Päivitys noybin 101 valituksesta EU: n ja Yhdysvaltojen välisestä tiedonsiirrosta - vain yksi maa paistaa

Sep 22, 2020

Hieman yli kuukausi sitten kukaan ei tehnyt 101 valitusta useista EU / ETA-maissa sijaitsevista yrityksistä, koska ne käyttävät edelleen Google Analyticsia ja Facebook Connectia verkkosivustoillaan - siirtäen siten henkilötietoja Googlelle ja Facebookille Yhdysvalloissa. Euroopan unionin tuomioistuimen 16. heinäkuuta 2020 antaman tuomion mukaan tällainen tiedonsiirto on laitonta, koska Google ja Facebook ovat Yhdysvaltain valvontalakien alaisia ja niiden on luovutettava eurooppalaisten käyttäjien tiedot Yhdysvaltain tiedustelupalveluille.

Kyseisten yritysten tuskin reaktioita - huolimatta 20 miljoonan euron sakon uhasta

Vaikka on poliittisesti selvää, että lähitulevaisuudessa ei ole uutta "Privacy Shield" - tai "Safe Harbor" -suojaa, monet yritykset näyttävät edelleen hautavansa päänsä hiekkaan.

Jopa monet lakimiehet ja "asiantuntijat" jättävät huomiotta unionin tuomioistuimen selkeät lausunnot ja väittävät, että kaikki on hyvin niin kauan kuin solmitaan vakiosopimuslausekkeita tietojen vastaanottajan kanssa - tilanteen väärä arviointi, mikä voi maksaa yrityksille kalliisti.

Euroopan unionin tuomioistuin on selvästi todennut, että SCC: itä ei voida käyttää, jos vastaanottajalle Yhdysvalloissa sovelletaan Yhdysvaltain valvontalakeja (kuten FISA 702). Tietosuojaviranomaiset voivat määrätä sakkoja enintään 20 miljoonaa euroa eli 4 prosenttia vuotuisesta liikevaihdosta GDPR-sääntöjen rikkomisesta tiedonsiirrosta. Tämä on mahdollisten vahingonkorvausvaatimusten lisäksi.

Noybin tekemät 101 kantelua oli siis tarkoitettu herätykseen: EU: n korkeimman oikeuden päätöstä on kunnioitettava; sekä EU: n että Yhdysvaltojen tietojen viejien on tarkastettava kriittiset tiedonsiirrot ja tarvittaessa lopetettava ne. Jos ne eivät tee niin vapaaehtoisesti, unionin tuomioistuin on nimenomaisesti asettanut Euroopan tietosuojaviranomaisille velvollisuuden kieltää tällaiset tiedonsiirrot.

Näyttää siltä, että verkkosivustojen ylläpitäjät, joita kukaan teki 101 valitusta, ovat laajalti unohtaneet tämän. 22.09.2020 alkaen vain kaksi yritystä ja yksi yliopisto ovat ottaneet yhteyttä ketään kohtaan - kaikki Liechtensteinissa. He pystyivät todistamaan poistaneensa Google Analyticsin tai Facebook Connectin koodielementit verkkosivustoistaan. Noyb peruutti myöhemmin kyseiset valitukset Liechtensteinin tietosuojaviranomaisessa.

" Toistaiseksi vain Liechtensteinin verkkosivustojen ylläpitäjät ovat yllättäneet meidät positiivisesti. He reagoivat nopeasti ja oikein ja lopettivat GDPR: n vastaiset tiedonsiirrot. Olemme myöhemmin peruuttaneet valitukset. Valitettavasti emme ole kuulleet muiden jäsenvaltioiden verkkosivustojen ylläpitäjistä." Mitä kauemmin nämä yritykset odottavat, sitä todennäköisemmin tietosuojaviranomaiset saavat niistä seuraamuksia ". - Marco Blocher, tietosuojaasianajaja noybilta .

Google ja Facebook ylläpitävät myös hiljaisuuttaan

Verkkosivustojen ylläpitäjien lisäksi 101 valitusta kohdistuu myös Yhdysvaltojen tietojen maahantuojiin Googleen ja Facebookiin, jotka voidaan myös pitää vastuussa GDPR: n vastaisista tiedonsiirroista. Facebook ei ole toistaiseksi antanut mitään asiallista kommenttia 101 valituksesta; Google on antanut vain tyhjiä sanoja sanoen, että ne "ovat sitoutuneet varmistamaan, että Googlen tarjoamien sovellettavien SCC: n nojalla vaaditut yksityisyyden suojat säilytetään tietojen sijainnista riippumatta ". Piilaakson jättiläisellä ei kuitenkaan ole vastausta siihen, miten se aikoo välttää Yhdysvaltain valvontalakeja.

" Toistaiseksi suuret yhdysvaltalaiset tietoyritykset toistavat mantrana, että ne arvioivat tilannetta ja varmistavat, että käyttäjätiedot suojataan SCC: n perusteella. Nämä tyhjät lauseet eivät muuta sitä tosiasiaa, että Yhdysvaltain valvontalaki antaa viranomaisille, kuten NSA: lle. oikeus käyttää valtavia määriä tietoja, jotka siirretään Yhdysvaltoihin. Toistaiseksi EU: n asiakkaiden kanssa tehtyjen sopimusten ja Yhdysvaltain lakien välisestä ristiriidasta ei ole muuta kuin hiljaa . " - Marco Blocher

Euroopan tietosuojaneuvosto on perustanut työryhmän, joka käsittelee kenenkään valituksia

EU: n tasolla on yksi myönteinen kehitys. Euroopan tietosuojaneuvosto ("EDPB", EU: n elin, joka koostuu Euroopan tietosuojaviranomaisten edustajista) on perustanut erityisen työryhmän käsittelemään 101 valitusta. Tämän työryhmän on tutkittava valitusten taustalla olevat tosiasiat ja varmistettava tiivis yhteistyö hallituksen jäsenten välillä. EDPB myös " laatii suosituksia avustamaan rekisterinpitäjiä ja henkilötietojen käsittelijöitä heidän velvollisuudessaan tunnistaa ja toteuttaa asianmukaiset lisätoimenpiteet riittävän suojan varmistamiseksi siirtäessään tietoja kolmansiin maihin ".

" Olemme erittäin iloisia siitä, että EDPB on ottanut aktiivisen roolin tässä asiassa ja on sitoutunut työskentelemään valitusten johdonmukaisen käsittelyn puolesta. Toivomme, että tämä koordinointi johtaa valitusten käsittelyyn yhtä tehokkaasti ja nopeasti kaikissa EU / ETA-maissa Toistaiseksi kokemuksemme osoittaa, että jotkut tietosuojaviranomaiset ovat erittäin tuottavia, kun taas toiset näyttävät haluavan niputtaa kaikki menettelyt alkuunsa. Siksi yleiseurooppalainen lähestymistapa on joka tapauksessa tervetullut. 101 valitusta eivät ole sisällöltään monimutkaisia ja Jos jäsenvaltion A viranomainen onnistuu käsittelemään valituksen ajoissa, jäsenvaltion B viranomaisella ei ole mitään syytä, miksi se ei voi tehdä niin ". - Marco Blocher

kukaan ei seuraa edelleen valitusten tilannetta varmistaakseen, että unionin tuomioistuimen päätöksillä suojataan myös jokaisen kansalaisen oikeuksia heidän jokapäiväisessä elämässään.