noyb's tweede "Advent Reading": Hoe de Ierse DPC probeerde Facebook's "GDPR bypass" in Europese richtlijnen te lobbyen.
Deze week publiceerde noyb in het kader van hun "Advent Readings" twee ronden van documenten van DPC en Facebook: Een brief van Facebook aan de Ierse DPC bevestigt dat de DPC tien vergaderingen met Facebook heeft gehad waarin ze de GDPR-omzeiling van Facebook hebben besproken en afgesproken. Uit de tweede ronde documenten blijkt dat de DPC heeft geprobeerd deze omzeiling voor "Social Media" door te drukken in richtsnoeren van de European Data Protection Board (EDPB), maar daarbij harde kritiek kreeg van andere Europese gegevensbeschermingsautoriteiten (DPA's), die helemaal los gingen met opmerkingen als "Wij denken dat deze interpretatie het systeem en de geest van de GDPR ondermijnt" of"Dit reduceert de GDPR tot een pro-forma instrument." De poging van de EDPB om de GDPR-omzeiling in de richtsnoeren op te nemen vond plaats terwijl de EDPB de taak had om onafhankelijk te beslissen in een hangende zaak over de "GDPR-omzeiling" van Facebook.
Tien ontmoetingen tussen Facebook en de DPC. Zoals eerder gemeld heeft Facebook tien ontmoetingen gehad met de DPC over de aanpak van de GDPR. In deze vergaderingen zijn de multinational en de Ierse toezichthouder het eens geworden over een"GDPR bypass", door simpelweg de toestemmingsclausule te verplaatsen naar de algemene voorwaarden van Facebook, met de bewering dat dit de toestemmingsregels van artikel 6(1)(a) van de GDPR omzeilt, maar in plaats daarvan artikel 6(1)(b) van toepassing zou maken.
De voorgestelde EDPB-richtsnoeren. De nieuw ontdekte documenten gaan nog verder: In 2018 verklaarde de Ierse DPC een initiatief op EU-niveau en startte een nieuw project in de EDPB's "Key Provisions Subgroup" over artikel 6(1)(b) GDPR - precies de bepaling die het eerder met Facebook is overeengekomen om te gebruiken als een GDPR-omzeiling. Het DPC leidde de groep die in april 2018 zijn eerste vergadering had - andere Europese autoriteiten sloten zich bij de groep aan. De precieze deelnemers worden niet duidelijk uit de documenten. In oktober 2018 stuurde de Ierse DPC vervolgens een brief waarin een "strikte" en, wat de DPC noemde, een "contractvrijheid"-aanpak werden geschetst. De "contractvrijheid"-benadering was een eufemisme voor een benadering waarbij controllers alles in hun voorwaarden konden schrijven en zo de GDPR omzeilden. Het DPC heeft ontwerprichtsnoeren voorgesteld om de "omzeil"-benadering te omzeilen. Dit komt erop neer dat bedrijven gewoon een clausule in hun voorwaarden kunnen opnemen om het verzamelen van gegevens "noodzakelijk" te maken voor een contract en zo de toestemmingsvereiste van de GDPR te omzeilen.
De reactie van andere gegevensbeschermingsautoriteiten. De reacties van andere gegevensbeschermingsautoriteiten waren uiterst negatief. Enkele voorbeelden zijn(A70):"Tlijkt in te stemmen met het te gelde maken van persoonsgegevens en het omzeilen van de andere rechtsgrondslagen (zie opmerkingen hierboven). Wij zijn van mening dat deze interpretatie het systeem en de geest van de GDPR ondermijnt." of(A90): "Oneens. Dit reduceert de GDPR tot een proforma-instrument." of (A103): "In strijd met alles waarin wij geloven (sorry, maar het is waar), alsook met eerdere A29WP-richtsnoeren."
Rol van "sociale media" in de richtsnoeren. De richtsnoeren zijn algemene richtsnoeren voor elke bedrijfssector, maar het voorstel van de gegevensbeschermingsautoriteit is herhaaldelijk toegespitst op "sociale netwerken" en "sociale media", dus precies de bedrijfssector waar Facebook de facto een monopoliepositie heeft. Andere gegevensbeschermingsautoriteiten merken dit op in hun opmerkingen (A96):"Bovendien lijken alle voorbeelden betrekking te hebben op sociale netwerken." of (A105): "Wij stellen voor dit voorbeeld te verwijderen, aangezien dit opnieuw verwijst naar sociale media." Andere opmerkingen vielen expliciet de suggestie van de DPC aan dat "sociale media" zomaar alle gegevens zouden kunnen gebruiken voor advertentie het kader van een contract(A103):"Is het mogelijk om sociale media-accounts te verstrekken zonder tracking en profilering? Ja, in feite is dat mogelijk. Daarom is tracking of profiling niet noodzakelijk voor de uitvoering van dat contract."
Strijdigheid met aanhangige zaak? Het is bijzonder interessant dat de DPC dit voorstel heeft gedaan, terwijl een klacht van noyb over Facebook's toestemmingsomzeiling al bij de toezichthouder lag. In plaats van een neutraal standpunt in te nemen, heeft DPC zelfs geprobeerd om op Europees niveau te lobbyen voor Facebook's GDPR omzeiling.
