druhé "adventné čítanie": Ako sa írska DPC snažila prelobovať "obídenie GDPR" Facebookom do európskych smerníc.
Tento týždeň uverejnil noyb v rámci svojho "adventného čítania" dve kolá dokumentov z dokumentov DPC a Facebooku: List spoločnosti Facebook írskemu DPC potvrdzuje, že DPC malo desať stretnutí so spoločnosťou Facebook, na ktorých diskutovali a dohodli sa na obchádzaní GDPR spoločnosťou Facebook. Z druhej série dokumentov vyplýva, že DPC sa pokúsil presadiť tento obchvat pre "sociálne médiá" do Usmernení Európskeho výboru pre ochranu údajov (EDPB), ale stretol sa s ostrou kritikou zo strany ostatných európskych orgánov na ochranu údajov (DPA), pričom sa až do konca stretol s poznámkami typu "Myslíme si, že tento výklad narúša systém a ducha GDPR" alebo"Tým sa GDPR znižuje na proforma nástroj." Pokus DPC zahrnúť obchádzanie GDPR do usmernení sa uskutočnil v čase, keď mal za úlohu byť nezávislým rozhodovacím orgánom v prebiehajúcom konaní o "obchádzaní GDPR" spoločnosťou Facebook.
Desať stretnutí medzi spoločnosťou Facebook a DPC. Ako sme už informovali, spoločnosť Facebook mala desať stretnutí s DPC o tom, ako pristupovať k nariadeniu GDPR. Na týchto stretnutiach sa nadnárodná spoločnosť a írsky regulačný orgán dohodli na"obídení GDPR", a to jednoduchým presunutím doložky o súhlase do podmienok Facebooku, pričom tvrdili, že sa tým obídu pravidlá GDPR týkajúce sa súhlasu podľa článku 6 ods. 1 písm. a) GDPR, ale namiesto toho sa uplatní článok 6 ods. 1 písm. b).
Navrhované usmernenia EDPB. Novoobjavené dokumenty idú ešte ďalej: . V roku 2018 írska DPC uviedla iniciatívu na úrovni EÚ a začala nový projekt v rámci "podskupiny pre kľúčové ustanovenia" EDPB týkajúci sa článku 6 ods. 1 písm. b) GDPR - presne toho ustanovenia, ktoré sa predtým dohodlo so spoločnosťou Facebook na použití ako obídenie GDPR. DPC viedol skupinu, ktorá mala svoje prvé zasadnutie v apríli 2018 - k skupine sa pripojili ďalšie európske orgány. Presný počet účastníkov nie je z dokumentov jasný. V októbri 2018 potom írska DPC zaslala list, v ktorom načrtla "prísny" a podľa slov DPC "slobodný prístup k zmluvám". Prístup "zmluvnej slobody" bol eufemizmom pre prístup, v rámci ktorého si prevádzkovatelia mohli do svojich podmienok napísať čokoľvek, a tým obísť GDPR. Výbor DPC navrhol návrh usmernení, ktoré boli zamerané na prechod k prístupu "obchádzania". Ten v podstate umožňoval spoločnostiam jednoducho zapísať do svojich zmluvných podmienok klauzulu, aby zber údajov bol "nevyhnutný" na uzavretie zmluvy, a tým obísť požiadavku súhlasu podľa GDPR.
Reakcia ostatných orgánov na ochranu údajov. Reakcie ostatných orgánov na ochranu údajov boli mimoriadne negatívne. Niektoré príklady zahŕňajú(A70):"Tzdá sa, že tento návrh akceptuje monetizáciu osobných údajov a obchádzanie iných právnych základov (pozri pripomienky uvedené vyššie). Myslíme si, že tento výklad narúša systém a ducha GDPR." alebo(A90): "Nesúhlasím. Tým sa GDPR redukuje na proforma nástroj." alebo (A103): "V rozporeso všetkým, v čo veríme (prepáčte, ale je to pravda), ako aj s predchádzajúcimi usmerneniami A29WP."
