Το δεύτερο "Advent Reading" του noyb : Πώς το ιρλανδικό DPC προσπάθησε να ασκήσει πίεση στην "παράκαμψη GDPR" του Facebook στις Ευρωπαϊκές Κατευθυντήριες γραμμές.
Αυτή την εβδομάδα, η noyb δημοσίευσε δύο γύρους εγγράφων ως μέρος των «Αναγνώσεων Advent» από τα έγγραφα DPC και Facebook: Μια επιστολή από το Facebook προς την ιρλανδική DPC επιβεβαιώνει ότι η DPC είχε δέκα συναντήσεις με το Facebook όπου συζήτησαν και συμφώνησαν για την παράκαμψη GDPR του Facebook. Ο δεύτερος γύρος εγγράφων δείχνει ότι το DPC προσπάθησε να ωθήσει αυτή την παράκαμψη για τα «Μέσα Κοινωνικής Δικτύωσης» στις Κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), αλλά αντιμετωπίστηκε με σκληρή κριτική από άλλες Ευρωπαϊκές Αρχές Προστασίας Δεδομένων (DPAs), συνεχίζοντας μέχρι το τέλος. με σχόλια όπως " Πιστεύουμε ότι αυτή η ερμηνεία υπονομεύει το σύστημα και το πνεύμα του GDPR " ή " Αυτό μειώνει τον GDPR σε ένα pro-forma εργαλείο . " Η προσπάθεια του DPC να συμπεριλάβει την παράκαμψη GDPR στις κατευθυντήριες γραμμές έλαβε χώρα, ενώ του ανατέθηκε να είναι ανεξάρτητος υπεύθυνος λήψης αποφάσεων σε μια εκκρεμή υπόθεση σχετικά με την "παράκαμψη GDPR" του Facebook.
Δέκα συναντήσεις μεταξύ Facebook και DPC. Όπως αναφέρθηκε προηγουμένως, το Facebook είχε δέκα συναντήσεις με το DPC σχετικά με τον τρόπο προσέγγισης του GDPR. Σε αυτές τις συναντήσεις, η πολυεθνική και η ιρλανδική ρυθμιστική αρχή συμφώνησαν σε μια « παράκαμψη GDPR », μεταφέροντας απλώς τη ρήτρα συναίνεσης στους όρους και τις προϋποθέσεις του Facebook, υποστηρίζοντας ότι αυτό θα παρακάμπτει τους κανόνες συναίνεσης του GDPR σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α). του GDPR, αλλά αντ' αυτού να ισχύει το άρθρο 6 παράγραφος 1 στοιχείο β).
Οι προτεινόμενες κατευθυντήριες γραμμές του EDPB. Τα έγγραφα που ανακαλύφθηκαν πρόσφατα προχωρούν ακόμη περισσότερο: Το 2018, η ιρλανδική DPC δήλωσε μια πρωτοβουλία σε επίπεδο ΕΕ και ξεκίνησε ένα νέο έργο στην «Υποομάδα Βασικών Διατάξεων» του EDPB σχετικά με το άρθρο 6 παράγραφος 1 στοιχείο β) GDPR - ακριβώς τη διάταξη που είχε προηγουμένως συμφωνήσει με το Facebook να χρησιμοποιήσει ως GDPR παράκαμψη. Το DPC ήταν επικεφαλής της ομάδας που είχε την πρώτη της συνάντηση τον Απρίλιο του 2018 - άλλες ευρωπαϊκές αρχές προσχώρησαν στην ομάδα. Οι ακριβείς συμμετέχοντες δεν είναι σαφείς από τα έγγραφα. Τον Οκτώβριο του 2018, η ιρλανδική DPC έστειλε στη συνέχεια μια επιστολή που περιγράφει μια «αυστηρή» και, όπως αποκάλεσε η DPC, μια προσέγγιση «ελευθερίας για συμβάσεις ». Η προσέγγιση της «ελευθερίας των συμβάσεων» ήταν ένας ευφημισμός για μια προσέγγιση όπου οι ελεγκτές μπορούσαν να γράψουν οτιδήποτε στους όρους τους και έτσι να παρακάμψουν τον GDPR. Το DPC πρότεινε σχέδιο κατευθυντήριων γραμμών που αποσκοπούσαν στη μετάβαση προς την προσέγγιση της «παράκαμψης» . Αυτό βασικά επέτρεψε στις εταιρείες να βάλουν απλώς μια ρήτρα στους όρους και τις προϋποθέσεις τους ώστε να καταστήσουν τη συλλογή δεδομένων "απαραίτητη" για μια σύμβαση και έτσι να παρακάμψουν την απαίτηση συναίνεσης σύμφωνα με τον GDPR.
