Billedet: Udsnit fra NOYB-hjemmesiden og udsnit af det - af NOYB offentliggjorte - udkast, som det irske datatilsyn har udarbejdet og som de har bedt NOYB fjerne fra hjemmesiden.
Kort fortalt startede eskaleringen for godt en måned siden, da det irske datatilsyn sendte en såkaldt draft decision til blandt andre Max Schrems og hans privacy-organisation NOYB - en forkortelse af 'non of your business'.
Den draft decision er det irske datatilsyns udkast til en afgørelse i en klagesag, der retter sig mod Facebook, fordi firmaet lige før indførslen af GDPR, ændrede deres måde at indhente samtykke fra deres mange milliarder brugere. Det fik en kvinde, Ms. L.B. som hun hedder i dokumentet, til at aflevere en klage vedrørende GDPR-compliance få dage efter det i maj 2018 var trådt i kraft.
Klageren, der har NOYB i ryggen, slår på, at Facebook reelt ikke gav - og stadig ikke giver - det nødvendige frie valg ift., at brugeren giver samtykke.
Tre år senere er sagsbehandlingen ved at være i mål med det irske datatilsyns draft decision. Den indeholder dog konklusioner, der ifølge NOYB og Max Schrems undergraver nøgleelementer i GDPR.
We’re not gonna be heard, we are not going to get any documents. Facebook will get all these documents and will be heard
Max Schrems
Balladen og sagens parter
6. oktober er datoen på det irske data tilsyns udkast, som er sendt til de involverede parter og datatilsynene i andre EU-lande.
Over den tid, der er passeret siden 6. oktober, er situationen spidset gevaldigt til i den sag, der i sin essens burde handle om privacy, og hvordan vi afgiver rettigheder til en techgigant.
Hovedpersonerne i klagesagen er - selvfølgelig - på den ene side den klagende og Facebook på den anden side. Og så er der det irske datatilsyn, der i høj grad har formået at placere sig selv i centrum i en konflikt med den klagende part.
Selve sagen, der i sig selv er rigtig interessant, skitserer vi kort til sidst i denne artikel. Men det handler altså om ændringer, Facebook indførte i deres 'Terms' samtidig med, at GDPR blev indført i maj 2018. Ifølge klageren for at omgå en grundsten i den regulering, som er dataforordningens formål.
Men lad os først konkretisere sagens parter og de skridt, der i 2021 eskalerer sagen i netop forgangne oktober.
Det er ikke hvem som helst, der er på den anden side af bordet fra Facebook. Det er Max Schrems og hans organisation NOYB, der er en forkortelse af Non Of Your Business. Personen, der klager, er en kvinde Ms. LB, der dog har NOYB i ryggen.
Eller som det står i introen i det dokument, draft decision, der starter eskaleringen:
’In the matter of LB (through NOYB) v Facebook Ireland Limited’.
Det dokument er den ’draft decision’ fra det irske datatilsyn, som det irske Data Protection Commission (herefter omtalt DPC) sendte til sagens parter i starten af oktober.
De fem trin op ad konflikttrappen
Trin et: NOYB modtager - som part jf. ’LB (through NOYB’) - dokumentet og lægger det op på deres hjemmeside. Dokumentet er ikke, da de modtager det, underlagt nogle klausuler ift. offentliggørelse.
Trin to: DPC skriver til NOYB og beder dem fjerne det fra hjemmesiden igen. DPC beder også om, at dokumentet med NOYB’s eget input om sagen, som de har sendt til myndigheden, bliver fjernet fra hjemmesiden noyb.eu.
Trin tre: Det afviser NOYB at gøre og forklarer baggrunden i både artikler på deres site og i en video, hvor Max Schrems fortæller.
”De beder os fjerne vores egen ”submission”, som vi har al ret til at offentliggøre”, siger han blandt andet i videoen.
Trin fire: DPC stiller derefter krav om en hemmeligholdelse. De skriver til NOYB, at tilsynet ikke længere vil inddrage NOYB i processen, medmindre de indgår en NDA.
Seneste trin. Aktivisten Max Schrems og hans organisation NOYB, der er velkendt som ganske kompromisløse i deres tilgang til kampen for privacy, underskriver selvfølgelig ikke en NDA. Og de tager i november et femte trin op ad konflikttrappen:
De meddeler, at de har anlagt en sag ved en lokal domstol for korruption.
