Během několika hodin poté, co 25. května 2018 začalo platit nové nařízení GDPR, se evropská nezisková organizace noyb.eu podala tři stížnosti na skupinu Facebook (včetně WhatsApp a Instagram). Od té doby se Irská komise pro ochranu osobních údajů (DPC) prohlásila obsah extrémně pomalého řízení za "důvěrný" a požádala organizaci noyb.eu, aby o něm veřejně nehovořila.
Navzdory této údajné (a právně nezávazné) důvěrnosti dnes noyb.eu zveřejnil Otevřený dopis (PDF), který odhaluje, jak se GDPR (ne)prosazuje dva roky poté, co začalo platit. I při kafkovském postupu, který je popsán v dopise a níže, může skupině Facebook hrozit pokuta až do výše 2,5 miliardy eur, pokud se DPC bude řídit zprávou svého interního vyšetřovatele.
- Otevřený dopis (PDF) ke stažení zde
- Německá podání noyb od září 2019 ke stažení zde
- Anglický překlad podání společnosti noyb ze září 2019 ke stažení zde
- Gallupova studie o názorech uživatelů na "obcházení souhlasu" ke stažení zde
Tajná jednání o "obcházení souhlasu" mezi DPC a Facebookem. Otevřený dopis poprvé odhaluje, že irská DPC a skupina Facebook (včetně WhatsApp a Instagram) měly deset tajných schůzek předtím, než v roce 2018 začalo platit GDPR. Na těchto schůzkách Facebook tvrdí, že měl "podrobné přímé jednání s Komisí před zavedením" zjevného "obcházení souhlasu" (podrobnosti níže) s cílem obejít přísná pravidla GDPR týkající se souhlasu. Navzdory tomu, že se Facebook ve svých podáních na tyto schůzky odvolával a zdůrazňoval, že dokumenty byly "předmětem posouzení" ze strany DPC, úřad odmítá přístup k jakýmkoli záznamům z těchto tajných schůzek, včetně bílé knihy předložené společností Facebook.
Max Schrems, předseda společnosti noyb.eu: "Zní to podobně jako ta tajná "daňová rozhodnutí", kdy se daňové úřady tajně domlouvají s velkými technologickými společnostmi na tom, jak obejít daňové zákony - jenže nyní to dělají i v případě GDPR."
Nezákonné "obcházení souhlasu" ze strany Facebooku. V řízeních, která byla zahájena na základě tří stížností podaných portálem noyb.eu před dvěma lety (v prvních hodinách platnosti GDPR), skupina Facebook otevřeně přiznává, že jednoduše přešla od vysoce regulovaného "souhlasu" k údajné "smlouvě o používání údajů". Tato smlouva údajně Facebook zavazuje ke sledování, cílení a provádění výzkumu svých uživatelů. Podle Facebooku k tomuto přechodu došlo úderem půlnoci, kdy začalo platit GDPR. Takové (vzájemné) přetvoření dohody (v tomto případě ze souhlasu na smlouvu) s cílem obejít zákon se nazývá simulatio a je neplatné.
Max Schrems: "Není to nic jiného než rtěnka na praseti. Již od římských dob zákon zakazuje 'přejmenovat' něco jen proto, aby se obešel zákon. To, o co se Facebook pokusil, není chytré, ale směšné. Jediné, co je opravdu znepokojivé, je to, že irská DPC se zřejmě zapojila do spolupráce s Facebookem, když tento podvod navrhoval, a nyní ho má nezávisle přezkoumat."
Ve studii provedené Gallupovým ústavem o "obcházení souhlasu" se 64 % z 1 000 uživatelů domnívá, že souhlas udělili, přestože Facebook tvrdí opak. V závislosti na otázce si pouze 1,6-2,5 % respondentů myslelo, že skutečně uzavřeli "smlouvu o používání údajů", která zahrnuje povinnost Facebooku používat jejich údaje pro reklamu nebo výzkum. Zbytek si myslel, že jde o pouhou informaci, smlouvu bez takových povinností nebo v ní neviděl žádný význam.
Max Schrems: "V podstatě žádný z 1 000 uživatelů, kterých jsme se ptali, si nemyslí, že by takovou údajnou "smlouvu o používání údajů" se společností Facebook podepsal."
DPC omezuje právní analýzu "smlouvy o používání údajů" na Oxfordský slovník angličtiny. Jedním z důvodů, proč DPC neshledala žádný problém s údajnou "smlouvou o používání údajů", na kterou se Facebook odvolává, je, že DPC jednoduše rozhodla, že analýza takové smlouvy je mimo její pravomoci ("ultra vires"). Namísto analýzy smlouvy podle platného práva DPC ve svých zprávách doslova citovala definici "smlouvy" z Oxfordského slovníku angličtiny.
Schrems: "Na právnické fakultě se učíte číst právní knihy pro právní otázky, ne slovník. Zdá se, že to byla po staletí vítězná technika. Je zřejmé, že se DPC snaží údajnou "smlouvu o používání údajů" společnosti Facebook nepřezkoumat."
