Bara några timmar efter att den nya dataskyddsförordningen GDPR trädde i kraft den 25 maj 2018 meddelade den europeiska ideella organisationen noyb.eu in tre klagomål mot Facebook Group (inklusive WhatsApp och Instagram). Sedan dess har Irländska dataskyddskommissionen (DPC) förklarat innehållet i det extremt långsamma förfarandet som "konfidentiellt" och bett noyb. eu att inte diskutera det offentligt.
Trots denna påstådda (och juridiskt icke-bindande) sekretess publicerade noyb. eu idag ett öppet brev (PDF) som avslöjar hur GDPR (inte) har verkställts två år efter att den blev tillämplig. Även under det kafkaartade förfarande som beskrivs i brevet och nedan kan Facebook-koncernen fortfarande tvingas betala böter på upp till 2,5 miljarder euro om DPC följer sin interna utredningsrapport.
- Ladda ner det öppna brevet (PDF) här
- Ladda ner noybs tyska inlagor från september 2019 här
- Ladda ner den engelska översättningen av noybs inlagor från september 2019 här
- Ladda ner Gallup-studien om användarnas syn på "bypass av samtycke" här
Hemliga möten om "bypassav samtycke" mellan DPC och Facebook. Det öppna brevet avslöjar för första gången att den irländska dataskyddsmyndigheten och Facebook-gruppen (inklusive WhatsApp och Instagram) hade tio hemliga möten innan GDPR började tillämpas 2018. Under dessa möten hävdar Facebook att de hade "ett detaljerat direkt engagemang med kommissionen innan implementeringen " av en uppenbar "samtyckesbypass" (detaljer nedan) för att kringgå GDPR:s strikta samtyckesregler. Trots att Facebook förlitade sig på dessa möten i sina inlagor och betonade att dokumenten var "föremål för övervägande" av DPC, vägrar myndigheten att ge tillgång till några protokoll från dessa hemliga möten, inklusive en vitbok som Facebook lämnat in.
Max Schrems, ordförande för noyb.eu: "Det låter ungefär som de hemliga 'tax rulings' där skattemyndigheter i hemlighet kommer överens med stora teknikföretag om hur de ska kringgå skattelagstiftningen - bara det att de nu gör det med GDPR också."
Facebooks olagliga "bypass av samtycke". I de förfaranden som utlöstes av tre klagomål från noyb.eu för två år sedan (inom de första timmarna efter det att GDPR började tillämpas) erkänner Facebook-koncernen öppet att man helt enkelt gått över från det starkt reglerade "samtycket" till ett påstått "dataanvändningsavtal". Enligt detta avtal är Facebook skyldigt att spåra, rikta in sig på och bedriva forskning om sina användare. Enligt Facebook skedde detta byte vid midnatt när GDPR började gälla. En sådan (ömsesidig) omformulering av ett avtal (i detta fall från samtycke till avtal) för att kringgå lagen kallas simulatio och är ogiltig.
Max Schrems: "Det är inget annat än läppstift på en gris. Sedan romartiden har lagen förbjudit att 'döpa om' något bara för att kringgå lagen. Det som Facebook försökte göra är inte smart, utan skrattretande. Det enda som verkligen är oroande är att den irländska DPC uppenbarligen samarbetade med Facebook när de utformade denna bluff och nu ska granska den oberoende."
I en studie genomförd av Gallup Institute om "samtyckesbypass" anser 64% av 1.000 användare att de gett sitt samtycke, trots Facebooks påståenden om motsatsen. Beroende på frågan var det bara 1,6-2,5% som trodde att de faktiskt ingått ett "dataanvändningsavtal" som innebär att Facebook är skyldigt att använda deras uppgifter för reklam eller forskning. Resten trodde att det bara var information, ett avtal utan sådana skyldigheter eller kunde inte se någon mening med sidan.
Max Schrems: "I princip ingen av de 1.000 användare som vi har frågat tror att de har undertecknat ett sådant påstått "dataanvändningsavtal"med Facebook."
DPC begränsar den juridiska analysen av "dataanvändningsavtalet" till Oxford English Dictionary. En anledning till att DPC inte kunde finna något problem med det påstådda "databehandlingsavtalet" som Facebook åberopar är att DPC helt enkelt beslutade att analysen av ett sådant avtal ligger utanför dess befogenheter ("ultra vires"). Istället för att analysera avtalet enligt tillämplig lag har DPC i sina rapporter bokstavligen citerat definitionen av ett "avtal" från Oxford English Dictionary.
Schrems: "På juristutbildningen lär man sig att läsa lagböcker för juridiska frågor, inte ett lexikon. Det verkar som om detta var en vinnande teknik i århundraden. Det är uppenbart att DPC försöker att inte granska Facebooks påstådda 'dataanvändningsavtal'."
