noybs tredje "Adventsläsning": Facebooks skrattretande register över bearbetningsaktiviteter (ROPA)
I sin tredje "Adventsläsning" (i protest mot att DPC olagligen tagit bort noyb från ett pågående förfarande) publicerar noyb Facebooks viktigaste GDPR-efterlevnadsdokument: Facebooks "Register över behandlingsaktiviteter" enligt artikel 30 i GDPR (kort: "ROPA"). Ett sådant lagstadgat dokument borde göra det möjligt att enkelt bedöma Facebooks efterlevnad av GDPR, men i själva verket har det bara skrattretande fyra sidor. Vanligtvis har sådana dokument annars hundratals sidor. Schrems:"Facebooks grundläggande dokument för efterlevnad av GDPR är symptomatiskt för deras okunnighet om lagen - det har bara fyra sidor. Vanligtvis skulle ett sådant dokument vara på hundratals sidor. Den irländska dataskyddsmyndigheten har känt till bristen på dokumentation sedan 2018, men harinte vidtagit någraåtgärder."
GDPR-efterlevnad på fyra sidor? Dokumentet säger faktiskt väldigt lite, istället för en detaljerad beskrivning av tusentals behandlingar hänvisar Facebook främst till sin integritetspolicy och har i övrigt lagt till några generiska rader. För en djupare dykning fick noyb sällskap av Peter Hense, partner på Spirit Legal, som har arbetat med hundratals sådana dokument tidigare. Han kunde knappast tro att Facebooks ROPA är begränsad till fyra sidor och kommenterade"Varje fotbollsklubb har en mer detaljerad ROPA" i noybs adventsläsning. Han fortsatte med att lyfta fram att han som revisor skulle behöva behandla denna ROPA som obefintlig och att Facebooks behandling därför är "olaglig".
DPC är medveten sedan 2018. Den irländska dataskyddskommissionen ("DPC") försågs med denna skrattretande "Record of Processing Activities" den 27.9.2018 av Facebook, men har inte vidtagit några åtgärder mot det uppenbara brottet mot artikel 30 GDPR till noybs kunskap.
Max Schrems, ordförande för noyb.eu:"Den irländska DPC visste att Facebook Ireland inte ens har de mest grundläggande efterlevnadsdokumenten i ordning och gjorde ingenting åt det."
Hot mot noyb under 2019. I stället för att vidta åtgärder mot Facebook gav sig DPC på noyb : när dokumentet hade lämnats ut till noyb i augusti 2019 via den österrikiska dataskyddsmyndigheten ("DSB") delade Max Schrems det faktum att ROPA endast innehåller fyra sidor på Twitter, tillsammans med en bild på baksidan av dokumenten. Detta föranledde DPC att skicka arga brev till noyb och kräva att tweeten skulle raderas.
"Fan Mail" från DPC och Facebook. Som noyb informerar alla relevanta parter före våra adventsläsningar har vi återigen fått hotbrev (vi kallar det "fan mail") från Facebooks advokatbyrå Mason Hayes and Curran och irländska DPC - som i princip hotar att vidta rättsliga åtgärder mot noyb, trots att de inte har någon rättslig grund för att göra det, vilket påpekas i våra svar till Facebook och vårt svar till irländska DPC.
Rättslig grund för publiceringen. Som påpekades i vår första adventsläsning är de fyra adventsläsningarna av noyb en protest mot DPC:s olagliga borttagande av noyb i ett pågående förfarande. Alla dokument tillhandahölls via Österrikiska DSB. Den österrikiska DSB beslutade att dessa dokument inte är skyddade enligt den relevanta bestämmelsen (§ 17 Abs 3 AVG) och att noyb är fri att använda dem enligt tillämplig österrikisk lag. Inte ens enligt den irländska dataskyddslagen 2018 (som inte är tillämplig) finns det någon rättslig grund för att hålla inne eller på annat sätt begränsa parternas användning av dokumenten. Även om DPC vanligtvis åberopar avsnitt 26 i lagen, är denna bestämmelse uppenbarligen endast tillämplig på DPC:s personal ("relevanta personer") och inte på tredje part.
Potentiell "SLAPP-stämning" av DPC och Facebook. Med tanke på de grundlösa hoten, trots en tydlig rättslig grund för dessa publikationer, förväntar sig noyb nu grundlösa "SLAPP-stämningar" (se en bra sammanfattning av John Oliver, tyvärr bara på YouTube) av DPC och / eller Facebook Ireland Limited. Det är inte osannolikt att Facebook eller DPC skulle försöka ta ett fall till Irland eller Storbritannien, eftersom dessa rättssystem är extremt dyra och en perfekt jurisdiktion för att förstöra en icke-statlig organisation. Vi har därför geoblockerat de relevanta dokumenten i dessa jurisdiktioner.
Dagens dokument. ROPA-dokumentet är en del av vår rättstvist om "GDPR-bypass" och finns tillgängligt här:
- Facebooks ROPA för fyra sidor (kanske inte tillgängligt i alla länder)
Utbyten om lagligheten av denna publikation:
- Brev från DPC om offentliggörandet av ROPA
- Svar från noyb om varför DPC:s punkter är felaktiga
- Skrivelse från Facebooks advokatbyrå om offentliggörandet av ROPA
- Svar från noyb om varför Facebooks "avsikt" inte är en relevant faktor
Veckan i backspegeln. För den som är intresserad av vad som hänt sedan förra veckans Adventsläsning rekommenderar vi denna artikel av POLITICO om hur DPC försökte pressa in Facebooks "GDPR-bypass" i EDPB-papper. Detta utlöste ett antal intressanta artiklar, ända till uppmaningar inom Irland att byta ut DPC:s ledning. Senare i veckan rapporterades en artikel 60-invändning mot DPC:s utkast till beslut om "GDPR-bypass" av norska DPA av POLITICO, som betonade att DPC:s utkast till beslut skulle "sätta stopp för rätten till privatliv" enligt den norska dataskyddsmyndigheten. Detta ledde till ytterligare diskussioner inom Irland om DPC, såsom denna rapportering av Irish Times.
