Fógraíonn an Coimisiún um Chosaint Sonraí gur cuireadh clabhsúr le dhá fhiosrúchán ar Meta Ireland

04th Mí Eanair 2023

D’fhógair an Coimisiún um Chosaint Sonraí (an Coimisiún) inniu gur cuireadh clabhsúr le dhá fhiosrúchán ar oibríochtaí próiseála sonraí Meta Platforms Ireland Limited (“Meta Ireland”) i ndáil le soláthar sheirbhísí Facebook agus Instagram a n-oibríonn sé iad. (Tugadh Facebook Ireland Limited roimhe sin ar Meta Ireland).

Rinne an Coimisiún cinntí críochnaitheacha inar fhorchuir sé ar Meta Ireland fíneáil €210 milliún (as sáruithe ar an Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR) a bhaineann le seirbhís Facebook a n-oibríonn sé í) agus fíneáil €180 milliún (as sáruithe a bhaineann le seirbhís Instagram a n-oibríonn sé í).

Chomh maith leis sin, tugadh ordú do Meta Ireland a oibríochtaí próiseála sonraí a chur i gcomhréir laistigh de thréimhse trí mhí.

Bhain na fiosrúcháin le dhá ghearán maidir le seirbhísí Facebook agus Instagram. Tarraingíodh na saincheisteanna bunúsacha céanna anuas sa dá ghearán. Rinne ábhar sonraí Ostarach gearán amháin (maidir le Facebook); agus rinne ábhar sonraí Beilgeach an gearán eile (maidir le Instagram).

Rinneadh na gearáin an 25 Bealtaine 2018, an dáta ar ar tháinig GDPR i ngníomh.

Roimh an 25 Bealtaine 2018, d’athraigh Meta Ireland na Téarmaí Seirbhíse le haghaidh sheirbhísí Facebook agus Instagram a n-oibríonn sé iad. Luaigh sé freisin go mbeadh sé ag athrú an bhunúis dlí a mbíonn sé ag brath air chun an phróiseáil a dhéanann sé ar shonraí pearsanta úsáideoirí a dhlisteanú. (Faoi Airteagal 6 GDPR, ní bheidh próiseáil sonraí dleathach ach amháin má tá feidhm, agus a mhéid atá feidhm, le ceann amháin de shé bhunús dlí shainaitheanta). Tar éis dó a bheith ag brath roimhe sin ar thoiliú úsáideoirí le próiseáil a sonraí pearsanta i gcomhthéacs sholáthar sheirbhísí Facebook agus Instagram (lena n-áirítear fógraíocht iompraíochta), bhí Meta Ireland ag iarraidh anois a bheith ag brath ar an mbunús dlí “conartha” le haghaidh fhormhór a oibríochtaí próiseála (ach ní gach ceann díobh).

Dá mba rud é gur mhaith leo leanúint le rochtain a bheith acu ar sheirbhísí Facebook agus Instagram tar éis thabhairt isteach GDPR, iarradh ar úsáideoirí a bhí ann cheana (agus ar úsáideoirí nua) cliceáil ar “Glacaim leis” chun a chur in iúl go nglacann siad leis na Téarmaí Seirbhíse nuashonraithe. (Ní bheadh rochtain ag úsáideoirí ar na seirbhísí dá mba rud é gur dhiúltaigh siad do dhéanamh amhlaidh).

Bhí Meta Ireland den tuairim gurbh amhlaidh, ar ghlacadh don úsáideoir leis na Téarmaí Seirbhíse nuashonraithe, a chuathas isteach i gconradh idir Meta Ireland agus an t-úsáideoir. Bhí sé den tuairim freisin gurbh é a bhí i bpróiseáil sonraí úsáideoirí i ndáil le soláthar sheirbhísí Facebook agus Instagram a n-oibríonn sé iad ná cuid riachtanach de chomhlíonadh an chonartha sin, lena n-áirítear seirbhísí pearsantaithe agus fógraíocht iompraíochta a sholáthar, chun go mbeadh oibríochtaí próiseála den sórt sin dleathach faoi threoir Airteagal 6(1)(b) GDPR (an bunús dlí “conartha” don phróiseáil).

Contrártha do sheasamh sonraithe Meta Ireland, d’áitigh na gearánaigh go raibh Meta Ireland ag iarraidh fós brath ar thoiliú chun bunús dleathach a sholáthar don phróiseáil a dhéanann sé ar shonraí úsáideoirí. D’áitigh siad gurbh amhlaidh, toisc go ndearna sé inrochtaineacht a sheirbhísí coinníollach ar úsáideoirí a bheith ag glacadh leis na Téarmaí Seirbhíse nuashonraithe, a bhí Meta Ireland, i ndáiríre, ag “cur iallach” orthu toiliú le próiseáil a sonraí pearsanta le haghaidh fógraíocht iompraíochta agus le haghaidh seirbhísí pearsantaithe eile. D’áitigh na gearánaigh gur sháraigh sé sin GDPR.

