Ανοιχτή επιστολή για «εμπιστευτικές» συναλλαγές σε περίπτωση Facebook

Μάιος 24, 2020

Μέσα σε λίγες ώρες από την εφαρμογή του νέου GDPR στις 25 Μαΐου 2018, ο ευρωπαϊκός μη κερδοσκοπικός οργανισμός noyb.eu υπέβαλε τρεις καταγγελίες κατά του Facebook Group (συμπεριλαμβανομένου του WhatsApp και του Instagram). Έκτοτε, η Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) έχει δηλώσει το περιεχόμενο της εξαιρετικά αργής διαδικασίας « εμπιστευτικό » και ζήτησε από το noyb.eu να μην το κοινοποιήσει δημόσια.

Παρά την εικαζόμενη εμπιστευτικότητα, η noyb.eu δημοσιεύει ένα Ανοιχτό Γράμμα (PDF) σήμερα που αποκαλύπτει τον τρόπο με τον οποίο ο GDPR έχει (δεν) επιβληθεί δύο χρόνια μετά την έναρξη ισχύος του. Ακόμη και σύμφωνα με τη διαδικασία Kafkaesque που περιγράφεται στην επιστολή και παρακάτω, το Facebook Group ενδέχεται να εξακολουθήσει να αντιμετωπίζει πρόστιμο έως 2,5 δισεκατομμύρια ευρώ στο δρόμο, εάν το DPC ακολουθήσει την εσωτερική έκθεση του ερευνητή.

Μυστικές συναντήσεις για " παράκαμψη συναίνεσης " μεταξύ DPC και Facebook. Η ανοιχτή επιστολή αποκαλύπτει για πρώτη φορά ότι το Ιρλανδικό DPC και το Facebook Group (συμπεριλαμβανομένου του WhatsApp και του Instagram) είχαν δέκα μυστικές συναντήσεις προτού τεθεί σε εφαρμογή το GDPR το 2018. Σε αυτές τις συναντήσεις, το Facebook ισχυρίζεται ότι είχε « λεπτομερή άμεση συνεργασία με την Επιτροπή πριν από την εφαρμογή " μιας φαινομενικής" παράκαμψης συναίνεσης "(λεπτομέρειες παρακάτω) για την παράκαμψη των αυστηρών κανόνων συναίνεσης του GDPR. Παρά το γεγονός ότι το Facebook βασίστηκε σε αυτές τις συναντήσεις στις υποβολές του και τόνισε ότι τα έγγραφα « εξετάστηκαν » από το DPC, η αρχή αρνείται την πρόσβαση σε οποιαδήποτε αρχεία αυτών των μυστικών συναντήσεων, συμπεριλαμβανομένης μιας Λευκής Βίβλου που υπέβαλε το Facebook. Ο Max Schrems, πρόεδρος του noyb.eu: « Ακούγεται πολύ σαν αυτές οι μυστικές« φορολογικές αποφάσεις », όπου οι φορολογικές αρχές συμφωνούν κρυφά με τις μεγάλες εταιρείες τεχνολογίας για το πώς να παρακάμψουν τους φορολογικούς νόμους - απλώς ότι το κάνουν τώρα και με τον GDPR.»

Η παράνομη «παράκαμψη συναίνεσης» του Facebook. Στις διαδικασίες που προκλήθηκαν από τρεις καταγγελίες που υποβλήθηκαν από το noyb.eu πριν από δύο χρόνια (εντός των πρώτων ωρών από την έναρξη ισχύος του GDPR), η Ομάδα Facebook αναγνωρίζει ανοιχτά ότι απλώς άλλαξε από την "ρυθμιζόμενη" συγκατάθεση σε μια υποτιθέμενη "χρήση δεδομένων" σύμβαση". Αυτή η σύμβαση υποχρεώνει το Facebook να παρακολουθεί, να στοχεύει και να διεξάγει έρευνα στους χρήστες του. Σύμφωνα με το Facebook, αυτός ο διακόπτης συνέβη με τα μεσάνυχτα όταν ο GDPR τέθηκε σε ισχύ. Μια τέτοια (αμοιβαία) αναδιατύπωση μιας συμφωνίας (σε αυτήν την περίπτωση από τη συγκατάθεση για σύμβαση) για παράκαμψη του νόμου ονομάζεται simulatio και είναι άκυρη. Max Schrems: « Δεν είναι τίποτα άλλο παρά κραγιόν σε ένα γουρούνι . Από τους ρωμαϊκούς χρόνους, ο νόμος απαγορεύει την «μετονομασία» κάτι για παράκαμψη του νόμου. Αυτό που προσπάθησε να κάνει το Facebook δεν είναι έξυπνο, αλλά γελοίο. Το μόνο πράγμα που αφορά πραγματικά είναι ότι το Ιρλανδικό DPC προφανώς συνεργάστηκε με το Facebook όταν σχεδίαζαν αυτήν την απάτη και τώρα υποτίθεται ότι θα το ελέγξει ανεξάρτητα. "

