Irská komise pro ochranu osobních údajů dává zelenou "obcházení GDPR" společností Facebook. Schrems: "Rozhodnutí podkopává klíčový prvek GDPR."
Irská komise pro ochranu osobních údajů (DPC) zaslala ostatním evropským úřadům pro ochranu osobních údajů "návrh rozhodnutí" (PDF) o právním triku společnosti Facebook, který obchází GDPR. noyb dnes zveřejnil příslušné dokumenty.
Podle názoru DPC se Facebook může jednoduše rozhodnout, že dohodu o zpracování údajů zahrne do "smlouvy", čímž přestanou platit požadavky GDPR na "souhlas". Úřad však navrhuje pokutu ve výši 28 až 36 milionů eur, protože Facebook měl být v případě tohoto obcházení transparentnější.
- stížnost společnostinoyb ze dne 25. května 2018 (PDF)
- podání společnostinoyb ze dne 9. září 2019 (PDF)
- podání společnostinoyb ze dne 11. června 2020 (PDF)
- Návrh rozhodnutí irské DPC (PDF)
- Příloha k návrhu rozhodnutí (PDF)
Souhlas s použitím údajů není "souhlas"? Právní argumentace společnosti Facebook je poměrně jednoduchá: Výkladem dohody mezi uživatelem a Facebookem jako "smlouvy" (čl. 6 odst. 1 písm. b) GDPR) namísto "souhlasu" (čl. 6 odst. 1 písm. a) GDPR) by se na Facebook nevztahovala přísná pravidla pro souhlas podle GDPR - což znamená, že Facebook může používat všechny údaje, které má, pro všechny produkty, které poskytuje, včetně reklamy, online sledování a podobně, aniž by uživatele žádal o svobodně udělený souhlas, který by mohl kdykoli odvolat. K přechodu Facebooku ze "souhlasu" na "smlouvu" došlo 25. 5. 2018 o půlnoci - přesně v době, kdy v EU vstoupilo v platnost nařízení GDPR.
Schrems: "Je bolestně zřejmé, že se Facebook jednoduše snaží obejít jasná pravidla GDPR tím, že dohodu o používání údajů přeznačí na "smlouvu". Pokud by to bylo přijato, mohla by jakákoli společnost zpracování údajů jednoduše zapsat do smlouvy a tím legitimizovat jakékoli použití údajů zákazníků bez souhlasu. To je zcela proti záměrům GDPR, které výslovně zakazuje skrývat dohody o souhlasu do obchodních podmínek."
Nezákonné již od římských dob. Již od římských dob platí, že k dohodám je třeba přistupovat tak, jak skutečně jsou (objektivní posouzení), nikoli tak, jak strany tvrdí, že jsou (formální posouzení).
Schrems:"Tvrdit, že dohoda je něčím, čím není, není ani inovativní, ani chytré, abychom obešli zákon. Od římských dob soudy takovéto 'přeznačování' dohod neakceptovaly. Zákony o drogách nemůžete obejít tím, že na směnku jednoduše napíšete 'bílý prášek', když jasně prodáváte kokain. Zdá se, že na tento trik naletěla pouze irská DPC."
64 % uživatelů Facebooku vidí "souhlas", ale DPC stojí na straně Facebooku. Aby bylo možné posoudit skutečný význam dohody, zadal noyb Gallupovu institutu objektivní studii: Z 1 000 uživatelů Facebooku pouze 1,6 % vidělo smlouvu nad reklamou (jak tvrdí Facebook), 64 % předpokládalo, že jde o "souhlas". Zbytek si nebyl jistý právním významem smlouvy.
Evropské kolegy DPC "jednoduše nepřesvědčila". Na evropské úrovni vydaly úřady pro ochranu osobních údajů (DPA) pokyny, že takové "obcházení" GDPR je nezákonné a musí se považovat za souhlas. Irská DPC však uvedla, že ji názor evropských kolegů "jednoduše nepřesvědčil".
Deset tajných schůzek se společností Facebook o "obcházení souhlasu". Překvapivé rozhodnutí pravděpodobně vychází z dohody mezi Facebookem a DPC z jara 2018, tedy těsně předtím, než začalo GDPR platit. Zatímco DPC tvrdí, že by se jednalo o samostatný postup, návrh rozhodnutí odkazuje na (nezveřejněnou) "konkrétní analýzu", kterou DPC poskytla Facebooku. Stejně tak se Facebook o takovou dohodu opíral před soudem v Rakousku. Navzdory opakovaným žádostem o přístup k těmto spisům odmítá DPC sdělit jakékoli podrobnosti o svém jednání se společností Facebook a kritikuoznačuje za "nepodloženou".
Schrems:"DPC vyvinula s Facebookem 'GDPR bypass', kterému nyní jako regulátor dává zelenou. Místo regulátora vystupuje jako poradce pro 'velké technologie'."
pokuta 28 až 36 milionů eur za to, že uživatelům neřekla, že se nechají ošidit o práva vyplývající z GDPR. Přestože DPC tvrdí, že "obcházení souhlasu" je legální, přesto udělila Facebooku pokutu za to, že nebyl zcela transparentní ohledně právního základu zpracování údajů svých uživatelů. Souhrnně řečeno, DPC tedy nehodlá podniknout kroky v souvislosti s porušením, na které stížnost upozornila, ale místo toho pouze navrhla, aby Facebook obcházení jasněji vysvětlil. Sankce by činila zhruba 0,048 % celosvětových příjmů společnosti Facebook, přestože GDPR umožňuje uložit sankce až do výše 4 %.
Schrems:"DPC v podstatě říká, že Facebook může GDPR obejít, ale musí být transparentnější ohledně to. S tímto přístupem může Facebook i nadále zpracovávat údaje nezákonně, přidat řádek do zásad ochrany osobních údajů a zaplatit jen malou pokutu, zatímco DPC může předstírat, že podnikl nějaké kroky."
Schrems: "Ruský postup". Samotný postup rovněž vyvolává velké obavy. DPC neustále odpírá přístup k zásadním dokumentům. Zatímco dPC vypracovala rozsáhlý 96stránkový návrh rozhodnutí, z velké části v něm "přetvořila" písemná podání uživatelů nebo klíčové části podání uživatelů prostě ignorovala. Ve snaze objasnit přímo stanovisko stěžovatele požádala společnost noyb o ústní slyšení - což DPC stejně odmítla.
Schrems:"Máme případy u mnoha úřadů, ale DPC ani zdaleka nevede spravedlivé řízení. Dokumenty jsou zadržovány, slyšení odmítána a předložené argumenty a fakta se do rozhodnutí jednoduše nepromítají. Samotné rozhodnutí je dlouhé, ale většina částí končí pouze "názorem" DPC, nikoliv objektivním posouzením práva."
Případ se pravděpodobně dostane k EDPB. Návrh rozhodnutí byl nyní zaslán ostatním evropským orgánům pro ochranu údajů, které mohou vznést námitky proti řešení navrženému irským DPC. Je velmi pravděpodobné, že se tento případ poté dostane k Evropskému sboru pro ochranu osobních údajů (EDPB), kde mohou orgány pro ochranu osobních údajů irské DPC přehlasovat, stejně jako v nedávném případě týkajícím se aplikace WhatsApp.
Schrems:"Naši naději vkládáme do ostatních evropských orgánů. Pokud nezakročí, mohou společnosti jednoduše přesunout souhlas do podmínek a GDPR tak nadobro obejít."
