третото "Адвентно четене" наnoyb: Смехотворният регистър на дейностите по обработка на Facebook (ROPA)
В своето трето "Адвентно четене" (в знак на протест срещу незаконното отстраняване на noyb от висяща процедура) noyb публикува основния документ на Facebook за съответствие с GDPR: "Регистър на дейностите по обработване" на Facebook съгласно член 30 от ОРЗД (накратко: "ROPA"). Такъв изискван по закон документ би трябвало да позволява лесно да се оцени съответствието на Facebook с GDPR, но всъщност той има само смехотворни четири страници. Обикновено иначе подобни документи имат стотици страници. Шремс:"Основният документ на Facebook за съответствие с GDPR е симптоматичен за тяхното непознаване на закона - той има само четири страници. Обикновено такъв документ би бил от стотици страници. Ирландският ДКД знае за липсата на документацията от 2018 г., но не е предприел действия"
Съответствие с GDPR в четири страници? Всъщност документът казва много малко, вместо подробно описание на хиляди операции по обработване, Facebook препраща основно към своята политика за защита на личните данни, а иначе е добавил няколко общи реда. За по-дълбоко вникване в темата към noyb се присъедини Петер Хенсе, партньор в Spirit Legal, който вече е работил по стотици такива документи. Той едва ли би могъл вярвам, че че РОП на Facebook се ограничава до четири страници и коментира:"Всеки футболен клуб има по-подробна РОП" в "Адвенчърното четиво" на noyb. По-нататък той подчерта, че като одитор би трябвало да третира този РОПА като несъществуващ и че следователно обработката от страна на Facebook е "незаконна".
ДПК е наясно с това от 2018 г. Ирландската комисия за защита на данните ("DPC") е получила този смехотворен "Регистър на дейностите по обработване" на 27.9.2018 г. от Facebook, но доколкото е известно на noyb, не е предприела никакви действия във връзка с очевидното нарушение на член 30 от ОРЗД.
Макс Шремс, председател на noyb.eu:"Ирландският ДКД е знаел, че Facebook Ирландия няма в ред дори най-елементарните документи за съответствие и не е предприел нищо по въпроса."
Заплаха за noyb през 2019 г. Вместо да предприеме действия по отношение на Facebook, DPC се зае с noyb: след като документът беше предоставен на noyb през август 2019 г. чрез австрийския орган за защита на данните ("ОЗД"), Макс Шремс сподели в Twitter факта, че ОЗД съдържа само четири страници, заедно със снимка на задната страна на документите. Това накара ДКД да изпрати гневни писма до noyb, в които се изисква този туит да бъде изтрит.
"Поща за фенове" от страна на ДПК и Facebook. Както noyb информира всички заинтересовани страни преди нашите адвентни четения, отново получихме писма със заплахи (наричаме ги "фен поща") от адвокатската кантора на Facebook Мейсън Хейс и Къран и ирландската DPC - по същество заплашват с правни действия срещу noyb, въпреки че нямат никакво правно основание за това, както е посочено в отговорите ни до Facebook и в отговора ни до ирландската DPC.
Правно основание за публикацията: "В момента се провеждат преговори за предоставяне на информация на Джи Пи Ес. Както посочихме в първото ни адвентно четене, четирите адвентни четения на noyb са в знак на протест срещу незаконното премахване на noyb от страна на ДКП в рамките на висяща процедура. Всички документи бяха предоставени чрезАвстрийски DSB. Австрийският DSB реши, че тези документи не са защитени съгласно съответната разпоредба (§ 17 Abs 3 AVG) и noyb може да ги използва свободно съгласно приложимото австрийско законодателство. Дори съгласно (неприложимия) ирландски Закон за защита на данните от 2018 г. няма правно основание за задържане или ограничаване по друг начин на използването на документите от страните. Макар че КЗЛД обикновено се позовава на раздел 26 от закона, тази разпоредба очевидно се прилага само за персонала на КЗЛД ("съответните лица"), но не и за трети страни.
Потенциален "SLAPP иск" от страна на DPC и Facebook Като се имат предвид неоснователните заплахи, въпреки ясното правно основание за тези публикации, noyb вече очаква неоснователни "SLAPP искове" (вж. чудесното обобщение на Джон Оливър, за съжаление само в YouTube ) от страна на DPC и/или Facebook Ireland Limited. Не е изключено Facebook или DPC да се опитат да заведат дело в Ирландия или Обединеното кралство, тъй като тези правни системи са изключително скъпи и са перфектна юрисдикция за съсипване на НПО. Поради това сме блокирали съответните документи в тези юрисдикции.
Днешните документи Документът на РОПА е част от нашето съдебно дело за "заобикаляне на GDPR" и е достъпен тук:
- ROPA за четирите страници на Facebook (може да не е достъпен във всички държави)
Размяна на мнения относно законосъобразността на тази публикация:
- Писмо на КЗД относно публикуването на ROPA
- Отговор от noyb относно причините, поради които съображенията на КЗД са неправилни
- Писмо от адвокатската кантора на Facebook относно публикуването на ROPA
- Отговор от noyb относно това защо "намерението" на Facebook не е релевантен фактор
Преглед на седмицата. За всички, които се интересуват от това, което се е случило след Адвентното четене миналата седмица, препоръчваме тази статия от POLITICO за това как DPC се опита да вкара "заобикалянето на GDPR" от Facebook в документите на EDPB. Това предизвика редица интересни статии, като се стигна до призиви в Ирландия за смяна на ръководството на ДПК. По-късно тази седмица POLITICO съобщи за възражение по член 60 срещу проекторешението на КЗД относно "заобикалянето на GDPR " от страна на норвежката ДЗД, в което се подчертава, че проекторешението на КЗД ще "края на правото на неприкосновеност на личния живот" съгласно норвежката ЗЗЛД. Това води на по-нататъшни дискусии в Ирландия относно ДПК, като например този репортаж на Irish Times.