Irländska DPC ger klartecken till Facebooks "GDPR-bypass". Schrems: "Beslutet undergräver en viktig del av GDPR."
Den irländska dataskyddsmyndigheten (DPC) har skickat ett "utkast till beslut" (PDF) till de övriga europeiska dataskyddsmyndigheterna om Facebooks juridiska knep för att kringgå GDPR. noyb har publicerat de relevanta dokumenten idag.
Enligt DPC:s uppfattning kan Facebook helt enkelt välja att inkludera avtalet om databehandling i ett "avtal", vilket skulle göra att GDPR:s krav på "samtycke" inte längre gäller. Myndigheten föreslår dock en sanktionsavgift på 28-36 miljoner euro eftersom Facebook borde ha varit mer transparent om denna förbikoppling.
- noybs klagomål av den 25 maj 2018 (PDF)
- noybs inlagor av den 9 september 2019 (PDF)
- noybs inlagor av den 11 juni 2020 (PDF)
- Utkast till beslut av den irländska DPC (PDF)
- Bilaga till utkastet till beslut (PDF)
Avtal om att använda data är inte "samtycke"? Facebooks juridiska argument är ganska enkelt: Genom att tolka avtalet mellan användaren och Facebook som ett "avtal" (artikel 6.1 b i GDPR) i stället för "samtycke" (artikel 6.1 a i GDPR) skulle de strikta reglerna om samtycke enligt GDPR inte gälla för Facebook - vilket innebär att Facebook kan använda alla uppgifter som företaget har för alla produkter som det tillhandahåller, inklusive annonsering, spårning online och liknande, utan att be användarna om ett frivilligt samtycke som de kan dra tillbaka när som helst. Facebooks övergång från "samtycke" till "avtal" skedde den 25.5.2018 vid midnatt - exakt när GDPR trädde i kraft i EU.
Schrems: "Det är smärtsamt uppenbart att Facebook helt enkelt försöker kringgå de tydliga reglerna i GDPR genom att ommärka avtalet om dataanvändning som ett "avtal". Om detta skulle accepteras skulle vilket företag som helst kunna skriva in databehandlingen i ett avtal och därmed legitimera all användning av kunddata utan samtycke. Detta är helt i strid med GDPR:s intentioner, som uttryckligen förbjuder att dölja samtyckesavtal i villkor och bestämmelser."
Olagligt sedan romartiden. Sedan romartiden säger lagen att avtal ska behandlas som vad de faktiskt är (objektiv bedömning), inte som vad parterna påstår att de är (formell bedömning).
Schrems:"Det är varken innovativt eller smart att hävda att ett avtal är något som det inte är för att kringgå lagen. Sedan romartiden har domstolarna inte accepterat en sådan 'ommärkning' av avtal. Man kan inte kringgå narkotikalagstiftningen genom att helt enkelt skriva "vitt pulver" på en faktura, när man uppenbarligen säljer kokain. Det ärbara irländska DPC som verkar gå på det här tricket."
64% av Facebook-användarna ser "samtycke", men DPC ställer sig på Facebooks sida. För att bedöma avtalets verkliga innebörd har noyb låtit Gallup Institute genomföra en objektiv studie: Av 1.000 Facebook-användare såg endast 1,6% ett avtal om annonsering (som hävdades av Facebook), 64% antog att avtalet var ett "samtycke". Resten var osäkra på avtalets juridiska innebörd.
DPC var "helt enkelt inte övertygad" av sina europeiska kollegor. På europeisk nivå har dataskyddsmyndigheterna utfärdat riktlinjer om att ett sådant "kringgående" av GDPR är olagligt och måste behandlas som ett samtycke. Den irländska dataskyddsmyndigheten sade dock att hon "helt enkelt inte är övertygad" av sina europeiska kollegors uppfattning.
Tio hemliga möten med Facebook om "bypass av samtycke". Det överraskande utslaget baseras sannolikt på ett avtal mellan Facebook och DPC från våren 2018, strax innan GDPR började gälla. Datainspektionen hävdar att detta skulle ha varit ett separat förfarande, men i utkastet till beslut hänvisas till en (hemlig) "specifik analys" som Datainspektionen tillhandahöll Facebook. Facebook åberopade också ett sådant avtal inför en domstol i Österrike. Trots flera förfrågningar om att få tillgång till dessa filer vägrar DPC att avslöja några detaljer om sina mellanhavanden med Facebook och kallar kritiken "ogrundad".
Schrems:"DPC utvecklade "GDPR-bypasset" med Facebook, som det nu ger grönt ljus för som tillsynsmyndighet. Istället för att vara en tillsynsmyndighet agerar man som en rådgivare för "big tech"."
28-36 miljoner euro i böter för att inte ha berättat för användarna att de blir av med sina GDPR-rättigheter. Trots att Datainspektionen hävdade att "samtyckesbypasset" är lagligt utfärdade man ändå böter till Facebook för att inte ha varit helt transparent med den rättsliga grunden för behandlingen av användardata. Sammanfattningsvis planerar DPC därför inte att vidta åtgärder mot den överträdelse som klagomålet gäller, utan föreslår istället bara att Facebook ska göra förbikopplingen tydligare. Straffet skulle uppgå till cirka 0,048% av Facebooks globala intäkter, trots möjligheten till straffavgifter på upp till 4% i GDPR.
Schrems:"I grund och botten säger DPC att Facebook kan kringgå GDPR, men att de måste vara mer transparenta om den. Med detta tillvägagångssätt kan Facebook fortsätta att behandla uppgifter olagligt, lägga till en rad i integritetspolicyn och bara betala en liten bot, medan DPC kan låtsas att de vidtog några åtgärder."
Schrems: "Ryskt förfarande". Själva förfarandet ger också anledning till stor oro. DPC nekar kontinuerligt tillgång till viktiga dokument. Medan dPC producerade ett massivt 96-sidigt utkast till beslut, "omformulerade" det till stor del användarnas skriftliga inlagor eller ignorerade helt enkelt viktiga delar av användarnas inlagor. I ett försök att klargöra den klagandes ståndpunkt direkt har noyb ansökt om en muntlig utfrågning - vilket också nekades av DPC.
Schrems:"Vi har ärenden hos många myndigheter, men DPC driver inte ens på långt när ett rättvist förfarande. Dokument undanhålls, utfrågningar nekas och inlämnade argument och fakta återspeglas helt enkelt inte i beslutet. Själva beslutet är långt, men de flesta avsnitt slutar bara med en "åsikt" från DPC, inte en objektiv bedömning av lagen."
Ärendet kommer sannolikt att nå EDPB. Utkastet till beslut har nu skickats till de övriga europeiska dataskyddsmyndigheterna, som kan invända mot den irländska dataskyddsmyndighetens förslag till lösning. Det är mycket troligt att detta ärende sedan kommer att nå Europeiska dataskyddsstyrelsen (EDPB) där dataskyddsmyndigheterna kan upphäva den irländska dataskyddsmyndigheten, precis som i ett nyligen avslutat ärende om WhatsApp.
Schrems:"Vårt hopp står till de andra europeiska myndigheterna. Om de inte vidtar åtgärder kan företagen helt enkelt flytta samtycket till villkor och därmed kringgå GDPR för gott."
