje u skladu sa zakonom. Promjena u Metinom modelu oglašavanja temeljenom na podacima mogla bi značajno naštetiti njezinim prihodima. To apelirao odluka.
Očekuju se žalbe i izazovi, rekao je Graham Doyle, voditelj korporativnih poslova u DPC-u. Ali prava promjena događa se za potrošače kada tvrtke unesu ove ispravke, rekao je za Observer.
Dvosmislen GDPR je u određenoj mjeri nužan. Svijet tehnologije kreće se tako brzo da bi, kada bi zakonodavstvo bilo previše specifično, tvrtke uvele inovacije izvan onoga što zakon regulira, rekao je Friel. Ostajući općenito, vlasti mogu promijeniti značenje GDPR-a za primjenu na nove tehnologije kako se one razvijaju.
'To je kao vožnja automobila', rekao je. “Samo ti je suđeno da ga voziš sigurno. To ne znači da postoji zakon koji pokriva sve.'
Ali to je također velika slabost GDPR-a, prema Townsendu Feehanu, izvršnom direktoru europskog ogranka Interactive Advertising Bureaua, trgovačke udruge za oglašavanje i digitalni marketing čiji je Meta član.
Budući da GDPR koristi subjektivne izraze i ne ističe što bi točno tvrtke trebale činiti kako bi se uskladile, 'u tijeku je neugodna igra pogađanja', rekla je. Dok tehnološka industrija uspješno lobirao za labava pravila umjesto izravnih zabrana, nedostaje jasno i djelotvorno tumačenje zakona, rekla je.
Teško je surađivati s tijelima za zaštitu podataka jer nemaju resurse za potpuno razumijevanje tehnologija digitalnog oglašavanja, rekla je. A sustav one-stop-shop ne uspijeva jer regulatori dodijeljeni finim tvrtkama nemaju nužno stručnost u tom sektoru, rekla je. Na primjer, regulator svake županije mogao bi se usredotočiti na drugu industriju kao što su zdravstvena zaštita, oglašavanje ili financijski podaci, umjesto da regulira tvrtke s različitim specijalnostima jer imaju sjedište na određenim zemljopisnim lokacijama.
kako imati seks za novac
'Naša industrija posebno je kažnjena neuspjehom postupka izvršenja', rekla je. 'Da je bilo više mjera na svim tržištima, s prozivanjem i sankcioniranjem kršenja autorskih prava, bilo bi mnogo manje prostora za kritičare industrije da kažu, 'cijela bačva je pokvarena'.'
Članovi irskog regulatora ne slažu se s Feehanom. DPC ima opsežnu stručnost u digitalnom oglašavanju i drugim sektorima, rekao je O’Brien.
Iako GDPR ne daje model za to kako bi se internetske tvrtke trebale pridržavati, slučajevi pokrenuti protiv tvrtki predstavljaju presedan, rekao je za Observer. Na primjer, DPC je kaznio Metu za pogrešno rukovanje podacima djece javno objavljujući svoje telefonske brojeve i e-mailove kada su se prijavljivali na poslovne profile, a ne na osobne. Iako je sam slučaj bio specifičan za tvrtku, također je jasno izložio što se očekuje od svih tvrtki koje posluju prema GDPR-u u vezi s podacima o djeci.
“GDPR je po mom mišljenju bio ogroman uspjeh”, rekao je O’Brien. 'U DPC-u smo unijeli mnogo sigurnosti u primjenu GDPR-a.'
Vjerojatno će biti manje tužbi protiv tvrtki zbog pravila koja su već prekršena jer postojeći slučajevi pružaju jasnoću o tome što regulatori smatraju usklađenošću, rekao je Doyle, koji vodi DPC-ove korporativne poslove.
Meta je odbila komentirati.
Meta protiv regulatorne supersile
Teško je europskom tehnološkom sektoru natjecati se s američkim i kineskim divovima, uključujući Apple, Google, Alibabu i Huawei. Zbog toga 'postoji određeni stupanj nepoštenosti, mnogo prije kazni Mete', rekao je Friel. Postoji 'temeljni cilj stvoriti taj prostor koji bi omogućio pojavu europskog prvaka', rekao je.
Niz nedavno odobrenih EU. zakoni bi mogli dopustiti da se 'budući Googleovi ili Alibabe pojave na europskom tlu', kaže Meta Nick Clegg napisao u a post na blogu . Clegg je prethodno imao 12-godišnju karijeru u britanskom parlamentu, a sada radi kao predsjednik globalnih poslova u tvrtki Meta.
O’Brien iz DPC-a zanijekao je bilo kakvu pristranost u ime regulatora, ali dijalog ukazuje na ono što bi se moglo dogoditi na višoj razini. Iako se Europa ne može nužno natjecati u tehnološkom prostoru, ona se izgradila kao regulatorna supersila koja još uvijek može imati utjecaja na budućnost ovih kompanija, rekao je Friel.
U prošlosti je EU je postavio globalne standarde u socijalnoj i ekološkoj politici. 'Zaštita podataka - podaci kao nova nafta - bila je nešto što je Europa mogla kontrolirati', rekao je.
