23 χρόνια παράνομων διαβιβάσεων δεδομένων λόγω ανενεργών DPA και νέων συμφωνιών ΕΕ-ΗΠΑ
Σε δύο αποφάσεις ορόσημο το 2015 και το 2020, το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) κήρυξε παράνομες τις διαβιβάσεις δεδομένων ΕΕ-ΗΠΑ. Αυτές οι αποφάσεις είναι αναδρομικές, πράγμα που σημαίνει ότι δεν υπήρχε νομική βάση για τις εν λόγω μεταφορές μεταξύ του 2000 και του 2023. Ωστόσο, οι περισσότερες εταιρείες της ΕΕ συνέχισαν να χρησιμοποιούν υπηρεσίες όπως το Google Analytics ή εργαλεία παρακολούθησης της Meta που συνεπάγονται παράνομες μεταφορές δεδομένων στις ΗΠΑ. Μια νέα ανάλυση των 101 καταγγελιών της noyb για αυτό το θέμα δείχνει τώρα πώς ένας συνδυασμός ανενεργών αρχών προστασίας δεδομένων και νέων συμφωνιών από την Ευρωπαϊκή Επιτροπή οδήγησαν σε 23 χρόνια παραβιάσεων της ιδιωτικής ζωής.
23 χρόνια παράνομων μεταγραφών. Το ανώτατο ευρωπαϊκό δικαστήριο έστειλε ένα ισχυρό μήνυμα για καλύτερο απόρρητο δεδομένων, όταν ακύρωνε τις συμφωνίες μεταφοράς δεδομένων «Safe Harbor» και «Privacy Shield» το 2015 και το 2020 αντίστοιχα. Η λογική συνέπεια αυτής της απόφασης ήταν ότι σχεδόν όλες οι μεταφορές μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών από το έτος 2000 ήταν παράνομες. Στην πραγματικότητα, οι εταιρείες δεν σταμάτησαν την πρακτική όμως. Αυτό κατέστη δυνατό σε μεγάλο βαθμό από την αδράνεια των ευρωπαϊκών αρχών προστασίας δεδομένων (DPA), οι οποίες ως επί το πλείστον απέτυχαν να εφαρμόσουν τις αποφάσεις του ΔΕΕ. Σε συνδυασμό με νέες (και άκυρες) συμφωνίες, ανατρέχουμε λοιπόν σε 23 χρόνια παράνομων διαβιβάσεων δεδομένων.
Marco Blocher, Δικηγόρος Προστασίας Δεδομένων στο noyb : «Βρισκόμαστε μάρτυρες μιας ορισμένης κατάρρευσης του κράτους δικαίου. Το ανώτατο δικαστήριο της Ευρώπης κήρυξε παράνομες τις διαβιβάσεις δεδομένων των τελευταίων 23 ετών, αλλά οι αρχές κοίταξαν σε μεγάλο βαθμό από την άλλη πλευρά».
Μαζεύοντας σκόνη σε ένα συρτάρι. Για να διασφαλίσει την επιβολή, η noyb είχε υποβάλει 101 καταγγελίες μετά την ακύρωση της απόφασης επάρκειας "Privacy Shield" το 2020 από το ΔΕΕ. Διακομιστές Google και Meta στις Ηνωμένες Πολιτείες. Παρά τις ρητές καταγγελίες και το γεγονός ότι οι συνεχιζόμενες μεταφορές αποτελούσαν σαφή παραβίαση του GDPR, οι αρμόδιες αρχές προστασίας δεδομένων δεν έχουν ακόμη καταλήξει σε απόφαση σε περισσότερο από το 70 τοις εκατό των καταγγελιών του noyb μέχρι σήμερα. Η 18η Αυγούστου σηματοδοτεί την τρίτη επέτειο των καταγγελιών.
