En snabb analys av HTML-källkoden på viktiga webbsidor inom EU visar att många företag fortfarande använder Google Analytics eller Facebook Connect en månad efter en viktig dom från EU-domstolen - trots att båda företagen tydligt omfattas av amerikanska övervakningslagar, t.ex. FISA 702. Varken Facebook eller Google verkar ha någon rättslig grund för dataöverföringarna. Google hävdar fortfarande att man förlitar sig på "Privacy Shield" en månad efter att den ogiltigförklarades, medan Facebook fortsätter att använda "SCCs", trots att domstolen konstaterat att USA:s övervakningslagar strider mot kärnan i EU:s grundläggande rättigheter.
- Länk till listan över alla 101 noyb-klagomål och företag
- Googles information om att "gå över" till standardavtalsklausuler
- Facebooks påstående att de fortfarande använder standardavtalsklausuler
101 klagomål har lämnats in, rörande företag i 30 EU- och EES-länder. Klagomål har lämnats in i samtliga 30 EU- och EES-medlemsländer mot 101 europeiska företag som fortfarande vidarebefordrar uppgifter om varje besökare till Google och Facebook. Klagomålen riktas också mot Google och Facebook i USA, för att de fortsätter att acceptera dessa dataöverföringar, trots att de strider mot GDPR. Webbplatserna valdes ut baserat på medlemsstatens toppdomän (t.ex. ".fr" för Frankrike), två specifika kodavsnitt och sidans trafik.
"Vi har gjort en snabb sökning på större webbplatser i varje EU-land efter kod från Facebook och Google. Dessa kodsnuttar vidarebefordrar uppgifter om varje besökare till Google eller Facebook. Båda företagen medger att de överför uppgifter om européer till USA för behandling, där dessa företag har en rättslig skyldighet att göra sådana uppgifter tillgängliga för amerikanska myndigheter som NSA. Varken Google Analytics eller Facebook Connect är nödvändiga för att driva dessa webbsidor och är tjänster som kunde ha ersatts eller åtminstone avaktiveratsvid dethärlaget", säger Max Schrems, hedersordförande för noyb.eu.
Företag i EU och USA ignorerar i stor utsträckning domen. Amerikanska företag som Google, Facebook eller Microsoft omfattas helt klart av skyldigheterna att lämna ut personuppgifter om personer i EU till den amerikanska regeringen enligt lagar som FISA 702 eller EO 12.333. De nämns till och med i Snowden-dokumenten. Trots EU-domstolens tydliga utslag hävdar de nu att dataöverföringar kan fortsätta enligt de så kallade standardavtalsklausulerna - och många av EU:s dataexportörer verkar mer än villiga att acceptera detta falska påstående.
Schrems: "Domstolen var tydlig med att man inte kan använda standardavtalsklausulerna när mottagaren i USA omfattas av dessa massövervakningslagar. Det verkar som om amerikanska företag fortfarande försöker övertyga sina EU-kunder om motsatsen. Detta är mer än skumt. Enligt SCC-avtalet skulle den amerikanska dataimportören istället behöva informera EU:s dataavsändare om dessa lagar och varna dem. Om detta inte görs är de amerikanska företagen faktiskt ansvariga för eventuella ekonomiska skador som orsakats."
Dataskyddsmyndigheterna måste vidta åtgärder. GDPR kräver att varje dataskyddsmyndighet (DPA) i varje medlemsland tillämpar lagen, särskilt när de tar emot ett klagomål. EU-domstolen har uttryckligen betonat dataskyddsmyndigheternas skyldighet att vidta åtgärder. Det kan röra sig om allt från förbudsmeddelanden till allvarliga påföljder på 20 miljoner euro eller 4 % av den globala omsättningen för avsändaren av personuppgifter i EU och mottagaren i USA.
noyb tillhandahåller riktlinjer för företag. Särskilt för mindre EU-företag som inte är säkra på USA:s övervakningslagar och om deras amerikanska partner omfattas av dessa lagar, har noyb tillhandahållit gratis riktlinjer och modellförfrågningar på sin webbsida.
Ytterligare rättsliga åtgärder planeras. noyb planerar för att gradvis öka trycket på företag i EU och USA att se över sina arrangemang för dataöverföring och anpassa sig till det tydliga utslaget från EU:s högsta domstol. Schrems: "Även om vi förstår att vissa saker kan behöva lite tid för att ordnas upp, är det oacceptabelt att vissa aktörer helt enkelt verkar ignorera Europas högsta domstol. Detta är också orättvist mot konkurrenter som följer dessa regler. Vi kommer successivt att vidta åtgärder mot personuppgiftsansvariga och personuppgiftsbiträden som bryter mot GDPR och mot myndigheter som inte verkställer domstolens beslut, t.ex. den irländska datainspektionen som förblir vilande."
