Írska komisia pre ochranu údajov schválila "obchádzanie GDPR" spoločnosťou Facebook. Schrems: "Rozhodnutie podkopáva kľúčový prvok GDPR."
Írska komisia pre ochranu údajov (DPC) zaslala ostatným európskym orgánom na ochranu údajov "návrh rozhodnutia" (PDF) o právnom triku Facebooku, ktorým chce obísť GDPR. noyb dnes zverejnil príslušné dokumenty.
Podľa názoru DPC sa Facebook môže jednoducho rozhodnúť zahrnúť dohodu o spracúvaní údajov do "zmluvy", čím by sa požiadavky GDPR na "súhlas" prestali uplatňovať. Úrad však navrhuje pokutu vo výške 28 až 36 mil. eur, keďže Facebook mal byť pri tomto obchádzaní transparentnejší.
- sťažnosť spoločnostinoyb z 25. mája 2018 (PDF)
- podania spoločnostinoyb z 9. septembra 2019 (PDF)
- podania spoločnostinoyb z 11. júna 2020 (PDF)
- Návrh rozhodnutia írskej DPC (PDF)
- Príloha k návrhu rozhodnutia (PDF)
Súhlas s použitím údajov nie je "súhlas"? Právny argument spoločnosti Facebook je pomerne jednoduchý: Výkladom dohody medzi používateľom a spoločnosťou Facebook ako "zmluvy" (článok 6 ods. 1 písm. b) GDPR) namiesto "súhlasu" (článok 6 ods. 1 písm. a) GDPR) by sa na spoločnosť Facebook nevzťahovali prísne pravidlá týkajúce sa súhlasu podľa GDPR - čo znamená, že spoločnosť Facebook môže používať všetky údaje, ktoré má, pre všetky produkty, ktoré poskytuje, vrátane reklamy, online sledovania a podobne, bez toho, aby od používateľov žiadala slobodne udelený súhlas, ktorý by mohli kedykoľvek odvolať. K prechodu Facebooku zo "súhlasu" na "zmluvu" došlo 25. 5. 2018 o polnoci - presne vtedy, keď v EÚ nadobudlo účinnosť nariadenie GDPR.
Schrems: "Je bolestne zrejmé, že Facebook sa jednoducho snaží obísť jasné pravidlá GDPR tým, že dohodu o používaní údajov preznačí na "zmluvu". Ak by sa to prijalo, každá spoločnosť by mohla jednoducho zapísať spracovanie údajov do zmluvy a tým legalizovať akékoľvek použitie údajov zákazníkov bez súhlasu. To je absolútne proti zámerom nariadenia GDPR, ktoré výslovne zakazuje skrývať dohody o súhlase do obchodných podmienok"
Nezákonné už od rímskych čias. Už od rímskych čias zákon hovorí, že k dohodám sa musí pristupovať tak, ako skutočne sú (objektívne posúdenie), a nie ako k tomu, čo strany tvrdia, že je (formálne posúdenie).
Schrems:"Tvrdiť, že dohoda je niečím, čím nie je, nie je ani inovatívne, ani múdre, aby sa obišiel zákon. Od rímskych čias súdy takéto "preznačovanie" dohôd neakceptovali. Zákony o drogách nemôžete obísť tak, že na účet jednoducho napíšete 'biely prášok', keď jednoznačne predávate kokaín. Zdá sa, že na tento trik naletelo len írske DPC."
64 % používateľov Facebooku vidí "súhlas", ale DPC je na strane Facebooku. Na posúdenie skutočného významu dohody si noyb objednal u Gallupovho inštitútu objektívnu štúdiu: Z 1 000 používateľov Facebooku len 1,6 % videlo zmluvu nad reklamou (ako tvrdí Facebook), 64 % predpokladalo, že dohoda je "súhlas". Zvyšok si nebol istý právnym významom zmluvy.
Európski kolegovia DPC "jednoducho nepresvedčili". Na európskej úrovni vydali orgány na ochranu údajov (DPA) usmernenia, podľa ktorých je takéto "obchádzanie" GDPR nezákonné a musí sa považovať za súhlas. Írska DPC však uviedla, že ju názor európskych kolegov "jednoducho nepresvedčil".
