Ierse DPC geeft groen licht voor Facebook's "GDPR bypass". Schrems: "Besluit ondermijnt sleutelelement van GDPR."
De Ierse Data Protection Commission (DPC) heeft een "ontwerpbesluit" (PDF) naar de andere Europese gegevensbeschermingsautoriteiten gestuurd over de juridische truc van Facebook om de GDPR te omzeilen. noyb heeft de betreffende documenten vandaag gepubliceerd
Volgens de DPC kan Facebook er gewoon voor kiezen om de overeenkomst over gegevensverwerking in een "contract" op te nemen, waardoor de GDPR-vereisten voor "toestemming" niet meer van toepassing zouden zijn. De autoriteit stelt echter een boete van 28 tot 36 miljoen euro voor omdat Facebook transparanter had moeten zijn over deze omleiding.
- klacht vannoyb van 25 mei 2018 (PDF)
- opmerkingen vannoyb van 9 september 2019 (PDF)
- opmerkingen vannoyb van 11 juni 2020 (PDF)
- Ontwerpbesluit van de Ierse DPC (PDF)
- Schema bij het ontwerpbesluit (PDF)
Akkoord met gebruik gegevens is geen "toestemming"? Het juridische argument van Facebook is vrij eenvoudig: Door de overeenkomst tussen gebruiker en Facebook te interpreteren als een "overeenkomst" (artikel 6, lid 1, onder b), GDPR) in plaats van "toestemming" (artikel 6, lid 1, onder a), GDPR) zouden de strikte regels inzake toestemming onder de GDPR niet van toepassing zijn op Facebook - wat betekent dat Facebook alle gegevens kan gebruiken die het heeft voor alle producten die het aanbiedt, waaronder advertenties, online tracking en dergelijke, zonder gebruikers om vrijelijk gegeven toestemming te vragen die zij op elk moment kunnen intrekken. De overstap van Facebook van "toestemming" naar "contract" gebeurde op 25.5.2018 om middernacht - precies toen de GDPR in de EU van kracht werd.
Schrems: "Het is pijnlijk duidelijk dat Facebook gewoon probeert de duidelijke regels van de GDPR te omzeilen door de overeenkomst over gegevensgebruik te heretiketteren als een "contract". Als dit zou worden aanvaard, zou elk bedrijf de verwerking van gegevens gewoon in een contract kunnen gieten en zo elk gebruik van klantgegevens zonder toestemming kunnen legitimeren. Dit druist absoluut in tegen de bedoelingen van de GDPR, die expliciet verbiedt om toestemmingsovereenkomsten in algemene voorwaarden te verstoppen."
Illegaal sinds de Romeinse tijd Sinds de Romeinse tijd zegt de wet dat overeenkomsten moeten worden behandeld als wat ze werkelijk zijn (objectieve beoordeling), niet als wat de partijen beweren dat het is (formele beoordeling)
Schrems:"Het is vernieuwend noch slim om te beweren dat een overeenkomst iets is wat ze niet is om de wet te omzeilen. Sinds de Romeinse tijd hebben de rechtbanken een dergelijke "heretikettering" van overeenkomsten niet aanvaard. Je kunt de drugswetgeving niet omzeilen door gewoon "wit poeder" op een factuur te schrijven, terwijl je duidelijk cocaïne verkoopt. Alleen de Ierse DPC lijkt in deze truc te trappen. "
64% van de Facebook-gebruikers ziet 'toestemming', maar DPC kiest partij voor Facebook. Om de echte betekenis van de overeenkomst te beoordelen, heeft noyb het Gallup Institute een objectief onderzoek laten uitvoeren: Van 1.000 Facebook-gebruikers zag slechts 1,6% een overeenkomst over reclame (zoals Facebook beweert), 64% ging ervan uit dat de overeenkomst een "toestemming" was. De rest was niet zeker over de juridische betekenis van de overeenkomst.
DPC was "gewoon niet overtuigd" door de Europese collega's. Op Europees niveau hebben de gegevensbeschermingsautoriteiten (DPA's) richtsnoeren uitgevaardigd dat een dergelijke "omzeiling" van de GDPR illegaal is en als toestemming moet worden behandeld. De Ierse gegevensbeschermingsautoriteit zei echter dat ze "gewoon niet overtuigd" is van het standpunt van haar Europese collega's.
