23 år av olagliga dataöverföringar på grund av inaktiva dataskyddsmyndigheter och nya avtal mellan EU och USA
I två vägledande domar 2015 och 2020 förklarade Europeiska unionens domstol (EU-domstolen) att dataöverföringar mellan EU och USA var olagliga. Besluten är retroaktiva, vilket innebär att det inte fanns någon rättslig grund för överföringarna mellan år 2000 och 2023. Trots detta fortsatte de flesta EU-företag att använda tjänster som Google Analytics eller spårningsverktyg från Meta, vilket innebär olagliga dataöverföringar till USA. En ny analys av noybs 101 klagomål i ärendet visar nu hur en kombination av inaktiva dataskyddsmyndigheter och nya avtal från EU-kommissionen har lett till 23 år av integritetskränkningar.
23 år av olagliga överföringar. Den högsta europeiska domstolen skickade ett starkt budskap för bättre dataskydd när den ogiltigförklarade dataöverföringsavtalen "Safe Harbor" och "Privacy Shield" 2015 respektive 2020. Den logiska konsekvensen av detta beslut var att nästan alla överföringar mellan EU och USA sedan år 2000 var olagliga. I själva verket upphörde dock inte företagen med detta. Detta möjliggjordes till stor del av de europeiska dataskyddsmyndigheternas passivitet, som i de flesta fall misslyckades med att genomföra EU-domstolens domar. I kombination med nya (och ogiltiga) avtal kan vi därför se tillbaka på 23 år av olagliga dataöverföringar.
Marco Blocher, dataskyddsjurist på noyb: "Vi bevittnar en viss kollaps av rättsstatsprincipen. Europas högsta domstol förklarade de senaste 23 årens dataöverföringar olagliga, men myndigheterna tittade i stort sett åt andra hållet."
Samlar damm i en byrålåda. För att säkerställa efterlevnaden hadenoyb lämnat in 101 klagomål efter att EU-domstolen ogiltigförklarade beslutet om adekvat skyddsnivå "Privacy Shield" 2020. Trots att denna dom tog bort den rättsliga grunden för dataöverföringar fortsatte många välbesökta webbplatser att vidarebefordra uppgifter om sina besökare till Googles och Metas servrar i USA. Trots uttryckliga klagomål och det faktum att de fortsatta överföringarna utgjorde en tydlig överträdelse av GDPR har de behöriga dataskyddsmyndigheterna fortfarande inte fattat något beslut i mer än 70 procent av noybsklagomål fram till idag. den 18 augusti är det tre år sedan klagomålen lämnades in.
Oändlig väntan. EU-domstolens dom har i själva verket säkerställt en tydlig rättslig situation för dataskyddsmyndigheter att fatta ett relativt snabbt beslut i ärenden om dataöverföringar. noybssenaste analys visar dock att 20 av 32 berörda myndigheter (62,5%) inte har fattat beslut om ett enda klagomål som lämnats in till dem. Även de mer aktiva myndigheterna tog mycket längre tid på sig än vad som föreskrivs i lagen. Det första av för närvarande 13 beslut kom från Österrikes tvistlösningsorgan. Det tog nästan 1,5 år att fatta beslut om noybsklagomål, trots de enkla fakta som fanns i ärendet och den tydliga rättsliga situationen.
Marco Blocher, dataskyddsjurist på noyb: "Ungefär två tredjedelar av alla dataskyddsmyndigheter som vi har vänt oss till har inte fattat ett enda beslut på tre år. Vissa är till och med omöjliga att nå och ger inga uppdateringar om statusen för klagomålen. Det är absurt att inte ens så enkla ärenden verkställs i vissa medlemsländer."
