Отворено писмо за „поверителни“ сделки по случая във Facebook

May 24, 2020

В рамките на часове след прилагането на новия GDPR на 25 май 2018 г. европейската организация с нестопанска цел noyb.eu подаде три жалби срещу Facebook Group (включително WhatsApp и Instagram). Оттогава Ирландската комисия за защита на данните (DPC) обяви съдържанието на изключително бавната процедура за поверително и поиска от noyb.eu да не ги обсъжда публично.

Въпреки тази предполагаема (и правно необвързваща) поверителност, noyb.eu публикува днес Отворено писмо (PDF) , което разкрива как GDPR (не) е бил приложен две години след като е станал приложим. Дори съгласно процедурата по кафкиски, описана в писмото и по-долу, Facebook Group все още може да се наложи да получи глоба до 2,5 милиарда евро по пътя, ако DPC следва своя доклад на вътрешния следовател.

Тайни срещи за „ байпас на съгласие “ между DPC и Facebook. Отвореното писмо разкрива за първи път, че ирландският DPC и Facebook Group (включително WhatsApp и Instagram) са имали десет тайни срещи, преди GDPR да стане приложим през 2018 г. На тези срещи Facebook твърди, че е имал „ подробен пряк ангажимент с Комисията преди прилагането “ на очевиден„ байпас за съгласие “(подробности по-долу), за да се заобиколят строгите правила за съгласие на GDPR. Въпреки факта, че Facebook разчита на тези срещи в своите изявления и подчертава, че документите са „ обект на разглеждане “ от DPC, органът отказва достъп до записи на тези тайни срещи, включително Бяла книга, представена от Facebook.

Макс Шремс, председател на noyb.eu: „ Звучи много като онези тайни„ данъчни решения “, при които данъчните власти тайно се договарят с големи технологични компании за това как да заобиколят данъчните закони - само че сега правят това и с GDPR.“

Незаконният „ заобикаляне на съгласието “ на Facebook. В процедурите, предизвикани от три жалби, подадени от noyb.eu преди две години (в рамките на първите часове от влизането в сила на GDPR), Facebook Group открито признава, че просто е преминала от силно регламентирано „съгласие“ към предполагаемо „използване на данни договор". Твърди се, че този договор задължава Facebook да проследява, насочва и провежда изследвания върху своите потребители. Според Facebook това превключване се е случило в полунощ, когато GDPR стана приложим. Такова (взаимно) преформулиране на споразумение (в случая от съгласие за сключване на договор) за заобикаляне на закона се нарича simulatio и е невалидно.

Макс Шремс: „ Това не е нищо друго освен червило върху прасе . От римско време законът забранява „преименуване“ на нещо само за заобикаляне на закона. Това, което Facebook се опита да направи, не е умно, но е смешно. Единственото, което наистина е обезпокоително, е, че ирландският DPC очевидно се е ангажирал с Facebook, когато са проектирали тази измама, и сега трябва да я прегледа независимо. "

В проучване, проведено от Gallup Institute относно „байпаса за съгласие“, 64% от 1000 потребители вярват, че са дали съгласие, въпреки твърденията на Facebook за обратното. В зависимост от въпроса само 1,6-2,5% смятат, че всъщност са сключили „договор за използване на данни“, който включва задължение на Facebook да използва данните им за реклама или проучване. Останалите смятаха, че това е просто информация, договор без такива задължения или не може да види каквото и да е значение на страницата.

Макс Шремс: „ По принцип никой от 1000 потребители, които сме попитали, не смята, че са подписали такъв предполагаем„ договор за използване на данни “с Facebook .“

DPC ограничава правния анализ на „договора за използване на данни“ до Оксфордския английски речник. Една от причините DPC да не може да намери проблем с предполагаемия „договор за обработка на данни“, на който Facebook разчита, е, че DPC просто реши, че анализът на такъв договор е извън неговите правомощия („ ultra vires “). Вместо да анализира договора съгласно приложимото законодателство, DPC буквално цитира дефиницията на „договор“ от Оксфордския английски речник в своите доклади.

Шремс: „ В юридическото училище се научавате да четете юридически книги за правни въпроси, а не речник. Изглежда това беше печеливша техника от векове. Очевидно е, че DPC се опитва да не преразглежда предполагаемия "договор за използване на данни" на Facebook.

