Ирландската Комисия по защита на данните дава зелена светлина за заобикалянето на GDPR от Facebook

Oct 13, 2021

Ирландската Комисия по защита на данните дава зелена светлина за заобикалянето на GDPR от Facebook. Шремс: "Решението подкопава ключов елемент на GDPR."

Ирландската комисия за защита на данните (DPC) е изпратила "проекторешение" (PDF) до другите европейски органи за защита на данните относно правния трик на Facebook да заобиколи GDPR. noyb публикува съответните документи днес

Според DPC Facebook може просто да избере да включи споразумението за обработване на данни в "договор", което ще направи така, че изискванията на GDPR за "съгласие" да не се прилагат повече. Органът обаче предлага санкция в размер от 28 до 36 млн. евро, тъй като Facebook е трябвало да бъде по-прозрачна по отношение на този обход.

Съгласието за използване на данни не е "съгласие"? Правният аргумент на Facebook е доста прост: Чрез тълкуване на споразумението между потребителя и Facebook като "договор" (член 6, параграф 1, буква б) от ОРЗД) вместо като "съгласие" (член 6, параграф 1, буква а) от ОРЗД) строгите правила за съгласие съгласно ОРЗД няма да се прилагат за Facebook - което означава, че Facebook може да използва всички данни, с които разполага, за всички продукти, които предоставя, включително реклама, онлайн проследяване и други подобни, без да иска от потребителите свободно дадено съгласие, което те могат да оттеглят по всяко време. Преминаването на Facebook от "съгласие" към "договор" се случи на 25.5.2018 г. в полунощ - точно когато GDPR влезе в сила в ЕС.

Шремс: "Болезнено очевидно е, че Facebook просто се опитва да заобиколи ясните правила на GDPR, като преквалифицира споразумението за използване на данни в "договор". Ако това бъде прието, всяка компания би могла просто да впише обработката на данни в договор и по този начин да узакони всяко използване на данни на клиенти без съгласие. Това е в абсолютен разрез с намеренията на ОРЗД, който изрично забранява да се крият споразумения за съгласие в общите условия"

Незаконно още от римско време Още от римско време законът казва, че споразуменията трябва да се третират като такива, каквито са в действителност (обективна оценка), а не като такива, каквито страните твърдят, че са (формална оценка)

Шремс:"Не е нито новаторско, нито умно да се твърди, че дадено споразумение е нещо, което не е, за да се заобиколи законът. От римско време насам съдилищата не приемат подобно "преетикетиране" на споразумения. Не можете да заобиколите законите за наркотиците, като просто напишете "бял прах" на сметката, когато е ясно, че продавате кокаин. Изглежда, че само ирландският ДКП се хваща на този трик. "

64% от потребителите на Facebook виждат "съгласие", но DPC застава на страната на Facebook. За да оцени истинското значение на споразумението, noyb възложи на института Gallup обективно проучване: От 1 000 потребители на Facebook само 1,6 % са видели договор за реклама (както твърди Facebook), 64 % са приели, че споразумението е "съгласие". Останалите не са били сигурни за правното значение на споразумението.

DPC "просто не беше убедена" от европейските колеги. На европейско ниво органите за защита на данните (ОЗД) са издали насоки, според които подобно "заобикаляне" на GDPR е незаконно и трябва да се третира като съгласие. Въпреки това ирландската ДЗД заяви, че "просто не е убедена" в мнението на европейските си колеги.

Десет тайни срещи с Фейсбук относно "заобикалянето на съгласието". Изненадващото решение вероятно се основава на споразумение между Facebook и DPC от пролетта на 2018 г., точно преди GDPR да започне да се прилага. Въпреки че КЗД твърди, че това би било отделна процедура, в проекта на решение се споменава (неразкрит) "специфичен анализ", който КЗД е предоставила на Facebook. Facebook също така се позовава на такава сделка пред съд в Австрия. Въпреки многобройните искания за достъп до тези документи ДКП отказва да разкрие каквито и да било подробности за сделките си с Facebook и нарича критиката "неоснователна".

Шремс:"DPC разработи "заобикалянето на GDPR" с Facebook, което сега дава зелена светлина като регулатор. Вместо като регулатор, той действа като съветник по въпросите на "големите технологии"."

глоба от 28 до 36 млн. евро за това, че не е казала на потребителите, че са се облажили от правата по GDPR Въпреки че твърди, че "заобикалянето на съгласието" е законно, КЗЛД все пак издаде глоба на Facebook за това, че не е напълно прозрачен относно правното основание за обработване на данните на потребителите. В обобщение, следователно КЗД не планира да предприеме действия по нарушението, повдигнато в жалбата, а вместо това просто предложи на Facebook да направи заобикалянето по-ясно. Санкцията ще възлиза на около 0,048 % от глобалните приходи на Facebook, въпреки възможността за санкции до 4 % в ОРЗД.

Шремс:"В общи линии КЗД казва, че Facebook може да заобиколи GDPR, но трябва да бъде по-прозрачен относно it. С този подход Facebook може да продължи да обработва данни незаконно, да добави ред в политиката за защита на личните данни и просто да плати малка глоба, а DPC да се преструва, че е предприела някакви действия."

Шремс: "Руска процедура" Самата процедура също поражда сериозни опасения. ДКП непрекъснато отказва достъп до важни документи. Докато кЗД изготви огромен проект на решение от 96 страници, той до голяма степен "преформулира" писмените становища на потребителите или просто игнорира ключови части от становищата на потребителите. В опит да изясни директно позицията на жалбоподателя, noyb подаде молба за устно изслушване - която също беше отказана от КЗД.

Шремс:"Имаме дела пред много органи, но КЗД дори отдалеч не провежда справедлива процедура. Документи се задържат, изслушвания се отказват, а представените аргументи и факти просто не се отразяват в решението. Самото решение е дълго, но повечето части просто завършват с "мнението" на КЗД, а не с обективна оценка на закона."

Делото вероятно ще стигне до ЕНОППроектът за решение сега е изпратен на другите европейски органи за защита на данните (ОЗД), които могат да повдигнат възражения срещу предложеното от ирландския ДЗД решение. Много е вероятно този случай да стигне до Европейския комитет по защита на данните (ЕКЗД), където органите за защита на данните могат да отменят решението на ирландския ДЗД, както в неотдавнашното дело за WhatsApp.

Шремс:"Нашата надежда е свързана с другите европейски органи. Ако те не предприемат действия, компаниите могат просто да преместят съгласието в условията и по този начин да заобиколят GDPR завинаги."