ПРЕДИЗВИКАТЕЛСТВА: Австрийската OGH пита Съда на ЕС дали Facebook "подкопава" GDPR от 2018 г. насам

Jul 20, 2021

ПРЕДИЗВИКАТЕЛСТВО: Върховният съд на Австрия пита Съда на ЕС дали Facebook "подкопава" GDPR, като бърка "съгласие" с предполагаем "договор".

В рамките на дългогодишно гражданско дело между Макс Шремс и Facebook Върховният съд на Австрия (Oberster Gerichtshof, или "OGH") прие искането на г-н Шремс за отправяне на редица въпроси към Съда на Европейския съюз (СЕС, най-висшият съд в ЕС). Четирите въпроса пораждат основни съмнения относно законосъобразността на използването на данните на всички клиенти на Facebook в ЕС

Успоредно с това Върховният съд на Австрия реши в частично решение, че г-н Шремс ще получи символично емоционално обезщетение в размер на 500 евро, тъй като Facebook не е предоставил пълен достъп до данните на г-н Шремс, а вместо това е организирал "лов на яйца" за потребителски данни.

(1) Позоваване на Съда на Европейския съюз:

Основен въпрос: "Съгласие" или "договор"? Австрийският върховен съд има съмнения относно правното основание, което Facebook използва за почти цялата обработка на потребителски данни. В ОРЗД са изброени шест възможности за законосъобразно обработване на лични данни, сред които са "съгласие" и "договор". Можете да се позовавате на "договор" само ако обработката е необходима за изпълнението на договора.

Преди влизането в сила на GDPR Facebook твърдеше, че потребителите са "съгласни" с обработката на персонализираната им реклама. GDPR обаче повиши изискванията за валидност на съгласието, а също така даде на потребителите правото да оттеглят съгласието си по всяко време.

Така че на 25 май 2018 г., когато GDPR започна да се прилага, Facebook вече не твърдеше, че разчита на съгласие. Вместо това Facebook заяви, че клаузите за съгласие трябва да се разглеждат като "договор", при който потребителите "поръчват" персонализирана реклама. Според Facebook това заобикаляне им позволява да лишат потребителите от всички права, свързани със съгласието съгласно GDPR. Изискванията за "свободно дадено" или "информирано" съгласие вече няма да се прилагат, ако то се тълкува като "договор".

Макс Шремс, председател на noyb.eu:"Фейсбук се опитва да лиши потребителите от много права по GDPR, като просто "преинтерпретира" съгласието като гражданскоправен договор. Това не е нищо друго освен евтин опит за заобикаляне на GDPR."

OGH: Facebook може незаконно да "подкопае" GDPR. Върховният съд на Австрия изглежда споделя тези опасения. В своето преюдициално запитване до Съда на ЕС Върховният съд на Австрия обобщава съмненията си дали Facebook може просто да подмени член 6, параграф 1, букви а) и б) от ОРЗД в точка 54 от преюдициалното запитване:

"Основният въпрос на настоящото производство е дали изявлението за намерение за обработване може да бъде изместено от ответника в рамките на правната концепция съгласно член 6, параграф 1, буква б) от ОРЗД, за да се "подкопае" по този начин значително по-високата защита, която правното основание "съгласие" предлага на ищеца."

Макс Шремс:"По принцип цялото използване на данни, което генерира печалби за Facebook в ЕС, разчита на този правен аргумент. Ако Facebook загуби в Съда на ЕС, ще трябва не само да спре това и да изтрие всички незаконно генерирани данни, но и да плати обезщетения на милиони потребители. Много съм щастлив от тази препратка."

Допълнителни въпроси относно свеждането на данните до минимум и чувствителните данни. Върховният съд на Австрия отправи към Съда на ЕС още три въпроса относно законосъобразността на използването на лични данни от Facebook. Съдът на ЕС ще трябва да реши дали използването на всички данни на facebook.com и от безброй други източници, като например уебсайтове, които използват бутоните "Like" на Facebook или реклама, за каквато и да е цел, е съвместимо с принципа за "минимизиране на данните" на ОРЗД. Други два въпроса са свързани с използването от Facebook на чувствителни данни (като политически мнения или сексуална ориентация) за персонализирана реклама.

Макс Шремс:"Тези допълнителни въпроси са от решаващо значение. Възможно е на Facebook да не бъде позволено повече да използва всички данни за реклами, дори когато е получил валидно съгласие. По същия начин може да се наложи да филтрира чувствителни данни като политически мнения или данни за сексуална ориентация. Досега Facebook твърдеше, че не прави разлика между тези видове данни."

(2) Частично решение относно обезщетенията за вреди, достъпа, ролите и "великденските яйца"

Освен това Върховният съд на Австрия издаде окончателно решение по някои искания, по които може да се вземе решение, без да е необходимо сезиране на Съда на ЕС.

500 EUR за "масово раздразнение", липса на достъп до данни и "великденски яйца". Върховният съд на Австрия решава, че г-н Шремс получава парично обезщетение в размер на 500 евро, тъй като Facebook не му е предоставил пълен достъп до неговите данни. Съдът постанови, че той не е получил нито всички необработени данни, нито важна информация като правното основание, на което са били обработвани данните му. Съдът подчерта, че данните, които Facebook предлага чрез своя онлайн инструмент, са разпръснати сред повече от 60 категории данни със стотици, ако не и хиляди точки на данни, чието преглеждане би отнело няколко часа.

Съдът постановява в параграф 153: "Ищецът с право посочва, че ОРЗД се основава на еднократно искане за достъп, а не на "лов на великденски яйца".

Австрийският върховен съд също така е доста ясен по отношение на твърдението на Facebook, че е предоставила на г-н Schrems всички данни, които е сметнала за "релевантни" (параграф 152):

"Фактът, че задължението за предоставяне на информация не може да зависи само от самооценката на ответника ("релевантно"), не се нуждае от допълнителни обяснения"

Тежестта на доказване за Facebook. Върховният съд също така често подчертава, че Facebook носи тежестта на доказване, за да покаже, че е предоставил пълен достъп или че обработката е законна (напр. в параграф 151). По време на процедурата Facebook застана на позицията, че г-н Schrems трябва да докаже, че Facebook не е предоставил всички данни, и просто отказа да отговори на въпросите на г-н Schrems.

Кой е "собственик" на данните във Facebook? Делото постави под въпрос ролите на участниците в платформата Facebook. Г-н Schrems твърди, че той отговаря основно за данните от своя профил или съобщения във Facebook (юридически като "администратор"), което означава, че Facebook трябва да изпълнява неговите нареждания, когато например изтрива данни (като обикновен "обработващ"). Facebook застана на позицията, че е "администратор" на всички потребителски данни във Facebook - с някои изключения. Австрийският съд Surpeme заяви, че въпросът е без значение, тъй като използването на Facebook би попаднало в обхвата на "изключението за домакинството" и следователно въпросът не би възникнал.

Макс Шремс:"По този елемент технически "загубихме", но според становището на Съда Facebook ще носи правна отговорност за всяка незаконна обработка на данни на facebook.com - дори когато това се извършва от други лица. Предложихме по-нюансиран резултат, но Съдът не го разгледа."