Toinen noyb "Advent Reading" Facebookista/DPC:n asiakirjat

Dec 04, 2021

noybin toinen "adventtilukemisto": Miten Irlannin tietosuojavaltuutettu yritti lobata Facebookin "GDPR:n ohitusta" eurooppalaisiin suuntaviivoihin.

Tällä viikolla noyb julkaisi kaksi kierrosta asiakirjoja osana "adventtilukemista" DPC:n ja Facebookin asiakirjoista: Facebookin kirje Irlannin tietosuojaneuvostolle vahvistaa, että tietosuojaneuvosto piti Facebookin kanssa kymmenen kokousta, joissa keskusteltiin ja sovittiin Facebookin GDPR:n ohittamisesta. Toinen asiakirjojen kierros osoittaa, että tietosuojaneuvosto yritti ajaa tätä "sosiaalisen median" ohitusta Euroopan tietosuojaneuvoston (EDPB) suuntaviivoihin, mutta se sai osakseen kovaa kritiikkiä muilta Euroopan tietosuojaviranomaisiltaMielestämme tämä tulkinta heikentää GDPR:n järjestelmää ja henkeä" tai"Tämä pelkistää GDPR:n pro forma -välineeksi." Tietosuojavaltuutetun yritys sisällyttää GDPR:n ohitus ohjeisiin tapahtui, kun sen tehtävänä oli olla riippumaton päätöksentekijä vireillä olevassa asiassa, joka koskee Facebookin "GDPR:n ohitusta".

Kymmenen tapaamista Facebookin ja tietosuojaneuvoston välillä. Kuten aiemmin raportoitiin, Facebookilla oli kymmenen tapaamista DPC:n kanssa siitä, miten GDPR:ää tulisi lähestyä. Näissä tapaamisissa monikansallinen yritys ja irlantilainen sääntelyviranomainen sopivat"GDPR:n ohittamisesta" yksinkertaisesti siirtämällä suostumuslausekkeen Facebookin käyttöehtoihin ja väittäen, että näin ohitettaisiin GDPR:n 6 artiklan 1 kohdan a alakohdan mukaiset suostumussäännöt, mutta sen sijaan sovellettaisiin 6 artiklan 1 kohdan b alakohtaa.

Ehdotetut EDPB:n suuntaviivat. Äskettäin löydetyt asiakirjat menevät vielä pidemmälle: Vuonna 2018 Irlannin tietosuojavaltuutettu ilmoitti EU:n tason aloitteen ja käynnisti EDPB:n "keskeisten säännösten alaryhmässä" uuden hankkeen, joka koskee GDPR:n 6 artiklan 1 kohdan b alakohtaa - juuri sitä säännöstä, jonka käytöstä GDPR:n ohittamiseen se on aiemmin sopinut Facebookin kanssa. Tietosuojavaltuutettu johti ryhmää, joka piti ensimmäisen kokouksensa huhtikuussa 2018 - muut eurooppalaiset viranomaiset liittyivät ryhmään. Tarkat osallistujat eivät käy selvästi ilmi asiakirjoista. Lokakuussa 2018 Irlannin tietosuojaviranomainen lähetti sitten kirjeen, jossa hahmoteltiin "tiukka" ja, kuten tietosuojaviranomainen sanoi, "sopimusvapaus" -lähestymistapa. "Sopimusvapaus"-lähestymistapa oli kiertoilmaus lähestymistavalle, jossa rekisterinpitäjät voivat kirjoittaa mitä tahansa ehtoihinsa ja siten kiertää GDPR:n. Tietosuojaneuvosto ehdotti luonnoksia suuntaviivoiksi, joilla pyrittiin siirtymään kohti "ohituslähestymistapaa". Tämä periaatteessa antoi yrityksille mahdollisuuden sisällyttää sopimusehtoihinsa lausekkeen, jonka mukaan tietojen kerääminen on "välttämätöntä" sopimusta varten, ja siten kiertää tietosuoja-asetuksen mukaisen suostumusvaatimuksen.

Muiden tietosuojaviranomaisten reaktio. Muiden tietosuojaviranomaisten reaktiot olivat erittäin kielteisiä. Esimerkkeinä mainittakoon(A70):"Tnäyttää hyväksyvän henkilötietojen rahaksi muuttamisen ja muiden oikeusperustojen kiertämisen (ks. edellä esitetyt huomautukset). Mielestämme tämä tulkinta heikentää tietosuoja-asetuksen järjestelmää ja henkeä." tai(A90): "Epäilemättä. Tämä pelkistää yleisen tietosuoja-asetuksen muotovälineeksi." tai (A103): "Vastoin kaikkea, mihin uskomme (anteeksi, mutta se on totta), sekä aiempia A29WP-ohjeita."

Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:

Sosiaalisen median rooli suuntaviivoissa. Suuntaviivat ovat yleiset suuntaviivat mille tahansa toimialalle, mutta tietosuojaneuvoston ehdotuksessa keskitytään toistuvasti "sosiaalisiin verkostoihin" ja "sosiaaliseen mediaan" eli juuri siihen toimialaan, jolla Facebookilla on tosiasiallinen monopoliasema. Muut tietosuojaviranomaiset huomioivat tämän kommenteissaan (A96): "Lisäksi kaikki esimerkit näyttävät liittyvän sosiaalisiin verkostoihin." tai (A105) "Ehdotamme tämän esimerkin poistamista, koska se viittaa jälleen sosiaaliseen mediaan." Muissa kommenteissa hyökättiin nimenomaisesti DPC:n ehdotusta vastaan, jonka mukaan "sosiaalisessa mediassa" voitaisiin vain käyttää kaikkia tietoja varten tarkoitettuja mainonta sopimuksen nojalla(A103): "Onkomahdollista tarjota sosiaalisen median tilejä ilman seurantaa ja profilointia? Kyllä, itse asiassa se on mahdollista. Seuranta tai profilointi ei siis ole tarpeen kyseisen sopimuksen toteuttamiseksi."

Ristiriita vireillä olevan asian kanssa? On erityisen mielenkiintoista, että DPC on tehnyt nämä ehdotukset, kun noybin valitus Facebookin suostumuksen kiertämisestä oli jo sääntelyviranomaisen käsiteltävänä. Sen sijaan, että DPC olisi ottanut neutraalin kannan, se on jopa yrittänyt lobata Facebookin GDPR:n kiertämistä Euroopan tasolla.

Lopputulos. Alaryhmä on saanut projektin valmiiksi ja julkaissut ne EDPB Guidelines 2/2019-nimisenä. Kaikki viittaukset sosiaalisiin verkostoihin ja mahdollisuus suostumuksen kiertämiseen väitetyn "sopimuksen" avulla poistettiin vastoin DPC:n kantaa. DPC näyttää ehdottaneen Facebookin kanssa tekemänsä sopimuksen vastaisten ohjeiden julkaisemisen lykkäämistä, mutta ei onnistunut myöskään (nyt erittäin epäsuotuisien) ohjeiden lykkäämisessä. POLITICO:n mukaan DPC oli ainoa tietosuojaviranomainen, joka äänesti lopullisia suuntaviivoja vastaan.

Max Schrems, noyb.eu:n puheenjohtaja:"Asiakirjoista käy ilmi selkeä suunnitelma: Ensin Irlannin sääntelyviranomainen sopi Facebookin kanssa GDPR:n kiertämisestä. Sitten se yrittää puristaa tämän kiertotien eurooppalaisiin suuntaviivoihin. Tietosuojaviranomainen ei selvästikään toimi tietosuojan vaan yhdysvaltalaisten monikansallisten yritysten edun mukaisesti. Yleensä Facebookin lobbaajat yrittävät vaikuttaa ohjeisiin oman toimialansa etujen mukaisesti, mutta tässä tapauksessa sääntelyviranomainen on muuttunut lobbaajaksi."

Asiakirjojen oikeudellinen asema. EDPB:n asiakirjat toimitti EDPB EU:n tiedonvälityksen vapautta koskevien sääntöjen mukaisesti. Facebookin kirje toimitettiin Itävallan hallintolain (AVG) 17 §:n nojalla, eikä sitä näin ollen pidetty luottamuksellisena - huolimatta siitä, että se oli leimattu "ehdottoman luottamukselliseksi" ja että Facebook vaati, että tietosuojaneuvosto ei saa jakaa asiakirjoja.

Kaikki asiakirjat: Alla löydät kaikki asiakirjat, jotka julkaisimme tätä adventtilukemista varten. Suosittelemme, että luet ensin myös yleiskatsauksemme, sillä asiakirjaluonnos on hieman sekava, kun sitä lukee ensimmäistä kertaa. Kommentti A89R88 on erityisen merkityksellinen, koska sitä ei ole mustattu ja siinä lukee "The Irish DPC is concerned that...", mikä osoittaa, että DPC on näiden reaktioiden laatija. Olemme vahvistaneet tämän muiden lähteiden ja asiakirjojen digitaalisten fragmenttien avulla. DPC ei reagoinut, kun sitä pyydettiin kommentoimaan asiaa, mutta se ei myöskään kiistänyt tekijyyttä.

Huomautus : EDPB:n asiakirjoista on syytä huomata, että yksittäisten tietosuojaviranomaisten nimet on poistettu. Irlannin tietosuojaneuvoston reaktioissa näihin kommentteihin on yleensä "R" numerossa, joka osoittaa, mikä kommentti on reaktio kyseisen numeron jälkeiseen kommenttiin ("A89R88" on siis kommentti 89, mutta myös reaktio kommenttiin A88). Sivuilla, joilla on liikaa kommentteja, kommentit löytyvät asiakirjan viimeisiltä sivuilta, asianomaisen numeron alta, joka alkaa "A:lla"