noybs andra "adventsläsning": Hur irländska DPC försökte lobba in Facebooks "GDPR-bypass" i europeiska riktlinjer.
Den här veckan publicerade noyb två omgångar dokument som en del av deras "Advent Readings" från DPC och Facebook-dokument: Ett brev från Facebook till den irländska dataskyddsmyndigheten bekräftar att dataskyddsmyndigheten hade tio möten med Facebook där de diskuterade och kom överens om Facebooks GDPR-bypass. Den andra omgången dokument visar att dataskyddsmyndigheten försökte driva in detta kringgående av "sociala medier" i Europeiska dataskyddsstyrelsens riktlinjer, men möttes av hård kritik från andra europeiska dataskyddsmyndigheter, som gick hela vägen med kommentarer som "Vi anser att denna tolkning undergräver systemet och andan i GDPR" eller"Detta reducerar GDPR till ett proformainstrument." DPC:s försök att inkludera GDPR-bypasset i riktlinjerna skedde samtidigt som man hade i uppdrag att vara en oberoende beslutsfattare i ett pågående ärende om Facebooks "GDPR-bypass".
Tio möten mellan Facebook och Datainspektionen. Som tidigare rapporterats hade Facebook tio möten med Datainspektionen om hur man ska förhålla sig till GDPR. Under dessa möten har det multinationella företaget och den irländska tillsynsmyndigheten kommit överens om ett"GDPR-bypass", genom att helt enkelt flytta samtyckesklausulen till Facebooks allmänna villkor, och hävdat att detta skulle kringgå GDPR:s samtyckesregler enligt artikel 6.1 a i GDPR, men istället göra artikel 6.1 b tillämplig.
De föreslagna EDPB-riktlinjerna. De nyupptäckta dokumenten går ännu längre: År 2018 tog den irländska dataskyddsmyndigheten ett initiativ på EU-nivå och startade ett nytt projekt i EDPB:s "Key Provisions Subgroup" om artikel 6.1 b i GDPR - exakt den bestämmelse som den tidigare har kommit överens med Facebook om att använda som ett GDPR-bypass. Datainspektionen ledde gruppen som hade sitt första möte i april 2018 - andra europeiska myndigheter anslöt sig till gruppen. De exakta deltagarna framgår inte av dokumenten. I oktober 2018 skickade den irländska dataskyddsmyndigheten ett brev där man redogjorde för en "strikt" och en, som dataskyddsmyndigheten kallade det, "avtalsfri" strategi. "Avtalsfrihet" var en eufemism för ett synsätt där personuppgiftsansvariga kunde skriva in vad som helst i sina villkor och därmed kringgå GDPR. DPC föreslog utkast till riktlinjer som syftade till att gå mot "bypass"-metoden. Detta innebar i princip att företag bara kunde skriva in en klausul i sina villkor för att göra datainsamlingen "nödvändig" för ett avtal och därmed kringgå samtyckeskravet enligt GDPR.
Reaktionen från andra dataskyddsmyndigheter. Reaktionerna från andra dataskyddsmyndigheter var extremt negativa. Några exempel inkluderar(A70):"Tet verkar som om man accepterar att tjäna pengar på personuppgifter och kringgå de andra rättsliga grunderna (se kommentarerna ovan). Vi anser att denna tolkning undergräver systemet och andan i GDPR." eller(A90): "Instämmer inte. Detta reducerar dataskyddsförordningen till ett proformainstrument." eller (A103): "I strid med allt vi tror på (ledsen, men det är sant), liksom tidigare A29WP-vägledning."
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
"Sociala mediers" roll i riktlinjerna. Riktlinjerna är allmänna riktlinjer för alla industrisektorer, men DPC:s förslag fokuserar upprepade gånger på "sociala nätverk" och "sociala medier", dvs. exakt den industrisektor där Facebook har ett de facto-monopol. Andra dataskyddsmyndigheter noterar detta i sina kommentarer (A96):"Dessutom verkar alla exempel relatera till sociala nätverk." eller (A105) "Vi föreslår att detta exempel tas bort, eftersom det återigen hänvisar till sociala medier." Andra kommentarer angrep uttryckligen DPC:s förslag att "sociala medier" bara skulle kunna använda all data för annonsering enligt ett avtal(A103):"Är det möjligt att tillhandahålla konton för sociala medier utan spårning och profilering? Ja, det är det faktiskt. Därför är spårning eller profilering inte nödvändigt för att fullgöra det avtalet."
Konflikt med pågående mål? Det är särskilt intressant att DPC har lagt fram dessa förslag när ett klagomål från noyb om Facebooks bypass för samtycke redan var under behandling hos tillsynsmyndigheten. Istället för att inta en neutral hållning har DPC till och med försökt lobba för Facebooks GDPR-bypass på europeisk nivå.
Slutresultatet. Undergruppen har avslutat projektet och publicerat dem som EDPB Guidelines 2/2019. Alla hänvisningar till sociala nätverk och möjligheten att kringgå samtycke via ett påstått "kontrakt" togs bort, i strid med DPC:s ståndpunkt. DPC verkar ha föreslagit att man skulle skjuta upp publiceringen av de riktlinjer som strider mot deras avtal med Facebook, men lyckades inte heller skjuta upp de (nu mycket ofördelaktiga) riktlinjerna. Enligt POLITICO var DPC den enda DPA som röstade emot de slutliga riktlinjerna.
Max Schrems, ordförande för noyb.eu:"Dokumenten visar på en tydlig plan: Först kom den irländska tillsynsmyndigheten överens med Facebook om ett GDPR-bypass. Sedan försöker man pressa in detta kringgående i de europeiska riktlinjerna. DPC agerar uppenbarligen inte i dataskyddets intresse, utan i de amerikanska multinationella företagens intresse. Vanligtvis är det Facebooks lobbyister som försöker påverka riktlinjerna i sin branschs intresse, men här har tillsynsmyndigheten förvandlats till en lobbyist."
Dokumentens rättsliga status. EDPB:s dokument tillhandahölls av EDPB i enlighet med EU:s regler om informationsfrihet. Brevet från Facebook tillhandahölls enligt § 17 i den österrikiska förvaltningslagen (AVG) och ansågs därför inte vara konfidentiellt - trots att det var stämplat som "strikt konfidentiellt" och Facebooks krav på att DPC inte fick dela dokumenten.
Alla dokument: Nedan hittar du alla dokument som vi publicerade i samband med denna adventsläsning. Vi rekommenderar starkt att du också läser vår översikt först, eftersom utkastet till dokument är något förvirrande när det läses första gången. Kommentar A89R88 är särskilt relevant, eftersom den inte var svärtad och säger "The Irish DPC is concerned that...", vilket visar att DPC är författaren till dessa reaktioner. Vi har bekräftat detta via ytterligare källor och digitala fragment i dokumenten. DPC reagerade inte när vi bad om en kommentar, men förnekade inte heller författarskapet.
Notera: För EDPB-dokumenten bör det noteras att namnen på enskilda dataskyddsmyndigheter har tagits bort. Kommentarer har dock vanligen ett nummer som börjar med "A" (t.ex. "A88"). Det irländska dataskyddskontorets reaktioner på dessa kommentarer har vanligen ett "R" i numret, vilket anger vilken kommentar som är en reaktion på kommentaren efter numret ("A89R88" är alltså kommentar 89, men också en reaktion på A88"). På sidor med för många kommentarer finns kommentarerna på dokumentets sista sidor, under det relevanta numret som börjar med "A".
