EN
Wszystkie sprawy A Meta

Kara 390 mln € DPC

Koniec "performance of contract" dla reklam behawioralnych Meta

Explainer · 60s

Meta 390 mln € — koniec "performance of contract" dla reklam

Animacja statyczna (SVG + CSS). Bez dźwięku. Bez narzędzi śledzących. Otwórz w pełnym oknie ↗

A09 — Kara 390 mln € DPC: Koniec “performance of contract” dla reklam behawioralnych Meta

Kategoria: Podstawa prawna przetwarzania / reklama behawioralna / RODO art. 6 Firma/firmy: Meta Platforms Ireland (Facebook, Instagram); powiązana kara WhatsApp 5,5 mln € Lata: 25 maja 2018 (skarga NOYB), 2018–2022 (postępowanie), 4 stycznia 2023 (ogłoszenie kary) Status: Zakończone; Meta zmieniła model na “legitimate interest”, potem na “consent or pay” (→ zobacz A10) ID karty: A09

Metadane

PoleWartość
Kraj/regionUE (decyzja DPC Irlandia, wiążąca dla całej UE)
Rok ujawnienia4 stycznia 2023 (publikacja decyzji)
Lata trwania praktyki25 maja 2018 – 4 kwietnia 2023 (data ostatecznego zakończenia używania “performance of contract”)
Łączna kara390 000 000 EUR (210 mln Facebook + 180 mln Instagram); łącznie z WhatsApp 5,5 mln = 395,5 mln €
WalutaEUR
Podstawa prawnaRODO art. 6 ust. 1 lit. b) (wykonanie umowy) — stwierdzenie braku zastosowania; art. 5 ust. 1 lit. a) (przejrzystość); art. 12, 13
Sygnalista/odkrywcaNOYB / Max Schrems (skargi z dnia wejścia RODO, 25 maja 2018)
Liczba poszkodowanychWszyscy użytkownicy Facebook i Instagram w EOG — ~260 mln aktywnych użytkowników
Status (na dziś)Meta dostosowała się; spór przeniósł się do A10 (DMA 200 mln € za “consent or pay”)

W skrócie

4 stycznia 2023 irlandzka Data Protection Commission (DPC) ogłosiła zakończenie dwóch postępowań przeciwko Meta Platforms Ireland dotyczących przetwarzania danych osobowych na Facebooku i Instagramie w celach reklamy behawioralnej. Kara: 390 mln EUR (210 mln za Facebook + 180 mln za Instagram), plus 5,5 mln EUR za WhatsApp ogłoszona w tym samym tygodniu — łącznie 395,5 mln EUR. Podstawą były skargi złożone do DPC przez NOYB / Maxa Schremsa 25 maja 2018dokładnie w dniu wejścia RODO w życie.

Sedno sprawy: od dnia wejścia RODO Meta przestała prosić o zgodę użytkowników na targetowaną reklamę (wcześniejszy model dobrowolne włączenie) i zamiast tego przyjęła ukryty prawny szwindel — uznała, że reklama behawioralna jest częścią umowy między Meta a użytkownikiem. Meta zaktualizowała Terms of Service 25 maja 2018: użytkownik akceptujący nowe TOS “zawierał umowę”, której “wykonanie” wymaga przetwarzania danych do reklam (art. 6 ust. 1 lit. b RODO — “processing is necessary for the performance of a contract”). Bez zgody, bez opt-outu — reklamy behawioralne jako produkt.

DPC pierwotnie zgodziła się z Meta (projekt decyzji 2021 przewidywał jedynie 28–36 mln EUR kary tylko za brak transparentności). 10 innych europejskich organów nadzoru (w tym holenderska AP) nie zgodziło się. Sprawa trafiła do EROD (Europejska Rada Ochrony Danych), która wiążącą decyzją z 5 grudnia 2022 uchyliła stanowisko DPC i stwierdziła, że:

  1. Reklamy behawioralne nie są konieczne do wykonania umowy FB/IG (usługa to “łączenie z przyjaciółmi”, nie “oglądanie targetowanych reklam”).
  2. Meta nie może opierać się na art. 6(1)(b).
  3. DPC musi powtórzyć decyzję z wyższymi karami.

Dla Meta był to cios w fundament modelu biznesowego w UE. Szacunki NOYB: w latach 2018–2023 Meta zarobiła w UE na nielegalnych reklamach behawioralnych ~15–30 mld USD. Kara 390 mln € to ułamek tych zysków — NOYB otwarcie krytykował DPC, że nie wyliczyła zysków z naruszenia, co jest wymagane przez art. 83 RODO.

