Tilsynsmyndigheter i Irland har foreslått bøter på opptil 42 millioner dollar for Facebook etter at selskapet ble anklaget for brudd på GDPR gjennom villedende retningslinjer for innsamling av data.
Personvernekspert Max Schrems og hans talsmannsgruppe nyob – som sendte den opprinnelige klagen mot Facebook – publiserte et utkast til vedtak fra Irish Data Protection Commission (DPC) om saken som ble sendt til den andre europeiske Databeskyttelsesmyndigheter.
Avgjørelsen foreslår en bot på mellom 32 og 42 millioner dollar for Facebooks brudd på GDPR, som inkluderer manglende varsling av kundene om hvordan den bruker dataene sine.
Schrems og andre personverneksperter saksøkte den foreslåtte boten for sin relativt lille størrelse og for de juridiske argumentene Facebook kommer med for å komme seg ut av strengere bøter.
Nyob sa at Facebooks argument faktisk er at det er unntatt de fleste GDPR -regler på grunn av en mindre endring i avtalen med brukerne.
“Facebooks juridiske argument er ganske enkelt: Ved å tolke avtalen mellom bruker og Facebook som en” kontrakt “(artikkel 6 (1) (b) GDPR) i stedet for” samtykke “(artikkel 6 (1) (a) GDPR)) regler om samtykke i henhold til GDPR vil ikke gjelde for Facebook – det vil si at Facebook kan bruke alle dataene de har for alle produktene de tilbyr, inkludert reklame, online sporing og likt, uten å be brukerne om fritt gitt samtykke som de kan trekke tilbake når som helst , “forklarte nyob i et blogginnlegg.
“Facebooks bytte fra” samtykke “til” kontrakt “skjedde 25.5.2018 ved midnatt – akkurat da GDPR trådte i kraft i EU.”
Schrems sa at det er smertefullt åpenbart at Facebook prøver å omgå reglene i GDPR ved å merke avtalen om databruk som en “kontrakt”. Hvis dette godtas av regulatorer, kan ethvert selskap ganske enkelt skrive behandlingen av data inn i en kontrakt og derved legitimere enhver bruk av kundedata uten samtykke, forklarte Schrems.
“Dette er absolutt i strid med intensjonene i GDPR , som eksplisitt forbyr å skjule samtykkeavtaler i vilkår og betingelser, “sa Schrems.
Nyob bemerket at studier har vist at brukerne ikke ser nettstedets vilkår for bruk som en kontrakt. En undersøkelse fra Gallup Institute sa at bare 1,6% av de spurte så på avtalen de gjorde med Facebook da de registrerte seg for nettstedet som en “kontrakt”. Mer enn 63% sa at de ser på avtalen som samtykke.
Schrems og nyob fremsatte også belastede krav i blogginnlegget, og skrev at representanter fra Facebook og DPC møttes i 2018 og skapte en måte for Facebook å få rundt visse GDPR -forskrifter.
Han forklarte videre at tilsynsmyndigheter bøtelegger Facebook for å “ikke være gjennomsiktige” om hvordan de behandler data, men likevel uttrykte støtte for selskapets “samtykkeomgåelse.”
Både Facebook og DPC svarte ikke på forespørsler. for kommentar.
“DPC utviklet” GDPR -omgåelsen “med Facebook som den nå er greenlighting som en regulator. I stedet for en regulator fungerer den som en” big tech “-rådgiver,” sa Schrems.
“I utgangspunktet sier DPC at Facebook kan omgå GDPR, men de må være mer transparente om det. Med denne tilnærmingen kan Facebook fortsette å behandle data ulovlig, legge til en linje i personvernerklæringen og bare betale en liten bot, mens DPC kan late som de tok noen grep. “
Schrems tok også problem med hvordan DPC analyserte nyobs klage, og kritiserte tilsynsmyndighetene for å utelate viktige deler av deres innsending og nekte muntlige høringer.
Utkastet ble sendt til andre databeskyttelsesmyndigheter over hele Europa og vil nå bli gjennomgått. Regulatorer fra andre land kan sende inn klager, som deretter vil bli behandlet av European Data Protection Board. Styret kan overstyre beslutninger fattet av irske regulatorer.
WhatsApp fikk en bot på 225 millioner euro forrige måned etter at en GDPR -undersøkelse fant at plattformen ikke var åpen om hvordan den delte data med morselskapet Facebook. I så fall møtte irske regulatorer lignende tilbakeslag for den første boten på 50 millioner euro. European Data Protection Board overstyrte DPC og økte den betydelig.
“Vårt håp ligger hos de andre europeiske myndighetene. Hvis de ikke iverksetter tiltak, kan selskaper ganske enkelt flytte samtykke til vilkår og dermed omgå GDPR for godt,” sa Schrems.
Personvernekspert Cillian Kieran sa til ZDNet at boten som er nevnt i utkastet, bare er en hundredel av den mulige boten under GDPR.
Kieran tok også problem med hvordan DPC representerte Facebooks posisjon og kjernetanken i argumentet deres. Han sa at det må være konsekvente juridiske definisjoner utformet i selve de tekniske systemene.
“Hvordan kan bøten i utkastet til beslutning, et beløp som Facebook gjenvinner i inntekter innen mindre enn 5 timer i gjennomsnitt, være avskrekkende? Mye av beslutningen går ut på å motvirke påstander om at Facebook krenket samtykkekrav. Avgjørelsen hevder at samtykke ikke er nødvendig i denne situasjonen, og oppheve eventuelle spørsmål om samtykke. Dette peker på en alvorlig forskjell i hvordan myndigheter, talsmenn og sluttbrukere som klageren ser på prinsippene for behandling under GDPR, “sa Kieran.
“Kanskje hvis den irske DPC ikke utgjør en flaskehals på dusinvis av GDPR -undersøkelser, ville vi få disse viktige tolkningene om samtykke og andre juridiske grunnlag tidligere enn tre og et halvt år etter at GDPR trer i kraft. I enig med Schrems i at denne avgjørelsen er skuffende og utilstrekkelig, både i forelegg og i tolkning av kontrakter kontra samtykke. “
mer om GDPR
Hva GDPR egentlig betyr for forbrukere og bedrifter Google, Facebook slo med alvorlige klager Sølvfôr: Innovasjon i bedriften GDPR 101: Alt du trenger å vite Hva dataselskapene tilbyr GDPR beviser at teknologigiganter kan være temmet Compliant? Her er en praktisk sjekkliste Hvordan be om dine personlige data (TechRepublic) Det krever arbeid å holde dataene dine private online. Her er apper som hjelper (CNET)
Relaterte emner:
Sikkerhetssamarbeid CXO Tech Industry Digital Transformation Smart Office 