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
Úloha "sociálnych médií" v usmerneniach. Usmernenia sú všeobecnými usmerneniami pre akékoľvek priemyselné odvetvie, avšak návrh DPC sa opakovane zameriava na "sociálne siete" a "sociálne médiá", teda presne na priemyselné odvetvie, v ktorom má Facebook de facto monopol. Ostatné orgány na ochranu údajov si to vo svojich pripomienkach všímajú (A96):"Okrem toho sa zdá, že všetky príklady sa týkajú sociálnych sietí." alebo (A105): "Navrhujeme odstrániť tento príklad, pretože sa opäť týka sociálnych sietí." Ďalšie pripomienky výslovne napadli návrh DPC, že "sociálne médiá" by mohli jednoducho používať všetky údaje pre reklamu na základe zmluvy(A103):"Je možné poskytnúť účty sociálnych médií bez sledovania a profilovania? Áno, v skutočnosti je to možné. Preto sledovanie alebo profilovanie nie je potrebné na plnenie tejto zmluvy."
Rozpor s prebiehajúcou vecou? Je obzvlášť zaujímavé, že DPC predložil tieto návrhy, keď už regulačný orgán prejednával sťažnosť spoločnosti noyb týkajúcu sa obchádzania súhlasu spoločnosti Facebook. Namiesto toho, aby DPC zaujala neutrálne stanovisko, sa dokonca pokúsila lobovať za obchádzanie GDPR spoločnosťou Facebook na európskej úrovni.
Konečný výsledok. Podskupina dokončila projekt a zverejnila ich ako usmernenia EDPB 2/2019. Všetky odkazy na sociálne siete a možnosť obísť súhlas prostredníctvom údajnej "zmluvy" boli v rozpore s postojom DPC odstránené. Zdá sa, že DPC navrhla odložiť uverejnenie usmernení, ktoré sú v rozpore s ich dohodou so spoločnosťou Facebook, ale neuspela ani s odkladom (teraz veľmi nevýhodných) usmernení. Podľa portálu POLITICO bola DPC jediným orgánom DPC, ktorý hlasoval proti konečným usmerneniam.
Max Schrems, predseda noyb.eu:"Z dokumentov vyplýva jasný plán: Najprv sa írsky regulačný orgán dohodol na obchádzaní GDPR so spoločnosťou Facebook. Potom sa snaží tento obchvat pretlačiť do európskych usmernení. DPC zjavne nekoná v záujme ochrany údajov, ale v záujme amerických nadnárodných spoločností. Zvyčajne sú to lobisti Facebooku, ktorí sa snažia ovplyvniť usmernenia v záujme svojho priemyselného odvetvia, tu sa regulačný orgán zmenil na lobistu."
Právny stav dokumentov: Úrad pre reguláciu elektronických komunikácií a poštových služieb (Ú. v. EÚ L 149, 30.6.2012, s. 1). Dokumenty EDPB poskytol na základe pravidiel EÚ o slobodnom prístupe k informáciám. List spoločnosti Facebook bol poskytnutý podľa § 17 rakúskeho správneho zákona (AVG), a preto nebol považovaný za dôverný - napriek tomu, že bol označený pečiatkou "prísne dôverné" a požiadavke spoločnosti Facebook, že DPC nesmie dokumenty zdieľať.
Všetky dokumenty: Nižšie nájdete všetky dokumenty, ktoré sme zverejnili k tomuto adventnému čítaniu. Dôrazne odporúčame najprv si prečítať aj náš prehľad, pretože návrh dokumentu je pri prvom čítaní mierne mätúci. Pripomienka A89R88 je obzvlášť dôležitá, pretože nebola začiernená a píše sa v nej "Írska DPC sa obáva, že...", čo dokazuje, že DPC je autorom týchto reakcií. Potvrdili sme to prostredníctvom ďalších zdrojov a digitálnych fragmentov v dokumentoch. DPC na žiadosť o vyjadrenie nereagovalo, ale ani nepoprelo autorstvo.
Poznámka: V prípade dokumentov EDPB je potrebné poznamenať, že mená jednotlivých DPA boli odstránené. Pripomienky však majú zvyčajne číslo začínajúce sa písmenom "A" (napríklad "A88") reakcie írskeho DPC na tieto pripomienky majú zvyčajne v čísle písmeno "R", ktoré označuje, na ktorú pripomienku je táto reakcia reakciou ("A89R88" je teda pripomienka 89, ale aj reakcia na A88"). Na stranách s príliš veľkým počtom pripomienok sa tieto pripomienky nachádzajú na posledných stranách dokumentu pod príslušným číslom začínajúcim písmenom "A".
