Obchádzanie súhlasu Facebooku podľa GDPR prostredníctvom "zmluvnej reklamnej povinnosti" na rakúskom najvyššom súde s vysokým potenciálom pre postúpenie veci Súdnemu dvoru EÚ
Ako informujú Rakúska tlačová agentúra (APA ) a Der Standard, na rakúsky najvyšší súd (OGH) sa dostal prípad, ktorý môže rozhodnúť o zákonnosti podnikania Facebooku v Európe. Facebook aj pán Schrems podali odvolania proti skoršiemu rozsudku Vyššieho krajinského súdu vo Viedni (OLG Wien). Ústrednou témou prípadu sa okrem iného stalo údajné "obchádzanie" prísnych pravidiel GDPR týkajúcich sa súhlasu. Najvyšší súd bol požiadaný, aby vec postúpil Súdnemu dvoru Európskej únie (SDEÚ) na objasnenie.
"Obchádzanie súhlasu" spoločnosťou Facebook. Keď GDPR nadobudlo účinnosť, jednou z veľkých výhod bola povinnosť mať jasný súhlas, keď chcú spoločnosti spracúvať údaje používateľov. Okrem súhlasu existuje päť ďalších právnych základov na spracovanie údajov podľa článku 6 ods. 1 GDPR. Jedným z týchto základov je spracúvanie, ktoré je "nevyhnutné na plnenie zmluvy". Dňa 25. 5. 2018 o polnoci, keď začalo platiť nariadenie GDPR, spoločnosť Facebook vo svojich podmienkach jednoducho pomenovala veci ako "personalizovaná reklama". Facebook teraz tvrdí, že má "povinnosť poskytovať používateľom personalizovanú reklamu", preto nepotrebuje súhlas používateľa na spracúvanie jeho osobných údajov.
Veľký rozdiel medzi súhlasom a zmluvou? GDPR má veľmi prísne pravidlá týkajúce sa súhlasu. Používatelia musia byť plne informovaní, musia mať slobodnú voľbu súhlasiť alebo nesúhlasiť a musia mať možnosť vyjadriť súhlas s každým typom spracovania osobitne. Používatelia tiež môžu súhlas kedykoľvek a bez akýchkoľvek nákladov odvolať. Zmluvy sú však záležitosťou každého vnútroštátneho práva a zvyčajne sú oveľa flexibilnejšie. Používatelia nemusia rozumieť zmluve, aby boli viazaní, podrobnosti môžu byť skryté v "podmienkach" a môžu byť na báze "ber alebo nechaj tak".
Katherina Raabe-Stuppnig, LGP, zastupujúca pána Schremsa: "Facebook sa jednoducho snaží premenovať neplatný súhlas, aby obišiel nariadenie GDPR. Všetky ostatné spoločnosti získavajú riadny súhlas - len Facebook si myslí, že to môže obísť." A ďalej:"Len preto, že vyhlásenie o súhlase presuniete do zmluvy, musí sa ďalej považovať za súhlas. Zmluvy bolo vždy potrebné vykladať predovšetkým podľa ich skutočného účelu. Súhlas v zmluve sa preto musí vykladať práve ako súhlas."
64 % používateľov vidí "súhlas", 1,6 % "reklamnú zmluvu" .noyb si nechal vypracovať štúdiu Gallupovho inštitútu, v ktorej sa 1 000 rakúskych používateľov Facebooku pýtali, ako chápu zmluvu. Približne dve tretiny interpretovali príslušnú stránku ako žiadosť Facebooku o súhlas, len približne 10 % videlo "zmluvu", z toho len 16 používateľov ju chápalo tak, že zahŕňa povinnosť poskytovať personalizovanú reklamu (celkovo 1,6 %), ako tvrdí Facebook. Dva nižšie súdy v Rakúsku však zastávali názor, že je výlučne na uvážení Facebooku, či bude tvrdiť, že daný termín je "zmluva" alebo "súhlas". V dôsledku toho nevideli problém s obchádzkou spoločnosti Facebook, ale zároveň rozhodli, že túto záležitosť musia objasniť najvyššie súdy.
Podkopávanie GDPR? Prístup spoločnosti Facebook možno tiež považovať za jasný signál ignorovania (prinajmenšom ducha) nariadenia GDPR, pričom spoločnosť Facebook tvrdí, že je plne v súlade s týmto nariadením. Denník Der Standard citoval liberálnu poslankyňu Európskeho parlamentu Sofie in 't Veldovú, ktorá rokovala o GDPR, a uviedla: ,,V súčasnosti je to tak: "Požiadavka požiadať o súhlas musí zostať pevná. Zmluvné podmienky sa nemôžu používať ako úniková klauzula pre túto požiadavku, alebo dokonca pre akýkoľvek iný právny základ pre spracovanie údajov. GDPR je jasne navrhnuté tak, aby používatelia mali kontrolu nad svojimi údajmi. Nie na to, aby umožnilo Facebooku vylákať od používateľov ich osobné údaje."
Nečinnosť orgánu na ochranu údajov. Rovnakú záležitosť predniesol noyb aj pred írskou Komisiou na ochranu údajov (DPC) pred viac ako 2,5 rokmi. Tri vyšetrovania v prípade údajného "vynúteného súhlasu" však postupovali pomaly a zistilo sa, že kľúčová otázka "obchádzania" je mimo rozsahu konania. V rakúskom prípade spoločnosť Facebook tvrdila, že "bypass" bol zavedený po desiatich stretnutiach s DPC, ktorá "bypass" so spoločnosťou pre sociálne médiá vypracovala. DPC to poprel, ale odmietol zverejniť podrobnosti o desiatich dôverných stretnutiach so spoločnosťou Facebook v období pred začatím konania o GDPR. Dva z írskych prípadov sú teraz predmetom súdneho preskúmania na írskom najvyššom súde, tretí prípad je predmetom odvolania na rakúskom Spolkovom správnom súde (BVwG).
Sľubné výsledky. Rakúsky najvyšší súd už v minulosti postúpil podobné veci Súdnemu dvoru EÚ (pozri napr. C-18/18 - Glawischnig-Piesczek, C-498/16 - Schrems). SDEÚ zasa v minulosti rozhodol väčšinou v neprospech Facebooku vo veciach ochrany súkromia (pozri napr. veci C-40/17 - Fashion ID alebo C-210/16 - Wirtschaftsakademie Schleswig-Holstein), najmä dva prípady proti Facebooku týkajúce sa prenosu údajov medzi EÚ a USA nazvané "Schrems I" a "Schrems II". Nie je preto nepravdepodobné, že spoločnosť Facebook čakajú vážne problémy. Rakúsky najvyšší súd nevykonáva ústne pojednávania a o postúpení veci Súdnemu dvoru EÚ zvyčajne rozhoduje v priebehu niekoľkých mesiacov a v písomnom rozhodnutí. Samotnému SDEÚ však trvá až 1,5 roka, kým uskutoční všetky pojednávania a prijme rozhodnutie.