Η αντίδραση από άλλες ΑΠΔ. Οι αντιδράσεις από άλλες ΑΠΔ ήταν εξαιρετικά αρνητικές. Μερικά παραδείγματα περιλαμβάνουν ( A70 ): «Τ του φαίνεται να δέχεται νομισματοποίηση των δεδομένων προσωπικού χαρακτήρα και παρακάμπτοντας τις άλλες νομικές βάσεις (βλέπε σχόλια που έγιναν παραπάνω) Πιστεύουμε ότι η ερμηνεία αυτή υπονομεύει το σύστημα και το πνεύμα του ΑΕγχΠΠ..» Ή ( A90 ): " Διαφωνώ. Αυτό μειώνει το GDPR σε ένα εργαλείο proforma. " ή ( A103 ): " Σε αντίθεση με όλα όσα πιστεύουμε (συγγνώμη, αλλά είναι αλήθεια), καθώς και με τις προηγούμενες οδηγίες A29WP ."
Ο ρόλος των «Μέσων Κοινωνικής Δικτύωσης» στις Οδηγίες. Οι κατευθυντήριες γραμμές είναι γενικές κατευθυντήριες γραμμές για οποιονδήποτε κλάδο της βιομηχανίας, ωστόσο η πρόταση DPC εστιάζει επανειλημμένα στα "κοινωνικά δίκτυα" και τα "social media", άρα ακριβώς στον κλάδο όπου το Facebook έχει de facto μονοπώλιο. Άλλες ΑΠΔ το παρατηρούν στα σχόλιά τους ( A96 ): " Επιπλέον, όλα τα παραδείγματα φαίνεται να σχετίζονται με τα κοινωνικά δίκτυα . " ή ( A105 ) " Προτείνουμε να αφαιρέσετε αυτό το παράδειγμα, καθώς αυτό αναφέρεται ξανά στα μέσα κοινωνικής δικτύωσης. " Άλλα σχόλια επιτέθηκαν ρητά στην πρόταση της DPC ότι τα "social media" θα μπορούσαν απλώς να χρησιμοποιούν όλα τα δεδομένα για διαφήμιση βάσει σύμβασης ( A103 ): " Είναι δυνατή η παροχή λογαριασμών μέσων κοινωνικής δικτύωσης χωρίς παρακολούθηση και δημιουργία προφίλ; Ναι, στην πραγματικότητα είναι. Επομένως, η παρακολούθηση ή η δημιουργία προφίλ δεν είναι απαραίτητη για την εκτέλεση αυτής της σύμβασης . "
Σύγκρουση με εκκρεμή υπόθεση; Είναι ιδιαίτερα ενδιαφέρον το γεγονός ότι το DPC έκανε αυτές τις προτάσεις, όταν μια καταγγελία από το noyb σχετικά με την παράκαμψη συγκατάθεσης του Facebook ήταν ήδη ενώπιον της ρυθμιστικής αρχής. Αντί να λάβει μια ουδέτερη θέση, η DPC προσπάθησε ακόμη και να ασκήσει πιέσεις για την παράκαμψη του GDPR του Facebook σε ευρωπαϊκό επίπεδο.
Το τελικό αποτέλεσμα. Η υποομάδα ολοκλήρωσε το έργο και το δημοσίευσε ως Οδηγίες EDPB 2/2019 . Όλες οι αναφορές σε κοινωνικά δίκτυα και η επιλογή παράκαμψης της συναίνεσης μέσω υποτιθέμενης «συμβόλαιας» αφαιρέθηκαν, ενάντια στη θέση του DPC. Το DPC φαίνεται ότι πρότεινε να καθυστερήσει η δημοσίευση των κατευθυντήριων γραμμών που αντιβαίνουν στη συμφωνία τους με το Facebook, αλλά δεν πέτυχε να καθυστερήσει ούτε τις (ιδιαίτερα δυσμενείς πλέον) οδηγίες.
Max Schrems, πρόεδρος του noyb.eu : " Τα έγγραφα δείχνουν ένα σαφές σχέδιο: Πρώτα η ιρλανδική ρυθμιστική αρχή συμφώνησε σε μια παράκαμψη GDPR με το Facebook. Στη συνέχεια προσπαθεί να συμπιέσει αυτήν την παράκαμψη στις ευρωπαϊκές κατευθυντήριες γραμμές. Το DPC σαφώς δεν ενεργεί προς το συμφέρον του προστασία δεδομένων, αλλά προς το συμφέρον των πολυεθνικών των ΗΠΑ. Συνήθως οι λομπίστες του Facebook είναι αυτοί που προσπαθούν να επηρεάσουν τις κατευθυντήριες γραμμές προς το συμφέρον του κλάδου τους, εδώ η ρυθμιστική αρχή έχει μετατραπεί σε λομπίστες. "
Νομική Κατάσταση Εγγράφων. Τα έγγραφα EDPB παρασχέθηκαν από το EDPB σύμφωνα με τους κανόνες της ΕΕ για την ελευθερία της πληροφόρησης. Η επιστολή του Facebook παρασχέθηκε σύμφωνα με την § 17 του Αυστριακού Διοικητικού Νόμου (AVG) και ως εκ τούτου δεν κρίθηκε εμπιστευτική - παρά το γεγονός ότι είχε σφραγιστεί "αυστηρά εμπιστευτική" και την απαίτηση του Facebook να μην κοινοποιήσει το DPC τα έγγραφα.
