23 rokov nezákonných prenosov údajov v dôsledku nečinných DPA a nových dohôd medzi EÚ a USA
Súdny dvor Európskej únie (SDEÚ) v dvoch prelomových rozsudkoch z rokov 2015 a 2020 vyhlásil prenosy údajov medzi EÚ a USA za nezákonné. Tieto rozhodnutia majú retroaktívny charakter, čo znamená, že v rokoch 2000 až 2023 neexistoval žiadny právny základ pre uvedené prenosy. Napriek tomu väčšina spoločností z EÚ naďalej používala služby, ako je Google Analytics alebo nástroje na sledovanie od spoločnosti Meta, ktoré znamenajú nezákonné prenosy údajov do USA. Nová analýza 101 sťažnostínoyb v tejto veci teraz ukazuje, ako kombinácia nečinných orgánov na ochranu údajov a nových dohôd Európskej komisie viedla k 23 rokom porušovania ochrany osobných údajov.
23 rokov nezákonných prenosov. Najvyšší európsky súd vyslal silný signál za lepšiu ochranu osobných údajov, keď v roku 2015 zrušil platnosť dohôd o prenose údajov "Safe Harbor" a v roku 2020 "Privacy Shield". Logickým dôsledkom tohto rozhodnutia bolo, že takmer všetky prenosy medzi Európskou úniou a Spojenými štátmi od roku 2000 boli nezákonné. V skutočnosti však spoločnosti s touto praxou neprestali. Do veľkej miery to umožnila nečinnosť európskych orgánov na ochranu údajov (DPA), ktoré väčšinou nerealizovali rozhodnutia SDEÚ. V kombinácii s novými (a neplatnými) dohodami sa preto pozeráme späť na 23 rokov nezákonných prenosov údajov.
Marco Blocher, právnik v oblasti ochrany údajov v spoločnosti noyb: "Sme svedkami určitého kolapsu právneho štátu. Najvyšší európsky súd vyhlásil prenosy údajov za posledných 23 rokov za nezákonné, ale orgány sa zväčša pozerali inam."
Zbiera sa prach v zásuvke. Na zabezpečenie presadzovania práva podala spoločnosť noyb 101 sťažností po tom, ako Súdny dvor EÚ v roku 2020 zrušil rozhodnutie o primeranosti "štítu na ochranu súkromia". Hoci toto rozhodnutie zrušilo právny základ pre prenos údajov, mnohé dobre navštevované webové stránky naďalej posielali údaje o svojich návštevníkoch na servery Google a Meta v Spojených štátoch. Napriek výslovným sťažnostiam a skutočnosti, že pokračujúce prenosy predstavovali jasné porušenie GDPR, príslušné orgány na ochranu údajov dodnes nedospeli k rozhodnutiu vo viac ako 70 % sťažností noyb. na 18. augusta pripadá tretie výročie sťažností.
Nekonečná hra na čakanie. Rozsudok SDEÚ v skutočnosti zabezpečil jasnú právnu situáciu, aby orgány na ochranu údajov mohli v prípadoch týkajúcich sa prenosu údajov rozhodnúť relatívne rýchlo. z najnovšej analýzy noybvšak vyplýva, že 20 z 32 príslušných orgánov (62,5 %) nevydalo rozhodnutie ani o jednej sťažnosti, ktorá im bola podaná. Dokonca aj tým aktívnejším orgánom to trvalo oveľa dlhšie, než predpokladá zákon. Prvé z aktuálne 13 rozhodnutí prišlo od rakúskeho orgánu DSB. Trvalo takmer 1,5 roka, kým sa dospelo k rozhodnutiu o sťažnosti spoločnosti noyb, a to napriek jednoduchým skutočnostiam prípadu a jasnej právnej situácii.
Marco Blocher, právnik pre ochranu údajov v spoločnosti noyb: "Približne dve tretiny všetkých orgánov na ochranu údajov, na ktoré sme podali podnet, nedosiahli za tri roky ani jedno rozhodnutie. K niektorým sa dokonca nedá dostať a neposkytujú žiadne aktuálne informácie o stave sťažností. Je absurdné, že v niektorých členských štátoch sa nevykonávajú ani takéto jednoduché prípady."
