Regulatorer i Irland har föreslagit böter på upp till 42 miljoner dollar för Facebook efter att företaget anklagats för att ha brutit mot GDPR genom vilseledande datainsamlingspolicyer.
Sekretessexpert Max Schrems och hans advokatgrupp nyob – som lämnade in det ursprungliga klagomålet mot Facebook – publicerade ett utkast till beslut från Irish Data Protection Commission (DPC) om frågan som skickades till den andra europeiska Dataskyddsmyndigheter.
Beslutet föreslår böter på mellan 32 och 42 miljoner dollar för Facebooks brott mot GDPR, vilket inkluderar att de inte underrättar sina kunder om hur de använder sina uppgifter.
Schrems och andra integritetsexperter slog till på det föreslagna bötesbeloppet för dess relativt små storlek och för de rättsliga argumenten Facebook gör för att slippa strängare böter.
Nyob sa att Facebooks argument faktiskt är att det är undantaget från de flesta GDPR -regler på grund av en mindre ändring av avtalet med användarna.
“Facebooks juridiska argument är ganska enkelt: Genom att tolka avtalet mellan användare och Facebook som ett” kontrakt “(artikel 6.1 b) GDPR) istället för” samtycke “(artikel 6.1 a) GDPR) regler om samtycke enligt GDPR skulle inte gälla Facebook – vilket innebär att Facebook kan använda all data som den har för alla produkter som den tillhandahåller, inklusive reklam, spårning på nätet och liknande, utan att be användare om fritt gett samtycke som de kan dra tillbaka när som helst , “förklarade nyob i ett blogginlägg.
“Facebooks byte från” samtycke “till” kontrakt “skedde den 25.5.2018 vid midnatt – exakt när GDPR trädde i kraft i EU.”
Schrems sa att det är smärtsamt uppenbart att Facebook försöker kringgå reglerna i GDPR genom att märka avtalet om dataanvändning som ett “kontrakt”. Om detta accepteras av tillsynsmyndigheter kan alla företag helt enkelt skriva bearbetningen av data i ett kontrakt och därigenom legitimera all användning av kunddata utan samtycke, förklarade Schrems.
“Detta strider absolut mot avsikten med GDPR , som uttryckligen förbjuder att dölja samtyckesavtal i villkor, säger Schrems.
Nyob noterade att studier har visat att användare inte ser webbplatsens användarvillkor som ett kontrakt. En undersökning från Gallup Institute sa att bara 1,6% av de tillfrågade såg avtalet de gjorde med Facebook när de registrerade sig för webbplatsen som ett “kontrakt”. Mer än 63% sa att de ser avtalet som samtycke.
Schrems och nyob gjorde också anklagade påståenden i blogginlägget och skrev att representanter från Facebook och DPC träffades 2018 och skapade ett sätt för Facebook att få kring vissa GDPR -föreskrifter.
Han fortsatte med att förklara att tillsynsmyndigheter böter Facebook för att “inte vara transparenta” om hur de behandlar data men ändå uttryckte stöd för företagets “samtyckesomgåvning.”
Både Facebook och DPC svarade inte på förfrågningar. för kommentar.
“DPC utvecklade” GDPR -bypass “med Facebook att det nu är greenlighting som en regulator. I stället för en regulator fungerar det som en” big tech “-rådgivare, säger Schrems.
“I princip säger DPC att Facebook kan kringgå GDPR, men de måste vara mer transparenta om det. Med detta tillvägagångssätt kan Facebook fortsätta att behandla data olagligt, lägga till en rad i sekretesspolicyn och bara betala en liten böter, medan DPC kan låtsas att de vidtagit några åtgärder. “
Schrems tog också problem med hur DPC analyserade nyobs klagomål, kritiserade tillsynsmyndigheterna för att de utelämnade viktiga delar av deras inlämning och vägrade muntliga utfrågningar.
Utkastet skickades till andra dataskyddsmyndigheter i hela Europa och kommer nu att ses över. Tillsynsmyndigheter från andra länder kan lämna in klagomål som sedan kommer att hanteras av European Data Protection Board. Styrelsen kan åsidosätta beslut som fattats av irländska tillsynsmyndigheter.
WhatsApp fick ett böter på 225 miljoner euro förra månaden efter att en GDPR -undersökning visade att plattformen inte var transparent om hur den delade data med sitt moderbolag, Facebook. I det fallet fick irländska tillsynsmyndigheter liknande motreaktioner för de första böterna på 50 miljoner euro. Europeiska dataskyddsstyrelsen åsidosatte DPC och ökade den avsevärt.
“Vår förhoppning ligger hos de andra europeiska myndigheterna. Om de inte vidtar åtgärder kan företag helt enkelt flytta samtycke till villkor och därigenom kringgå GDPR för gott”, sade Schrems.
Sekretessexpert Cillian Kieran sa till ZDNet att böterna som nämns i utkastet bara är en hundradel av de möjliga böterna enligt GDPR.
Kieran tog också problem med hur DPC representerade Facebooks ståndpunkt och grundprinciperna i deras argument. Han sa att det måste finnas konsekventa juridiska definitioner utformade i själva de tekniska systemen.
“Hur kan böterna i utkastet till beslut, ett belopp som Facebook återhämtar sig i intäkter inom mindre än 5 timmar i genomsnitt, vara avskräckande? Mycket av beslutet går ut på att motverka påståenden om att Facebook brutit mot kraven på samtycke. Beslutet hävdar att samtycke inte är nödvändigt i denna situation, upphäva alla frågor om samtycke. Detta pekar på en allvarlig skillnad i hur myndigheter, förespråkare och slutanvändare som klaganden ser på principerna för behandling enligt GDPR, säger Kieran.
“Kanske om irländska DPC inte utgjorde en flaskhals för dussintals GDPR -utredningar, skulle vi få dessa viktiga tolkningar om samtycke och andra rättsliga grunder tidigare än tre och ett halvt år efter att GDPR träder i kraft. I håller med Schrems om att detta beslut är nedslående och otillräckligt, både i böterna och i tolkningen av kontrakt kontra samtycke. “
mer om GDPR
Vad GDPR verkligen betyder för konsumenter och företag Google, Facebook drabbades av allvarliga klagomål Silverfoder: Innovation i företaget GDPR 101: Allt du behöver veta Vad dataföretagen erbjuder GDPR bevisar att teknikjättar kan vara tämjande Kompatibel? Här är en praktisk checklista Hur man begär dina personuppgifter (TechRepublic) Det tar arbete att hålla din data privat online. Här är appar som hjälper (CNET)
Relaterade ämnen:
Säkerhetssamarbete CXO Tech Industry Digital Transformation Smart Office 