Austriacki DSB: przekazywanie danych między UE a USA do Google Analytics niezgodne z prawem

sty 13, 2022

Austriacki DSB: Korzystanie z Google Analytics narusza decyzję TSUE "Schrems II".

W przełomowej decyzji, austriacki organ ochrony danych ("Datenschutzbehörde" lub "DSB") zdecydował w sprawie modelowej przez noyb , że ciągłe korzystanie z Google Analytics narusza GDPR. Jest to pierwsza decyzja w sprawie 101 skarg modelowych złożonych przez noyb w następstwie tzw. decyzji "Schrems II". W 2020 roku Trybunał Sprawiedliwości (TSUE) orzekł, że korzystanie z usług amerykańskich dostawców narusza GDPR, ponieważ amerykańskie przepisy dotyczące nadzoru wymagają od amerykańskich dostawców, takich jak Google czy Facebook, przekazywania danych osobowych władzom USA. Podobnych decyzji można się spodziewać w innych państwach członkowskich UE, ponieważ organy regulacyjne współpracowały w tych sprawach w ramach "grupy zadaniowej" EDPB. Wygląda na to, że austriacka decyzja DSB jest pierwszą, która zostanie wydana.

orzeczenie TSUE z 2020 r. uderza w świat rzeczywisty. W lipcu 2020 r. TSUE wydał przełomowe orzeczenie "Schrems II", stwierdzając, że przekazywanie danych amerykańskim dostawcom, którzy podlegają przepisom FISA 702 i EO 12.333, narusza przepisy dotyczące międzynarodowych transferów danych w GDPR. TSUE w konsekwencji unieważnił umowę o transferze danych "Privacy Shield", po unieważnieniu poprzedniej umowy "Safe Harbor" w 2015 roku. Podczas gdy to wysłało fale uderzeniowe przez branżę technologiczną, amerykańscy dostawcy i eksporterzy danych z UE w dużej mierze zignorowali tę sprawę. Podobnie jak Microsoft, Facebook czy Amazon, Google polegał na tak zwanych "Standardowych klauzulach umownych", aby kontynuować transfer danych i uspokoić swoich europejskich partnerów biznesowych.

Max Schrems, honorowy przewodniczący noyb.eu:"Zamiast faktycznie dostosować usługi do zgodności z GDPR, amerykańskie firmy próbowały po prostu dodać trochę tekstu do swoich polityk prywatności i zignorować Trybunał Sprawiedliwości. Wiele firm z UE poszło tym śladem, zamiast przejść na opcje prawne."

SCC i "TOM-y" nie wystarczą. Podczas gdy Google złożył oświadczenia twierdząc, że wdrożył "Środki techniczne i organizacyjne" ("TOMs"), które obejmowały pomysły takie jak posiadanie płotów wokół centrów danych, przeglądanie wniosków lub posiadanie szyfrowania bazowego, DSB odrzucił te środki jako absolutnie bezużyteczne, jeśli chodzi o inwigilację USA (strona 38 i 39 decyzji):

"W odniesieniu do przedstawionych środków umownych i organizacyjnych, nie jest oczywiste, w jakim stopniu [środek] jest skuteczny w sensie powyższych rozważań"

"Jeśli chodzi o środki techniczne, również nie można rozpoznać (...), w jakim stopniu [środek] faktycznie uniemożliwiłby lub ograniczył dostęp amerykańskich agencji wywiadowczych z uwzględnieniem prawa amerykańskiego"

Max Schrems:"Jest to bardzo szczegółowa i rozsądna decyzja. Wniosek jest taki: Firmy nie mogą już korzystać z amerykańskich usług chmurowych w Europie. Minęłojuż 1,5 roku, odkąd Trybunał Sprawiedliwości potwierdził to po raz drugi, więc nadszedł najwyższy czas, aby prawo to było również egzekwowane."

