Η ιρλανδική DPC αναβοσβήνει την "παράκαμψη GDPR" του Facebook.

Η ιρλανδική DPC αναβοσβήνει την "παράκαμψη GDPR" του Facebook. Schrems: "Η απόφαση υπονομεύει το βασικό στοιχείο του GDPR."

Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) έστειλε ένα "σχέδιο απόφασης" (PDF) στις άλλες Ευρωπαϊκές Αρχές Προστασίας Δεδομένων σχετικά με το νομικό τέχνασμα του Facebook για παράκαμψη του GDPR. Το noyb δημοσίευσε σήμερα τα σχετικά έγγραφα.

Κατά την άποψη του DPC, το Facebook μπορεί απλά να επιλέξει να συμπεριλάβει τη συμφωνία για την επεξεργασία δεδομένων σε μια "σύμβαση", πράγμα που θα καθιστούσε τις απαιτήσεις του GDPR για "συγκατάθεση" να μην ισχύουν πλέον. Ωστόσο, η αρχή προτείνει ποινή από 28 έως 36 εκατομμύρια ευρώ, καθώς το Facebook έπρεπε να είναι πιο διαφανές σε αυτήν την παράκαμψη.

• Καταγγελία noyb της 25ης Μαΐου 2018 (PDF)
• υποβολές noyb της 9ης Σεπτεμβρίου 2019 (PDF)
• υποβολές του noyb της 11ης Ιουνίου 2020 (PDF)
• Σχέδιο απόφασης της Ιρλανδικής DPC (PDF)
• Πρόγραμμα του σχεδίου απόφασης (PDF)

Η συμφωνία για τη χρήση δεδομένων δεν είναι "συναίνεση"; Το νομικό επιχείρημα του Facebook είναι μάλλον απλό: Ερμηνεύοντας τη συμφωνία μεταξύ χρήστη και Facebook ως "σύμβασης" (άρθρο 6 παράγραφος 1 (β) GDPR) αντί για "συγκατάθεση" (άρθρο 6 παράγραφος 1 (α) GDPR) οι αυστηροί κανόνες η συναίνεση βάσει του GDPR δεν θα ισχύει για το Facebook - που σημαίνει ότι το Facebook μπορεί να χρησιμοποιήσει όλα τα δεδομένα που διαθέτει για όλα τα προϊόντα που παρέχει, συμπεριλαμβανομένης της διαφήμισης, της διαδικτυακής παρακολούθησης και ομοίως, χωρίς να ζητήσει από τους χρήστες τη δωρεάν συγκατάθεση που θα μπορούσαν να αποσύρουν ανά πάσα στιγμή. Η μετάβαση του Facebook από "συγκατάθεση" σε "σύμβαση" έγινε στις 25.5.2018 τα μεσάνυχτα - ακριβώς όταν τέθηκε σε ισχύ ο GDPR στην ΕΕ.

Schrems: "Είναι οδυνηρά προφανές ότι το Facebook απλώς προσπαθεί να παρακάμψει τους σαφείς κανόνες του GDPR χαρακτηρίζοντας εκ νέου τη συμφωνία για τη χρήση δεδομένων ως" σύμβαση ". Εάν αυτό γίνει αποδεκτό, οποιαδήποτε εταιρεία θα μπορούσε απλώς να γράψει την επεξεργασία δεδομένων σε σύμβαση και ως εκ τούτου νομιμοποιήστε οποιαδήποτε χρήση δεδομένων πελατών χωρίς συγκατάθεση. Αυτό είναι απολύτως αντίθετο με τις προθέσεις του GDPR, που απαγορεύει ρητά την απόκρυψη συμφωνιών συγκατάθεσης με όρους και προϋποθέσεις "

Παράνομο από τα ρωμαϊκά χρόνια. Από τους Ρωμαϊκούς χρόνους, ο νόμος λέει ότι οι συμφωνίες πρέπει να αντιμετωπίζονται όπως είναι στην πραγματικότητα (αντικειμενική αξιολόγηση), όχι ως αυτό που τα μέρη ισχυρίζονται ότι είναι (επίσημη αξιολόγηση).

Schrems: " Δεν είναι ούτε καινοτόμο ούτε έξυπνο να ισχυρίζεσαι ότι μια συμφωνία είναι κάτι που δεν πρέπει να παρακάμπτει το νόμο. Από τους Ρωμαϊκούς χρόνους, τα Δικαστήρια δεν έχουν αποδεχτεί τέτοιου είδους" επανασημολόγηση "συμφωνιών. Δεν μπορείτε να παρακάμψετε τους νόμους περί ναρκωτικών απλά γράφοντας «λευκή σκόνη» σε έναν λογαριασμό, όταν πουλάτε καθαρά κοκαΐνη. Μόνο η ιρλανδική DPC φαίνεται να πέφτει σε αυτό το κόλπο ».

Το 64% των χρηστών του Facebook βλέπει "συναίνεση", αλλά το DPC τάσσεται με το Facebook. Για να εκτιμήσει το πραγματικό νόημα της συμφωνίας, ο noyb ανέθεσε στο Gallup Institute μια αντικειμενική μελέτη : Από 1.000 χρήστες του Facebook, μόνο το 1,6% είδε σύμβαση για διαφημίσεις (όπως ισχυρίζεται το Facebook), το 64% θεωρούσε ότι η συμφωνία ήταν " συγκατάθεση". Οι υπόλοιποι δεν ήταν σίγουροι για τη νομική έννοια της συμφωνίας.

