Федеральный комиссар Германии по вопросам информации потерял терпение в отношении Facebook.
В прошлом месяце Ульрих Кельбер написал правительственным учреждениям: «Настоятельно рекомендую[ing]»Они закрыли свои официальные страницы в Facebook из-за продолжающихся проблем с соблюдением требований к защите данных и неспособности технического гиганта решить эту проблему.
В письме Кельбер предупреждает государственные органы, что он намерен начать применять принудительные меры с января 2022 года, по сути, давая им крайний срок в следующем году, чтобы удалить свои страницы из Facebook.
Так что ожидайте нет чтобы увидеть официальные страницы правительственных органов Германии в Facebook в ближайшие месяцы.
В то время как собственное агентство Кельбера, BfDi, похоже, не имеет страницы в Facebook (хотя алгоритмы Facebook, похоже, генерируют эту искусственную заглушку, если вы попытаетесь ее найти), многие другие федеральные органы Германии имеют, например, Министерство здравоохранения, чьи общественные у страницы более 760 000 подписчиков.
Единственная альтернатива тому, что такие страницы исчезнут с платформы Facebook к Рождеству или будут удалены в начале следующего года Кельбером, – похоже, что технологический гигант внесет более существенные изменения в методы работы операторов своей платформы, чем он предлагал до сих пор. , что позволяет использовать страницы в Германии в соответствии с законодательством ЕС.
Однако Facebook давно игнорирует требования конфиденциальности и законы о защите данных.
Кроме того, совсем недавно он более чем готов снизить качество информации, доступной пользователям – если это будет способствовать его бизнес-интересам (например, лоббировать закон о кодексе СМИ, как могут подтвердить пользователи в Австралии).
Так что более вероятно, что правительственным учреждениям Германии скоро придется тихонько покончить с трибуной …
Кельбер говорит, что до сих пор избегал действий в отношении страниц министерств в Facebook из-за того, что государственные органы утверждали, что их страницы в Facebook являются для них важным способом связи с гражданами.
Однако в его письме указывается, что государственные органы должны быть «образцом для подражания» в вопросах соблюдения законодательства – и, следовательно, иметь «особую обязанность» соблюдать закон о защите данных. (EDPS придерживается аналогичной политики, анализируя использование учреждениями ЕС американских гигантов облачных услуг.)
По его оценке, «дополнение», предоставленное Facebook в 2019 году, не решает проблему соответствия, и он приходит к выводу, что Facebook не внес никаких изменений в свои операции по обработке данных, чтобы операторы страниц могли выполнять требования, изложенные в Общем регламенте ЕС по защите данных. .
Особенно актуально здесь решение верховного суда Европы, вынесенное еще в июне 2018 года, поскольку оно постановило, что администратор фан-страницы на Facebook несет совместную ответственность с Facebook за обработку данных посетителей страницы.
Это означает, что операторы таких страниц также сталкиваются с обязательствами по защите данных и не могут просто предполагать, что Условия и положения Facebook предоставляют им правовое покрытие для обработки данных, которую берет на себя технический гигант.
Короче говоря, проблема заключается в том, что Facebook не предоставляет Pages достаточно информации или заверений в отношении того, как он обрабатывает данные пользователей – это означает, что они не могут соблюдать принципы подотчетности и прозрачности GDPR, потому что, например, они не в состоянии адекватно проинформировать подписчиков своей страницы в Facebook о том, что делается с их данными.
Операторы страниц Facebook также не могут отключить (или иным образом заблокировать) более широкую обработку подписчиков своих страниц в Facebook. Даже если они не используют какие-либо аналитические функции, которые Facebook предоставляет операторам страниц.
Обработка все еще происходит.
Это связано с тем, что Facebook использует модель «бери или оставляй», чтобы «максимизировать данные», чтобы подпитывать свои системы таргетинга рекламы.
Но это подход, который может иметь неприятные последствия, если он в конечном итоге приведет к постоянному снижению качества информации, доступной в его сети, из-за массового переноса ключевых сервисов с его платформы. Например, каждое государственное учреждение в ЕС удалило свою страницу в Facebook.
Соответствующий пост в блоге на веб-сайте BfDi также дает надежду на то, что «социальные сети, отвечающие требованиям защиты данных» могут развиться в вакууме соблюдения требований Facebook.
Конечно, могут существовать конкурентные возможности для альтернативных платформ, которые стремятся продавать услуги на основе уважения прав пользователей.
Подтвержденная страница Федерального министерства здравоохранения Германии в Facebook (снимок экрана: TechCrunch / Наташа Ломас)
Обсуждая вмешательство BfDis, Лука Тосони, научный сотрудник Норвежского исследовательского центра компьютеров и права Университета Осло, сказал TechCrunch: «Это событие напрямую связано с недавним прецедентным правом CJEU по совместному контролю. В частности, он принимает во внимание постановление Wirtschaftsakademie, согласно которому администратор страницы Facebook должен считаться совместным контролером с Facebook в отношении обработки персональных данных посетителей страницы.
«Это не означает, что администратор страницы и Facebook несут равную ответственность за все этапы обработки данных, связанные с использованием страницы Facebook. Однако у них должно быть соглашение с четким распределением ролей и обязанностей. По словам Федерального комиссара Германии по защите данных и свободе информации, нынешнего «Дополнения» по защите данных Facebook, по-видимому, недостаточно для выполнения последнего требования ».
