Aktualizacja 101 skarg Noyb na transfery danych UE-USA - tylko jeden kraj świeci

wrz 22, 2020

Nieco ponad miesiąc temu Noyb złożył 101 skarg przeciwko kilku firmom z siedzibą w UE/EOG, ponieważ nadal korzystają one z Google Analytics i Facebook Connect na swoich stronach internetowych - przekazując w ten sposób dane osobowe do Google i Facebook w USA. Według Wyrok Trybunału Sprawiedliwości UE z dnia 16 lipca 2020 rTakie transfery danych są nielegalne, ponieważ Google i Facebook podlegają amerykańskim przepisom dotyczącym nadzoru i muszą ujawniać dane europejskich użytkowników amerykańskim służbom wywiadowczym.

Prawie żadna reakcja zainteresowanych przedsiębiorstw - pomimo groźby nałożenia grzywny w wysokości 20 mln EUR

Chociaż z politycznego punktu widzenia jest jasne, że w najbliższej przyszłości nie będzie nowej "tarczy prywatności" ani "bezpiecznej przystani", wiele firm wydaje się nadal chować głowy w piasek

Nawet wielu prawników i "ekspertów" ignoruje jasne stwierdzenia TSUE i twierdzi, że wszystko jest w porządku, o ile zawiera się Standardowe klauzule umowne ("SCC") z odbiorcą danych - jest to kompletny błąd w ocenie sytuacji, który może drogo kosztować firmy

TSUE wyraźnie stwierdził, że SCC nie mogą być wykorzystywane, jeżeli odbiorca w USA podlega amerykańskim przepisom nadzoru (takim jak FISA 702). Organy ochrony danych mogą nakładać grzywny w wysokości do 20 mln EUR lub 4% rocznego obrotu za naruszenie przepisów dotyczących przekazywania danych zawartych w PKBR. Jest to dodatek do ewentualnych roszczeń odszkodowawczych ze strony poszkodowanych użytkowników.

W związku z tym 101 skarg złożonych przez Noyb miało być sygnałem ostrzegawczym: należy uszanować orzeczenie Najwyższego Sądu UE; zarówno eksporterzy danych w UE, jak i importerzy danych w USA muszą kontrolować kluczowe transfery danych i, w razie konieczności, powstrzymać je. Jeżeli nie zrobią tego dobrowolnie, TSUE wyraźnie nałożył na europejskie organy ochrony danych obowiązek zakazania takiego przekazywania danych

Wydaje się, że zostało to w dużej mierze zignorowane przez operatorów stron internetowych, przeciwko którym Noyb złożył 101 skarg. Do dnia 22.09.2020 r. tylko dwie firmy i jeden uniwersytet skontaktowały się z Noyb - wszystkie z nich mają siedzibę w Liechtensteinie. Były one w stanie udowodnić, że usunęły ze swoich stron internetowych elementy kodu dla Google Analytics lub Facebook Connect. Noyb następnie wycofał odnośne skargi przed organem ochrony danych w Liechtensteinie.

"Jak dotąd tylko operatorzy witryn internetowych z Liechtensteinu pozytywnie nas zaskoczyli. Zareagowali szybko i poprawnie, zatrzymując transfer danych, który naruszał PKBR. Następnie wycofaliśmy skargi. Niestety, nie otrzymaliśmy informacji od operatorów stron internetowych z innych państw członkowskich. Im dłużej firmy te czekają, tym większe jest prawdopodobieństwo, że zostaną ukarane przez organy ochrony danych". - Marco Blocher, prawnik ds. ochrony danych w Noyb.

Google i Facebook również utrzymują swoje milczenie

Oprócz operatorów stron internetowych, 101 skarg jest również kierowanych przeciwko importerom danych Google i Facebook w USA, którzy mogą być pociągnięci do odpowiedzialności za przekazywanie danych z naruszeniem GDPR. Do tej pory Facebook nie przedstawił żadnych istotnych uwag na temat 101 skarg; Google dostarczył tylko puste słowa, mówiąc, że są one "zobowiązane do zapewnienia, że w ramach obowiązujących SCC dostarczone przez Google wymagane ochrony prywatności są utrzymywane niezależnie od lokalizacji danych". Gigant z Doliny Krzemowej, jednak nie ma odpowiedzi, w jaki sposób zamierza uniknąć podlegania przepisom nadzoru USA.

"Jak dotąd duże amerykańskie firmy zajmujące się danymi powtarzają jak mantra, że oceniają sytuację i zapewniają ochronę danych użytkowników w oparciu o SCC. Te puste sformułowania nie zmieniają faktu, że amerykańskie przepisy dotyczące nadzoru dają organom takim jak krajowy organ nadzoru prawo dostępu do ogromnych ilości danych, które są przekazywane do USA. Jak dotąd nie ma nic poza milczeniem w sprawie tego konfliktu między umowami z klientami z UE a prawem amerykańskim" - Marco Blocher

Europejska Rada Ochrony Danych powołała grupę zadaniową ds. skarg noybów

Jest jedna pozytywna zmiana na szczeblu UE. Europejska Rada Ochrony Danych ("EDPB", organ UE składający się z przedstawicieli europejskich organów ochrony danych) utworzyła specjalną grupę zadaniową, która zajmuje się 101 skargami. Zadaniem tej grupy zadaniowej jest badanie faktów leżących u podstaw skarg i zapewnienie ścisłej współpracy między członkami rady. EDPB będzie również "przygotowywać zalecenia mające na celu pomoc administratorom danych i podmiotom przetwarzającym dane w wypełnieniu ich obowiązku określenia i wdrożenia odpowiednich środków uzupełniających w celu zapewnienia odpowiedniej ochrony przy przekazywaniu danych do państw trzecich".

"Bardzo się cieszymy, że EDPB przyjął aktywną rolę w tej sprawie i jest zaangażowany w pracę na rzecz konsekwentnego rozpatrywania naszych skarg. Mamy nadzieję, że ta koordynacja doprowadzi do równie skutecznego i szybkiego rozpatrywania skarg we wszystkich krajach UE/EOG. Jak dotąd nasze doświadczenie pokazuje, że niektóre organy ochrony danych są bardzo produktywne, podczas gdy inne wydają się chętne do zduszenia każdej procedury w zarodku. Podejście paneuropejskie jest zatem w każdym razie mile widziane. 101 skarg nie jest złożonych pod względem treści i są prawie identyczne. Jeżeli organ w państwie członkowskim A zdoła rozpatrzyć skargę w odpowiednim czasie, organ w państwie członkowskim B nie ma żadnego wytłumaczenia, dlaczego nie może tego zrobić". - Marco Blocher

noyb nadal monitoruje sytuację w zakresie każdej skargi, aby zapewnić, że decyzje TSUE chronią również prawa każdego obywatela w jego codziennym życiu.