Pengadilan tinggi Uni Eropa telah memihak tantangan privasi terhadap kebijakan penyimpanan data Meta. Pada hari Jumat diputuskan bahwa jejaring sosial, seperti Facebook, tidak dapat terus menggunakan informasi orang untuk menargetkan iklan tanpa batas waktu.
Keputusan tersebut dapat berdampak besar pada cara Meta dan jaringan sosial lain yang didanai iklan beroperasi di wilayah tersebut.
Batasan berapa lama data pribadi dapat disimpan harus diterapkan untuk mematuhi prinsip minimalisasi data yang terkandung dalam Peraturan Perlindungan Data Umum (GDPR) blok tersebut. Pelanggaran terhadap rezim ini dapat mengakibatkan denda hingga 4% dari omzet tahunan global — yang, dalam kasus Meta, dapat mengakibatkan denda miliaran dolar lagi (Catatan: Meta sudah berada di puncak papan peringkat Big Tech pelanggar GDPR).
Keputusan CJEU mengikuti pendapat sebelumnya mengenai kasus ini, yang diterbitkan oleh penasihat pengadilan pada bulan April, yang juga mendukung pembatasan penyimpanan data pribadi untuk penargetan iklan.
Saat dihubungi untuk memberikan tanggapan, juru bicara Meta Matt Pollard mengatakan perusahaan sedang menunggu untuk melihat keputusan penuh.
“Kami menunggu publikasi keputusan Pengadilan dan akan ada lebih banyak informasi yang bisa dibagikan pada waktunya,” katanya kepada TechCrunch melalui email. “Meta sangat memperhatikan privasi dan telah menginvestasikan lebih dari lima miliar Euro untuk menanamkan privasi di inti semua produk kami. Setiap orang yang menggunakan Facebook memiliki akses ke berbagai pengaturan dan alat yang memungkinkan orang mengelola cara kami menggunakan informasi mereka.”
Raksasa teknologi iklan ini menghasilkan uang dengan melacak dan membuat profil pengguna jejaring sosialnya, baik di layanannya sendiri maupun di seluruh web, melalui jaringan teknologi pelacakan termasuk cookie, piksel, dan plugin sosial, untuk menjual iklan bertarget mikro. layanan. Jadi, batasan apa pun pada kemampuannya untuk terus-menerus membuat profil pengguna web di wilayah utama untuk bisnisnya dapat mengurangi pendapatannya.
Tahun lalu, Meta menyatakan bahwa sekitar 10% pendapatan iklan global dihasilkan di UE.
Kesuksesan Schrems vs. Facebook lainnya
Keputusan CJEU tersebut mengikuti rujukan dari pengadilan di Austria di mana aktivis privasi Eropa, Max Schrems, telah mengajukan gugatan terhadap pengumpulan data Facebook dan dasar hukum periklanan, serta isu-isu lainnya.
Mengomentari kemenangan dalam a penyataan diterbitkan oleh organisasi nirlaba hak privasi Schrems malampengacaranya, Katharina Raabe-Stuppnig, menulis: “Kami sangat senang dengan keputusan tersebut, meskipun hasil ini sangat diharapkan.”
“Meta pada dasarnya telah membangun kumpulan data pengguna dalam jumlah besar selama 20 tahun, dan terus berkembang setiap hari. Namun, undang-undang UE mewajibkan 'minimalisasi data'. Setelah keputusan ini, hanya sebagian kecil dari kumpulan data Meta yang akan diizinkan digunakan untuk iklan — bahkan ketika pengguna menyetujui iklan tersebut. Keputusan ini juga berlaku untuk perusahaan periklanan online lainnya yang tidak menerapkan praktik penghapusan data yang ketat,” tambahnya.
Tantangan awal terhadap bisnis periklanan Meta dimulai pada tahun 2014 tetapi tidak sepenuhnya terdengar di Austria hingga tahun 2020, menurut noyb. Mahkamah Agung Austria kemudian mengajukan beberapa pertanyaan hukum ke CJEU pada tahun 2021. Beberapa diantaranya dijawab melalui tantangan terpisah ke Meta/Facebook, dalam keputusan CJEU pada bulan Juli 2023 — yang membatalkan kemampuan perusahaan untuk mengklaim “kepentingan yang sah” untuk memproses hak masyarakat. data untuk iklan. Dua pertanyaan sisanya kini telah ditangani oleh CJEU. Dan ini merupakan kabar buruk lainnya bagi bisnis iklan berbasis pengawasan Meta. Batasan memang berlaku.
