EU: NOYB publicerar utkast till beslut om böter på 28-36 miljoner euro för Facebook

None of your business (“NOYB”) har publicerat den irländska dataskyddsmyndigheten Data Protection Commissions (“DPC”) utkast till beslut där myndigheten föreslår böter på 28-36 miljoner euro mot Facebook Inc. i samband med brister i transparensen när det gäller behandlingen av användaruppgifter enligt den avtalsenliga rättsliga grunden enligt artikel 6.1 (b) i dataskyddsförordningen (“GDPR”).

Utkastet till beslut svarar särskilt på påståenden om att Facebook inte bör tillåtas åberopa artikel 6.1 (b) GDPR för att behandla användaruppgifter på grundval av sina användarvillkor utan att Facebook bör vara rättsligt förpliktigat att åberopa den rättsliga grunden för samtycke enligt artikel 6.1 (a) GDPR istället. Vidare avvisar DPC dessa påståenden i utkastet till beslut, med argumentet att GDPR inte innehåller någon form av hierarki av rättsliga grunder som kan användas för behandling av personuppgifter, vare sig genom hänvisning till kategorier av personuppgifter eller på annat sätt.

I utkastet till beslut konstaterar DPC dock att Facebook ändå inte har tillhandahållit nödvändig information om sin rättsliga grund för behandling i enlighet med godkännande av användarvillkoren, och det konstateras att den information som Facebook har tillhandahållit är osammanhängande och kräver att användarna går in och ut ur olika avsnitt av integritetspolicyn och användarvillkoren. I utkastet till beslut dras därför slutsatsen att Facebook har brutit mot artiklarna 5.1 (a), 12.1 och 13.1 (c) GDPR.

Som svar på utkastet till beslut har Max Schrems från NOYB anfört: “Facebook försöker helt enkelt kringgå de tydliga reglerna i GDPR genom att byta namn på avtalet om användning av uppgifter till ett avtal. Om detta skulle accepteras skulle vilket företag som helst bara kunna skriva in behandlingen av uppgifter i ett avtal och därmed legitimera all användning av kunduppgifter utan samtycke. Detta strider helt mot intentionerna i GDPR, som uttryckligen förbjuder att man döljer samtyckesavtal i villkor.”

NOYB beskrev vidare att DPC:s utkast till beslut har skickats till andra europeiska dataskyddsmyndigheter och kan komma att nå Europeiska dataskyddsstyrelsen (“EDPB”), varvid sådana myndigheter kan upphäva myndighetens, vilket var fallet i det nyligen fattade beslutet mot WhatsApp (läs mer om detta här).

Du kan läsa NOYB:s pressmeddelande här och utkastet till beslut här, båda endast tillgängliga på engelska.

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom AI, personlig integritet och informationssäkerhet.