101 EU: n ja Yhdysvaltojen välisiä siirtoja koskevat valitukset

Aug 17, 2020

Nopea analyysi tärkeimpien EU: n verkkosivujen HTML-lähdekoodista osoittaa, että monet yritykset käyttävät edelleen Google Analyticsia tai Facebook Connectia kuukauden kuluttua Euroopan unionin tuomioistuimen merkittävästä päätöksestä huolimatta siitä, että molemmat yritykset kuuluvat selvästi Yhdysvaltain valvonnan alaisuuteen lakeja, kuten FISA 702. Kummallakaan Facebookilla eikä Googlella ei näytä olevan oikeusperustaa tiedonsiirrolle. Google väittää edelleen luottavansa "Privacy Shieldiin" kuukauden kuluttua sen mitätöinnistä, kun taas Facebook käyttää edelleen "SCC: itä" huolimatta tuomioistuimen toteamuksesta, että Yhdysvaltain valvontalaki rikkoo EU: n perusoikeuksien olemusta.

101 Valitukset koskivat yrityksiä 30 EU: n ja ETA: n jäsenvaltiossa. Kaikissa 30 EU: n ja ETA: n jäsenvaltiossa on tehty valituksia 101 eurooppalaisesta yrityksestä, jotka edelleen välittävät tietoja jokaisesta kävijästä Googlelle ja Facebookille. Valitukset tehdään myös Googlea ja Facebookia vastaan Yhdysvalloissa, koska nämä tiedonsiirrot ovat edelleen hyväksyneet huolimatta siitä, että ne ovat GDPR: n vastaisia. Sivustot valittiin jäsenvaltion TLD: n (kuten ".fr" Ranskan osalta), kahden erityisen koodinpätkän ja sivun liikenteen perusteella.

" Olemme tehneet nopean haun tärkeimmiltä verkkosivustoilta kussakin EU: n jäsenvaltiossa koodia Facebookilta ja Googlelta. Nämä koodinpätkät välittävät jokaisen kävijän tiedot eteenpäin Googlelle tai Facebookille. Molemmat yritykset myöntävät siirtävänsä eurooppalaisia tietoja Yhdysvaltoihin käsittelyä varten, jossa näillä yrityksillä on laillinen velvoite asettaa tällaiset tiedot Yhdysvaltain virastojen, kuten NSA: n, saataville. Google Analytics tai Facebook Connect eivät ole välttämättömiä näiden verkkosivujen ylläpitämiseksi, ja ne ovat palveluja, jotka olisi voitu korvata tai ainakin deaktivoida tähän mennessä. ”Sanoo noyb.eu: n kunniapuheenjohtaja Max Schrems.

EU: n ja Yhdysvaltojen yritykset jättävät laajalti huomiotta tuomiot. Yhdysvaltalaiset yritykset, kuten Google, Facebook tai Microsoft, ovat selvästi velvollisia toimittamaan EU: n henkilöiden henkilötietoja Yhdysvaltain hallitukselle sellaisten lakien kuten FISA 702 tai EO 12.333 nojalla. Ne mainitaan jopa Snowden-asiakirjoissa. EUT: n selkeästä päätöksestä huolimatta he väittävät nyt, että tiedonsiirtoa voidaan jatkaa niin sanottujen vakiosopimuslausekkeiden nojalla - ja monet EU: n tietojen viennit näyttävät olevan enemmän kuin halukkaita hyväksymään tämä väärä väite.

Schrems: " Tuomioistuin totesi selkeästi, että et voi käyttää SCC: tä, kun vastaanottaja Yhdysvalloissa kuuluu näiden joukkovalvontalakien alaisuuteen. Vaikuttaa siltä, että yhdysvaltalaiset yritykset yrittävät edelleen vakuuttaa EU-asiakkaansa päinvastaisesta. Tämä on enemmän kuin varjoisa. SCC: n nojalla Yhdysvaltojen tietojen maahantuojan olisi sen sijaan ilmoitettava EU: n tietojen lähettäjälle näistä laeista ja varoitettava heitä. Jos tätä ei tehdä, nämä yhdysvaltalaiset yritykset ovat tosiasiallisesti vastuussa aiheutuneista taloudellisista vahingoista.

Tietosuojaviranomaisten on ryhdyttävä toimiin. GDPR edellyttää, että kukin tietosuojaviranomainen jokaisessa jäsenvaltiossa panee lain täytäntöön, etenkin kun se saa valituksen. Yhteisöjen tuomioistuin on nimenomaisesti korostanut tietosuojaviranomaisten velvollisuutta toimia. Tämä voi vaihdella kieltoilmoituksista vakaviin seuraamuksiin, jotka ovat 20 miljoonaa euroa tai 4 prosenttia henkilötietojen lähettäjän ja yhdysvaltalaisen vastaanottajan maailmanlaajuisesta liikevaihdosta.

noyb tarjoaa ohjeita yrityksille. Erityisesti pienemmille EU: n yrityksille, jotka eivät ole varmoja Yhdysvaltain valvontalakeista, ja jos heidän yhdysvaltalainen kumppaninsa kuuluu näiden lakien soveltamisalaan, kukaan ei ole toimittanut ilmaisia ohjeita ja mallipyyntöjä verkkosivuillaan.

Suunniteltu lisää oikeudellisia toimia. kukaan ei suunnittele lisätä asteittain EU: n ja Yhdysvaltojen yrityksiin kohdistuvaa painetta tarkistaa tietojen siirtojärjestelyjään ja mukautua EU: n korkeimman oikeuden selkeään päätökseen. Schrems: " Vaikka ymmärrämme, että joidenkin asioiden järjestäminen voi viedä jonkin aikaa, on mahdotonta hyväksyä, että jotkut pelaajat näyttävät yksinkertaisesti sivuuttavan Euroopan korkeimman oikeuden. Tämä on epäreilua myös kilpailijoita kohtaan, jotka noudattavat näitä sääntöjä. Otamme vähitellen toimia rekisterinpitäjiä ja henkilötietojen käsittelijöitä vastaan, jotka rikkovat GDPR: ää, ja viranomaisia vastaan, jotka eivät noudata tuomioistuimen päätöstä, kuten Irlannin DPC, joka pysyy lepotilassa. "