Ατελείωτο παιχνίδι αναμονής. Στην πραγματικότητα, η απόφαση του ΔΕΕ εξασφάλισε μια σαφή νομική κατάσταση για τις ΑΠΔ προκειμένου να λάβουν σχετικά γρήγορη απόφαση σε υποθέσεις σχετικά με διαβιβάσεις δεδομένων. Η πιο πρόσφατη ανάλυση του noyb δείχνει, ωστόσο, ότι 20 από τις 32 ενδιαφερόμενες αρχές (62,5%) δεν έχουν εκδώσει απόφαση για ούτε μία καταγγελία που υποβλήθηκε σε αυτές. Ακόμη και οι πιο δραστήριες αρχές χρειάστηκαν πολύ περισσότερο χρόνο από ό,τι προέβλεπε ο νόμος. Η πρώτη από τις 13 επί του παρόντος αποφάσεις προήλθε από το DSB της Αυστρίας. Χρειάστηκαν σχεδόν 1,5 χρόνο για να ληφθεί μια απόφαση σχετικά με την καταγγελία του noyb , παρά τα απλά γεγονότα της υπόθεσης και τη σαφή νομική κατάσταση.
Marco Blocher, Δικηγόρος Προστασίας Δεδομένων στο noyb : «Περίπου τα δύο τρίτα όλων των ΑΠΔ που καταθέσαμε δεν έλαβαν ούτε μία απόφαση μέσα σε τρία χρόνια. Ορισμένες είναι ακόμη και αδύνατο να προσεγγιστούν και δεν παρέχουν ενημερώσεις σχετικά με την κατάσταση των καταγγελιών. Είναι παράλογο σε ορισμένα κράτη μέλη, ακόμη και τέτοιες απλές περιπτώσεις δεν επιβάλλονται».
Κακό παράδειγμα. Αυτό που το κάνει ακόμη χειρότερο είναι ότι η Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) – δηλαδή η εποπτική αρχή για την Google και τη Meta – είναι μία από τις 20 ΑΠΔ που δεν έχουν ακόμη σηκώσει το δάχτυλο. Και οι έξι καταγγελίες που υποβλήθηκαν ενώπιον του DPC εξακολουθούν να εκκρεμούν. Αλλά η αρχή δεν είναι μόνη σε αυτό. Μεταξύ άλλων, το ίδιο ισχύει και για το βελγικό, ολλανδικό, ελληνικό, πολωνικό, σλοβακικό και τσεχικό DPA. Η πλήρης ανάλυση συνδέεται παραπάνω.
Κανείς δεν τολμά να βγάλει πρόστιμο. Μέχρι σήμερα, εκκρεμούν συνολικά 73 υποθέσεις. Ο noyb κέρδισε εννέα περιπτώσεις, κέρδισε τρεις μερικώς και έχασε μία. Αλλά ακόμη και τα θετικά νέα είναι αποθαρρυντικά. Μόνο σε μία περίπτωση η αρμόδια αρχή (στη Σουηδία) επέβαλε πρόστιμο για παράνομη χρήση του Google Analytics : Ο πάροχος τηλεπικοινωνιών Tele2 έπρεπε να πληρώσει ένα εκατομμύριο ευρώ, ο διαδικτυακός λιανοπωλητής CDON 25.000 ευρώ. Αυτό είναι μόνο δύο πρόστιμα σε 101 περιπτώσεις.
Marco Blocher, Δικηγόρος Προστασίας Δεδομένων στο noyb : «Μόνο η σουηδική αρχή εξέδωσε πρόστιμο, όλες οι άλλες αρχές δεν εξέδωσαν πρόστιμο για προφανή παραβίαση του GDPR».
