Преди малко повече от месец noyb подаде 101 жалби срещу няколко компании, базирани в ЕС / ЕИП, тъй като те продължават да използват Google Analytics и Facebook Connect на своите уебсайтове - като по този начин прехвърлят лични данни към Google и Facebook в САЩ. Според решението на СЕС от 16 юли 2020 г. такива трансфери на данни са незаконни, тъй като Google и Facebook са обект на американското законодателство за наблюдение и трябва да разкриват данни на европейски потребители на американските разузнавателни служби.
Едва ли има реакция от заинтересованите компании - въпреки заплахата от 20 милиона евро глоба
Въпреки че е политически ясно, че в близко бъдеще няма да има нов „Щит за поверителност“ или „Безопасно пристанище“, много компании изглежда продължават да си заравят главите в пясъка.
Дори много юристи и "експерти" пренебрегват ясните изявления на СЕС и твърдят, че всичко е наред, стига човек да влезе в стандартни договорни клаузи ("SCC") с получателя на данните - пълна грешна преценка на ситуацията, която може да струва на компаниите скъпо.
Съдът на ЕС ясно заяви, че SCC не могат да бъдат използвани, ако получателят в САЩ се подчинява на американските закони за наблюдение (като FISA 702). Органите за защита на данните могат да налагат глоби в размер до 20 милиона евро или 4% от годишния оборот за нарушение на правилата на GDPR за трансфер на данни. Това е в допълнение към възможните искове за вреди от засегнатите потребители.
Следователно 101-те жалби, подадени от noyb, бяха замислени като сигнал за събуждане: решението на най-висшия съд на ЕС трябва да бъде спазено; както износителите на данни в ЕС, така и вносителите на данни в САЩ трябва да инспектират прехвърлянето на критични данни и, ако е необходимо, да ги спрат. Ако те не го направят доброволно, Съдът на ЕС изрично е задължил европейските органи за защита на данните да задължат да забранят такива трансфери на данни.
Това изглежда е пренебрегнато до голяма степен от операторите на уебсайтове, срещу които noyb е подал 101 жалби. Към 22.09.2020 г. само две компании и един университет са се свързали с noyb - всички те със седалище в Лихтенщайн. Те успяха да докажат, че са премахнали кодовите елементи за Google Analytics или Facebook Connect от своите уебсайтове. впоследствие noyb оттегли съответните жалби пред органа за защита на данните в Лихтенщайн.
" Досега само операторите на уебсайтове от Лихтенщайн ни изненадаха положително. Те реагираха бързо и коректно и спряха прехвърлянето на данни, които нарушаваха GDPR. Впоследствие оттеглихме жалбите. За съжаление не сме чули от оператори на уебсайтове от други държави-членки Колкото по-дълго чакат тези компании, толкова по-вероятно е те да бъдат санкционирани от органите за защита на данните ". - Марко Блохер, адвокат по защита на данните в noyb .
Google и Facebook също запазват мълчанието си
В допълнение към операторите на уебсайтове, 101-те жалби са насочени и срещу вносителите на данни Google и Facebook в САЩ, които също могат да бъдат държани отговорни за прехвърлянето на данни в нарушение на GDPR. Facebook досега не е направил никакви съществени коментари по 101 жалби; Google е предоставил само празни думи, заявявайки, че те "се ангажират да гарантират, че съгласно приложимите SCC, предоставени от Google, се поддържат необходимите защити за поверителност, независимо от местоположението на данните ". Гигантът от Силициевата долина обаче няма отговор как възнамерява да избегне да бъде подчинен на американските закони за наблюдение.
" Досега големите американски компании за данни повтарят като мантра, че оценяват ситуацията и гарантират, че потребителските данни са защитени въз основа на SCC. Тези празни фрази не променят факта, че американските закони за надзор дават на власти като NSA правото на достъп до огромни количества данни, които се прехвърлят в САЩ. Засега няма нищо друго освен мълчание по този конфликт между договори с клиенти от ЕС и американското законодателство ". - Марко Блохер
Европейският съвет за защита на данните създаде работна група по жалбите на noyb
Има едно положително развитие на ниво ЕС. Европейският съвет за защита на данните („EDPB“, орган на ЕС, съставен от представители на европейските органи за защита на данните) създаде специална работна група за разглеждане на 101 жалби. Тази работна група е да разследва фактите, свързани с жалбите, и да осигури тясно сътрудничество между членовете на съвета. EDPB също ще " изготви препоръки за подпомагане на администраторите и обработващите лични данни със задължението им да идентифицират и прилагат подходящи допълнителни мерки, за да осигурят адекватна защита при прехвърляне на данни към трети държави ".
" Много сме доволни, че EDPB е взел активна роля по този въпрос и се ангажира да работи за последователно третиране на нашите жалби. Надяваме се, че тази координация ще доведе до разглеждането на жалбите еднакво ефективно и бързо във всички ЕС / ЕИП Досега нашият опит показва, че някои органи за защита на данните са много продуктивни, докато други изглеждат склонни да променят каквато и да е процедура. Затова паневропейският подход във всеки случай е добре дошъл. 101-те жалби не са сложни по същество и са почти идентични. Ако органът в държава-членка А успее да разгледа жалбата своевременно, органът в държава-членка Б няма извинение защо не може да го направи “. - Марко Блохер
noyb продължава да наблюдава ситуацията по всяка жалба, за да гарантира, че решенията на СЕС също така защитават правата на всеки гражданин в ежедневието им.