Před více než měsícem podala společnost noyb 101 stížností na několik společností se sídlem v EU/EHP, protože na svých webových stránkách nadále používají nástroje Google Analytics a Facebook Connect, čímž předávají osobní údaje společnostem Google a Facebook v USA. Podle Rozsudku Soudního dvora EU ze dne 16. července 2020je takové předávání údajů nezákonné, protože společnosti Google a Facebook podléhají americkým zákonům o sledování a musí údaje evropských uživatelů poskytovat americkým zpravodajským službám.
Téměř žádná reakce ze strany dotčených společností - navzdory hrozbě pokuty ve výši 20 mil
Ačkoli je politicky jasné, že žádný nový "štít na ochranu soukromí" nebo "bezpečný přístav" v blízké budoucnosti nevznikne, zdá se, že mnoho společností nadále strká hlavu do písku.
Dokonce i mnozí právníci a "odborníci" ignorují jasná prohlášení Soudního dvora EU a tvrdí, že vše je v pořádku, pokud se s příjemcem údajů uzavřou standardní smluvní doložky ("SCC") - což je naprosto chybné posouzení situace, které může společnosti přijít draho.
SDEU jasně uvedl, že SCC nelze použít, pokud příjemce v USA podléhá americkým zákonům o sledování (např. FISA 702). Úřady pro ochranu osobních údajů mohou za porušení pravidel GDPR o předávání údajů uložit pokuty až do výše 20 milionů EUR nebo 4 % ročního obratu. To platí navíc k případným nárokům na náhradu škody ze strany dotčených uživatelů.
101 stížností podaných společností noyb proto mělo být varovným signálem: rozhodnutí nejvyššího soudu EU je třeba respektovat; vývozci údajů v EU i dovozci údajů v USA musí kritické předávání údajů kontrolovat a v případě potřeby je zastavit. Pokud tak neučiní dobrovolně, Soudní dvůr EU výslovně uložil evropským orgánům pro ochranu údajů povinnost takové předávání údajů zakázat.
Zdá se, že provozovatelé internetových stránek, proti nimž společnost noyb podala 101 stížnost, to z velké části ignorovali. Ke dni 22. 9. 2020 se na noyb obrátily pouze dvě společnosti a jedna univerzita - všechny se sídlem v Lichtenštejnsku. Byly schopny prokázat, že ze svých webových stránek odstranily prvky kódu pro Google Analytics nebo Facebook Connect. noyb následně stáhl dotčené stížnosti u lichtenštejnského úřadu pro ochranu osobních údajů.
"Zatím nás pozitivně překvapili pouze provozovatelé webových stránek z Lichtenštejnska. Reagovali rychle a správně a zastavili přenosy údajů, které byly v rozporu s GDPR. Stížnosti jsme následně stáhli. Od provozovatelů webových stránek z jiných členských států jsme se bohužel neozvali. Čím déle budou tyto společnosti čekat, tím větší je pravděpodobnost, že jim úřady pro ochranu osobních údajů uloží sankce." - Marco Blocher, právník pro ochranu osobních údajů ve společnosti noyb.
Google a Facebook rovněž zachovávají mlčení
Kromě provozovatelů webových stránek směřuje 101 stížností také proti dovozcům údajů, společnostem Google a Facebook v USA, které mohou být rovněž činěny odpovědnými za předávání údajů v rozporu s GDPR. Facebook se ke 101 stížnostem dosud věcně nevyjádřil; Google poskytl pouze prázdná slova s tím, žese "zavazuje zajistit, aby v rámci platných SCC poskytovaných společností Google byla zachována požadovaná ochrana soukromí bez ohledu na umístění údajů". Gigant ze Silicon Valley však nemá žádnou odpověď na otázku, jak se hodlá vyhnout tomu, aby podléhal americkým zákonům o sledování.
"Velké americké datové společnosti zatím jako mantru opakují, že situaci vyhodnocují a zajišťují ochranu uživatelských údajů na základě SCC. Tyto prázdné fráze nic nemění na skutečnosti, že americké zákony o sledování dávají orgánům, jako je NSA, právo na přístup k obrovskému množství údajů, které jsou předávány do USA. O tomto rozporu mezi smlouvami se zákazníky z EU a zákony USA se zatím jen mlčí." - Marco Blocher
Evropský sbor pro ochranu osobních údajů zřídil pracovní skupinu pro stížnosti noyb
Na úrovni EU došlo k jednomu pozitivnímu vývoji. Evropský sbor pro ochranu osobních údajů ("EDPB", orgán EU složený ze zástupců evropských orgánů pro ochranu údajů) zřídil zvláštní pracovní skupinu, která se má zabývat 101 stížnostmi. Tato pracovní skupina má za úkol prošetřit skutečnosti, na nichž jsou stížnosti založeny, a zajistit úzkou spolupráci mezi členy sboru. EDPB rovněž"připraví doporučení, která pomohou správcům a zpracovatelům s jejich povinností určit a zavést vhodná doplňková opatření k zajištění odpovídající ochrany při předávání údajů do třetích zemí".
"Jsme velmi potěšeni, že se EDPB v této věci aktivně angažuje a je odhodlán pracovat na důsledném řešení našich stížností. Doufáme, že tato koordinace povede k tomu, že stížnosti budou vyřizovány stejně účinně a rychle ve všech zemích EU/EHP. Naše zkušenosti zatím ukazují, že některé úřady pro ochranu údajů jsou velmi produktivní, zatímco jiné se zdají být ochotny jakékoli řízení zastavit hned v zárodku. Celoevropský přístup je proto v každém případě vítán. 101 stížností není obsahově složitých a jsou téměř totožné. Pokud se orgánu v členském státě A podaří stížnost vyřídit včas, nemá orgán v členském státě B žádnou výmluvu, proč by tak nemohl učinit." - Marco Blocher
noyb i nadále sleduje situaci u jednotlivých stížností, aby zajistil, že rozhodnutí Soudního dvora EU budou chránit práva každého občana i v jeho každodenním životě.
