Az ír DPC zöld utat ad a Facebook "GDPR-kerülő" tevékenységének. Schrems: "A döntés aláássa a GDPR kulcsfontosságú elemét"
Az ír adatvédelmi bizottság (DPC) "határozattervezetet" (PDF ) küldött a többi európai adatvédelmi hatóságnak a Facebook jogi trükkjéről a GDPR megkerülésére. noyb ma közzétette a vonatkozó dokumentumokat.
A DPC álláspontja szerint a Facebook egyszerűen dönthet úgy, hogy az adatkezelésre vonatkozó megállapodást "szerződésbe" foglalja, ami miatt a GDPR "hozzájárulásra" vonatkozó követelményei már nem lennének érvényesek. A hatóság azonban 28-36 millió eurós bírságot javasol, mivel a Facebooknak átláthatóbbnak kellett volna lennie ezen a kitérőn.
- anoyb 2018. május 25-i panasza (PDF)
- anoyb 2019. szeptember 9-i beadványai (PDF)
- anoyb 2020. június 11-i beadványai (PDF)
- Az ír DPC határozattervezete (PDF)
- A határozattervezethez csatolt jegyzék (PDF)
Az adatok felhasználásához való hozzájárulás nem "hozzájárulás"? A Facebook jogi érvelése meglehetősen egyszerű: A felhasználó és a Facebook közötti megállapodást "szerződésként" (GDPR 6. cikk (1) bekezdés b) pont) értelmezve a "hozzájárulás" (GDPR 6. cikk (1) bekezdés a) pont) helyett a GDPR szerinti szigorú hozzájárulásra vonatkozó szabályok nem vonatkoznának a Facebookra - ami azt jelenti, hogy a Facebook minden adatot felhasználhat minden általa nyújtott termékhez, beleértve a hirdetéseket, az online nyomon követést és hasonlókat, anélkül, hogy a felhasználóktól szabadon adott hozzájárulást kérne, amelyet bármikor visszavonhatnának. A Facebook "hozzájárulásról" "szerződésre" váltott 2018.5.25-én éjfélkor - pontosan akkor, amikor a GDPR hatályba lépett az EU-ban.
Schrems: "Fájdalmasan nyilvánvaló, hogy a Facebook egyszerűen megpróbálja megkerülni a GDPR egyértelmű szabályait azáltal, hogy az adathasználatra vonatkozó megállapodást "szerződésnek" nevezi át. Ha ezt elfogadnák, akkor bármelyik vállalat egyszerűen szerződésbe írhatná az adatok feldolgozását, és ezzel legitimálhatná az ügyfelek adatainak hozzájárulás nélküli felhasználását. Ez teljes mértékben ellentétes a GDPR szándékaival, amely kifejezetten tiltja, hogy a hozzájárulási megállapodásokat általános szerződési feltételekbe rejtsék."
A római idők óta törvénytelen. A római idők óta a jog azt mondja, hogy a megállapodásokat úgy kell kezelni, amilyenek azok valójában (objektív értékelés), nem pedig úgy, amilyennek a felek állítják (formális értékelés).
Schrems:"Nem innovatív és nem is okos dolog azt állítani, hogy egy megállapodás olyasmi, ami nem az, hogy megkerüljük a törvényt. A római idők óta a bíróságok nem fogadják el a megállapodások ilyen "átcímkézését". Nem lehet megkerülni a kábítószer-törvényeket azzal, hogy egyszerűen 'fehér por' feliratot írunk egy számlára, amikor egyértelműen kokaint árulunk. Úgy tűnik, csak az ír DPC dől be ennek a trükknek."
a Facebook-felhasználók 64%-a látja a "beleegyezést", de a DPC a Facebook oldalára áll. A megállapodás valódi értelmének felmérésére a noyb a Gallup Institute-ot bízta meg egy objektív tanulmány elkészítésével: 1.000 Facebook-felhasználóból csak 1,6% látott szerződést a hirdetésekről (ahogyan azt a Facebook állította), 64% feltételezte, hogy a megállapodás "beleegyezés". A maradék nem volt biztos a megállapodás jogi jelentésében.
A DPC-t "egyszerűen nem győzték meg" az európai kollégák. Európai szinten az adatvédelmi hatóságok (DPA-k) iránymutatást adtak ki, hogy a GDPR ilyen "megkerülése" jogellenes, és hozzájárulásként kell kezelni. Az ír adatvédelmi biztos azonban kijelentette, hogy "egyszerűen nem győzte meg" európai kollégái álláspontja.