Meta próbowała najpierw przejść na podstawę “legitimate interest” (kwiecień 2023). EROD i to odrzucił. W październiku 2023 Meta ogłosiła model “consent or pay”: płać 9,99 € miesięcznie lub zaakceptuj targetowanie. To sprowadziło na Meta karę DMA 200 mln € (A10) i skargę “Schrems IV” NOYB.

Dla obywateli UE to przełomowa sprawa: Meta nie ma prawa pokazywać targetowanych reklam bez Twojej świadomej zgody. To jedna z najważniejszych decyzji RODO w historii — większa swoimi systemowymi skutkami niż sama kwota kary.

Oś czasu

  • 25 maja 2018 — wejście w życie RODO. Meta aktualizuje TOS Facebooka i Instagrama, prosząc wszystkich użytkowników EU/EOG o akceptację. W nowych TOS wklejono klauzulę, że użytkownik “zawiera umowę” z Meta, której wykonanie wymaga przetwarzania danych do reklamy personalizowanej.
  • 25 maja 2018NOYB / Max Schrems składa skargi dotyczące tego samego mechanizmu przeciwko Facebook, Instagram, WhatsApp (a także Google; tych ostatnich nie dotyczy ta sprawa). Tytuł skargi: “forced consent” — wymuszona zgoda. Skargi złożone w Austrii, Belgii, Niemczech, Francji.
  • Koniec 2018 — sprawa trafia do DPC Irlandia jako wiodącego organu.
  • 2019–2021 — długotrwałe postępowanie DPC. W 2021 DPC wydaje wewnętrzny projekt decyzji: kara 28–36 mln EUR tylko za brak transparentności; akceptacja stanowiska Meta co do podstawy prawnej.
  • 6 października 2021 — DPC publikuje draft decyzji. 10 europejskich DPA (w tym holenderska AP, niemieckie, francuskie) zgłasza zastrzeżenia.
  • Listopad 2021 – 2022 — procedura konsultacji zgodnie z art. 60 RODO. Brak konsensusu.
  • 5 grudnia 2022EROD wydaje wiążącą decyzję 3/2022 i 4/2022 (na podstawie art. 65 RODO): DPC musi zmienić stanowisko, stwierdzić, że Meta nie miała prawa opierać się na “performance of contract”, i zwiększyć karę.
  • 31 grudnia 2022 — DPC wydaje ostateczną decyzję zgodną z EROD.
  • 4 stycznia 2023 — publiczne ogłoszenie kary 390 mln EUR (210 mln Facebook + 180 mln Instagram) + nakaz dostosowania się w 3 miesiące.
  • 19 stycznia 2023 — ogłoszenie kary 5,5 mln EUR dla WhatsApp (za analogiczne naruszenie).
  • Kwiecień 2023 — Meta ogłasza zmianę podstawy prawnej: już nie “performance of contract”, ale “legitimate interest” (art. 6 ust. 1 lit. f RODO).
  • Czerwiec–wrzesień 2023 — norweska DPA Datatilsynet wydaje tymczasowy zakaz reklam behawioralnych Meta w Norwegii; Meta składa pozew do Oslo District Court.
  • 27 października 2023EROD wydaje pilną wiążącą decyzję zakazującą Meta przetwarzania danych dla reklamy behawioralnej w całym EOG na podstawie “legitimate interest” lub “contract”.
  • 30 października 2023 — Meta ogłasza model “consent or pay”: 9,99 €/miesiąc na www, 12,99 €/miesiąc na iOS/Android za wersję bez reklam i bez śledzenia; alternatywnie zgoda na targetowanie.
  • 31 października 2023 — DPC formalnie przekazuje Meta zakaz EROD.
  • 2024 — NOYB, BEUC (European Consumer Organisation), inne organizacje składają skargi na “consent or pay” jako nielegalną “zgodę”.
  • 17 kwietnia 2024 — EROD publikuje Opinion 08/2024 o “consent or pay”: w większości przypadków nie jest to ważna zgoda w rozumieniu RODO.
  • 22 kwietnia 2025Komisja Europejska nakłada karę DMA 200 mln EUR na Meta za model “consent or pay” (→ szczegóły: karta A10).
  • 2025–2026 — Meta apeluje od wszystkich decyzji; spór trwa.