Η Επιτροπή της ΕΕ ξεπέρασε τις ΑΠΔ. Για πολλές από τις υπόλοιπες καταγγελίες, τρία χρόνια μετά την κατάθεση, δεν είναι ακόμη σαφές εάν οι αρμόδιες ΑΠΔ θα καταλήξουν ποτέ σε μια απόφαση ή απλώς θα προσπαθήσουν να διευθετήσουν το ζήτημα. Εν τω μεταξύ, η Επιτροπή της ΕΕ και οι ΗΠΑ έχουν βάλει δουλειά. Στα μέσα Ιουλίου του τρέχοντος έτους, συμφώνησαν σε ένα «νέο» Trans-Atlantic Data Privacy Framework («TADPF») το οποίο είναι σε μεγάλο βαθμό αντίγραφο του προκατόχου του. Οι πολίτες της ΕΕ εξακολουθούν να μην έχουν συνταγματικά δικαιώματα στις Ηνωμένες Πολιτείες, γεγονός που επιτρέπει σε υπηρεσίες πληροφοριών όπως η NSA να χρησιμοποιούν τα δεδομένα τους για σκοπούς παρακολούθησης. Ταυτόχρονα, το νέο Πλαίσιο δίνει τη δυνατότητα στις ΑΠΔ να αναστείλουν τις ενεργές διαδικασίες για να περιμένουν και να δουν εάν το ΔΕΕ θα ακυρώσει την απόφαση επάρκειας για τρίτη φορά.
Marco Blocher, Δικηγόρος Προστασίας Δεδομένων στο noyb : «Βασικά έχουμε 23 χρόνια παράνομων συμφωνιών μεταφοράς ή μη επιβολής. Είναι εκπληκτικό ότι κάθε κανονικός άνθρωπος τιμωρείται με πρόστιμο εάν παραβιάσει το νόμο, απλώς όταν πρόκειται για τον GDPR δεν υπάρχει καμία συνέπεια – ακόμη και μετά από δύο αποφάσεις του ΔΕΕ».
Πιθανά μέτρα έχουν αποτύχει όλα. Αφού η noyb υπέβαλε 101 καταγγελίες, φαινόταν για λίγο σαν να υπήρχε ελπίδα για έγκαιρη επίλυση. Το EDPB δημιούργησε ακόμη και μια άτυπη «taskforce» προκειμένου να αποφευχθεί ο κατακερματισμός της πρακτικής λήψης αποφάσεων. Δυστυχώς, δεν οδήγησε σε μια ενιαία προσέγγιση για να σταματήσει τελικά η παράνομη μεταφορά δεδομένων. Το υποκείμενο πρόβλημα των εταιρειών που δεν συμμορφώνονται με την ευρωπαϊκή νομοθεσία περί προστασίας δεδομένων εξακολουθεί να υφίσταται. Η τελική έκθεση της ομάδας εργασίας περιέχει μόνο υψηλού επιπέδου, προφανείς δηλώσεις.
Η τρίτη φορά είναι γούρι; Ακριβώς όπως το "Safe Harbor" και το "Privacy Shield", το νέο "TADPF" αργά ή γρήγορα θα αμφισβητηθεί ενώπιον του ΔΕΕ, το οποίο στη συνέχεια θα αξιολογήσει την εγκυρότητά του σύμφωνα με το δίκαιο της ΕΕ. Καθώς εξακολουθούν να υφίστανται τα θεμελιώδη προβλήματα με τον νόμο περί επιτήρησης των ΗΠΑ, υπάρχει μεγάλη πιθανότητα να υποστεί τη μοίρα των προκατόχων του - και να κηρυχθεί άκυρη με αναδρομική ισχύ. Η μπάλα θα είναι και πάλι στο γήπεδο των DPAs. Στο τέλος, θα πρέπει να επιβάλουν την απόφαση του ΔΕΕ. Δεδομένων των επιδόσεων τους μέχρι στιγμής, οι προοπτικές είναι τραγικές. Η noyb είναι έτοιμη να εκμεταλλευτεί όλες τις νομικές δυνατότητες για να εξασφαλίσει μια απόφαση για εκκρεμείς καταγγελίες και - εάν χρειαστεί - να υποβάλει νέες καταγγελίες για να διασφαλίσει ότι οι μελλοντικές αποφάσεις του ΔΕΕ θα τηρηθούν.
