Rychlá analýza zdrojového kódu HTML významných webových stránek EU ukazuje, že mnoho společností měsíc po významném rozsudku Soudního dvora Evropské unie (SDEU) stále používá službu Google Analytics nebo Facebook Connect - přestože obě společnosti jasně spadají pod americké zákony o sledování, jako je FISA 702. Zdá se, že ani Facebook, ani Google nemají pro předávání údajů právní základ. Google měsíc po zrušení platnosti "štítu na ochranu soukromí" stále tvrdí, že se na něj spoléhá, zatímco Facebook nadále používá "SCC", přestože Soudní dvůr EU konstatoval, že americké zákony o dohledu porušují podstatu základních práv EU.
- Odkaz na seznam všech 101 stížností noyb a společností
- Informace společnosti Google, která tvrdí, že "přechází" na standardní smluvní doložky
- Tvrzení společnosti Facebook, že stále používá Standardní smluvní doložky
101 podaných stížností, které se týkají společností ve 30 členských státech EU a EHP. Ve všech 30 členských státech EU a EHP bylo podáno 101 stížností na evropské společnosti, které stále předávají údaje o každém návštěvníkovi společnostem Google a Facebook. Stížnosti jsou podávány také proti společnostem Google a Facebook v USA, protože tyto přenosy údajů nadále akceptují, přestože jsou v rozporu s GDPR. Webové stránky byly vybrány na základě TLD členského státu (např. ".fr" pro Francii), dvou konkrétních úryvků kódů a návštěvnosti stránky.
"Provedli jsme rychlé vyhledávání na hlavních webových stránkách v každém členském státě EU, abychom zjistili kódy od společností Facebook a Google. Tyto úryvky kódů předávají údaje o každém návštěvníkovi společnosti Google nebo Facebook. Obě společnosti přiznávají, že předávají údaje Evropanů ke zpracování do USA, kde jsou tyto společnosti ze zákona povinny tyto údaje poskytnout americkým agenturám, jako je NSA. Google Analytics ani Facebook Connect nejsou pro provoz těchto webových stránek nezbytné a jedná se o služby, které již mohly být nahrazeny nebo alespoň deaktivovány," říká Max Schrems, čestný předseda noyb.eu.
Společnosti v EU a USA rozhodnutí soudu vesměs ignorují. Na americké společnosti, jako je Google, Facebook nebo Microsoft, se jednoznačně vztahuje povinnost poskytovat osobní údaje osob v EU vládě USA na základě zákonů, jako je FISA 702 nebo EO 12.333. Jsou dokonce zmíněny ve Snowdenových dokumentech. Navzdory jasnému rozhodnutí Soudního dvora EU nyní tvrdí, že předávání údajů může pokračovat na základě tzv. standardních smluvních doložek - a zdá se, že mnoho vývozců údajů z EU je více než ochotno toto nepravdivé tvrzení přijmout.
Schrems: "Soudní dvůr výslovně uvedl, že nelze použít SCCs, pokud příjemce v USA spadá pod tyto zákony o masovém sledování. Zdá se, že americké společnosti se stále snaží přesvědčit své zákazníky v EU o opaku. To je více než podezřelé. Podle SCC by dovozce údajů do USA musel naopak odesílatele údajů v EU o těchto zákonech informovat a varovat ho. Pokud se tak nestane, pak tyto americké společnosti skutečně nesou odpovědnost za případné způsobené finanční škody."
Orgány pro ochranu údajů budou muset přijmout opatření. GDPR vyžaduje, aby každý orgán pro ochranu osobních údajů (DPA) v každém členském státě prosazoval zákon, zejména když obdrží stížnost. Soudní dvůr výslovně zdůraznil povinnost orgánů pro ochranu údajů přijmout opatření. Ta mohou sahat od oznámení o zákazu až po závažné sankce ve výši 20 milionů EUR nebo 4 % celosvětového obratu odesílatele osobních údajů v EU a příjemce v USA.
noyb poskytuje pokyny pro společnosti. Zejména pro menší společnosti z EU, které si nejsou jisté americkými zákony o dohledu a tím, zda jejich americký partner spadá pod tyto zákony, poskytl noyb na svých webových stránkách bezplatné pokyny a vzory žádostí.
Plánují se další právní kroky. noyb plánuje na adrese postupně zvyšovat tlak na společnosti v EU a USA, aby přezkoumaly své dohody o předávání údajů a přizpůsobily se jasnému rozhodnutí nejvyššího soudu EU. Schrems: "I když chápeme, že některé věci mohou potřebovat určitý čas na nové uspořádání, je nepřijatelné, že někteří hráči zřejmě evropský nejvyšší soud jednoduše ignorují. Je to nefér i vůči konkurentům, kteří tato pravidla dodržují. Postupně podnikneme kroky proti správcům a zpracovatelům, kteří GDPR porušují, a proti úřadům, které rozhodnutí Soudního dvora neprosazují, jako například irské DPC, které zůstává nečinné."
