Derde noyb "Advent Lezing" van Facebook/DPC Documenten

Dec 12, 2021

noyb's derde "Advent Reading": Facebook's lachwekkende Record of Processing Activities (ROPA)

In zijn derde "Adventslezing" (als protest tegen het feit dat de DPC noyb onrechtmatig uit een lopende procedure heeft verwijderd) publiceert noyb het belangrijkste GDPR-conformiteitsdocument van Facebook: Facebook's "Record of Processing Activities" onder artikel 30 GDPR (kort: "ROPA"). Zo'n wettelijk vereist document zou het mogelijk moeten maken om de naleving van de GDPR door Facebook gemakkelijk te beoordelen, maar in feite telt het slechts een lachwekkende vier pagina's. Gewoonlijk telt zo'n document honderden pagina's. Schrems:"Het belangrijkste GDPR-conformiteitsdocument van Facebook is symptomatisch voor hun onwetendheid over de wet - het telt slechts vier bladzijden. Normaal gesproken telt zo'n document honderden pagina's. De Ierse DPC weet sinds 2018 van het gebrek aan documentatie, maar heeft geen actie ondernomen."

GDPR-naleving in vier pagina's? Het document zegt eigenlijk heel weinig, in plaats van een gedetailleerde beschrijving van duizenden verwerkingen verwijst Facebook vooral naar zijn privacybeleid en voegde anders wat generieke regels toe. Voor een diepere duik werd noyb bijgestaan door Peter Hense, Partner bij Spirit Legal, die al eerder aan honderden van dergelijke documenten heeft gewerkt. Hij kon moeilijk geloven dat Facebook's ROPA beperkt is tot vier pagina's en merkte in noyb's Advent Reading op"Elke voetbalclub heeft een meer gedetailleerde ROPA". Vervolgens benadrukte hij dat hij als accountant deze ROPA als niet-bestaand zou moeten behandelen en dat de verwerking door Facebook dus "onrechtmatig" is.

DPC is op de hoogte sinds 2018. De Ierse gegevensbeschermingscommissie ("DPC") kreeg deze lachwekkende "Record of Processing Activities" op 27.9.2018 van Facebook, maar heeft voor zover noyb weet geen actie ondernomen over de overduidelijke schending van artikel 30 GDPR.

Max Schrems, voorzitter van noyb.eu:"De Ierse DPC wist dat Facebook Ierland zelfs de meest elementaire compliance documenten niet op orde heeft en heeft daar niets aan gedaan."

Bedreiging voor noyb in 2019. In plaats van actie te ondernemen tegen Facebook, ging de DPC achter noyb aan: zodra het document in augustus 2019 via de Oostenrijkse gegevensbeschermingsautoriteit ("DSB") aan noyb werd verstrekt, heeft Max Schrems het feit dat de ROPA slechts vier pagina's bevat op Twitter gedeeld, samen met een foto van de achterkant van de documenten. Dit was voor de DSB aanleiding om boze brieven te sturen naar noyb, met de eis dat deze tweet zou worden verwijderd.

"Fanmail" door de DPC en Facebook. Zoals noyb alle relevante partijen voor onze Adventslezingen informeert, hebben wij opnieuw dreigbrieven (wij noemen het "fanmail")ontvangen van het advocatenkantoor van Facebook Mason Hayes en Curran en de Ierse DPC - dreigen in feite met juridische stappen tegen noyb, ondanks het feit dat zij daartoe geen rechtsgrondslag hebben, zoals aangegeven in onze antwoorden aan Facebook en ons antwoord aan de Ierse DPC.

Juridische grondslag voor de publicatie. Zoals in onze Eerste Adventslezing is aangegeven, zijn de vier noyb Adventslezingen uit protest tegen de illegale verwijdering van noyb door het DPC in een lopende procedure. Alle documenten werden verstrekt via het Oostenrijkse DSB. Het Oostenrijkse DSB heeft besloten dat deze documenten niet beschermd zijn onder de relevante bepaling (§ 17 Abs 3 AVG) en noyb is vrij om ze te gebruiken onder de toepasselijke Oostenrijkse wetgeving. Zelfs onder de (niet toepasselijke) Ierse Data Protection Act 2018 is er geen rechtsgrondslag om het gebruik van documenten door de partijen achter te houden of anderszins te beperken. Hoewel het DPC zich meestal beroept op artikel 26 van de wet, is deze bepaling duidelijk alleen van toepassing op personeel van het DPC ("relevante personen") en niet op derden.

Mogelijke "SLAPP suit" door het DPC en Facebook Gezien de ongegronde dreigementen, ondanks een duidelijke wettelijke basis voor deze publicaties, verwacht noyb nu ongegronde "SLAPP suits" (zie een geweldige samenvatting van John Oliver, helaas alleen op YouTube) door de DPC en/of Facebook Ireland Limited. Het is niet onwaarschijnlijk dat Facebook of de DPC zullen proberen een zaak aanhangig te maken in Ierland of het Verenigd Koninkrijk, aangezien deze rechtssystemen extreem duur zijn en een perfecte jurisdictie vormen om een NGO te ruïneren. Daarom hebben wij de relevante documenten in deze jurisdicties geoblocked.

De documenten van vandaag Het ROPA document maakt deel uit van onze "GDPR bypass" rechtszaak en is hier beschikbaar:

Uitwisselingen over de rechtmatigheid van deze publicatie:

Week in terugblik. Voor iedereen die geïnteresseerd is in wat er gebeurd is sinds de Adventslezing van vorige week, raden we dit artikel van POLITICO aan over hoe het DPC probeerde Facebook's "GDPR bypass" in EDPB-papieren te persen. Dit leidde tot een aantal interessante artikelen, tot oproepen binnen Ierland om de leiding van de DPC te vervangen. Later deze week werd een artikel 60-bezwaar tegen het ontwerpbesluit van de DPC over de "GDPR-omzeiling" door de Noorse gegevensbeschermingsautoriteit gemeld door POLITICO, waarin werd benadrukt dat het ontwerpbesluit van de DPC zou "einde recht op privacy" volgens de Noorse DPA. Dit leidt tot verdere discussies binnen Ierland over het DPC, zoals deze berichtgeving door de Irish Times.