Zlý príklad. Ešte horšie je, že írska komisia na ochranu údajov (DPC) - teda dozorný orgán pre Google a Meta - je jedným z 20 orgánov na ochranu údajov, ktoré zatiaľ nepohli ani prstom. Všetkých šesť sťažností noyb predložených DPC je stále v štádiu riešenia. Tento orgán však nie je v tomto smere osamotený. Okrem iných to platí aj pre belgický, holandský, grécky, poľský, slovenský a český orgán na ochranu údajov. Úplná analýza je uvedená v odkaze vyššie.
Nikto sa neodváži udeliť pokutu. K dnešnému dňu je v konaní celkovo 73 prípadov. noyb vyhral deväť prípadov, tri vyhral čiastočne a jeden prehral. Ale aj pozitívne správy sú triezve. Len v jednom prípade príslušný orgán (vo Švédsku) uložil pokutu za nezákonné používanie služby Google Analytics: Telekomunikačný operátor Tele2 musel zaplatiť jeden milión eur, online predajca CDON 25 000 eur. To sú len dve pokuty v 101 prípadoch.
Marco Blocher, právnik pre ochranu údajov v spoločnosti noyb: "Pokutu udelil len švédsky orgán, všetky ostatné orgány pokutu za zjavné porušenie GDPR neudelili."
Komisia EÚ predbehla orgány na ochranu údajov. V prípade mnohých zostávajúcich sťažností po troch rokoch od ich podania stále nie je jasné, či príslušné orgány na ochranu údajov niekedy dospejú k rozhodnutiu, alebo sa len pokúsia záležitosť odsunúť. Komisia EÚ a USA sa medzitým pustili do práce. V polovici júla tohto roku sa dohodli na "novom" transatlantickom rámci ochrany osobných údajov (ďalej len "TADPF" ), ktorý je do veľkej miery kópiou jeho predchodcu. Občania EÚ stále nemajú ústavné práva v Spojených štátoch, čo umožňuje spravodajským agentúram, ako je NSA, používať ich údaje na účely sledovania. Nový rámec zároveň poskytuje orgánom na ochranu údajov možnosť pozastaviť aktívne konanie a počkať, či SDEÚ po tretí raz zruší rozhodnutie o primeranosti.
Marco Blocher, právnik v oblasti ochrany údajov v spoločnosti noyb: "V podstate máme za sebou 23 rokov nezákonných dohôd o prenose údajov alebo ich nevykonávania. Je úžasné, že každý normálny človek dostane pokutu, ak poruší zákon, len keď ide o GDPR, jednoducho neexistuje žiadny dôsledok - dokonca ani po dvoch rozsudkoch SDEÚ."
Všetky možné opatrenia vyšli nazmar. Po tom, čo noyb podal 101 sťažností, to krátko vyzeralo, že existuje nádej na včasné riešenie. EDPB dokonca zriadil neformálnu "pracovnú skupinu", aby zabránil roztriešteniu rozhodovacej praxe. Žiaľ, ani to neviedlo k jednotnému postupu, ktorý by konečne zastavil nezákonné prenosy údajov. Základný problém spoločností, ktoré nedodržiavajú európske právne predpisy o ochrane údajov, stále pretrváva. Záverečná správa pracovnej skupiny obsahuje len vysokoúrovňové, zrejmé vyhlásenia.
Do tretice všetko dobré? Rovnako ako "Safe Harbor" a "Privacy Shield" bude aj nový "TADPF" skôr či neskôr napadnutý pred SDEÚ, ktorý následne posúdi jeho platnosť podľa práva EÚ. Keďže zásadné problémy s americkým zákonom o sledovaní stále pretrvávajú, existuje vysoká pravdepodobnosť, že ho postihne osud jeho predchodcov - a bude vyhlásený za neplatný so spätnou platnosťou. Loptička bude potom opäť na strane orgánov na ochranu údajov. Nakoniec budú musieť rozhodnutie SDEÚ vykonať. Vzhľadom na ich doterajší výkon sú vyhliadky hrozivé. noyb je pripravený využiť všetky právne možnosti, aby zabezpečil rozhodnutie pre nevybavené sťažnosti a - ak to bude potrebné - podať nové sťažnosti, aby zabezpečil, že budúce rozhodnutia SDEÚ budú rešpektované.
