Facebookin GDPR-suostumuksen ohitus Itävallan korkeimmassa oikeudessa tapahtuvalla "sopimusilmoitusvelvollisuudella", jolla on suuri mahdollisuus viitata Euroopan unionin tuomioistuimeen
Itävallan lehdistöviraston (APA) ja Der Standardin mukaan tapaus, joka saattaa määrittää Facebookin liiketoiminnan laillisuuden Euroopassa, on saapunut Itävallan korkeimpaan oikeuteen (OGH). Facebook ja Schrems ovat molemmat valittaneet Wienin ylemmän aluetuomioistuimen (OLG Wien) aikaisemmasta tuomiosta. Muiden kysymysten joukossa väitettiin, että GDPR: n tiukkojen suostumussääntöjen "ohitus" tuli keskeiseksi. Korkeinta oikeutta pyydettiin saattamaan asia Euroopan unionin tuomioistuimeen selventämistä varten.
Facebookin "suostumuksen ohitus". Kun GDPR tuli voimaan, yksi suuri etu oli velvollisuus saada selkeä suostumus, kun yritykset haluavat käsitellä käyttäjätietoja. Suostumuksen lisäksi tietojen käsittelyssä on viisi muuta oikeusperustaa GDPR: n 6 artiklan 1 kohdan mukaisesti. Yksi näistä perusteista on "sopimuksen toteuttamisen kannalta välttämätön" käsittely. 25.5.2018 keskiyöllä, kun GDPR tuli voimaan, Facebook on yksinkertaisesti nimittänyt käyttöehdoissaan esimerkiksi "henkilökohtaisen mainonnan". Facebook väittää nyt, että sillä on "velvollisuus tarjota henkilökohtaista mainosta" käyttäjille, joten se ei tarvitse käyttäjän suostumusta henkilötietojensa käsittelyyn.
Suuri ero suostumuksen ja sopimuksen välillä? GDPR: llä on erittäin tiukat suostumusta koskevat säännöt. Käyttäjien on oltava täysin tietoisia, heillä on oltava vapaa valinta suostua tai olla eri mieltä ja heidän on voitava suostua kuhunkin käsittelytapaan erikseen. Käyttäjät voivat myös peruuttaa suostumuksensa milloin tahansa ja ilmaiseksi. Sopimukset ovat kuitenkin kunkin kansallisen lainsäädännön asia, ja ne ovat yleensä paljon joustavampia. Käyttäjät eivät saa olla ymmärtäneet, että sopimus on sidottu, yksityiskohdat voidaan piilottaa "ehdoissa" ja he voivat tulla "ota tai jätä" -periaatteella.
Katherina Raabe-Stuppnig, LGP, edustaja Schrems: " Facebook yrittää yksinkertaisesti merkitä virheellisen suostumuksen GDPR: n kiertämiseksi. Kaikki muut yritykset saavat asianmukaisen suostumuksen - vain Facebook uskoo voivansa ohittaa tämän " ja edelleen " Vain siksi, että siirrät suostumusilmoituksen sopimukseksi, sitä on edelleen pidettävä suostumuksena. Sopimuksia on aina pitänyt tulkita ensisijaisesti niiden todellisen tarkoituksen mukaan. Siksi sopimuksen suostumus on tulkittava nimenomaan suostumukseksi . "
64% käyttäjistä näkee "suostumuksen", 1,6% "mainossopimuksen". noyb on tilannut Gallup-instituutin tutkimuksen , jossa 1000 itävaltalaiselle Facebook-käyttäjälle kysyttiin heidän ymmärrystään sopimuksesta. Noin kaksi kolmasosaa tulkitsi asiaankuuluvan sivun Facebookiksi suostumusta pyytäneeksi, vain noin 10% näki "sopimuksen", josta vain 16 käyttäjää ymmärsi sen sisältävän velvollisuuden tarjota henkilökohtainen mainos (yhteensä 1,6%), kuten Facebook väitti . Itävallan kaksi alempaa tuomioistuinta katsoivat kuitenkin, että yksinomaan Facebookin harkintavallan mukaan väittää ehdon olevan "sopimus" tai "suostumus". Tästä syystä he eivät nähneet mitään ongelmaa Facebookin ohituksen suhteen, mutta katsoivat myös, että korkein oikeus on selvitettävä asiaa.
Vaarantavatko GDPR: n? Facebookin lähestymistavan voidaan nähdä myös selkeänä signaalina sivuuttaa (ainakin sen henki) GDPR, kun taas Facebook väittää noudattavansa sitä täysin. Der Standard mainitsi liberaalin Euroopan parlamentin jäsenen Sofien 't Veldissä, joka neuvotteli GDPR: stä ja sanoi: "Suostumuksen pyytämisen on pysyttävä lujana. Sopimusehtoja ei voida käyttää pakolausekkeena tälle vaatimukselle tai todellakin muulle tietojen käsittelyn oikeusperustalle. GDPR on selkeästi suunniteltu antamaan käyttäjille mahdollisuus hallita tietojaan. Ei sallia Facebookin huijata käyttäjiä heidän henkilötiedoistaan. "
Tietosuojaviranomaisen toimettomuus. Noyb otti saman asian esille myös Irlannin tietosuojakomissiossa yli 2,5 vuotta sitten. Väitetyn "pakollisen suostumuksen" kolme tutkimusta eteni kuitenkin hitaasti ja "ohituksen" ydinkysymyksen todettiin olevan menettelyn ulkopuolella. Itävallan tapauksessa Facebook väitti, että "ohitus" toteutettiin sen jälkeen, kun sillä oli kymmenen tapaamista DPC: n kanssa, joka kehitti "ohituksen" sosiaalisen median yrityksen kanssa. DPC on kiistänyt tämän, mutta kieltäytyi paljastamasta yksityiskohtia kymmenestä luottamuksellisesta tapaamisesta Facebookin kanssa ennen GDPR: ää. Kaksi Irlannin tapauksesta on nyt oikeudellisen tarkastelun kohteena Irlannin korkeimmassa oikeudessa, kolmas asia on muutoksenhakuna Itävallan liittohallituksessa (BVwG).
Lupaava kokemus. Itävallan korkein oikeus on aiemmin siirtänyt vastaavia tapauksia Euroopan unionin tuomioistuimeen (ks. Esim. C-18/18 - Glawischnig-Piesczek, C-498/16 - Schrems). Unionin tuomioistuin puolestaan on aiemmin päättänyt enimmäkseen Facebookia vastaan yksityisyyden suojaa koskevissa asioissa (ks. Esim. C-40/17 - muotitunnus tai C-210/16 - Wirtschaftsakademie Schleswig-Holstein ), etenkin kaksi tapausta Facebookia vastaan EU: n ja Yhdysvaltojen välisessä tiedonsiirrossa. "Schrems I" ja "Schrems II". Siksi ei ole epätodennäköistä, että Facebookilla on edessä vakavia ongelmia. Itävallan korkein oikeus ei järjestä suullisia kuulemistilaisuuksia, ja yleensä se päättää viittauksista unionin tuomioistuimeen muutamassa kuukaudessa ja kirjallisessa päätöksessä. Itse asiassa Euroopan unionin tuomioistuimella kestää jopa 1,5 vuotta kaikkien kuulemisten suorittaminen ja päätöksen tekeminen.