Avoin kirje luottamuksellisista asioista Facebook-tapauksessa

May 24, 2020

Muutaman tunnin kuluessa uuden GDPR: n soveltamisesta 25. toukokuuta 2018 eurooppalainen voittoa tavoittelematon järjestö noyb.eu teki kolme valitusta Facebook-ryhmää vastaan (mukaan lukien WhatsApp ja Instagram). Sittemmin Irlannin tietosuojakomissio (DPC) on julistanut erittäin hitaan menettelyn sisällön " luottamukselliseksi " ja pyytänyt noyb.eu: ta olemaan keskustelematta niistä julkisesti.

Tästä väitetystä (ja oikeudellisesti sitomattomasta) luottamuksellisuudesta huolimatta noyb.eu julkaisi tänään avoimen kirjeen (PDF), joka paljastaa, kuinka GDPR: ää on (ei) pantu täytäntöön kahden vuoden kuluttua sen voimaantulosta. Jopa kirjeessä ja jäljempänä kuvatussa kafkalaisessa menettelyssä Facebook-ryhmälle saattaa silti joutua tuomitsemaan jopa 2,5 miljardin euron sakko tiellä, jos DPC noudattaa sisäistä tutkijaraporttia.

Salaiset kokoukset " suostumuksen ohittamisesta " DPC: n ja Facebookin välillä. Avoin kirje paljastaa ensimmäistä kertaa, että Irlannin DPC: llä ja Facebook-ryhmällä (WhatsApp ja Instagram mukaan lukien) oli kymmenen salaa pidettyä kokousta ennen GDPR: n soveltamista vuonna 2018. Näissä kokouksissa Facebook väittää olleensa " yksityiskohtaisessa suorassa yhteistyössä komission kanssa ennen käyttöönottoa ” ilmeisen" suostumuksen ohituksen "(yksityiskohdat alla) GDPR: n tiukkojen suostumussääntöjen kiertämiseksi. Huolimatta siitä, että Facebook nojautui näihin kokouksiin lähetyksissään ja korosti, että DPC '' joutui tarkastelemaan asiakirjoja '', viranomainen kieltäytyy tutustumasta näihin salaisiin kokouksiin liittyviin tietueisiin, mukaan lukien Facebookin toimittama valkoinen kirja.

Noyb.eu: n puheenjohtaja Max Schrems: " Kuulostaa paljon niiltä salaisilta" veropäätöksiltä ", joissa veroviranomaiset sopivat salaa suurten teknologiayritysten kanssa siitä, miten verolakeja voidaan ohittaa - vain, että ne tekevät tämän nyt myös GDPR: n kanssa."

Facebookin laiton " suostumuksen ohitus ". Menettelyissä, jotka käynnistettiin kolmella noyb.eu -yhtiön kaksi vuotta sitten tekemällä valituksella ( GDPR: n soveltamisen ensimmäisten tuntien aikana), Facebook-ryhmä myöntää avoimesti, että se yksinkertaisesti siirtyi erittäin säännellystä "suostumuksesta" väitettyyn "tietojen käyttöön" sopimus ”. Tämän sopimuksen mukaan Facebook velvoitetaan seuraamaan, kohdistamaan ja tutkimaan käyttäjiä. Facebookin mukaan tämä vaihto tapahtui keskiyön aivohalvauksessa, kun GDPR tuli sovellettavaksi. Tällaista lain vastaisen sopimuksen (tässä tapauksessa suostumuksesta sopimukseen) uudelleen muotoilua kutsutaan simulatioksi ja se on pätemätön.

