noyb második "adventi olvasmánya": Hogyan próbálta az ír DPC lobbizni a Facebook "GDPR-kikerülését" az európai irányelvekbe.
A héten a noyb két körös "Adventi olvasmányok" keretében két dokumentumot tett közzé a DPC és a Facebook dokumentumaiból: A Facebook által az ír DPC-nek írt levél megerősíti, hogy a DPC tíz találkozót tartott a Facebookkal, ahol megvitatták és megegyeztek a Facebook GDPR-kikerüléséről. A dokumentumok második köréből kiderül, hogy a DPC megpróbálta ezt a "közösségi médiára" vonatkozó megkerülést az Európai Adatvédelmi Testület (EDPB ) iránymutatásaiba betenni, de más európai adatvédelmi hatóságok (DPA-k) kemény kritikával illették, egészen az olyan megjegyzésekig, mint "Úgy gondoljuk, hogy ez az értelmezés aláássa a GDPR rendszerét és szellemét" vagy"Ez a GDPR-t pro-forma eszközzé degradálja." A DPC arra tett kísérletet, hogy a GDPR megkerülését beépítse az iránymutatásokba, miközben a Facebook "GDPR megkerülésével" kapcsolatos folyamatban lévő ügyben független döntéshozónak kellett lennie.
Tíz találkozó a Facebook és a DPC között. Mint arról korábban beszámoltunk, a Facebook tíz találkozót tartott a DPC-vel a GDPR megközelítéséről. Ezeken a találkozókon a multinacionális vállalat és az ír szabályozó hatóság megállapodott a"GDPR megkerüléséről", mégpedig úgy, hogy a hozzájárulási záradékot egyszerűen áthelyezik a Facebook általános szerződési feltételeibe, arra hivatkozva, hogy ezzel megkerülik a GDPR 6. cikk (1) bekezdésének a) pontja szerinti hozzájárulási szabályokat, helyette a 6. cikk (1) bekezdésének b) pontja lesz alkalmazandó.
A javasolt EDPB-iránymutatások. Az újonnan felfedezett dokumentumok még tovább mennek: 2018-ban az ír DPC uniós szintű kezdeményezést jelentett be, és új projektet indított az EDPB "Key Provisions Subgroup" (kulcsfontosságú rendelkezések alcsoportja) keretében a GDPR 6. cikke (1) bekezdésének b) pontjával kapcsolatban - pontosan azzal a rendelkezéssel kapcsolatban, amelyről korábban megállapodott a Facebookkal, hogy a GDPR megkerüléséhez használja. A DPC vezette a csoportot, amely 2018 áprilisában tartotta első ülését - a csoporthoz más európai hatóságok is csatlakoztak. A pontos résztvevők nem derülnek ki a dokumentumokból. 2018 októberében az ír DPC ezután levelet küldött, amelyben felvázolta a "szigorú" és - a DPC által "szerződéskötési szabadságnak" nevezett - megközelítést. A "szerződési szabadság" megközelítés egy olyan megközelítés eufemizmusa volt, amelyben az adatkezelők bármit beleírhatnak a feltételeikbe, és ezáltal megkerülhetik a GDPR-t. A DPC olyan iránymutatás-tervezeteket javasolt , amelyek célja a "megkerülő" megközelítés felé való elmozdulás volt. Ez alapvetően lehetővé tette a vállalatok számára, hogy a szerződési feltételeikbe egyszerűen beillesszenek egy záradékot, amely az adatok begyűjtését "szükségesnek" minősíti egy szerződéshez, és ezáltal megkerüljék a GDPR szerinti hozzájárulási kötelezettséget.
Más adatvédelmi hatóságok reakciója. A többi adatvédelmi hatóság reakciója rendkívül negatív volt. Néhány példa(A70):"Túgy tűnik, hogy ez elfogadja a személyes adatok pénzzé tételét és a többi jogalap megkerülését (lásd a fenti megjegyzéseket). Úgy gondoljuk, hogy ez az értelmezés aláássa a GDPR rendszerét és szellemét." vagy(A90): "Nem ért egyet. Ez a GDPR-t egy proforma eszközzé redukálja." vagy (A103): "Ellentétben áll mindazzal, amiben hiszünk (bocsánat, de igaz), valamint a korábbi A29WP útmutatással."