Ett dåligt exempel. Vad som gör det ännu värre är att den irländska dataskyddskommissionen (DPC) - som är tillsynsmyndighet för Google och Meta - är en av de 20 dataskyddsmyndigheter som ännu inte har lyft ett finger. Alla sex noyb-klagomål som lämnats in till DPC väntar fortfarande. Men myndigheten är inte ensam i detta. Detsamma gäller bland annat den belgiska, nederländska, grekiska, polska, slovakiska och tjeckiska DPA. Den fullständiga analysen finns länkad ovan.
Ingen vågar utfärda böter. Hittills har totalt 73 ärenden behandlats. noyb har vunnit nio ärenden, vunnit tre delvis och förlorat ett. Men även de positiva nyheterna är nedslående. Endast i ett fall har den behöriga myndigheten (i Sverige) utdömt böter för olovlig användning av Google Analytics: Teleoperatören Tele2 fick betala en miljon euro och e-handlaren CDON 25 000 euro. Det är bara två böter i 101 fall.
Marco Blocher, dataskyddsjurist på noyb: "Endast den svenska myndigheten har utfärdat böter, alla andra myndigheter har inte utfärdat böter för en uppenbar GDPR-överträdelse."
EU-kommissionen gick om dataskyddsmyndigheterna. För många av de återstående klagomålen är det tre år efter inlämnandet fortfarande oklart om de behöriga dataskyddsmyndigheterna någonsin kommer att fatta ett beslut eller om de bara kommer att försöka avvakta. Under tiden har EU-kommissionen och USA börjat arbeta. I mitten av juli i år enades de om ett "nytt" transatlantiskt ramverk för dataskydd (Trans-Atlantic Data Privacy Framework, TADPF) som i stort sett är en kopia av sin föregångare. EU-medborgare har fortfarande inga konstitutionella rättigheter i USA, vilket gör att underrättelsetjänster som NSA kan använda deras uppgifter för övervakningsändamål. Samtidigt ger det nya ramverket dataskyddsmyndigheterna möjlighet att avbryta aktiva förfaranden för att vänta och se om EU-domstolen kommer att ogiltigförklara beslutet om adekvat skyddsnivå för tredje gången.
Marco Blocher, dataskyddsjurist på noyb: "Vi har i princip 23 år av olagliga överföringsavtal eller utebliven verkställighet. Det är fantastiskt att alla normala människor får böter om de bryter mot lagen, men när det gäller GDPR finns det helt enkelt inga konsekvenser - inte ens efter två domar från EU-domstolen."
Möjliga åtgärder har alla gått om intet. Efter att noyb lämnat in sina 101 klagomål såg det kortvarigt ut som om det fanns hopp om en snabb lösning. EDPB inrättade till och med en informell "arbetsgrupp" för att undvika en fragmentering av beslutspraxis. Tyvärr ledde det inte till ett enhetligt tillvägagångssätt för att slutligen stoppa olagliga dataöverföringar. Det underliggande problemet med företag som inte följer den europeiska dataskyddslagstiftningen kvarstår fortfarande. Arbetsgruppens slutrapport innehåller bara uppenbara uttalanden på hög nivå.
Är det tredje gången gillt? Precis som "Safe Harbor" och "Privacy Shield" kommer den nya "TADPF" förr eller senare att ifrågasättas av EU-domstolen, som sedan kommer att bedöma dess giltighet enligt EU-lagstiftningen. Eftersom de grundläggande problemen med den amerikanska övervakningslagstiftningen kvarstår är risken stor att den kommer att gå samma öde till mötes som sina föregångare - och förklaras ogiltig med retroaktiv verkan. Bollen kommer då återigen att ligga hos dataskyddsmyndigheterna. I slutändan kommer de att behöva verkställa EU-domstolens avgörande. Med tanke på deras agerande hittills är utsikterna dystra. noyb är berett att utnyttja alla rättsliga möjligheter för att säkerställa ett beslut för pågående klagomål och - om nödvändigt - att lämna in nya klagomål för att säkerställa att framtida avgöranden från EU-domstolen kommer att respekteras.
