Обходът за съгласие на GDPR на Facebook чрез „договорно мито за реклама“ пред австрийския Върховен съд, с голям потенциал за позоваване на СЕС
Както съобщават австрийската агенция за печат (APA) и Der Standard , дело, което може да определи законността на бизнеса на Facebook в Европа, е стигнало до австрийския върховен съд (OGH). Facebook и г-н Schrems са подали жалби срещу по-ранно решение от Висшия регионален съд на Виена (OLG Wien). Наред с други въпроси, предполагаемият "байпас" на строгите правила за съгласие на GDPR стана централен в случая. Върховният съд беше помолен да отнесе делото до Съда на ЕС за разясняване.
„Байпас на съгласието“ на Facebook. Когато GDPR влезе в сила, една голяма полза беше задължението да има ясно съгласие за включване, когато компаниите искат да обработват потребителски данни. В допълнение към съгласието има още пет правни основания за обработка на данни съгласно член 6, параграф 1 от ОРЗД. Една от тези основи е обработката, която е "необходима за изпълнението на договор". На 25.5.2018 г. в полунощ, когато GDPR стана приложим, Facebook просто назова неща като „персонализирана реклама“ в своите условия. Сега Facebook твърди, че има „задължение да предоставя персонализирана реклама“ на потребителите, поради което не се нуждае от съгласието на потребителя за обработка на личните му данни.
Голямата разлика между съгласието и договора? GDPR има много строги правила за съгласие. Потребителите трябва да бъдат напълно информирани, да имат свободен избор да се съгласят или да не се съгласят и трябва да могат да дадат съгласие за всеки вид обработка конкретно. Потребителите могат също да оттеглят съгласието си по всяко време и без никакви разходи. Договорите обаче са въпрос на всеки национален закон и обикновено са много по-гъвкави. Потребителите не трябва да са разбрали даден договор да бъде обвързан, подробностите могат да бъдат скрити в „условия и условия“ и те могат да дойдат на принципа „вземете или оставете“.
Katherina Raabe-Stuppnig, LGP, представляваща г-н Schrems: " Facebook просто се опитва да маркира невалидно съгласие, за да заобиколи GDPR. Всички останали компании получават подходящо съгласие - само Facebook смята, че може да го заобиколи " и по-нататък " Само защото премествате декларация за съгласие в договор, той трябва да се третира по-нататък като съгласие. Човек винаги е трябвало да тълкува договорите преди всичко според истинската им цел. Следователно съгласието в договор трябва да се тълкува точно като съгласие . "
64% от потребителите виждат „съгласие“, 1,6% „договор за реклама“. noyb е поръчал проучване от института Gallup , в което 1000 австрийски потребители на Facebook са били попитани за разбирането им за споразумението. Около две трети интерпретираха съответната страница като Facebook, търсеща съгласие, само около 10% видяха „договор“, от които само 16 потребители разбраха, че това води до задължение за предоставяне на персонализирана реклама (общо 1,6%), както твърди Facebook . Двете по-долни съдилища в Австрия обаче приеха становището, че единствено по преценка на Facebook е да претендира, че даден термин е „договор“ или „съгласие“. Следователно те не видяха проблем с байпаса на Facebook, но също така решиха, че въпросът се нуждае от изясняване от Върховните съдилища.
Подкопаване на GDPR? Подходът на Facebook може да се разглежда и като ясен сигнал за игнориране (поне духа на) GDPR, докато Facebook твърди, че е напълно съобразен. Der Standard цитира либералния член на Европейския парламент Софи в 't Veld, който е договорил GDPR и каза: „Изискването за искане на съгласие трябва да бъде твърдо. Договорните условия не могат да бъдат използвани като клауза за освобождаване за това изискване или всъщност за друго правно основание за обработката на данни. GDPR е ясно разработен, за да даде на потребителите контрол над техните данни. Да не позволи на Facebook да измами потребителите от личните им данни. "
Бездействие от органа за защита на данните. Същият въпрос също беше повдигнат от noyb пред Ирландската комисия за защита на данните (DPC) преди повече от 2,5 години. Трите разследвания в предполагаемото „принудително съгласие“ обаче се движеха бавно и беше установено, че основният въпрос за „байпас“ е извън обхвата на процедурата. В австрийския случай Facebook твърди, че "байпасът" е приложен, след като е имал десет срещи с DPC, които са разработили "байпаса" със социалната медийна компания. DPC отрече това, но отказа да разкрие подробности за десетте поверителни срещи с Facebook в навечерието на GDPR. Две от ирландските дела сега са предмет на съдебен контрол пред ирландския Върховен съд, третото дело е обжалвано пред Австрийския федерален административен съд (BVwG).
Обещаващ опит. Върховният съд на Австрия преди това е отнасял подобни дела до СЕС (вж. Напр. C-18/18 - Glawischnig-Piesczek, C-498/16 - Schrems). Съдът на свой ред преди това е взел решение срещу Facebook по въпроси, свързани с неприкосновеността на личния живот (вж. Напр. C-40/17 - Fashion ID или C-210/16 - Wirtschaftsakademie Schleswig-Holstein ), най-вече две дела срещу Facebook за пренос на данни между ЕС и САЩ, наречени дублирани "Шрем I" и "Шрем II". Следователно не е малко вероятно да има сериозни проблеми пред Facebook. Върховният съд на Австрия не провежда устни изслушвания и обикновено решава относно позоваванията на Съда на ЕС за няколко месеца и с писмено решение. Самият СЕС обаче отнема до 1,5 години, за да проведе всички изслушвания и да вземе решение.