جریمه ۱.۴ میلیون دلاری فیسبوک برای نقض حریم خصوصی کاربران در اسپانیا

به‌تازگی یکی دیگر از جریمه‌های سنگین مربوط به حریم خصوصی برای فیسبوک در اروپا اعمال شده است. سازمان نظارت بر حفاظت اطلاعات اسپانیا، حکم جریمه‌ای به مبلغ ۱.۲ میلیون یورو (معادل با ۱.۴ میلیون دلار) را در رابطه با فعالیت‌های جمع‌آوری داده توسط این شرکت صادر کرده است. سازمان AEPD اسپانیا اعلام کرد که تحقیقات درباره‌ی چگونگی جمع‌آوری، ذخیره‌سازی و استفاده از داده‌ها برای اهداف تبلیغاتی فیسبوک، نشان می‌دهد که این کار بدون داشتن رضایت مناسب از سوی کاربران صورت می‌گیرد.

گزارش این سازمان همچنین بیان می‌دارد که شرکت آمریکایی فیسبوک، دو نقض جدی و یک نقض بسیار جدی در قانون حفاظت از داده‌ها را صورت داده است. مبلغ جریمه ۳۰۰ هزار یورو برای دو مورد اول و مبلغ ۶۰۰ هزار یورو هم برای مورد آخر در نظر گرفته شده است. سران نهاد ناظر همچنین اظهار کرده‌اند که جمع‌آوری داده‌ها توسط فیسبوک در مورد عقاید، جنسیت و روابط، اعتقادات مذهبی، سلیقه‌ی شخصی و تمایلاتشان انجام می‌شود و به باور این سازمان، فیسبوک کاربران را به‌طرز شایسته‌ و روشنی از این جمع‌آوری‌ها مطلع نمی‌کند.

برپایه‌ی قوانین محلی اسپانیا، کسب نکردن رضایت صریح کاربران برای پردازش داده‌های حساس شخصی، به عنوان یک تخطی بسیار جدی تلقی می‌شود. استفاده‌ی فیسبوک از کوکی‌های مرورگر وب نیز در دسته‌ی نقض قوانین حفظ حریم خصوصی ارزیابی شده است. در واقع تایید شده است که کاربران از پردازش اطلاعات خودشان در هنگام استفاده از کوکی‌ها و در زمانی که آنها در حال مرور صفحاتی خارج از فیسبوک که دارای کلیدهای لایک فیسبوک بوده‌اند، آگاهی نداشته‌اند.

باید توجه کنیم در حالی که برخی موارد استفاده از این داده‌ها به‌عنوان موارد تبلیغاتی اعلام شده است، شماری استفاده‌های دیگر نیز به‌صورت مخفی بوده و توسط شرکت منتشر نشده بوده است. مقامات مسئول اسپانیایی همچنین توضیح داده‌اند:

این وضعیت همچنین زمانی رخ می‌دهد که کاربران عضو شبکه‌ی اجتماعی نیستند، اما تنها از یکی از صفحات آن شبکه بازدید کرده‌اند و همچنین زمانی که پروفایل کاربران ثبت نام کرده در فیس بوک از طریق صفحات شخص ثالث، حتی بدون ورود به فیسبوک مرور می‌شوند. در این موارد، پلتفرم آن‌ها، اطلاعاتی را که از صفحات ذکر شده، جمع‌آوری کرده است، به اطلاعات مرتبط با حساب شما در شبکه‌ی اجتماعی اضافه می‌کند.بنابراین، AEPD معتقد است اطلاعاتی که توسط فیسبوک برای کاربران ارائه می‌شود، با مقررات حفاظت از داده‌ها سازگاری ندارد. مشکل دیگر در این است که فیسبوک، داده‌های برداشت‌شده را پس از اتمام استفاده از آن حذف نمی‌کند. همچنین ثابت شده است که فیسبوک داده‌های مربوط به جستجوی کاربران را حذف نمی‌کند؛ بلکه در واقع از آن داده‌ها مجددا برای همان کاربر استفاده می‌کند. این موضوع هنگامی مشخص شد که یک کاربر صراحتا از فیسبوک خواسته بود تا داده‌های یادشده را پاک کند.

