Висшият съд на Виена (Oberlandesgericht Wien) постанови днес решение, че Facebook трябва да плати на г-н Schrems 500 евро емоционални щети и да му предостави пълен достъп до всички данни, които Facebook съхранява за него. Интернет гигантът обаче не трябва да получава съгласие от потребителите да използват техните данни съгласно закона за защита на данните на ЕС (член 6, параграф 1, буква а) от ОРЗД). Вместо това Facebook може просто да си предостави правото да използва всички данни в своите условия (член 6, параграф 1, буква б) от ОРЗД).
- Решение (немски оригинал, съответните части от страница 22)
- Решение (английски машинен превод, съответните части от страница 22)
Законното "заобикаляне на съгласието" на Facebook? GDPR позволява различни основи за обработване на лични данни: Например съгласие или договор. Договорите за гражданско право не трябва да отговарят на строгите изисквания за „съгласие“ съгласно GDPR. Това би означавало, че компанията не трябва да дава на потребителите свободен избор и да получава отделно и недвусмислено съгласие. Освен в рамките на системата за съгласие, потребителите не могат да оттеглят споразумението си, когато променят мнението си.
Следвайки тази идея, Facebook просто копира предишното съгласие в своите условия на гражданско право в нощта на 25.5.2018 г., когато GDPR влезе в сила. Сега компанията твърди, че има „договор“ за обработка на данните на потребителите. По този начин този нов договор замества съгласието, което е било използвано преди GDPR да влезе в сила. Това очевидно имаше за цел да заобиколи по-строгите изисквания за защита на данните, изисквани от законодателите на ЕС: Потребителите на Facebook вече имат по-малко права съгласно GDPR, отколкото преди по стария закон за защита на данните, тъй като според Висшия регионален съд във Виена те са сключили договор за получаване на персонализирана реклама.
В представително проучване на 1000 потребители на Facebook обаче само 1,6% от потребителите са разбрали споразумението като такъв „договор“. Мнозинството прие „съгласие“ - както и ищецът. Европейският съвет за защита на данните (EDPB) също изрично не допуска „договори за използване на данни“ вместо съгласие.
Шремс: " Австрийският съд позволява на Facebook да заобиколи новите изисквания на GDPR. Facebook току-що копира" съгласието "в друг документ в нощта, в която GDPR влезе в сила и твърди, че това би бил договор, а не съгласие. Това би имало последиците, че европейците ще бъдат лишени от новата си защита. Facebook очевидно злоупотребява със закона и това не може да бъде толерирано . "
Facebook трябва да плати 500 евро и да предостави пълен достъп до данни. От друга страна, Facebook загуби своята жалба по отношение на правото на достъп. В два случая австрийските съдилища твърдят, че Facebook не предоставя на потребителите пълен достъп до всички съответни данни в различните им „инструменти“ за достъп. Съдът също така постанови, че потребителите имат право да бъдат информирани кои други страни са предоставили данни на Facebook или дали и на кого Facebook е предоставил данни. Тъй като Facebook непрекъснато оставя г-н Шремс на тъмно за тези подробности, те са длъжни да платят поне символичната сума от 500 евро, която г-н Шремс е поискал за емоционални щети.
Шремс: " Ясно е, че Facebook фактически не предоставя съответната информация. Радвам се да видя, че Съдът е разрешил и обезщетение за такива случаи, когато компаниите постоянно отказват на потребителите правото им да знаят какви данни притежава дадена компания за тях ."
Обжалване пред австрийския върховен съд и евентуално позоваване на СЕС: Висшият съд на Виена е разрешил обжалване пред австрийския върховен съд (OGH). Г-н Шремс ще подаде такава жалба до адвоката си Катарина Раабе-Ступниг . Вероятно австрийският Върховен съд може да отнесе тези въпроси до Съда на ЕС (СЕС). Този най-висок съд в ЕС ще има последната дума, ако заобикалянето на GDPR на Facebook е законно.
Шремс: " Изглежда, че Съдът всъщност не е разгледал по-задълбочено много от проблемите, които това дело повдига. Очевидно ще се опитаме да стигнем до това дело до най-висшите съдилища. Може да има препратка към СЕС по основните въпроси през пролетта на 2021 г. Ако на индустрията е позволено просто да добави ред към своите условия, за да заобиколи изискванията за съгласие по GDPR, можем да раздробим големи части от GDPR . "