«Стоит отметить, что в своем постановлении Fashion ID CJEU придерживается мнения, что обязательства GDPR для совместных контролеров соразмерны тем этапам обработки данных, на которых они фактически осуществляют контроль», – добавил Тосони. «Это означает, что обязанности администратора страницы Facebook по защите данных обычно довольно ограничены».
Предупреждения для других социальных сетей
Эта конкретная проблема соответствия затрагивает Facebook в Германии – и, возможно, любой другой рынок ЕС. Но одругие службы социальных сетей также могут столкнуться с аналогичными проблемами.
Например, в письме Кельбера отмечается постоянный аудит Instagram, TikTok и Clubhouse – предупреждение о «недостатках» уровня защиты данных, который они также предлагают.
Далее он рекомендует агентствам избегать использования этих трех приложений на бизнес-устройствах.
В ранее проведенной в 2019 году оценке использования государственных органов служб социальных сетей BfDi предлагал использовать Twitter может, напротив, соответствовать правилам защиты данных. По крайней мере, если бы настройки конфиденциальности были полностью включены, а аналитика, например, отключена.
В то время BfDi также предупредил, что Instagram, принадлежащий Facebook, столкнулся с аналогичными проблемами соблюдения требований, что и Facebook, подвергаясь тому же «оскорбительному» подходу к согласию, который, по его словам, применялся всей группой.
Когда мы попросили прокомментировать последние рекомендации Кельбера государственным органам, Facebook не стал отвечать на наши конкретные вопросы, вместо этого отправив нам это общее заявление:
«В конце 2019 года мы обновили приложение Page Insights и уточнили обязанности администраторов Facebook и страниц, в связи с чем мы приняли во внимание вопросы, касающиеся прозрачности обработки данных. Для нас важно, чтобы федеральные агентства также могли использовать страницы Facebook для общения с людьми на нашей платформе с соблюдением конфиденциальности ».
Дополнительное осложнение для Facebook возникло в связи с правовой неопределенностью, возникшей после решения CJEU прошлым летом Schrems II.
Европейский суд признал недействительным соглашение о защите конфиденциальности между ЕС и США, которое позволило компаниям самостоятельно сертифицировать адекватный уровень защиты данных, исключив самый простой способ передачи персональных данных пользователей из ЕС в США. И хотя суд в целом не объявил вне закона международную передачу персональных данных пользователей из ЕС, он ясно дал понять, что агентства по защите данных должны вмешиваться и приостанавливать потоки данных, если они подозревают, что информация перемещается в место, и таким образом, что это подвергать риску.
После Schrems II переводы в США явно проблематичны, если данные обрабатываются американской компанией, подпадающей под действие FISA 702, как в случае с Facebook.
Действительно, передача данных Facebook из ЕС в США была первоначальной целью заявителя в деле Schrems II (одноименного Макса Шремса). И еще не принято решение о том, выполнит ли ведущий надзорный орган ЕС по данным технологического гиганта в прошлом году предварительное распоряжение о приостановке потоков данных в ЕС – в ближайшие месяцы.
Еще до того, как этот долгожданный расчет был сделан в Ирландии, другие DPA ЕС в настоящее время вмешиваются, чтобы принять меры, и в письме Кельбера упоминается решение Schrems II как еще одна проблема, вызывающая беспокойство.
Тосони согласен с тем, что соблюдение GDPR наконец-то набирает обороты. Но он также предположил, что соблюдение постановления Schrems II имеет множество нюансов, учитывая, что каждый поток данных должен оцениваться в индивидуальном порядке – с рядом дополнительных мер, которые могут быть в состоянии применить контролеры.
«Это событие также показывает, что европейские органы по защите данных серьезно относятся к соблюдению требований к передаче данных GDPR, как это интерпретируется CJEU в Schrems II, поскольку Федеральный комиссар Германии по защите данных и свободе отметил это как еще одну проблему», – сказал он.
«Тем не менее, Федеральный комиссар Германии разослал свое письмо об использовании страниц Facebook за несколько дней до того, как EDPB приняла окончательную версию своих рекомендаций по дополнительным мерам для международной передачи данных после постановления CJEU Schrems II. Таким образом, еще неизвестно, как органы по защите данных Германии будут учитывать эти новые рекомендации в контексте своей будущей оценки соответствия GDPR использования страниц Facebook государственными органами Германии.
«Такие рекомендации не устанавливают полный запрет на передачу данных в США, но требуют принятия строгих мер безопасности, которые необходимо будет соблюдать, чтобы продолжить передачу данных немецких посетителей страниц Facebook в США».
Другое недавнее решение CJEU подтвердило, что агентства по защите данных ЕС могут при определенных обстоятельствах принимать меры, если они не являются ведущими надзорными органами данных для конкретной компании в соответствии с механизмом единого окна GDPR, что расширяет возможность судебных разбирательств со стороны наблюдателей в Государства-члены, если местное агентство считает, что действовать необходимо срочно.
Хотя, в случае использования немецкими правительственными органами страниц Facebook, более раннее решение CJEU о совместном праве контроля означает, что BfDi уже имеет четкую юрисдикцию для нацеливания на сами страницы этих агентств в Facebook.