Itävallan tietosuojaviranomaisella on mahdollisuus määrätä Googlelle jopa 6 miljardin euron sakko

May 06, 2021

Google lähettää edelleen tietoja EU:n verkkosivustoilta Yhdysvaltoihin - kahdesta yhteisöjen tuomioistuimen päätöksestä huolimatta. Itävallan tietosuojaviranomainen voi määrätä Googlelle jopa 6 miljardin euron sakot.


Viime kesänä Euroopan unionin tuomioistuin (EUT) totesi - jo toisen kerran - että Yhdysvaltojen valvontalait tekevät henkilötietojen siirrosta EU:sta Yhdysvaltoihin yleisesti ottaen laitonta. Google ei edelleenkään piittaa tästä päätöksestä ja väittää nyt Itävallan DSB:ssä (PDF), että se voi edelleen siirtää miljoonien EU:n verkkosivustojen kävijöiden tietoja Yhdysvaltoihin - mikä on räikeässä ristiriidassa yleisen tietosuoja-asetuksen kanssa. Itävallan tietosuojaviranomaisella on nyt mahdollisuus määrätä Googlelle jopa 6 miljardin euron sakko yleisen tietosuoja-asetuksen nojalla.

noybin valitukset Googlea vastaan. Max Schremsin järjestö noyb jätti 16.7.2020 annetun niin sanotun Schrems II -tuomion jälkeen elokuussa 2020 101 valitusta EU:n verkkosivuista, jotka jatkoivat jokaisen kävijän tietojen välittämistä Googlelle ja Facebookille. Kaikki valitukset kohdistuvat myös Googlen ja Facebookin yhdysvaltalaisia emoyhtiöitä vastaan. Tämän seurauksena Euroopan tietosuojaviranomaiset perustivat syyskuussa 2020 "työryhmän". Itävallan tietosuojaviranomainen saattaa pian ratkaista ensimmäisen näistä valituksista - ja se voi johtaa massiiviseen sakkoon Googlelle.

Google: google: "merkit" ja "aidat" Yhdysvaltain lakia vastaan. Google väittää ensisijaisesti käyttävänsä "täydentäviä toimenpiteitä", joiden on tarkoitus auttaa NSA:n valvontaa vastaan (ks. sivut 23-26). Mikään näistä toimenpiteistä ei kuitenkaan ole uusi eikä jotenkin tehokas: Google väittää jopa kylttejä ja aitoja datakeskusten ympärillä ja keskimääräistä HTTPS-salausta, joka on vain vähimmäisvaatimus jopa pienille verkkosivustoille. Se, että näillä toimenpiteillä ei ole mitään vaikutusta Yhdysvaltain valvontalakiin, käy ilmi jo Googlen omasta "avoimuusraportista": pelkästään vuonna 2019 Google vastasi yli 201 000 Yhdysvaltain valvontalain "FISA" mukaiseen pyyntöön. Tuoreemmat tilastot puuttuvat.

"Googlen on luovutettava kaikki tiedot Yhdysvaltain lain mukaan. On irvokasta, että he väittävät, että heillä on aitoja ja kylttejä - Yhdysvaltain valvontalakia sovelletaan myös aitojen takana. Vakiosalauskaan ei auta, sillä Google on velvollinen luovuttamaan myös salausavaimet. Pelkästään vuonna 2019 he antoivat Yhdysvaltain hallitukselle tietoja ulkomaalaisista yli 201 000 kertaa." - Max Schrems, noyb.eu:n kunniapuheenjohtaja

noybin jättämä esitys jätetty. Itävallan tietosuojaviranomainen on pyytänyt noybia vastaamaan Googlen lausuntoon. 36-sivuisessa lausunnossa noyb selvittää tarkemmin tietosuoja-asetuksen ilmeistä rikkomista. Noybin oikeudellinen kannanotto(saksa, englanninkielinen käännös) jätettiin tänään.

"Google myöntää suurelta osin GDPR:n rikkomuksensa ja todisteet ovat musertavia. Viranomainen saa tämän tapauksen hopealautasella." - Max Schrems, noyb.eu:n kunniapuheenjohtaja

Yli 6 miljardin euron rangaistus mahdollinen. Koska kantelu kohdistuu Google LLC:hen, joka toimii erillään sen eurooppalaisesta tytäryhtiöstä (Google Ireland Ltd), mikä tahansa EU:n tietosuojaviranomainen voi määrätä GDPR:n mukaisen seuraamuksen. Tässä tapauksessa Itävallan tietosuojaviranomainen voi määrätä 4 prosenttia Google LLC:n maailmanlaajuisesta liikevaihdosta, mikä on ennätyksellinen, hieman yli 6 miljardin euron summa.

"Tämä onainutlaatuinen tilaisuus tehdä samanaikaisesti jotain perusoikeuksien suojelun ja maakunnan talousarvion hyväksi. Tietosuoja-asetuksen mukaan viranomaisilla on jopa velvollisuus määrätä asianmukaisia seuraamuksia, ja Google todella täyttää kaikki edellytykset hyödyntää rangaistusvalikoimaa täysimääräisesti." - Max Schrems, noyb.eu:n kunniapuheenjohtaja

noybin esityksessä tuodaan esiin myös oikeudelliset välineet, joiden avulla voidaan panna täytäntöön kaikki DSB:n päätökset koko EU:ssa ja takavarikoida Google LLC:n omaisuus myös kolmansilla osapuolilla (kuten kansainvälisillä pankeilla).

Taustaa: EU:n tuomioistuin on kahdessa tapauksessa (Schrems I jaSchrems II) päättänyt, että EU:n tietoja ei enää saa tallentaa yhdysvaltalaisiin yrityksiin, jos ne kuuluvat Yhdysvaltojen valvontalainsäädännön (erityisesti 50 USC § 1881a, joka tunnetaan myös nimellä "FISA") soveltamisalaan. Google kuuluu kiistatta näiden Yhdysvaltojen lakien ja EU:n tuomioistuimen päätöksen soveltamisalaan. Suuri osa yhdysvaltalaisesta teollisuudesta jättää kuitenkin edelleen huomiotta selkeän oikeuskäytännön välttääkseen kalliit järjestelmäpäivitykset.