Οι DPC «απλώς δεν πείστηκαν» από τους Ευρωπαίους συναδέλφους. Σε ευρωπαϊκό επίπεδο, οι Αρχές Προστασίας Δεδομένων (DPA) έχουν εκδώσει κατευθυντήριες γραμμές σύμφωνα με τις οποίες μια τέτοια «παράκαμψη» του GDPR είναι παράνομη και πρέπει να αντιμετωπίζεται ως συγκατάθεση. Ωστόσο, η ιρλανδική DPC είπε ότι "απλά δεν πείθεται" από την άποψη των Ευρωπαίων συναδέλφων της.

Δέκα μυστικές συναντήσεις με το Facebook για "παράκαμψη συναίνεσης". Η εκπληκτική απόφαση πιθανότατα βασίζεται σε μια συμφωνία μεταξύ του Facebook και της DPC από την άνοιξη του 2018, λίγο πριν ο GDPR γίνει εφαρμόσιμος. Ενώ η DPC υποστηρίζει ότι αυτό θα ήταν μια ξεχωριστή διαδικασία, το Σχέδιο Απόφασης αναφέρεται σε (αδιευκρίνιστη) "ειδική ανάλυση" που η DPC παρείχε στο Facebook. Το Facebook βασίστηκε εξίσου σε μια τέτοια συμφωνία ενώπιον δικαστηρίου στην Αυστρία. Παρά τα πολλαπλά αιτήματα για πρόσβαση σε αυτά τα αρχεία, το DPC αρνείται να αποκαλύψει οποιαδήποτε λεπτομέρεια για τις σχέσεις του με το Facebook και αποκαλεί την κριτική «αβάσιμη».

Schrems: " Το DPC ανέπτυξε την" παράκαμψη GDPR "με το Facebook, ότι τώρα είναι πράσινος φωτισμός ως ρυθμιστής. Αντί ρυθμιστή, λειτουργεί ως σύμβουλος" μεγάλης τεχνολογίας ".

Πρόστιμο από 28 € έως 36 €, επειδή δεν λένε στους χρήστες ότι παραβιάζονται από τα δικαιώματα του GDPR. Παρά τον ισχυρισμό ότι η "παράκαμψη συναίνεσης" είναι νόμιμη, η DPC επέβαλε πρόστιμο στο Facebook επειδή δεν ήταν πλήρως διαφανής ως προς τη νομική βάση για την επεξεργασία των δεδομένων χρήστη. Συνοψίζοντας, το DPC δεν σχεδιάζει να αναλάβει δράση για την παραβίαση που προκάλεσε η καταγγελία, αλλά αντίθετα απλώς πρότεινε στο Facebook να καταστήσει σαφέστερη την παράκαμψη. Η ποινή θα ανέλθει σε περίπου 0,048% των παγκόσμιων εσόδων του Facebook, παρά την επιλογή για ποινές έως 4% στο GDPR.

Schrems: " Βασικά το DPC λέει ότι το Facebook μπορεί να παρακάμψει τον GDPR, αλλά πρέπει να είναι πιο διαφανές ως προς αυτό . Με αυτήν την προσέγγιση, το Facebook μπορεί να συνεχίσει να επεξεργάζεται παράνομα δεδομένα, να προσθέσει μια γραμμή στην πολιτική απορρήτου και να πληρώσει μόνο ένα μικρό πρόστιμο, ενώ Το DPC μπορεί να προσποιείται ότι έκανε κάποια ενέργεια ».

Schrems: "Ρωσική Διαδικασία". Η ίδια η διαδικασία εγείρει επίσης σημαντικές ανησυχίες. Το DPC αρνείται συνεχώς την πρόσβαση σε κρίσιμα έγγραφα. Ενώ το DPC παρήγαγε ένα μαζικό σχέδιο απόφασης 96 σελίδων, "αναδιαμόρφωσε" σε μεγάλο βαθμό τις υποβολές των γραπτών χρηστών ή απλώς αγνόησε βασικά μέρη της υποβολής των χρηστών. Σε μια προσπάθεια να διευκρινίσει άμεσα τη θέση του καταγγέλλοντος, ο noyb υπέβαλε αίτηση για προφορική ακρόαση - κάτι που το ίδιο αρνήθηκε και η DPC.

Schrems: " Έχουμε υποθέσεις ενώπιον πολλών αρχών, αλλά η DPC δεν τρέχει καν από απόσταση δίκαιη διαδικασία. Τα έγγραφα αποκρύπτονται, οι ακροάσεις ακυρώνονται και υποβάλλονται επιχειρήματα και τα γεγονότα απλά δεν αντικατοπτρίζονται στην απόφαση. Η ίδια η απόφαση είναι χρονοβόρα, αλλά τα περισσότερα οι ενότητες τελειώνουν με μια «άποψη» του DPC και όχι μια αντικειμενική εκτίμηση του νόμου ».

Η περίπτωση είναι πιθανό να φτάσει στο EDPB . Το σχέδιο απόφασης εστάλη τώρα στις άλλες ευρωπαϊκές αρχές προστασίας δεδομένων (DPA), οι οποίες μπορούν να προβάλλουν αντιρρήσεις για την προτεινόμενη λύση από την ιρλανδική DPC. Είναι πολύ πιθανό ότι αυτή η υπόθεση θα φτάσει στη συνέχεια στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) όπου οι DPA θα μπορούν να αναιρέσουν το Ιρλανδικό DPC, όπως σε μια πρόσφατη περίπτωση στο WhatsApp.

Schrems: " Η ελπίδα μας βρίσκεται στις άλλες ευρωπαϊκές αρχές. Εάν δεν αναλάβουν δράση, οι εταιρείες μπορούν απλά να μεταφέρουν τη συγκατάθεσή τους σε όρους και έτσι να παρακάμψουν τον GDPR για τα καλά."