101 Подадени жалби за трансфери между ЕС и САЩ

Aug 17, 2020

Бърз анализ на HTML изходния код на основните уеб страници на ЕС показва, че много компании все още използват Google Analytics или Facebook Connect един месец след голямо решение на Съда на Европейския съюз (CJEU) - въпреки че и двете компании явно попадат под надзора на САЩ закони, като FISA 702. Нито Facebook, нито Google изглежда имат правно основание за прехвърлянето на данни. Google все още твърди, че разчита на „Щита за поверителност“ един месец след като е бил обезсилен, докато Facebook продължава да използва „SCC“, въпреки че Съдът констатира, че американските закони за наблюдение нарушават същността на основните права на ЕС.

101 подадени жалби, отнасящи се до компании в 30 държави-членки на ЕС и ЕИП. Във всички 30 държави-членки на ЕС и ЕИП са подадени жалби срещу 101 европейски компании, които все още препращат данни за всеки посетител до Google и Facebook. Жалбите се подават и срещу Google и Facebook в САЩ, тъй като продължават да приемат тези трансфери на данни, въпреки че нарушават GDPR. Уебсайтовете, избрани въз основа на TLD на държавата-членка (като „.fr“ за Франция), два конкретни кодови фрагмента и трафика на страницата.

Направихме бързо търсене на основните уебсайтове във всяка държава-членка на ЕС за код от Facebook и Google. Тези кодови фрагменти препращат данни за всеки посетител към Google или Facebook. И двете компании признават, че прехвърлят данни за европейци в САЩ за обработка, където тези компании имат законово задължение да предоставят такива данни на американски агенции като NSA. Нито Google Analytics, нито Facebook Connect са от съществено значение за стартирането на тези уеб страници и са услуги, които биха могли да бъдат заменени или поне деактивирани досега. ”Казва Макс Шремс, почетен председател на noyb.eu.

Компаниите от ЕС и САЩ широко игнорират решението. Американски компании като Google, Facebook или Microsoft очевидно попадат под задълженията да предоставят лични данни на лица в ЕС на правителството на САЩ съгласно закони като FISA 702 или EO 12.333. Те дори се споменават в документите на Сноудън. Въпреки ясното решение на СЕС, сега те твърдят, че трансферите на данни могат да продължат съгласно така наречените стандартни договорни клаузи - и много от износа на данни в ЕС изглеждат повече от готови да приемат това невярно твърдение.

Шремс: „ Съдът беше категоричен, че не можете да използвате SCC, когато получателят в САЩ попада под тези закони за масово наблюдение. Изглежда, че американските компании все още се опитват да убедят своите клиенти от ЕС в обратното. Това е повече от сенчесто. Според SCC вносителят на данни от САЩ вместо това ще трябва да информира подателя на данни за ЕС за тези закони и да ги предупреди. Ако това не бъде направено, тогава тези американски компании действително носят отговорност за причинените финансови щети.

ОЗД ще трябва да предприемат действия. GDPR изисква всеки орган за защита на данните (DPA) във всяка държава-членка да прилага закона, особено при получаване на жалба. Съдът на Европейските общности изрично подчерта задължението на ОЗД да предприемат действия. Това може да варира от известия за забрана до сериозни санкции в размер на 20 милиона евро или 4% от световния оборот на изпращача от ЕС и получателя на лични данни от САЩ.

noyb предоставя насоки за компаниите. Особено за по-малките компании от ЕС, които не са сигурни в американските закони за надзор и ако техният американски партньор попада под тези закони, noyb е предоставил безплатни насоки и заявки за модели на своята уеб страница.

Планирани са допълнителни правни действия. noyb планира постепенно да засили натиска върху компаниите от ЕС и САЩ да преразгледат своите договорености за трансфер на данни и да се адаптират към ясното решение на върховния съд на ЕС. Шремс: „ Въпреки че разбираме, че някои неща може да се нуждаят от известно време, за да се пренаредят, неприемливо е някои играчи просто да игнорират най-горния корт на Европа. Това също е несправедливо спрямо конкуренти, които се съобразяват с тези правила. Постепенно ще предприемем стъпки срещу администратори и обработващи данни, които нарушават GDPR, и срещу власти, които не изпълняват решението на Съда, като ирландския DPC, който остава бездействащ. "