Ag teacht sna sála ar imscrúduithe cuimsitheacha, d’ullmhaigh an Coimisiún dréachtchinntí ina ndearna sé roinnt fionnachtana in aghaidh Meta Ireland. Rud suntasach, chinn sé na nithe seo a leanas:

  • 1. De shárú ar a oibleagáidí i ndáil le trédhearcacht, níor leagadh amach go soiléir d’úsáideoirí an fhaisnéis maidir leis an mbunús dlí a raibh Meta Ireland ag brath air agus, mar thoradh air sin, ní raibh go leor soiléire ag úsáideoirí maidir le cé na hoibríochtaí próiseála a bhí á ndéanamh ar a sonraí pearsanta, maidir le cén chríoch/cé na críocha a raibh na hoibríochtaí próiseála á ndéanamh ina leith agus maidir le cén ceann de na sé bhunús dlí a sainaithníodh in Airteagal 6 GDPR a raibh na hoibríochtaí próiseála á ndéanamh faoina threoir. Bhí an Coimisiún den tuairim go raibh an easpa trédhearcachta maidir le nithe chomh bunúsach sin ina sárú ar Airteagail 12 agus 13(1)(c) GDPR. Mheas an Coimisiún freisin gurbh ionann í agus sárú ar Airteagal 5(1)(a), lena gcumhdaítear an prionsabal nach mór sonraí pearsanta úsáideoirí a phróiseáil ar bhealach atá dleathach, cothrom agus trédhearcach. Mhol an Coimisiún go bhforchuirfí fíneálacha an-suntasach ar Meta Ireland i ndáil leis an sárú ar na forálacha sin agus thug an Coimisiún ordú dó a oibríochtaí próiseála a chur i gcomhréir laistigh de thréimhse shainithe ghearr ama. 
  • 2. In imthosca ina bhfuair sé amach nach raibh Meta Ireland ag brath, i ndáiríre, ar thoiliú úsáideoirí chun bunús dlí a sholáthar don phróiseáil a dhéanann sé ar a sonraí pearsanta, níorbh fhéidir gné an “toilithe éigeantaigh” de na gearáin a sheasamh. Ón staid sin, chuaigh an Coimisiún ar aghaidh chun a bhreithniú cé acu atá nó nach bhfuil Meta Ireland ag brath ar “conradh” chun an bunús dlí a sholáthar don phróiseáil a dhéanann sé ar shonraí pearsanta úsáideoirí i ndáil le soláthar a sheirbhísí pearsantaithe (lena n-áirítear fógraíocht phearsantaithe). Anseo, fuair an Coimisiún amach nach raibh ceangal ar Meta Ireland brath ar thoiliú; i bprionsabal, níor cuireadh aon chosc ar Meta Ireland le GDPR brath ar an mbunús dlí conartha.

Faoi nós imeachta a sainordaíodh le GDPR, cuireadh na dréachtchinntí ar ullmhaigh an Coimisiún iad faoi bhráid a rialálaithe piaraí san Aontas Eorpach/sa Limistéar Eorpach Eacnamaíoch, a dtugtar na hÚdaráis Mhaoirseachta lena mBaineann (“CSAnna”) orthu freisin.

Maidir leis an gceist faoi cé acu a ghníomhaigh nó nár ghníomhaigh Meta Ireland de shárú ar a oibleagáidí trédhearcachta, d’aontaigh na CSAnna le cinntí an Choimisiúin, cé go raibh siad den tuairim gur cheart na fíneálacha ar mhol an Coimisiún iad a mhéadú. 

Rinne deich gcinn de na 47 CSA agóidí i ndáil le gnéithe eile de na dréachtchinntí (ar tarraingíodh ceann amháin díobh siar ina dhiaidh sin i gcás an dréachtchinnidh a bhaineann le seirbhís Instagram). Go háirithe, bhí an fothacar CSAnna sin den tuairim nár cheart cead a thabhairt do Meta Ireland brath ar an mbunús dlí conartha ar na forais nach bhféadfaí an soláthar fógraíochta pearsantaithe (mar chuid den mhórshraith seirbhísí pearsantaithe a thairgtear mar chuid de sheirbhísí Facebook agus Instagram) a mheas a bheith riachtanach chun na príomhghnéithe de rud a dúradh a bheith ina chineál conartha i bhfad níos teoranta a chomhlíonadh. 

D’easaontaigh an Coimisiún leis sin, agus an t-easaontú sin ag teacht leis an tuairim a bhí aige go n-áirítear le seirbhísí Facebook agus Instagram seirbhís phearsantaithe a sholáthar a bhfuil fógraíocht phearsantaithe nó fógraíocht iompraíochta i gceist léi agus gurb é an chuma atá air go deimhin go bhfuil seirbhísí Facebook agus Instagram bunaithe ar sheirbhís phearsantaithe den sórt sin a sholáthar.  Go bunúsach, is seirbhísí pearsantaithe iad sin a bhfuil fógraíocht phearsantaithe mar ghné díobh freisin. I dtuairim an Choimisiúin, tá an fhíric sin ina cuid lárnach den mhargadh a rinneadh idir úsáideoirí agus a soláthraí seirbhíse roghnaithe, agus tá sí mar chuid den chonradh a tugadh i gcrích ag an bpointe ag a nglacann úsáideoirí leis na Téarmaí Seirbhíse.

