Facebook's GDPR consent bypass via a "contractual advertising duty" przed austriackim Sądem Najwyższym, z dużym potencjałem na odwołanie do TSUE
Jak donoszą Austriacka Agencja Prasowa (APA) i Der Standard, sprawa, która może zadecydować o legalności działalności Facebooka w Europie, trafiła do austriackiego Sądu Najwyższego (OGH). Zarówno Facebook, jak i J. Schrems złożyli apelacje od wcześniejszego wyroku Wyższego Sądu Krajowego w Wiedniu (OLG Wien). Centralnym punktem sprawy stało się między innymi rzekome "obejście" surowych zasad zgody zawartych w GDPR. Sąd Najwyższy został poproszony o przekazanie sprawy do Europejskiego Trybunału Sprawiedliwości (TSUE) w celu wyjaśnienia.
Obejście zgody przez Facebooka. Kiedy GDPR weszło w życie, jedną z dużych korzyści był obowiązek posiadania wyraźnej zgody opt-in, gdy firmy chcą przetwarzać dane użytkownika. Oprócz zgody, istnieje pięć innych podstaw prawnych do przetwarzania danych na mocy art. 6 ust. 1 GDPR. Jedną z tych podstaw jest przetwarzanie, które jest "niezbędne do wykonania umowy". W dniu 25.5.2018 o północy, kiedy GDPR zaczęło obowiązywać, Facebook po prostu nazwał rzeczy takie jak "spersonalizowana reklama" w swoich warunkach. Facebook argumentuje teraz, że ma "obowiązek dostarczania spersonalizowanych reklam" użytkownikom, dlatego nie potrzebuje zgody użytkownika na przetwarzanie jego danych osobowych.
Duża różnica między zgodą a umową? GDPR ma bardzo surowe zasady dotyczące zgody. Użytkownicy muszą być w pełni poinformowani, mieć wolny wybór, czy się zgodzić, czy nie, i muszą mieć możliwość wyrażenia zgody na każdy rodzaj przetwarzania w sposób szczególny. Użytkownicy mogą również wycofać zgodę w dowolnym momencie i bez ponoszenia kosztów. Umowy są jednak kwestią każdego prawa krajowego i są zazwyczaj o wiele bardziej elastyczne. Użytkownicy nie muszą rozumieć umowy, aby być związani, szczegóły mogą być ukryte w "warunkach" i mogą być zawierane na zasadzie "take it or leave it".
Katherina Raabe-Stuppnig, LGP, reprezentująca pana Schremsa "Facebook po prostu próbuje zmienić etykietę nieważnej zgody, aby obejść GDPR. Wszystkie inne firmy uzyskują odpowiednią zgodę - tylko Facebook myśli, że może to obejść" i dalej"Tylko dlatego, że przenosisz deklarację zgody do umowy, musi być ona dalej traktowana jako zgoda. Zawsze trzeba było interpretować umowy przede wszystkim zgodnie z ich prawdziwym celem. Zgoda w umowie musi być zatem interpretowana właśnie jako zgoda."
64% użytkowników widzi "zgodę", 1,6% "umowę reklamową". noyb zlecił Instytutowi Gallupa badanie, w którym zapytano 1000 austriackich użytkowników Facebooka o ich rozumienie umowy. Około dwie trzecie z nich interpretowało daną stronę jako poszukiwanie zgody przez Facebook, tylko około 10% widziało "umowę", z czego tylko 16 użytkowników rozumiało ją jako zobowiązanie do zapewnienia spersonalizowanej reklamy (łącznie 1,6%), jak twierdził Facebook. Dwa austriackie sądy niższej instancji uznały jednak, że to wyłącznie w gestii Facebooka leży uznanie danego warunku za "umowę" lub "zgodę". W związku z tym nie widzieli problemu z obejściem Facebooka, ale również stwierdzili, że sprawa wymaga wyjaśnienia przez Sąd Najwyższy.
Podważanie GDPR? Podejście Facebooka może być również postrzegane jako wyraźny sygnał do ignorowania (przynajmniej ducha) GDPR, podczas gdy Facebook twierdzi, że jest w pełni zgodny z przepisami. Der Standard cytował liberalną członkinię Parlamentu Europejskiego Sofie in 't Veld, która negocjowała GDPR i powiedział "Wymóg pytania o zgodę musi stać mocno. Warunki umowne nie mogą być wykorzystywane jako klauzula ucieczki od tego wymogu, ani w istocie od jakiejkolwiek innej podstawy prawnej przetwarzania danych. GDPR jest wyraźnie zaprojektowany, aby dać użytkownikom kontrolę nad ich danymi. Nie po to, by pozwolić Facebookowi na wyłudzanie od użytkowników ich danych osobowych."
Bezczynność Urzędu Ochrony Danych Osobowych. Ta sama sprawa została również podniesiona przez noyb przed irlandzką Komisją Ochrony Danych (DPC) ponad 2,5 roku temu. Trzy dochodzenia w sprawie rzekomej "wymuszonej zgody" posuwały się jednak powoli, a zasadnicza kwestia "obejścia" została uznana za nie mieszczącą się w zakresie postępowania. W austriackim przypadku Facebook twierdził, że "obejście" zostało wdrożone po dziesięciu spotkaniach z DPC, który opracował "obejście" z firmą Social Media Company. DPC zaprzeczył temu, ale odmówił ujawnienia szczegółów dziesięciu poufnych spotkań z Facebookiem w okresie poprzedzającym GDPR. Dwie z irlandzkich spraw są obecnie przedmiotem kontroli sądowej przed irlandzkim High Court, a trzecia sprawa jest przedmiotem odwołania przed austriackim Federalnym Sądem Administracyjnym (BVwG).
Obiecujący track record. Austriacki Sąd Najwyższy już wcześniej kierował podobne sprawy do TSUE (zob. np. C-18/18 - Glawischnig-Piesczek, C-498/16 - Schrems). Z kolei TSUE rozstrzygał wcześniej głównie na niekorzyść Facebooka w sprawach dotyczących prywatności (zob. np. C-40/17 - Fashion ID lub C-210/16 - Wirtschaftsakademie Schleswig-Holstein), w szczególności w dwóch sprawach przeciwko Facebookowi dotyczących przekazywania danych z UE do USA, zwanych "Schrems I" i "Schrems II". Niewykluczone zatem, że Facebook ma przed sobą poważne kłopoty. Austriacki Sąd Najwyższy nie przeprowadza rozpraw ustnych i zazwyczaj rozstrzyga o odwołaniach do TSUE w ciągu kilku miesięcy i w formie pisemnej decyzji. Natomiast sam TSUE potrzebuje do 1,5 roku na przeprowadzenie wszystkich rozpraw i wydanie decyzji.