Regelgevers in Ierland hebben tot $ 42 miljoen aan boetes voorgesteld voor Facebook nadat het bedrijf werd beschuldigd van het schenden van de AVG door middel van misleidend beleid voor gegevensverzameling.
Privacy-expert Max Schrems en zijn belangengroep nyob — die de oorspronkelijke klacht tegen Facebook indiende — publiceerden een ontwerpbesluit van de Irish Data Protection Commission (DPC) over de kwestie die naar de andere Europese Gegevensbeschermingsautoriteiten.
De beslissing suggereert een boete van tussen de $ 32 miljoen en $ 42 miljoen voor Facebook's schendingen van de AVG, waaronder het niet informeren van zijn klanten over hoe het hun gegevens gebruikt.
Schrems en andere privacy-experts verwierpen de voorgestelde boete vanwege de relatief minuscule omvang en de juridische argumenten die Facebook aanvoert om onder strengere boetes uit te komen.
Nyob zei dat het argument van Facebook in feite is dat het is vrijgesteld van de meeste AVG-regels vanwege een kleine wijziging in de overeenkomst met gebruikers.
“Het juridische argument van Facebook is vrij eenvoudig: door de overeenkomst tussen gebruiker en Facebook te interpreteren als een 'contract' (Artikel 6(1)(b) AVG) in plaats van 'toestemming' (Artikel 6(1)(a) AVG) regels over toestemming onder de AVG zouden niet van toepassing zijn op Facebook – wat betekent dat Facebook alle gegevens kan gebruiken die het heeft voor alle producten die het levert, inclusief advertenties, online tracking en dergelijke, zonder gebruikers om vrijelijk gegeven toestemming te vragen die ze op elk moment kunnen intrekken ', legt nyob uit in een blogpost.
“Facebook's overstap van 'toestemming' naar 'contract' gebeurde op 25.5.2018 om middernacht — precies toen de AVG van kracht werd in de EU.”
Schrems zei dat het pijnlijk duidelijk is dat Facebook de regels van de AVG probeert te omzeilen door de overeenkomst over gegevensgebruik te herlabelen als een 'contract'. Als dit wordt geaccepteerd door toezichthouders, kan elk bedrijf de verwerking van gegevens eenvoudigweg in een contract opnemen en daarmee elk gebruik van klantgegevens zonder toestemming legitimeren, legt Schrems uit.
“Dit is absoluut in strijd met de bedoelingen van de AVG , dat expliciet verbiedt om toestemmingsovereenkomsten in algemene voorwaarden te verbergen”, zei Schrems.
Nyob merkte op dat onderzoeken hebben aangetoond dat gebruikers de servicevoorwaarden van de website niet als een contract zien. Uit een onderzoek van het Gallup Institute blijkt dat slechts 1,6% van de respondenten de overeenkomst die ze met Facebook sluiten, ziet als een 'contract' wanneer ze zich aanmelden voor de site. Meer dan 63% zei dat ze de overeenkomst als toestemming zien.
Schrems en nyob maakten ook beschuldigingen in de blogpost en schreven dat vertegenwoordigers van Facebook en de DPC elkaar in 2018 ontmoetten en een manier creëerden voor Facebook om toegang te krijgen tot rond bepaalde AVG-regelgeving.
Hij legde verder uit dat regelgevers Facebook beboeten omdat het “niet transparant was” over hoe het gegevens verwerkt, maar toch steun betuigde voor de “omzeiling van toestemming”.
Zowel Facebook als de DPC reageerden niet op verzoeken. voor commentaar.
“De DPC heeft samen met Facebook de 'GDPR-bypass' ontwikkeld die het nu groen licht geeft als toezichthouder. In plaats van een toezichthouder, fungeert het als een 'big tech'-adviseur,” zei Schrems.
“In principe zegt de DPC dat Facebook de AVG kan omzeilen, maar ze moeten er transparanter over zijn. Met deze aanpak kan Facebook doorgaan met het onrechtmatig verwerken van gegevens, een regel toevoegen aan het privacybeleid en gewoon een kleine boete betalen, terwijl de DPC dat kan doen alsof ze actie hebben ondernomen.”
Schrems was het ook oneens met de manier waarop de DPC de klacht van Nyob analyseerde, en bekritiseerde de regelgevers voor het weglaten van belangrijke delen van hun inzending en het weigeren van hoorzittingen.
Het concept is naar andere gegevensbeschermingsautoriteiten in heel Europa gestuurd en zal nu worden beoordeeld. Regelgevers uit andere landen kunnen klachten indienen, die vervolgens worden behandeld door de European Data Protection Board. De raad kan besluiten van Ierse toezichthouders terzijde schuiven.
WhatsApp kreeg vorige maand een boete van 225 miljoen euro opgelegd nadat uit een AVG-onderzoek bleek dat het platform niet transparant was over hoe het gegevens deelde met moederbedrijf Facebook. In dat geval kregen de Ierse toezichthouders te maken met soortgelijke reacties op de aanvankelijke boete van 50 miljoen euro. Het Europees Comité voor gegevensbescherming verwierp de DPC en verhoogde deze aanzienlijk.
“Onze hoop ligt bij de andere Europese autoriteiten. Als ze geen actie ondernemen, kunnen bedrijven eenvoudigweg toestemming omzetten in voorwaarden en daarmee de AVG voorgoed omzeilen”, aldus Schrems.
Privacy-expert Cillian Kieran vertelde ZDNet dat de boete die in het concept wordt genoemd slechts een honderdste is van de mogelijke boete onder de AVG.
Kieran was ook het oneens met de manier waarop de DPC de positie van Facebook en de kernprincipes van hun argument vertegenwoordigde. Hij zei dat er consistente wettelijke definities moeten worden ontworpen in de technische systemen zelf.
“Hoe kan de boete in het ontwerpbesluit, een bedrag dat Facebook gemiddeld binnen minder dan 5 uur aan inkomsten terugkrijgt, mogelijk afschrikkend zijn? Veel van het besluit gaat in op beschuldigingen dat Facebook de toestemmingsvereisten heeft geschonden. Het besluit stelt dat toestemming niet “Dit wijst op een ernstige ongelijkheid in de manier waarop autoriteiten, advocaten en eindgebruikers zoals de klager de principes van verwerking onder de AVG zien”, aldus Kieran.
“Misschien als de Ierse DPC geen bottleneck zou vormen bij tientallen AVG-onderzoeken, zouden we deze essentiële interpretaties over toestemming en andere rechtsgrondslagen eerder krijgen dan drie en een half jaar nadat de AVG van kracht is geworden. Ik ben het met Schrems eens dat deze beslissing teleurstellend en inadequaat is, zowel in de boete als in de interpretatie van contracten versus toestemming.”
meer over GDPR
Wat GDPR echt betekent voor consumenten en bedrijven Google, Facebook getroffen door ernstige klachten Zilveren voering: innovatie in de onderneming GDPR 101: alles wat u moet weten Wat de databedrijven bieden GDPR bewijst dat techreuzen kunnen zijn getemd Compliant? Hier is een handige checklist Hoe u uw persoonlijke gegevens kunt opvragen (TechRepublic) Het kost veel moeite om uw gegevens online privé te houden. Hier zijn apps die (CNET)
gerelateerde onderwerpen helpen:
Beveiliging Samenwerking CXO Tech Industrie Digitale transformatie Smart Office 