List otwarty o "poufnych" transakcjach w sprawie Facebooka

Maj 24, 2020

W kilka godzin po wejściu w życie nowego PKBR w dniu 25 maja 2018 roku, europejska organizacja non-profit noyb.eu złożył trzy skargi na Grupę Facebook (w tym WhatsApp i Instagram). Od tego czasu Irlandzka Komisja Ochrony Danych (DPC) oświadczyła, że treść niezwykle powolnej procedury jest "poufna" i poprosiła noyb.eu o nie omawianie jej publicznie.

Pomimo tej rzekomej (i prawnie niewiążącej) poufności, noyb.eu opublikowało dziś Open Letter (PDF), który ujawnia, jak GDPR został (nie) wprowadzony w życie dwa lata po tym, jak zaczął obowiązywać. Nawet w ramach procedury Kafkaesque opisanej w liście i poniżej, grupa Facebook może nadal być narażona na grzywnę w wysokości do 2,5 mld EUR, jeśli DPC będzie śledzić swój wewnętrzny raport śledczy.

Tajne spotkania na temat "omijania zgody" pomiędzy DPC a Facebookiem. List otwarty ujawnia po raz pierwszy, że irlandzkie DPC i grupa Facebook (w tym WhatsApp i Instagram) odbyły dziesięć tajnych spotkań przed wejściem w życie PKBR w 2018 roku. Podczas tych spotkań Facebook twierdzi, że miał "szczegółowe bezpośrednie zaangażowanie z Komisją przed wdrożeniem" pozornego "obejścia obowiązku uzyskania zgody" (szczegóły poniżej) w celu obejścia ścisłych zasad udzielania zgody przez PKBR. Pomimo faktu, że Facebook oparł się na tych spotkaniach w swoich uwagach i podkreślił, że dokumenty te były "przedmiotem rozważań" DPC, organ odmawia dostępu do wszelkich zapisów z tych tajnych spotkań, w tym do białej księgi przedłożonej przez Facebook.

Max Schrems, prezes noyb.eu: "Brzmi to jak te tajne "orzeczenia podatkowe", w których władze podatkowe potajemnie uzgadniają z dużymi firmami technologicznymi, jak ominąć przepisy podatkowe - tylko że teraz robią to także z PKBR"

Nielegalne "obejście zgody" Facebooka. W procedurach, które zostały wywołane przez trzy skargi złożone przez noyb.eu dwa lata temu (w ciągu pierwszych godzin po wejściu w życie GDPR), Grupa Facebook otwarcie przyznaje, że po prostu przełączył się z wysoce regulowanej "zgody" na rzekomą "umowę o wykorzystaniu danych". Umowa ta rzekomo zobowiązuje Facebooka do śledzenia, ukierunkowywania i prowadzenia badań dotyczących jego użytkowników. Według Facebooka zmiana ta nastąpiła za pierwszym razem o północy, kiedy PKBR zaczął obowiązywać. Takie (wzajemne) powstrzymanie się od zawarcia umowy (w tym przypadku od wyrażenia zgody na umowę) w celu obejścia prawa nazywane jest symulacją i jest nieważne.

Max Schrems: "To nic innego jak szminka na świni". Od czasów rzymskich prawo zakazuje "zmiany nazwy" czegoś tylko po to, by ominąć prawo. To, co Facebook próbował zrobić, nie jest mądre, ale śmieszne. Jedyną rzeczą, która jest naprawdę niepokojąca jest to, że irlandzki DPC najwyraźniej zaangażował się w działalność Facebooka, kiedy projektowali ten przekręt, a teraz ma go samodzielnie recenzować"

W badaniu przeprowadzonym przez Instytut Gallupa na temat "obejścia zgody" 64% z 1.000 użytkowników uważa, że wyrazili zgodę, mimo że Facebook twierdzi, że jest inaczej. W zależności od pytania, tylko 1,6-2,5% myślało, że rzeczywiście zawarło "umowę o wykorzystaniu danych", która zawiera zobowiązanie Facebooka do wykorzystania swoich danych do celów reklamowych lub badawczych. Reszta myślała, że jest to tylko informacja, umowa bez takich obowiązków lub nie mogła zobaczyć żadnego znaczenia na stronie.

Max Schrems: "Zasadniczo żaden z 1000 użytkowników, których zapytaliśmy, nie myśli, że podpisał taką rzekomą "umowę o wykorzystywaniu danych" z Facebookiem"

DPC ogranicza analizę prawną "umowy o wykorzystaniu danych" do Słownika Języka Angielskiego Oxford. Jednym z powodów, dla których DPC nie mogło znaleźć żadnego problemu z domniemaną "umową o przetwarzanie danych", na której opiera się Facebook, jest fakt, że DPC po prostu zdecydowało, że analiza takiej umowy jest poza jego kompetencjami ("ultra vires"). Zamiast analizować umowę na podstawie prawa właściwego, DPC dosłownie przytoczyło w swoich raportach definicję "umowy" z Oxford English Dictionary.

Schrems: "W szkole prawniczej uczysz się czytać książki prawnicze do pytań prawnych, a nie słownik. Wygląda na to, że przez wieki była to zwycięska technika. Jest oczywiste, że DPC stara się nie recenzować rzekomej "umowy o wykorzystywaniu danych" Facebooka.