Mechanizm

Jak to działało — konstrukcja prawna Mety

Art. 6 ust. 1 RODO wymienia sześć możliwych podstaw prawnych przetwarzania danych osobowych:

  • (a) zgoda (consent)
  • (b) wykonanie umowy (wykonanie umowy)
  • (c) obowiązek prawny
  • (d) ochrona żywotnych interesów
  • (e) zadanie w interesie publicznym
  • (f) uzasadniony interes (legitimate interest)

Przed RODO (do 25 maja 2018) Meta używała podstawy (a) zgoda dla reklam. System dobrowolne włączenie: użytkownik zgadzał się na reklamy personalizowane podczas rejestracji.

Przez dekadę do RODO zgoda była “ukryta w TOS” — ale formalnie była zgodą.

25 maja 2018, w dniu wejścia RODO, Meta wykonała prawniczy manewr: zamiast poprosić wszystkich użytkowników o odnowioną zgodę (jak wymaga art. 7 RODO — “freely given” consent), zmieniła podstawę prawną na (b) — “performance of contract”. Argumentacja:

  • TOS jest umową między Meta a użytkownikiem.
  • Usługa Facebook/Instagram obejmuje personalizację, w tym personalizowane reklamy.
  • Personalizowane reklamy są konieczne do wykonania tej umowy.
  • Dlatego nie potrzeba zgody.

To była rewolucja retoryczna: reklama behawioralna przestała być “funkcją dodatkową”, za którą trzeba było prosić o zgodę — stała się esencją produktu. Podobnie jak nie prosisz klienta o zgodę, żeby mu dostarczyć paczkę, bo jest to część umowy o dostawie.

Dlaczego EROD odrzucił ten argument

EROD w decyzji 3/2022 i 4/2022 (5 grudnia 2022) argumentowała:

Argument 1: Umowa nie o to. Na stronie głównej Facebooka Meta reklamuje się hasłem “connect with friends and the world around you” (“połącz się z przyjaciółmi i światem wokół ciebie”). Instagram: “to bring you closer to the people and things you love”. Ani słowa o reklamach. Więc usługa kontraktowa to “łączenie z przyjaciółmi”, nie “oglądanie reklam”. Reklamy to model finansowy, a nie treść umowy.

Argument 2: “Konieczność” to wysoki standard. Art. 6(1)(b) wymaga, aby przetwarzanie było “konieczne” (necessary) do wykonania umowy. Nie “przydatne”, nie “udogodniające”, ale konieczne. Można prowadzić Facebook bez reklam (subskrypcja!). Można pokazywać reklamy kontekstowe zamiast behawioralnych. Reklamy behawioralne nie są konieczne do świadczenia usługi Facebook/Instagram.

Argument 3: Kontrakt jest z reklamodawcami, nie użytkownikami. EROD: “Meta ma kontrakt z reklamodawcami, że pokaże im użytkowników pogrupowanych demograficznie. To jest kontrakt. Ale użytkownik nie jest stroną tego kontraktu — jest przedmiotem (product), nie kontrahentem (party).”

Argument 4: Prawo sprzeciwu z art. 21(2) RODO. Jeśli podstawą byłoby “performance of contract”, użytkownik nie mógłby się sprzeciwić. Ale RODO art. 21(2) wyraźnie daje bezwzględne prawo sprzeciwu wobec marketingu bezpośredniego. Więc reklama behawioralna musi być oparta na zgodzie, nie na kontrakcie.

Dlaczego to jest przełomowe dla całej adtech

Decyzja nie dotyczy tylko Meta. Każda firma w UE, która używała “performance of contract” dla reklam behawioralnych — zagrożona. Dotyczy to m.in.:

  • Google (inny proces, inna sprawa, ale podobna logika)
  • Twitter/X
  • TikTok
  • LinkedIn
  • Amazon
  • setek mniejszych adtech firm

Po decyzji wiele firm przeszło na zgodę jako podstawę prawną — z konsekwencją: drastyczny spadek akceptacji (z wymuszonej “zgody” rzędu 95–99% do rzeczywistej zgody rzędu 3–15%).

Odkrycie

Kim jest Max Schrems (rozszerzenie)

Max Schrems (opisany szczegółowo w A07) od 2011 systematycznie wykorzystuje RODO jako narzędzie strategicznego litigation. W 2017 założył NOYB (None Of Your Business) — organizację non-profit z siedzibą w Wiedniu, finansowaną ze składek członkowskich (ok. 3 000 członków płacących roczne składki), grantów rządowych austriackich i holenderskich, datków prywatnych.