Tien geheime bijeenkomsten met Facebook over "toestemmingsomzeiling". De verrassende uitspraak is waarschijnlijk gebaseerd op een deal tussen Facebook en de DPC uit het voorjaar van 2018, vlak voordat de GDPR van toepassing werd. Hoewel de DPC stelt dat dit een aparte procedure zou zijn geweest, verwijst het ontwerpbesluit naar (niet openbaar gemaakte) "specifieke analyse" die de DPC aan Facebook heeft verstrekt. Facebook beriep zich voor een rechtbank in Oostenrijk ook op een dergelijke deal. Ondanks meerdere verzoeken om toegang te krijgen tot deze dossiers weigert het DPC details over zijn deals met Facebook openbaar te maken en noemt het de kritiek "ongefundeerd".
Schrems:"Het DPC heeft samen met Facebook de 'GDPR-bypass' ontwikkeld, die het nu als regulator groen licht geeft. In plaats van een regulator treedt het op als een 'big tech' adviseur."
€28 tot €36 Mio boete voor het niet vertellen aan gebruikers dat ze genaaid worden uit GDPR rechten Ondanks de bewering dat de "consent bypass" legaal is, heeft de DPC toch een boete uitgedeeld aan Facebook omdat het niet volledig transparant is over de rechtsgrondslag voor de verwerking van zijn gebruikersgegevens. Samengevat is de DPC dus niet van plan actie te ondernemen tegen de overtreding die in de klacht aan de orde wordt gesteld, maar stelt zij in plaats daarvan alleen voor dat Facebook de omzeiling duidelijker maakt. De boete zou ruwweg 0,048% van Facebooks wereldwijde omzet bedragen, ondanks de mogelijkheid tot boetes van maximaal 4% in de GDPR.
Schrems:"In principe zegt de DPC dat Facebook de GDPR kan omzeilen, maar ze moeten transparanter zijn over it. Met deze aanpak kan Facebook doorgaan met het onrechtmatig verwerken van gegevens, een regel toevoegen aan het privacybeleid en gewoon een kleine boete betalen, terwijl de DPC kan doen alsof ze enige actie hebben ondernomen."
Schrems: "Russische procedure" Ook de procedure zelf geeft aanleiding tot grote bezorgdheid. Het DPC ontzegt voortdurend de toegang tot cruciale documenten. Terwijl de GOG heeft een omvangrijk ontwerp-besluit van 96 bladzijden opgesteld, waarin de schriftelijke opmerkingen van de gebruikers grotendeels worden "geherformuleerd" of belangrijke delen van de opmerkingen van de gebruikers gewoonweg worden genegeerd. In een poging om het standpunt van de klager rechtstreeks te verduidelijken, heeft noyb om een mondelinge hoorzitting verzocht - wat ook door het DPC werd geweigerd.
Schrems:"We hebben zaken lopen bij veel instanties, maar de DPC voert zelfs in de verste verte geen eerlijke procedure. Documenten worden achtergehouden, hoorzittingen worden geweigerd en ingediende argumenten en feiten worden in de beslissing gewoon niet weergegeven. De beslissing zelf is lang, maar de meeste onderdelen eindigen gewoon met een "mening" van het GOG, en niet met een objectieve beoordeling van de wet."
Zaak bereikt waarschijnlijk EDPBHet ontwerp-besluit is nu naar de andere Europese gegevensbeschermingsautoriteiten (gegevensbeschermingsautoriteiten) gestuurd, die bezwaar kunnen aantekenen tegen de voorgestelde oplossing van het Ierse gegevensbeschermingscollege. Het is zeer waarschijnlijk dat deze zaak vervolgens bij het Europees Comité voor gegevensbescherming (EDPB) terechtkomt, waar de gegevensbeschermingsautoriteiten het Ierse DPC kunnen overrulen, net als in een recente zaak over WhatsApp.
Schrems:"Onze hoop is gevestigd op de andere Europese autoriteiten. Als zij geen actie ondernemen, kunnen bedrijven toestemming gewoon in voorwaarden omzetten en daarmee de GDPR voorgoed omzeilen."