101 Ingediende klachten over overdrachten tussen de EU en de VS

Aug 17, 2020

Een snelle analyse van de HTML-broncode van de belangrijkste EU-webpagina's toont aan dat veel bedrijven nog steeds gebruik maken van Google Analytics of Facebook Connect een maand na een belangrijke uitspraak van het Hof van Justitie van de Europese Unie (CJEU) - ondanks het feit dat beide bedrijven duidelijk onder de Amerikaanse toezichtswetgeving vallen, zoals FISA 702. Facebook noch Google lijken een wettelijke basis te hebben voor de gegevensoverdracht. Google stills beweert een maand nadat het "Privacy Shield" ongeldig is verklaard, gebruik te maken van het "SCCs", terwijl Facebook de "SCCs" blijft gebruiken, ondanks het feit dat het Hof oordeelde dat de Amerikaanse toezichtswetten in strijd zijn met de essentie van de fundamentele rechten van de EU.

101 Ingediende klachten, die betrekking hebben op bedrijven in 30 lidstaten van de EU en de EER In alle 30 EU- en EER-lidstaten zijn klachten ingediend tegen 101 Europese bedrijven die nog steeds gegevens over elke bezoeker doorsturen naar Google en Facebook De klachten worden ook ingediend tegen Google en Facebook in de VS, omdat zij deze gegevensoverdrachten blijven accepteren, ondanks het feit dat zij in strijd zijn met de BBPR. De websites werden gekozen op basis van de TLD van de lidstaat (zoals ".fr" voor Frankrijk), twee specifieke codesnippels en het verkeer van de pagina.

"We hebben op de belangrijkste websites in elke EU-lidstaat snel gezocht naar code van Facebook en Google. Deze code stuurt gegevens van elke bezoeker door naar Google of Facebook. Beide bedrijven geven toe dat zij gegevens van Europeanen doorsturen naar de VS voor verwerking, waar deze bedrijven wettelijk verplicht zijn deze gegevens beschikbaar te stellen aan Amerikaanse instanties zoals de NSA. Noch Google Analytics, noch Facebook Connect zijn essentieel om deze webpagina's te beheren en het zijn diensten die inmiddels vervangen of in ieder geval gedeactiveerd hadden kunnen worden. " zegt Max Schrems, erevoorzitter van noyb.eu.

Bedrijven uit de EU en de VS negeren op grote schaal de uitspraak Amerikaanse bedrijven zoals Google, Facebook of Microsoft vallen duidelijk onder de verplichtingen om persoonsgegevens van personen in de EU aan de Amerikaanse overheid te verstrekken op grond van wetten zoals FISA 702 of EO 12.333. Ze worden zelfs genoemd in de Snowden-documenten. Ondanks de duidelijke uitspraak van het Hof van Justitie van de EU beweren ze nu dat de overdracht van gegevens mag doorgaan onder de zogenaamde Standaard Contractuele Clausules - en veel EU-gegevensexporten lijken meer dan bereid om deze valse claim te accepteren.

Schrems: "Het Hof was expliciet van mening dat je de SCC's niet kunt gebruiken wanneer de ontvanger in de VS onder deze massatoezichtswetten valt. Het lijkt erop dat Amerikaanse bedrijven nog steeds proberen hun klanten in de EU van het tegendeel te overtuigen. Dit is meer dan een schaduwzijde. Op grond van de VCA's zou de Amerikaanse gegevensimporteur in plaats daarvan de EU-afzender van de gegevens op de hoogte moeten brengen van deze wetten en hen moeten waarschuwen. Als dit niet gebeurt, zijn deze Amerikaanse bedrijven in feite aansprakelijk voor eventuele financiële schade.

De DPA's zullen actie moeten ondernemen De GDPR vereist dat elke gegevensbeschermingsautoriteit (DPA) in elke lidstaat de wet handhaaft, vooral wanneer zij een klacht ontvangt. Het Hof van Justitie heeft uitdrukkelijk gewezen op de plicht van de gegevensbeschermingsautoriteiten om actie te ondernemen. Dit kan variëren van een verbodsbericht tot ernstige sancties van 20 miljoen euro of 4% van de wereldwijde omzet van de afzender in de EU en de ontvanger van persoonsgegevens in de VS.

noyb geeft richtlijnen voor bedrijven Vooral voor kleinere EU-bedrijven die niet zeker zijn van de Amerikaanse toezichtswetten en als hun Amerikaanse partner onder deze wetten valt, heeft noyb gratis richtlijnen en modelverzoeken op zijn webpagina geplaatst.

Verdere juridische stappen zijn gepland noyb is van plan de druk op bedrijven in de EU en de VS om hun regelingen voor gegevensoverdracht te herzien en zich aan te passen aan de duidelijke uitspraak van het Hooggerechtshof van de EU, geleidelijk op te voeren. Schrems: "Hoewel we begrijpen dat sommige dingen misschien wat tijd nodig hebben om te herschikken, is het onaanvaardbaar dat sommige spelers het topgerechtshof van Europa gewoonweg lijken te negeren. Dit is ook oneerlijk ten opzichte van concurrenten die zich aan deze regels houden. We zullen geleidelijk stappen ondernemen tegen controleurs en verwerkers die de GDPR schenden en tegen autoriteiten die de uitspraak van de rechtbank niet uitvoeren, zoals de Ierse DPC die slapend blijft