Актуализация на 101 жалби на noyb: Австрийският орган за защита на данните отхвърля "подхода, основан на риска" за предаването на данни на трети държави

May 02, 2022

Актуална информация за 101 жалби: Австрийският орган за защита на данните отхвърли "подхода, основан на риска" за предаването на данни към трети държави

След новаторските решения на австрийския и френския орган за защита на данните, според които използването на Google Analytics е незаконно, австрийският орган за защита на данните издаде второ решение, което отива още по-далеч: Той обяви, че използването на IP анонимизацията на Google е безполезна мярка за защита при предаването на данни между ЕС и САЩ. Освен това ОРС отхвърли идеята за "подход, основан на риска", която беше изтъкната от Google

Същевременно някои органи в Европа прекратиха делата: Испанският и люксембургският орган за защита на данните прекратиха производствата по жалби, без да коментират незаконното използване на Google Analytics, тъй като съответният уебсайт е спрял да използва Google Analytics.

ОРЗД не предвижда "основан на риска подход" за предаването на данни След Schrems II големите технологични компании и адвокатите от индустрията насърчиха "подход, основан на риска" за предаването на данни. Те предложиха да се предвидят допълнителни предпазни мерки, както се изисква от CJEU, трябва да бъде само необходими в случай на "съществен риск за правата и свободите на субекта на данните". Така наречената стандартна договорна клауза следва да е достатъчна за "нискорискови случаи", например когато се предават "само" данни като онлайн идентификатори или IP адреси. Сега ОРС констатира, че това становище е погрешно: ОРЗД не познава подход, основан на риска, за предаването на данни на несигурни трети държави, като например САЩ.

"DSB най-накрая разкри "базирания на риска подход" за предаването на данни такъв, какъвто е: неумел опит да се смекчи ясната съдебна практика на Съда на ЕС. В съответните членове относно предаването на данни нито веднъж не се използва думата "риск"." - Марко Блохер, адвокат по защита на данните в noyb

Интелектуалната собственост на Google анонимизиране не защитава данните Австрийският DSB отхвърли и аргументите на Google, че уебсайтовете могат да активират IP анонимизация, когато използват инструменти като Google Analytics, за да защитят ефективно предадените данни от наблюдение. Това беше отхвърлено по две причини: първо, IP анонимизацията на Google засяга само IP адреса като такъв Данни като онлайн-идентификаторите, зададени в "бисквитките" или данните за устройствата, се предават в чист вид. Второ, анонимизирането на IP се извършва едва след като данните са били прехвърлени на Google.

"Сега се потвърждава, че само защото IP адресите се анонимизират на даден етап от процеса, IP адресите все още се обработват първоначално Анонимизиране на един идентификатор също не преодолява факта, че има и други идентификатори." - Марко Блохер, адвокат по защита на данните в noyb

Национални подходи въпреки работната група на ЕБО Органите за защита на данните планираха да предприемат координиран подход по отношение на 101-те жалби на noyb, но инсталираната работна група изглежда не дава резултат: докато австрийският и френският орган за защита на данните задълбочено са разследвали използването на инструменти, които прехвърлят лични данни към САЩ, испанският орган за защита на данните просто е отхвърлил жалба, защото доставчикът на уебсайта е премахнал Google Analytics от уебсайта след жалбата. Няма информация дали прехвърлянето на данни към САЩ преди премахването е било незаконно или не. По същия начин ДЗД на Люксембург е отхвърлил три жалби относно прехвърляне на данни към сървъри на Facebook в САЩ, защото уебсайтовете са премахнали инструментите.

"Прекратяването на нарушенията не прави миналото нарушение законно. Според логиката на тези органи не би трябвало да получите фиш за превишена скорост, ако в някакъв момент спрете да карате с превишена скорост." - Марко Блохер, адвокат по защита на данните в noyb