Αύριο θα τεθούν σε ισχύ οι νέοι κανονισμοί χρήσης και προστασίας δεδομένων του WhatsApp, οι οποίοι θα καταργήσουν τον έλεγχο των δεδομένων τους από χρήστες ακόμη περισσότερο από πριν. Την Τρίτη, ο Επίτροπος του Αμβούργου για την Προστασία Δεδομένων και την Ελευθερία της Πληροφορίας (HmbBfDI) εξέδωσε εντολή ότι η Facebook Ireland Ltd. Απαγορεύεται η επεξεργασία προσωπικών δεδομένων από το WhatsApp εάν αυτό γίνεται για δικούς μας σκοπούς. Αυτό ήταν ένα ασυνήθιστο βήμα, καθώς η Ιρλανδική Αρχή Προστασίας Δεδομένων είναι στην πραγματικότητα η κύρια εποπτική αρχή στο Facebook. Αλλά είχε δίκιο εάν ο ευρωπαϊκός νόμος για την προστασία των δεδομένων πρόκειται να εφαρμοστεί ομοιόμορφα και αποτελεσματικά στην Ευρώπη.
Μια παραγγελία, τρία νομικά ζητήματα
Τους τελευταίους μήνες, οι χρήστες του WhatsApp κλήθηκαν τακτικά να συμφωνήσουν με τους νέους όρους και προϋποθέσεις χρήσης και την προστασία δεδομένων προκειμένου να συνεχίσουν να χρησιμοποιούν την υπηρεσία messenger. Οι αλλαγές αρχικά έπρεπε να τεθούν σε ισχύ στις αρχές του έτους, αλλά αναβλήθηκαν μέχρι αύριο, Σάββατο, μετά από βίαιες διαμαρτυρίες από τους χρήστες και μαζική μετανάστευση σε άλλους παρόχους εκ μέρους της εταιρείας. Αυτοί οι χρήστες που αρνούνται να συμφωνήσουν με τους νέους όρους και προϋποθέσεις χρήσης και την προστασία δεδομένων εξακολουθούν να έχουν πρόσβαση στις βασικές λειτουργίες του WhatsApp για μια μεταβατική περίοδο μερικών εβδομάδων, αλλά στη συνέχεια πρέπει να αναζητήσουν εναλλακτικές πλατφόρμες επειδή οι κλήσεις ή οι ειδοποιήσεις δεν είναι πλέον παραδόθηκε όπως λέει στις συχνές ερωτήσεις στον ιστότοπο του WhatsApp .
Το HmbBfDI έχει πλέον αντιμετωπίσει αυτήν τη συμπεριφορά. Έχει έναντι του Facebook Ireland Ltd. Έκδωσε εντολή την Τρίτη και διέταξε την άμεση εκτέλεση. Απαγορεύεται πλέον στο Facebook να επεξεργάζεται προσωπικά δεδομένα από το WhatsApp εάν αυτό γίνεται για δικούς του σκοπούς. Η απόφαση του HmbBfDI, στην οποία αναλύονται κριτικά οι νέες διατάξεις χρήσης και προστασίας δεδομένων του WhatsApp, δείχνει τρεις νομικά πολύ ενδιαφέρουσες πτυχές:
Πρώτον, η συγκατάθεση για τις νέες διατάξεις χρήσης και προστασίας δεδομένων δεν συνιστά αποτελεσματική συναίνεση βάσει του νόμου περί προστασίας δεδομένων (άρθρο 6, παράγραφος 1, σε συνδυασμό με το άρθρο 7 του GDPR), καθώς οι χρήστες θα έπρεπε να δώσουν τη συγκατάθεσή τους σύμφωνα με απειλή. Δεύτερον, το Facebook δεν μπορούσε να διεκδικήσει έννομο ενδιαφέρον για την επεξεργασία των δεδομένων των χρηστών του WhatsApp, καθώς τα δικαιώματα και οι ελευθερίες των χρηστών θα ήταν αντίθετα με αυτό. Και τρίτον, η εντολή εκδόθηκε στη λεγόμενη διαδικασία επείγοντος σύμφωνα με το άρθρο 66 του GDPR, που σημαίνει ότι αυτό το όργανο χρησιμοποιήθηκε για πρώτη φορά από την έναρξη ισχύος του GDPR και έτσι το HmbBfDI επίσης – τουλάχιστον έμμεσα – επικρίνει την αδράνεια της υπεύθυνης ιρλανδικής εποπτικής αρχής προστασίας δεδομένων.