Desať tajných stretnutí so spoločnosťou Facebook o "obchádzaní súhlasu". Prekvapivé rozhodnutie pravdepodobne vychádza z dohody medzi Facebookom a DPC z jari 2018, teda tesne pred tým, ako začalo platiť GDPR. Hoci DPC tvrdí, že by išlo o samostatný postup, návrh rozhodnutia sa odvoláva na (nezverejnenú) "špecifickú analýzu", ktorú DPC poskytol Facebooku. Spoločnosť Facebook sa na takúto dohodu rovnako odvolávala pred súdom v Rakúsku. Napriek viacerým žiadostiam o prístup k týmto spisom DPC odmieta zverejniť akékoľvek podrobnosti o svojich rokovaniach so spoločnosťou Facebook a kritikuoznačuje za "nepodloženú".
Schrems:"DPC vyvinula so spoločnosťou Facebook "obchvat GDPR", ktorému teraz ako regulačný orgán dáva zelenú. Namiesto regulačného orgánu vystupuje ako poradca pre "veľké technológie"."
pokuta 28 až 36 mil. eur za to, že používatelia neboli informovaní o tom, že sa pripravili o práva vyplývajúce z GDPR. Napriek tvrdeniu, že "obchádzanie súhlasu" je legálne, DPC aj tak udelil Facebooku pokutu za to, že nebol úplne transparentný, pokiaľ ide o právny základ spracovania údajov svojich používateľov. V súhrne teda DPC neplánuje prijať opatrenia v súvislosti s porušením, na ktoré upozornila sťažnosť, ale namiesto toho len navrhla, aby Facebook obchádzanie objasnil. Pokuta by predstavovala približne 0,048 % celosvetových príjmov spoločnosti Facebook, napriek tomu, že v nariadení GDPR je možnosť uložiť pokutu až do výšky 4 %.
Schrems:"DPC v podstate hovorí, že Facebook môže obchádzať GDPR, ale musí byť transparentnejší to. S týmto prístupom môže Facebook naďalej nezákonne spracúvať údaje, pridať riadok do zásad ochrany osobných údajov a zaplatiť len malú pokutu, zatiaľ čo DPC sa môže tváriť, že podnikol nejaké kroky."
Schrems: "Ruský postup". Aj samotný postup vyvoláva veľké obavy. DPC neustále odmieta prístup k rozhodujúcim dokumentom. Zatiaľ čo dPC vypracovala rozsiahly 96-stranový návrh rozhodnutia, vo veľkej miere "preformulovala" písomné podania používateľov alebo jednoducho ignorovala kľúčové časti podaní používateľov. V snahe objasniť priamo stanovisko sťažovateľa požiadala spoločnosť noyb o ústne vypočutie - čo DPC rovnako zamietla.
Schrems:"Máme prípady na mnohých úradoch, ale DPC ani zďaleka nevedie spravodlivé konanie. Dokumenty sa zadržiavajú, vypočutia sa odmietajú a predložené argumenty a fakty sa jednoducho neodrážajú v rozhodnutí. Samotné rozhodnutie je dlhé, ale väčšina častí sa končí len "názorom" DPC, nie objektívnym posúdením práva."
Prípad sa pravdepodobne dostane k EDPB. Návrh rozhodnutia bol teraz zaslaný ostatným európskym orgánom na ochranu údajov (OOÚ), ktoré môžu vzniesť námietky voči navrhovanému riešeniu írskeho DPC. Je veľmi pravdepodobné, že tento prípad sa potom dostane na Európsky výbor pre ochranu údajov (EDPB), kde môžu orgány na ochranu údajov zrušiť rozhodnutie írskeho DPC, podobne ako v nedávnom prípade týkajúcom sa aplikácie WhatsApp.
Schrems:"Naša nádej spočíva v ostatných európskych orgánoch. Ak nezakročia, spoločnosti môžu jednoducho presunúť súhlas do podmienok a tým GDPR nadobro obísť."