NOYB ma strategiczny portfel skarg przeciwko Big Tech — dziesiątki skarg przeciwko Meta, Google, Apple, Microsoft, TikTok, Instagram (przed zmianą nazwy na Meta Ireland). Skargi z 25 maja 2018 to były kamień węgielny tego portfela.

Jak powstały skargi 25 maja 2018

Schrems opisuje historię: “Gdy RODO weszło w życie, otworzyłem Facebooka i zobaczyłem ekran ‘zaakceptuj nowe TOS’. Kliknąłem i zobaczyłem, że NIE MA opcji ‘nie zgadzam się’. Tylko ‘kontynuuj’ — akceptując. To znaczyło tylko jedno: Meta przyjmuje, że zgoda nie jest potrzebna, bo reklama jest częścią umowy. I to był moment, gdy zrozumiałem, że muszę złożyć skargę w pierwszym dniu obowiązywania RODO.”

NOYB złożyła w tym samym dniu 4 skargi:

  • Facebook (skarga do DPC Irlandia)
  • Instagram (DPC Irlandia)
  • WhatsApp (DPC Irlandia)
  • Android/Google (CNIL Francja — inne postępowanie)

Pierwsze publikacje o decyzji

  • 4 stycznia 2023 — oficjalny komunikat DPC Irlandia
  • 4 stycznia 2023 — równolegle: Politico EU, Reuters, Financial Times, NYT, Bloomberg, Wired
  • 4 stycznia 2023 — NOYB publikuje komunikat “DPC fines Meta only EUR 390 million — EDPB is forcing revision”
  • 19 stycznia 2023 — Natasha Lomas w TechCrunch: “Meta dodged a €4BN privacy fine over unlawful ads, argues GDPR complainant” — cytowany artykuł, bardzo istotny.

Osoby kluczowe

Po stronie NOYB / skarżących

  • Max Schrems — założyciel NOYB, centralna postać (opisany w A07).
  • Monika Niedermaier, Katharina Raabe-Stuppnig — prawnicy NOYB.
  • Romain Robert — senior lawyer NOYB, specjalista od adtech.

Regulatorzy

  • Helen Dixon — Data Protection Commissioner Irlandia (2014–2024). Krytykowana za zbyt łagodne stanowisko wobec Meta w 2021 (projekt decyzji 28–36 mln €). Później broniła: “DPC zaproponowała karę większą niż jakakolwiek DPA dotychczas nałożyła. EROD tylko potrzebował więcej.”
  • Andrea Jelinek — przewodnicząca EROD do 2023. Pod jej kierownictwem EROD wydało wiążącą decyzję 3/2022 i 4/2022.
  • Anu Talus — przewodnicząca EROD od 2023.
  • Aleid Wolfsen — przewodniczący holenderskiej Autoriteit Persoonsgegevens (AP); jedna z kluczowych osób, która zgłosiła zastrzeżenia do projektu DPC i skierowała sprawę do EROD.
  • Niemiecki BfDI, francuska CNIL, włoska Garante — także zgłosili zastrzeżenia.

Po stronie Meta

  • Nick Clegg — wówczas VP Global Affairs.
  • Jennifer Newstead — Chief Legal Officer.
  • Rob Sherman — Chief Privacy Counsel Meta.

Eksperci

  • Gabriela Zanfir-Fortuna (Future of Privacy Forum) — komentarz po decyzji: “To prawdopodobnie najważniejsza decyzja enforcement od wejścia RODO — nie dlatego, że kara jest duża, ale dlatego, że zmiany, które Meta będzie musiała wprowadzić w usługach, są fundamentalne.”
  • Ulrich Kelber — ówczesny BfDI (niemiecki federalny inspektor ochrony danych), konsekwentny krytyk Meta.

Reakcja firmy

Meta

Komunikat (4 stycznia 2023): “Mocno nie zgadzamy się z ostateczną decyzją DPC i wierzymy, że w pełni przestrzegamy RODO, opierając się na ‘Contractual Necessity’ dla reklam behawioralnych, biorąc pod uwagę naturę naszych usług. Odwołamy się.”