Het eindresultaat. De subgroep heeft het project afgerond en ze gepubliceerd als EDPB Guidelines 2/2019. Alle verwijzingen naar sociale netwerken en de mogelijkheid om toestemming te omzeilen via een vermeend "contract" zijn verwijderd, tegen het standpunt van de DPC in. De DPC lijkt te hebben voorgesteld om de publicatie van de richtsnoeren die in strijd zijn met hun overeenkomst met Facebook uit te stellen, maar was ook niet succesvol met het uitstellen van de (nu zeer ongunstige) richtsnoeren.
Max Schrems, voorzitter van noyb.eu:"De documenten laten een duidelijk plan zien: Eerst is de Ierse toezichthouder een GDPR-omzeiling met Facebook overeengekomen. Vervolgens probeert ze deze omzeiling in Europese richtlijnen te persen. De DPC handelt duidelijk niet in het belang van gegevensbescherming, maar in het belang van Amerikaanse multinationals. Meestal zijn het lobbyisten van Facebook die richtsnoeren proberen te beïnvloeden in het belang van hun industriesector, hier is de regulator veranderd in een lobbyist."
Juridische status van documenten. De EDPB-documenten werden door de EDPB verstrekt op grond van de EU-regels inzake vrijheid van informatie. De brief van Facebook werd verstrekt op grond van § 17 van de Oostenrijkse administratieve wet (AVG) en werd daarom niet als vertrouwelijk beschouwd - ondanks het stempel "strikt vertrouwelijk" en de eis van Facebook dat de DPC de documenten niet mag delen.
Alle documenten: Hieronder vindt u alle documenten die wij voor deze advent lezing hebben gepubliceerd. Wij raden u aan ook eerst ons overzicht te lezen, aangezien het ontwerpdocument enigszins verwarrend is wanneer het de eerste keer wordt gelezen. Vooral commentaar A89R88 is relevant, omdat het niet zwart gemaakt is en er staat "The Irish DPC is concerned that...", waaruit blijkt dat de DPC de auteur van deze reacties is. Wij hebben dit bevestigd via aanvullende bronnen en digitale fragmenten in de documenten. De DPC reageerde niet toen hem om commentaar werd gevraagd, maar ontkende ook niet het auteurschap.
Opmerking: Voor de EDPB-documenten moet worden opgemerkt dat de namen van individuele DPA's zijn verwijderd. Commentaren hebben echter meestal een nummer dat met een "A" begint (zoals "A88"). Reacties van de Ierse gegevensbeschermingsautoriteit op deze commentaren hebben meestal een "R" in het nummer, wat aangeeft welk commentaar een reactie is op het commentaar na dat nummer ("A89R88" is dus commentaar 89, maar ook een reactie op A88"). Op pagina's met te veel opmerkingen, zijn de opmerkingen te vinden op de laatste pagina's van het document, onder het relevante nummer dat begint met "A"
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
Role of "Social Media" in the Guidelines. The guidelines are general guidelines for any industry sector, however the DPC proposal is repeatedly focusing on "social networks" and "social media", so exactly the industry sector where Facebook has a de facto monopoly. Other DPAs notices this in their comments (A96): "Furthermore, all the examples seem to relate to social networks." or (A105) “We suggest removing this example, as this refers again to social media." Other comments explicitly attacked the DPC's suggestion that "social media" could just use all data for advertisement under a contract (A103): "Is it possible to provide social media accounts without tracking and profiling? Yes, in fact it is. Therefore, tracking or profiling is not necessary for the performance of that contract."
Conflict with pending Case? It is especially interesting that the DPC has made these proposals, when a complaint by noyb on Facebook's consent bypass was already before the regulator. Instead of taking a neutral position, DPC has even tried to lobby for Facebook's GDPR bypass on the European level.
The End Result. The subgroup has finished the project and published them as EDPB Guidelines 2/2019. All references to social networks and the option to bypass consent via an alleged "contract" were removed, against the DPC's position. The DPC seems to have proposed to delay the publication of the guidelines that go contrary to their agreement with Facebook, but was not successful with delaying the (now highly unfavourable) guidelines either. According to POLITICO, the DPC was the only DPA voting against the final guidelines.
Max Schrems, chairperson of noyb.eu: "The documents show a clear plan: First the Irish regulator agreed on a GDPR bypass with Facebook. Then it tries to squeeze this bypass into European guidelines. The DPC clearly does not act in the interest of data protection, but in the interest of US multinationals. Usually it is Facebook lobbyists that try to influence guidelines in the interest of their industry sector, here the regulator has turned into a lobbyist."
Legal Status of Documents. The EDPB documents were provided by the EDPB under the EU freedom of information rules. The letter by Facebook was provided under § 17 of the Austrian Administrative Act (AVG) and was therefore not deemed confidential - despite being stamped "strictly confidential" and Facebook's demand that the DPC may not share the documents.
All Documents: Below you can find all documents we published for this advent reading. We highly recommend to also read our overview first, as the draft document is slightly confusing when read the first time. Comment A89R88 is especially relevant, as it was not blackened and says "The Irish DPC is concerned that...", showing that the DPC is the author of these reactions. We have confirmed this via additional sources and digital fragments in the documents. The DPC did not react when asked for a comment, but also did not deny authorship.
Note: For the EDPB documents, it should be noted that the names of individual DPAs were removed. However, comments usually have a number starting with "A" (like "A88") reactions by the Irish DPC to these comments, usually have an "R" in the number, which indicates which comment this is a reaction to the comment after that number ("A89R88" is therefore comment 89, but also a reaction to A88"). On pages with too many comments, the comments can be found on the final pages of the document, under the relevant number starting with "A".
