Pred viac ako mesiacom spoločnosť noyb podala 101 sťažností proti niekoľkým spoločnostiam so sídlom v EÚ/EHP, pretože na svojich webových stránkach naďalej používajú služby Google Analytics a Facebook Connect, čím prenášajú osobné údaje do spoločností Google a Facebook v USA. Podľa Rozsudku SDEÚ zo 16. júla 2020sú takéto prenosy údajov nezákonné, pretože spoločnosti Google a Facebook podliehajú americkým zákonom o sledovaní a musia poskytovať údaje európskych používateľov americkým spravodajským službám.
Zo strany dotknutých spoločností takmer žiadna reakcia - napriek hrozbe pokuty vo výške 20 mil
Hoci je politicky jasné, že v blízkej budúcnosti nebude existovať žiadny nový "štít na ochranu súkromia" ani "bezpečný prístav", zdá sa, že mnohé spoločnosti naďalej schovávajú hlavu do piesku.
Dokonca aj mnohí právnici a "odborníci" ignorujú jasné vyhlásenia Súdneho dvora EÚ a tvrdia, že všetko je v poriadku, pokiaľ sa s príjemcom údajov uzatvoria štandardné zmluvné doložky ("SCC") - čo je úplne nesprávne posúdenie situácie, ktoré môže spoločnosti vyjsť draho.
SDEÚ jasne uviedol, že SCC sa nemôžu používať, ak príjemca v USA podlieha americkým zákonom o sledovaní (napríklad FISA 702). Orgány na ochranu údajov môžu za porušenie pravidiel GDPR o prenose údajov uložiť pokutu až do výšky 20 miliónov EUR alebo 4 % ročného obratu. To je navyše k možným nárokom na náhradu škody zo strany dotknutých používateľov.
101 sťažností, ktoré podala spoločnosť noyb, malo preto slúžiť ako varovný signál: rozhodnutie najvyššieho súdu EÚ sa musí rešpektovať; vývozcovia údajov v EÚ aj dovozcovia údajov v USA musia kontrolovať kritické prenosy údajov a v prípade potreby ich zastaviť. Ak tak neurobia dobrovoľne, Súdny dvor EÚ výslovne uložil európskym orgánom na ochranu údajov povinnosť zakázať takéto prenosy údajov.
Zdá sa, že prevádzkovatelia webových stránok, proti ktorým noyb podal 101 sťažností, to vo veľkej miere ignorovali. K 22. 9. 2020 sa na noyb obrátili len dve spoločnosti a jedna univerzita - všetky so sídlom v Lichtenštajnsku. Boli schopné preukázať, že zo svojich webových stránok odstránili prvky kódu pre Google Analytics alebo Facebook Connect. noyb následne stiahol príslušné sťažnosti na lichtenštajnskom úrade na ochranu údajov.
"Zatiaľ nás pozitívne prekvapili len prevádzkovatelia webových stránok z Lichtenštajnska. Reagovali rýchlo a správne a zastavili prenosy údajov, ktoré boli v rozpore s GDPR. Sťažnosti sme následne stiahli. Od prevádzkovateľov webových stránok z iných členských štátov sme sa, žiaľ, neozvali. Čím dlhšie budú tieto spoločnosti čakať, tým väčšia je pravdepodobnosť, že im orgány na ochranu údajov uložia sankcie." - Marco Blocher, právnik pre ochranu údajov v spoločnosti noyb.
Mlčia aj spoločnosti Google a Facebook
Okrem prevádzkovateľov webových stránok smeruje 101 sťažností aj proti dovozcom údajov Google a Facebook v USA, ktorí môžu byť tiež zodpovední za prenosy údajov v rozpore s GDPR. Spoločnosť Facebook sa k 101 sťažnostiam zatiaľ vecne nevyjadrila; spoločnosť Google poskytla len prázdne slová, v ktorých uviedla, žesa "zaväzuje zabezpečiť, aby v rámci platných SCC poskytovaných spoločnosťou Google bola zachovaná požadovaná ochrana osobných údajov bez ohľadu na miesto, kde sa údaje nachádzajú". Gigant zo Silicon Valley však nemá odpoveď na otázku, ako sa chce vyhnúť tomu, aby podliehal americkým zákonom o sledovaní.
"Veľké americké dátové spoločnosti zatiaľ ako mantru opakujú, že situáciu vyhodnocujú a zabezpečujú ochranu údajov používateľov na základe SCC. Tieto prázdne frázy nič nemenia na skutočnosti, že americké zákony o sledovaní dávajú orgánom, ako je NSA, právo na prístup k obrovskému množstvu údajov, ktoré sa prenášajú do USA. O tomto konflikte medzi zmluvami so zákazníkmi z EÚ a zákonmi USA sa zatiaľ len mlčí." - Marco Blocher
Európsky výbor pre ochranu údajov zriadil pracovnú skupinu pre sťažnosti noyb
Na úrovni EÚ došlo k jednému pozitívnemu vývoju. Európsky výbor pre ochranu údajov ("EDPB", orgán EÚ zložený zo zástupcov európskych orgánov na ochranu údajov) zriadil osobitnú pracovnú skupinu, ktorá sa má zaoberať 101 sťažnosťami. Táto pracovná skupina má prešetriť skutočnosti, ktoré sú základom sťažností, a zabezpečiť úzku spoluprácu medzi členmi rady. EDPB tiež"pripraví odporúčania na pomoc prevádzkovateľom a sprostredkovateľom pri plnení ich povinnosti určiť a zaviesť vhodné dodatočné opatrenia na zabezpečenie primeranej ochrany pri prenose údajov do tretích krajín".
"Veľmi nás teší, že EDPB prevzal aktívnu úlohu v tejto záležitosti a je odhodlaný pracovať na jednotnom riešení našich sťažností. Dúfame, že táto koordinácia povedie k tomu, že sťažnosti budú riešené rovnako účinne a rýchlo vo všetkých krajinách EÚ/EHP. Z našich skúseností zatiaľ vyplýva, že niektoré orgány na ochranu údajov sú veľmi produktívne, zatiaľ čo iné sa zdajú byť ochotné zastaviť akýkoľvek postup už v zárodku. Celoeurópsky prístup je preto v každom prípade vítaný. 101 sťažností nie je obsahovo zložitých a sú takmer identické. Ak sa orgánu v členskom štáte A podarí vybaviť sťažnosť včas, orgán v členskom štáte B nemá žiadnu výhovorku, prečo by tak nemohol urobiť." - Marco Blocher
noyb naďalej monitoruje situáciu v súvislosti s každou sťažnosťou, aby zabezpečil, že rozhodnutia SDEÚ budú chrániť aj práva každého občana v jeho každodennom živote.