Działania praktyczne (kwiecień 2023):

  • Zmiana podstawy prawnej z “performance of contract” na “legitimate interest” (art. 6(1)(f) RODO). Użytkownicy dostali powiadomienie, że podstawa się zmieniła — ale nadal bez opcji rezygnacja.
  • EROD zakazał tego w październiku 2023.

Działania praktyczne (październik/listopad 2023):

  • Wprowadzenie modelu “consent or pay” — użytkownicy w UE dostają wybór:
    • Zaakceptuj targetowane reklamy (zgoda)
    • Zapłać 9,99 €/miesiąc (www) lub 12,99 €/miesiąc (iOS/Android) za wersję bez reklam
  • Meta argumentowała: “Daje to użytkownikom realny wybór i zgodny z RODO.”

Apelacja DPC do TSUE

Interesujące: DPC nie była zadowolona z decyzji EROD, która zmusiła ją do zmiany stanowiska. DPC zapowiedziała “action for annulment” do TSUE, kwestionując “jurysdykcyjne” elementy decyzji EROD. DPC: “EROD nakazała nam prowadzić badanie obejmujące wszystkie operacje przetwarzania Facebook i Instagram — to wykracza poza naszą kompetencję.”

To rzadki przypadek, gdy krajowy DPA kwestionuje decyzję unijnego organu w sądzie. Sprawa trafiła do TSUE; orzeczenia oczekiwane w 2026–2027.

Rynki

Akcje Meta spadły o ok. 2% po ogłoszeniu. Analitycy: kara symboliczna finansowo, ale niepewność co do fundamentów modelu reklamowego w UE jest istotna. Meta podała, że ~10% globalnych przychodów z reklam pochodzi z UE/EOG.

Postępowanie prawne

Jurysdykcje

  1. Irlandia (DPC) — postępowanie pierwotne
  2. UE (EROD) — wiążąca decyzja 3/2022 i 4/2022
  3. Norwegia (Datatilsynet) — tymczasowy zakaz krajowy 2023
  4. TSUE — sprawa anulowania decyzji EROD przez DPC (w toku)
  5. Oslo District Court — Meta vs Datatilsynet (pozew, 2023)

Podstawa prawna

  • RODO art. 6 ust. 1 lit. b) — stwierdzenie, że nie ma zastosowania do reklamy behawioralnej Meta
  • RODO art. 5 ust. 1 lit. a) — zasada przejrzystości (naruszona)
  • RODO art. 12, 13 — obowiązki informacyjne (naruszone)
  • RODO art. 83 ust. 5 — kary (do 4% globalnego obrotu)
  • RODO art. 65 — wiążąca decyzja EROD

Kluczowe etapy

DataEtap
25 maja 2018Skargi NOYB
6 października 2021Projekt DPC
5 grudnia 2022Wiążąca decyzja EROD
4 stycznia 2023Ostateczna decyzja DPC — 390 mln €
Kwiecień 2023Meta → “legitimate interest”
27 października 2023EROD zakaz
Październik 2023Meta → “consent or pay”

Orzecznictwo powiązane

  • TSUE C-252/21 Meta v. Bundeskartellamt (4 lipca 2023) — wyrok w sprawie niemieckiego regulatora konkurencji; potwierdza, że łączenie danych z różnych usług Meta bez zgody narusza RODO. Wzmacnia pozycję NOYB.
  • TSUE C-252/21 — kluczowe orzeczenie: “gdy dana osoba klika na ‘akceptuję’ w celu korzystania z usługi, nie można automatycznie wnioskować, że zgodziła się na przetwarzanie swoich danych w celach reklamowych”.

Kary i ugody

DataOrganKwotaJurysdykcjaPodstawa
4 stycznia 2023DPC Irlandia210 000 000 EUR (Facebook)UERODO art. 6(1)(b), 5(1)(a)
4 stycznia 2023DPC Irlandia180 000 000 EUR (Instagram)UERODO art. 6(1)(b), 5(1)(a)
19 stycznia 2023DPC Irlandia5 500 000 EUR (WhatsApp)UERODO art. 6(1)(b)
Łącznie395 500 000 EUR

Dodatkowo: nakaz dostosowania w 3 miesiące (niedopełniony terminowo → kolejne kary).

Precedensy i implikacje

Dla prawa UE

  • Przełomowa decyzja enforcement RODO — pierwsza, która zmusiła Meta do fundamentalnej zmiany modelu reklamowego w UE.
  • Wzmocnienie roli EROD nad krajowymi DPA (analogicznie do A07).
  • Baza dla kolejnych postępowań: A10 (DMA 200 mln € consent or pay), sprawy NOYB vs Instagram, LinkedIn, X.
  • Impuls do EU AI Act (2024) i regulacji sztucznej inteligencji — podobna logika “nie każda użyteczność uzasadnia przetwarzanie”.