در بخش دیگری از گزارش مطرح می‌شود:

با توجه به روند حفظ و نگه‌داری داده‌ها، زمانی که یک کاربر شبکه‌ی اجتماعی حساب کاربری خود را حذف کرده و درخواست حذف اطلاعات را می‌کند، فیسبوک از طریق یک کوکی حساب حذف شده، اطلاعات را به مدت بیش از ۱۷ ماه بررسی می‌کند؛ بنابراین، AEPD معتقد است که داده‌های شخصی کاربران به‌طور کامل حذف نمی‌شوند یا زمانی حذف می‌شوند که دیگر برای هدف مورد نظر جمع‌آوری‌شده نیاز نباشند یا زمانی که کاربر به‌طور صریح از آن‌ها درخواست حذف را داشته باشد. طبق الزامات قانون محلی LOPD، این یک نقض آشکار در قوانین است.

AEP‌D که اعلام کرده است که سایر نهادهای مسئول در بلژیک، فرانسه، آلمان (هامبورگ) و هلند که تحقیقات جداگانه‌ی خود را در مورد این مسائل انجام می‌دهند، همکاری خواهد کرد؛ برخی از این نهادها به دنبال ایجاد تغییر فیسبوک در قوانین پذیرش و شرایط خود در سال ۲۰۱۵، آغاز به تحقیق کرده‌اند و گفته شده است که سیاست‌نامه‌ی حریم خصوصی آن‌ها در نسخه‌ی جدید حاوی اصطلاحات عمومی و غیرقابل توضیح بوده است و به‌طور نادقیقی اشاره به استفاده از آن داده‌ها و جمع‌آوری آن‌ها داشته است.

این مقام ادعا کرده است که یک کاربر فیسبوک با داشتن دانش متوسط ​​از فناوری‌های جدید، نه از جمع‌آوری داده‌ها و نه از ذخیره‌سازی و استفاده‌های بعدی از آن‌ها یا حتی مورد استفاده بودن یا نبودن آن‌ها، هیچ آگاهی ندارد. وی همچنین اشاره می‌کند که کاربران اینترنت ثبت‌نشده نمی‌دانند که آن شبکه‌ی اجتماعی، داده‌های مرورگر آن‌ها را جمع آوری می‌کند. این همان چیزی است که باعث ایجاد مناقشه میان فیسبوک و برخی نهادهای مربوطه در سایر کشورهای اروپایی نیز شده است.

سخنگوی فیسبوک در مورد اقدامات نهاد اسپانیایی، اعلام کرده است که این شرکت قصد دارد تا تصمیم را مورد تجدید نظر قرار دهد. وی همچنین اشاره کرد که تجارت اروپایی آن‌ها (در حال حاضر) تحت قوانین حفاظت از داده‌های ایرلند قرار دارد. بیانیه‌ی فیسبوک به‌صورت زیر است:

ما تصمیم DPA را مورد توجه قرار می‌دهیم و با کمال احترام، مخالف آن هستیم. در حالی که ما برای فرصت‌های اختصاص‌داده شده به‌منظور برقراری ارتباط با DPA ارزش قائل هستیم تا میزان جدی گرفته شدن حریم خصوصی کاربران فیسبوک را مورد ارزیابی قرار دهیم؛ اما قصد داریم این تصمیم قضایی را نیز مورد تجدید نظر قرار دهیم. همان‌طور که به DPA نیز صراحتا اعلام کرده‌ایم، کاربران اطلاعاتی را که می‌خواهند به نمایه‌ی خود اضافه کنند یا با دیگران به اشتراک بگذارند، خودشان انتخاب می‌کنند؛ مواردی مانند مذهب. با این حال، ما از این اطلاعات برای ارسال یا پیشنهاد تبلیغات برای افراد استفاده نمی کنیم. فیسبوک مدت‌هاست که از قانون حفاظت اطلاعات اتحادیه‌ی اروپا در مقر واقع در ایرلند، تبعیت می‌کند. ما همچنان برای ادامه‌ی بحث در مورد این مسائل با DPA آماده هستیم. این در حالی است که برای تنظیم مراحل جدید حفاظت از اطلاعات اتحادیه‌ی اروپا در سال ۲۰۱۸ با مسئولین اصلی زمینه‌ی حفاظت اطلاعات در ایرلند کار می کنیم.

