V priebehu niekoľkých hodín po tom, ako 25. mája 2018 začalo platiť nové nariadenie GDPR, európska nezisková organizácia noyb.eu podala tri sťažnosti proti skupine Facebook (vrátane WhatsApp a Instagram). Odvtedy sa Írska komisia pre ochranu údajov (DPC) vyhlásila obsah mimoriadne pomalého konania za "dôverný" a požiadala organizáciu noyb.eu, aby o ňom verejne nehovorila.
Napriek tejto údajnej (a právne nezáväznej) dôvernosti dnes noyb.eu zverejnil Otvorený list (PDF), ktorý odhaľuje, ako sa GDPR (ne)presadzuje dva roky po tom, ako sa začalo uplatňovať. Dokonca aj v rámci kafkovského postupu opísaného v liste a nižšie môže skupina Facebook v budúcnosti čeliť pokute až do výšky 2,5 miliardy EUR, ak sa bude DPC riadiť svojou internou vyšetrovacou správou.
- Otvorený list (PDF) si môžete stiahnuť tu
- Nemecké podania noyb od septembra 2019 na stiahnutie tu
- Stiahnite si anglický preklad podaní spoločnosti noyb zo septembra 2019 tu
- Stiahnite si Gallupovu štúdiu o názoroch používateľov na "obchádzanie súhlasu" tu
Tajné stretnutia o "obchádzaní súhlasu" medzi DPC a Facebookom. Otvorený list po prvýkrát odhaľuje, že írska DPC a skupina Facebook (vrátane WhatsApp a Instagram) mali desať tajných stretnutí pred tým, ako sa v roku 2018 začalo uplatňovať nariadenie GDPR. Spoločnosť Facebook tvrdí, že na týchto stretnutiach mala "podrobnú priamu spoluprácu s Komisiou pred zavedením" zjavného "obchádzania súhlasu" (podrobnosti nižšie) s cieľom obísť prísne pravidlá GDPR týkajúce sa súhlasu. Napriek tomu, že spoločnosť Facebook sa vo svojich podaniach odvolávala na tieto stretnutia a zdôraznila, že dokumenty boli "predmetom posúdenia" zo strany DPC, orgán odmieta prístup k akýmkoľvek záznamom z týchto tajných stretnutí vrátane bielej knihy predloženej spoločnosťou Facebook.
Max Schrems, predseda noyb.eu: "Znie to veľmi podobne ako tie tajné "daňové rozhodnutia", v ktorých sa daňové úrady tajne dohodnú s veľkými technologickými spoločnosťami na tom, ako obísť daňové zákony - lenže teraz to robia aj s GDPR."
Nezákonné "obchádzanie súhlasu" spoločnosťou Facebook. V konaniach, ktoré sa začali na základe troch sťažností podaných port álom noyb.eu pred dvoma rokmi (v prvých hodinách po nadobudnutí účinnosti nariadenia GDPR), skupina Facebook otvorene priznáva, že jednoducho prešla z prísne regulovaného "súhlasu" na údajnú "zmluvu o používaní údajov". Táto zmluva údajne zaväzuje spoločnosť Facebook sledovať svojich používateľov, zameriavať sa na nich a vykonávať na nich výskum. Podľa spoločnosti Facebook sa tento prechod uskutočnil úderom polnoci, keď začalo platiť nariadenie GDPR. Takéto (vzájomné) preformulovanie dohody (v tomto prípade zo súhlasu na zmluvu) s cieľom obísť zákon sa nazýva simulatio a je neplatné.
Max Schrems: "Nie je to nič iné ako rúž na prasiatku. Od rímskych čias zákon zakazuje 'premenovať' niečo len preto, aby sa obišiel zákon. To, čo sa Facebook pokúsil urobiť, nie je inteligentné, ale smiešne. Jediná vec, ktorá je skutočne znepokojujúca, je, že írska DPC sa zrejme zapojila do spolupráce so spoločnosťou Facebook, keď navrhovala tento podvod, a teraz ho má nezávisle preskúmať."
V štúdii o "obchádzaní súhlasu", ktorú uskutočnil Gallupov inštitút, sa 64 % z 1 000 používateľov domnieva, že súhlas dali, napriek tomu, že Facebook tvrdí opak. V závislosti od otázky si len 1,6 - 2,5 % respondentov myslelo, že skutočne uzavreli "zmluvu o používaní údajov", ktorá zahŕňa povinnosť Facebooku používať ich údaje na reklamu alebo výskum. Zvyšok si myslel, že ide len o informáciu, zmluvu bez takýchto povinností alebo v nej nevidel žiadny význam.
Max Schrems: "V podstate nikto z 1 000 používateľov, ktorých sme sa opýtali, si nemyslí, že by so spoločnosťou Facebook podpísal takúto údajnú "zmluvu o používaní údajov"."
DPC obmedzuje právnu analýzu "zmluvy o používaní údajov" na Oxfordský slovník angličtiny. Jedným z dôvodov, prečo DPC nedokázala nájsť žiadny problém s údajnou "zmluvou o používaní údajov", na ktorú sa Facebook odvoláva, je, že DPC jednoducho rozhodla, že analýza takejto zmluvy je mimo jej právomocí ("ultra vires"). Namiesto analýzy zmluvy podľa platného práva DPC vo svojich správach doslova citovala definíciu "zmluvy" z Oxfordského slovníka angličtiny.
