GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Ostra krytyka irlandzkiego organu nadzorczego

Ostra krytyka irlandzkiego organu nadzorczego

Austriacka organizacja non-profit NOYB (My Privacy is None of Your Business) opublikowała na swojej stronie internetowej list otwarty, w którym ostro skrytykowała irlandzki organ właściwy ds. ochrony danych osobowych (The Data Protection Commission). NOYB zarzuciła regulatorowi liczne nieprawidłowości – w tym rażącą opieszałość – w zakresie rozpatrywania złożonych przez nią skarg na portale społecznościowe: Facebook, Instagram oraz WhatsApp (wszystkie działają w ramach grupy Facebook). List otwarty został jednocześnie skierowany do wszystkich organów nadzorczych w Unii Europejskiej, Europejskiej Rady Ochrony Danych, Komisji Europejskiej oraz Parlamentu Europejskiego. Co ciekawe, list ten został opublikowany przez NOYB 25 maja 2020 r. Wydaje się, że data publikacji nie jest przypadkowa. W tym dniu przypadła bowiem druga rocznica obowiązywania przepisów RODO w Unii Europejskiej.

­­_______________________________________________________________________

NOYB jest organizacją działającą na rzecz ochrony danych osobowych, w tym w szczególności w zakresie przestrzegania przepisów RODO w całej Unii Europejskiej.  Tworzy ją piętnastu prawników i ekspertów różnych narodowości, specjalizujących się m.in. w dziedzinie nowych technologii, przy wsparciu finansowym 3200 tzw. członków wspierających. Założycielem i prezesem NOYB jest Max Schrems, znany austriacki aktywista, który zasłynął ze swojej walki na rzecz przestrzegania prawa do prywatności oraz ochrony danych osobowych przez podmioty działające w ramach grupy Facebook. Siedziba NYOB znajduje się w Wiedniu.

_______________________________________________________________________

Skargi NOYB

W liście otwartym NOYB wskazała, że 25 maja 2018 r., tj. w pierwszym dniu obowiązywania przepisów RODO, złożyła trzy skargi na nieprawidłowości w zakresie przetwarzania danych osobowych przez grupę Facebook w ramach funkcjonowania trzech portali społecznościowych: Facebook, Instagram oraz WhatsApp. Skargi zostały pierwotnie skierowane do organów nadzorczych działających w Austrii, Belgii i Niemczech, niemniej zostały one następnie przekazane przez nie do irlandzkiego regulatora, jako organu wiodącego w rozumieniu art. 60 RODO (tj. organu właściwego do rozpatrzenia tych skarg). NOYB podkreśliła, że do momentu publikacji listu otwartego, irlandzki regulator nie podjął znaczących kroków w celu rozpatrzenia przedmiotowych skarg. Jego aktywność w tym zakresie – w ocenie NOYB – ograniczyła się do poinformowania organizacji o poszczególnych etapach procedury rozpatrywania skarg oraz przekazania raportów z przeprowadzonych postępowań wyjaśniających (w zakresie portalu Facebook – raportu finalnego. W zakresie Instagrama i WhatsAppa – raportów wstępnych). Co ciekawe, regulator zastrzegł, że otrzymane informacje mają charakter poufny i nie mogą być publicznie komentowane przez NOYB.

Poważne zarzuty przeciwko organowi nadzorczemu

Organizacja podkreśliła, że jej zdaniem irlandzki organ nadzorczy nie respektuje przepisów o ochronie danych osobowych. Zarzuciła regulatorowi, że prowadził tajne spotkania z przedstawicielami grupy Facebook, których celem było wspólne wypracowanie rozwiązań zmierzających do de facto obejścia wymogu uzyskania od użytkowników zgód na przetwarzanie ich danych osobowych (jeszcze przed 25 maja 2018 r. miało odbyć się aż dziesięć tego typu spotkań). Jak wynika z listu otwartego, grupa Facebook zapewniła, że konsultacje prowadzone z organem nadzorczym odbyły się zgodnie z obowiązującym prawem. Pomimo, że Facebook wielokrotnie powoływał się w swoich oświadczeniach na ustalenia poczynione podczas tych spotkań, regulator odmówił jednak dostępu do jakichkolwiek dokumentów związanych z ich przebiegiem.

