noyb's Second "Advent Reading": Jak irlandzki DPC próbował lobbować "obejście GDPR" przez Facebooka w europejskich wytycznych.
W tym tygodniu noyb opublikował dwie rundy dokumentów w ramach ich "Adwentowych lektur" z dokumentów DPC i Facebooka: List od Facebooka do irlandzkiego D PC potwierdza, że DPC odbyło dziesięć spotkań z Facebookiem, na których omawiali i uzgadniali obejście GDPR przez Facebooka. Druga runda dokumentów pokazuje, że DPC próbował wcisnąć to obejście dla "mediów społecznościowych" do wytycznych Europejskiej Rady Ochrony Danych (EDPB), ale spotkał się z ostrą krytyką ze strony innych europejskich organów ochrony danych (DPA), posuwając się aż do komentarzy typu "Uważamy, że taka interpretacja podważa system i ducha GDPR" lub"To redukuje GDPR do instrumentu pro-forma." Próba włączenia przez DPC obejścia GDPR do wytycznych miała miejsce w czasie, gdy DPC miał za zadanie być niezależnym decydentem w toczącej się sprawie dotyczącej "obejścia GDPR" przez Facebooka.
Dziesięć spotkań pomiędzy Facebookiem a DPC. Jak wcześniej informowaliśmy, Facebook odbył dziesięć spotkań z DPC na temat tego, jak podejść do GDPR. Podczas tych spotkań międzynarodowa korporacja i irlandzki regulator zgodzili się na"obejście GDPR", po prostu przenosząc klauzulę zgody do warunków Facebooka, twierdząc, że ominie to zasady zgody GDPR na mocy art. 6 ust. 1 lit. a) GDPR, ale sprawi, że art. 6 ust. 1 lit. b) będzie miał zastosowanie zamiast tego.
Proponowane wytyczne EDPB. Nowo odkryte dokumenty idą jeszcze dalej: W 2018 r. irlandzkie DPC stwierdziło inicjatywę na poziomie UE i rozpoczęło nowy projekt w "podgrupie kluczowych przepisów" EDPB dotyczący art. 6 ust. 1 lit. b) GDPR - dokładnie tego przepisu, który wcześniej uzgodniło z Facebookiem, aby wykorzystać jako obejście GDPR. DPC przewodziła grupie, która miała swoje pierwsze spotkanie w kwietniu 2018 roku - inne europejskie organy dołączały do grupy. Dokładni uczestnicy nie wynikają jasno z dokumentów. W październiku 2018 r. irlandzki DPC wysłał następnie pismo, w którym nakreślił podejście "rygorystyczne" i, jak to nazwał DPC, podejście "swobody zawierania umów". Podejście "swobody zawierania umów" było eufemizmem dla podejścia, w którym administratorzy mogli wpisać cokolwiek do swoich warunków i w ten sposób ominąć GDPR. DPC zaproponował projekt wytycznych, które miały na celu przejście do podejścia "obejścia". Zasadniczo pozwalało to firmom po prostu umieścić klauzulę w swoich warunkach, aby uczynić zbieranie danych "niezbędnym" dla umowy i w ten sposób obejść wymóg zgody na mocy GDPR.
Reakcja innych organów ochrony danych. Reakcje innych organów ochrony danych były skrajnie negatywne. Niektóre przykłady obejmują(A70):"Twydaje się, że akceptuje on monetyzację danych osobowych i obchodzenie innych podstaw prawnych (zob. uwagi powyżej). Uważamy, że taka interpretacja podważa system i ducha GDPR." lub(A90): "Nie zgadzam się z tym. Ogranicza to GDPR do instrumentu proforma." lub (A103): "Sprzeczne ze wszystkim, w co wierzymy (sorry, ale to prawda), jak również z poprzednimi wytycznymi A29WP."
Rola "mediów społecznościowych" w wytycznych. Wytyczne są ogólnymi wytycznymi dla każdego sektora przemysłu, jednakże propozycja DPC wielokrotnie skupia się na "sieciach społecznościowych" i "mediach społecznościowych", a więc dokładnie na sektorze przemysłu, w którym Facebook ma faktyczny monopol. Inne organy ochrony danych zauważają to w swoich komentarzach (A96):"Ponadto, wszystkie przykłady wydają się odnosić do sieci społecznościowych"." lub (A105) "Sugerujemy usunięcie tego przykładu, ponieważ odnosi się on ponownie do mediów społecznościowych."Inne komentarze wyraźnie atakowały sugestię DPC, że "media społecznościowe" mogą po prostu wykorzystywać wszystkie dane do reklama w ramach umowy(A103):"Czy możliwe jest udostępnienie kont w mediach społecznościowych bez śledzenia i profilowania? Tak, w rzeczywistości jest to możliwe. Dlatego śledzenie lub profilowanie nie jest konieczne do realizacji tej umowy."
Konflikt z toczącą się sprawą? Szczególnie interesujące jest to, że DPC złożył te propozycje, gdy skarga noyb na Facebook's consent bypass była już przed regulatorem. Zamiast zająć neutralne stanowisko, DPC próbowało nawet lobbować na rzecz omijania GDPR przez Facebooka na poziomie europejskim.
