BREAKING: Itävallan OGH kysyy EU:lta, onko Facebook "heikentänyt" GDPR:ää vuodesta 2018 lähtien

Jul 20, 2021

BREAKING: Itävallan korkein oikeus kysyy EU:n tuomioistuimelta, "heikentääkö" Facebook tietosuoja-asetusta sekoittamalla "suostumuksen" ja väitetyn "sopimuksen".

Itävallan korkein oikeus (Oberster Gerichtshof) on hyväksynyt Max Schremsin ja Facebookin välisessä pitkäaikaisessa siviilioikeudenkäynnissä Schremsin pyynnön esittää useita kysymyksiä Euroopan unionin tuomioistuimelle (CJEU, EU:n korkein oikeus). Nämä neljä kysymystä herättävät perustavanlaatuisia epäilyjä Facebookin kaikkien EU:n asiakkaiden tietojen käytön laillisuudesta

Samaan aikaan Itävallan korkein oikeus päätti myös osittaisessa tuomiossaan, että Schrems saa 500 euron symbolisen henkisen vahingonkorvauksen, koska Facebook ei antanut täyttä pääsyä Schremsin tietoihin, vaan järjesti sen sijaan "munajahdin" käyttäjätiedoille.

(1) Viittaus Euroopan unionin tuomioistuimeen:

Keskeinen kysymys: "Suostumus" vai "sopimus"? Itävallan korkein oikeus epäilee oikeusperustaa, jota Facebook käyttää lähes kaikessa käyttäjätietojen käsittelyssä. Yleisessä tietosuoja-asetuksessa luetellaan kuusi vaihtoehtoa henkilötietojen lailliselle käsittelylle, joiden joukossa ovat "suostumus" ja "sopimus". "Sopimukseen" voi vedota vain, jos käsittely on tarpeen sopimuksen täyttämiseksi.

Ennen yleistä tietosuoja-asetusta Facebook väitti, että käyttäjät "suostuivat" henkilökohtaisen mainonnan käsittelyyn. Yleinen tietosuoja-asetus kuitenkin tiukensi suostumuksen pätevyyttä koskevia vaatimuksia ja antoi käyttäjille myös oikeuden peruuttaa suostumuksensa milloin tahansa.

Näin ollen 25. toukokuuta 2018, jolloin GDPR tuli sovellettavaksi, Facebook ei enää väittänyt vetoavansa suostumukseen. Sen sijaan Facebook sanoi, että suostumuslausekkeet on nähtävä "sopimuksena", jossa käyttäjät "tilasivat" personoitua mainontaa. Facebookin mielestä tämä ohitus mahdollistaa sen, että se voi poistaa käyttäjiltä kaikki suostumukseen liittyvät GDPR:n mukaiset oikeudet. "Vapaasti annettua" tai "tietoon perustuvaa" suostumusta koskevia vaatimuksia ei enää sovellettaisi, jos se tulkitaan "sopimukseksi".

Max Schrems, noyb.eu:n puheenjohtaja:"Facebook yrittää riistää käyttäjiltä monia GDPR:n mukaisia oikeuksia tulkitsemalla suostumuksen yksinkertaisesti siviilioikeudelliseksi sopimukseksi. Tämä oli pelkkä halpa yritys kiertää yleinen tietosuoja-asetus."

OGH: Facebook saattaa laittomasti "heikentää" GDPR:ää. Itävallan korkein oikeus näyttää jakavan nämä huolet. Itävallan korkein oikeus tiivistää Euroopan unionin tuomioistuimelle osoittamassaan ennakkoratkaisupyynnössä 54 kohdassa epäilyksensä siitä, voiko Facebook yksinkertaisesti vaihtaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a ja b alakohtaa:

"Tämän oikeudenkäynnin ydinkysymys on, voiko vastaaja siirtää käsittelyä koskevaa tahdonilmaisua yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan mukaisen oikeudellisen käsitteen nojalla ja siten 'heikentää' sitä huomattavasti korkeampaa suojaa, jonka oikeusperusta 'suostumus' tarjoaa kantajalle."

Max Schrems: "Periaatteessa kaikki tietojen käyttö, joka tuottaa voittoa Facebookille EU:ssa, perustuu tähän oikeudelliseen argumenttiin. Jos Facebook häviää EUT:ssa, sen on paitsi lopetettava tämä ja poistettava kaikki laittomasti tuotetut tiedot, myös maksettava miljoonille käyttäjille vahingonkorvauksia. Olen erittäin iloinen tästä viittauksesta."

