Irlandzki DPC zezwala na "obejście GDPR" przez Facebooka. Schrems: "Decyzja podważa kluczowy element GDPR"
Irlandzka Komisja Ochrony Danych (DPC) wysłała "projekt decyzji" (PDF) do innych europejskich organów ochrony danych w sprawie sztuczki prawnej Facebooka, aby ominąć GDPR. noyb opublikował dziś odpowiednie dokumenty
Zdaniem DPC Facebook może po prostu zdecydować się na zawarcie porozumienia o przetwarzaniu danych w "umowie", co sprawiłoby, że wymogi GDPR dotyczące "zgody" nie miałyby już zastosowania. Urząd sugeruje jednak karę w wysokości od 28 do 36 mln euro, ponieważ Facebook powinien być bardziej przejrzysty w kwestii tego obejścia.
- skarganoyb z dnia 25 maja 2018 r. (PDF)
- uwaginoyb z dnia 9 września 2019 r. (PDF)
- uwaginoyb z dnia 11 czerwca 2020 r. (PDF)
- Projekt decyzji irlandzkiego DPC (PDF)
- Schedule to the Draft Decision (PDF)
Zgoda na wykorzystanie danych nie jest "zgodą"? Argumentacja prawna Facebooka jest dość prosta: Interpretując umowę między użytkownikiem a Facebookiem jako "umowę" (art. 6 ust. 1 lit. b) GDPR) zamiast "zgody" (art. 6 ust. 1 lit. a) GDPR), ścisłe zasady dotyczące zgody w ramach GDPR nie miałyby zastosowania do Facebooka - co oznacza, że Facebook może wykorzystywać wszystkie dane, które posiada, do wszystkich produktów, które oferuje, w tym reklam, śledzenia online i tym podobnych, bez pytania użytkowników o dobrowolnie wyrażoną zgodę, którą mogliby wycofać w dowolnym momencie. Przejście Facebooka z "zgody" na "umowę" nastąpiło 25.5.2018 r. o północy - dokładnie wtedy, gdy GDPR weszło w życie w UE.
Schrems: "To boleśnie oczywiste, że Facebook po prostu próbuje ominąć jasne zasady GDPR poprzez zmianę nazwy porozumienia w sprawie wykorzystania danych na "umowę". Jeśli zostałoby to zaakceptowane, każda firma mogłaby po prostu zapisać przetwarzanie danych w umowie, a tym samym legitymizować dowolne wykorzystanie danych klientów bez zgody. Jest to absolutnie sprzeczne z intencjami GDPR, który wyraźnie zabrania ukrywania umów o wyrażeniu zgody w warunkach umowy"
Nielegalne od czasów rzymskich Od czasów rzymskich prawo mówi, że umowy muszą być traktowane jako to, czym faktycznie są (ocena obiektywna), a nie jako to, co strony twierdzą, że jest (ocena formalna)
Schrems:"Twierdzenie, że umowa jest czymś, czym nie jest, aby ominąć prawo, nie jest ani nowatorskie, ani mądre. Od czasów rzymskich sądy nie akceptują takiego "przeformułowania" umów. Nie można ominąć prawa narkotykowego, po prostu pisząc "biały proszek" na rachunku, kiedy wyraźnie sprzedajesz kokainę. Tylko irlandzki DPC wydaje się nabierać na tę sztuczkę. "
64% użytkowników Facebooka widzi "zgodę", ale DPC staje po stronie Facebooka. Aby ocenić prawdziwe znaczenie porozumienia, noyb zlecił Instytutowi Gallupa obiektywne badanie: Z 1.000 użytkowników Facebooka, tylko 1,6% widziało umowę nad reklamą (jak twierdzi Facebook), 64% założyło, że umowa jest "zgodą". Reszta nie była pewna co do prawnego znaczenia umowy.
