23 év illegális adattovábbítás az inaktív adatvédelmi hatóságok és az új EU-USA megállapodások miatt
Az Európai Unió Bírósága (EUB) 2015-ben és 2020-ban két mérföldkőnek számító ítéletében illegálisnak nyilvánította az EU-USA adattovábbításokat. Ezek a határozatok visszamenőleges hatályúak, ami azt jelenti, hogy 2000 és 2023 között nem volt jogalapja az említett adattovábbításoknak. Ennek ellenére a legtöbb uniós vállalat továbbra is olyan szolgáltatásokat használt, mint a Google Analytics vagy a Meta nyomkövető eszközei, amelyek jogellenes adattovábbítással járnak az USA-ba. A noyb 101 panaszának új elemzése most azt mutatja, hogy az inaktív adatvédelmi hatóságok és az Európai Bizottság új megállapodásai együttesen hogyan vezettek ahhoz, hogy 23 éven keresztül megsértették az adatvédelmet.
23 évnyi jogellenes adattovábbítás. A legfelsőbb európai bíróság határozott üzenetet küldött a jobb adatvédelem érdekében, amikor 2015-ben érvénytelenítette a "Safe Harbor" és 2020-ban a "Privacy Shield" adattovábbítási megállapodást. A döntés logikus következménye volt, hogy 2000 óta az Európai Unió és az Egyesült Államok közötti szinte valamennyi adattovábbítás jogellenes volt. A valóságban azonban a vállalatok nem hagyták abba a gyakorlatot. Ezt nagyrészt az európai adatvédelmi hatóságok tétlensége tette lehetővé, amelyek többnyire nem hajtották végre az EUB határozatait. Az új (és érvénytelen) megállapodásokkal együtt tehát 23 évnyi illegális adattovábbításra tekinthetünk vissza.
Marco Blocher, a noyb adatvédelmi ügyvédje: "A jogállamiság bizonyos mértékű összeomlásának vagyunk tanúi. Európa legfelsőbb bírósága az elmúlt 23 év adattovábbításait jogellenesnek nyilvánította, de a hatóságok nagyrészt elnéztek a másik irányba."
Egy fiókban porosodik. A végrehajtás biztosítása érdekében a noyb 101 panaszt nyújtott be, miután az EUB 2020-ban érvénytelenítette az "adatvédelmi pajzs" megfelelőségi határozatát. Bár ez a döntés elvette az adattovábbítás jogalapját, sok jól látogatott weboldal továbbra is továbbította a látogatóik adatait a Google és a Meta szervereinek az Egyesült Államokban található szervereire. A kifejezett panaszok és annak ellenére, hogy a folyamatos adattovábbítás egyértelműen sérti a GDPR-t, az illetékes adatvédelmi hatóságok a mai napig nem hoztak döntést a noybpanaszainak több mint 70 százalékában. augusztus 18-án van a panaszok harmadik évfordulója.
Végtelen várakozás. Az EUB ítélete valójában egyértelmű jogi helyzetet biztosított az adatvédelmi hatóságok számára, hogy viszonylag gyorsan döntsenek az adattovábbítással kapcsolatos ügyekben. a noyblegújabb elemzése azonban azt mutatja, hogy 32 érintett hatóságból 20 (62,5%) még egyetlen hozzájuk benyújtott panaszra sem hozott határozatot. Még az aktívabb hatóságoknak is sokkal több időbe telt, mint amit a törvény előír. A jelenleg 13 határozat közül az első az osztrák DSB-től érkezett. Közel 1,5 évbe telt, mire a noybpanaszával kapcsolatban döntés született, az egyszerű tényállás és a világos jogi helyzet ellenére.
Marco Blocher, a noyb adatvédelmi ügyvédje: "Az általunk benyújtott adatvédelmi hatóságok mintegy kétharmada három év alatt egyetlen határozatot sem hozott. Néhányukat még elérni is lehetetlen, és nem tájékoztatnak a panaszok állásáról. Abszurd, hogy egyes tagállamokban még az ilyen egyszerű ügyeket sem hajtják végre."
