Meta nhận “cú tát kép”: Đòn giáng mạnh vào lợi nhuận của Meta tại EU

Vào hôm 4/1, công ty mẹ Facebook, Meta đã bị giáng đòn với một cặp tiền phạt với tổng trị giá hơn 400 triệu đô la, khi cơ quan quản lý quyền riêng tư của Ireland, đại diện kiểm soát hoạt động của Meta tại EU kết luận, các hoạt động xử lý dữ liệu và quảng cáo của công ty này đã vi phạm luật riêng tư của EU.

Ủy ban bảo vệ dữ liệu Ireland (DPC) cho biết, Meta nên được yêu cầu nộp hai khoản tiền phạt, một là khoản tiền phạt 210 triệu euro (222,5 triệu USD) do vi phạm Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR), và khoản thứ hai là khoản tiền phạt 180 triệu euro liên quan đến việc vi phạm luật tương tự trên nền tảng Instagram. Kết hợp lại, số tiền phạt lên tới 390 triệu euro (tương đương khoảng 414 triệu USD).

Các khoản tiền phạt đánh dấu kết luận của hai cuộc điều tra kéo dài về Meta của cơ quan quản lý Ireland, vốn đã bị chỉ trích vì sự chậm trễ trong quá trình này. DPC bắt đầu điều tra công ty vào ngày 25 tháng 5 năm 2018, ngày mà tiêu chuẩn dữ liệu GDPR của EU có hiệu lực.

Trong cáo buộc mới, Ủy ban bảo vệ dữ liệu Ireland (DPC) khẳng định Meta đã vi phạm nghĩa vụ của mình liên quan đến tính minh bạch, thông tin liên quan đến cơ sở pháp lý, chúng không được trình bày rõ ràng cho người dùng, dẫn đến việc người dùng không có đủ thông tin rõ ràng về những hoạt động xử lý mà Meta đang thực hiện trên trang web, như dữ liệu cá nhân đó phục vụ cho các mục đích nào và bằng cách tham chiếu đến cơ sở nào trong sáu cơ sở pháp lý được xác định trong Điều 6 của tiêu chuẩn GDPR.

Việc thiếu minh bạch về các vấn đề cơ bản như vậy là trái với Điều 12 và 13(1)(c) của GDPR, cũng như vi phạm Điều 5(1)(a), quy định nguyên tắc rằng dữ liệu cá nhân của người dùng phải được xử lý hợp pháp, công bằng và minh bạch.

Bên cạnh đó, Meta trên thực tế đã không dựa vào sự đồng ý của người dùng để cung cấp cơ sở hợp pháp cho việc xử lý dữ liệu cá nhân của họ.

Có thể thấy, tiêu chuẩn GDPR đặt ra các yêu cầu nghiêm ngặt đối với các công ty liên quan đến việc xử lý thông tin của mọi người. Các công ty vi phạm các quy tắc có nguy cơ phải đối mặt với các hình phạt cao tới 4% doanh thu hàng năm toàn cầu.

Trong phán quyết hôm 4/1, DPC nói rằng Meta phải tuân thủ các hoạt động xử lý dữ liệu của mình trong vòng ba tháng.

Được biết, Meta đã đổi tên từ Facebook vào năm 2021, cho biết trong một tuyên bố hôm 4/1 rằng họ có kế hoạch kháng cáo phán quyết. Quyết định này không dẫn đến lệnh cấm quảng cáo được cá nhân hóa và các doanh nghiệp có thể tiếp tục sử dụng nền tảng của Meta để nhắm mục tiêu người dùng bằng quảng cáo, Meta chia sẻ thêm.

Người phát ngôn của Meta nói với Đài CNBC qua email rằng: "Đã có sự thiếu rõ ràng về quy định đối với vấn đề này, và cuộc tranh luận giữa các cơ quan quản lý và hoạch định chính sách xung quanh cơ sở pháp lý nào là phù hợp nhất trong một tình huống nhất định đã diễn ra trong một thời gian dài nhưng chưa có hồi kết", người phát ngôn Meta nói thêm.

"Đó là lý do tại sao chúng tôi hoàn toàn không đồng ý với quyết định cuối cùng của DPC, và tin rằng chúng tôi hoàn toàn tuân thủ GDPR bằng cách dựa vào "Sự cần thiết theo hợp đồng" đối với quảng cáo hành vi dựa trên bản chất dịch vụ của chúng tôi. Do đó, chúng tôi sẽ kháng cáo nội dung của quyết định hình phạt này".

Một 'đòn giáng mạnh' vào lợi nhuận của Meta tại EU

Trước đây, Meta dựa vào sự đồng ý của người dùng để xử lý thông tin của họ cho mục đích quảng cáo hành vi. Tuy nhiên, sau khi GDPR có hiệu lực, công ty đã thay đổi các điều khoản dịch vụ cho Facebook và Instagram, đồng thời chuyển cơ sở pháp lý mà công ty xử lý thông tin đó thành một thứ gọi là "sự cần thiết theo hợp đồng".

Cùng năm đó, Max Schrems, một nhà hoạt động về quyền riêng tư người Áo, đã gửi đơn khiếu nại cáo buộc thay đổi này buộc người dùng phải chấp nhận việc xử lý thông tin của họ để nhắm mục tiêu quảng cáo để đổi lấy việc sử dụng nền tảng.

Schrems, trong một tuyên bố hôm 4/1, cho biết quyết định của DPC có nghĩa là Meta sẽ phải phát triển một phiên bản ứng dụng không sử dụng dữ liệu cá nhân để quảng cáo trong vòng ba tháng.

Tuy nhiên, ông nói thêm rằng Meta vẫn được phép yêu cầu người dùng đồng ý với quảng cáo bằng tùy chọn "có/không". Schrems cho biết: "Đây là một đòn giáng mạnh vào lợi nhuận của Meta tại EU. Giờ đây, mọi người cần được hỏi xem họ có muốn dữ liệu của họ được sử dụng cho quảng cáo hay không. Họ phải có tùy chọn 'có hoặc không' và có thể thay đổi ý định bất cứ lúc nào. Quyết định này cũng đảm bảo một sân chơi bình đẳng với các nhà quảng cáo khác".

Vào tháng 12/2022, Ủy ban bảo vệ dữ liệu châu Âu, cơ quan điều phối hành động pháp lý về quyền riêng tư dữ liệu trên toàn khối, nói rằng Meta không có quyền dựa vào hợp đồng làm cơ sở pháp lý để xử lý dữ liệu người dùng cho các quảng cáo được nhắm mục tiêu, kiểu hoạt động quảng cáo của công ty như vậy là bất hợp pháp.

Sau động thái đó, DPC cho biết họ nhận thấy Meta "không có quyền dựa trên cơ sở pháp lý 'hợp đồng' liên quan đến việc phân phối quảng cáo theo hành vi như một phần của các dịch vụ Facebook và Instagram, và việc xử lý dữ liệu của người dùng với mục đích phụ thuộc vào cơ sở pháp lý 'hợp đồng' đã dẫn đến việc vi phạm Điều 6 của GDPR.

Huỳnh Dũng- Theo CNBC/Dataprotection