DPC slaví dokončení 1 ze 6 kroků za dva roky? Ve veřejném prohlášení z konce minulého pátku, dPC překvapivě označila tři řízení zahájená noyb.eu za příklady velkého pokroku v práci DPC. A to i přesto, že DPC trvalo dva roky, než dokončila 1 ze 6 kroků svého postupu v případě WhatsApp a Instagramu a 2 ze 6 kroků v případě Facebooku (viz přehledová tabulka). Vzhledem k tomu, že jen v roce 2019 DPC zaznamenala 7 125 stížností a nulové pokuty podle GDPR vůči jakémukoli soukromému subjektu, je to stěží úspěch.
Max Schrems: "Je to facka do tváře asi 10 000 stěžovatelů, pokud DPC po dvou letech vyzdvihuje jako úspěch první ze šesti kroků ve dvou případech."
Dokonce i plagiátorství vlastní zprávy trvalo DPC 10 měsíců. Pýcha, s jakou DPC minulý týden doručila dva návrhy zpráv (1. krok ze 6) na WhatsApp a Instagram, se zdála být ještě grotesknější, když si noyb.eu uvědomil, že se tyto zprávy ze 76 až 82 % překrývají se zprávou Facebooku z roku 2019 (screenshot).
Max Schrems: "Projeli jsme návrhy zpráv na Instagramu a WhatsAppu, na které DPC minulý týden hrdě upozornila, softwarem na identifikaci plagiátů a dobře jsme se zasmáli: 76 %, resp. 82 % bylo totožných s návrhem zprávy z loňského roku na Facebooku. Zdá se, že i pouhé rozsáhlé zkopírování a vložení návrhu zprávy jim zabralo více než 10 měsíců."
Zpráva DPC vidí porušení pravidel transparentnosti GDPR. Pokuta by mohla dosáhnout miliard. Ačkoli se DPC bránila přezkoumání zákonnosti "obcházení souhlasu" společností Facebook, interní vyšetřovací zpráva přesto shledává porušení požadavků na transparentnost GDPR v článku 5 GDPR tím, že uživatelé Facebooku, WhatsApp a Instagramu nebyli dostatečně informováni o právním základu pro používání jejich údajů. Pokud by se Komise pro ochranu osobních údajů nakonec držela tohoto názoru, musela by udělit "účinnou, přiměřenou a odrazující"pokutu ve výši až 4 % ročních příjmů společnosti Facebook (až 2,5 miliardy eur nebo 2,83 miliardy USD).
Max Schrems: "Šetření DPC v podstatě zaujalo stanovisko, že Facebook může uživatele ojebávat, pokud to bude dělat transparentněji. To by nicméně znamenalo, že Facebook, Instagram a WhatsApp zpracovávaly údaje všech evropských uživatelů v rozporu s GDPR. I kdyby DPC zjistila pouze toto omezenější porušení, pokuta by mohla dosáhnout až 2,5 miliardy eur."
Evropská komise a orgány pro ochranu údajů musí jednat. V otevřeném dopise noyb.eu rovněž vyzývá Evropskou komisi, aby přijala opatření proti Irsku. S přibližně 10 000 stížnostmi za dva roky a vůbec žádnými pokutami vůči soukromým subjektům je zřejmé, že Irsko neprovádí právo EU účinně.
Otevřený dopis vyzývá i ostatní evropské úřady pro ochranu osobních údajů (DPA), aby podnikly kroky, když jejich kolegové odmítají dělat svou práci. Ačkoli GDPR bohužel často postrádá jasné lhůty, umožňuje, aby orgány pro ochranu údajů požádaly své kolegy o přijetí určitých opatření nebo aby zahájily "naléhavé řízení", pokud je jiný orgán pro ochranu údajů nečinný.
Schrems: "Mnoho DPA je frustrováno situacemi, jako je tomu v Irsku, ale pouhá výzva nestačí. Musí také využívat nástroje, které GDPR předpokládá. Takové žádosti jsme například nyní podali u rakouského orgánu pro ochranu údajů."
Aby tomuto úsilí napomohl, zaslal noyb.eu všechny relevantní dokumenty o probíhajících řízeních ostatním evropským orgánům pro ochranu údajů, a to i přesto, že irský orgán pro ochranu údajů výslovně trval na tom, že noyb.eu nesmí tyto dokumenty svým kolegům poskytnout.
Základní informace o noyb.eu. noyb.eu je evropská nezisková organizace pro ochranu údajů, která se snaží zajistit prosazování GDPR. noyb.eu je financována více než 3 200 podporujícími členy. V týmu noyb.eu, který tvoří 15 lidí, jsou právníci a techničtí odborníci na GDPR z různých členských států EU. Doposud noyb.eu podala více než 20 stížností na GDPR v různých záležitostech a proti společnostem, jako jsou Amazon, Apple, Google, Facebook, DAZN, SoundCloud a Netflix.
