Μόλις πριν από ένα μήνα, η noyb υπέβαλε 101 καταγγελίες εναντίον αρκετών εταιρειών που εδρεύουν στην ΕΕ / ΕΟΧ, επειδή συνεχίζουν να χρησιμοποιούν το Google Analytics και το Facebook Connect στους ιστότοπούς τους - μεταφέροντας έτσι προσωπικά δεδομένα στην Google και το Facebook στις ΗΠΑ. Σύμφωνα με την απόφαση του CJEU της 16ης Ιουλίου 2020 , τέτοιες μεταφορές δεδομένων είναι παράνομες επειδή η Google και το Facebook υπόκεινται στους νόμους επιτήρησης των ΗΠΑ και πρέπει να αποκαλύπτουν δεδομένα ευρωπαίων χρηστών στις υπηρεσίες πληροφοριών των ΗΠΑ.
Σχεδόν καμία αντίδραση από τις ενδιαφερόμενες εταιρείες - παρά την απειλή πρόστιμου 20 εκατομμυρίων ευρώ
Παρόλο που είναι πολιτικά σαφές ότι δεν θα υπάρξει νέο "Privacy Shield" ή "Safe Harbour" στο εγγύς μέλλον, πολλές εταιρείες φαίνεται να συνεχίζουν να θάβουν τα κεφάλια τους στην άμμο.
Ακόμα και πολλοί δικηγόροι και "ειδικοί" αγνοούν τις σαφείς δηλώσεις του CJEU και ισχυρίζονται ότι όλα είναι καλά όσο κάποιος συνάπτει τυποποιημένες συμβατικές ρήτρες ("SCC") με τον παραλήπτη δεδομένων - μια πλήρη κρίση της κατάστασης, η οποία μπορεί να κοστίσει τις εταιρείες ακριβά.
Το CJEU έχει δηλώσει με σαφήνεια ότι τα SCC δεν μπορούν να χρησιμοποιηθούν εάν ο παραλήπτης στις ΗΠΑ υπόκειται στους νόμους επιτήρησης των ΗΠΑ (όπως το FISA 702). Οι αρχές προστασίας δεδομένων μπορούν να επιβάλουν πρόστιμα έως και 20 εκατομμύρια ευρώ ή 4% του ετήσιου κύκλου εργασιών για παραβίαση των κανόνων του GDPR για τη μεταφορά δεδομένων. Αυτό είναι επιπλέον των πιθανών αξιώσεων για ζημίες από τους επηρεαζόμενους χρήστες.
Οι 101 καταγγελίες που υπέβαλε η Noyb είχαν ως εκ τούτου ως έκκληση αφύπνισης: πρέπει να γίνει σεβαστή η απόφαση του ανώτατου δικαστηρίου της ΕΕ · Τόσο οι εξαγωγείς δεδομένων στην ΕΕ όσο και οι εισαγωγείς δεδομένων στις ΗΠΑ πρέπει να επιθεωρήσουν κρίσιμες μεταφορές δεδομένων και, εάν είναι απαραίτητο, να τις σταματήσουν. Εάν δεν το πράξουν εθελοντικά, το CJEU έχει επιβάλει ρητά στις Ευρωπαϊκές Αρχές Προστασίας Δεδομένων την υποχρέωση να απαγορεύουν τέτοιες μεταφορές δεδομένων.
Αυτό φαίνεται να αγνοήθηκε σε μεγάλο βαθμό από τους φορείς εκμετάλλευσης ιστότοπων κατά των οποίων η noyb υπέβαλε τις 101 καταγγελίες. Από τις 22.09.2020 , μόνο δύο εταιρείες και ένα πανεπιστήμιο έχουν επικοινωνήσει με την Noyb - όλες με έδρα το Λιχτενστάιν. Κατάφεραν να αποδείξουν ότι είχαν αφαιρέσει τα στοιχεία κώδικα για το Google Analytics ή το Facebook Connect από τους ιστότοπούς τους. Στη συνέχεια, η noyb απέσυρε τις σχετικές καταγγελίες ενώπιον της αρχής προστασίας δεδομένων του Λιχτενστάιν.
" Μέχρι στιγμής, μόνο οι φορείς εκμετάλλευσης ιστότοπων από το Λιχτενστάιν μας εξέπληξαν θετικά. Αντέδρασαν γρήγορα και σωστά και σταμάτησαν τις μεταφορές δεδομένων που παραβίαζαν τον GDPR. Στη συνέχεια, αποσύραμε τις καταγγελίες. Δυστυχώς, δεν έχουμε ακούσει από φορείς εκμετάλλευσης ιστότοπων από άλλα κράτη μέλη Όσο περισσότερο περιμένουν αυτές οι εταιρείες, τόσο πιθανότερο είναι να επιβληθούν κυρώσεις από τις αρχές προστασίας δεδομένων ". - Marco Blocher, δικηγόρος προστασίας δεδομένων στο noyb .
