noybovo druhé "adventní čtení": Jak se irská DPC snažila prolobbovat "obcházení GDPR" Facebookem do evropských směrnic.
Tento týden zveřejnil noyb v rámci svého "adventního čtení" dvě kola dokumentů z dokumentů DPC a Facebooku: Dopis společnosti Facebook irskému DPC potvrzuje, že DPC mělo deset schůzek se společností Facebook, na kterých diskutovali a dohodli se na obcházení GDPR ze strany Facebooku. Druhá série dokumentů ukazuje, že DPC se snažilo tento bypass pro "sociální média" prosadit do Pokynů Evropského sboru pro ochranu osobních údajů (EDPB), ale setkalo se s ostrou kritikou ostatních evropských orgánů pro ochranu osobních údajů, která šla až do komentářů typu "Domníváme se, že tento výklad podkopává systém a ducha GDPR" nebo"Tím se GDPR redukuje na proforma nástroj." Snaha DPC zahrnout obcházení GDPR do pokynů proběhla v době, kdy měl za úkol být nezávislým rozhodovatelem v probíhajícím řízení o "obcházení GDPR" společností Facebook.
Deset schůzek mezi Facebookem a DPC. Jak již bylo dříve oznámeno, Facebook měl deset schůzek s DPC o tom, jak přistupovat k GDPR. Na těchto schůzkách se nadnárodní společnost a irský regulátor dohodli na"obcházení GDPR", a to tak, že klauzuli o souhlasu jednoduše přesunou do obchodních podmínek Facebooku s tvrzením, že tím obejdou pravidla GDPR o souhlasu podle čl. 6 odst. 1 písm. a) GDPR, ale místo toho se uplatní čl. 6 odst. 1 písm. b).
Navrhované pokyny EDPB. Nově objevené dokumenty jdou ještě dále: . V roce 2018 irská DPC uvedla iniciativu na úrovni EU a zahájila nový projekt v rámci "podskupiny pro klíčová ustanovení" EDPB týkající se čl. 6 odst. 1 písm. b) GDPR - tedy přesně toho ustanovení, na jehož použití jako obcházení GDPR se dříve dohodla se společností Facebook. DPC vedl skupinu, která měla první zasedání v dubnu 2018 - k této skupině se připojily další evropské orgány. Přesný počet účastníků není z dokumentů zřejmý. V říjnu 2018 pak irská DPC zaslala dopis, v němž nastínila "přísný" a podle slov DPC "svobodný přístup ke smlouvám". Přístup "svobody smlouvy" byl eufemismem pro přístup, kdy si správci mohou do svých podmínek napsat cokoli a obejít tak GDPR. Výbor DPC navrhl návrh pokynů, které měly směřovat k přístupu "obcházení". Ten v podstatě umožňoval společnostem, aby do svých smluvních podmínek prostě vložily ustanovení, podle něhož bude sběr údajů "nezbytný" pro uzavření smlouvy, a tím obešly požadavek na souhlas podle GDPR.
Reakce dalších orgánů pro ochranu údajů. Reakce ostatních orgánů pro ochranu údajů byly velmi negativní. Některé příklady zahrnují(A70):"Tzdá se, že akceptuje zpeněžování osobních údajů a obcházení ostatních právních základů (viz výše uvedené připomínky). Domníváme se, že tento výklad podkopává systém a ducha GDPR." nebo(A90): "Nesouhlasíme. Tím se GDPR redukuje na proforma nástroj." nebo (A103): "V rozporuse vším, čemu věříme (omlouváme se, ale je to pravda), i s předchozími pokyny A29WP."