Decyzja istotna dla prawie wszystkich stron internetowych w UE. Google Analytics jest najbardziej rozpowszechnionym programem statystycznym. Chociaż istnieje wiele alternatyw, które są hostowane w Europie lub mogą być samodzielnie hostowane, wiele stron internetowych polega na Google, a tym samym przekazuje swoje dane użytkowników amerykańskiemu przedsiębiorstwu międzynarodowemu. Fakt, że organy ochrony danych mogą teraz stopniowo uznawać amerykańskie usługi za nielegalne, wywiera dodatkową presję na przedsiębiorstwa z UE i amerykańskich dostawców, aby skłaniać się ku bezpiecznym i legalnym opcjom, takim jak hosting poza USA. Podobną decyzję w sprawie transferów UE-USA podjął tydzień wcześniej Europejski Inspektor Ochrony Danych (EDPS).

Max Schrems:"Spodziewamy się, że podobne decyzje będą teraz stopniowo zapadać w większości państw członkowskich UE. Złożyliśmy 101 skarg w prawie wszystkich państwach członkowskich, a władze skoordynowały reakcję. Podobną decyzję wydał również w zeszłym tygodniu Europejski Inspektor Ochrony Danych."

Rozwiązanie długoterminowe. W dłuższej perspektywie wydają się być dwie opcje: Albo Stany Zjednoczone dostosują bazowe zabezpieczenia dla obcokrajowców, aby wesprzeć swój przemysł technologiczny, albo amerykańscy dostawcy będą musieli hostować zagraniczne dane poza granicami Stanów Zjednoczonych.

Max Schrems:"W dłuższej perspektywie albo będziemy potrzebować odpowiednich zabezpieczeń w USA, albo skończymy z oddzielnymi produktami dla USA i UE. Osobiście wolałbym lepsze zabezpieczenia w USA, ale to zależy od amerykańskiego ustawodawcy - nie od nikogo w Europie."

Google LLC nie podpada pod Transfer Rules? DSB odrzuciło roszczenia przeciwko Google LLC jako odbiorcy danych, utrzymując, że zasady dotyczące przekazywania danych mają zastosowanie tylko do podmiotów z UE, a nie odbiorców z USA. DSB stwierdził jednak, że będzie dalej badał Google LLC w związku z potencjalnym naruszeniem art. 5, 28 i 29 GDPR, ponieważ wydaje się wątpliwe, czy Google mógł przekazać dane osobowe rządowi USA bez wyraźnego nakazu ze strony unijnego eksportera danych. DSB wyda w tej sprawie osobną decyzję.

Max Schrems:"Dla nas kluczowe jest to, że amerykańscy dostawcy nie mogą po prostu przerzucić problemu na klientów z UE. Dlatego wnieśliśmy sprawę również przeciwko odbiorcy z USA. DSB częściowo odrzuciło to podejście. Dokonamyprzeglądu, jeśli odwołamy się od tego elementu decyzji."

Brak kary (jeszcze). Decyzja nie dotyczy potencjalnej kary, ponieważ jest to postrzegane jako "publiczne" postępowanie egzekucyjne, w którym skarżący nie jest wysłuchany. Nie ma informacji, czy kara została wydana lub czy DSB planuje również wydać karę. GDPR przewiduje w takich przypadkach kary w wysokości do 20 mln euro lub 4% globalnego obrotu.

Max Schrems:"Założylibyśmy, że istnieje również kara dla eksportera danych z UE, ale otrzymaliśmy do tej pory tylko częściową decyzję, która nie zajmuje się tą kwestią."

Dalsze egzekwowanie przepisów przez niemieckie organy ochrony danych. Ponieważ austriacki eksporter danych połączył się z niemiecką firmą, austriacki DSB miał jurysdykcję tylko w odniesieniu do naruszeń w przeszłości. DSB stwierdziło, że wniesie o zakaz przekazywania danych w przyszłości do właściwego organu w nowej siedzibie podmiotu przekazującego dane w Niemczech.

Kontekst i analiza prawna. noyb opublikował również głębszą analizę prawną na GDPRhub.eu.