noyb harmadik "Adventi olvasmánya": A Facebook nevetséges adatfeldolgozási tevékenységekre vonatkozó nyilvántartása (ROPA)
A noyb harmadik "adventi olvasmányában" (tiltakozásul az ellen, hogy a DPC jogellenesen kivonta a noyb-ot egy folyamatban lévő eljárásból) közzéteszi a Facebook fő GDPR-megfelelőségi dokumentumát: A Facebook "Az adatkezelési tevékenységek nyilvántartása" a GDPR 30. cikke alapján (röviden: " ROPA "). Egy ilyen, jogszabályban előírt dokumentumnak lehetővé kellene tennie, hogy könnyen értékelni lehessen a Facebook GDPR-nak való megfelelését, de valójában csak nevetséges négy oldalból áll. Általában az ilyen dokumentumok egyébként több száz oldalasak. Schrems: "A Facebook alapvető GDPR-megfelelőségi dokumentuma a joggal kapcsolatos tudatlanságukat mutatja - mindössze négy oldalas. Általában egy ilyen dokumentum több száz oldalas. Az ír adatvédelmi hatóság 2018 óta tud a dokumentáció hiányáról, de nem tett lépéseket"
GDPR-megfelelés négy oldalban? A dokumentum valójában nagyon keveset mond, a több ezer feldolgozási művelet részletes leírása helyett a Facebook főként az adatvédelmi szabályzatára hivatkozik, és egyébként néhány általános sorral egészítette ki. A mélyebb merüléshez a noyb-hez csatlakozott Peter Hense, a Spirit Legal partnere, aki már több száz ilyen dokumentumon dolgozott korábban. Aligha tudta elhinni, hogy a hogy a Facebook ROPA-ja négy oldalra korlátozódik, és a noyb adventi olvasmányában megjegyezte: "Minden futballklubnak van ennél részletesebb ROPA-ja". A továbbiakban kiemelte, hogy könyvvizsgálóként ezt a ROPA-t nem létezőként kellene kezelnie, és hogy a Facebook feldolgozása ezért "jogellenes".
A DPC 2018 óta tisztában van vele. Az Ír Adatvédelmi Bizottság ("DPC") 2018.9.27-én kapta meg ezt a nevetséges "Adatfeldolgozási tevékenységek nyilvántartását" a Facebooktól, de noyb tudomása szerint nem tett semmilyen intézkedést a GDPR 30. cikkének nyilvánvaló megsértése miatt.
Max Schrems, a noyb.eu elnöke:"Az ír adatvédelmi hatóság tudta, hogy a Facebook Ireland még a legalapvetőbb megfelelőségi dokumentumokkal sincs rendben, és nem tett semmit"
Fenyegetés a noyb számára 2019-ben. Ahelyett, hogy a Facebookkal szemben intézkedett volna, a DPC a noyb után ment: miután a dokumentumot 2019 augusztusában az osztrák adatvédelmi hatóságon ("DSB") keresztül a noyb rendelkezésére bocsátották, Max Schrems a Twitteren megosztotta a tényt, hogy a ROPA csak négy oldalt tartalmaz, a dokumentumok hátoldalának képével együtt. Ez arra késztette a DSB-t, hogy dühös levelet küldjön a noyb-nak, és követelje a tweet törlését.
"Rajongói levél" a DPC és a Facebook részéről. Mint arról a noyb az adventi olvasmányaink előtt minden érintettet tájékoztat, ismét fenyegető leveleket (mi ezt "rajongói levélnek" nevezzük) kaptunk a Facebook ügyvédi irodájától Mason Hayes and Curran és az ír DPC - alapvetően jogi lépésekkel fenyegetőzve a noyb ellen, annak ellenére, hogy erre semmilyen jogi alapjuk nincs, amint arra a Facebooknak adott válaszainkban és az ír DPC-nek adott válaszunkban rámutattunk.
A közzététel jogalapja. Amint arra az első adventi olvasmányunkban rámutattunk, a négy noyb adventi olvasmány a DPC által a noyb jogellenes eltávolítása ellen tiltakozik egy folyamatban lévő eljárás során. Minden dokumentumot a Osztrák DSB-től kaptuk. Az osztrák DSB úgy döntött, hogy ezek a dokumentumok a vonatkozó rendelkezés (§ 17 Abs 3 AVG) értelmében nem állnak védelem alatt, és a noyb az alkalmazandó osztrák jog szerint szabadon felhasználhatja őket. Még a (nem alkalmazandó) 2018. évi ír adatvédelmi törvény értelmében sincs jogalap arra, hogy a felek visszatartsák vagy más módon korlátozzák a dokumentumok felhasználását. Bár a DPC általában a törvény 26. szakaszára hivatkozik, ez a rendelkezés egyértelműen csak a DPC személyzetére ("érintett személyekre") vonatkozik, harmadik felekre nem.
A DPC és a Facebook által indított potenciális "SLAPP-per". Tekintettel az alaptalan fenyegetésekre, annak ellenére, hogy e publikációknak egyértelmű jogi alapja van, a noyb most arra számít, hogy a DPC és/vagy a Facebook Ireland Limited alaptalan "SLAPP-pereket" (lásd John Oliver nagyszerű összefoglalóját, sajnos csak a YouTube-on) indít. Nem valószínűtlen, hogy a Facebook vagy a DPC megpróbálna Írországban vagy az Egyesült Királyságban pert indítani, mivel ezek a jogrendszerek rendkívül drágák és tökéletes joghatóságok egy civil szervezet tönkretételére. Ezért geoblokkoltuk a vonatkozó dokumentumokat ezekben a joghatóságokban.
Mai dokumentumok. A ROPA dokumentum a "GDPR megkerülése" peres eljárásunk része, és itt érhető el:
- Facebook's Four Page's ROPA (lehet, hogy nem minden országban érhető el)
A kiadvány jogszerűségéről szóló eszmecserék:
- A DPC levele a ROPA közzétételéről
- A noyb válasza arról, hogy a DPC pontjai miért helytelenek
- A Facebook ügyvédi irodájának levele a ROPA közzétételéről
- A noyb válasza arról, hogy a Facebook "szándéka" miért nem releváns tényező
Heti visszatekintés. Akit érdekel, mi történt a múlt heti adventi olvasmány óta, annak ajánljuk a POLITICO cikkét arról, hogyan próbálta a DPC a Facebook "GDPR-kikerülését" belegyömöszölni az EDPB papírjaiba. Ez számos érdekes cikket váltott ki, egészen az Írországon belüli felhívásokig, hogy váltsák le a DPC vezetőségét. Még ezen a héten a POLITICO beszámolt a norvég adatvédelmi hatóság által a DPC "GDPR megkerüléséről" szóló határozattervezettel szembeni 60. cikk szerinti kifogásról, kiemelve, hogy a DPC határozattervezete "véget vetne a magánélethez való jognak" a norvég adatvédelmi hatóság szerint. Ez vezetett írországban további vitákhoz vezetett a DPC-vel kapcsolatban, mint például az Irish Times beszámolója.
