Osztrák DSB: A metakövető eszközök illegálisak
Az osztrák adatvédelmi hatóság (DSB) a noybs 101 panaszának egyikében hozott úttörő döntésében úgy döntött, hogy a Facebook nyomkövető pixelének használata közvetlenül sérti a GDPR-t és a transzatlanti adatáramlásról szóló úgynevezett "Schrems II" határozatot. Bíróság (EUB) 2020-ban úgy döntött, hogy az amerikai szolgáltatók használata sérti a GDPR-t, mivel az amerikai megfigyelési törvények előírják, hogy az amerikai vállalatok, mint például a Facebook, a felhasználók személyes adatait átadják az amerikai hatóságoknak.
- Az osztrák DSB határozata (németül)
- Autófordított határozat (EN)
- Az ügy összefoglalója a GDPRhubon (EN)
az EUB 2020-as ítélete a való világot éri el. 2020 júliusában az EUB úgy döntött, hogy a FISA 702 és az EO 12.333 hatálya alá tartozó amerikai szolgáltatóknak történő továbbítás sérti a GDPR nemzetközi adattovábbításra vonatkozó szabályait. Az EUB következésképpen megsemmisítette a "Privacy Shield" adattovábbítási megállapodást, miután 2015-ben megsemmisítette a korábbi "Safe Harbor" megállapodást. Miközben ez sokkoló hullámokat keltett a technológiai iparágban, az amerikai szolgáltatók és az uniós adatexportőrök nagyrészt figyelmen kívül hagyták az ügyet. A Microsofthoz, a Google-hoz vagy az Amazonhoz hasonlóan a Facebook is az úgynevezett "általános szerződési záradékokra" és "kiegészítő intézkedésekre" támaszkodott az adattovábbítás folytatása és európai üzleti partnereinek megnyugtatása érdekében. Ezért a noyb 2020 augusztusában 101 panaszt nyújtott be a Google Analytics és a Facebook nyomkövető eszközeit az egyértelmű bírósági ítéletek ellenére még mindig használó weboldalak ellen.
"A Facebook úgy tett, mintha kereskedelmi ügyfelei továbbra is használhatnák a technológiáját, annak ellenére, hogy a Bíróság két ítélete ennek az ellenkezőjét mondja ki. Most az első szabályozó hatóság közölte egy ügyféllel, hogy a Facebook nyomkövető technológiájának használata jogellenes"." - Max Schrems, a noyb.eu elnöke
Illegális adatátvitel a Facebook bejelentkezés és a Meta Pixel segítségével. A DSB döntése, amely a Google Analytics illegálisnak nyilvánította, a Meta által biztosított "Facebook Login" és "Meta Pixel" eszközökre is vonatkozik: Ha ezeket az eszközöket használják, az adatok elkerülhetetlenül az USA-ba kerülnek, ahol az adatokat a hírszerzés megfigyelésének veszélye fenyegeti. Az európai weboldal-üzemeltetőknek ezért azt tanácsoljuk, hogy ne építsenek be semmilyen, a Meta által gyártott eszközt a weboldalukra.
A határozat szinte minden uniós weboldalra vonatkozik. Számos weboldal használja a Facebook nyomkövető technológiáját a felhasználók nyomon követésére és személyre szabott hirdetések megjelenítésére. Ha a weboldalak beépítik ezt a technológiát, akkor az összes felhasználói adatot továbbítják az amerikai multinacionális vállalatnak, majd onnan az NSA-nak. Bár az Európai Bizottság még mindig arra törekszik, hogy közzétegye a harmadik EU-USA adattovábbítási megállapodást, az a tény, hogy az amerikai törvények továbbra is lehetővé teszik a tömeges megfigyelést, azt jelenti, hogy ez az ügy egyhamar nem fog megoldódni.
Hosszú távú megoldás. Hosszú távon úgy tűnik, két lehetőség van: Vagy az USA adaptálja a külföldiekre vonatkozó alapvető védelmet a technológiai iparuk támogatása érdekében, vagy az amerikai szolgáltatóknak az Egyesült Államokon kívül kell majd tárolniuk a külföldi adatokat. Köztudott, hogy a Meta az amerikai központú rendszere miatt kategorikusan nem tudja biztosítani, hogy az európai polgárok adatait ne hallgassák le az amerikai hírszerző ügynökségek.
Nincs büntetés. Nincs információ arról, hogy kiszabtak-e büntetést, vagy hogy a DSB tervez-e szintén büntetést kiszabni. A GDPR ilyen esetekben 20 millió euróig vagy a globális forgalom 4%-áig terjedő büntetést ír elő, de az adatvédelmi hatóságok a jelek szerint nem hajlandóak bírságot kiszabni, annak ellenére, hogy az adatkezelők több mint két éven keresztül figyelmen kívül hagytak két EUB-ítéletet.