Οι νέοι κανονισμοί χρήσης και προστασίας δεδομένων
Για να κατανοήσετε λεπτομερώς ποιες αλλαγές σχετίζονται με τους νέους κανονισμούς χρήσης και προστασίας δεδομένων, απαιτείται σημαντική προσπάθεια, διότι ως χρήστης πρέπει πρώτα να αντιμετωπίσετε τους νέους κανονισμούς χρήσης και προστασίας δεδομένων (μια σύντομη ανάλυση μπορείτε να βρείτε εδώ ). Ωστόσο, αυτά διασκορπίζονται σε διαφορετικά επίπεδα, δεν είναι ακριβή και δύσκολο να γίνει διάκριση μεταξύ των ευρωπαϊκών και διεθνών εκδόσεών τους. Σε κάθε περίπτωση, η αλλαγή σημαίνει ότι οι χρήστες δεν θα μπορούν πλέον να αντιτίθενται στη μεταφορά δεδομένων τους σε άλλες εταιρείες του Facebook. Το WhatsApp συλλέγει, αποθηκεύει και προωθεί δεδομένα συσκευής και σύνδεσης, πληροφορίες τοποθεσίας και δεδομένα από τρίτα μέρη (!) – όπως τα δεδομένα επαφής που είναι αποθηκευμένα στον τηλεφωνικό κατάλογο, ακόμη και αν δεν βρίσκονται στο ίδιο το WhatsApp. Όποιος γράφει ακόμη και στο WhatsApp με εταιρείες που συνεργάζονται με το Facebook αποκαλύπτει όχι μόνο τα μεταδεδομένα τους, αλλά και το περιεχόμενο της επικοινωνίας. Προκειμένου να νομιμοποιήσει αυτήν την επεξεργασία δεδομένων, το WhatsApp παραπέμπει στους κανονισμούς προστασίας δεδομένων σε όλες τις νομικές βάσεις του GDPR για την επεξεργασία δεδομένων (Άρθρο 6 Abs. 1 lit. A – lit. F GDPR). Μπορεί κανείς να αναρωτηθεί ποια ζωτικά συμφέροντα (Άρθρο 6 Παράγραφος 1 λίτρο δ GDPR) ή ποιο δημόσιο συμφέρον (Άρθρο 6 Παράγραφος 1 λίτρο ε GDPR) Το WhatsApp επιδιώκει με τη μεταφορά δεδομένων. Η αναποτελεσματικότητα αυτών των νομικών βάσεων είναι προφανής.
Η αναγκαστική συγκατάθεση
Στην απόφασή του, η HmbBfDI ορθώς αρνείται επίσης την ύπαρξη συγκατάθεσης σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) σε συνδυασμό με το άρθρο 7 του GDPR ως κατάλληλη νομική βάση για την επεξεργασία δεδομένων. Επειδή ένα από τα βασικά χαρακτηριστικά τους είναι η εθελοντική έκδοση. Δεν υπάρχει όμως κάτι τέτοιο, αρκεί να υπάρχει απλώς μια «φαινομενική εθελοντικότητα», η οποία πρέπει να ληφθεί υπόψη ειδικά στις ασύμμετρες σχέσεις ισχύος.
Κατά την αξιολόγηση της εθελοντικής φύσης της συγκατάθεσης, μπορεί να γίνει μια βασική διάκριση μεταξύ τριών τύπων χρηστών. Μερικοί από τους χρήστες του WhatsApp θα αρνηθούν ρητά τη συγκατάθεσή τους, αλλά στη συνέχεια θα βρεθούν αντιμέτωποι με την ανάγκη να μεταβούν σε διαφορετική εφαρμογή messenger. Ένα άλλο μέρος θα συμφωνήσει ρητά με τους νέους κανονισμούς χρήσης και προστασίας δεδομένων και δεν έχει καμία ανησυχία για τη μη διαφανή επεξεργασία δεδομένων. Η μεγάλη πλειοψηφία των χρηστών θα δώσει τη συγκατάθεσή τους σε καθαρό μοιραίο ή αδιαφορία – παρόμοια με τη συγκατάθεση cookie που εμφανίζεται τώρα σε κάθε ιστότοπο, την οποία αποδέχεται κανείς χωρίς να διαβάσει το κείμενο – επειδή πρέπει να συναινέσει ούτως ή άλλως, επειδή όλοι οι φίλοι και οι γνωστοί χρησιμοποιήστε επίσης και διαφορετικά δεν μπορείτε πλέον να επικοινωνείτε μαζί τους. Παρόλο που η εσωτερική στάση του συγκατατεθέντος μέρους μπορεί να χαρακτηρίζεται από αδιαφορία, ωστόσο αναλαμβάνει μια δράση που είναι ορατή προς τα έξω, η