noybovo třetí "adventní čtení": Záznam o činnostech zpracování (ROPA) na Facebooku je k smíchu
Ve svém třetím "adventním čtení" (na protest proti nezákonnému vyřazení noyb z probíhajícího řízení) noyb zveřejňuje hlavní dokument Facebooku o souladu s GDPR: Záznam o činnostech zpracování" Facebooku podle článku 30 GDPR (zkráceně: "ROPA"). Takový zákonem vyžadovaný dokument by měl umožnit snadné posouzení souladu Facebooku s GDPR, ve skutečnosti má však pouze směšné čtyři strany. Obvykle mají jinak takové dokumenty stovky stran. Schrems:"Základní dokument společnosti Facebook o souladu s GDPR je příznačný pro její neznalost zákona - má pouze čtyři strany. Obvykle má takový dokument jinak stovky stran. Irská DPC o nedostatku dokumentace ví od roku 2018, ale nepodnikla žádné kroky."
Soulad s GDPR na čtyřech stránkách? Dokument ve skutečnosti říká jen velmi málo, místo podrobného popisu tisíců operací zpracování Facebook hlavně odkazuje na své zásady ochrany osobních údajů a jinak přidal několik obecných řádků. Pro hlubší ponor se k noyb připojil Peter Hense, partner advokátní kanceláře Spirit Legal, který již pracoval na stovkách takových dokumentů. Těžko mohl uvěřit, že že se ROPA Facebooku omezuje na čtyři stránky a v adventním čtení noyb komentoval:"Každý fotbalový klub má podrobnější ROPA". Dále zdůraznil, že jako auditor by musel tuto ROPA považovat za neexistující a že zpracování ze strany Facebooku je tudíž "nezákonné".
DPC si je toho vědoma od roku 2018. Irská komise pro ochranu osobních údajů ("DPC") obdržela tento směšný "Záznam o činnostech zpracování" od společnosti Facebook dne 27. 9. 2018, ale pokud je noybovi známo, nepodnikla žádné kroky v souvislosti se zjevným porušením článku 30 GDPR.
Max Schrems, předseda sdružení noyb.eu:"Irská DPC věděla, že Facebook Ireland nemá v pořádku ani ty nejzákladnější dokumenty o dodržování předpisů, a nic s tím neudělala."
Hrozba pro noyb v roce 2019. Namísto toho, aby DPC podnikla kroky vůči Facebooku, vydala se po noyb: jakmile byl dokument v srpnu 2019 poskytnut noyb prostřednictvím rakouského úřadu pro ochranu osobních údajů ("DSB"), Max Schrems se na Twitteru podělil o skutečnost, že ROPA obsahuje pouze čtyři stránky, spolu s obrázkem zadní strany dokumentů. To podnítilo úřad DPC k zaslání rozhořčených dopisů společnosti noyb, v nichž požadoval, aby byl tento tweet smazán.
"Fan mail" ze strany DPC a Facebooku. Jak noyb informuje všechny relevantní strany před naším adventním čtením, opět jsme obdrželi výhružné dopisy (říkáme tomu "fanouškovská pošta") od právní kanceláře Facebooku Mason Hayes and Curran a irské DPC - v podstatě vyhrožují právními kroky proti noyb, přestože k tomu nemají žádný právní základ, jak jsme zdůraznili v našich odpovědích Facebooku a v naší odpovědi irské DPC.
Právní základ pro zveřejnění. Jak jsme zdůraznili v našem prvním adventním čtení, čtyři adventní čtení noyb jsou protestem proti nezákonnému odstranění noyb ze strany DPC v rámci probíhajícího řízení. Všechny dokumenty byly poskytnuty prostřednictvím Rakouské DSB. Rakouský DSB rozhodl, že tyto dokumenty nejsou chráněny podle příslušného ustanovení (§ 17 Abs 3 AVG) a noyb je může volně používat podle platného rakouského práva. Ani podle (nepoužitelného) irského zákona o ochraně osobních údajů z roku 2018 neexistuje žádný právní základ pro to, aby strany zadržovaly nebo jinak omezovaly použití dokumentů. Ačkoli se DPC obvykle odvolává na § 26 zákona, toto ustanovení se zjevně vztahuje pouze na zaměstnance DPC ("příslušné osoby"), nikoli na třetí strany.
Potenciální "SLAPP žaloba" ze strany DPC a Facebooku. Vzhledem k nepodloženým výhrůžkám, navzdory jasnému právnímu základu těchto publikací, noyb nyní očekává nepodložené "SLAPP žaloby" (viz skvělé shrnutí Johna Olivera, bohužel pouze na YouTube) ze strany DPC a/nebo společnosti Facebook Ireland Limited. Není nepravděpodobné, že by se Facebook nebo DPC pokusily podat žalobu v Irsku nebo ve Spojeném království, protože tyto právní systémy jsou extrémně drahé a jsou dokonalou jurisdikcí pro zničení nevládní organizace. Proto jsme příslušné dokumenty v těchto jurisdikcích geoblokovali.
Dnešní dokumenty. Dokument ROPA je součástí našeho soudního sporu "GDPR bypass" a je k dispozici zde:
- (nemusí být k dispozici ve všech zemích)
Výměny ohledně zákonnosti tohoto zveřejnění:
- Dopis DPC o zveřejnění ROPA
- Odpověď noyb na otázku, proč jsou body DPC nesprávné
- Dopis právní kanceláře společnosti Facebook ke zveřejnění ROPA
- Odpověď společnosti noyb o tom, proč "záměr" společnosti Facebook není relevantním faktorem
Přehled týdne. Pro všechny, které zajímá, co se stalo od minulého týdne v adventním čtení, doporučujeme tento článek od POLITICO o tom, jak se DPC snažila protlačit "obcházení GDPR" Facebookem do dokumentů EDPB. To vyvolalo řadu zajímavých článků až po výzvy v rámci Irska k výměně vedení DPC. Koncem tohoto týdne informoval server POLITICO o námitce podle článku 60 proti návrhu rozhodnutí DPC o "obcházení GDPR" norským úřadem pro ochranu osobních údajů a zdůraznil, že návrh rozhodnutí DPC by "ukončilo právo na soukromí" podle norského úřadu DPA. To vedlo k dalším diskusím v rámci Irska o DPC, jako je tato zpráva deníku Irish Times.
