Irlannin tietosuojaneuvosto antaa vihreää valoa Facebookin "GDPR-ohitusohjelmalle"

Oct 13, 2021

Irlannin tietosuojaneuvosto antaa vihreää valoa Facebookin "GDPR:n ohitukselle". Schrems: "Päätös heikentää GDPR:n keskeistä osaa"

Irlannin tietosuojakomissio (DPC) on lähettänyt muille Euroopan tietosuojaviranomaisille "päätösluonnoksen" (PDF ) Facebookin laillisesta kikkailusta GDPR:n kiertämiseksi. noyb on julkaissut asiaa koskevat asiakirjat tänään

DPC:n mielestä Facebook voi yksinkertaisesti sisällyttää tietojenkäsittelyä koskevan sopimuksen "sopimukseen", jolloin GDPR:n "suostumusta" koskevia vaatimuksia ei enää sovelleta. Viranomainen ehdottaa kuitenkin 28-36 miljoonan euron sakkoa, koska Facebookin olisi pitänyt olla avoimempi tämän ohituksen suhteen.

Sopimus tietojen käytöstä ei ole "suostumus"? Facebookin oikeudellinen argumentti on melko yksinkertainen: Tulkitsemalla käyttäjän ja Facebookin välinen sopimus "sopimukseksi" (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohta) "suostumuksen" (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohta) sijasta Facebookiin ei sovellettaisi yleisen tietosuoja-asetuksen mukaisia tiukkoja suostumusta koskevia sääntöjä - mikä tarkoittaa, että Facebook voi käyttää kaikkia tietoja, joita sillä on, kaikkiin tarjoamiinsa tuotteisiin, kuten mainontaan, verkkoseurantaan ja muuhun vastaavaan, pyytämättä käyttäjiltä vapaasti annettua suostumusta, jonka he voisivat peruuttaa milloin tahansa. Facebookin siirtyminen "suostumuksesta" "sopimukseen" tapahtui 25.5.2018 keskiyöllä - juuri silloin, kun GDPR tuli voimaan EU:ssa.

Schrems: "On tuskallisen ilmeistä, että Facebook yrittää yksinkertaisesti kiertää tietosuoja-asetuksen selkeät säännöt nimittämällä tietojen käyttöä koskevan sopimuksen uudelleen 'sopimukseksi'. Jos tämä hyväksyttäisiin, mikä tahansa yritys voisi vain kirjoittaa tietojen käsittelyn sopimukseksi ja siten legitimoida asiakastietojen käytön ilman suostumusta. Tämä on täysin vastoin yleisen tietosuoja-asetuksen tarkoitusta, jossa nimenomaisesti kielletään suostumussopimusten piilottaminen käyttöehtoihin."

Laitonta roomalaisista ajoista lähtien Rooman ajoista lähtien laki sanoo, että sopimuksia on kohdeltava sellaisena kuin ne todellisuudessa ovat (objektiivinen arviointi), ei sellaisena kuin osapuolet väittävät sen olevan (muodollinen arviointi)

Schrems: "Ei ole innovatiivista eikä fiksua väittää, että sopimus on jotakin, mitä se ei ole, ja kiertää lakia. Tuomioistuimet eivät ole Rooman ajoista lähtien hyväksyneet tällaista sopimusten "uudelleenmerkitsemistä". Huumausainelakeja ei voi kiertää yksinkertaisesti kirjoittamalla laskuun 'valkoista jauhetta', kun selvästi myydään kokaiinia. Ainoastaan Irlannin DPC näyttää lankeavan tähän temppuun. "

64 % Facebookin käyttäjistä näkee "suostumuksen", mutta DPC asettuu Facebookin puolelle. Sopimuksen todellisen merkityksen arvioimiseksi noyb on teettänyt Gallup-instituutilla puolueettoman tutkimuksen: Tuhannesta Facebook-käyttäjästä vain 1,6 % näki sopimuksen mainonnasta (kuten Facebook väittää), 64 % oletti sopimuksen olevan "suostumus". Loput eivät olleet varmoja sopimuksen oikeudellisesta merkityksestä.

Eurooppalaiset kollegat eivät yksinkertaisesti vakuuttaneet DPC:tä. Euroopan tasolla tietosuojaviranomaiset ovat antaneet ohjeet, joiden mukaan tällainen tietosuoja-asetuksen "ohittaminen" on laitonta ja sitä on pidettävä suostumuksena. Irlannin tietosuojavaltuutettu totesi kuitenkin, ettei hän ole "yksinkertaisesti vakuuttunut" eurooppalaisten kollegojensa näkemyksestä.