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
Úloha "sociálních médií" v pokynech. Pokyny jsou obecnými pokyny pro jakékoli průmyslové odvětví, avšak návrh DPC se opakovaně zaměřuje na "sociální sítě" a "sociální média", tedy přesně na průmyslové odvětví, v němž má Facebook de facto monopol. Ostatní orgány pro ochranu údajů si toho ve svých připomínkách všímají (A96):"Navíc se zdá, že všechny příklady se týkají sociálních sítí." nebo (A105): "Navrhujeme tento příklad odstranit, protože se opět týká sociálních sítí." Jiné připomínky výslovně napadly návrh DPC, že "sociální média" by mohla prostě používat všechny údaje pro reklamu na základě smlouvy(A103):"Je možné poskytnout účty sociálních médií bez sledování a profilování? Ano, ve skutečnosti je to možné. Proto není sledování nebo profilování pro plnění této smlouvy nezbytné."
Rozpor s projednávanou věcí? Je obzvláště zajímavé, že DPC předložil tyto návrhy v době, kdy již byla u regulátora projednávána stížnost noyb na obcházení souhlasu ze strany Facebooku. Namísto toho, aby DPC zaujala neutrální postoj, se dokonce pokusila lobbovat za obcházení GDPR ze strany Facebooku na evropské úrovni.
Konečný výsledek. Podskupina projekt dokončila a zveřejnila je jako Pokyny EDPB 2/2019. Všechny odkazy na sociální sítě a možnost obejít souhlas prostřednictvím údajné "smlouvy" byly proti stanovisku DPC odstraněny. Zdá se, že DPC navrhla odložit zveřejnění pokynů, které jsou v rozporu s jejich dohodou s Facebookem, ale ani s odkladem (nyní velmi nevýhodných) pokynů neuspěla. Podle serveru POLITICO byla DPC jedinou agenturou DPC, která hlasovala proti konečné podobě pokynů.
Max Schrems, předseda sdružení noyb.eu:"Dokumenty ukazují jasný plán: Nejprve se irský regulační orgán dohodl s Facebookem na obcházení GDPR. Pak se snaží tento bypass protlačit do evropských pokynů. DPC zjevně nejedná v zájmu ochrany osobních údajů, ale v zájmu amerických nadnárodních společností. Obvykle jsou to lobbisté Facebooku, kteří se snaží ovlivnit pokyny v zájmu svého průmyslového odvětví, zde se regulátor změnil v lobbistu."
Právní stav dokumentů: Úřad pro ochranu osobních údajů se rozhodl, že se bude zabývat otázkou, zda je v souladu s právními předpisy. Dokumenty EDPB poskytl na základě pravidel EU o svobodném přístupu k informacím. Dopis společnosti Facebook byl poskytnut podle § 17 rakouského správního zákona (AVG), a proto nebyl považován za důvěrný - navzdory razítku "přísně důvěrné" a požadavku společnosti Facebook, že DPC nesmí dokumenty sdílet.
Všechny dokumenty: Níže naleznete všechny dokumenty, které jsme zveřejnili k tomuto adventnímu čtení. Důrazně doporučujeme přečíst si nejprve také náš přehled, protože návrh dokumentu je při prvním čtení poněkud matoucí. Zvláště důležitá je připomínka A89R88, která nebyla začerněna a v níž se píše: "Irská DPC se obává, že...", což ukazuje, že autorem těchto reakcí je DPC. Tuto skutečnost jsme potvrdili prostřednictvím dalších zdrojů a digitálních fragmentů v dokumentech. DPC na žádost o vyjádření nereagovala, ale ani nepopřela autorství.
Poznámka: U dokumentů EDPB je třeba poznamenat, že jména jednotlivých DPC byla odstraněna. Připomínky však obvykle mají číslo začínající písmenem "A" (například "A88") reakce irského DPC na tyto připomínky mají obvykle v čísle písmeno "R", které označuje, o reakci na kterou připomínku se jedná za tímto číslem ("A89R88" je tedy připomínka 89, ale také reakce na A88"). Na stránkách s příliš velkým počtem připomínek lze tyto připomínky nalézt na posledních stránkách dokumentu pod příslušným číslem začínajícím písmenem "A".