البته میزان جریمه‌ی AEPR، برای کمپانی فیسبوکی که درآمدش در سال ۲۰۱۶ برابر با ۲۷.۶۴ میلیارد دلار بوده، مبلغ ناچیزی است. بنابراین تقاضای تجدیدنظر فیسبوک در این جریمه بیشتر از آن که به خاطر موضوع مالی باشد، به خاطر برطرف کردن هرگونه ابهام یا اتهام پیرامون نقض حریم خصوصی از جانب این شرکت است.

اما با توجه به آنچه که از منشور قوانین حفاظت از داده‌های جدید در اتحادیه‌ی اروپا بر می‌آید، روند قانونی جدید که از ماه مه سال آینده به اجرا در خواهد آمد، باید منتظر ملاحظات و جرایم مالی جدی برای کسب‌وکار فیسبوک در رابطه با حریم خصوصی باشیم. گفتنی است که قوانین جدید اتحادیه‌ی اروپا شامل مجموعه‌ی گسترده‌تر از جریمه‌ها و مجازات‌ها برای شرکت‌هایی است که تخطی آنها از قوانین حفاظت داده‌ها و همچنین قوانین حریم خصوصی اثبات شده باشد.

برای نمونه می‌توان به گسترش تعریف معین‌شده از مفهوم داده‌های شخصی و دادن حق قانونی به شهروندان اتحادیه‌ی اروپا برای حذف اطلاعات خودشان، اشاره کرد. کمپانی‌ها با جریمه‌ی تا میزان ۴ درصد از درآمد سالانه‌ی جهانی خود برای نقض حریم خصوصی تحت GDPR مواجه خواهند شد. بنابراین، در مورد فیسبوک، جریمه‌ی مربوط به حریم خصوصی می‌تواند تا مقیاسی بیش از یک میلیارد دلار برسد و جریمه‌هایی از آن دست دیگر چیزی نخواهد بود که این غول دنیای فناوری بتواند به دفعات زیاد و به راحتی با آن‌ها کنار بیاید.

البته در حالی که GDPR خواستار گرفتن رضایت کاربران برای پردازش داده‌های شخصی است، در این میان خطر گسترش و نگهداری مقدار زیادی از اطلاعات شخصی نیز افزایش می‌یابد. علاوه‌بر این، شرکتی در قواره‌های فیسبوک که داده‌هایی را از سرتاسر کشورهای عضو اتحادیه‌ی اروپا پردازش می‌کند، ممکن است به این نتیجه برسد که قوانین جدید وضعیتی را ایجاد می‌کند که در آن با اقدامات نگران‌کننده‌ی مشابهی از سایر نهادهای حفاظت اطلاعات نیز روبه‌رو شوند.

بنابراین، در مورد فیسبوک، ممکن است به راحتی نتوان مدعی شد که آن‌ها تنها تحت حوزه‌ی اختیارات سازمان حفاظت از اطلاعات ایرلند باشند. از طرفی باید بپذیریم که در اروپا، برخی سازمان‌های حفاظت اطلاعات نسبت به سایرین از قوانین سختگیرانه‌تری در رابطه با حریم خصوصی استفاده می‌کنند. فیسبوک پیشتر در مورد آماده‌سازی خود برای GDPR اعلام کرده بود که آن‌ها یک تیم ترکیبی را برای تجزیه‌وتحلیل کامل قانون و کمک به کارکنانشان پیرامون درک وضعیت جدید از یک دیدگاه قانونی، سیاسی و تجاری، ایجاد کرده‌اند.

آن‌ها از گروه فوق به عنوان بزرگ‌ترین تیم عملکردی در تاریخ خانواده‌ی فیسبوک یاد کرده بودند. آن‌ها اکنون نیز به دنبال استخدام یک کارمند حافظت از اطلاعات هستند؛ این در واقع منصبی است که تحت مجوز GDPR قرار دارد. استفان دیدمن، مسئول بخش حفظ حریم خصوصی فیسبوک در یک بیانیه اعلام کرده است:

ما تا پیش از ماه مه آینده، با تیم های تولید، طراحی و مهندسی خودمان کار می‌کنیم تا محصولات موجود و محصولات جدید را به‌گونه‌ای طراحی کنیم که به‌طور همزمان یک تجربه‌ی شهودی و کاربرمحور را فراهم کند و ما قادر به انجام تعهدات خود نسبت به GPDR باشیم.