Kymmenen salaista kokousta Facebookin kanssa "suostumuksen ohittamisesta". Yllättävä päätös perustuu todennäköisesti Facebookin ja DPC:n väliseen sopimukseen keväältä 2018, juuri ennen GDPR:n voimaantuloa. Vaikka DPC väittää, että kyseessä olisi ollut erillinen menettely, päätösluonnoksessa viitataan (julkistamattomaan) "erityisanalyysiin", jonka DPC toimitti Facebookille. Facebook vetosi tällaiseen sopimukseen myös Itävallan tuomioistuimessa. Huolimatta useista pyynnöistä saada tutustua näihin asiakirjoihin DPC kieltäytyy paljastamasta yksityiskohtia asioinnistaan Facebookin kanssa ja kutsuu krit iikkiä "perusteettomaksi".

Schrems:"DPC kehitti Facebookin kanssa 'GDPR:n ohituskaistan', jota se nyt sääntelyviranomaisena vihreää valoa antaa. Sääntelyviranomaisen sijaan se toimii 'big tech'-neuvonantajana."

28-36 miljoonan euron sakko, koska käyttäjille ei kerrottu, että heiltä viedään GDPR-oikeudet Vaikka tietosuojaviranomainen väitti, että "suostumuksen ohitus" on laillinen, se määräsi silti Facebookille sakon, koska se ei ollut täysin avoin käyttäjätietojensa käsittelyn oikeusperustasta. Yhteenvetona voidaan todeta, että DPC ei siis aio ryhtyä toimenpiteisiin valituksessa esiin tuodun rikkomuksen johdosta, vaan ehdotti sen sijaan vain, että Facebook tekee ohituksesta selkeämmän. Rangaistus olisi noin 0,048 prosenttia Facebookin maailmanlaajuisista tuloista, vaikka tietosuoja-asetuksessa on mahdollisuus jopa neljän prosentin seuraamuksiin.

Schrems:"Periaatteessa tietosuojaneuvosto sanoo, että Facebook voi kiertää GDPR:n, mutta sen on oltava avoimempi it. Tällä lähestymistavalla Facebook voi jatkaa tietojen käsittelyä laittomasti, lisätä rivin tietosuojakäytäntöön ja maksaa vain pienen sakon, kun taas tietosuojaviranomainen voi teeskennellä, että se on ryhtynyt toimenpiteisiin."

Schrems: "Venäläinen menettely" Myös itse menettely herättää suuria huolia. Tietosuojaviranomainen kieltää jatkuvasti pääsyn tärkeisiin asiakirjoihin. Vaikka dPC laati massiivisen 96-sivuisen päätösluonnoksen, mutta siinä suurelta osin "muotoiltiin uudelleen" käyttäjien kirjallisia huomautuksia tai jätettiin yksinkertaisesti huomiotta käyttäjien huomautusten keskeiset osat. Pyrkiessään selvittämään kantelijan kannan suoraan noyb on pyytänyt suullista kuulemista, jonka tietosuojaneuvosto kuitenkin hylkäsi.

Schrems: "Meillä on tapauksia monissa viranomaisissa, mutta DPC ei edes etäisesti hoida oikeudenmukaista menettelyä. Asiakirjoja pidätetään, kuulemiset evätään ja esitetyt perustelut ja tosiasiat eivät yksinkertaisesti näy päätöksessä. Itse päätös on pitkä, mutta useimmat kohdat päättyvät vain kuluttajavalvontakomitean 'näkemykseen', ei objektiiviseen lain arviointiin."

Tapaus päätyy todennäköisesti EDPB:henPäätösluonnos lähetettiin nyt muille Euroopan tietosuojaviranomaisille, jotka voivat esittää vastalauseita Irlannin tietosuojaneuvoston ehdottamasta ratkaisusta. On hyvin todennäköistä, että tapaus päätyy Euroopan tietosuojaneuvostoon, jossa tietosuojaviranomaiset voivat kumota Irlannin tietosuojaneuvoston päätöksen, kuten äskettäin WhatsAppia koskevassa tapauksessa.

Schrems: "Toivomme, että muut eurooppalaiset viranomaiset ovat mukana. Jos ne eivät ryhdy toimiin, yritykset voivat yksinkertaisesti siirtää suostumuksen ehdoiksi ja siten ohittaa GDPR:n lopullisesti."