För drygt en månad sedan lämnade noyb in 101 klagomål mot flera företag baserade i EU/EES för att de fortsätter att använda Google Analytics och Facebook Connect på sina webbplatser - och därmed överföra personuppgifter till Google och Facebook i USA. Enligt EU-domstolens dom av den 16 juli 2020är sådana dataöverföringar olagliga eftersom Google och Facebook omfattas av USA:s övervakningslagar och måste lämna ut uppgifter om europeiska användare till USA:s underrättelsetjänster.
Knappt någon reaktion från de berörda företagen - trots hot om böter på 20 miljoner euro
Trots att det är politiskt klart att det inte kommer att finnas någon ny "Privacy Shield" eller "Safe Harbor" inom den närmaste framtiden, verkar många företag fortsätta att stoppa huvudet i sanden.
Även många jurister och "experter" ignorerar EU-domstolens tydliga uttalanden och hävdar att allt är bra så länge man ingår standardavtalsklausuler ("SCC") med datamottagaren - en fullständig missbedömning av situationen, som kan stå företagen dyrt.
EU-domstolen har tydligt slagit fast att SCC inte kan användas om mottagaren i USA omfattas av amerikanska övervakningslagar (t.ex. FISA 702). Dataskyddsmyndigheterna kan utdöma böter på upp till 20 miljoner euro eller 4% av årsomsättningen för brott mot GDPR:s regler om dataöverföring. Detta gäller utöver eventuella skadeståndskrav från berörda användare.
De 101 klagomål som noyb lämnade in var därför avsedda som en väckarklocka: avgörandet från EU:s högsta domstol måste respekteras; både uppgiftsutförare i EU och uppgiftsinförare i USA måste inspektera kritiska uppgiftsöverföringar och vid behov stoppa dem. Om de inte gör det frivilligt har EU-domstolen uttryckligen ålagt de europeiska dataskyddsmyndigheterna en skyldighet att förbjuda sådana dataöverföringar.
Detta verkar i stort sett ha ignorerats av de webbplatsoperatörer som noyb lämnade in de 101 klagomålen mot. Fram till den 22.09.2020 har endast två företag och ett universitet kontaktat noyb - alla med säte i Liechtenstein. De kunde bevisa att de hade tagit bort kodelementen för Google Analytics eller Facebook Connect från sina webbplatser. noyb drog därefter tillbaka de berörda klagomålen till Liechtensteins dataskyddsmyndighet.
"Hittills är det bara webbplatsoperatörer från Liechtenstein som har överraskat oss positivt. De reagerade snabbt och korrekt och stoppade de dataöverföringar som stred mot dataskyddsförordningen. Vi har därefter dragit tillbaka klagomålen. Tyvärr har vi inte hört något från webbplatsoperatörer från andra medlemsstater. Ju längre dessa företag väntar, desto mer sannolikt är det att de kommer att straffas av dataskyddsmyndigheterna". - Marco Blocher, dataskyddsjurist på noyb.
Google och Facebook håller också tyst
Förutom webbplatsoperatörerna riktas de 101 klagomålen även mot dataimportörerna Google och Facebook i USA, som också kan hållas ansvariga för dataöverföringar i strid med GDPR. Facebook har hittills inte kommenterat de 101 klagomålen i sak, och Google har bara uttalat sig i tomma ordalag och sagt att de"kommer att se till att det nödvändiga integritetsskyddet upprätthålls enligt de tillämpliga SCC som tillhandahålls av Google, oavsett var uppgifterna finns". Silicon Valley-jätten har dock inget svar på hur man avser att undvika att bli föremål för USA:s övervakningslagar.
"Hittills har stora amerikanska dataföretag upprepat som ett mantra att de utvärderar situationen och säkerställer att användardata skyddas på grundval av SCC. Dessa tomma fraser ändrar inte det faktum att USA:s övervakningslagar ger myndigheter som NSA rätt att få tillgång till stora mängder data som överförs till USA. Hittills har detvarit tyst om denna konflikt mellan avtal med EU-kunder och amerikanska lagar." - Marco Blocher
Europeiska dataskyddsstyrelsen har inrättat en arbetsgrupp för noybsklagomål
Det finns en positiv utveckling på EU-nivå. Europeiska dataskyddsstyrelsen ("EDPB", ett EU-organ som består av företrädare för de europeiska dataskyddsmyndigheterna) har inrättat en särskild arbetsgrupp för att hantera de 101 klagomålen. Denna arbetsgrupp ska undersöka de fakta som ligger till grund för klagomålen och säkerställa ett nära samarbete mellan styrelsens ledamöter. EDPB kommer också att"utarbeta rekommendationer för att hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sin skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder för att säkerställa ett adekvat skydd vid överföring av uppgifter till tredje land".
"Vi är mycket glada över att EDPB har tagit en aktiv roll i denna fråga och har åtagit sig att arbeta för en konsekvent behandling av våra klagomål. Vi hoppas att denna samordning kommer att leda till att klagomålen behandlas lika effektivt och snabbt i alla EU/EES-länder. Hittills har vår erfarenhet visat att vissa dataskyddsmyndigheter är mycket produktiva, medan andra verkar angelägna om att kväva alla förfaranden i sin linda. En paneuropeisk strategi är därför under alla omständigheter välkommen. De 101 klagomålen är inte komplicerade i sak och är nästan identiska. Om myndigheten i medlemsstat A lyckas behandla ett klagomål i tid har myndigheten i medlemsstat B ingen ursäkt föratt inte göra det." - Marco Blocher
noyb fortsätter att övervaka situationen för varje klagomål för att säkerställa att EU-domstolens beslut också skyddar varje medborgares rättigheter i deras dagliga liv.