Σε μια μελέτη που πραγματοποιήθηκε από το Gallup Institute σχετικά με την «παράκαμψη συναίνεσης», το 64% των 1.000 χρηστών πιστεύουν ότι έδωσαν τη συγκατάθεσή τους, παρά τους ισχυρισμούς του Facebook για το αντίθετο. Ανάλογα με την ερώτηση, μόνο το 1,6-2,5% θεώρησε ότι έχουν συνάψει «σύμβαση χρήσης δεδομένων» που περιλαμβάνει καθήκον του Facebook να χρησιμοποιεί τα δεδομένα του για διαφήμιση ή έρευνα. Οι υπόλοιποι πίστευαν ότι είναι απλές πληροφορίες, μια σύμβαση χωρίς τέτοια καθήκοντα ή δεν μπορούσαν να δουν κανένα νόημα στη σελίδα. Max Schrems: « Βασικά κανένας από τους 1.000 χρήστες που έχουμε ρωτήσει δεν πιστεύει ότι έχουν υπογράψει μια τέτοια υποτιθέμενη« σύμβαση χρήσης δεδομένων »με το Facebook .

Το DPC περιορίζει τη νομική ανάλυση του «συμβολαίου χρήσης δεδομένων» στο Oxford English Dictionary. Ένας λόγος για τον οποίο το DPC δεν μπόρεσε να βρει κανένα πρόβλημα με την υποτιθέμενη «σύμβαση επεξεργασίας δεδομένων» στην οποία βασίζεται το Facebook είναι ότι το DPC απλώς αποφάσισε ότι η ανάλυση ενός τέτοιου συμβολαίου είναι εκτός των αρμοδιοτήτων του (« ultra vires »). Αντί να αναλύει τη σύμβαση σύμφωνα με την ισχύουσα νομοθεσία, το DPC ανέφερε κυριολεκτικά τον ορισμό του «συμβολαίου» από το Oxford English Dictionary στις αναφορές του. Σχέδια: « Στη νομική σχολή, μαθαίνετε να διαβάζετε νομικά βιβλία για νομικές ερωτήσεις και όχι λεξικό. Φαίνεται ότι ήταν μια τεχνική νίκης για αιώνες. Είναι προφανές ότι το DPC προσπαθεί να μην αναθεωρήσει τη φερόμενη «σύμβαση χρήσης δεδομένων» του Facebook. "

Η DPC γιορτάζει την ολοκλήρωση ενός από τα 6 βήματα σε δύο χρόνια. Σε μια δημόσια δήλωση αργά την περασμένη Παρασκευή , το DPC ονόμασε με έκπληξη τις τρεις διαδικασίες που ενεργοποίησε το noyb.eu ως παραδείγματα μεγάλης προόδου στο έργο του DPC. Αυτό συμβαίνει παρά το γεγονός ότι το DPC χρειάστηκε δύο χρόνια για να ολοκληρώσει 1 στα 6 βήματα της διαδικασίας του στο WhatsApp και στο Instagram και 2 στα 6 βήματα στο Facebook (βλ. Πίνακα επισκόπησης). Δεδομένου ότι το DPC ανέφερε 7.125 καταγγελίες μόνο το 2019 και μηδενικά πρόστιμα GDPR εναντίον ιδιωτικού ηθοποιού, αυτό δεν είναι επίτευγμα. Max Schrems: « Είναι ένα χαστούκι μπροστά σε περίπου 10.000 καταγγέλλοντες εάν το DPC επισημαίνει το πρώτο από τα έξι βήματα σε δύο περιπτώσεις μετά από δύο χρόνια ως επίτευγμα».

Ακόμη και η λογοκλοπή της δικής της αναφοράς χρειάστηκε DPC 10 μήνες. Η υπερηφάνεια που πήρε το DPC για την παράδοση δύο πρόχειρων αναφορών (βήμα 1 από 6) στο WhatsApp και το Instagram την περασμένη εβδομάδα φαινόταν ακόμη πιο τρομακτική όταν το noyb.eu συνειδητοποίησε ότι αυτές οι αναφορές αλληλεπικαλύπτονται 76 έως 82% με την αναφορά Facebook 2019 (στιγμιότυπο οθόνης).