Dla prawa USA

  • Brak bezpośredniego wpływu, ale argument w debacie o American Privacy Rights Act (APRA).
  • Wzmocnienie CCPA / CPRA w Kalifornii — podobne rozróżnienie necessity vs convenience.

Dla praktyki Big Tech

  • Koniec “performance of contract” dla adtech w UE. Wszyscy duzi gracze musieli zmienić podstawę prawną.
  • Wzrost ruchu “Pay or Okay” — jak Meta, także The Guardian, Der Spiegel, Le Monde wprowadzają subskrypcje jako alternatywę dla reklam. Ekosystem prasowy w UE jest teraz rozdarty: niektóre tytuły uznają “pay or okay” za legitimate biznes, inne (jak niemiecki Taz) — za wymuszenie.
  • Regulatory fatigue — NOYB składa skargi na takie tempo, że większość DPA w UE ma dziś zaległości 2-letnie w procesowaniu.

Pozwy zbiorowe

Sprawa była rozstrzygnięta na poziomie regulatora, bez klasycznych pozwów zbiorowych. Natomiast pośrednie konsekwencje:

SprawaSądStanWartośćPodstawa
Skargi NOYB vs Meta (consent or pay)Różne DPAW tokuart. 7 RODO
Meta vs DatatilsynetOslo District CourtW toku
DPC vs EROD (action for annulment)TSUEW tokuart. 65 RODO

Wnioski dla obywateli

Sekcja portalowa — praktyczna.

Co to dla mnie znaczy?

Jako użytkownik Facebooka / Instagrama w UE zostałeś od 25 maja 2018 poddany nielegalnemu przetwarzaniu danych dla celów reklamy behawioralnej — przez prawie 5 lat. Meta korzystała z twoich danych bez ważnej podstawy prawnej. Po decyzji DPC ze stycznia 2023 Meta musiała zmienić model: zamiast domyślnego targetowania wprowadziła “consent or pay” (płać ~10 € miesięcznie lub zgódź się na reklamy behawioralne). To też jest kwestionowane (karta A10), ale dla ciebie teraz istnieje wybór:

  1. Nie płacić i zgodzić się na reklamy behawioralne (zachowanie domyślne)
  2. Zapłacić ~10 €/miesiąc za wersję bez reklam behawioralnych
  3. Opuścić platformę

Jak się chronić?

  1. Sprawdź swoje preferencje reklam Meta już teraz:
    • Ustawienia → Centrum kont → Informacje o tobie → Kategorie zainteresowań reklamowych
    • Usuń wszystkie kategorie, które Meta o tobie skojarzyła
    • Nie da się wyłączyć samego profilowania — można tylko ograniczyć kategorie
  2. Korzystaj z RODO art. 21 — wyślij email na dpo@meta.com z żądaniem sprzeciwu wobec przetwarzania dla marketingu bezpośredniego. To jest bezwzględne prawo. Meta musi spełnić w ciągu 30 dni.
  3. Wyślij żądanie dostępu (art. 15) — zobacz pełną listę danych, które Meta ma o tobie, w tym wnioski behawioralne (inferred data).
  4. Zainstaluj blokady trackerów — uBlock Origin, Privacy Badger, Brave browser.
  5. Włącz “Limit Ad Tracking” na iOS/Android — ogranicza identyfikator reklamowy.

Jakie mam prawa?

Kluczowe prawa z RODO (dziesiąta rocznica w 2028!):

  • Art. 6 — prawo do tego, by twoje dane były przetwarzane tylko na ważnej podstawie prawnej. Reklama behawioralna wymaga zgody lub legitimate interest (wąsko pojmowany).
  • Art. 7 — zgoda musi być swobodna, świadoma, jednoznaczna, konkretna i odwołalna. Zgoda wymuszana (“zaakceptuj TOS lub nie będziesz mógł używać”) jest nielegalna.
  • Art. 21(2)bezwzględne prawo sprzeciwu wobec marketingu bezpośredniego.
  • Art. 22 — prawo do niepodlegania zautomatyzowanym decyzjom, w tym profilowaniu.
  • Art. 82prawo do odszkodowania za szkodę (po wyroku TSUE VB v. NAP, 2023, nawet strach przed nadużyciem = szkoda niematerialna).

