西班牙数据保护机构(AEPD)在调查Facebook的数据处理活动是否符合西班牙数据保护法(法律第15/1999)(该法案)后,西班牙数据保护机构(AEPD)对Facebook的罚款额为120万欧元。

在其决定中,AEPD得出的结论是Facebook致力于严重违反该法案,如下面进一步讨论的行为。

处理敏感的个人数据,以便在未经同意的情况下进行广告目的

AEPD认为,Facebook并没有根据该法案的要求收集其用户同意,因为所获得的同意无效,表达和书面。

有人指出,Facebook使用用户的首选项根据其敏感的个人数据来配置它们,并提供与该配置文件相关的内容。但是,Facebook没有建立一个单独的过程,用于治疗敏感的个人数据,因为未请求先前的同意,并且默认情况下,所有个人数据都用于分析广告目的。例如,在配置用户的配置文件时,“基本和联系信息”部分包括“添加宗教信仰”和“添加您的政治意识形态”的选项。但是,从Facebook上没有关于使用此信息以供广告目的的使用情况,也不请在任何阶段通知其数据将用于此目的的任何阶段。

未能提供Facebook如何收集和使用Facebook平台和第三方网站的个人数据的清晰透明通知

AEPD指出,Facebook未能根据该法令的要求收集来自数据主题(包括非Facebook用户)的其他示例。一个示例是Facebook使用cookie识别用户的浏览器,即使它们不登录或注册为用户,也可以在用户首次访问Facebook平台上安装用户的浏览器。 Facebook访问该cookie,并且当用户登陆包含Facebook“喜欢”按钮的第三方网站时访问的页面的URL。即使是互联网用户未在Facebook注册,当用户访问Facebook域中的页面时,他们的数据也会通过这些cookie收集。对于已注册的Facebook用户,即使他们未登录在Facebook上,他们会访问或使用使用Facebook服务的第三方网站或应用程序时收集他们的数据。在Facebook的开发人员部分内的用户或其“常见问题”中,不会对第三方网站上的饼干使用Cookie。

AEPD批评Facebook的隐私政策是通用,不清楚与其他部分的链接太多。通知用户有关其个人数据的集合时,Facebook只提供示例,实际上并不列出收集的数据。因此,具有新技术的平均知识的Facebook用户将不会意识到其数据的集合,存储和随后处理,或者将使用数据的目的。此外,非Facebook用户甚至不会意识到它们的数据正在收集。

AEPD对Facebook的注册程序也非常批评,这在其视图中没有达到该法案下有效同意的标准。完成注册过程后,标有相关按钮“Finished”, as opposed to “I accept”与其他应用一样。此外,在完成注册之前,用户在填写之前不必接受Facebook的隐私政策的条件。

此外,AEPD批评13岁的用户可以在Facebook上注册,而无需任何要求获得用户的父母或监护人的同意。

保留用户数据后,请求删除帐户并删除信息

AEPD认为,在最初收集的目的中,或者当用户明确请求删除其数据时,不再需要删除Facebook用户的个人数据。例如,与已删除的帐户cookie有关的信息由Facebook存储超过17个月,随后与使用相同的电子邮件地址建立帐户的新用户相关联。此外,Facebook继续在本17个月期间收集和处理与已删除帐户有关的数据。 AEPD还批评Facebook来保留用户的IP地址,而不响听此信息,不响侦听您的Facebook帐户至少11个月。

注释

Facebook还由比利时,法国,德国(汉堡)和荷兰的有关当局调查,因此有趣的是在这些案件中进行决定以及可能授予的任何后续罚款。

企业应该已经看着他们的隐私声明和同意机制(寻求依赖于加工个人数据的法律理由)为准备一般数据保护条例(GDPR)。但是,这种情况是一个有用的提醒,即透明度是键在处理用户时键,隐私政策需要清楚和用户友好,使用户能够准确地了解他们的数据会发生什么,特别是因为AEPD在基础上强加了罚款。在目前的数据保护法中,而相关要求将在GDPR下更加严格。特别是,在处理敏感的个人数据时,必须检查从用户获得的同意是否符合GDPR标准(或者任何其他第9条例外情况)。最后,企业应该考虑数据保留策略以及如何向用户解释这些,以便清楚他们的数据将多长时间由组织持有。当然,可能会有其他合法的原因,用于持有一些数据,但是在用户请求删除其帐户的情况下,应该清楚地清除数据,或者不会被删除。