Rýchla analýza zdrojového kódu HTML hlavných webových stránok EÚ ukazuje, že mnohé spoločnosti mesiac po významnom rozsudku Súdneho dvora Európskej únie (SDEÚ) stále používajú služby Google Analytics alebo Facebook Connect - napriek tomu, že obe spoločnosti jednoznačne spadajú pod americké zákony o sledovaní, ako napríklad FISA 702. Zdá sa, že ani Facebook, ani Google nemajú právny základ na prenos údajov. Spoločnosť Google mesiac po tom, ako bol "štít na ochranu súkromia" vyhlásený za neplatný, stále tvrdí, že sa naň spolieha, zatiaľ čo Facebook naďalej používa "SCC", a to napriek tomu, že Súdny dvor EÚ konštatoval, že americké zákony o sledovaní porušujú podstatu základných práv EÚ.
- Odkaz na zoznam všetkých 101 sťažností noyb a spoločností
- Informácie spoločnosti Google, ktorá tvrdí, že "prechádza" na štandardné zmluvné doložky
- Tvrdenie spoločnosti Facebook, že stále používa štandardné zmluvné doložky
101 podaných sťažností, ktoré sa týkajú spoločností v 30 členských štátoch EÚ a EHP. Vo všetkých 30 členských štátoch EÚ a EHP bolo podaných 101 sťažností na európske spoločnosti, ktoré stále posielajú údaje o každom návštevníkovi spoločnostiam Google a Facebook. Sťažnosti sú podané aj proti spoločnostiam Google a Facebook v USA, pretože naďalej akceptujú tieto prenosy údajov napriek tomu, že sú v rozpore s GDPR. Webové stránky boli vybrané na základe TLD členského štátu (napríklad ".fr" pre Francúzsko), dvoch špecifických úryvkov kódov a návštevnosti stránky.
"Urobili sme rýchle vyhľadávanie na hlavných webových stránkach v každom členskom štáte EÚ, aby sme našli kódy od spoločností Facebook a Google. Tieto úryvky kódu posielajú údaje o každom návštevníkovi spoločnosti Google alebo Facebook. Obe spoločnosti priznávajú, že údaje Európanov prenášajú na spracovanie do USA, kde majú tieto spoločnosti zákonnú povinnosť sprístupniť tieto údaje americkým agentúram, ako je napríklad NSA. Google Analytics ani Facebook Connect nie sú nevyhnutné na prevádzku týchto webových stránok a ide o služby, ktoré už mohli byť nahradené alebo aspoň deaktivované." hovorí Max Schrems, čestný predseda noyb.eu.
Spoločnosti v EÚ a USA rozhodnutie vo veľkej miere ignorujú. Na americké spoločnosti ako Google, Facebook alebo Microsoft sa jednoznačne vzťahujú povinnosti poskytovať osobné údaje osôb v EÚ vláde USA na základe zákonov ako FISA 702 alebo EO 12.333. Dokonca sa spomínajú aj v Snowdenových dokumentoch. Napriek jasnému rozhodnutiu SDEÚ teraz tvrdia, že prenosy údajov môžu pokračovať na základe tzv. štandardných zmluvných doložiek - a zdá sa, že mnohí vývozcovia údajov z EÚ sú viac než ochotní akceptovať toto nepravdivé tvrdenie.
Schrems: "Súdny dvor jasne uviedol, že nemôžete použiť SCC, keď príjemca v USA spadá pod tieto zákony o masovom sledovaní. Zdá sa, že americké spoločnosti sa stále snažia presvedčiť svojich zákazníkov v EÚ o opaku. To je viac ako podozrivé. Podľa SCC by dovozca údajov z USA musel namiesto toho informovať odosielateľa údajov z EÚ o týchto zákonoch a upozorniť ho. Ak sa tak nestane, potom sú tieto americké spoločnosti skutočne zodpovedné za všetky spôsobené finančné škody."
Orgány na ochranu údajov budú musieť prijať opatrenia. V nariadení GDPR sa vyžaduje, aby každý orgán na ochranu údajov (DPA) v každom členskom štáte presadzoval zákon, najmä keď dostane sťažnosť. Súdny dvor výslovne zdôraznil povinnosť orgánov DPA konať. Tie môžu siahať od oznámenia o zákaze až po závažné sankcie vo výške 20 mil. eur alebo 4 % celosvetového obratu odosielateľa v EÚ a príjemcu osobných údajov v USA.
noyb poskytuje usmernenia pre spoločnosti. Najmä pre menšie spoločnosti z EÚ, ktoré si nie sú isté zákonmi USA o dohľade a či ich americký partner spadá pod tieto zákony, poskytol noyb na svojej webovej stránke bezplatné usmernenia a vzory žiadostí.
Plánujú sa ďalšie právne kroky. noyb plánuje na stránke postupne zvyšovať tlak na spoločnosti z EÚ a USA, aby prehodnotili svoje dohody o prenose údajov a prispôsobili sa jasnému rozhodnutiu najvyššieho súdu EÚ. Schrems: "Hoci chápeme, že niektoré veci môžu potrebovať určitý čas na usporiadanie, je neprijateľné, že niektorí hráči zrejme jednoducho ignorujú najvyšší európsky súd. Je to nespravodlivé aj voči konkurentom, ktorí tieto pravidlá dodržiavajú. Postupne podnikneme kroky proti správcom a spracovateľom, ktorí porušujú GDPR, a proti orgánom, ktoré nevykonávajú rozhodnutie súdu, ako napríklad írske DPC, ktoré zostáva nečinné."