Max Schrems: « Εκτελέσαμε τα προσχέδια αναφορών στο Instagram και το WhatsApp που το DPC υπογράμμισε με περηφάνια την περασμένη εβδομάδα μέσω ενός λογισμικού για την αναγνώριση λογοκλοπής και είχε ένα καλό γέλιο: 76% και 82%, αντίστοιχα, ήταν πανομοιότυπα με ένα σχέδιο αναφοράς από πέρυσι Facebook. Φαίνεται ότι, ακόμη και μόνο η ευρεία αντιγραφή και επικόλληση ενός σχεδίου έκθεσης τους πήρε περισσότερο από 10 μήνες. "

Στην αναφορά DPC παρατηρείται παραβίαση των κανόνων διαφάνειας του GDPR. Το πρόστιμο θα μπορούσε να φτάσει τα δισεκατομμύρια. Παρόλο που το DPC αντιστάθηκε στον έλεγχο της νομιμότητας της « παράκαμψης συναίνεσης » του Facebook, ωστόσο, μια εσωτερική έκθεση έρευνας διαπιστώνει παραβίαση των απαιτήσεων διαφάνειας του GDRP στο άρθρο 5 του GDPR, επειδή δεν ενημερώνει επαρκώς τους χρήστες του Facebook, του WhatsApp και του Instagram σχετικά με τη νομική βάση για τη χρήση. τα δεδομένα τους. Εάν το DPC επιμείνει τελικά σε αυτήν την άποψη, θα πρέπει να εκδώσει ένα « αποτελεσματικό, αναλογικό και αποτρεπτικό » πρόστιμο έως και 4% των ετήσιων εσόδων του Facebook (έως 2,5 δισεκατομμύρια ευρώ ή 2,83 δισεκατομμύρια δολάρια ΗΠΑ).

Max Schrems: « Βασικά, η έρευνα DPC πήρε τη θέση ότι το Facebook μπορεί να βιδώσει τους χρήστες αρκεί να είναι πιο διαφανείς σχετικά με αυτό. Αυτό ωστόσο θα σήμαινε ότι το Facebook, το Instagram και το WhatsApp έχουν επεξεργαστεί τα δεδομένα όλων των ευρωπαίων χρηστών κατά παράβαση του GDPR. Ακόμα κι αν το DPC διατηρεί μόνο αυτήν την άποψη, το πρόστιμο θα μπορούσε να ανέλθει έως και 2,5 δισεκατομμύρια ευρώ. "

Η Ευρωπαϊκή Επιτροπή και οι ΑΠΔ πρέπει να αναλάβουν δράση. Στην ανοικτή επιστολή, το noyb.eu καλεί επίσης την Ευρωπαϊκή Επιτροπή να λάβει μέτρα κατά της Ιρλανδίας. Με περίπου 10.000 καταγγελίες σε δύο χρόνια και καθόλου πρόστιμα εναντίον ιδιωτικών φορέων, είναι προφανές ότι η Ιρλανδία δεν εφαρμόζει αποτελεσματικά το δίκαιο της ΕΕ.

Η ανοιχτή επιστολή καλεί επίσης άλλες ευρωπαϊκές αρχές προστασίας δεδομένων (DPA) να λάβουν μέτρα όταν οι συνάδελφοί τους αρνούνται να κάνουν τη δουλειά τους. Ενώ το GDPR δυστυχώς συχνά δεν διαθέτει σαφείς προθεσμίες, επιτρέπει στους DPA να ζητούν από τους συναδέλφους τους να κάνουν συγκεκριμένες ενέργειες ή να ξεκινήσουν μια «διαδικασία επείγοντος» εάν ένα άλλο DPA είναι ανενεργό. Schrems: « Πολλοί DPA είναι απογοητευμένοι με καταστάσεις όπως στην Ιρλανδία, αλλά μόνο δεν τους αρκεί. Πρέπει επίσης να χρησιμοποιήσουν τα εργαλεία που προβλέπει ο GDPR. Για παράδειγμα, κάναμε τέτοιες εφαρμογές με το Αυστριακό DPA τώρα . "

Για να υποστηρίξει αυτήν την προσπάθεια, το noyb.eu έστειλε όλα τα σχετικά έγγραφα σχετικά με τις εκκρεμείς διαδικασίες στις άλλες ευρωπαϊκές DPA, παρά το γεγονός ότι η ιρλανδική DPC επέμεινε ρητά ότι το noyb.eu ενδέχεται να μην παρέχει αυτά τα έγγραφα στους συναδέλφους του.

Ιστορικό στο noyb.eu. Το noyb.eu είναι μια ευρωπαϊκή μη κερδοσκοπική προστασία δεδομένων που προσπαθεί να διασφαλίσει την επιβολή του GDPR. Το noyb.eu χρηματοδοτείται από περισσότερα από 3.200 μέλη υποστήριξης . Η ομάδα noyb.eu των 15 ατόμων περιλαμβάνει δικηγόρους του GDPR και ειδικούς τεχνολογίας από διαφορετικά κράτη μέλη της ΕΕ. Μέχρι στιγμής, το noyb.eu έχει υποβάλει περισσότερες από 20 καταγγελίες GDPR για διαφορετικά θέματα και εναντίον εταιρειών όπως Amazon, Apple, Google, Facebook, DAZN, SoundCloud και Netflix.