Europska unija ima 450 milijuna ljudi — više od SAD-a — i prodavati toj populaciji znači slijediti njezina pravila. Dok bi Meta mogla prekinuti poslovanje u EU-u. da bi se izbjegle stalne novčane kazne, moglo bi biti preveliko tržište za gubitak. Europa je tvrtki zaradila 27,8 milijardi dolara u 2022., što je četvrtina ukupnog prihoda.
Kao rezultat nastavka poslovanja pod strogim GDPR-om, mogao bi se promijeniti i način na koji tvrtka posluje u SAD-u, rekao je Friel.
Za globalne tvrtke poput Mete, imati različite skupove nacionalnih pravila može biti teško. Samo u SAD-u, 23 države su uvele zakone o privatnosti, a osam država je donijelo zakone, uključujući Kaliforniju, koji potrošačima daju pravo znati koje informacije tvrtke prikupljaju o njima i pravo da ih izbrišu.
Big Tech želi slijediti jedan skup globalnih pravila, rekao je. Slijeđenje najstrožih zakona može pokriti pravne osnove mnogih drugih zemalja. To bi također moglo značiti odricanje od značajnog dijela Metinih prihoda od oglašavanja.
Je li Meta zapravo u nevolji?
U nadolazećim danima očekuje se da će DPC zaključiti još jednu istragu visokog profila protiv Mete zbog prijenosa podataka u SAD, prema O’Brienu. Nije mogao otkriti iznos kazne ili korektivne mjere koje regulator planira nametnuti.
Iako novčane kazne mogu poremetiti tvrtke, štete samo do te mjere da se novac ne može nadoknaditi. Regulatori su kaznili Metu s 1,5 milijardi dolara od 2018., no tvrtka je u tom razdoblju zaradila 443 milijarde dolara prihoda – 132 milijarde dolara neto prihoda – prema financijskim dokumentima tvrtke. 'Kazne su smiješne za Metu', rekao je Romain Robert, programski direktor u NOYB-u, europskoj neprofitnoj organizaciji usmjerenoj na privatnost koja regulatorima podnosi pritužbe protiv tvrtki.
Ali kazne su vrh ledenog brijega, rekla je Aurélie Pols, službenica za zaštitu podataka sa sjedištem u Španjolskoj koja savjetuje tvrtke u vezi s GDPR-om. Pravi trošak su mjere koje bi Meta mogla poduzeti, uključujući brisanje svojih podataka ili nakon zabrane prikupljanja podataka, rekla je. Iako DPC ima ovlasti nametnuti privremenu ili potpunu zabranu obrade podataka za Metu, još nije.
'Strategija (za Metu) je odvjetništvo, kupovina vremena i pokušaj nastavka s poslovnim modelom dok oni potencijalno shvate kako to učiniti drugačije', rekla je. Tvrtka se bori protiv šest od devet slučajeva na sudu.
Metin poslovni model je u opasnosti, i to ne samo u Europi, rekla je za Observer.
SAD nema nikakav nacionalni ekvivalent GDPR-u, ali razgovori oko TikToka sugeriraju da su američki zakonodavci, i demokrati i republikanci, zasićen snagom koju donosi Big Tech . Ključno pitanje je to što je 'velikim tvrtkama društvenih medija dopušteno prikupljati gomilu duboko osobnih podataka o vama bez ikakvih značajnih propisa', zastupnica Alexandria Ocasio-Cortez, demokrat iz New Yorka, došao na TikTok . SAD je jedna od rijetkih razvijenih nacija bez značajnih zakona o zaštiti podataka ili privatnosti, rekla je, navodeći GDPR kao primjer.
Nije jasno hoće li savezni zakon u SAD-u biti usvojen, rekao je Pols. 'SAD je vrlo fokusiran na posao i bit će i dalje.'
Rečeno je da glavna prijetnja u SAD-u nije zakonodavstvo, već kolektivne tužbe motke . Kazne povezane s tužbama ponekad mogu premašiti iznos koji DPC naplaćuje. U 2021. Meta je platila 650 milijuna dolara, više od bilo koje pojedinačne kazne povezane s GDPR-om protiv tvrtke, koja je proizašla iz zajedničke tužbe u SAD-u tužba u vezi sa značajkom prepoznavanja lica tvrtke. U prosincu je Meta pristao platiti 725 milijuna dolara za nagodbu tužbe koja je tvrdila da dijeli podatke s Cambridge Analyticom bez pristanka korisnika. Savezna trgovinska komisija SAD-a kaznio Metu s rekordnih 5 milijardi dolara 2019. u vezi s istim problemom.
Robert , direktor NOYB-a, priprema grupne tužbe u EU. jer ne misli da sustav provedbe GDPR-a ne funkcionira, rekao je.
“Stvarno je zamorno provoditi GDPR”, rekao je. “Koliko god je za tvrtke iscrpljujuće pridržavati se propisa, toliko je iscrpljujuće provoditi ih. Svi smo iscrpljeni.”
