23 lata nielegalnego przekazywania danych z powodu nieaktywnych organów ochrony danych i nowych umów UE-USA
W dwóch przełomowych orzeczeniach z 2015 i 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) uznał przekazywanie danych między UE a USA za nielegalne. Decyzje te mają moc wsteczną, co oznacza, że w latach 2000-2023 nie istniała podstawa prawna do takiego przekazywania danych. Niemniej jednak większość firm z UE nadal korzystała z usług takich jak Google Analytics lub narzędzi śledzących Meta, które pociągają za sobą niezgodne z prawem przekazywanie danych do USA. Nowa analiza 101 skarg Noyb w tej sprawie pokazuje teraz, w jaki sposób połączenie nieaktywnych organów ochrony danych i nowych umów Komisji Europejskiej doprowadziło do 23 lat naruszeń prywatności.
23 lata nielegalnych transferów. Najwyższy sąd europejski wysłał silny sygnał na rzecz lepszej prywatności danych, kiedy unieważnił umowy o transferze danych "Safe Harbor" i "Privacy Shield" odpowiednio w 2015 i 2020 roku. Logiczną konsekwencją tej decyzji było to, że prawie wszystkie transfery między Unią Europejską a Stanami Zjednoczonymi od 2000 roku były nielegalne. W rzeczywistości jednak firmy nie zaprzestały tej praktyki. Było to w dużej mierze możliwe dzięki bezczynności europejskich organów ochrony danych, które w większości nie wdrożyły orzeczeń TSUE. W połączeniu z nowymi (i nieważnymi) umowami, spoglądamy zatem wstecz na 23 lata nielegalnego przekazywania danych.
Marco Blocher, prawnik ds. ochrony danych w Noyb: "Jesteśmy świadkami pewnego upadku rządów prawa. Najwyższy sąd europejski uznał transfery danych z ostatnich 23 lat za nielegalne, ale władze w dużej mierze patrzyły w drugą stronę"
Zbieranie kurzu w szufladzie. Aby zapewnić egzekwowanie prawa, Noyb złoży ł 101 skarg po unieważnieniu przez TSUE decyzji w sprawie adekwatności "Tarczy Prywatności" w 2020 roku. Chociaż orzeczenie to odebrało podstawę prawną do przekazywania danych, wiele dobrze odwiedzanych stron internetowych nadal przekazywało dane o swoich odwiedzających na serwery Google i Meta w Stanach Zjednoczonych. Pomimo wyraźnych skarg i faktu, że dalsze przekazywanie danych stanowiło wyraźne naruszenie PKBR, właściwe organy ochrony danych do dziś nie podjęły decyzji w sprawie ponad 70 procent skarg Noyb. 18 sierpnia przypada trzecia rocznica złożenia skarg.
Niekończąca się gra na czekanie. Orzeczenie TSUE w rzeczywistości zapewniło organom ochrony danych jasną sytuację prawną do podjęcia stosunkowo szybkiej decyzji w sprawach dotyczących przekazywania danych. Najnowsza analiza noybpokazuje jednak, że 20 z 32 zainteresowanych organów (62,5%) nie wydało decyzji w sprawie ani jednej złożonej do nich skargi. Nawet bardziej aktywne organy potrzebowały znacznie więcej czasu niż przewiduje prawo. Pierwsza z 13 obecnie wydanych decyzji pochodzi od austriackiego DSB. Podjęcie decyzji w sprawie skargi Noybzajęło prawie 1,5 roku, pomimo prostych faktów sprawy i jasnej sytuacji prawnej.
Marco Blocher, prawnik ds. ochrony danych w noyb: "Około dwóch trzecich wszystkich organów ochrony danych, do których złożyliśmy skargę, nie podjęło ani jednej decyzji w ciągu trzech lat. Niektóre z nich są nawet niemożliwe do osiągnięcia i nie dostarczają żadnych aktualizacji na temat statusu skarg. To absurd, że w niektórych państwach członkowskich nawet tak proste sprawy nie są egzekwowane"
Zły przykład. Co gorsza, irlandzka Komisja Ochrony Danych (DPC) - a więc organ nadzorczy dla Google i Meta - jest jednym z 20 organów ochrony danych, które jeszcze nie kiwnęły palcem. Wszystkie sześć skarg Noyb wniesionych do DPC jest nadal w toku. Ale organ ten nie jest w tym osamotniony. To samo dotyczy między innymi belgijskiego, holenderskiego, greckiego, polskiego, słowackiego i czeskiego organu ochrony danych. Pełna analiza znajduje się powyżej.
