Αυστριακό DSB: Παράνομες οι μεταφορές δεδομένων ΕΕ-ΗΠΑ στο Google Analytics

Ιαν 13, 2022

Αυστριακό DSB: Η χρήση του Google Analytics παραβιάζει την απόφαση "Schrems II" του ΔΕΕ.

Σε μια ρηξικέλευθη απόφαση, η Αυστριακή Αρχή Προστασίας Δεδομένων ("Datenschutzbehörde" ή "DSB") αποφάσισε ένα μοντέλο υπόθεσης από το noyb ότι η συνεχής χρήση του Google Analytics παραβιάζει τον GDPR. Αυτή είναι η πρώτη απόφαση για τις 101 καταγγελίες μοντέλων που υπέβαλε η noyb στον απόηχο της λεγόμενης απόφασης «Schrems II». Το 2020, το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων (ΔΕΕ) αποφάσισε ότι η χρήση παρόχων των ΗΠΑ παραβιάζει τον GDPR, καθώς οι νόμοι περί επιτήρησης των ΗΠΑ απαιτούν από παρόχους των ΗΠΑ όπως η Google ή το Facebook να παρέχουν προσωπικά στοιχεία στις αρχές των ΗΠΑ. Παρόμοιες αποφάσεις αναμένονται και σε άλλα κράτη μέλη της ΕΕ, καθώς οι ρυθμιστικές αρχές έχουν συνεργαστεί σε αυτές τις περιπτώσεις σε μια «task force» του EDPB. Φαίνεται ότι η αυστριακή απόφαση DSB είναι η πρώτη που εκδίδεται.

Η απόφαση του ΔΕΕ του 2020 έρχεται στον πραγματικό κόσμο. Τον Ιούλιο του 2020, το ΔΕΕ εξέδωσε την πρωτοποριακή απόφασή του «Schrems II», σύμφωνα με την οποία μια μεταφορά σε παρόχους των ΗΠΑ που εμπίπτουν στο FISA 702 και το EO 12.333 παραβιάζει τους κανόνες για τις διεθνείς μεταφορές δεδομένων του GDPR. Κατά συνέπεια, το ΔΕΕ ακύρωσε τη συμφωνία μεταφοράς "Privacy Shield", αφού ακύρωσε την προηγούμενη συμφωνία "Safe Harbor" το 2015. Ενώ αυτό προκάλεσε κρουστικά κύματα στον κλάδο της τεχνολογίας, οι πάροχοι των ΗΠΑ και οι εξαγωγείς δεδομένων της ΕΕ αγνόησαν σε μεγάλο βαθμό την υπόθεση. Ακριβώς όπως η Microsoft, το Facebook ή η Amazon, η Google έχει βασιστεί στις λεγόμενες «Πρότυπες ρήτρες συμβάσεων» για να συνεχίσει τις μεταφορές δεδομένων και να ηρεμήσει τους ευρωπαίους επιχειρηματικούς εταίρους της.

Max Schrems, επίτιμος πρόεδρος του noyb .eu: " Αντί να προσαρμόζουν πραγματικά τις υπηρεσίες ώστε να συμμορφώνονται με τον GDPR, οι αμερικανικές εταιρείες προσπάθησαν απλώς να προσθέσουν κάποιο κείμενο στις πολιτικές απορρήτου τους και να αγνοήσουν το Δικαστήριο. Πολλές εταιρείες της ΕΕ ακολούθησαν το προβάδισμα αντί μετάβαση σε νομικές επιλογές ».

Τα SCC και τα "TOM" δεν είναι αρκετά. Ενώ η Google έχει υποβάλει υποβολές υποστηρίζοντας ότι έχει εφαρμόσει "Τεχνικά και Οργανωτικά Μέτρα" ("TOM") , τα οποία περιλάμβαναν ιδέες όπως η ύπαρξη περιφράξεων γύρω από τα κέντρα δεδομένων, η εξέταση αιτημάτων ή η κρυπτογράφηση βασικής γραμμής, το DSB έχει απορρίψει αυτά τα μέτρα ως απολύτως άχρηστα. στην επιτήρηση των ΗΠΑ (σελίδες 38 και 39 της απόφασης):

« Όσον αφορά τα συμβατικά και οργανωτικά μέτρα που περιγράφονται, δεν είναι προφανές σε ποιο βαθμό [το μέτρο] είναι αποτελεσματικό υπό την έννοια των ανωτέρω εκτιμήσεων ».

" Όσον αφορά τα τεχνικά μέτρα, δεν είναι επίσης αναγνωρίσιμο (...) σε ποιο βαθμό [το μέτρο] θα εμπόδιζε ή θα περιόριζε πραγματικά την πρόσβαση των υπηρεσιών πληροφοριών των ΗΠΑ που εξετάζουν το αμερικανικό δίκαιο ."

Max Schrems: " Αυτή είναι μια πολύ λεπτομερής και σωστή απόφαση. Η ουσία είναι: Οι εταιρείες δεν μπορούν πλέον να χρησιμοποιούν υπηρεσίες cloud των ΗΠΑ στην Ευρώπη. Έχει περάσει 1,5 χρόνος από τότε που το Δικαστήριο επιβεβαίωσε αυτό για δεύτερη φορά, επομένως είναι περισσότερο από καιρό που επιβάλλεται και ο νόμος ».