DPC było "po prostu nie przekonane" przez europejskich kolegów. Na poziomie europejskim, organy ochrony danych (DPA) wydały wytyczne, że takie "obejście" GDPR jest nielegalne i musi być traktowane jako zgoda. Jednak irlandzki DPC powiedział, że jest "po prostu nie przekonany" przez pogląd swoich europejskich kolegów.
Dziesięć tajnych spotkań z Facebookiem w sprawie "obejścia zgody". Zaskakujące orzeczenie jest prawdopodobnie oparte na umowie między Facebookiem a DPC z wiosny 2018 r., tuż przed wejściem w życie GDPR. Chociaż DPC twierdzi, że byłaby to odrębna procedura, projekt decyzji odnosi się do (nieujawnionej) "konkretnej analizy", którą DPC dostarczyło Facebookowi. Facebook również powoływał się na taką umowę przed sądem w Austrii. Pomimo wielokrotnych próśb o dostęp do tych akt, DPC odmawia ujawnienia jakichkolwiek szczegółów swoich kontaktów z Facebookiem i nazywa krytykę "bezpodstawną".
Schrems:"DPC opracowała wraz z Facebookiem 'obejście GDPR', które teraz zatwierdza jako regulator. Zamiast regulatora, działa jako doradca 'big tech'."
€28 do €36 Mio grzywny za nie mówienie użytkownikom, że są wykręcani z praw GDPR Pomimo twierdzenia, że "obejście zgody" jest zgodne z prawem, DPC i tak wystawił Facebookowi grzywnę za brak pełnej przejrzystości co do podstawy prawnej przetwarzania danych użytkowników. Podsumowując, DPC nie zamierza zatem podejmować działań w związku z naruszeniem prawa podniesionym w skardze, a zamiast tego zaproponował jedynie, aby Facebook uczynił obejście zgody bardziej przejrzystym. Kara wyniosłaby około 0,048% globalnego przychodu Facebooka, pomimo możliwości kar w wysokości do 4% w GDPR.
Schrems:"Zasadniczo DPC mówi, że Facebook może ominąć GDPR, ale musi być bardziej przejrzysty na temat it. Dzięki takiemu podejściu Facebook może nadal przetwarzać dane niezgodnie z prawem, dodać linię do polityki prywatności i po prostu zapłacić niewielką grzywnę, podczas gdy DPC może udawać, że podjęli jakieś działania."
Schrems: "rosyjska procedura" Sama procedura również budzi poważne zastrzeżenia. DPC stale odmawia dostępu do kluczowych dokumentów. Podczas gdy dPC sporządził obszerny, 96-stronicowy projekt decyzji, w dużej mierze "przeformułował" on pisemne wnioski użytkowników lub po prostu zignorował kluczowe części wniosków użytkowników. Próbując bezpośrednio wyjaśnić stanowisko skarżącego, noyb złożył wniosek o przesłuchanie ustne - który również został odrzucony przez DPC.
Schrems:"Mamy sprawy przed wieloma urzędami, ale DPC nawet w najmniejszym stopniu nie prowadzi uczciwej procedury. Dokumenty są utajniane, przesłuchania są odmawiane, a przedstawione argumenty i fakty po prostu nie znajdują odzwierciedlenia w decyzji. Sama decyzja jest długa, ale większość sekcji kończy się po prostu "poglądem" DPC, a nie obiektywną oceną prawa."
Sprawa prawdopodobnie trafi do EDPBProjekt decyzji został teraz przesłany do innych europejskich organów ochrony danych (DPA), które mogą wnieść zastrzeżenia do proponowanego rozwiązania przez irlandzki DPC. Jest bardzo prawdopodobne, że sprawa ta trafi następnie do Europejskiej Rady Ochrony Danych (EDPB), gdzie organy ochrony danych będą mogły uchylić decyzję irlandzkiego organu ochrony danych, podobnie jak w niedawnej sprawie dotyczącej WhatsApp.
Schrems:"Naszą nadzieję pokładamy w innych organach europejskich. Jeśli nie podejmą działań, firmy mogą po prostu przenieść zgodę na warunki i w ten sposób ominąć GDPR na dobre."