Østrigeren Max Schrems forklarer det i en video med blandt andre ordene:
“If, as a decision maker, as a public figure, you basicly connect the conduct of your office with a benefit for you or a third party then that may violate Austrian criminal law.”
Han og NOYB mener, at DPC, ved at udelukke dem som medklagende part fra processen, giver Facebook en fordel. Og han siger, at den irske myndighed i hans øjne, ganske enkelt har krydset alle røde grænser for, hvordan man udfører sig hverv ordenligt.
“There is simply every red line of conducting your office properly crossed by now”, siger Max Schrems i en video fra 13.oktober.
So we’ve taken the decision that we file a criminal report with the Austrian Corruption Office for a violation of criminal laws
Det virker muligvis som oplagt, at NOYB har adgang til at være inddraget i den EU-bestemte procedure, der er i gang. Men som en i kilde i det danske datatilsyn om lidt beskriver, er det et formentlig en ikke-klart-defineret gråzone.
Kender ikke til andre tilfælde af krav om NDA
I Danmark hos Datatilsynet, søstermyndigheden til det irske DPC, sidder Rasmus Arslev, fuldmægtig i databeskyttelsesenheden.
Han besvarer blandt andet spørgsmålet om, hvor normalt det er, at et tilsyn sender et krav om en NDA til en part.
”Jeg er ikke bekendt med, at andre tilsyn har forlangt underskrivelse af en NDA”.
Han bekræfter også, at de hos tilsynet i Danmark har modtaget den konfliktkatalyserende ’draft decision’ fra DPC.
K-NEWS har henvendt os til Datatilsynet for at få detaljeret, hvad det er for en proces, hvilken mekanisme det er, som altså nu danner ramme for den eskalerede konflikt mellem Schrems og den irske myndighed. Rasmus Arslev forklarer den procedure. Det handler om den OSS, One stop shop-mekanisme, der er indført sammen med GDPR.
”OSS skal sikre at sager omhandlende grænseoverskridende behandling af personoplysninger ifm med GDPR bliver varetaget effektivt og med een myndighed i spidsen.”
Og han uddyber, hvordan et enkelt lands myndighed sættes i spidsen for procedurens gang.
”Når en sag omhandlende grænseoverskridende behandling opstår, starter det en proces. Der udpeges en myndighed til at være den ledende tilsynsmyndighed. Den ledende tilsynsmyndighed kommunikerer med virksomheden.”
Den irske myndighed er i denne sag ’lead’ på processen, fordi sagen omhandler Facebook, der har sæde i Irland. Det er dem, der står for kommunikationen med virksomheden, og det er dem, der udarbejder det udkast til en afgørelse, der så sendes til parter og de øvrige myndigheder med en fireugers frist til at komme med input.
In respect of issues (d) and (d), however, I take a different view
Commissioner Helen Dixon
Rasmus Arslev fortsætter.
”Når det er gjort, er det den myndighed, de ledende, der laver en ‘draft decision’ eller det som vi på dansk kalder et ’udkast til afgørelse’. Når en draft decision er lavet har de berørte tilsynsmyndigheder fire uger til at melde tilbage med bemærkninger eller indsigelser. Bemærkninger og indsigelser kan komme fra tilsynene, ikke fra borgeren eller en organisation.”
Dermed er der åbnet op for det væsentlige spørgsmål, der handler om NOYB’s adgang til dokumenterne. De fik jo tilsendt draft decision, fordi de er - lad os kalde det - medklagere. Men hvad er egentlig deres ret.
Max Schrems er utvetydig i sine udmeldinger. Han siger, at DPC med deres NDA-krav, nægter klageren at blive hørt i proceduren og nægter dem at få adgang til de relevante dokumenter.
”DPC has now litterally removed us from a pending procedure. So we’re not gonna be heard, we are not going to get any documents. Facebook will get all these documents and will be heard”.
Som Schrems udtaler i denne video med overskriften ’irish dpc removes noyb from GDPR procedure’.
Retten til at være med er ubeskrevet
K-NEWS spørger Rasmus Arslev herhjemme i vores eget tilsyn om, hvem der i OSS-mekanismen har ret til at blive hørt i proceduren. Har andre end tilsynene i de forskellige lande krav på at se beslutningsudkast og krav på at komme med bemærkninger og indsigelser, spørger vi.