Nikt nie odważy się na nałożenie grzywny. Do tej pory w toku są łącznie 73 sprawy. noyb wygrał dziewięć spraw, wygrał trzy częściowo i przegrał jedną. Ale nawet pozytywne wiadomości są otrzeźwiające. Tylko w jednym przypadku właściwy organ (w Szwecji) nałożył grzywnę za niezgodne z prawem korzystanie z Google Analytics: Operator telekomunikacyjny Tele2 musiał zapłacić milion euro, a sprzedawca internetowy CDON 25 000 euro. To tylko dwie grzywny na 101 przypadków.
Marco Blocher, prawnik ds. ochrony danych w noyb: "Tylko szwedzki organ wydał grzywnę, wszystkie inne organy nie wydały grzywny za oczywiste naruszenie GDPR"
Komisja Europejska wyprzedziła organy ochrony danych. W przypadku wielu pozostałych skarg, trzy lata po ich złożeniu, nadal nie jest jasne, czy właściwe organy ochrony danych kiedykolwiek podejmą decyzję, czy też po prostu spróbują usiąść. W międzyczasie Komisja Europejska i Stany Zjednoczone zabrały się do pracy. W połowie lipca tego roku uzgodniły "nowe" Transatlantyckie Ramy Prywatności Danych ("TADPF"), które są w dużej mierze kopią swoich poprzedników. Obywatele UE nadal nie mają konstytucyjnych praw w Stanach Zjednoczonych, co pozwala agencjom wywiadowczym, takim jak NSA, na wykorzystywanie ich danych do celów inwigilacji. Jednocześnie nowe ramy dają organom ochrony danych możliwość zawieszenia aktywnych postępowań, aby poczekać i sprawdzić, czy TSUE po raz trzeci unieważni decyzję stwierdzającą odpowiedni stopień ochrony.
Marco Blocher, prawnik ds. ochrony danych w noyb: "Zasadniczo mamy 23 lata back-to-back nielegalnych transakcji transferowych lub braku ich egzekwowania. To niesamowite, że każda normalna osoba otrzymuje grzywnę, jeśli naruszy prawo, ale jeśli chodzi o GDPR, po prostu nie ma żadnych konsekwencji - nawet po dwóch wyrokach TSUE"
Wszystkie możliwe środki spełzły na niczym. Po tym, jak Noyb złożył 101 skarg, przez chwilę wydawało się, że jest nadzieja na terminowe rozwiązanie. EROD utworzyła nawet nieformalną "grupę zadaniową", aby uniknąć fragmentacji praktyki decyzyjnej. Niestety, nie doprowadziło to do wypracowania jednolitego podejścia, które ostatecznie powstrzymałoby bezprawne przekazywanie danych. Podstawowy problem firm, które nie przestrzegają europejskiego prawa ochrony danych, nadal istnieje. Końcowy raport grupy zadaniowej zawiera jedynie oczywiste stwierdzenia na wysokim szczeblu.
Trzeci raz to urok? Podobnie jak "Safe Harbor" i "Privacy Shield", nowa "TADPF" prędzej czy później zostanie zakwestionowana przed TSUE, który następnie oceni jej ważność w świetle prawa UE. Ponieważ fundamentalne problemy z amerykańskim prawem inwigilacyjnym nadal istnieją, istnieje duże prawdopodobieństwo, że spotka ją los jej poprzedniczek - i zostanie uznana za nieważną z mocą wsteczną. Piłka ponownie znajdzie się w rękach organów ochrony danych. Ostatecznie będą one musiały wykonać orzeczenie TSUE. Biorąc pod uwagę ich dotychczasowe wyniki, perspektywy są tragiczne. noyb jest przygotowany do wykorzystania wszystkich możliwości prawnych w celu zapewnienia decyzji w sprawie rozpatrywanych skarg i - w razie potrzeby - złożenia nowych skarg, aby upewnić się, że przyszłe orzeczenia TSUE będą przestrzegane.