Австрийският DSB: предаването на данни от ЕС и САЩ на Google Analytics е незаконно

Jan 13, 2022

Австрийски DSB: Използването на Google Analytics нарушава решението на Съда на ЕС "Schrems II".

С новаторско решение австрийският орган за защита на данните ("Datenschutzbehörde" или "DSB") реши по дело по образец на noyb , че непрекъснатото използване на Google Analytics нарушава ОРЗД. Това е първото решение по 101 типови жалби, пода дени от noyb след така нареченото решение "Schrems II". През 2020 г. Съдът на ЕС (CJEU) реши, че използването на американски доставчици нарушава GDPR, тъй като американските закони за наблюдение изискват от американски доставчици като Google или Facebook да предоставят лични данни на американските органи. Подобни решения се очакват и в други държави - членки на ЕС, тъй като регулаторните органи си сътрудничат по тези дела в рамките на "работна група" на ЕБО. Изглежда, че решението на австрийския ОРС е първото, което ще бъде издадено.

решението на СЕС от 2020 г. попада в реалния свят. През юли 2020 г. Съдът на ЕС издаде революционното си решение "Schrems II", в което постановява, че предаването на данни на американски доставчици, които попадат в обхвата на FISA 702 и EO 12.333, нарушава правилата за международно предаване на данни в ОРЗД. Вследствие на това Съдът на ЕС анулира сделката за предаване на данни "Щит за защита на личните данни", след като през 2015 г. анулира предишната сделка "Безопасно пристанище". Въпреки че това предизвика шокови вълни в технологичната индустрия, доставчиците от САЩ и износителите на данни от ЕС до голяма степен игнорираха случая. Подобно на Microsoft, Facebook или Amazon, Google разчиташе на така наречените "стандартни договорни клаузи", за да продължи трансфера на данни и да успокои европейските си бизнес партньори.

Макс Шремс, почетен председател на noyb.eu:"Вместо реално да адаптират услугите си, за да бъдат съвместими с GDPR, американските компании се опитаха просто да добавят няколко текста към своите политики за защита на личните данни и да игнорират Съда на ЕС.Много компании от ЕС последваха примера, вместо да преминат към законови възможности"

SCCs и "TOMs" не са достатъчни. Макар че Google представи документи, в които се твърди, че е приложила "технически и организационни мерки" ("TOMs"), които включват идеи като наличието на огради около центровете за данни, преглеждането на исканията или наличието на базово криптиране, ОРС отхвърли тези мерки като абсолютно безполезни, когато става въпрос за наблюдение от страна на САЩ (стр. 38 и 39 от решението):

"По отношение на описаните договорни и организационни мерки не е ясно до каква степен [мярката] е ефективна по смисъла на горните съображения."

"Що се отнася до техническите мерки, също не може да се разпознае (...) до каква степен [мярката] действително би предотвратила или ограничила достъпа на разузнавателните служби на САЩ предвид законодателството на САЩ."

Макс Шремс:"Това е много подробно и обосновано решение. Същественото е, че: Компаниите вече не могат да използват американски облачни услуги в Европа. Вече изминаха 1,5 години, откакто Съдът на ЕС потвърди това за втори път, така че е повече от време законът да бъде и приложен."

Решението е от значение за почти всички уебсайтове в ЕС. Google Analytics е най-разпространената статистическа програма. Въпреки че има много алтернативи, които се хостват в Европа или могат да се хостват самостоятелно, много уебсайтове разчитат на Google и по този начин предават данните на потребителите си на американската мултинационална компания. Фактът, че сега органите за защита на данните могат постепенно да обявят американските услуги за незаконни, оказва допълнителен натиск върху дружествата от ЕС и доставчиците от САЩ да преминат към безопасни и законни варианти, като хостинг извън САЩ. Подобно решение относно предаването на данни между ЕС и САЩ беше взето от Европейския надзорен орган по защита на данните (ЕНОЗД ) седмица по-рано.

Макс Шремс:"Очакваме сега подобни решения да отпаднат постепенно в повечето държави-членки на ЕС. Подадохме 101 жалби в почти всички държави членки и органите координираха отговора. Подобно решение беше издадено и от Европейския надзорен орган по защита на данните миналата седмица"

Дългосрочно решение. В дългосрочен план изглежда има две възможности: Или САЩ адаптират базовите защити за чужденци, за да подкрепят технологичната си индустрия, или американските доставчици ще трябва да хостват чуждестранни данни извън САЩ.

Макс Шремс:"В дългосрочен план или се нуждаем от подходящи защити в САЩ, или в крайна сметка ще имаме отделни продукти за САЩ и ЕС. Лично аз бих предпочел по-добри защити в САЩ, но това зависи от американския законодател - не от никого в Европа."

Google LLC не попада в обхвата на правилата за прехвърляне? ОРС отхвърли исковете срещу Google LLC като получател на данни, като прие, че правилата за предаване на данни се прилагат само за субекти от ЕС, но не и за получатели от САЩ. Въпреки това ОРС заяви, че ще продължи да разследва Google LLC във връзка с потенциални нарушения на членове 5, 28 и 29 от ОРЗД, тъй като изглежда съмнително дали Google е имал право да предоставя лични данни на правителството на САЩ без изрична заповед от страна на износителя на данни от ЕС. ОРС ще издаде отделно решение по този въпрос.

Макс Шремс:"За нас е от решаващо значение, че доставчиците от САЩ не могат просто да прехвърлят проблема върху клиентите от ЕС. Поради това сме завели делото и срещу получателя от САЩ. ОРС частично отхвърли този подход. Ще преразгледаме дали ще обжалваме този елемент от решението"

Не се налагат санкции (все още). В решението не се разглежда потенциална санкция, тъй като това се разглежда като "публична" процедура за изпълнение, при която жалбоподателят не се изслушва. Няма информация дали е издадена санкция или дали ОРС планира да издаде и санкция. В ОРЗД се предвиждат санкции в размер до 20 млн. евро или 4 % от глобалния оборот в такива случаи.

Макс Шремс:"Бихме предположили, че има и санкция за износителя на данни от ЕС,но досега сме получили само частично решение, което не разглежда този въпрос."

По-нататъшно прилагане от страна на германските органи за защита на данните. Тъй като австрийският износител на данни се е слял с германско дружество, австрийският ДЗЛД е бил компетентен за нарушенията само в миналото. DSB заяви, че ще повдигне въпроса за забрана на бъдещо предаване на данни пред съответния орган в новото седалище на износителя на данни в Германия.

Предистория и правен анализ. noyb е публикувал и по-задълбочен правен анализ на GDPRhub.eu.