Όλα τα έγγραφα: Παρακάτω μπορείτε να βρείτε όλα τα έγγραφα που δημοσιεύσαμε για αυτήν την ανάγνωση. Συνιστούμε ανεπιφύλακτα να διαβάσετε επίσης πρώτα την επισκόπηση μας , καθώς το προσχέδιο εγγράφου προκαλεί ελαφρά σύγχυση όταν διαβάζεται για πρώτη φορά. Το σχόλιο A89R88 είναι ιδιαίτερα σχετικό, καθώς δεν ήταν μαυρισμένο και λέει "Η ιρλανδική DPC ανησυχεί ότι...", δείχνοντας ότι η DPC είναι ο συγγραφέας αυτών των αντιδράσεων. Το έχουμε επιβεβαιώσει μέσω πρόσθετων πηγών και ψηφιακών θραυσμάτων στα έγγραφα. Το DPC δεν αντέδρασε όταν του ζητήθηκε σχόλιο, αλλά ούτε και αρνήθηκε την πατρότητα.
Σημείωση: Για τα έγγραφα EDPB, θα πρέπει να σημειωθεί ότι αφαιρέθηκαν τα ονόματα μεμονωμένων ΑΠΔ. Ωστόσο, τα σχόλια συνήθως έχουν έναν αριθμό που ξεκινά με "A" (όπως "A88") οι αντιδράσεις του ιρλανδικού DPC σε αυτά τα σχόλια, συνήθως έχουν ένα "R" στον αριθμό, που υποδεικνύει ποιο σχόλιο είναι αντίδραση στο σχόλιο μετά από αυτό αριθμός (το "A89R88" είναι επομένως το σχόλιο 89, αλλά και μια αντίδραση στο A88") Σε σελίδες με πάρα πολλά σχόλια, τα σχόλια βρίσκονται στις τελευταίες σελίδες του εγγράφου, κάτω από τον αντίστοιχο αριθμό που αρχίζει με "A".
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
Role of "Social Media" in the Guidelines. The guidelines are general guidelines for any industry sector, however the DPC proposal is repeatedly focusing on "social networks" and "social media", so exactly the industry sector where Facebook has a de facto monopoly. Other DPAs notices this in their comments (A96): "Furthermore, all the examples seem to relate to social networks." or (A105) “We suggest removing this example, as this refers again to social media." Other comments explicitly attacked the DPC's suggestion that "social media" could just use all data for advertisement under a contract (A103): "Is it possible to provide social media accounts without tracking and profiling? Yes, in fact it is. Therefore, tracking or profiling is not necessary for the performance of that contract."
Conflict with pending Case? It is especially interesting that the DPC has made these proposals, when a complaint by noyb on Facebook's consent bypass was already before the regulator. Instead of taking a neutral position, DPC has even tried to lobby for Facebook's GDPR bypass on the European level.
The End Result. The subgroup has finished the project and published them as EDPB Guidelines 2/2019. All references to social networks and the option to bypass consent via an alleged "contract" were removed, against the DPC's position. The DPC seems to have proposed to delay the publication of the guidelines that go contrary to their agreement with Facebook, but was not successful with delaying the (now highly unfavourable) guidelines either. According to POLITICO, the DPC was the only DPA voting against the final guidelines.
Max Schrems, chairperson of noyb.eu: "The documents show a clear plan: First the Irish regulator agreed on a GDPR bypass with Facebook. Then it tries to squeeze this bypass into European guidelines. The DPC clearly does not act in the interest of data protection, but in the interest of US multinationals. Usually it is Facebook lobbyists that try to influence guidelines in the interest of their industry sector, here the regulator has turned into a lobbyist."
Legal Status of Documents. The EDPB documents were provided by the EDPB under the EU freedom of information rules. The letter by Facebook was provided under § 17 of the Austrian Administrative Act (AVG) and was therefore not deemed confidential - despite being stamped "strictly confidential" and Facebook's demand that the DPC may not share the documents.
All Documents: Below you can find all documents we published for this advent reading. We highly recommend to also read our overview first, as the draft document is slightly confusing when read the first time. Comment A89R88 is especially relevant, as it was not blackened and says "The Irish DPC is concerned that...", showing that the DPC is the author of these reactions. We have confirmed this via additional sources and digital fragments in the documents. The DPC did not react when asked for a comment, but also did not deny authorship.
Note: For the EDPB documents, it should be noted that the names of individual DPAs were removed. However, comments usually have a number starting with "A" (like "A88") reactions by the Irish DPC to these comments, usually have an "R" in the number, which indicates which comment this is a reaction to the comment after that number ("A89R88" is therefore comment 89, but also a reaction to A88"). On pages with too many comments, the comments can be found on the final pages of the document, under the relevant number starting with "A".