Rezultat końcowy. Podgrupa zakończyła projekt i opublikowała je jako Wytyczne EDPB 2/2019. Wszystkie odniesienia do sieci społecznościowych i opcji ominięcia zgody poprzez rzekomą "umowę" zostały usunięte, wbrew stanowisku DPC. Wydaje się, że DPC zaproponowało opóźnienie publikacji wytycznych, które są sprzeczne z ich umową z Facebookiem, ale nie udało się również opóźnić (teraz bardzo niekorzystnych) wytycznych.
Max Schrems, przewodniczący noyb.eu:"Dokumenty pokazują jasny plan: Najpierw irlandzki regulator uzgodnił z Facebookiem obejście GDPR. Następnie próbuje wcisnąć to obejście do europejskich wytycznych. DPC wyraźnie nie działa w interesie ochrony danych, ale w interesie amerykańskich korporacji międzynarodowych. Zwykle to lobbyści Facebooka próbują wpływać na wytyczne w interesie swojego sektora przemysłu, tutaj regulator zamienił się w lobbystę."
Status prawny dokumentów. Dokumenty EDPB zostały udostępnione przez EDPB na podstawie unijnych przepisów o wolności informacji. Pismo Facebooka zostało dostarczone zgodnie z § 17 austriackiej ustawy administracyjnej (AVG) i dlatego nie zostało uznane za poufne - pomimo pieczęci "ściśle poufne" i żądania Facebooka, aby DPC nie mogła udostępniać tych dokumentów.
Wszystkie dokumenty: Poniżej można znaleźć wszystkie dokumenty, które opublikowaliśmy dla tego czytania adwentu. Zalecamy, aby najpierw przeczytać nasz przegląd, ponieważ projekt dokumentu jest nieco mylący, gdy czyta się go po raz pierwszy. Komentarz A89R88 jest szczególnie istotny, ponieważ nie został zaczerniony i mówi "The Irish DPC is concerned that...", co wskazuje, że DPC jest autorem tych reakcji. Potwierdziliśmy to za pomocą dodatkowych źródeł i fragmentów cyfrowych w dokumentach. DPC nie zareagowało, gdy zostało poproszone o komentarz, ale też nie zaprzeczyło autorstwu.
Uwaga: W przypadku dokumentów EDPB należy zauważyć, że nazwy poszczególnych organów ochrony danych zostały usunięte. Jednak komentarze zwykle mają numer zaczynający się od "A" (jak "A88"), reakcje irlandzkiego DPC na te komentarze zwykle mają "R" w numerze, co wskazuje, który komentarz jest reakcją na komentarz po tym numerze ("A89R88" jest więc komentarzem 89, ale także reakcją na A88"). Na stronach zawierających zbyt wiele komentarzy, komentarze można znaleźć na ostatnich stronach dokumentu, pod odpowiednim numerem zaczynającym się od "A"
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
Role of "Social Media" in the Guidelines. The guidelines are general guidelines for any industry sector, however the DPC proposal is repeatedly focusing on "social networks" and "social media", so exactly the industry sector where Facebook has a de facto monopoly. Other DPAs notices this in their comments (A96): "Furthermore, all the examples seem to relate to social networks." or (A105) “We suggest removing this example, as this refers again to social media." Other comments explicitly attacked the DPC's suggestion that "social media" could just use all data for advertisement under a contract (A103): "Is it possible to provide social media accounts without tracking and profiling? Yes, in fact it is. Therefore, tracking or profiling is not necessary for the performance of that contract."
Conflict with pending Case? It is especially interesting that the DPC has made these proposals, when a complaint by noyb on Facebook's consent bypass was already before the regulator. Instead of taking a neutral position, DPC has even tried to lobby for Facebook's GDPR bypass on the European level.
The End Result. The subgroup has finished the project and published them as EDPB Guidelines 2/2019. All references to social networks and the option to bypass consent via an alleged "contract" were removed, against the DPC's position. The DPC seems to have proposed to delay the publication of the guidelines that go contrary to their agreement with Facebook, but was not successful with delaying the (now highly unfavourable) guidelines either. According to POLITICO, the DPC was the only DPA voting against the final guidelines.
Max Schrems, chairperson of noyb.eu: "The documents show a clear plan: First the Irish regulator agreed on a GDPR bypass with Facebook. Then it tries to squeeze this bypass into European guidelines. The DPC clearly does not act in the interest of data protection, but in the interest of US multinationals. Usually it is Facebook lobbyists that try to influence guidelines in the interest of their industry sector, here the regulator has turned into a lobbyist."
Legal Status of Documents. The EDPB documents were provided by the EDPB under the EU freedom of information rules. The letter by Facebook was provided under § 17 of the Austrian Administrative Act (AVG) and was therefore not deemed confidential - despite being stamped "strictly confidential" and Facebook's demand that the DPC may not share the documents.
All Documents: Below you can find all documents we published for this advent reading. We highly recommend to also read our overview first, as the draft document is slightly confusing when read the first time. Comment A89R88 is especially relevant, as it was not blackened and says "The Irish DPC is concerned that...", showing that the DPC is the author of these reactions. We have confirmed this via additional sources and digital fragments in the documents. The DPC did not react when asked for a comment, but also did not deny authorship.
Note: For the EDPB documents, it should be noted that the names of individual DPAs were removed. However, comments usually have a number starting with "A" (like "A88") reactions by the Irish DPC to these comments, usually have an "R" in the number, which indicates which comment this is a reaction to the comment after that number ("A89R88" is therefore comment 89, but also a reaction to A88"). On pages with too many comments, the comments can be found on the final pages of the document, under the relevant number starting with "A".