Gdzie się zgłosić?

  • Polska: UODO, uodo.gov.pl — można złożyć skargę elektronicznie
  • NOYB: noyb.eu — wspierają skargi grupowe polskich obywateli
  • BEUC: European Consumer Organisation — koordynują skargi konsumenckie

Uwaga dla mediatorów, prawników, marketerów i przedsiębiorców

Ta sprawa ma bezpośrednie implikacje dla każdego, kto prowadzi działalność marketingową online:

  1. Jeśli prowadzisz kampanie reklamowe Meta Ads / Google Ads / TikTok Ads — jesteś współadministratorem danych razem z platformą. Twoja odpowiedzialność RODO jest solidarna.
  2. Jeśli osadzisz Meta Pixel na stronie firmy — twoja strona transferuje dane odwiedzających do Meta, gdzie są przetwarzane bez ważnej podstawy prawnej. W 2024–2025 kilkanaście DPA w UE nakładały kary na firmy za Meta Pixel bez ważnej zgody cookie.
  3. Aktualizuj swoje polityki prywatności — informacje o podstawie prawnej musi być jasna i konkretna (patrz: decyzja DPC wymagała “clear linkage from: personal data → processing operations → purposes → legal basis”).
  4. Dla mediatorów — w sporach zawodowych i gospodarczych coraz częściej pojawia się wątek “nielegalna reklama behawioralna jako szkoda konkurencyjna”. To nowa klasa sporów.

Ciekawostki

  • Skarga złożona 25 maja 2018 — dokładnie w dniu wejścia RODO. Max Schrems osobiście kliknął “akceptuję” na Facebook i Instagram, żeby mieć dowód manipulacji “forced consent”. Potem w ciągu 24 godzin napisał skargi.
  • NOYB argumentował, że kara powinna wynosić ~4 mld EUR (4% globalnego obrotu Meta z 2022 — 116 mld USD). 390 mln to 0,3% obrotu, znacznie poniżej maksimum. NOYB: “DPC po raz kolejny chroni Meta — to jest problem strukturalny irlandzkiej DPA.”
  • DPC nie wyliczyła zysków Meta z nielegalnego przetwarzania — to był kluczowy zarzut NOYB. RODO art. 83 wymaga “deterrent effect” — kara musi odzwierciedlać zyski z naruszenia. Szacunki NOYB: Meta zarobiła w UE ~15–30 mld USD na nielegalnych reklamach behawioralnych od 2018.
  • DPC otwarcie zakwestionowała decyzję EROD — to bezprecedensowy ruch krajowego regulatora przeciwko organowi unijnemu. Sprawa w TSUE to głęboki test integralności RODO enforcement.
  • Pierwsza kara 25 maja 2018 — Facebook dostawał wówczas zero skarg przez pierwsze dni RODO. NOYB był jedyną organizacją gotową do natychmiastowego działania. Bez Schremsa system RODO miałby znacznie słabszy start.
  • Meta zmieniła podstawę prawną 3 razy w ciągu 6 miesięcy: contract (do stycznia 2023) → legitimate interest (kwiecień 2023) → consent or pay (październik 2023). Każda zmiana była wymuszona przez regulatora.
  • Holenderska AP była kluczowa dla eskalacji sprawy do EROD. Aleid Wolfsen (przewodniczący) publicznie krytykował DPC Irlandia: “Jeśli DPC nie może egzekwować RODO wobec największej firmy w swojej jurysdykcji, to cały system one-stop-shop jest fikcją.”
  • Gabriela Zanfir-Fortuna (Future of Privacy Forum) opisała sprawę jako “najważniejszą decyzję RODO w historii”, ważniejszą niż sama kara 1,2 mld € (A07). Bo zmienia model biznesowy, nie tylko nakłada sankcję finansową.
  • WhatsApp też dostał karę (5,5 mln EUR), ale z innego powodu: przyjął “legitimate interest” dla personalizacji bezpieczeństwa (anty-spam), a EROD uznał, że to powinno być zgodą.
  • EU Parliament komitet LIBE wezwał Komisję Europejską do rozpoczęcia procedury infringement przeciwko Irlandii za systemowe zaniedbania RODO enforcement (2023–2024). Procedura nie została wszczęta, ale była tematem politycznym.
  • Subskrypcja Meta “consent or pay” — stawka 9,99–12,99 € miesięcznie była krytykowana jako gigantycznie wysoka w stosunku do realnych przychodów Meta z przeciętnego użytkownika EU (~60 €/rok = 5 €/miesiąc). NOYB: “Meta arbitralnie wycenia prywatność na dwukrotność swojej wartości — to jest de facto przymus.”
  • Polski kontekst: Prezes UODO Jan Nowak (w urzędzie 2019–2023) konsekwentnie popierał surowsze stanowisko EROD wobec Meta. Polska UODO była jednym z DPA zgłaszających zastrzeżenia do projektu DPC.