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
A "közösségi média" szerepe az iránymutatásokban. Az iránymutatások általános iránymutatások bármely iparágra vonatkozóan, azonban a DPC javaslata ismételten a "közösségi hálózatokra" és a "közösségi médiára" összpontosít, tehát pontosan arra az iparágra, ahol a Facebook de facto monopóliummal rendelkezik. Ezt más adatvédelmi hatóságok is megjegyzik észrevételeikben (A96):"Továbbá úgy tűnik, hogy minden példa a közösségi hálózatokra vonatkozik." vagy (A105) "Javasoljuk, hogy ezt a példát távolítsák el, mivel az ismét a közösségi médiára vonatkozik" Más észrevételek kifejezetten támadták a DPC azon javaslatát, hogy a "közösségi média" egyszerűen minden adatot felhasználhatna a reklámozás szerződés keretében(A103):"Lehetséges-e a közösségi média fiókokat nyomon követés és profilalkotás nélkül biztosítani? Igen, valójában igen. Ezért a nyomon követés vagy profilalkotás nem szükséges az említett szerződés teljesítéséhez."
Összeférhetetlenség a folyamatban lévő üggyel? Különösen érdekes, hogy a DPC akkor tette meg ezeket a javaslatokat, amikor a noyb panasza a Facebook hozzájárulásának megkerülésével kapcsolatban már a szabályozó előtt volt. Ahelyett, hogy semleges álláspontot foglalt volna el, a DPC európai szinten még lobbizni is próbált a Facebook GDPR-kikerüléséért.
A végeredmény. Az alcsoport befejezte a projektet, és közzétette azokat EDPB Guidelines 2/2019 néven. A DPC álláspontjával ellentétben eltávolítottak minden utalást a közösségi hálózatokra és a hozzájárulásnak egy állítólagos "szerződésen" keresztül történő megkerülésének lehetőségére. Úgy tűnik, hogy a DPC javasolta a Facebookkal kötött megállapodásukkal ellentétes iránymutatások közzétételének elhalasztását, de nem járt sikerrel a (most már rendkívül kedvezőtlen) iránymutatások elhalasztásával sem. A POLITICO szerint a DPC volt az egyetlen adatvédelmi hatóság, amely a végleges iránymutatások ellen szavazott.
Max Schrems, a noyb.eu elnöke:"A dokumentumok egyértelmű tervet mutatnak: Először az ír szabályozó hatóság megállapodott a Facebookkal a GDPR megkerüléséről. Ezután megpróbálja ezt a megkerülést az európai iránymutatásokba beleszorítani. A DPC egyértelműen nem az adatvédelem, hanem az amerikai multinacionális vállalatok érdekében jár el. Általában a Facebook lobbistái próbálják befolyásolni az iránymutatásokat az iparáguk érdekében, itt a szabályozó hatóság vált lobbistává"
A dokumentumok jogi státusza. Az EDPB dokumentumait az EDPB az információszabadságra vonatkozó uniós szabályok alapján bocsátotta rendelkezésre. A Facebook levelét az osztrák közigazgatási törvény (AVG) 17. §-a alapján bocsátotta rendelkezésre, és ezért nem minősült bizalmasnak - annak ellenére, hogy "szigorúan bizalmas" bélyegzővel volt ellátva, és a Facebook kérte, hogy a DPC ne ossza meg a dokumentumokat.
Minden dokumentum: Az alábbiakban az összes dokumentumot megtalálhatja, amelyet az adventi olvasmányhoz közzétettünk. Javasoljuk, hogy először olvassa el áttekintésünket is, mivel a dokumentumtervezet első olvasásra kissé zavaros. Az A89R88 megjegyzés különösen fontos, mivel nem feketítették be, és azt mondja: "Az ír DPC aggódik, hogy...", ami azt mutatja, hogy a DPC a szerzője ezeknek a reakcióknak. Ezt további források és a dokumentumokban található digitális töredékek révén megerősítettük. A DPC nem reagált, amikor kommentárt kértünk tőle, de nem is tagadta a szerzőséget.
Megjegyzés: Az EDPB dokumentumai esetében meg kell jegyezni, hogy az egyes adatvédelmi hatóságok neveit eltávolították. A megjegyzéseknek azonban általában "A" betűvel kezdődő száma van (például "A88"). Az ír adatvédelmi hatóság által ezekre a megjegyzésekre adott reakciók általában egy "R" betűt tartalmaznak a számban, ami jelzi, hogy melyik megjegyzésre adott reakcióról van szó az adott szám utáni megjegyzésre ("A89R88" tehát a 89. megjegyzés, de egyben reakció az A88-ra is). A túl sok megjegyzést tartalmazó oldalakon a megjegyzések a dokumentum utolsó oldalain, az "A" betűvel kezdődő megfelelő szám alatt találhatók.