Απόφαση σχετική για όλους σχεδόν τους δικτυακούς τόπους της ΕΕ. Το Google Analytics είναι το πιο κοινό πρόγραμμα στατιστικών στοιχείων. Παρόλο που υπάρχουν πολλές εναλλακτικές λύσεις που φιλοξενούνται στην Ευρώπη ή μπορούν να φιλοξενηθούν από μόνοι τους, πολλοί ιστότοποι βασίζονται στην Google και έτσι προωθούν τα δεδομένα χρήστη τους στην πολυεθνική των ΗΠΑ. Το γεγονός ότι οι αρχές προστασίας δεδομένων ενδέχεται πλέον να κηρύξουν σταδιακά τις υπηρεσίες των ΗΠΑ παράνομες, ασκεί πρόσθετη πίεση στις εταιρείες της ΕΕ και τους παρόχους των ΗΠΑ να κινηθούν προς ασφαλείς και νόμιμες επιλογές, όπως η φιλοξενία εκτός των ΗΠΑ. Παρόμοια απόφαση σχετικά με τις διαβιβάσεις ΕΕ-ΗΠΑ έλαβε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) μια εβδομάδα νωρίτερα.

Max Schrems: " Αναμένουμε ότι παρόμοιες αποφάσεις θα μειωθούν σταδιακά τώρα στα περισσότερα κράτη μέλη της ΕΕ. Έχουμε υποβάλει 101 καταγγελίες σε όλα σχεδόν τα κράτη μέλη και οι αρχές συντόνισαν την απάντηση. Μια παρόμοια απόφαση εκδόθηκε επίσης από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων την περασμένη εβδομάδα . "

Μακροπρόθεσμη Λύση. Μακροπρόθεσμα, φαίνεται να υπάρχουν δύο επιλογές: Είτε οι ΗΠΑ προσαρμόζουν τις βασικές προστασίες για αλλοδαπούς για να υποστηρίξουν τη βιομηχανία τεχνολογίας τους, είτε οι πάροχοι των ΗΠΑ θα πρέπει να φιλοξενούν ξένα δεδομένα εκτός των Ηνωμένων Πολιτειών.

Max Schrems: " Μακροπρόθεσμα είτε χρειαζόμαστε κατάλληλη προστασία στις ΗΠΑ ή θα καταλήξουμε με ξεχωριστά προϊόντα για τις ΗΠΑ και την ΕΕ. Προσωπικά θα προτιμούσα καλύτερη προστασία στις ΗΠΑ, αλλά αυτό εξαρτάται από τον νομοθέτη των ΗΠΑ - όχι σε κανέναν στην Ευρώπη ».

Η Google LLC δεν εμπίπτει στους Κανόνες μεταφοράς; Το DSB έχει απορρίψει αξιώσεις κατά της Google LLC ως παραλήπτη δεδομένων, θεωρώντας ότι οι κανόνες για τη μεταφορά δεδομένων ισχύουν μόνο για νομικές οντότητες της ΕΕ και όχι για τους παραλήπτες των ΗΠΑ. Ωστόσο, το DSB είπε ότι θα διερευνήσει περαιτέρω την Google LLC σε σχέση με πιθανές παραβιάσεις των άρθρων 5, 28 και 29 GDPR, καθώς φαίνεται αμφίβολο εάν η Google είχε τη δυνατότητα να παρέχει προσωπικά δεδομένα στην κυβέρνηση των ΗΠΑ χωρίς ρητή εντολή από τα δεδομένα της ΕΕ εξαγωγέας. Το DSB θα εκδώσει χωριστή απόφαση για αυτό το θέμα.

Max Schrems: " Για εμάς, είναι σημαντικό οι πάροχοι των ΗΠΑ να μην μπορούν απλώς να μεταφέρουν το πρόβλημα σε πελάτες της ΕΕ. Ως εκ τούτου, έχουμε καταθέσει την υπόθεση εναντίον του παραλήπτη των ΗΠΑ. στοιχείο της απόφασης ».

Χωρίς πέναλτι (ακόμη). Η απόφαση δεν αφορά πιθανή ποινή, καθώς αυτή θεωρείται ως «δημόσια» διαδικασία εκτέλεσης, όπου ο καταγγέλλων δεν ακούγεται. Δεν υπάρχουν πληροφορίες εάν εκδόθηκε ποινή ή εάν η DSB σχεδιάζει επίσης να εκδώσει ποινή. Ο GDPR προβλέπει κυρώσεις έως και 20 εκατ. ευρώ ή το 4% του παγκόσμιου κύκλου εργασιών σε τέτοιες περιπτώσεις.

Μαξ Σρεμς: " Θα υποθέταμε ότι υπάρχει επίσης μια ποινή για τον εξαγωγέα δεδομένων της ΕΕ, αλλά λάβαμε μόνο μια μερική απόφαση μέχρι στιγμής που δεν ασχολείται με αυτό το ζήτημα."

Περαιτέρω επιβολή από τις γερμανικές ΑΠΔ. Επειδή ο αυστριακός εξαγωγέας δεδομένων συγχωνεύθηκε με μια γερμανική εταιρεία, η αυστριακή DSB είχε δικαιοδοσία μόνο για τις παραβιάσεις στο παρελθόν. Το DSB είπε ότι θα εγείρει απαγόρευση μελλοντικών διαβιβάσεων δεδομένων με την αρμόδια αρχή στα νέα κεντρικά γραφεία του εξαγωγέα δεδομένων στη Γερμανία.

Ιστορικό & Νομική Ανάλυση. Η noyb δημοσίευσε επίσης μια βαθύτερη νομική ανάλυση στο GDPRhub.eu .