Źródła

  1. Data Protection Commission Ireland, “Irish Data Protection Commission announces conclusion of two inquiries into Meta Ireland”, 4 stycznia 2023. URL: https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-announces-conclusion-two-inquiries-meta-ireland (dostęp: 2026-04-17)

  2. European Data Protection Board, “Binding Decision 3/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Facebook service”, 5 grudnia 2022. URL: https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-32022-dispute_en (dostęp: 2026-04-17)

  3. European Data Protection Board, “Binding Decision 4/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Instagram service”, 5 grudnia 2022. URL: https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-42022-dispute_en (dostęp: 2026-04-17)

  4. NOYB, “DPC fines Meta only €390 million — EDPB is forcing revision”, 4 stycznia 2023. URL: https://noyb.eu/en/dpc-fines-meta-only-eu-390-million-edpb-forcing-revision (dostęp: 2026-04-17)

  5. Natasha Lomas, “Meta dodged a €4BN privacy fine over unlawful ads, argues GDPR complainant”, TechCrunch, 19 stycznia 2023. URL: https://techcrunch.com/2023/01/19/meta-ads-noyb-epdb-gdpr-complaint/ (dostęp: 2026-04-17)

  6. Hunton Andrews Kurth, “Meta Fined €390 Million by Irish DPC for Alleged Breaches of GDPR, Including in Behavioral Advertising Context”, 20 stycznia 2023. URL: https://www.hunton.com/privacy-and-information-security-law/meta-fined-e390-million-by-irish-dpc-for-alleged-breaches-of-gdpr-including-in-behavioral-advertising-context (dostęp: 2026-04-17)

  7. Stibbe, “Meta Ireland fined €390 million for unlawful legal basis”, 26 stycznia 2023. URL: https://www.stibbe.com/publications-and-insights/meta-ireland-fined-eu390-million-for-unlawful-legal-basis (dostęp: 2026-04-17)

  8. McCann FitzGerald, “Data Protection Commission fines Meta €395.5 million over GDPR infringements in Terms of Use”, 27 stycznia 2023. URL: https://www.mccannfitzgerald.com/knowledge/data-privacy-and-cyber-risk/data-protection-commission-fines-meta-over-gdpr-infringements (dostęp: 2026-04-17)

  9. TSUE, wyrok w sprawie C-252/21 Meta Platforms Inc. i in. v. Bundeskartellamt, 4 lipca 2023. URL: https://curia.europa.eu/juris/document/document.jsf?docid=275125&doclang=EN (dostęp: 2026-04-17)

  10. European Data Protection Board, “Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models implemented by Large Online Platforms”, 17 kwietnia 2024. URL: https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or_en (dostęp: 2026-04-17)

  11. European Data Protection Board, “Urgent Binding Decision 01/2023 on the request of the Norwegian SA concerning Meta Platforms Ireland Limited”, 27 października 2023. URL: https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-66/urgent-binding-decision-012023-request_en (dostęp: 2026-04-17)

  12. Datatilsynet (Norwegia), “Vedtak om forbud mot adferdsbasert markedsføring” (decyzja zakazu reklamy behawioralnej), 14 lipca 2023.

  13. NOYB, pierwotna skarga przeciwko Facebook, 25 maja 2018 — dokument dostępny na stronie NOYB.

  14. Wyrick Robbins Privacy Blog, “Less Is More, Too Much Is Not Enough: What the Irish DPC’s €390 Million Fine Against Meta Could Mean for Your Privacy Notice”, 19 stycznia 2023.

  15. Data Privacy Manager, “DPC fines META €390 million for violation of the GDPR”, 18 stycznia 2023.

Ostatnia aktualizacja: 2026-04-17 Karta w bazie: A09_kara_390mln.md

Powiązane sprawy

Sprawy dzielące firmę, mechanizm, precedens prawny lub jurysdykcję.