Lisäkysymyksiä tietojen minimoinnista ja arkaluonteisista tiedoista. Itävallan korkein oikeus on esittänyt yhteisöjen tuomioistuimelle vielä kolme muuta kysymystä Facebookin henkilötietojen käytön laillisuudesta. EUT:n on päätettävä, onko kaikkien facebook.com-sivustolla ja lukemattomista muista lähteistä, kuten Facebookin "Tykkää"-painikkeita tai mainontaa käyttäviltä verkkosivustoilta, saatujen tietojen käyttö mihin tahansa tarkoitukseen tietosuoja-asetuksen "tietojen minimoinnin" periaatteen mukaista. Kaksi muuta kysymystä liittyy siihen, miten Facebook käyttää arkaluonteisia tietoja (kuten poliittisia mielipiteitä tai seksuaalista suuntautumista) henkilökohtaiseen mainontaan.

Max Schrems: "Nämä lisäkysymykset ovat ratkaisevia. Facebook ei ehkä enää saa käyttää kaikkia tietoja mainoksiin, vaikka se olisi saanut pätevän suostumuksen. Samoin se voi joutua suodattamaan arkaluonteisia tietoja, kuten poliittisia mielipiteitä tai seksuaalista suuntautumista koskevia tietoja. Toistaiseksi Facebook on väittänyt, ettei se tee eroa näiden tietotyyppien välillä."

(2) Osittainen tuomio vahingonkorvauksista, pääsystä, rooleista ja "pääsiäismunista"

Lisäksi Itävallan korkein oikeus antoi lopullisen tuomion tietyistä vaatimuksista, jotka voidaan ratkaista ilman, että niistä tarvitsee esittää ennakkoratkaisupyyntöä EUT:lle.

500 euroa "massiivisesta häirinnästä", tietojen saatavuuden puutteesta ja "pääsiäismunista". Itävallan korkein oikeus päätti, että Schrems saa 500 euron rahallisen korvauksen, koska Facebook ei antanut hänelle täyttä pääsyä tietoihinsa. Tuomioistuin katsoi, että hän ei saanut kaikkia raakatietoja eikä ratkaisevia tietoja, kuten oikeusperustaa, jonka perusteella hänen tietojaan käsiteltiin. Tuomioistuin korosti, että Facebookin online-työkalullaan tarjoamat tiedot olivat hajallaan yli 60 tietoluokassa, joissa oli satoja tai jopa tuhansia datapisteitä, joiden läpikäyminen veisi pari tuntia.

Tuomioistuin totesi 153 kohdassa: "Kantaja huomauttaa oikeutetusti, että tietosuoja-asetus perustuu kertaluonteiseen tietopyyntöön, ei 'pääsiäismunien metsästykseen'".

Itävallan korkein oikeus oli myös melko selkeä Facebookin väitteestä, jonka mukaan se oli antanut Schremsille kaikki tiedot, joita se piti "merkityksellisinä" (152 kohta):

"Se, että tiedonantovelvollisuus ei voi riippua pelkästä vastaajan itse tekemästä arvioinnista ("merkityksellinen"), ei vaadi lisäselvityksiä."

Todistustaakka Facebookilla. Korkein oikeus korosti myös usein, että Facebookilla on todistustaakka osoittaa, että se on antanut täydet käyttöoikeudet tai että käsittely on laillista (esim. 151 kohta). Facebook katsoi menettelyn aikana, että olisi Schremsin tehtävä osoittaa, ettei Facebook ole antanut kaikkia tietoja, ja kieltäytyi yksinkertaisesti vastaamasta Schremsin kysymyksiin.

Kuka "omistaa" tiedot Facebookissa? Tapauksessa kyseenalaistettiin toimijoiden roolit Facebook-alustalla. Schrems väitti, että hän on ensisijaisesti vastuussa Facebookissa olevista profiili- tai viestitiedoistaan (oikeudellisesti "rekisterinpitäjänä"), mikä tarkoittaa, että Facebookin on noudatettava hänen määräyksiään esimerkiksi tietojen poistamisessa (pelkkänä "käsittelijänä"). Facebook katsoi, että se on "rekisterinpitäjä" kaikkien Facebookissa olevien käyttäjätietojen osalta - tiettyjä poikkeuksia lukuun ottamatta. Itävallan Surpeme-tuomioistuin totesi, että asialla ei ole merkitystä, koska Facebookin käyttö kuuluisi "kotitalouspoikkeuksen" piiriin eikä asia näin ollen tulisi esiin.

Max Schrems: "Tämän seikan osalta olemme teknisesti "hävinneet", mutta tuomioistuimen näkemyksen mukaan Facebook olisi oikeudellisesti vastuussa kaikesta laittomasta käsittelystä facebook.com-sivustolla - myös silloin, kun sen tekevät muut. Ehdotimme vivahteikkaampaa lopputulosta, mutta tuomioistuin ei käsitellyt sitä."