οποία με τη σειρά της βασίζεται σε μοιραία κίνητρα. Ωστόσο, μια τέτοια συναίνεση δεν μπορεί ποτέ να συνιστά συναίνεση κατά την έννοια του νόμου περί προστασίας δεδομένων. Διαφορετικά, το μέσο συγκατάθεσης θα υπονομευόταν, άχρηστο και θα κλέφτηκε από τη λειτουργία του να διασφαλίζει ενημερωτική αυτοδιάθεση. Αυτός ο μοιρασμός βασίζεται αποκλειστικά στη διαρθρωτική υπεροχή των μονοπωλιακών μεσαζόντων. Επιπλέον, η έγκριση των νέων διατάξεων αποτελεί προϋπόθεση για τη συνέχιση της χρήσης του WhatsApp. Εδώ, ωστόσο, ο χρήστης κυριολεκτικά «βάζει το πιστόλι στο στήθος», γιατί σε κάθε περίπτωση δεν έχει ελεύθερη επιλογή. Και τέλος, οι ειδικές, αυστηρές απαιτήσεις για τη συγκατάθεση των παιδιών στην επεξεργασία δεδομένων (άρθρο 8 του GDPR) δεν λαμβάνονται καθόλου υπόψη. Πώς διασφαλίζει το WhatsApp ότι η συγκατάθεση κάτω των 16 ετών δίνεται από τον νόμιμο κηδεμόνα (άρθρο 8, παράγραφος 1, S. 2, GDPR);
Χωρίς νόμιμο συμφέρον
Το HmbBfDI ορθώς αρνείται τη νομιμότητα της επεξεργασίας δεδομένων βάσει ενός νόμιμου συμφέροντος του Facebook σύμφωνα με το άρθρο 6, παράγραφος 1, lit.f του GDPR. Το πρότυπο απαιτεί τη στάθμιση των συμφερόντων του WhatsApp και των χρηστών, οπότε πρέπει επίσης να είναι απαραίτητη η επεξεργασία δεδομένων από το WhatsApp. Επομένως, είναι καθήκον του WhatsApp να εξηγήσει γιατί οι αλλαγές στις διατάξεις χρήσης και προστασίας δεδομένων είναι πραγματικά απαραίτητες αυτήν τη στιγμή (πρβλ. Άρθρο 5 παράγραφος 2 του GDPR) προκειμένου να νομιμοποιηθεί η διευρυμένη επεξεργασία δεδομένων. Σε αυτό το σημείο, το Facebook προφανώς δεν κατάφερε να το κάνει αυτό. Ωστόσο, αυτό μπορεί να μην εκπλήσσει πραγματικά, επειδή οι λειτουργίες του WhatsApp λειτούργησαν επίσης χωρίς την εκτεταμένη επεξεργασία δεδομένων που έχει προγραμματιστεί τώρα. Παραμένει ένα μυστικό γιατί απαιτούνται περαιτέρω και πιο εκτεταμένη επεξεργασία δεδομένων και, συνεπώς, βαθύτερες παραβιάσεις των θεμελιωδών δικαιωμάτων. Συνολικά, οι καινοτομίες που σχετίζονται με τους όρους χρήσης και την προστασία δεδομένων έχουν αποδειχθεί αδιαφανείς και δεν λαμβάνουν υπόψη τα συμφέροντα των χρηστών. Οι νέες διατάξεις προορίζονται αποκλειστικά για να διασφαλίσουν ότι οι ήδη υπάρχουσες στενές συνδέσεις μεταξύ του Facebook και των άλλων εταιρικών ομάδων του επεκτείνονται και εντείνονται περαιτέρω.
Η πρώτη διαδικασία επείγοντος σύμφωνα με το άρθρο 66 GDPR
Τέλος, αξίζει να ρίξουμε μια ματιά στο γεγονός ότι αυτή είναι η πρώτη φορά που πραγματοποιείται επείγουσα διαδικασία. Το άρθρο 66 του GDPR επιτρέπει στην αρμόδια εποπτική αρχή να λαμβάνει ανεξάρτητα μέτρα χωρίς να τα συντονίζει πρώτα με τις άλλες ενδιαφερόμενες εποπτικές αρχές. Για το Facebook και τις θυγατρικές του, η ιρλανδική εποπτική αρχή προστασίας δεδομένων είναι γενικά η κύρια εποπτική αρχή στην Ευρώπη (άρθρο 60 παράγραφος 1 του GDPR). Ωστόσο, σε εξαιρετικές περιπτώσεις, μια επηρεαζόμενη εποπτική αρχή μπορεί να λάβει προσωρινά μέτρα με καθορισμένη περίοδο ισχύος το πολύ τριών μηνών στην επικράτειά της, εάν η εποπτική αρχή καταλήξει στο συμπέρασμα ότι υπάρχει επείγουσα ανάγκη για δράση.