DPC świętuje ukończenie 1 z 6 kroków w ciągu dwóch lat? W publicznym oświadczeniu pod koniec ubiegłego piątku, dPC w zaskakujący sposób nazwał trzy procedury wywołane przez noyb.eu jako przykłady wielkiego postępu w pracy DPC. Dzieje się tak pomimo faktu, że DPC potrzebowało dwóch lat, aby ukończyć 1 z 6 kroków procedury na WhatsApp i Instagram oraz 2 z 6 kroków na Facebooku (patrz tabela przeglądowa). Biorąc pod uwagę, że w samym 2019 r. DPC zgłosiło 7 125 skarg i zero grzywien PKBR wobec jakiegokolwiek podmiotu prywatnego, nie jest to prawie żadne osiągnięcie.

Max Schrems: "To policzek dla około 10.000 skarżących, jeśli DPC podkreśli pierwszy z sześciu kroków w dwóch przypadkach po dwóch latach jako osiągnięcie"

Nawet splagiatowanie własnego raportu zajęło DPC 10 miesięcy. Duma, którą DPC przyjęło w postaci dwóch projektów raportów (krok 1 z 6) na temat WhatsApp i Instagram w zeszłym tygodniu wydała się jeszcze bardziej groteskowa, gdy noyb.eu zdało sobie sprawę, że raporty te pokrywają się w 76 do 82% z raportem z Facebooka z 2019 roku (zrzut ekranu).

Max Schrems: "Przeprowadziliśmy projekty raportów na Instagram i WhatsApp, które DPC dumnie podkreślił w zeszłym tygodniu poprzez oprogramowanie do identyfikacji plagiatów i miał dobry śmiech: 76% i 82%, odpowiednio, były identyczne z projektem raportu z zeszłego roku na Facebooku. Wydaje się, że nawet szerokie kopiowanie i wklejanie projektu raportu zajęło im ponad 10 miesięcy"

W sprawozdaniu DPC stwierdza się naruszenie zasad przejrzystości PKBR. Grzywna może sięgać miliardów. Mimo że DPC sprzeciwił się kontroli legalności "obejścia zgody" przez Facebooka, w sprawozdaniu z wewnętrznego dochodzenia stwierdzono jednak naruszenie wymogów dotyczących przejrzystości PKBR zawartych w art. 5 PKBR poprzez niewystarczające informowanie użytkowników Facebooka, WhatsApp i Instagram o podstawie prawnej wykorzystania ich danych. Jeżeli DPC ostatecznie podtrzyma ten pogląd, będzie musiał nałożyć "skuteczną, proporcjonalną i odstraszającą" grzywnę w wysokości do 4 % rocznych dochodów Facebooka (do 2,5 mld EUR lub 2,83 mld USD).

Max Schrems: "Zasadniczo, dochodzenie DPC przyjęło stanowisko, że Facebook może wkręcać użytkowników, o ile jest to bardziej przejrzyste. Oznaczałoby to jednak, że Facebook, Instagram i WhatsApp przetworzyły dane wszystkich europejskich użytkowników z naruszeniem PKBR. Nawet jeśli DPC stwierdzi tylko to bardziej ograniczone naruszenie, grzywna może wynieść do 2,5 mld euro.

Komisja Europejska i OOD muszą podjąć działania. W liście otwartym noyb.eu wzywa również Komisję Europejską do podjęcia działań przeciwko Irlandii. Przy około 10 tysiącach skarg w ciągu dwóch lat i braku jakichkolwiek kar wobec podmiotów prywatnych, oczywiste jest, że Irlandia nie wdraża skutecznie prawa UE

W liście otwartym wezwano również inne europejskie organy ochrony danych do podjęcia kroków, gdy koledzy odmawiają wykonywania swojej pracy. Chociaż w PKBR niestety często brakuje jasnych terminów, pozwala on organom ochrony danych zwracać się do kolegów o podjęcie określonych działań lub wszczęcie "procedury w trybie pilnym", jeżeli inny organ ochrony danych jest nieaktywny

Schrems: "Wiele organów ochrony danych jest sfrustrowanych sytuacjami takimi jak w Irlandii, ale samo zawołanie ich nie wystarczy. Muszą one również korzystać z narzędzi, które przewiduje PKBR. Złożyliśmy już na przykład takie wnioski u austriackiego DPA"

Aby wspomóc te wysiłki, noyb.eu wysłało wszystkie istotne dokumenty dotyczące toczących się procedur do innych europejskich organów ochrony danych, mimo że irlandzki organ ochrony danych wyraźnie nalegał, aby noyb.eu nie udostępniała tych dokumentów swoim współpracownikom.

Kontekst Noyb.eu to europejska organizacja non-profit zajmująca się ochroną danych, która stara się zapewnić egzekwowanie PKBR. Noyb.eu jest finansowane przez ponad 3 200 członków wspierających. W skład 15-osobowego zespołu noyb.eu wchodzą prawnicy GDPR i eksperci techniczni z różnych państw członkowskich UE. Do tej pory noyb.eu złożyło ponad 20 skarg GDPR w różnych sprawach i przeciwko takim firmom jak Amazon, Apple, Google, Facebook, DAZN, SoundCloud i Netflix.