ביום 4.1.2023, הודיעה נציבות הגנת המידע האירית (DPC) על הטלת קנס של 390 מיליון אירו נגד חברת Meta בטענה שהחברה הפרה את הוראות חקיקת ה-GDPR בכך שמיקדה מודעות כלפי משתמשי בפייסבוק ואינסטגרם על סמך פעילותם בפלטפורמה. אמנם החברה מאפשרת למשתמשיה לבטל את הסכמתם למיקוד מודעות על סמך פעילות מקוונת באפליקציות ואתרי צד שלישי, אך החלטה זו מתייחסת ספציפית למיקוד שנשען על פעילות המשתמשים בפלטפורמות של Meta עצמה – משאב מרכזי ורווחי לעסקי הפרסום של החברה.
התלונות נגד החברה הוגשו על ידי אזרחים בלגים ואוסטרים לרגולטור האירי (חברת Meta ממוקמת באירלנד) ביום שחקיקת ה-GDPR נכנסה לתוקף. לפני תאריך זה, החברה שינתה את תנאי השירות עבור שירותיה והודיעה כי היא משנה את הבסיס המשפטי עליו היא מסתמכת כדי לתת לגיטימציה לעיבוד הנתונים האישיים של המשתמשים. על פי סעיף 6 ל-GDPR, עיבוד הנתונים הוא חוקי רק אם וככל שהוא עומד באחד משישה בסיסים משפטיים מזוהים. לאחר שהסתמכה בעבר על הסכמת המשתמשים לעיבוד הנתונים האישיים שלהם בהקשר של אספקת השירותים של פייסבוק ואינסטגרם, החברה ביקשה כעת להסתמך על הבסיס החוזי עבור פעולות העיבוד שלה.
אם משתמשים רצו להמשיך לקבל גישה לשירותי החברה לאחר כניסתו לתוקף של ה-GDPR, משתמשים קיימים (וחדשים) התבקשו ללחוץ על "אני מסכים" כדי לציין את הסכמתם לתנאי השירות המעודכנים (השירותים לא יהיו נגישים אם המשתמשים יסרבו לעשות זאת).
עם זאת, הרגולטור האירי, תוך התבססות על מומחים רבים נוספים, מצא כי החברה אינה רשאית להסתמך על הבסיס החוזי בכל הנוגע לאספקת פרסום התנהגותי כחלק משירותה, וכי עיבודם של נתוני המשתמשים עד כה, לכאורה, תוך הסתמכות על הבסיס המשפטי של "החוזה", עולה לכדי הפרה של סעיף 6 ל-GDPR.
החלטה זו פוגעת בליבת המודל העסקי של Meta ושל כמה פלטפורמות מרכזיות אחרות – פרסום התנהגותי. ל-Meta יש כעת שלושה חודשים מפסק הדין להכריז כיצד היא תתאים את נוהלי איסוף הנתונים שלה לחוק האירופי, למרות שהחברה ערערה על ההחלטה. כפי שראינו בהתאמות אחרות שנקטו רשתות חברתיות כדי לעמוד בהוראות ה-GDPR, גם להחלטה זו תהיה ככל הנראה השפעה על שאר העולם.
קנס זה מצטרף לקנס שהטיל הרגולטור האירי על חברת Meta ביום 28.11.2022 בסך 265 מיליון אירו עקב זליגת מאגרי מידע אישי ונתוני חיפושים בשנת בין השנים 2018-2019.