Alig több mint egy hónappal ezelőtt a noyb beadta 101 panaszt több EU/EGT-beli székhelyű vállalat ellen, mert azok továbbra is használják a Google Analytics és a Facebook Connect szolgáltatást a honlapjaikon, és ezáltal személyes adatokat továbbítanak a Google-nek és a Facebooknak az Egyesült Államokban. A EUB 2020. július 16-i ítéleteaz ilyen adattovábbítások jogellenesek, mivel a Google és a Facebook az amerikai megfigyelési törvények hatálya alá tartozik, és az európai felhasználók adatait ki kell adnia az amerikai hírszerző szolgálatoknak.
Alig érkezett reakció az érintett vállalatok részéről - a 20 millió eurós bírsággal való fenyegetés ellenére
Miközben politikailag egyértelmű, hogy a közeljövőben nem lesz új "adatvédelmi pajzs" vagy "biztonságos kikötő", úgy tűnik, sok vállalat továbbra is homokba dugja a fejét.
Még sok ügyvéd és "szakértő" is figyelmen kívül hagyja az EUB egyértelmű kijelentéseit, és azt állítja, hogy minden rendben van, amíg az adatátvevővel szabványos szerződési feltételeket kötnek - ez a helyzet teljes téves megítélése, ami sokba kerülhet a vállalatoknak.
Az EUB világosan kimondta, hogy az SCC-k nem alkalmazhatók, ha az amerikai címzett az Egyesült Államokban az amerikai megfigyelési törvények (például a FISA 702) hatálya alá tartozik. Az adatvédelmi hatóságok a GDPR adattovábbításra vonatkozó szabályainak megsértése esetén akár 20 millió euróig vagy az éves forgalom 4%-áig terjedő bírságot is kiszabhatnak. Ez kiegészül az érintett felhasználók esetleges kártérítési igényeivel.
A noyb által benyújtott 101 panasz tehát ébresztőnek szánták: az EU legfelsőbb bíróságának döntését tiszteletben kell tartani; mind az uniós adatexportőröknek, mind az amerikai adatimportőröknek ellenőrizniük kell a kritikus adattovábbításokat, és szükség esetén le kell állítaniuk azokat. Ha ezt önként nem teszik meg, az EUB kifejezetten kötelezte az európai adatvédelmi hatóságokat az ilyen adattovábbítások megtiltására.
Úgy tűnik, hogy ezt nagyrészt figyelmen kívül hagyták azok a weboldal-üzemeltetők, akik ellen a noyb a 101 panaszt benyújtotta. 2020.09.22-ig mindössze két vállalat és egy egyetem vette fel a kapcsolatot a noyb-bal - mindannyian liechtensteini székhelyűek. Ők bizonyítani tudták, hogy eltávolították a Google Analytics vagy a Facebook Connect kódelemeit a honlapjaikról. a noyb ezt követően visszavonta az érintett panaszokat a liechtensteini adatvédelmi hatóság előtt.
"Eddig csak a liechtensteini weboldal-üzemeltetők leptek meg minket pozitívan. Gyorsan és helyesen reagáltak, és leállították a GDPR-t sértő adattovábbításokat. Ezt követően visszavontuk a panaszokat. Sajnos más tagállamok weboldal-üzemeltetőitől még nem hallottunk. Minéltovább várnak ezek a vállalatok, annál valószínűbb, hogy az adatvédelmi hatóságok szankciókkal sújtják őket". - Marco Blocher, a noyb adatvédelmi ügyvédje.
A Google és a Facebook is fenntartja hallgatását
A 101 panasz a weboldal-üzemeltetők mellett a Google és a Facebook adatimportőrök ellen is irányul az Egyesült Államokban, amelyek szintén felelősségre vonhatók a GDPR-t sértő adattovábbításért. A Facebook eddig nem tett érdemi megjegyzést a 101 panasszal kapcsolatban, a Google pedig csak üres szavakkal szolgált, mondván, hogy"elkötelezettek amellett, hogy a Google által biztosított alkalmazandó SCC-k alapján az adatok helyétől függetlenül biztosítsák az előírt adatvédelmi védelem fenntartását". A Szilícium-völgyi óriás azonban nem adott választ arra, hogyan kívánja elkerülni, hogy az amerikai megfigyelési törvények hatálya alá kerüljön.
"Eddig a nagy amerikai adatszolgáltató vállalatok mantraként ismételgetik, hogy értékelik a helyzetet és biztosítják a felhasználói adatok védelmét az SCC-k alapján. Ezek az üres frázisok nem változtatnak azon a tényen, hogy az amerikai megfigyelési törvények jogot adnak az olyan hatóságoknak, mint az NSA, hogy hozzáférjenek az USA-ba továbbított hatalmas mennyiségű adathoz. Az uniós ügyfelekkel kötött szerződések és az amerikai törvények közötti konfliktusról eddig csak hallgatás hangzott el". - Marco Blocher
Az Európai Adatvédelmi Testület munkacsoportot hozott létre a noybpanaszai miatt
Van egy pozitív fejlemény uniós szinten. Az Európai Adatvédelmi Testület ("EDPB", az európai adatvédelmi hatóságok képviselőiből álló uniós testület) külön munkacsoportot hozott létre a 101 panasz kezelésére. Ennek a munkacsoportnak kell kivizsgálnia a panaszok alapjául szolgáló tényeket, és biztosítania kell a testület tagjai közötti szoros együttműködést. Az EDPB emellett"ajánlásokat fogkidolgozni, amelyekkel segíti az adatkezelőket és adatfeldolgozókat azon kötelezettségük teljesítésében, hogy meghatározzák és alkalmazzák a megfelelő kiegészítő intézkedéseket a megfelelő védelem biztosítása érdekében, amikor az adatokat harmadik országokba továbbítják".
"Nagyon örülünk, hogy az EDPB aktív szerepet vállalt ebben az ügyben, és elkötelezett a panaszaink következetes kezelése érdekében. Reméljük, hogy ez a koordináció azt eredményezi majd, hogy a panaszokat minden EU/EGT-országban egyformán hatékonyan és gyorsan kezelik. Eddigi tapasztalataink azt mutatják, hogy egyes adatvédelmi hatóságok nagyon produktívak, míg mások minden eljárást csírájában el akarnak fojtani. A páneurópai megközelítés ezért mindenképpen üdvözlendő. A 101 panasz nem bonyolult tartalmú, és szinte azonos. Ha az "A" tagállam hatóságának sikerül időben foglalkoznia egy panasszal, a "B" tagállam hatóságának nincs mentsége, hogy miért ne tudná ezt megtenni". - Marco Blocher
a noyb továbbra is figyelemmel kíséri az egyes panaszok helyzetét, hogy az EUB döntései minden polgár jogait is védjék a mindennapi életben.
