ΕΝΗΜΕΡΩΣΗ για τις 101 καταγγελίες του noyb: Η αυστριακή DPA απορρίπτει την «προσέγγιση βάσει κινδύνου» για διαβιβάσεις δεδομένων σε τρίτες χώρες

Μάιος 02, 2022

ΕΝΗΜΕΡΩΣΗ για 101 καταγγελίες: Η Αυστριακή DPA απορρίπτει την «προσέγγιση βάσει κινδύνου» για διαβιβάσεις δεδομένων σε τρίτες χώρες

Μετά τις ρηξικέλευθες αποφάσεις της αυστριακής και της γαλλικής DPA ότι η χρήση του Google Analytics είναι παράνομη, η αυστριακή DPA εξέδωσε τώρα μια δεύτερη απόφαση, προχωρώντας ακόμη παραπέρα: Κήρυξε τη χρήση της ανωνυμοποίησης IP της Google ως άχρηστο μέτρο προστασίας για τις μεταφορές δεδομένων μεταξύ των ΕΕ και Ηνωμένες Πολιτείες. Το DSB απέρριψε περαιτέρω την έννοια της «προσέγγισης βάσει κινδύνου» που είχε υποστηριχθεί από την Google.

Ορισμένες αρχές στην Ευρώπη έκλεισαν ταυτόχρονα τις υποθέσεις: Η ισπανική και η λουξεμβουργιανή DPA έκλεισαν τις διαδικασίες καταγγελιών χωρίς να σχολιάσουν την παράνομη χρήση του Google Analytics, καθώς ο σχετικός ιστότοπος σταμάτησε να χρησιμοποιεί το Google Analytics.

Ο GDPR δεν προβλέπει «προσέγγιση βάσει κινδύνου» για τις μεταφορές δεδομένων. Μετά το Schrems II, οι δικηγόροι της Big Tech και του κλάδου προώθησαν μια «προσέγγιση βασισμένη στον κίνδυνο» για τη μεταφορά δεδομένων. Πρότειναν ότι πρόσθετες διασφαλίσεις, όπως ζήτησε το ΔΕΕ, θα πρέπει να είναι απαραίτητες μόνο σε περίπτωση «ουσιαστικού κινδύνου για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων». Η λεγόμενη τυπική συμβατική ρήτρα θα πρέπει να αρκεί για «υποθέσεις χαμηλού κινδύνου», π.χ. όταν μεταφέρονται «μόνο» δεδομένα όπως αναγνωριστικά στο διαδίκτυο ή διευθύνσεις IP. Το DSB διαπίστωσε τώρα ότι αυτή η άποψη ήταν λανθασμένη: ο GDPR δεν γνωρίζει μια προσέγγιση βάσει κινδύνου για τη μεταφορά δεδομένων σε ανασφαλείς τρίτες χώρες, όπως οι ΗΠΑ

Το DSB αποκάλυψε επιτέλους την «προσέγγιση βάσει κινδύνου» για τις μεταφορές δεδομένων για αυτό που είναι: μια αδέξια προσπάθεια να αμβλύνει τη σαφή νομολογία του ΔΕΕ. Τα σχετικά άρθρα για τις μεταφορές δεδομένων δεν χρησιμοποιούν τη λέξη «κίνδυνος» ούτε μία φορά». - Marco Blocher, δικηγόρος προστασίας δεδομένων στο noyb

Η ανωνυμοποίηση IP της Google δεν προστατεύει τα δεδομένα. Το αυστριακό DSB απέρριψε επίσης τα επιχειρήματα της Google ότι οι ιστότοποι θα μπορούσαν να ενεργοποιήσουν την ανωνυμοποίηση IP όταν χρησιμοποιούν εργαλεία όπως το Google Analytics για την αποτελεσματική προστασία των μεταφερόμενων δεδομένων από την επιτήρηση. Αυτό απορρίφθηκε για δύο λόγους: πρώτον, η ανωνυμοποίηση IP της Google επηρεάζει μόνο τη διεύθυνση IP αυτή καθαυτή. Δεδομένα, όπως τα διαδικτυακά αναγνωριστικά που ορίζονται ανά cookie ή δεδομένα συσκευής, μεταφέρονται αφανώς. Δεύτερον, η ανωνυμοποίηση IP πραγματοποιείται μόνο αφού τα δεδομένα έχουν μεταφερθεί στην Google.

" Τώρα επιβεβαιώνεται ότι μόνο και μόνο επειδή οι διευθύνσεις IP καθίστανται ανώνυμες σε ένα στάδιο της διαδικασίας, οι διευθύνσεις IP εξακολουθούν να υποβάλλονται σε επεξεργασία αρχικά. Η ανωνυμοποίηση ενός αναγνωριστικού δεν ξεπερνά επίσης το γεγονός ότι υπάρχουν άλλα αναγνωριστικά. ” - Marco Blocher, δικηγόρος προστασίας δεδομένων στο noyb

Εθνικές προσεγγίσεις παρά την ειδική ομάδα EDPB. Οι DPA σχεδίαζαν να είχαν λάβει συντονισμένη προσέγγιση σχετικά με τις 101 καταγγελίες του noyb , αλλά η εγκατεστημένη ομάδα εργασίας δεν φαίνεται να αποδίδει: ενώ η αυστριακή και η γαλλική DPA έχουν ερευνήσει διεξοδικά τη χρήση εργαλείων που μεταφέρουν προσωπικά δεδομένα στις ΗΠΑ, Η ισπανική DPA απλώς απέρριψε μια καταγγελία επειδή ο πάροχος ιστότοπου αφαίρεσε το Google Analytics από τον ιστότοπο μετά την καταγγελία. Δεν υπάρχουν πληροφορίες σχετικά με το εάν οι μεταφορές δεδομένων στις ΗΠΑ πριν από την αφαίρεση ήταν παράνομες ή όχι. Ομοίως, η DPA του Λουξεμβούργου απέρριψε τρεις καταγγελίες σχετικά με τις μεταφορές δεδομένων σε διακομιστές Facebook στις ΗΠΑ, επειδή οι ιστότοποι έχουν αφαιρέσει τα εργαλεία.

« Η διακοπή των παραβιάσεων δεν καθιστά νόμιμη μια προηγούμενη παραβίαση. Σύμφωνα με τη λογική αυτών των αρχών, δεν πρέπει να βγάλεις εισιτήριο υπερβολικής ταχύτητας αν κάποια στιγμή σταματήσεις να τρέχεις.» - Marco Blocher, δικηγόρος προστασίας δεδομένων στο noyb