DPC празнува завършване на 1 от 6 стъпки за две години? В публично изявление късно в петък , на ДФК изненадващо име трите процедури, задействани от noyb.eu като примери за голям напредък в работата на ДФК е. Това е независимо от факта, че DPC отне две години, за да изпълни 1 от 6 стъпки от процедурата си в WhatsApp и Instagram и 2 от 6 стъпки във Facebook (вж. Таблицата за преглед). Като се има предвид, че DPC само през 2019 г. отчете 7 125 жалби и нулеви GDPR глоби срещу частен участник, това едва ли е постижение.

Макс Шремс: „ Това е шамар в лицето на около 10 000 жалбоподатели, ако DPC подчертава първата от шест стъпки в две дела след две години като постижение.“

Дори плагиатството на собствения доклад отне DPC 10 месеца. Гордостта, която DPC пое при представянето на два проекта на доклади (стъпка 1 от 6) за WhatsApp и Instagram миналата седмица, изглеждаше още по-гротескна, когато noyb.eu осъзна, че тези доклади се припокриват от 76 до 82% с отчета за Facebook за 2019 г. (екранна снимка).

Макс Шремс: „Проверихме проектодокладите в Instagram и WhatsApp, които DPC гордо подчерта през миналата седмица чрез софтуер за идентифициране на плагиатство и се засмя добре: съответно 76% и 82% бяха идентични с проектодоклада от миналата година нататък Facebook. Изглежда, че дори само широко копиране и поставяне на проект на доклад им отне повече от 10 месеца. "

Докладът на DPC вижда нарушение на правилата за прозрачност на GDPR. Глобата може да достигне милиарди. Въпреки че DPC се противопостави на проверката на законността на „ байпаса на съгласието “ на Facebook, доклад за вътрешно разследване все пак констатира нарушение на изискванията за прозрачност на GDPR в член 5 от GDPR, като не информира адекватно потребителите на Facebook, WhatsApp и Instagram относно правната основа за техните данни. Ако DPC в крайна сметка се придържа към тази гледна точка, ще трябва да издаде „ ефективна, пропорционална и възпираща “ глоба в размер до 4% от годишните приходи на Facebook (до 2,5 милиарда евро или 2,83 милиарда щатски долара).

Макс Шремс: „ По принцип разследването на DPC зае позицията, че Facebook може да обърка потребителите, стига те да са по-прозрачни за това. Това обаче би означавало, че Facebook, Instagram и WhatsApp са обработили данните на всички европейски потребители в нарушение на GDPR. Дори DPC да установи само това по-ограничено нарушение, глобата може да достигне до 2,5 милиарда евро.

Европейската комисия и ОЗД трябва да предприемат действия. В отвореното писмо noyb.eu също така призовава Европейската комисия да предприеме действия срещу Ирландия. С около 10 000 жалби за две години и без никакви глоби срещу частни участници, очевидно е, че Ирландия не прилага ефективно законодателството на ЕС.

Отвореното писмо също така призовава други европейски органи за защита на данните (DPA) да предприемат стъпки, когато колегите отказват да си свършат работата. Въпреки че за съжаление на GDPR често липсват ясни срокове, той позволява на DPA да поискат от колегите да предприемат определени действия или да започнат „спешна процедура“, ако друг DPA е неактивен.

Шремс: „ Много ОЗД са разочаровани от ситуации като в Ирландия, но само извикването им не е достатъчно. Те също трябва да използват инструментите, които GDPR предвижда. Ние например сме подали такива заявления в австрийския DPA сега . “

За да подпомогне това усилие, noyb.eu изпрати всички съответни документи по висящите процедури до останалите европейски партньори, въпреки че ирландският DPC изрично настоя, че noyb.eu не може да предоставя тези документи на своите колеги.

Фон на noyb.eu. noyb.eu е европейска организация за защита на данните с нестопанска цел, която се опитва да гарантира прилагането на GDPR. noyb.eu се финансира от повече от 3200 подкрепящи членове . Екипът на noyb.eu от 15 души включва адвокати по GDPR и технически експерти от различни държави-членки на ЕС. Досега noyb.eu е подал повече от 20 жалби GDPR по различни въпроси и срещу компании като Amazon, Apple, Google, Facebook, DAZN, SoundCloud и Netflix.