Meringkas komponen keputusan ini dalam siaran persnya, CJEU menulis: “Jejaring sosial online seperti Facebook tidak dapat menggunakan semua data pribadi yang diperoleh untuk tujuan periklanan bertarget, tanpa batasan waktu dan tanpa perbedaan jenis. data.”
Keputusan tersebut terlihat penting mengingat bagaimana bisnis periklanan, seperti Meta, berfungsi. Sederhananya, semakin banyak data Anda yang dapat mereka ambil, semakin baik — bagi mereka.
Pada tahun 2022, sebuah memo internal yang ditulis oleh para insinyur Meta diperoleh oleh Wakil Motherboard menyamakan praktik pengumpulan datanya dengan membuang botol-botol tinta ke dalam danau yang luas dan menyatakan bahwa pengumpulan data pribadi perusahaan tidak memiliki kontrol dan tidak memungkinkan untuk memisahkan berbagai jenis data atau menerapkan batas penyimpanan data.
Meskipun Meta mengklaim pada saat itu bahwa dokumen tersebut “tidak menjelaskan proses dan kontrol ekstensif kami untuk mematuhi peraturan privasi.”
Bagaimana tepatnya raksasa teknologi iklan ini perlu mengubah praktik penyimpanan datanya setelah keputusan CJEU masih harus dilihat. Tapi hukumnya jelas pasti ada batasannya. “Perusahaan (periklanan) harus mengembangkan protokol pengelolaan data untuk secara bertahap menghapus data yang tidak diperlukan atau berhenti menggunakannya,” saran noyb.
Tidak ada lagi penggunaan data sensitif
CJEU juga telah mempertimbangkan pertanyaan kedua yang diajukan oleh pengadilan Austria sebagai bagian dari litigasi Schrems. Hal ini menyangkut data sensitif yang telah “secara nyata dipublikasikan” oleh subjek data, dan apakah karakteristik sensitif dapat digunakan untuk penargetan iklan karena hal tersebut.
Pengadilan memutuskan bahwa mereka tidak bisa, dengan tetap mempertahankan prinsip pembatasan tujuan GDPR.
“Hal ini akan memberikan dampak buruk yang sangat besar terhadap kebebasan berpendapat, jika Anda kehilangan hak atas perlindungan data pada saat Anda mengkritik pemrosesan data pribadi yang melanggar hukum di depan umum,” tulis Raabe-Stuppnig, menyambut baik bahwa “CJEU telah menolak gagasan ini. .”
Ketika ditanya tentang penggunaan Meta atas apa yang disebut data kategori khusus – karena informasi pribadi sensitif seperti orientasi seksual, data kesehatan, dan pandangan agama diketahui berdasarkan undang-undang UE – Pollard mengklaim perusahaan tidak memproses informasi ini untuk penargetan iklan.
“Kami tidak menggunakan kategori data khusus yang diberikan pengguna kepada kami untuk mempersonalisasi iklan,” tulisnya. “Kami juga melarang pengiklan membagikan informasi sensitif dalam ketentuan kami dan kami menyaring informasi sensitif apa pun yang dapat kami deteksi. Selanjutnya, kami telah mengambil langkah-langkah untuk menghapus opsi penargetan pengiklan berdasarkan topik yang dianggap sensitif oleh pengguna.”
Komponen keputusan CJEU ini mungkin memiliki relevansi di luar pengoperasian layanan media sosial karena raksasa teknologi – termasuk Meta – baru-baru ini berusaha keras untuk menggunakan kembali data pribadi sebagai bahan pelatihan AI. Menghapus internet adalah taktik lain yang digunakan pengembang AI untuk mengambil sejumlah besar data yang diperlukan untuk melatih model bahasa besar dan model AI generatif lainnya.
Dalam kedua kasus tersebut, mengambil data orang untuk tujuan baru (pelatihan AI) dapat merupakan pelanggaran terhadap prinsip pembatasan tujuan GDPR.