Egy rossz példa. Ami még rosszabbá teszi a helyzetet, hogy az ír adatvédelmi bizottság (DPC) - tehát a Google és a Meta felügyeleti hatósága - egyike annak a 20 adatvédelmi hatóságnak, amelyik még a kisujját sem mozdította. A DPC elé vitt mind a hat noyb panasz még mindig függőben van. De a hatóság ezzel nincs egyedül. Többek között ugyanez vonatkozik a belga, a holland, a görög, a lengyel, a szlovák és a cseh adatvédelmi hatóságra is. A teljes elemzés fentebb linkelve található.
Senki sem mer bírságot kiszabni. Eddig összesen 73 ügy van folyamatban. kilencet megnyert a noyb , hármat részben megnyert és egyet elvesztett. De még a pozitív hírek is kijózanítóak. Az illetékes hatóság (Svédországban) mindössze egy esetben szabott ki bírságot a Google Analytics jogellenes használata miatt: A Tele2 távközlési szolgáltatónak egymillió eurót, a CDON online kiskereskedőnek 25 000 eurót kellett fizetnie. Ez 101 esetben mindössze két bírságot jelent.
Marco Blocher, a noyb adatvédelmi ügyvédje: "Egyedül a svéd hatóság szabott ki bírságot, az összes többi hatóság nem szabott ki bírságot nyilvánvaló GDPR-szabálysértés miatt"
Az EU Bizottsága megelőzte az adatvédelmi hatóságokat. A fennmaradó panaszok nagy része esetében három évvel a benyújtás után még mindig nem világos, hogy az illetékes adatvédelmi hatóságok valaha is döntésre jutnak-e, vagy csak megpróbálják kiülni az ügyet. Közben az EU Bizottság és az USA munkához látott. Idén július közepén megállapodtak egy "új" transzatlanti adatvédelmi keretről ("TADPF" ), amely nagyrészt elődjének másolata. Az uniós polgároknak továbbra sincsenek alkotmányos jogaik az Egyesült Államokban, ami lehetővé teszi, hogy a hírszerző ügynökségek, mint például az NSA, megfigyelési célokra használják fel adataikat. Ugyanakkor az új keretrendszer lehetőséget ad az adatvédelmi hatóságoknak arra, hogy az aktív eljárásokat felfüggesszék, és kivárják, hogy az EUB harmadszor is érvénytelenítse a megfelelőségi határozatot.
Marco Blocher, a noyb adatvédelmi ügyvédje: "Lényegében 23 éve egymás után következnek a jogellenes adattovábbítási ügyletek vagy a végrehajtás elmaradása. Elképesztő, hogy minden normális ember bírságot kap, ha megsérti a törvényt, csak amikor a GDPR-ról van szó, egyszerűen nincs következmény - még két EUB-ítélet után sem."
A lehetséges intézkedések mind kudarcba fulladtak. Miután a noyb benyújtotta a 101 panaszt, rövid ideig úgy tűnt, hogy van remény az időben történő megoldásra. Az EDPB még egy informális "munkacsoportot" is létrehozott, hogy elkerülje a döntéshozatali gyakorlat széttöredezését. Sajnos ez nem vezetett egységes megközelítéshez, hogy végre megállítsák a jogellenes adattovábbításokat. Az európai adatvédelmi jogszabályoknak nem megfelelő vállalatok alapvető problémája továbbra is fennáll. A munkacsoport zárójelentése csak magas szintű, egyértelmű megállapításokat tartalmaz.
Harmadszorra sikerül? A "biztonságos kikötőhöz" és az "adatvédelmi pajzshoz" hasonlóan az új "TADPF"-et is előbb-utóbb megtámadják az EUB előtt, amely majd értékeli annak érvényességét az uniós jog alapján. Mivel az amerikai megfigyelési joggal kapcsolatos alapvető problémák továbbra is fennállnak, nagy az esélye annak, hogy az irányelv elődei sorsára jut - és visszamenőleges hatállyal semmisnek nyilvánítják. A labda ezután ismét az adatvédelmi hatóságok térfelén lesz. Végső soron nekik kell majd végrehajtaniuk az EUB döntését. Az eddigi teljesítményüket tekintve a kilátások borzalmasak. A noyb kész minden jogi lehetőséget kihasználni annak érdekében, hogy a folyamatban lévő panaszok tekintetében döntés szülessen, és - ha szükséges - új panaszokat nyújtson be annak érdekében, hogy az EUB jövőbeli döntéseit tiszteletben tartsák.