”Der står ingenting vedrørende om en borger skal have adgang til en draft decision. Forordningen er helt tavs om det forhold. Så der står heller ikke, at de ikke skal”.
Og han uddyber.
”Selve den her mekanisme, OSS, tager slet ikke stilling til om den registrerede/klager, er en del af processen. Så det er ikke en ret for borgeren ifølge GDPR. Hvis der skulle være en mulighed for det, så er det fordi, der er nationale regler i det pågældende land, der berettiger det.”
Vi, K-NEWS, spørger direkte, om den der har klaget en del af processen?
”Iflg GDPR så er det ikke meningen at den, der har klaget, skal være en del OSS-processen”
Og vi spørger til om det må anses for ulovligt, at Max Schrems offenliggjorde draft decision.
”Reglerne siger ikke noget om, om de må offentliggøre det. Men det er ikke GDPR (OSS), der stiller krav om at de skal hemmeligholde det her."
Som nævnt tidligere i artiklen bekræfter Rasmus Arslev, at det danske tilsyn har modtaget den omtalt draft decision.
Og nu, på den anden side af fire-ugers fristen spørger vi også til det danske tilsyns stillingtagen til udkastet, de har modtaget.
Har det danske datatilsyn nogle kommentarer eller bemærkninger til den irske draft decision. Hvis svaret er ja, hvilke? Og endelig spørger vi om det danske tilsyns holdning til at den irske datatilsyn har forlangt en NDA?
Til de tre spørgsmål har Datatilsynet herhjemme ikke nogen kommentarer.
Frivilligt eller tvungent samtykke
Selve sagen, som hele denne konflikt har sit udspring i, går tilbage til 2018.
Da GDPR bliver implementeret i europæisk lov og indvarsler en ny tilgang til, hvordan data skal behandles og ikke mindst indhentes med frivilligt samtykke, laver Facebook nogle ændringer i deres aftale med deres brugere. De ændringer udløser den klage som den nuværende eskalering handler om.
Den 30. maj 2018, altså ganske kort efter at Dataforordningsdirektivet er trådt i kraft, indleverer Ms L.B. - via NOYB - sin klage i Østrig til Die Österreichische Datenschutsbehörde.
20. august 2018 indledes undersøgelsen med det irske tilsyn som lead af om Facebook Ireland Limited lever op til forpligtelserne - ’complied with its obligations - under ’Regulation (EU) 2016/679)’.
Det irske tilsyn redegør i draft decision for sagens faktuelle baggrund. Den bringer vi her en kort og kraftigt redigeret opsummering af som en håndfuld lego-klodser:
1. Facebook er en social medie platform.
2. For at få adgang skal en bruger oprette en Facebook-konto, og i den forbindelse kræves et accept af det Facebook kalder deres Terms of Service. Når en bruger har accepteret Terms of Service, udgør det en contract.
3. I april 2018 opdaterer Facebook Terms of Service for at ’comply’ med de forpligtelser, der indføres 25. maj med GDPR. Herunder det fundamentale krav om - som vi alle vist efterhånden ved - at ’datacontrollers’ skal have lovligt grundlag for enhver processering af personlige data.
Derudover kræves det, at der informeres udførligt i de øjeblikke personlige data indhentes - sådan som vi vist ligeledes alle kan nikke genkendende til og bliver mindet om dagligt, når vi afkræves cookiesvar.
4. For fortsat at kunne bruge Facebook efter 25. maj 2018 skulle alle brugere acceptere de opdaterede Terms of Service. Info om det blev pushet ud til alle eksisterende brugere, via det Facebook selv referer til som ’engagement flow’ eller ’user flow’, hvor brugeren i det sidste trin blev præsenteret for muligheden at acceptere de nye betingelser. I det sidste trin var der, som vi også alle kender fra mange steder på nettet, et hyperlink til den fulde Terms og Service-tekst.
5. Brugere, der ikke ville acceptere det nye, blev rådgivet til - ’adviced of the option to delete their Facebook account’ er faktisk formuleringen i det irske tilsyns beslutningsudkast - at slette deres konto.
Klagen fra Ms L.B., som det kan læses i faktaopridsningen, bliver lavet i den kontekst, at hun kun har valget at godkende eller forlade det sociale medie. Accepter eller slet din konto er det binære valg. Og hun anser det for uacceptabelt, at firmaets data policy er indarbejdet i deres Terms of Service.
