Itävallan DSB: Meta-seurantatyökalut laittomia
Itävallan tietosuojaviranomainen (DSB) on yhdessä noybs 101:stä valituksesta antamassaan uraauurtavassa päätöksessä päättänyt, että Facebookin seurantapikselin käyttö rikkoo suoraan yleistä tietosuoja-asetusta ja niin sanottua Schrems II -päätöstä transatlanttisista tietovirroista. Vuonna 2020 Euroopan unionin tuomioistuin (EUT) päätti, että yhdysvaltalaisten palveluntarjoajien käyttö rikkoo tietosuoja-asetusta, koska Yhdysvaltojen valvontalait edellyttävät yhdysvaltalaisilta yrityksiltä, kuten Facebookilta, käyttäjien henkilötietojen toimittamista Yhdysvaltojen viranomaisille.
- Itävallan DSB:n päätös (SAKSA)
- Automaattikäännetty päätös (EN)
- Yhteenveto tapauksesta GDPRhubissa (FI)
eUT:n vuoden 2020 tuomio osuu reaalimaailmaan. Heinäkuussa 2020 EUT päätti, että siirto yhdysvaltalaisille palveluntarjoajille, jotka kuuluvat FISA 702:n ja EO 12.333:n soveltamisalaan, rikkoo GDPR:n kansainvälisiä tiedonsiirtoja koskevia sääntöjä. Näin ollen EUT kumosi "Privacy Shield" -tiedonsiirtosopimuksen sen jälkeen, kun se oli kumonnut edellisen "Safe Harbor" -sopimuksen vuonna 2015. Vaikka tämä aiheutti shokkiaaltoja teknologiateollisuudessa, yhdysvaltalaiset palveluntarjoajat ja EU:n tietojen viejät ovat pitkälti jättäneet tapauksen huomiotta. Microsoftin, Googlen ja Amazonin tavoin Facebook on turvautunut niin sanottuihin vakiosopimuslausekkeisiin ja lisätoimenpiteisiin jatkaakseen tiedonsiirtoa ja rauhoittaakseen eurooppalaisia liikekumppaneitaan. Siksi noyb jätti elokuussa 2020 101 valitusta verkkosivustoja vastaan, jotka edelleen käyttävät Google Analyticsin ja Facebookin seurantatyökaluja selkeistä oikeuden päätöksistä huolimatta.
"Facebook on teeskennellyt, että sen kaupalliset asiakkaat voivat edelleen käyttää sen teknologiaa, huolimatta kahdesta yhteisöjen tuomioistuimen tuomiosta, joissa sanotaan päinvastaista. Nyt ensimmäinen sääntelyviranomainen kertoi asiakkaalle, että Facebookin seurantateknologian käyttö on laitonta." - Max Schrems, noyb.eu:n puheenjohtaja
Laittomat tiedonsiirrot Facebookin kirjautumisen ja Meta Pixelin kautta. DSB:n päätös julistaa Google Analytics laittomaksi koskee myös Metan tarjoamia "Facebook Login" ja "Meta Pixel" -työkaluja: Jos näitä työkaluja käytetään, tietoja siirretään väistämättä Yhdysvaltoihin, jossa tiedot ovat vaarassa joutua tiedustelun kohteeksi. Eurooppalaisia verkkosivustojen ylläpitäjiä kehotetaan siksi olemaan käyttämättä Metan työkaluja verkkosivustoillaan.
Päätös koskee lähes kaikkia EU:n verkkosivustoja. Monet verkkosivustot käyttävät Facebookin seurantatekniikkaa käyttäjien seuraamiseen ja henkilökohtaisen mainonnan näyttämiseen. Kun verkkosivustot käyttävät tätä tekniikkaa, ne myös välittävät kaikki käyttäjätiedot yhdysvaltalaiselle monikansalliselle yritykselle ja edelleen NSA:lle. Vaikka Euroopan komissio pyrkii edelleen julkaisemaan kolmannen EU:n ja Yhdysvaltojen välisen tiedonsiirtosopimuksen, se, että Yhdysvaltojen laki sallii edelleen massavalvonnan, tarkoittaa, että asia ei ratkea lähiaikoina.
Pitkän aikavälin ratkaisu. Pitkällä aikavälillä näyttää olevan kaksi vaihtoehtoa: Joko Yhdysvallat mukauttaa ulkomaalaisten perustason suojaa tukeakseen teknologiateollisuuttaan, tai yhdysvaltalaisten palveluntarjoajien on isännöidä ulkomaisia tietoja Yhdysvaltojen ulkopuolella. On hyvin tiedossa, että Yhdysvaltoihin perustuvan järjestelmänsä vuoksi Meta ei pysty kategorisesti varmistamaan, etteivät Yhdysvaltain tiedustelupalvelut sieppaa Euroopan kansalaisten tietoja.
Ei rangaistusta. Ei ole tietoa siitä, annettiinko rangaistus tai aikooko DSB antaa myös rangaistuksen. Yleisessä tietosuoja-asetuksessa säädetään tällaisissa tapauksissa jopa 20 miljoonan euron tai 4 prosentin suuruisista seuraamuksista, mutta tietosuojaviranomaiset eivät näytä olevan halukkaita antamaan sakkoja, vaikka rekisterinpitäjät ovat jättäneet huomiotta kaksi EU:n tuomioistuimen päätöstä yli kahden vuoden ajan.