noybin kolmas "adventtilukemisto": Facebookin naurettava rekisteri käsittelytoimista (ROPA)
Kolmannessa "Advent Reading" -julkaisussaan (vastalauseena sille, että tietosuojaneuvosto poisti lainvastaisesti noybin vireillä olevasta menettelystä) noyb julkaisee Facebookin tärkeimmän GDPR:n noudattamista koskevan asiakirjan: Facebookin "Record of Processing Activities" GDPR:n 30 artiklan mukaisesti (lyhyesti: " ROPA "). Tällaisen lakisääteisen asiakirjan avulla pitäisi voida helposti arvioida, noudattaako Facebook GDPR:ää, mutta itse asiassa siinä on vain naurettavat neljä sivua. Yleensä tällaisissa asiakirjoissa on satoja sivuja. Schrems: "Facebookin keskeinen GDPR:n noudattamista koskeva asiakirja on osoitus Facebookin tietämättömyydestä laista - siinä on vain neljä sivua. Tavallisesti tällainen asiakirja olisi satoja sivuja. Irlannin tietosuojaviranomainen on tiennyt asiakirjojen puutteesta vuodesta 2018 lähtien, mutta ei ole ryhtynyt toimiin."
GDPR-vaatimustenmukaisuus neljällä sivulla? Asiakirjassa sanotaan itse asiassa hyvin vähän, tuhansien käsittelytoimien yksityiskohtaisen kuvauksen sijaan Facebook viittaa lähinnä tietosuojaselosteeseensa ja on muuten lisännyt muutamia yleisiä rivejä. Syvällisempään sukellukseen noybiin liittyi Spirit Legalin partneri Peter Hense, joka on työskennellyt satojen tällaisten asiakirjojen parissa aiemmin. Hän pystyi tuskin usko että Facebookin ROPA rajoittuu neljään sivuun ja kommentoi noybin adventtilukemiseksi"Jokaisella jalkapalloseuralla on yksityiskohtaisempi ROPA". Hän jatkoi korostaen, että tilintarkastajana hänen olisi käsiteltävä tätä ROPA:ta olemattomana ja että Facebookin käsittely on siksi "laitonta".
DPC on tietoinen vuodesta 2018 lähtien. Facebook toimitti Irlannin tietosuojakomissiolle ("DPC") tämän naurettavan "Record of Processing Activities" -asiakirjan 27.9.2018, mutta ei ole noybin tietojen mukaan ryhtynyt mihinkään toimiin yleisen tietosuoja-asetuksen 30 artiklan ilmeisen rikkomisen vuoksi.
Max Schrems, noyb.eu:n puheenjohtaja:"Irlannin tietosuojaviranomainen tiesi, että Facebook Irelandilla ei ole edes kaikkein perustavanlaatuisimmat vaatimustenmukaisuusasiakirjat kunnossa, eikä tehnyt asialle mitään."
Uhka noybille vuonna 2019. Sen sijaan, että DPC ryhtyi toimiin Facebookin suhteen, se lähti noybin perään: kun asiakirja toimitettiin noybille elokuussa 2019 Itävallan tietosuojaviranomaisen ("DSB") kautta, Max Schrems on jakanut Twitterissä sen, että ROPA sisältää vain neljä sivua, sekä kuvan asiakirjojen kääntöpuolelta. Tämä sai DPC:n lähettämään noybille vihaisia kirjeitä, joissa vaadittiin kyseisen twiitin poistamista.
dPC:n ja Facebookin "faniposti". Kuten noyb ilmoittaa kaikille asiaankuuluville osapuolille ennen adventtilukemistamme, olemme jälleen saaneet uhkauskirjeitä (kutsumme sitä "fanipostiksi") Facebookin lakiasiaintoimistoltaan Mason Hayes ja Curran sekä Irlannin DPC - periaatteessa uhkaavat oikeustoimilla noybia vastaan, vaikka heillä ei ole mitään oikeudellista perustetta tehdä niin, kuten Facebookille antamissamme vastauksissa ja Irlannin DPC:lle antamassamme vastauksessa todettiin.
Julkaisun oikeudellinen perusta. Kuten ensimmäisessä adventtilukemisessamme todettiin, noybin neljä adventtilukemista ovat vastalause DPC:n laittomalle noybin poistamiselle vireillä olevassa menettelyssä. Kaikki asiakirjat toimitettiinItävallan DSB. Itävallan DSB päätti, että näitä asiakirjoja ei ole suojattu asiaa koskevan säännöksen nojalla (§ 17 Abs 3 AVG) ja että noyb voi vapaasti käyttää niitä sovellettavan Itävallan lainsäädännön nojalla. Myöskään Irlannin vuoden 2018 (soveltamattoman) tietosuojalain nojalla ei ole oikeudellista perustetta pidättää tai muuten rajoittaa asiakirjojen käyttöä osapuolten toimesta. Vaikka DPC vetoaa yleensä lain 26 §:ään, tätä säännöstä sovelletaan selvästi vain DPC:n henkilöstöön ("relevantit henkilöt") eikä kolmansiin osapuoliin.
DPC:n ja Facebookin mahdollinen "SLAPP-kanne" Kun otetaan huomioon perusteettomat uhkaukset, vaikka näillä julkaisuilla on selkeä oikeusperusta, noyb odottaa nyt, että DPC ja/tai Facebook Ireland Limited nostavat perusteettomia "SLAPP-oikeudenkäyntejä" (katso John Oliverin loistava yhteenveto, valitettavasti vain YouTubessa). Ei ole epätodennäköistä, että Facebook tai DPC yrittäisi nostaa kanteen Irlannissa tai Yhdistyneessä kuningaskunnassa, koska nämä oikeusjärjestelmät ovat erittäin kalliita ja täydellisiä oikeusistuimia kansalaisjärjestön tuhoamiseen. Siksi olemme geoblokanneet asiaankuuluvat asiakirjat näillä lainkäyttöalueilla.
Tämän päivän asiakirjat ROPA-asiakirja on osa "GDPR:n ohitus" -oikeudenkäyntiämme, ja se on saatavilla täällä:
- Facebookin nelisivuinen ROPA (ei ehkä saatavilla kaikissa maissa)
Tämän julkaisun laillisuutta koskevat keskustelut:
- DPC:n kirje ROPA:n julkaisemisesta
- Noybin vastaus siihen, miksi DPC:n näkemykset ovat virheellisiä
- Facebookin lakiasiaintoimiston kirje ROPA:n julkaisemisesta
- Noybin vastaus siihen, miksi Facebookin "aikomus" ei ole merkityksellinen tekijä
Viikon katsaus. Kaikille, jotka ovat kiinnostuneita siitä, mitä tapahtui viime viikon adventtilukemisen jälkeen, suosittelemme tätä POLITICO:n artikkelia siitä, miten DPC yritti puristaa Facebookin "GDPR:n ohituksen" EDPB:n papereihin. Tämä käynnisti useita mielenkiintoisia artikkeleita, aina Irlannissa esitettyihin vaatimuksiin vaihtaa DPC:n johto. Myöhemmin tällä viikolla POLITICO uutisoi 60 artiklan mukaisesta vastalauseesta DPC:n päätösluonnosta vastaan, joka koski Norjan tietosuojaviranomaisen "GDPR:n ohitusta", ja korosti, että DPC:n päätösluonnos olisi "norjan tietosuojavaltuutetun mukaan "loppu oikeus yksityisyyteen". Tämä johtaa lisäkeskusteluihin Irlannissa DPC:stä, kuten tämä Irish Timesin raportti.