второто "Адвентно четене" наnoyb: Как ирландската ДКП се опита да лобира за "заобикалянето на GDPR" на Facebook в европейските насоки.
Тази седмица noyb публикува два кръга документи в рамките на своите "Адвентни четения" от документи на ДПК и Facebook: Писмо от Фейсбук до ирландския DPC потвърждава, че DPC е имал десет срещи с Фейсбук, на които са обсъдили и съгласували заобикалянето на GDPR от страна на Фейсбук. Вторият кръг от документи показва, че DPC се е опитал да прокара това заобикаляне за "социалните медии" в Насоките на Европейския комитет по защита на данните (EDPB), но е бил посрещнат с остра критика от други европейски органи за защита на данните (ОЗД), стигайки до коментари като "Смятаме, че това тълкуване подкопава системата и духа на GDPR" или"Това свежда ОРЗД до проформа инструмент." Опитът на КЗД да включи заобикалянето на ОРЗД в насоките се състоя, докато на КЗД беше възложено да бъде независим орган, вземащ решения по висящо дело относно "заобикалянето на ОРЗД" от страна на Facebook.
Десет срещи между Фейсбук и КЗЛД. Както беше съобщено по-рано, Facebook е провел десет срещи с ДКП за това как да подходи към GDPR. На тези срещи мултинационалната компания и ирландският регулатор са се договорили за"заобикаляне на GDPR", като просто са преместили клаузата за съгласие в общите условия на Facebook, твърдейки, че по този начин ще се заобиколят правилата за съгласие по член 6, параграф 1, буква а) от GDPR, но вместо това ще се приложи член 6, параграф 1, буква б).
Предложените насоки за ЕЗПД. Новооткритите документи отиват още по-далеч: . През 2018 г. ирландската ДПК заяви инициатива на равнище ЕС и започна нов проект в подгрупата "Ключови разпоредби" на EDPB относно член 6, параграф 1, буква б) от ОРЗД - точно разпоредбата, за която преди това се е договорила с Facebook да използва като заобикаляне на ОРЗД. ГДБОП ръководеше групата, която проведе първото си заседание през април 2018 г. - към нея се присъединиха и други европейски органи. Точните участници не са ясни от документите. След това през октомври 2018 г. ирландският DPC изпрати писмо, в което очерта "строг" и, както го нарече DPC, "свободен за договаряне" подход. Подходът на "свобода на договаряне" беше евфемизъм за подход, при който администраторите могат да запишат всичко в своите условия и по този начин да заобиколят GDPR. КЗД предложи проект на насоки, които имаха за цел да преминат към подхода на "заобикаляне". По същество това позволяваше на дружествата просто да включат клауза в своите общи условия, за да направят събирането на данни "необходимо" за даден договор и по този начин да заобиколят изискването за съгласие съгласно ОРЗД.
Реакцията на други органи за защита на данните. Реакциите от страна на други органи за защита на данните бяха изключително отрицателни. Някои примери включват(A70):"Tму изглежда, че приема монетизирането на личните данни и заобикалянето на другите правни основания (вж. направените по-горе коментари). Смятаме, че това тълкуване подкопава системата и духа на ОРЗД." или(A90): "Не съм съгласен. Това свежда GDPR до проформа инструмент." или (A103): "Противоречи на всичко, в което вярваме (съжалявам, но е вярно), както и на предишните насоки на A29WP."
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
Ролята на "социалните медии" в насоките. Насоките са общи насоки за всеки промишлен сектор, но предложението на КЗД многократно се фокусира върху "социалните мрежи" и "социалните медии", т.е. точно върху промишления сектор, в който Facebook има фактически монопол. Други органи за защита на данните отбелязват това в своите коментари (A96):"Освен това всички примери изглежда се отнасят до социални мрежи." или (A105): "Предлагаме да премахнете този пример, тъй като той отново се отнася до социалните мрежи." В други коментари изрично се атакува предложението на КДП, че "социалните медии" могат просто да използват всички данни за реклама в рамките на даден договор (A103):"Възможно ли е да се предоставят акаунти в социалните медии без проследяване и профилиране? Да, в действителност е възможно. Следователно проследяването или профилирането не са необходими за изпълнението на този договор."
Противоречие с висящо дело? Особено интересно е, че КЗЛД е направила тези предложения, когато жалбата на noyb относно заобикалянето на съгласието от страна на Facebook вече е била разгледана от регулатора. Вместо да заеме неутрална позиция, DPC дори се е опитал да лобира за заобикалянето на GDPR от страна на Facebook на европейско равнище.
Крайният резултат. Подгрупата завърши проекта и ги публикува като Насоки на EDPB 2/2019. Всички препратки към социалните мрежи и възможността за заобикаляне на съгласието чрез предполагаем "договор" бяха премахнати, противно на позицията на DPC. Изглежда, че DPC е предложил да забави публикуването на насоките, които противоречат на споразумението му с Facebook, но не е успял да забави и (сега крайно неблагоприятните) насоки. Според POLITICO ДКП е била единствената ДПА, гласувала против окончателните насоки.
Макс Шремс, председател на noyb.eu:"Документите показват ясен план: Първо, ирландският регулатор се споразумя за заобикаляне на GDPR с Facebook. След това се опитва да вкара това заобикаляне в европейските насоки. DPC очевидно не действа в интерес на защитата на данните, а в интерес на американските мултинационални компании. Обикновено именно лобистите на Facebook се опитват да повлияят на насоките в интерес на своя промишлен сектор, а тук регулаторът се е превърнал в лобист."
Правен статут на документите. Документите на ЕБО бяха предоставени от ЕБО съгласно правилата на ЕС за свобода на информацията. Писмото от Facebook беше предоставено съгласно § 17 от Австрийския административен закон (AVG) и следователно не беше счетено за поверително - въпреки че беше подпечатано с гриф "строго поверително" и въпреки искането на Facebook, че ДКД не може да споделя документите.
Всички документи: По-долу можете да намерите всички документи, които публикувахме за това четиво. Горещо препоръчваме първо да прочетете и нашия преглед, тъй като проектодокументът е леко объркващ, когато се чете за първи път. Коментар A89R88 е от особено значение, тъй като не е зачеркнат и гласи: "Ирландският ДКП е загрижен, че...", което показва, че ДКП е автор на тези реакции. Потвърдихме това чрез допълнителни източници и цифрови фрагменти в документите. ДКП не реагира, когато беше помолена за коментар, но и не отрече авторството.
Забележка: За документите на ЕДПБ следва да се отбележи, че имената на отделните ДПЗ са премахнати. Въпреки това коментарите обикновено имат номер, започващ с "А" (като "А88") реакциите на ирландския ДКД на тези коментари, обикновено имат "R" в номера, което показва на кой коментар е реакция този коментар след този номер ("A89R88" следователно е коментар 89, но и реакция на А88"). На страници с твърде много коментари коментарите могат да бъдат намерени на последните страници на документа, под съответния номер, започващ с "А"