Iets meer dan een maand geleden heeft noyb de volgende gegevens ingediend 101 klachten tegen verschillende bedrijven die gevestigd zijn in de EU/EER omdat ze Google Analytics en Facebook Connect blijven gebruiken op hun websites - en zo persoonlijke gegevens doorgeven aan Google en Facebook in de VS. Volgens de Arrest van het Hof van Justitie van de Europese Unie van 16 juli 2020Dergelijke gegevensoverdrachten zijn illegaal omdat Google en Facebook onderworpen zijn aan de Amerikaanse toezichtswetten en gegevens van Europese gebruikers moeten doorgeven aan Amerikaanse inlichtingendiensten.
Nauwelijks een reactie van de betrokken bedrijven - ondanks de dreiging van een boete van 20 miljoen euro
Hoewel het politiek duidelijk is dat er in de nabije toekomst geen nieuwe "Privacy Shield" of "Safe Harbor" zal komen, lijken veel bedrijven hun kop in het zand te blijven steken
Zelfs veel juristen en "deskundigen" negeren de duidelijke verklaringen van het HvJEU en beweren dat alles in orde is zolang men met de ontvanger van de gegevens standaardcontractuele clausules ("SCC's") afsluit - een volledig verkeerde inschatting van de situatie, die bedrijven duur kan komen te staan
Het Hof van Justitie van de Europese Unie heeft duidelijk gesteld dat de SCC's niet kunnen worden gebruikt als de ontvanger in de VS onderworpen is aan de Amerikaanse toezichtswetgeving (zoals FISA 702). De gegevensbeschermingsautoriteiten kunnen boetes opleggen tot 20 miljoen euro of 4% van de jaaromzet voor een overtreding van de BNPR-regels inzake gegevensoverdracht. Dit komt bovenop mogelijke schadeclaims door getroffen gebruikers.
De 101 klachten die door noyb zijn ingediend, waren dan ook bedoeld als een waarschuwing: de uitspraak van het hoogste gerechtshof van de EU moet worden gerespecteerd; zowel gegevensexporteurs in de EU als gegevensimporteurs in de VS moeten de doorgifte van kritieke gegevens inspecteren en zo nodig tegenhouden. Als zij dat niet vrijwillig doen, heeft het Hof van Justitie van de EU de Europese gegevensbeschermingsautoriteiten uitdrukkelijk verplicht om dergelijke doorgiften van gegevens te verbieden
Dit lijkt grotendeels te zijn genegeerd door de website-exploitanten waartegen noyb de 101 klachten heeft ingediend. Sinds 22.09.2020 hebben slechts twee bedrijven en één universiteit contact opgenomen met noyb - allemaal gevestigd in Liechtenstein. Zij konden bewijzen dat zij de code-elementen voor Google Analytics of Facebook Connect van hun websites hadden verwijderd. noyb heeft vervolgens de betreffende klachten bij de Liechtensteinse gegevensbeschermingsautoriteit ingetrokken.
"Tot nu toe hebben alleen website-exploitanten uit Liechtenstein ons positief verrast. Ze reageerden snel en correct en stopten de gegevensoverdrachten die in strijd waren met de BBPR. Vervolgens hebben we de klachten ingetrokken. Helaas hebben we niets gehoord van website-exploitanten uit andere lidstaten. Hoe langer deze bedrijven wachten, hoe groter de kans dat ze door de gegevensbeschermingsautoriteiten worden gesanctioneerd". - Marco Blocher, advocaat voor gegevensbescherming bij noyb.
Google en Facebook bewaren ook hun stilzwijgen
Naast de website-exploitanten zijn de 101 klachten ook gericht tegen de gegevensimporteurs Google en Facebook in de VS, die ook verantwoordelijk kunnen worden gesteld voor gegevensoverdrachten in strijd met de GDPR. Facebook heeft tot nu toe geen inhoudelijke opmerkingen gemaakt over de 101 klachten; Google heeft alleen lege woorden gegeven en gezegd dat zij "zich ertoe verbinden ervoor te zorgen dat onder de toepasselijke door Google verstrekte SCC's de vereiste privacybescherming wordt gehandhaafd, ongeacht de locatie van de gegevens". De Silicon Valley-gigant heeft echter geen antwoord op de vraag hoe hij wil voorkomen dat hij wordt onderworpen aan de Amerikaanse toezichtswetten.
"Tot nu toe herhalen grote Amerikaanse gegevensbedrijven als een mantra dat zij de situatie evalueren en ervoor zorgen dat de gebruikersgegevens worden beschermd op basis van SCC's.". Deze holle frasen veranderen niets aan het feit dat de Amerikaanse toezichtswetten autoriteiten zoals de NSA het recht geven om toegang te krijgen tot grote hoeveelheden gegevens die naar de VS worden overgedragen. Tot nu toe is er niets dan stilte over dit conflict tussen contracten met EU-klanten en de Amerikaanse wetgeving" - Marco Blocher
Het Europees Comité voor gegevensbescherming heeft een taskforce voor klachten van noyb opgericht
Er is één positieve ontwikkeling op EU-niveau. Het Europees Comité voor gegevensbescherming ("EDPB", een EU-orgaan dat bestaat uit vertegenwoordigers van de Europese gegevensbeschermingsautoriteiten) heeft een speciale taskforce opgericht om de 101 klachten te behandelen. Deze taskforce moet de feiten die ten grondslag liggen aan de klachten onderzoeken en zorgen voor een nauwe samenwerking tussen de leden van de raad. De EDPB zal ook "aanbevelingen opstellen om de voor de verwerking verantwoordelijken en de verwerkers bij te staan bij hun taak om passende aanvullende maatregelen vast te stellen en uit te voeren om een passende bescherming te waarborgen bij de doorgifte van gegevens naar derde landen".
"Wij zijn zeer verheugd dat de EDPB in deze zaak een actieve rol heeft gespeeld en zich inzet voor een consequente behandeling van onze klachten. Wij hopen dat deze coördinatie ertoe zal leiden dat klachten in alle EU/EER-landen even doeltreffend en snel worden behandeld. Tot dusver blijkt uit onze ervaring dat sommige gegevensbeschermingsautoriteiten zeer productief zijn, terwijl andere elke procedure in de kiem lijken te willen smoren. Een pan-Europese aanpak is daarom in ieder geval welkom. De 101 klachten zijn inhoudelijk niet complex en zijn vrijwel identiek. Als de autoriteit in lidstaat A erin slaagt een klacht tijdig te behandelen, heeft de autoriteit in lidstaat B geen excuus om dat niet te doen". - Marco Blocher
noyb blijft de situatie bij elke klacht volgen om ervoor te zorgen dat de beslissingen van het Hof van Justitie van de Europese Unie ook de rechten van elke burger in zijn dagelijks leven beschermen.