Max Schrems: ” Se ei ole muuta kuin sian huulipuna . Roomalaisista ajoista lähtien laki kieltää "nimen nimeämisen" vain lain ohittamiseksi. Se, mitä Facebook yritti tehdä, ei ole fiksua, mutta naurettavaa. Ainoa asia, joka todella on huolestuttavaa, on se, että irlantilainen DPC oli ilmeisesti tekemisissä Facebookin kanssa suunnitellessaan tätä huijausta ja sen on nyt tarkoitus tarkistaa se itsenäisesti. "

Gallup-instituutin "suostumuksen ohittamista" koskevassa tutkimuksessa 64% 1 000 käyttäjästä uskoo antaneensa suostumuksensa huolimatta Facebookin päinvastaisesta väitteestä. Kysymyksestä riippuen vain 1,6–2,5% ajatteli tekevänsä tosiasiallisesti ”tietojen käytön sopimuksen”, joka sisältää Facebookin velvollisuuden käyttää tietojaan mainostamiseen tai tutkimukseen. Loput ajattelivat, että se on pelkkää tietoa, sopimusta ilman tällaisia velvollisuuksia tai he eivät voineet nähdä sivulla mitään merkitystä.

Max Schrems: " Pohjimmiltaan kukaan tuhannesta käyttäjältä, jolta olemme kysyneet, ei ajattele allekirjoittaneensa tällaista väitettyä" tietojen käyttösopimusta "Facebookin kanssa ."

DPC rajoittaa "tietojen käyttösopimuksen" oikeudellisen analyysin Oxford English Dictionary -sanastoon. Yksi syy siihen, että DPC ei löytänyt mitään ongelmaa väitetyssä "tietojenkäsittelysopimuksessa", johon Facebook vetoaa, on se, että DPC yksinkertaisesti päätti, että tällaisen sopimuksen analysointi on sen toimivallan ulkopuolella (" ultra vires "). Sen sijaan, että analysoitaisiin sopimusta sovellettavan lain mukaisesti, DPC mainitsi kertomuksissaan kirjaimellisesti Oxfordin englanninkielisen sanakirjan määritelmän.

Schrems: ” Oikeustieteellisessä koulussa opit lukemaan lakikirjoja oikeudellisiin kysymyksiin, ei sanakirjaa. Näyttää siltä, että tämä oli voittanut tekniikka vuosisatojen ajan. On ilmeistä, että DPC yrittää olla tarkastamatta Facebookin väitettyä "tietojen käyttösopimusta".

DPC juhlii yhden kuudesta vaiheesta kahden vuoden aikana? Vuonna julkinen lausunto myöhään viime perjantaina , DPC yllättävän nimesi kolme menettelyt käynnistyvät noyb.eu esimerkkeinä suurta edistystä DPC työhön. Tämä johtuu siitä, että DPC: llä kesti kaksi vuotta yhden / kuudesta vaiheestaan WhatsAppissa ja Instagramissa ja 2/6-vaiheissa Facebookissa (katso yhteenvetotaulukko). Ottaen huomioon, että DPC ilmoitti pelkästään vuonna 2019 7125 valitusta ja yksityiselle toimijalle ei annettu sakkorangaistuksia nollaan, tämä on tuskin saavutus.

Max Schrems: " Noin 10000 valituksen tekijän kasvot ovat, jos DPC tuo esiin kuuden ensimmäisen vaiheen kahdessa tapauksessa kahden vuoden kuluttua saavutuksena."

Jopa oman raportin plagiointi kesti DPC: lle 10 kuukautta. Ylpeys, jonka DPC otti toimittamalla kaksi raporttiluonnosta (vaihe 1/6 ) WhatsAppista ja Instagramista viime viikolla, vaikutti vieläkin groteskisemmalta, kun noyb.eu huomasi, että nämä raportit menevät päällekkäin 76-82% vuoden 2019 Facebook-raportin (kuvakaappaus) kanssa.