Opieszałość regulatora

NOYB zwróciła uwagę, że irlandzki organ nadzorczy pozytywnie ocenia swoje dotychczasowe działania podjęte w sprawach popularnych aplikacji społecznościowych grupy Facebook. Organizacja wytyka jednak regulatorowi, że przez dwa lata zajmowania się tymi sprawami przeprowadzone zostały przez niego jedynie dwa etapy przedstawionej procedury skargowej w odniesieniu do Facebooka oraz jeden etap w odniesieniu do Instagrama i WhatsAppa (procedura ta składa się z sześciu etapów, przy czym w pierwszym organ nadzorczy przygotowuje wstępny raport z postępowania wyjaśniającego, zaś ostatni wiąże się z przyjęciem decyzji na poziomie unijnym – zgodnie z procedurą spójności).

Organizacja zwróciła również uwagę, że wstępne raporty przygotowane przez organ nadzorczy w sprawach dotyczących aplikacji Instagram i WhatsApp są wiernym odzwierciedleniem raportu przygotowanego w ramach postępowania dotyczącego portalu Facebook. W jej ocenie, wyjątkowo oburzające jest, że stworzenie przedmiotowych raportów w takim kształcie zajęło irlandzkiemu regulatorowi ponad 10 miesięcy (zostały one wydane dopiero 20 maja br., tj. niespełna 2 lata po złożeniu skarg w tych sprawach).

Wątpliwa podstawa przetwarzania

NOYB ujawniła w liście otwartym, że w ramach postępowań wszczętych z jej inicjatywy, Facebook stanął na stanowisku, że aktualnie nie przetwarza danych osobowych użytkowników na podstawie ich zgód (art. 6 ust. 1 lit. a RODO). Zdaniem Facebooka, przetwarzanie danych osobowych tych osób jest bowiem niezbędne do wykonania umów zawartych pomiędzy Facebookiem, a jego użytkownikami (art. 6 ust. 1 lit. b RODO).

Zmiana podstawy przetwarzania danych osobowych użytkowników – zdaniem Facebooka – nastąpiła 25 maja 2018 r. o północy, tj. w dniu, w którym zaczęły obowiązywać przepisy RODO. Organizacja podkreśliła w liście otwartym, że taka zmiana miała na celu jedynie obejście prawa i jako taka jest nieważna. W ocenie prezesa NOYB – Maxa Schremsa – to, co Facebook próbował zrobić nie jest mądre, a jedynie śmieszne. Wyjątkowo niepokojące jest to, że irlandzki organ nadzorczy najwyraźniej współpracował z grupą Facebook projektując to oszustwo, zaś teraz ma samodzielnie oceniać przyjęte przez nią rozwiązania.

Co ciekawe, NOYB podkreśliła – powołując się na wyniki przeprowadzonych badań – że zdecydowana większość użytkowników przedmiotowych portali społecznościowych, tj. Facebooka, Instagrama oraz WhatsAppa, nie ma świadomości, że korzystając z nich zawarła jakąkolwiek umowę, z którą wiąże się przetwarzanie danych osobowych m.in. w celach reklamowych, czy statystycznych. Organizacja zarzuca w związku z tym organowi nadzorczemu, że nie przeprowadził on analizy prawnej tych umów, wskazując jedynie, że taka analiza pozostaje poza jego kompetencjami.

