Tilsynsmyndigheder i Irland har foreslået op til 42 millioner dollars i bøder til Facebook, efter at virksomheden blev anklaget for at overtræde GDPR gennem vildledende dataindsamlingspolitikker.
Fortrolighedsekspert Max Schrems og hans fortalergruppe nyob – som indsendte den oprindelige klage mod Facebook – offentliggjorde et udkast til afgørelse fra den irske databeskyttelseskommission (DPC) om spørgsmålet, der blev sendt til den anden europæiske Databeskyttelsesmyndigheder.
Beslutningen foreslår en bøde på mellem 32 og 42 millioner dollars for Facebook's overtrædelser af GDPR, som omfatter manglende underretning af sine kunder om, hvordan den bruger deres data.
Schrems og andre privatlivseksperter smækkede den foreslåede bøde for dens forholdsvis lille størrelse og for de juridiske argumenter, Facebook gør for at komme ud af strengere bøder.
Nyob sagde, at Facebooks argument faktisk er, at det er undtaget fra de fleste GDPR -regler på grund af en mindre ændring i aftalen med brugerne.
“Facebooks juridiske argument er ret simpelt: Ved at fortolke aftalen mellem bruger og Facebook som en 'kontrakt' (artikel 6, stk. 1, litra b) GDPR) i stedet for 'samtykke' (artikel 6, stk. 1, litra a), GDPR) regler om samtykke i henhold til GDPR ville ikke gælde for Facebook – hvilket betyder, at Facebook kan bruge alle data, det har for alle produkter, det leverer, herunder reklame, online sporing og ens, uden at bede brugerne om frit givet samtykke, som de kan trække tilbage når som helst , “forklarede nyob i et blogindlæg.
“Facebooks skift fra 'samtykke' til 'kontrakt' skete den 25.5.2018 ved midnat – præcis da GDPR trådte i kraft i EU.”
Schrems sagde, at det er smerteligt indlysende, at Facebook forsøger at omgå reglerne i GDPR ved at ommærke aftalen om databrug som en 'kontrakt'. Hvis dette accepteres af tilsynsmyndighederne, kan ethvert selskab ganske enkelt skrive behandlingen af data i en kontrakt og derved legitimere enhver brug af kundedata uden samtykke, forklarede Schrems.
“Dette er absolut imod intentionerne i GDPR , der udtrykkeligt forbyder at skjule samtykkeaftaler i vilkår og betingelser, “sagde Schrems.
Nyob bemærkede, at undersøgelser har vist, at brugerne ikke ser webstedets servicevilkår som en kontrakt. En undersøgelse fra Gallup Institute sagde, at kun 1,6% af respondenterne så den aftale, de indgår med Facebook, da de tilmelder sig stedet som en “kontrakt”. Mere end 63% sagde, at de ser aftalen som samtykke.
Schrems og nyob fremsatte også anklagede påstande i blogindlægget og skrev, at repræsentanter fra Facebook og DPC mødtes i 2018 og skabte en måde for Facebook at få omkring visse GDPR -regler.
Han fortsatte med at forklare, at tilsynsmyndigheder bøder Facebook for at “ikke være gennemsigtige” om, hvordan det behandler data, men stadig udtrykte støtte til virksomhedens “samtykke -bypass.”
Både Facebook og DPC reagerede ikke på anmodninger for kommentar.
“DPC udviklede 'GDPR -bypass' med Facebook, at den nu er greenlighting som en regulator. I stedet for en regulator fungerer den som en 'big tech' rådgiver,” sagde Schrems.
“Grundlæggende siger DPC, at Facebook kan omgå GDPR, men de skal være mere gennemsigtige om det. Med denne tilgang kan Facebook fortsat behandle data ulovligt, tilføje en linje til fortrolighedspolitikken og bare betale en lille bøde, mens DPC kan lade som om, de tog noget. “
Schrems tog også spørgsmålstegn ved, hvordan DPC analyserede nyobs klage, kritiserede tilsynsmyndighederne for at have udeladt centrale dele af deres indsendelse og afvist mundtlige høringer.
Udkastet blev sendt til andre databeskyttelsesmyndigheder i hele Europa og vil nu blive gennemgået. Tilsynsmyndigheder fra andre lande kan indsende klager, som derefter vil blive behandlet af European Data Protection Board. Bestyrelsen kan tilsidesætte beslutninger truffet af irske tilsynsmyndigheder.
WhatsApp fik en bøde på 225 millioner euro i sidste måned, efter at en GDPR -undersøgelse fandt ud af, at platformen ikke var gennemsigtig om, hvordan den delte data med sit moderselskab, Facebook. I dette tilfælde stod irske tilsynsmyndigheder over for lignende tilbageslag for den første bøde på 50 millioner euro. Det Europæiske Databeskyttelsesråd tilsidesatte DPC og øgede det betydeligt.
“Vores håb ligger hos de andre europæiske myndigheder. Hvis de ikke tager handling, kan virksomheder simpelthen flytte samtykke til vilkår og derved omgå GDPR for godt,” sagde Schrems.
Fortrolighedsekspert Cillian Kieran fortalte ZDNet, at den bøde, der er nævnt i udkastet, kun er en hundrededel af den mulige bøde under GDPR.
Kieran tog også spørgsmålstegn ved, hvordan DPC repræsenterede Facebooks holdning og grundprincipperne i deres argument. Han sagde, at der skulle være konsekvente juridiske definitioner designet til selve de tekniske systemer.
“Hvordan kan bøden i udkastet til afgørelse, et beløb, som Facebook genvinder i indtægter inden for mindre end 5 timer i gennemsnit, muligvis være afskrækkende? Meget af beslutningen går ud på at imødegå påstande om, at Facebook overtrådte krav om samtykke. Beslutningen hævder, at samtykke ikke er nødvendigt i denne situation, ophæve ethvert spørgsmål om samtykke. Dette peger på en alvorlig forskel i, hvordan myndigheder, fortalere og slutbrugere som klageren ser på principperne for behandling under GDPR, “sagde Kieran.
“Måske hvis den irske DPC ikke udgjorde en flaskehals på snesevis af GDPR -undersøgelser, ville vi få disse vitale fortolkninger om samtykke og andre retsgrundlag hurtigere end tre og et halvt år efter GDPR træder i kraft. I er enig med Schrems i, at denne beslutning er skuffende og utilstrækkelig, både i bøden og i fortolkningen af kontrakter kontra samtykke. “
mere om GDPR
Hvad GDPR virkelig betyder for forbrugere og virksomheder Google, Facebook ramte med alvorlige klager Sølvkant: Innovation i virksomheden GDPR 101: Alt hvad du behøver at vide Hvad datavirksomhederne tilbyder GDPR beviser, at tech giganter kan være tæmmet i overensstemmelse? Her er en praktisk tjekliste Sådan anmoder du om dine personlige data (TechRepublic) Det kræver arbejde at holde dine data private online. Her er apps, der hjælper (CNET)
Relaterede emner:
Sikkerhedssamarbejde CXO Tech Industry Digital Transformation Smart Office 