Το HmbBfDI θεώρησε τόσο εξαιρετικές περιστάσεις και επείγουσα ανάγκη να δοθεί δράση στην παρούσα υπόθεση. Επειδή οι νέοι κανονισμοί για τη χρήση και την προστασία των δεδομένων θα τεθούν σε ισχύ αύριο, Σάββατο, χωρίς την ιρλανδική εποπτική αρχή προστασίας δεδομένων, η οποία είναι κατά κύριο λόγο υπεύθυνη, ακόμη και να έχει πραγματοποιήσει έρευνα σχετικά με την πρακτική της μεταφοράς δεδομένων και της χρήσης. Αυτό δείχνει για άλλη μια φορά την διστακτική και επιφυλακτική δράση της ιρλανδικής εποπτικής αρχής για την προστασία των δεδομένων, η οποία έχει ήδη οδηγήσει τον Ομοσπονδιακό Επίτροπο Προστασίας Δεδομένων να ασκεί κριτική σε αρκετές περιπτώσεις. Η ιρλανδική εποπτική αρχή προστασίας δεδομένων έχει μια ιδιαίτερα εξέχουσα θέση μεταξύ των εθνικών ευρωπαϊκών εποπτικών αρχών, καθώς είναι υπεύθυνη για πολλές εταιρείες τεχνολογίας που έχουν τα υποκαταστήματά τους στην Ιρλανδία. Εάν, παρά την ιδιαίτερη θέση της, δεν ενεργεί κατάλληλα, αυτό εγείρει ερωτήματα. Είτε έχει διαρθρωτικά ελλείμματα, οπότε εναπόκειται στην ιρλανδική κυβέρνηση να τα αντισταθμίσει, είτε άλλοι λόγοι είναι υπεύθυνοι για την διστακτική δράση. Τότε εναπόκειται στους Ευρωπαίους εταίρους να το αναφέρουν. Γιατί προφανώς υπάρχουν καλοί λόγοι για να εγκατασταθεί το Facebook στην Ιρλανδία. Εκτός από τους γνωστούς φορολογικούς λόγους, αυτό θα μπορούσε να είναι μια δειλή εφαρμογή των ευρωπαϊκών κανονισμών προστασίας δεδομένων. Συνεπώς, είναι συνεπές ότι άλλες ευρωπαϊκές αρχές προστασίας δεδομένων μπορούν επίσης να αναλάβουν δράση μέσω της διαδικασίας επείγοντος, έτσι ώστε η (μη) δράση της ιρλανδικής εποπτικής αρχής προστασίας δεδομένων να επικεντρωθεί και να γίνει παραπομπή από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ( EDPB). Αυτός είναι ο μόνος τρόπος για την ενιαία και αποτελεσματική εφαρμογή και επιβολή του ευρωπαϊκού νόμου περί προστασίας δεδομένων.
Οι συνέπειες
Εάν το Facebook δεν συμμορφώνεται με την παραγγελία – και όπως φαίνεται σήμερα – το HmbBfDI μπορεί, στο επόμενο στάδιο κλιμάκωσης, να επιστρέψει στις εκτεταμένες εξουσίες του άρθρου 58 του GDPR, οι οποίοι προβλέπουν επίσης την επιβολή σημαντικού προστίμου (Άρθρο 83 GDPR).
Για τους χρήστες του WhatsApp, η προφανώς παράνομη επεξεργασία δεδομένων δεν έχει αρχικά πραγματικές συνέπειες. Όποιος αρνείται να συμμορφωθεί με τους νέους όρους χρήσης και την προστασία δεδομένων θα πρέπει να αναζητήσει μια εναλλακτική εφαρμογή messenger. Όλοι οι άλλοι χρήστες μπορούν να συνεχίσουν να χρησιμοποιούν το WhatsApp, αλλά θα πρέπει να προειδοποιηθούν ότι στο μέλλον τα δεδομένα τους θα κοινοποιηθούν σε πολύ μεγαλύτερο βαθμό μεταξύ διαφορετικών εταιρειών που ανήκουν στο Facebook, η επεξεργασία δεδομένων θα παραμείνει εντελώς μη διαφανής και θα έχουν σχεδόν καθόλου τον έλεγχο των δεδομένων και των επαφών τους. Είναι επομένως ευπρόσδεκτο ότι το HmbBfDI αγωνίζεται για την τήρηση και συμμόρφωση με τους ευρωπαϊκούς κανονισμούς για την προστασία των δεδομένων και ότι αυτοί εφαρμόζονται με συνέπεια κατά του Facebook. Διαφορετικά, ο ευρωπαϊκός νόμος για την προστασία των δεδομένων θα εκφυλιστεί σε τίγρη χωρίς δόντια. Αλλά κανείς δεν μπορεί να έχει σοβαρό ενδιαφέρον για αυτό.
Αυτή είναι μια αυτόματη μετάφραση μιας ανάρτησης που δημοσιεύτηκε στο Verfassungsblog στη διεύθυνση URL https://verfassungsblog.de/hamburg-schreitet-ein/ στις Fri, 14 May 2021 18:09:21 +0000.