Max Schrems: "Suoritimme mietintöluonnoksia Instagramissa ja WhatsAppissa, jotka DPC korosti ylpeänä viime viikolla ohjelmiston avulla plagioinnin tunnistamiseksi ja nauroi: 76% ja 82% olivat identtisiä viime vuoden mietintöluonnoksen kanssa. Facebook. Näyttää siltä, että jopa vain laajalti mietintöluonnoksen kopioiminen ja liittäminen vei heille yli 10 kuukautta. "

DPC-raportin mukaan GDPR: n avoimuussääntöjä on rikottu. Hieno voi nousta miljardeihin. Vaikka DPC vastustaa Facebookin " suostumuksen ohituksen " laillisuuden tarkistamista, sisäisessä tutkimusraportissa todetaan kuitenkin GDPR: n 5 artiklan GDPR: n avoimuusvaatimusten rikkominen, koska se ei ilmoittanut riittävästi Facebookin, WhatsAppin ja Instagramin käyttäjille oikeudellisesta perustasta heidän tietonsa. Jos DPC lopulta pitää kiinni tästä näkemyksestä, sen olisi määrättävä " tehokas, oikeasuhteinen ja varoittava " sakko, joka on enintään 4 prosenttia Facebookin vuotuisista tuloista (enintään 2,5 miljardia euroa tai 2,83 miljardia dollaria).

Max Schrems: " Pohjimmiltaan DPC-tutkimus otti kantaa, että Facebook voi huijata käyttäjiä, kunhan he ovat avoimempia siitä. Tämä tarkoittaisi kuitenkin sitä, että Facebook, Instagram ja WhatsApp ovat käsittäneet kaikkien eurooppalaisten käyttäjien tietoja GDPR: n vastaisesti. Vaikka DPC havaitsisi vain tämän rajoitetumman rikkomuksen, sakko voi olla jopa 2,5 miljardia euroa.

Euroopan komission ja tietosuojaviranomaisten on ryhdyttävä toimiin. Noyb.eu kehottaa avoimessa kirjeessä myös Euroopan komissiota ryhtymään toimiin Irlantia vastaan. Koska Irlannissa on noin 10000 valitusta kahdessa vuodessa eikä yksityisille toimijoille ole määrätty sakkoja, on ilmeistä, että Irlanti ei panna tehokkaasti täytäntöön EU: n lainsäädäntöä.

Avoin kirje kehottaa myös muita Euroopan tietosuojaviranomaisia ryhtymään toimiin, kun kollegat kieltäytyvät tekemästä työtä. Vaikka GDPR: stä puuttuu valitettavasti usein selkeät määräajat, se sallii tietosuojaviranomaisten pyytää kollegoitaan tekemään tiettyjä toimia tai aloittamaan "kiireellisen menettelyn", jos toinen tietosuojaviranomainen ei ole aktiivinen.

Schrems: " Monet tietosuojaviranomaiset ovat turhautuneita tilanteista, kuten Irlannissa, mutta vain niiden kutsuminen ei riitä. Heidän on myös käytettävä GDPR: n ennakoimia työkaluja. Olemme esimerkiksi tehneet tällaisia hakemuksia nyt Itävallan DPA: n kanssa . "

Tämän työn edistämiseksi noyb.eu on lähettänyt kaikki asiaan liittyvät asiakirjat vireillä olevista menettelyistä muille eurooppalaisille tietosuojaviranomaisille huolimatta siitä, että Irlannin DPC on nimenomaisesti vaatinut, että noyb.eu ei saa toimittaa näitä asiakirjoja kollegoilleen.

Tausta osoitteessa noyb.eu. noyb.eu on voittoa tavoittelematon eurooppalainen tietosuojajärjestö, joka pyrkii varmistamaan GDPR: n noudattamisen. noyb.eu -sivustoa rahoittaa yli 3200 kannatusjäsentä . 15 hengen noyb.eu- tiimiin kuuluu GDPR-lakimiehiä ja teknisiä asiantuntijoita EU: n eri jäsenvaltioista. Toistaiseksi noyb.eu on tehnyt yli 20 GDPR-valitusta eri asioista ja yrityksiä, kuten Amazon, Apple, Google, Facebook, DAZN, SoundCloud ja Netflix.