Υποβλήθηκαν καταγγελίες για μεταφορές ΕΕ-ΗΠΑ

Αυγ 17, 2020

Μια γρήγορη ανάλυση του πηγαίου κώδικα HTML των μεγάλων ιστοσελίδων της ΕΕ δείχνει ότι πολλές εταιρείες εξακολουθούν να χρησιμοποιούν το Google Analytics ή το Facebook Connect ένα μήνα μετά από μια σημαντική απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (CJEU) - παρά το γεγονός ότι και οι δύο εταιρείες εμπίπτουν σαφώς στις ΗΠΑ νόμους, όπως το FISA 702. Ούτε το Facebook ούτε το Google έχουν νομική βάση για τη μεταφορά δεδομένων. Η Google εξακολουθεί να ισχυρίζεται ότι βασίζεται στην "Ασπίδα προστασίας προσωπικών δεδομένων" ένα μήνα μετά την ακύρωσή της, ενώ το Facebook συνεχίζει να χρησιμοποιεί τα "SCCs", παρά το γεγονός ότι το Δικαστήριο διαπίστωσε ότι οι νόμοι επιτήρησης των ΗΠΑ παραβιάζουν την ουσία των θεμελιωδών δικαιωμάτων της ΕΕ.

101 Καταγγελίες που υποβλήθηκαν, σχετικά με εταιρείες σε 30 κράτη μέλη της ΕΕ και του ΕΟΧ. Έχουν κατατεθεί καταγγελίες και στα 30 κράτη μέλη της ΕΕ και του ΕΟΧ εναντίον 101 ευρωπαϊκών εταιρειών που εξακολουθούν να διαβιβάζουν δεδομένα για κάθε επισκέπτη στο Google και στο Facebook. Καταγγέλλονται επίσης κατά της Google και του Facebook στις ΗΠΑ, επειδή συνεχίζουν να δέχονται αυτές τις μεταφορές δεδομένων, παρά το γεγονός ότι παραβιάζουν τον GDPR. Οι ιστότοποι που επιλέχθηκαν βάσει του TLD του κράτους μέλους (όπως το ".fr" για τη Γαλλία), δύο συγκεκριμένα αποσπάσματα κωδικών και την κυκλοφορία της σελίδας.

« Έχουμε κάνει μια γρήγορη αναζήτηση σε μεγάλους ιστότοπους σε κάθε κράτος μέλος της ΕΕ για κωδικό από το Facebook και το Google. Αυτά τα αποσπάσματα κώδικα προωθούν δεδομένα σε κάθε επισκέπτη στο Google ή στο Facebook. Και οι δύο εταιρείες παραδέχονται ότι μεταφέρουν δεδομένα Ευρωπαίων στις ΗΠΑ για επεξεργασία, όπου αυτές οι εταιρείες έχουν νομική υποχρέωση να διαθέτουν τέτοια δεδομένα σε αμερικανικές υπηρεσίες όπως η NSA. Ούτε το Google Analytics ούτε το Facebook Connect είναι απαραίτητα για την εκτέλεση αυτών των ιστοσελίδων και είναι υπηρεσίες που θα μπορούσαν να έχουν αντικατασταθεί ή τουλάχιστον να έχουν απενεργοποιηθεί μέχρι τώρα. »Λέει ο Max Schrems, επίτιμος πρόεδρος του noyb.eu.

Οι εταιρείες της ΕΕ και των ΗΠΑ αγνοούν ευρέως την απόφαση. Εταιρείες των ΗΠΑ όπως η Google, το Facebook ή η Microsoft εμπίπτουν σαφώς στις υποχρεώσεις παροχής προσωπικών δεδομένων προσώπων στην ΕΕ στην κυβέρνηση των ΗΠΑ σύμφωνα με νόμους όπως το FISA 702 ή το EO 12.333. Αναφέρονται ακόμη και στα έγγραφα του Snowden. Παρά τη σαφή απόφαση του CJEU, ισχυρίζονται τώρα ότι η μεταφορά δεδομένων μπορεί να συνεχιστεί σύμφωνα με τις λεγόμενες τυποποιημένες συμβατικές ρήτρες - και πολλές εξαγωγές δεδομένων της ΕΕ φαίνονται περισσότερο από πρόθυμες να αποδεχτούν αυτόν τον ψευδή ισχυρισμό.

Σχέδια: « Το Δικαστήριο ήταν σαφές ότι δεν μπορείτε να χρησιμοποιήσετε τα SCC όταν ο παραλήπτης στις ΗΠΑ εμπίπτει σε αυτούς τους νόμους μαζικής επιτήρησης. Φαίνεται ότι οι αμερικανικές εταιρείες προσπαθούν ακόμη να πείσουν τους πελάτες τους στην ΕΕ για το αντίθετο. Αυτό είναι κάτι περισσότερο από σκιερό. Σύμφωνα με τα SCC, ο εισαγωγέας δεδομένων των ΗΠΑ θα έπρεπε να ενημερώσει τον αποστολέα δεδομένων της ΕΕ για αυτούς τους νόμους και να τους προειδοποιήσει. Εάν αυτό δεν γίνει, τότε αυτές οι αμερικανικές εταιρείες είναι στην πραγματικότητα υπεύθυνες για οποιαδήποτε οικονομική ζημία προκληθεί. "

Τα DPA θα πρέπει να αναλάβουν δράση. Ο GDPR απαιτεί από κάθε Αρχή Προστασίας Δεδομένων (DPA) σε κάθε κράτος μέλος να επιβάλλει το νόμο, ειδικά όταν λαμβάνει καταγγελία. Το Δικαστήριο τόνισε ρητώς το καθήκον των ΑΠΔ να αναλάβουν δράση. Αυτό μπορεί να κυμαίνεται από ανακοινώσεις απαγόρευσης έως σοβαρές κυρώσεις ύψους 20 εκατ. Ευρώ ή 4% του παγκόσμιου κύκλου εργασιών του αποστολέα της ΕΕ και του αποδέκτη προσωπικών δεδομένων των ΗΠΑ.

Το noyb παρέχει οδηγίες για εταιρείες. Ειδικά για μικρότερες εταιρείες της ΕΕ που δεν είναι σίγουροι για τους νόμους επιτήρησης των ΗΠΑ και εάν ο συνεργάτης τους στις ΗΠΑ εμπίπτει στους νόμους αυτούς, η noyb έχει παράσχει δωρεάν οδηγίες και αιτήματα μοντέλου στην ιστοσελίδα της.

Προβλέπεται περαιτέρω νομική δράση. Το noyb σχεδιάζει να αυξήσουν σταδιακά την πίεση στις εταιρείες ΕΕ και ΗΠΑ να επανεξετάσουν τις ρυθμίσεις μεταφοράς δεδομένων τους και να προσαρμοστούν στη σαφή απόφαση του ανώτατου δικαστηρίου της ΕΕ. Schrems: « Ενώ καταλαβαίνουμε ότι ορισμένα πράγματα μπορεί να χρειαστούν χρόνο για να τακτοποιηθούν, είναι απαράδεκτο το γεγονός ότι μερικοί παίκτες φαίνεται να αγνοούν απλά το ανώτατο γήπεδο της Ευρώπης. Αυτό είναι επίσης άδικο έναντι των ανταγωνιστών που συμμορφώνονται με αυτούς τους κανόνες. Σταδιακά θα λάβουμε μέτρα εναντίον ελεγκτών και επεξεργαστών που παραβιάζουν το GDPR και εναντίον αρχών που δεν εφαρμόζουν την απόφαση του Δικαστηρίου, όπως το ιρλανδικό DPC που παραμένει αδρανές. "