Tíz titkos találkozó a Facebookkal a "hozzájárulás megkerüléséről". A meglepő döntés valószínűleg a Facebook és a DPC között 2018 tavaszán, közvetlenül a GDPR alkalmazása előtt kötött megállapodáson alapul. Bár a DPC azzal érvel, hogy ez egy külön eljárás lett volna, a határozattervezet (nem nyilvános) "konkrét elemzésre" hivatkozik, amelyet a DPC a Facebooknak nyújtott. A Facebook ugyancsak egy ilyen ügyletre hivatkozott egy ausztriai bíróság előtt. Annak ellenére, hogy a DPC többször kérte, hogy hozzáférjen ezekhez az aktákhoz, nem hajlandó nyilvánosságra hozni a Facebookkal folytatott ügyleteinek részleteit, és a kritikát "megalapozatlannak" nevezi .
Schrems:"A DPC a Facebookkal közösen dolgozta ki a "GDPR-kerülőt", amelyet most szabályozó hatóságként zöld utat ad. Szabályozó helyett "big tech" tanácsadóként tevékenykedik"
28-36 millió eurós bírság azért, mert nem mondták meg a felhasználóknak, hogy kicsesznek a GDPR szerinti jogaikból. Annak ellenére, hogy a DPC azt állította, hogy a "hozzájárulás megkerülése" jogszerű, mégis bírságot szabott ki a Facebookra, mert nem volt teljesen átlátható a felhasználói adatok kezelésének jogalapja. Összefoglalva tehát a DPC nem tervez lépéseket tenni a panaszban felvetett jogsértés miatt, ehelyett csak azt javasolta, hogy a Facebook tegye egyértelműbbé a megkerülést. A büntetés a Facebook globális bevételének nagyjából 0,048%-át tenné ki, annak ellenére, hogy a GDPR akár 4%-os büntetésre is lehetőséget biztosít.
Schrems:"Alapvetően a DPC azt mondja, hogy a Facebook megkerülheti a GDPR-t, de átláthatóbbnak kell lennie a it. Ezzel a megközelítéssel a Facebook továbbra is folytathatja az adatok jogellenes feldolgozását, hozzáadhat egy sort az adatvédelmi irányelvekhez, és csak egy kis bírságot kell fizetnie, míg a DPC úgy tehet, mintha tettek volna valamit."
Schrems: "Orosz eljárás". Maga az eljárás is komoly aggályokat vet fel. A DPC folyamatosan megtagadja a hozzáférést a kulcsfontosságú dokumentumokhoz. Míg a a DPC egy hatalmas, 96 oldalas határozattervezetet készített, nagyrészt "átdolgozta" a felhasználók írásos beadványait, vagy egyszerűen figyelmen kívül hagyta a felhasználók beadványának kulcsfontosságú részeit. A panaszos álláspontjának közvetlen tisztázására tett kísérletként a noyb szóbeli meghallgatást kért - amit a DPC szintén elutasított.
Schrems:"Számos hatóság előtt vannak ügyeink, de a DPC még csak távolról sem folytat tisztességes eljárást. A dokumentumokat visszatartják, a meghallgatásokat megtagadják, a benyújtott érvek és tények pedig egyszerűen nem tükröződnek a határozatban. Maga a határozat hosszadalmas, de a legtöbb szakasz csak a DPC "véleményével" zárul, nem pedig a jog objektív értékelésével"."
Az ügy valószínűleg eljut az EDPB-hez. A határozattervezetet most megküldték a többi európai adatvédelmi hatóságnak, amelyek kifogást emelhetnek az ír adatvédelmi hatóság által javasolt megoldással szemben. Nagyon valószínű, hogy ez az ügy ezután az Európai Adatvédelmi Testülethez (EDPB) kerül, ahol az adatvédelmi hatóságok felülbírálhatják az ír adatvédelmi hatóságot, akárcsak egy nemrégiben a WhatsApp ügyében.
Schrems:"Reményeink a többi európai hatósághoz fűződnek. Ha nem lépnek, a vállalatok egyszerűen átvezethetik a hozzájárulást a feltételek közé, és ezzel végleg megkerülhetik a GDPR-t."