Ag teacht sna sála ar phróiseas comhairliúcháin, tháinig sé chun solais nach rabhthas in ann teacht ar chomhthoil. I gcomhréir lena oibleagáidí faoi GDPR, tharchuir an Coimisiún na pointí faoi dhíospóid chuig an mBord Eorpach um Chosaint Sonraí (“EDPB”) ansin.

D’eisigh EDPB na cinntí uaidh an 5 Nollaig 2022.

Diúltaíodh sna cinntí ó EDPB roinnt mhaith de na haighneachtaí a ndearna na CSAnna iad. Sheas siad freisin le seasamh an Choimisiúin i ndáil leis an sárú a rinne Meta Ireland ar a oibleagáidí trédhearcachta, gan a bheith faoi réir ach sárú breise (ar phrionsabal na “cothroime”) agus ordú go méadódh an Coimisiún suim na bhfíneálacha a mhol sé a fhorchur a chur leis.

Ghlac EDPB tuairim dhifriúil ar cheist an “bhunúis dlí”, á chinneadh gurbh amhlaidh, mar phrionsabal, nach raibh Meta Ireland i dteideal brath ar an mbunús dlí “conartha” mar ní lena soláthraítear bunús dleathach don phróiseáil a dhéanann sé ar shonraí pearsanta chun críche fógraíochta iompraíochta.

Maidir leis na cinntí críochnaitheacha ar ghlac an Coimisiún iad an 31 Nollaig 2022, tá siad ag teacht leis na cinntí ceangailteacha ó EDPB atá leagtha amach thuas. Dá réir sin, áirítear leis na cinntí ón gCoimisiún fionnachtana nach bhfuil Meta Ireland i dteideal brath ar an mbunús dlí “conartha” i ndáil leis an soláthar fógraíochta iompraíochta mar chuid de sheirbhísí Facebook agus Instagram a n-oibríonn sé iad, agus gur sárú ar Airteagal 6 GDPR í an phróiseáil a rinne sé ar shonraí úsáideoirí go dtí seo, de bhua a spleáchais airbheartaithe ar an mbunús dlí “conartha”.

Maidir le smachtbhannaí, agus i bhfianaise an tsáraithe bhreise sin ar GDPR, mhéadaigh an Coimisiún suim na bhfíneálacha riaracháin a forchuireadh ar Meta Ireland go €210 milliún (i gcás Facebook) agus €180 milliún i gcás Instagram. (Tá leibhéil leasaithe na bhfíneálacha sin ag teacht freisin le tuairimí EDPB maidir leis na sáruithe a rinne Meta Ireland ar a oibleagáidí i ndáil le sonraí pearsanta úsáideoirí a phróiseáil ar bhealach cothrom agus trédhearcach).

Coinníodh ceanglas reatha an Choimisiúin nach mór do Meta Ireland a oibríochtaí próiseála a chur i gcomhréir le GDPR laistigh de thréimhse trí mhí.

Ar leithligh uaidh sin, d’airbheartaigh EDPB ordú a thabhairt don Choimisiún imscrúdú úr a dhéanamh, rud lena gcumhdófaí oibríochtaí próiseála sonraí uile Facebook agus Instagram agus lena scrúdófaí catagóirí speisialta sonraí pearsanta a d’fhéadfaí nó nach bhféadfaí a phróiseáil i gcomhthéacs na n-oibríochtaí sin. Ar ndóigh, ní dhéantar tagairt sna cinntí ón gCoimisiún d’imscrúduithe úra ar oibríochtaí próiseála sonraí uile Facebook agus Instagram, ar imscrúduithe iad ar ordaigh EDPB iad sna cinntí ceangailteacha uaidh. Níl ag EDPB ról maoirseachta ginearálta atá cosúil leis sin atá ag cúirteanna náisiúnta i ndáil le húdaráis neamhspleácha náisiúnta agus ní fhéadfaidh EDPB treoir ná ordú a thabhairt d’údarás gabháil d’imscrúdú neamhiata tuairimeach. Dá bharr sin, tá fadhbanna dlínse ag baint leis an ordú, agus is cosúil nach bhfuil sé comhsheasmhach le struchtúir na socruithe comhair agus comhsheasmhachta a leagadh síos le GDPR. A mhéid a d’fhéadfadh cúngach ar thaobh EDPB a bheith i gceist leis an ordú, is cuí leis an gCoimisiún caingean le haghaidh neamhniú a thabhairt os comhair Chúirt Bhreithiúnais an Aontais Eorpaigh chun a iarraidh go gcuirfí na horduithe ó EDPB ar ceal.