Schrems: "Na právnickej fakulte sa učíte čítať právne knihy pre právne otázky, nie slovník. Zdá sa, že to bola po stáročia víťazná technika. Je zrejmé, že DPC sa snaží nepreskúmať údajnú "zmluvu o používaní údajov" spoločnosti Facebook."
DPC oslavuje dokončenie 1 zo 6 krokov za dva roky? Vo verejnom vyhlásení z konca minulého piatka, dPC prekvapivo označila tri konania, ktoré spustil portál noyb.eu, za príklady veľkého pokroku v práci DPC. A to napriek tomu, že DPC trvalo dva roky, kým dokončila 1 zo 6 krokov svojho postupu v prípade WhatsApp a Instagram a 2 zo 6 krokov v prípade Facebooku (pozri prehľadovú tabuľku). Vzhľadom na to, že DPC len v roku 2019 zaznamenala 7 125 sťažností a nulové pokuty podľa GDPR voči žiadnemu súkromnému subjektu, je to sotva úspech.
Max Schrems: "Je to facka do tváre približne 10 000 sťažovateľov, ak DPC po dvoch rokoch vyzdvihuje ako úspech prvý zo šiestich krokov v dvoch prípadoch."
Dokonca aj plagiátorstvo vlastnej správy trvalo DPC 10 mesiacov. Pýcha, s akou DPC minulý týždeň doručila dva návrhy správ (1. krok zo 6) na WhatsApp a Instagram, sa zdala ešte grotesknejšia, keď si noyb.eu uvedomil, že tieto správy sa na 76 až 82 % prekrývajú so správou Facebooku z roku 2019 (screenshot).
Max Schrems: "Návrhy správ na Instagram a WhatsApp, na ktoré DPC minulý týždeň hrdo upozornila, sme prehnali softvérom na identifikáciu plagiátov a dobre sme sa zasmiali: 76 % a 82 % bolo identických s návrhom správy z minulého roka na Facebooku. Zdá sa, že aj len rozsiahle kopírovanie a vkladanie návrhu správy im trvalo viac ako 10 mesiacov."
Správa DPC vidí porušenie pravidiel transparentnosti GDPR. Pokuta by mohla dosiahnuť miliardy. Hoci sa DPC bránila preskúmaniu zákonnosti "obchádzania súhlasu" spoločnosťou Facebook, správa z interného vyšetrovania napriek tomu konštatuje porušenie požiadaviek na transparentnosť GDPR v článku 5 GDPR tým, že používatelia služieb Facebook, WhatsApp a Instagram neboli dostatočne informovaní o právnom základe používania ich údajov. Ak sa Komisia pre ochranu údajov nakoniec pridrží tohto názoru, bude musieť udeliť "účinnú, primeranú a odrádzajúcu"pokutu až do výšky 4 % ročných príjmov spoločnosti Facebook (do 2,5 miliardy EUR alebo 2,83 miliardy USD).
Max Schrems: "Vyšetrovanie DPC v podstate zaujalo stanovisko, že Facebook môže vykašľať na používateľov, pokiaľ je v tomto smere transparentnejší. To by však znamenalo, že Facebook, Instagram a WhatsApp spracovali údaje všetkých európskych používateľov v rozpore s GDPR. Aj keby DPC zistila len toto obmedzenejšie porušenie, pokuta by mohla dosiahnuť až 2,5 miliardy eur."
Európska komisia a orgány na ochranu údajov musia konať. V otvorenom liste noyb.eu tiež vyzýva Európsku komisiu, aby prijala opatrenia voči Írsku. Pri približne 10 000 sťažnostiach za dva roky a vôbec žiadnych pokutách voči súkromným subjektom je zrejmé, že Írsko účinne neuplatňuje právo EÚ.
Otvorený list vyzýva aj ostatné európske orgány na ochranu údajov (DPA), aby prijali opatrenia, keď ich kolegovia odmietajú vykonávať svoju prácu. Hoci v nariadení GDPR, žiaľ, často chýbajú jasné lehoty, umožňuje, aby orgány na ochranu údajov požiadali kolegov o prijatie určitých opatrení alebo aby začali "naliehavé konanie", ak je iný orgán na ochranu údajov nečinný.
Schrems: "Mnohí DPA sú frustrovaní zo situácií, ako je tá v Írsku, ale iba ich vyzývanie nestačí. Musia využívať aj nástroje, ktoré GDPR predpokladá. Takéto žiadosti sme napríklad teraz podali rakúskemu orgánu DPA."
S cieľom pomôcť tomuto úsiliu zaslal noyb.eu všetky relevantné dokumenty o prebiehajúcich konaniach ostatným európskym orgánom na ochranu údajov napriek tomu, že írsky orgán na ochranu údajov výslovne trval na tom, že noyb.eu nesmie tieto dokumenty poskytnúť svojim kolegom.
Základné informácie o noyb.eu. noyb.eu je európska nezisková organizácia na ochranu údajov, ktorá sa snaží zabezpečiť presadzovanie GDPR. noyb.eu financuje viac ako 3 200 podporujúcich členov. V 15-člennom tíme noyb. eu pracujú právnici a technickí experti na GDPR z rôznych členských štátov EÚ. Doteraz noyb.eu podala viac ako 20 sťažností na GDPR v rôznych záležitostiach a proti spoločnostiam ako Amazon, Apple, Google, Facebook, DAZN, SoundCloud a Netflix.
