Офіс ірландського комісара по захисту даних (dpc) готує постанову, відповідно до якої facebook буде наказано змінити спосіб інформування користувачів про обробку даних. Якщо документ буде прийнятий, то facebook до того ж загрожує штраф у розмірі від €28 до €36 млн.
Правозахисник макс шремс / джерело: wsj.com
Чергове розслідування щодо найбільшої в світі соцмережі пов’язане зі скаргою, яку в 2018 році подав австрійський юрист і фахівець з питань конфіденційності макс шремс (max schrems) — його некомерційна організація noyb опублікувала проект постанови. Представник dpc відмовився від коментарів, оскільки розслідування все ще триває, хоча минулого тижня офіс розіслав документ в регулюючі органи 26 країн євросоюзу. Протягом місяця відомства зможуть дати відповідь або висунути заперечення, після чого dpc прийме остаточне рішення.
У скарзі від 2018 року, поданій через передбачуване порушення загального регламенту захисту персональних даних (gdpr), говориться, що facebook не отримувала згоди користувачів на свої методи обробки даних, в тому числі на використання особистої інформації для показу реклами-замість цього сервіс змусив їх прийняти умови надання сервісу як договір. Правозахисники стверджують, що компанії повинні позбутися можливості приховувати важливу інформацію про особливості обробки даних, особливо в тих документах, які більшість користувачів не читає уважно.
Джерело: wsj.com
Згідно з вимогами gdpr, для обробки персональних даних компанія повинна або отримати на це явну згоду особи, або обґрунтувати, що така обробка необхідна для виконання договору з цією особою. У 2019 році європейська рада із захисту даних (edpb), що курирує всі профільні регулюючі органи в єс, постановила, що в загальному випадку обробку персональних даних для надання таргетованої реклами не можна обґрунтовувати виконанням договору.
Однак dpc не погодився з доводами пана шремса: «контраргумент полягає в тому, що така реклама, яка є ядром бізнес-моделі facebook і ядром договору між facebook і його користувачами, необхідна для виконання даного договору між facebook і позивачем». Відомство запропонувало вимагати від facebook протягом трьох місяців зробити свої умови більш прозорими, але, згідно з проектом постанови, компанії для цього буде потрібно більше часу.
За останній рік європейські регулятори лише двічі не погодилися з висновками ірландського колеги: у грудні 2020 року у справі twitter і у вересні 2021 року у справі whatsapp. В обох випадках dpc скористався стандартною процедурою вирішення спорів, продовживши розгляд справ на кілька місяців. На думку експертів, рішення щодо facebook також зустрінеться із запереченнями, оскільки воно стосується принципово важливого питання про те, в якій саме формі користувач повинен давати згоду на обробку своїх даних.
Відповідно до gdpr, ірландський регулятор є основним наглядовим органом в області обробки даних великими транснаціональними корпораціями від імені громадян єс, оскільки їх європейські штаб-квартири знаходяться в ірландії. Рішення dpc викликали невдоволення інших європейських регуляторів, які наполягали на більш високих штрафах щодо whatsapp і twitter.
