Obcházení GDPR souhlasem společnosti Facebook prostřednictvím "smluvní reklamní povinnosti" u rakouského Nejvyššího soudu, s vysokým potenciálem předložení věci Soudnímu dvoru EU
Jak informují Rakouská tisková agentura (APA ) a Der Standard, k rakouskému nejvyššímu soudu (OGH) se dostal případ, který může rozhodnout o legálnosti podnikání Facebooku v Evropě. Facebook i pan Schrems podali odvolání proti dřívějšímu rozsudku Vrchního zemského soudu ve Vídni (OLG Wien). Ústředním bodem případu se stalo mimo jiné údajné "obcházení" přísných pravidel GDPR pro udělování souhlasu. Vrchní soud byl požádán, aby věc předložil Soudnímu dvoru Evropské unie (SDEU) k objasnění.
"Obcházení souhlasu" ze strany Facebooku. Když GDPR vstoupilo v platnost, jednou z velkých výhod byla povinnost mít jasný souhlas, když společnosti chtějí zpracovávat údaje uživatelů. Kromě souhlasu existuje pět dalších právních základů pro zpracování údajů podle čl. 6 odst. 1 GDPR. Jedním z těchto základů je zpracování, které je "nezbytné pro plnění smlouvy". O půlnoci 25. 5. 2018, kdy GDPR začalo platit, Facebook ve svých podmínkách jednoduše pojmenoval věci jako "personalizovaná reklama". Facebook nyní tvrdí, že má "povinnost poskytovat uživatelům personalizovanou reklamu", a proto nepotřebuje souhlas uživatele se zpracováním jeho osobních údajů.
Velký rozdíl mezi souhlasem a smlouvou? GDPR má velmi přísná pravidla týkající se souhlasu. Uživatelé musí být plně informováni, musí mít svobodnou volbu souhlasit nebo nesouhlasit a musí mít možnost souhlasit s každým typem zpracování konkrétně. Uživatelé také mohou souhlas kdykoli a bez jakýchkoli nákladů odvolat. Smlouvy jsou však záležitostí jednotlivých vnitrostátních právních předpisů a jsou obvykle mnohem flexibilnější. Uživatelé nemusí smlouvě rozumět, aby byli vázáni, podrobnosti mohou být skryty v "obchodních podmínkách" a mohou přijít na základě principu "ber, nebo nech být".
Katherina Raabe-Stuppnig, LGP, zastupující pana Schremse: "Facebook se jednoduše snaží přeznačit neplatný souhlas, aby obešel GDPR. Všechny ostatní společnosti získávají řádný souhlas - pouze Facebook si myslí, že to může obejít." A dále:"Jen proto, že prohlášení o souhlasu přesunete do smlouvy, musí být dále považováno za souhlas. Smlouvy bylo vždy třeba vykládat především podle jejich skutečného účelu. Souhlas ve smlouvě je proto třeba vykládat právě jako souhlas."
64 % uživatelů vidí "souhlas", 1,6 % "reklamní smlouvu ".noyb si nechal vypracovat studii od Gallupova institutu, v níž bylo 1 000 rakouských uživatelů Facebooku dotázáno, jak chápou smlouvu. Přibližně dvě třetiny interpretovaly příslušnou stránku jako žádost Facebooku o souhlas, pouze asi 10 % vidělo "smlouvu", z toho pouze 16 uživatelů ji chápalo tak, že zahrnuje povinnost poskytovat personalizovanou reklamu (celkem 1,6 %), jak tvrdí Facebook. Dva nižší rakouské soudy však zaujaly stanovisko, že je výhradně na uvážení Facebooku, zda bude daný termín prohlašovat za "smlouvu" nebo "souhlas". V důsledku toho neviděly v obcházení ze strany Facebooku žádný problém, ale zároveň rozhodly, že tuto záležitost musí vyjasnit nejvyšší soudy.
Podkopávání GDPR? Přístup společnosti Facebook lze také považovat za jasný signál k ignorování (přinejmenším ducha) GDPR, zatímco společnost Facebook tvrdí, že je plně v souladu s tímto nařízením. Der Standard citoval liberální poslankyni Evropského parlamentu Sofie in 't Veldovou, která GDPR vyjednala, a uvedla: ,,V tomto případě se jedná o tzv: "Požadavek požádat o souhlas musí zůstat pevný. Smluvní podmínky nemohou být použity jako úniková klauzule pro tento požadavek, nebo dokonce pro jakýkoli jiný právní základ pro zpracování údajů. GDPR je jasně navrženo tak, aby uživatelé měli kontrolu nad svými údaji. Nikoliv proto, aby umožňovalo Facebooku vylákat od uživatelů jejich osobní údaje."
Nečinnost Úřadu pro ochranu osobních údajů. Na stejnou záležitost upozorňovala společnost noyb také irskou Komisi pro ochranu osobních údajů (DPC) před více než 2,5 lety. Tři vyšetřování ve věci údajného "vynuceného souhlasu" však postupovala pomalu a jádro problému "obcházení" bylo shledáno mimo rámec řízení. V rakouském případě společnost Facebook tvrdila, že "bypass" byl zaveden poté, co absolvovala deset schůzek s DPC, která "bypass" se společností pro sociální média vypracovala. DPC to popřela, ale odmítla zveřejnit podrobnosti o deseti důvěrných schůzkách se společností Facebook v období před zahájením řízení o GDPR. Dva irské případy jsou nyní předmětem soudního přezkumu u irského Nejvyššího soudu, třetí případ je předmětem odvolání u rakouského Spolkového správního soudu (BVwG).
Slibné výsledky. Rakouský Nejvyšší soud již dříve postoupil podobné věci Soudnímu dvoru EU (viz např. C-18/18 - Glawischnig-Piesczek, C-498/16 - Schrems). SDEU zase v minulosti rozhodl většinou v neprospěch Facebooku ve věcech ochrany soukromí (viz např. věci C-40/17 - Fashion ID nebo C-40/17 - C-40/17 - Fashion ID) C-210/16 - Wirtschaftsakademie Schleswig-Holstein), zejména dvě věci proti Facebooku týkající se předávání údajů mezi EU a USA nazvané "Schrems I" a "Schrems II". Není proto nepravděpodobné, že Facebook čekají vážné problémy. Rakouský Nejvyšší soud neprovádí ústní jednání a o postoupení věci Soudnímu dvoru EU obvykle rozhoduje v řádu měsíců a písemným rozhodnutím. Samotnému SDEU však trvá až 1,5 roku, než provede všechna slyšení a dospěje k rozhodnutí.