noyb trzecie "czytanie adwentowe": Facebook's śmieszne Record of Processing Activities (ROPA)
W swoim trzecim "czytaniu adwentowym" (w proteście przeciwko bezprawnemu usunięciu noyb przez DPC z toczącej się procedury) noyb publikuje główny dokument zgodności Facebooka z GDPR: Facebook's "Record of Processing Activities" under Article 30 GDPR (w skrócie: "ROPA"). Taki prawnie wymagany dokument powinien pozwolić na łatwą ocenę zgodności Facebooka z GDPR, ale w rzeczywistości ma tylko śmieszne cztery strony. Zazwyczaj takie dokumenty liczą sobie setki stron. Schrems:"Podstawowy dokument Facebooka dotyczący zgodności z GDPR jest symptomatyczny dla ich nieznajomości prawa - ma tylko cztery strony. Zazwyczaj taki dokument miałby setki stron. Irlandzki DPC wie o braku dokumentacji od 2018 roku, ale nie podjął działań."
Zgodność z GDPR na czterech stronach? Dokument tak naprawdę mówi bardzo niewiele, zamiast szczegółowego opisu tysięcy operacji przetwarzania danych, Facebook głównie odsyła do swojej polityki prywatności i w inny sposób dodał kilka ogólnych linijek. Do głębszego nurkowania noyb dołączył Peter Hense, Partner w Spirit Legal, który pracował wcześniej nad setkami takich dokumentów. On nie mógł prawie uwierz że Facebook's ROPA jest ograniczona do czterech stron i skomentował"Każdy klub piłkarski ma bardziej szczegółowe ROPA" w czytaniu adwentu noyb. Dalej podkreślił, że jako audytor musiałby traktować to ROPA jako nieistniejące i że przetwarzanie danych przez Facebooka jest w związku z tym "nielegalne".
DPC jest świadoma, że od 2018 r. Irlandzka Komisja Ochrony Danych ("DPC") została dostarczona z tym śmiesznym "Record of Processing Activities" w dniu 27.9.2018 r. przez Facebook, ale nie podjęła żadnych działań w związku z oczywistym naruszeniem art. 30 GDPR do wiedzy noyb.
Max Schrems, przewodniczący noyb.eu:"Irlandzki DPC wiedział, że Facebook Ireland nie ma nawet najbardziej podstawowych dokumentów zgodności w porządku i nic z tym nie zrobił"
Zagrożenie dla noyb w 2019 r. Zamiast podejmować działania na Facebooku, DPC poszedł po noyb: po dostarczeniu dokumentu do noyb w sierpniu 2019 r. za pośrednictwem austriackiego Urzędu Ochrony Danych ("DSB"), Max Schrems podzielił się na Twitterze faktem, że ROPA zawiera tylko cztery strony, wraz ze zdjęciem tylnej strony dokumentów. Spowodowało to wysłanie przez DPC wściekłych listów do noyb, z żądaniem usunięcia tego tweeta.
"Fan Mail" ze strony DPC i Facebooka. Jak informuje noyb wszystkie zainteresowane strony przed naszymi adwentowymi czytaniami, ponownie otrzymaliśmy listy z pogróżkami (nazywamy je "fan mailami") od kancelarii prawnej Facebooka Mason Hayes i Curran i irlandzkiego D PC - w zasadzie grożąc działania prawne przeciwko noyb, mimo że nie ma żadnej podstawy prawnej, aby to zrobić, jak wskazano w naszych odpowiedziach do Facebook i naszej odpowiedzi do irlandzkiego DPC.
Podstawa prawna publikacji. Jak wskazano w naszym pierwszym czytaniu adwentowym, cztery czytania adwentowe noyb są w proteście przeciwko bezprawnemu usunięciu noyb przez DPC w toczącym się postępowaniu. Wszystkie dokumenty zostały dostarczone za pośrednictwem Austriacki DSB. Austriacki DSB zdecydował, że dokumenty te nie są chronione na mocy odpowiedniego przepisu (§ 17 Abs 3 AVG) i noyb jest wolny do korzystania z nich na mocy obowiązującego prawa austriackiego. Nawet na mocy (nie mającej zastosowania) irlandzkiej ustawy o ochronie danych osobowych z 2018 r. nie ma podstawy prawnej do wstrzymania lub innego ograniczenia korzystania z dokumentów przez strony. Chociaż DPC zwykle powołuje się na sekcję 26 ustawy, przepis ten wyraźnie dotyczy tylko pracowników DPC ("odpowiednie osoby"), a nie osób trzecich.
Potencjalny "pozew SLAPP" ze strony DPC i Facebooka Biorąc pod uwagę bezpodstawne groźby, pomimo wyraźnej podstawy prawnej dla tych publikacji, noyb jest teraz oczekiwać bezpodstawne "SLAPP pozwy" (patrz wielkie podsumowanie przez Johna Olivera, niestety tylko na YouTube) przez DPC i / lub Facebook Ireland Limited. Nie jest mało prawdopodobne, że Facebook lub DPC będzie próbował wnieść sprawę do Irlandii lub Wielkiej Brytanii, ponieważ te systemy prawne są bardzo drogie i idealne jurysdykcje do zrujnowania organizacji pozarządowej. Dlatego też zablokowaliśmy geoblokadę odpowiednich dokumentów w tych jurysdykcjach.
Dzisiejsze dokumenty Dokument ROPA jest częścią naszego sporu sądowego "Obejście GDPR" i jest dostępny tutaj:
- Facebook's Four Page ROPA (może nie być dostępny we wszystkich krajach)
Wymiana zdań na temat legalności tej publikacji:
- List DPC w sprawie publikacji ROPA
- Odpowiedź noyb na temat tego, dlaczego punkty DPC są nieprawidłowe
- Pismo kancelarii prawnej Facebooka w sprawie publikacji ROPA
- Odpowiedź noyb na temat tego, dlaczego "zamiar" Facebooka nie jest istotnym czynnikiem
Przegląd tygodnia. Dla każdego, kto jest zainteresowany tym, co wydarzyło się od zeszłotygodniowego czytania adwentowego, polecamy ten artykuł POLITICO o tym, jak DPC próbowało wcisnąć Facebookowi "obejście GDPR" w papiery EDPB. Wywołało to szereg interesujących artykułów, aż do wezwań w Irlandii do wymiany kierownictwa DPC. W tym tygodniu POLITICO doniosło o sprzeciwie na podstawie art. 60 wobec projektu decyzji DPC w sprawie "obejścia GDPR" przez norweski organ ochrony danych, podkreślając, że projekt decyzji DPC "koniec prawa do prywatności" zgodnie z norweskim DPA. To prowadzi do dalszych dyskusji w Irlandii na temat DPC, takich jak ta relacja przedstawiona przez Irish Times.