DPC firar att man slutfört 1 av 6 steg på två år? I ett offentligt uttalande sent förra fredagen, nämnde DPC överraskande de tre förfaranden som utlöstes av noyb.eu som exempel på stora framsteg i DPC: s arbete. Detta trots att det tog DPC två år att slutföra 1 av 6 steg i sitt förfarande om WhatsApp och Instagram, och 2 av 6 steg om Facebook (se översiktstabell). Med tanke på att Datainspektionen rapporterade 7 125 klagomål bara under 2019 och noll GDPR-böter mot någon privat aktör är detta knappast någon prestation.
Max Schrems: "Det är ett slag i ansiktet på cirka 10 000 klagande om DPC lyfter fram det första av sex steg i två fall efter två år som en prestation."
Även plagiering av egen rapport tog DPC 10 månader. Den stolthet som DPC kände över att leverera två utkast till rapporter (steg 1 av 6) på WhatsApp och Instagram förra veckan verkade ännu mer groteskt när noyb.eu insåg att dessa rapporter överlappar 76 till 82% med Facebook-rapporten 2019 (skärmdump).
Max Schrems: "Vi körde de utkast till rapporter på Instagram och WhatsApp som DPC stolt lyfte fram förra veckan genom en programvara för att identifiera plagiering och hade ett gott skratt: 76% respektive 82% var identiska med ett utkast till rapport från förra året på Facebook. Det verkar som om det tog dem mer än 10 månader att bara kopiera och klistra in ett utkast till rapport."
DPC-rapport ser en överträdelse av GDPR:s transparensregler. Böter kan uppgå till miljarder. Även om Datainspektionen avstod från att granska lagligheten i Facebooks "samtyckesbypass", visar en intern utredningsrapport ändå att det skett en överträdelse av GDPR:s transparenskrav i artikel 5 i GDPR genom att användare av Facebook, WhatsApp och Instagram inte informerats tillräckligt om den rättsliga grunden för att använda deras uppgifter. Om DPC i slutändan håller fast vid denna uppfattning måste de utfärda ett "effektivt, proportionerligt och avskräckande" bötesbelopp på upp till 4 % av Facebooks årliga intäkter (upp till 2,5 miljarder euro eller 2,83 miljarder US-dollar).
Max Schrems: "I grund och botten gick DPC:s utredning ut på att Facebook kan lura användarna så länge de är mer transparenta med det. Detta skulle ändå innebära att Facebook, Instagram och WhatsApp har behandlat uppgifter om alla europeiska användare i strid med GDPR. Även om dataskyddsmyndigheten bara finner denna mer begränsade överträdelse kan böterna uppgå till upp till 2,5 miljarder euro."
Europeiska kommissionen och dataskyddsmyndigheterna måste vidta åtgärder. I det öppna brevet uppmanar noyb.eu också EU-kommissionen att vidta åtgärder mot Irland. Med cirka 10.000 klagomål på två år och inga böter alls mot privata aktörer är det uppenbart att Irland inte implementerar EU-lagstiftningen på ett effektivt sätt.
I det öppna brevet uppmanas även andra europeiska dataskyddsmyndigheter att vidta åtgärder när kollegor vägrar att göra sitt jobb. Även om GDPR tyvärr ofta saknar tydliga tidsfrister, tillåter den att dataskyddsmyndigheter begär att kollegor ska vidta vissa åtgärder eller att ett "brådskande förfarande" inleds om en annan dataskyddsmyndighet är inaktiv.
Schrems: "Många dataskyddsmyndigheter är frustrerade över situationer som den på Irland, men det räcker inte att bara påtala dem. De måste också använda de verktyg som GDPR föreskriver. Vi har till exempel gjort sådana ansökningar till den österrikiska dataskyddsmyndigheten nu."
För att underlätta detta arbete har noyb.eu skickat alla relevanta dokument om de pågående förfarandena till de andra europeiska dataskyddsmyndigheterna, trots att den irländska dataskyddsmyndigheten uttryckligen har insisterat på att noyb.eu inte får lämna ut dessa dokument till sina kollegor.
Bakgrund om noyb .eu. noyb.eu är en europeisk ideell dataskyddsorganisation som försöker säkerställa att GDPR efterlevs. noyb . eu finansieras av mer än 3 200 stödjande medlemmar. I noyb. eu:s team på 15 personer ingår GDPR-jurister och teknikexperter från olika EU-länder. Hittills har noyb. eu lämnat in mer än 20 GDPR-klagomål i olika frågor och mot företag som Amazon, Apple, Google, Facebook, DAZN, SoundCloud och Netflix.
