101 Skargi dotyczące złożonych transferów UE-USA

sie 17, 2020

Szybka analiza kodu źródłowego HTML głównych stron internetowych UE pokazuje, że wiele firm nadal korzysta z Google Analytics lub Facebook Connect miesiąc po wydaniu przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) ważnego wyroku - pomimo tego, że obie firmy wyraźnie podlegają amerykańskim przepisom dotyczącym nadzoru, takim jak FISA 702. Wydaje się, że ani Facebook, ani Google nie mają podstawy prawnej do przekazywania danych. Google nadal twierdzi, że opiera się na "tarczy prywatności" miesiąc po jej unieważnieniu, podczas gdy Facebook nadal korzysta z "SCC", mimo że Trybunał stwierdził, że amerykańskie przepisy dotyczące nadzoru naruszają istotę praw podstawowych UE.

101 Złożone skargi, dotyczące spółek w 30 państwach członkowskich UE i EOG We wszystkich 30 krajach członkowskich UE i EOG złożono skargi na 101 firm europejskich, które nadal przesyłają dane o każdym odwiedzającym do Google i Facebooka Skargi są również wnoszone przeciwko Google i Facebookowi w USA, za dalsze akceptowanie tych transferów danych, mimo że stanowią one naruszenie PKBR. Strony internetowe, które zostały wybrane na podstawie TLD państwa członkowskiego (jak ".fr" dla Francji), dwóch konkretnych fragmentów kodów i ruchu na stronie.

"Zrobiliśmy szybką kwerendę na głównych stronach internetowych w każdym z państw członkowskich UE w poszukiwaniu kodu z Facebooka i Google. Kod ten przekazuje dane o każdym odwiedzającym do Google lub Facebook'a. Obie firmy przyznają, że przekazują dane Europejczyków do USA w celu ich przetwarzania, gdzie są prawnie zobowiązane do udostępnienia tych danych amerykańskim agencjom, takim jak NSA. Ani Google Analytics ani Facebook Connect nie są niezbędne do prowadzenia tych stron internetowych i są to usługi, które do tej pory mogły zostać zastąpione lub przynajmniej wyłączone. "mówi Max Schrems, honorowy przewodniczący noyb.eu.

Przedsiębiorstwa z UE i USA powszechnie ignorują orzeczenia Firmy amerykańskie, takie jak Google, Facebook czy Microsoft, są wyraźnie objęte obowiązkiem przekazywania danych osobowych osób w UE rządowi USA na mocy przepisów takich jak FISA 702 czy EO 12.333. Są one nawet wymienione w dokumentach Snowden. Pomimo wyraźnego orzeczenia TSUE twierdzą oni obecnie, że przekazywanie danych może być kontynuowane na podstawie tak zwanych standardowych klauzul umownych - a wiele przypadków eksportu danych z UE wydaje się być więcej niż skłonnych zaakceptować to fałszywe twierdzenie.

Schrems: "Trybunał wyraźnie stwierdził, że nie można korzystać z SCC, gdy odbiorca w USA podlega tym przepisom o masowym nadzorze. Wygląda na to, że amerykańskie firmy wciąż próbują przekonać swoich klientów z UE do czegoś przeciwnego. To jest więcej niż cieniste. W ramach SCC amerykański importer danych musiałby zamiast tego poinformować o tych przepisach nadawcę danych z UE i ostrzec go. Jeśli nie zostanie to zrobione, wówczas te przedsiębiorstwa amerykańskie są w rzeczywistości odpowiedzialne za wszelkie wyrządzone szkody finansowe.

Organy ochrony danych będą musiały podjąć działania PKBR wymaga, aby każdy organ ochrony danych w każdym państwie członkowskim egzekwował prawo, zwłaszcza w przypadku otrzymania skargi. Trybunał Sprawiedliwości wyraźnie podkreślił spoczywający na organach ochrony danych obowiązek podjęcia działań. Może to dotyczyć zarówno zawiadomień o zakazie, jak i poważnych kar w wysokości 20 mln EUR lub 4% światowych obrotów nadawcy z UE i odbiorcy danych osobowych z USA.

noyb zawiera wytyczne dla firm Zwłaszcza w przypadku mniejszych przedsiębiorstw z UE, które nie mają pewności co do amerykańskich przepisów dotyczących nadzoru i jeżeli ich amerykański partner podlega tym przepisom, noyb udostępnił na swojej stronie internetowej bezpłatne wytyczne i wzorcowe wnioski.

Planowane są dalsze działania prawne noyb planuje stopniowo zwiększać presję na przedsiębiorstwa z UE i USA, aby dokonały przeglądu swoich ustaleń dotyczących przekazywania danych i dostosowały się do wyraźnego orzeczenia Sądu Najwyższego UE. Schrems: "Rozumiemy, że niektóre rzeczy mogą potrzebować trochę czasu na zmianę, ale nie do przyjęcia jest to, że niektórzy gracze wydają się po prostu ignorować sąd najwyższy w Europie. Jest to również niesprawiedliwe wobec konkurentów, którzy przestrzegają tych zasad. Będziemy stopniowo podejmować kroki przeciwko administratorom i procesorom, którzy naruszają GDPR oraz przeciwko władzom, które nie egzekwują orzeczenia sądu, jak irlandzkie DPC, które pozostają w stanie uśpienia"