Το Google και το Facebook διατηρούν επίσης τη σιωπή τους
Εκτός από τους φορείς εκμετάλλευσης ιστότοπων, οι 101 καταγγελίες στρέφονται επίσης κατά των εισαγωγέων δεδομένων Google και Facebook στις ΗΠΑ, οι οποίες μπορούν επίσης να θεωρηθούν υπεύθυνες για τη μεταφορά δεδομένων κατά παράβαση του GDPR. Το Facebook μέχρι στιγμής δεν έχει κάνει ουσιαστικά σχόλια για τις 101 καταγγελίες. Η Google έχει παράσχει μόνο κενές λέξεις, λέγοντας ότι " δεσμεύονται να διασφαλίσουν ότι, σύμφωνα με τα ισχύοντα SCC που παρέχονται από την Google, διατηρούνται οι απαιτούμενες προστασίες απορρήτου ανεξάρτητα από την τοποθεσία των δεδομένων ". Ο γίγαντας της Silicon Valley, ωστόσο, δεν έχει καμία απάντηση ως προς το πώς σκοπεύει να αποφύγει την υπαγωγή στους νόμους επιτήρησης των ΗΠΑ.
" Μέχρι στιγμής, μεγάλες εταιρείες δεδομένων των ΗΠΑ επαναλαμβάνουν σαν μάντρα ότι αξιολογούν την κατάσταση και διασφαλίζουν ότι τα δεδομένα των χρηστών προστατεύονται βάσει των SCC. Αυτές οι κενές φράσεις δεν αλλάζουν το γεγονός ότι οι νόμοι επιτήρησης των ΗΠΑ παρέχουν σε αρχές όπως η NSA το δικαίωμα πρόσβασης σε τεράστιες ποσότητες δεδομένων που μεταφέρονται στις ΗΠΑ. Μέχρι στιγμής, δεν υπάρχει τίποτα άλλο παρά σιωπή σχετικά με αυτήν τη σύγκρουση μεταξύ συμβάσεων με πελάτες της ΕΕ και της νομοθεσίας των ΗΠΑ ". - Μάρκο Μπλόχερ
Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημιούργησε μια Ειδική Ομάδα για τις καταγγελίες του Noyb
Υπάρχει μια θετική εξέλιξη σε επίπεδο ΕΕ. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ("EDPB", ένα όργανο της ΕΕ που αποτελείται από εκπροσώπους των ευρωπαϊκών αρχών προστασίας δεδομένων) δημιούργησε μια ειδική ομάδα εργασίας για την αντιμετώπιση των 101 καταγγελιών. Αυτή η ειδική ομάδα είναι να διερευνήσει τα γεγονότα στα οποία βασίζονται τα παράπονα και να εξασφαλίσει στενή συνεργασία μεταξύ των μελών του διοικητικού συμβουλίου. Το EDPB θα " προετοιμάσει επίσης συστάσεις για να βοηθήσει τους υπευθύνους επεξεργασίας και τους επεξεργαστές με το καθήκον τους να εντοπίσουν και να εφαρμόσουν τα κατάλληλα συμπληρωματικά μέτρα για να εξασφαλίσουν επαρκή προστασία κατά τη μεταφορά δεδομένων σε τρίτες χώρες ".
" Είμαστε πολύ ικανοποιημένοι που το EDPB έχει αναλάβει ενεργό ρόλο σε αυτό το ζήτημα και δεσμεύεται να εργαστεί για μια συνεπή αντιμετώπιση των καταγγελιών μας. Ελπίζουμε ότι αυτός ο συντονισμός θα οδηγήσει στην αντιμετώπιση των καταγγελιών εξίσου αποτελεσματικά και γρήγορα σε όλες τις ΕΕ / ΕΟΧ χώρες. Μέχρι στιγμής, η εμπειρία μας δείχνει ότι ορισμένες αρχές προστασίας δεδομένων είναι πολύ παραγωγικές, ενώ άλλες φαίνεται να επιθυμούν να σταματήσουν οποιαδήποτε διαδικασία. Επομένως, μια πανευρωπαϊκή προσέγγιση είναι ευπρόσδεκτη. Οι 101 καταγγελίες δεν είναι ουσιώδεις και είναι σχεδόν πανομοιότυπες. Εάν η αρχή στο κράτος μέλος Α καταφέρει να αντιμετωπίσει έγκαιρα μια καταγγελία, η αρχή στο κράτος μέλος Β δεν έχει καμία δικαιολογία γιατί δεν μπορεί να το πράξει ". - Μάρκο Μπλόχερ
Το noyb συνεχίζει να παρακολουθεί την κατάσταση σε κάθε καταγγελία για να διασφαλίσει ότι οι αποφάσεις του CJEU προστατεύουν επίσης τα δικαιώματα κάθε πολίτη στην καθημερινή τους ζωή.