6. Klageren udlægger det som tvungen samtykke, når Facebook baserer deres ret til at indhente og behandle data på et accept af en stor samlet pakke af privacy policy og nye betingelser.
7. Klageren efterlyser specificering af det juridiske, som Facebook lægger til grund for hver dataindhentning og behandling og peger direkte på GDPR’s klare formulering af, at hun - hver gang der hentes data - har krav på at både detaljeret information om at det sker, og at hun har krav på at få information om både formålet og det juridiske grundlag.
De fire problemer, der skal besvares
Draft decision opsummerer at der reelt var fire problemer, ’key issues’, som skulle undersøges og vurderes. De fire issues, a, b, c og d, lyder i forkortet form:
Var det at klikke ’accept’ til Terms of Service reelt at fortolke som et samtykke (issue a)?
Kan Facebook læne sig op ad Article 6 (1)(b) som juridisk grundlag (issue b), og misfortolker Facebook det juridiske grundlag (issue c)?
Og som det fjerde. Mislykkes Facebook med at give den nødvendige information i forbindelse med deres Terms of Service og Data Policy (issue d)?
Vi vil ikke i denne K-NEWS-artikel udlægge hvad der er korrekt og forkert, da vi i første omgang må afvente den endelige afgørelse. Og så må de forskellige forskellige interessenter og parter komme til orde derefter. Vi må formode, at de sidste ord næppe er sagt at Max Schrems og hans NOYB-organisation.
Værd at notere er dog den irske Commisioner Helen Dixon med sine konklusioner i draft decision, ikke erklærer sig enig i og følger de svar på de ovennævnte fire nøgleproblemer, som forundersøgelsens (den der omtales som ’Preliminary Draft Decission’) ’investigators’ var nået frem til.
Som det i draftet står, udmelder hun at:
‘I agree with the investigators summary of the core issues in respect of issues (a) and (b). In respect of issues (d) and (d), however, I take a different view.'
Og den åbenlyse årsag til at Max Schrems og NOYB i løbet af oktober måned først valgte at offentliggøre ’draft decision’ og dernæst gribe anledningerne til at skabe fokus på processen og stille spørgsmål ved den - og altså indtil videre kulminerende med en korruptionsanklage - ligger i konklusionerne.
For i sine konklusioner giver det irske datatilsyn grundlæggende medhold til Facebook.
Om (a) og (b) lyder konklusionen:
’Facebook has (a) not sought to rely on consent in order to process personal data to deliver the Terms of Service and (b) is not legally obliged to rely on consent in order to do so’.
Endividere konkluderes det, at klagerens sag ikke viser, at GDPR ikke tillader at Facebooks læner sig op ad GDPR i konteksten af deres Terms of Service.
Men det vurderes også i draft decision at Facebook rent faktisk har krænket nogle af de artikler GDPR læner sig op ad.
Krænkelserne er endda omtalt som
’significant level of non-compliance’.
Det handler om Facebooks manglende levering af nødvendig information og om klagerens - og vi allesammens - ret til den information, den store betydning af og den store mængde af potentielt involveret data.
Og der lægges op til at Facebook både skal lave tilrettelser i deres Terms of Service og Data Policy og at de skal betale en bøde - dog på et ret beskedent beløb mellem 28 og 36 millioner euro.
De Facebookkritiserende elementer I draft decision på trods, ser Max Schrems og NOYB dog først og fremmest udkastet som en blåstempling af Facebooks handlinger, og mener det er en underminering af nøgleelementer i GDPR. Og han ser det som et eksempel på, at de som tilsynsmyndighed ikke griber opgaven overfor teknologigiganterne godt nok an.
“That’s apparantly the idea of the irish DPC on how to regulate big tech, they can just do anything as long as they put it somewhere in their terms”.
Og så er der korruptionsanklagen - konlfiktens femte trin - om hvilken Max Schrems siger.
"So we’ve taken the decision that we file a criminal report with the Austrian Corruption Office for a violation of criminal laws by the relevant officers at the Data Protection Commissioner. We’ll see how that ends up. We’re actually really worried about the the situation there"
Der står ingenting vedrørende om en borger skal have adgang til en draft decision. Forordningen er helt tavs om det forhold. Så der står heller ikke, at de ikke skal
Rasmus Arslev, Datatilsynet