Austriacki DSB: Meta Tracking Tools nielegalne
W przełomowej decyzji w jednej ze 101 skarg noybs, austriacki Urząd Ochrony Danych (DSB) zdecydował, że korzystanie z piksela śledzącego Facebooka bezpośrednio narusza GDPR i tzw. decyzję "Schrems II" dotyczącą transatlantyckich przepływów danych. W 2020 roku Trybunał Sprawiedliwości (TSUE) uznał, że korzystanie z usług amerykańskich dostawców narusza GDPR, ponieważ amerykańskie przepisy dotyczące nadzoru wymagają od amerykańskich firm, takich jak Facebook, przekazywania danych osobowych użytkowników władzom USA.
- Decyzja austriackiego DSB (NIEMIECKI)
- Decyzja przetłumaczona automatycznie (EN)
- Streszczenie sprawy na GDPRhub (PL)
orzeczenie TSUE z 2020 r. uderza w świat rzeczywisty. W lipcu 2020 roku TSUE orzekł, że transfer do amerykańskich dostawców, którzy podlegają pod FISA 702 i EO 12.333, narusza zasady międzynarodowego przekazywania danych w GDPR. TSUE w konsekwencji unieważnił umowę o transferze "Privacy Shield", po unieważnieniu poprzedniej umowy "Safe Harbor" w 2015 roku. Chociaż wysłało to fale uderzeniowe przez branżę technologiczną, amerykańscy dostawcy i eksporterzy danych z UE w dużej mierze zignorowali tę sprawę. Podobnie jak Microsoft, Google czy Amazon, Facebook polegał na tzw. "standardowych klauzulach umownych" i "środkach uzupełniających", aby kontynuować transfery danych i uspokoić swoich europejskich partnerów biznesowych. Dlatego noyb złożył w sierpniu 2020 roku 101 skarg na strony internetowe, które mimo wyraźnych wyroków sądowych nadal korzystają z narzędzi Google Analytics i Facebook Tracking.
"Facebook udawał, że jego klienci komercyjni mogą nadal korzystać z jego technologii, pomimo dwóch wyroków Trybunału Sprawiedliwości mówiących coś przeciwnego. Teraz pierwszy regulator powiedział klientowi, że korzystanie z technologii śledzenia Facebooka jest nielegalne." - Max Schrems, przewodniczący noyb.eu
Nielegalne przekazywanie danych poprzez Facebook Login i Meta Pixel. Decyzja DSB o uznaniu Google Analytics za nielegalny, dotyczy również narzędzi "Facebook Login" i "Meta Pixel" udostępnianych przez Meta: Jeśli te narzędzia są używane, dane są nieuchronnie przekazywane do USA, gdzie dane są zagrożone inwigilacją wywiadowczą. Europejskim operatorom stron internetowych zaleca się zatem, aby nie umieszczali na swoich stronach internetowych żadnych narzędzi firmy Meta.
Decyzja istotna dla prawie wszystkich stron internetowych w UE. Wiele stron internetowych wykorzystuje technologię śledzenia Facebooka do śledzenia użytkowników i wyświetlania spersonalizowanych reklam. Gdy strony internetowe włączają tę technologię, przekazują również wszystkie dane o użytkownikach do amerykańskiej korporacji, a następnie do NSA. Podczas gdy Komisja Europejska wciąż dąży do opublikowania trzeciej umowy o przekazywaniu danych między UE a USA, fakt, że prawo amerykańskie wciąż pozwala na masową inwigilację oznacza, że sprawa ta nie zostanie rozwiązana w najbliższym czasie.
Rozwiązanie długoterminowe. W dłuższej perspektywie wydają się być dwie opcje: Albo USA dostosuje podstawowe zabezpieczenia dla obcokrajowców, aby wspierać swój przemysł technologiczny, albo amerykańscy dostawcy będą musieli hostować zagraniczne dane poza granicami Stanów Zjednoczonych. Wiadomo, że Meta ze względu na swój amerykański system kategorycznie nie jest w stanie zapewnić, że dane obywateli Europy nie zostaną przechwycone przez amerykańskie agencje wywiadowcze.
Brak kary. Nie ma informacji, czy kara została wydana, ani czy DSB planuje również wydać karę. GDPR przewiduje w takich przypadkach kary w wysokości do 20 mln euro lub 4% globalnego obrotu, ale organy ochrony danych wydają się niechętne do wystawiania kar, pomimo ignorowania przez kontrolerów dwóch orzeczeń TSUE przez ponad dwa lata.
