Austriacki organ ochrony danych ma możliwość nałożenia na Google grzywny w wysokości do 6 mld euro

Maj 06, 2021

Google nadal przesyła dane z unijnych stron internetowych do USA - mimo dwóch wyroków Trybunału Sprawiedliwości. Austriacki Urząd Ochrony Danych Osobowych może ukarać Google grzywną w wysokości do 6 mld euro.


Latem ubiegłego roku Europejski Trybunał Sprawiedliwości (TSUE) orzekł - już po raz drugi - że amerykańskie przepisy dotyczące nadzoru zasadniczo czynią przekazywanie danych osobowych z UE do USA nielegalnym. Google nadal ignoruje tę decyzję, a teraz argumentuje przed austriackim DSB (PDF), że może nadal przekazywać do USA dane milionów osób odwiedzających strony internetowe w UE - w rażącej sprzeczności z GDPR. Austriacki organ ochrony danych (DSB) ma teraz możliwość ukarania Google grzywną w wysokości do 6 mld euro na mocy GDPR.

skarginoyb przeciwko Google. Po tzw. orzeczeniu "Schrems II" w dniu 16.07.2020, organizacja Maxa Schremsa - noyb, złożyła w sierpniu 2020 roku 101 skarg przeciwko stronom internetowym UE, które nadal przekazywały dane o każdym odwiedzającym do Google i Facebooka. Wszystkie skargi skierowane są również przeciwko amerykańskim firmom macierzystym Google i Facebook. W związku z tym europejskie organy ochrony danych osobowych utworzyły we wrześniu 2020 roku "grupę zadaniową". Pierwsza z tych skarg może być wkrótce rozstrzygnięta przez austriacki urząd ochrony danych (DPA) - i może prowadzić do ogromnej grzywny przeciwko Google.

Google: "znaki" i "płoty" przeciwko prawu amerykańskiemu. Google twierdzi przede wszystkim, że stosuje "środki uzupełniające", które mają pomóc przeciwko inwigilacji przez NSA (patrz strony 23 do 26). Żaden z tych środków nie jest jednak nowy, ani tym bardziej skuteczny: Google argumentuje to nawet znakami i ogrodzeniami wokół centrów danych i przeciętnym szyfrowaniem HTTPS, które jest tylko minimalnym standardem nawet dla małych stron internetowych. To, że środki te nie mają wpływu na amerykańskie przepisy dotyczące inwigilacji, widać już we własnym "raporcie przejrzystości" Google: tylko w 2019 roku Google odpowiedziało na ponad 201 000 wniosków w ramach amerykańskiego prawa inwigilacyjnego "FISA". Brakuje bardziej aktualnych statystyk.

"Google musi przekazać wszystkie dane zgodnie z amerykańskim prawem. Groteskowe jest to, że argumentują to posiadaniem płotów i znaków - amerykańskie przepisy dotyczące inwigilacji obowiązują również za płotami. Standardowe szyfrowanie też nie pomaga, bo Google też ma obowiązek przekazania kluczy szyfrujących. Tylko w 2019 roku ponad 201 tys. razy przekazali rządowi USA dane o obcokrajowcach." - Max Schrems, honorowy przewodniczący noyb.eu

złożenie wnioskuprzez no yb złożone. Austriacki urząd ochrony danych poprosił noyb o ustosunkowanie się do opinii Google. W oświadczeniu liczącym 36 stron, noyb rozwija kwestię oczywistego naruszenia GDPR. Wnioski prawne noyb(niemiecki, angielski tłumaczenie) zostały złożone dzisiaj.

"Google w dużej mierze przyznaje się do naruszeń GDPR, a dowody są przytłaczające. Władza dostaje tę sprawę na srebrnej tacy." - Max Schrems, honorowy przewodniczący noyb.eu

Kara w wysokości ponad 6 miliardów euro możliwe. Ponieważ skarga dotyczy Google LLC, która działa oddzielnie od swojej europejskiej spółki zależnej (Google Ireland Ltd), każdy organ ochrony danych w UE może nałożyć karę na mocy GDPR. W tym konkretnym przypadku austriacki organ ochrony danych (DPA) może nałożyć 4% globalnego obrotu Google LLC - co stanowi rekordową sumę nieco ponad 6 mld euro.

"To wyjątkowa okazja, aby jednocześnie zrobić coś dla ochrony praw podstawowych i dla budżetu danego powiatu. Zgodnie z GDPR istnieje nawet obowiązek nakładania przez organy odpowiednich kar, a Google naprawdę spełnia wszelkie warunki, aby w pełni wykorzystać zakres kar." - Max Schrems, honorowy przewodniczący noyb.eu

oświadczenienoyb wskazuje również na instrumenty prawne umożliwiające egzekwowanie wszelkich orzeczeń DSB w całej UE i zajęcie wszelkich aktywów Google LLC również u osób trzecich (takich jak banki międzynarodowe).

Kontekst: TSUE orzekł w dwóch sprawach (znanych jako"Schrems I" i"Schrems II"), że dane UE nie mogą być dłużej przechowywane w amerykańskich firmach, jeśli podlegają one amerykańskim przepisom dotyczącym nadzoru (w szczególności 50 USC § 1881a, znanym również jako "FISA"). Google bezsprzecznie podlega tym amerykańskim przepisom i orzeczeniu TSUE. Duża część amerykańskiego przemysłu nadal jednak ignoruje jasne orzecznictwo, aby uniknąć kosztownej modernizacji swoich systemów.