Możliwa kara

Co ciekawe, organizacja zwróciła także uwagę, że wstępne raporty irlandzkiego organu nadzorczego z przeprowadzonych postępowań wyjaśniających sugerują, że regulator stwierdził nieprawidłowości w zakresie przetwarzania danych osobowych użytkowników Facebooka, Instagrama i WhatsAppa. Nieprawidłowości te nie dotyczą jednak spornej kwestii braku pozyskiwania zgód na przetwarzanie danych. Organ zarzuca bowiem grupie Facebook jedynie naruszenie wymogów dotyczących przejrzystości (art. 5 RODO), polegające na nieodpowiednim informowaniu użytkowników przedmiotowych portali społecznościowych o podstawie przetwarzania ich danych osobowych. Jeżeli irlandzki regulator podtrzyma te zarzuty na etapie wydawania decyzji w tych sprawach, grupie Facebook może grozić kara pieniężna w wysokości do 4% jej całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Mowa tutaj o gigantycznych kwotach, sięgających 2,5 mld euro lub 2,8 mld dolarów (ponad 11 mld złotych). Mogłaby to zatem być najwyższa kara pieniężna nałożona dotychczas przez organ nadzorczy z Unii Europejskiej na podstawie przepisów RODO.

Również inne zarzuty

NOYB wskazała w liście otwartym również na inne nieprawidłowości, które – jej zdaniem – mają świadczyć o nieskutecznym wdrożeniu i stosowaniu prawa unijnego przez irlandzki organ nadzorczy. Wskazała ona, że przez ostatnie dwa lata do irlandzkiego regulatora wpłynęło ok. 10 000 skarg. Organ nadzorczy – pomimo zatrudnienia na poziomie ponad 130 osób – nie nałożył kary pieniężnej na podstawie przepisów RODO na jakikolwiek podmiot działający w sektorze prywatnym.

Przypominamy, że irlandzki regulator – niespełna po dwóch latach obowiązywania przepisów RODO – nałożył jedną karę administracyjną. Dość zaskakujące i nietypowe na tle innych organów nadzorczych w UE jest to, że organ w pierwszej kolejności postanowił ukarać podmiot publiczny (o nałożeniu tej kary pisaliśmy TUTAJ: https://gdpr.pl/aktualnosci/pierwsza-kara-irlandzkiego-regulatora).

NOYB wzywa do działania

Organizacja wzywa w liście otwartym krajowe organy nadzorcze, Europejską Radę Ochrony Danych, Komisję Europejską i Parlament Europejski do podjęcia wspólnych działań w celu wyjaśnienia przedstawionych zastrzeżeń co do postępowań prowadzonych przez irlandzkiego regulatora w sprawach popularnych portali społecznościowych.

W celu ułatwienia pracy i zachęcenia wskazanych podmiotów do jak najszybszego podjęcia działań wobec irlandzkiego regulatora, NOYB przekazała wszystkie dokumenty dotyczące toczących się postępowań, mimo że irlandzki organ nadzorczy wyraźnie zastrzegł, że dokumenty te mają charakter poufny i nie mogą zostać opublikowane, ani przekazane przez organizację do innych organów nadzorczych.

Warto zauważyć, że RODO nie przewiduje sztywnych terminów co do podjęcia określonych działań w ramach współpracy przez krajowe organy nadzorcze. Przepisy rozporządzenia nie przewidują również określonej procedury w przypadku opieszałości czy też braku podjęcia odpowiednich działań przez wiodący organ nadzorczy. Odpowiednie terminy do podjęcia działań przez inne organy w ramach procedury spójności (art. 60 RODO) pojawiają się dopiero na etapie przekazania projektu decyzji do innych organów nadzorczych, których dana sprawa dotyczy.

Jesteśmy bardzo ciekawi jakie działania zostaną podjęte przez Europejską Radę Ochrony Danych, organy krajowe oraz instytucje unijne w związku z listem otwartym NOYB. Z pewnością krok, na jaki zdecydowała się organizacja, jest bezprecedensowy. Być może nagłośnienie tej sprawy zainicjuje podjęcie prac w ramach np. EROD w celu wypracowania odpowiednich rozwiązań mających na celu usprawnienie procedury spójności, określonej w art. 60 RODO.

Pełna treść listu otwartego NOYB: https://noyb.eu/sites/default/files/2020-05/Open%20Letter_noyb_GDPR.pdf.

Strona internetowa NYOB: https://noyb.eu/en