23 години незаконно предаване на данни поради неактивни ОЗД и нови споразумения между ЕС и САЩ
В две знакови решения през 2015 г. и 2020 г. Съдът на Европейския съюз (СЕС) обяви предаването на данни между ЕС и САЩ за незаконно. Тези решения са с обратна сила, което означава, че не е имало правно основание за посочените предавания между 2000 г. и 2023 г. Въпреки това повечето дружества от ЕС продължиха да използват услуги като Google Analytics или инструменти за проследяване от Meta, които водят до незаконно предаване на данни към САЩ. Нов анализ на 101 жалби наnoyb по този въпрос сега показва как комбинацията от неактивни органи за защита на данните и нови сделки на Европейската комисия са довели до 23 години нарушения на неприкосновеността на личния живот.
23 години незаконно прехвърляне на данни. Висшият европейски съд изпрати силно послание за по-добра защита на личните данни, когато обяви за невалидни сделките за трансфер на данни "Safe Harbor" и "Privacy Shield" съответно през 2015 г. и 2020 г. Логичната последица от това решение беше, че почти всички предавания на данни между Европейския съюз и Съединените щати от 2000 г. насам са незаконни. В действителност обаче компаниите не спряха тази практика. Това до голяма степен стана възможно благодарение на бездействието на европейските органи за защита на данните (ОЗД), които в повечето случаи не успяха да изпълнят решенията на Съда на ЕС. Следователно в комбинация с нови (и невалидни) сделки, ние се връщаме към 23 години на незаконно предаване на данни.
Марко Блохер, юрист по защита на данните в noyb: "Свидетели сме на известен срив на върховенството на закона. Върховният съд на Европа обяви прехвърлянето на данни през последните 23 години за незаконно, но властите до голяма степен гледаха на друго."
Събират прах в чекмеджето. За да гарантира прилагането, noyb е подал 101 жалби, след като през 2020 г. Съдът на ЕС обяви за невалидно решението за адекватност на "Щит за личните данни". Въпреки че това решение отне правното основание за прехвърляне на данни, много добре посещавани уебсайтове продължиха да препращат данни за своите посетители към сървърите на Google и Meta в САЩ. Въпреки изричните жалби и факта, че продължаващите трансфери представляват явно нарушение на ОРЗД, компетентните органи за защита на данните и до днес не са взели решение по повече от 70 % от жалбите на noyb. на 18 август се навършват три години от подаването на жалбите.
Безкрайна игра на изчакване. Решението на Съда на ЕС всъщност осигури ясна правна ситуация за органите за защита на данните да вземат сравнително бързо решение в случаите на предаване на данни. най-новият анализ на noybобаче показва, че 20 от 32-те съответни органа (62,5%) не са издали решение по нито една подадена до тях жалба. Дори на по-активните органи им е отнемало много повече време от предвиденото в закона. Първото от 13-те решения в момента е на австрийския DSB. На него му бяха необходими почти 1,5 години, за да стигне до решение по жалбата на noyb, въпреки простите факти по случая и ясната правна ситуация.
Марко Блохер, юрист по защита на данните в noyb: "Около две трети от всички ОЗД, до които подадохме жалби, не стигнаха до нито едно решение за три години. С някои дори е невъзможно да се свържем и те не предоставят никаква актуална информация за състоянието на жалбите. Абсурдно е, че в някои държави членки дори такива прости дела не се изпълняват"
Лош пример. Това, което го прави още по-лош, е, че Ирландската комисия за защита на данните (DPC) - така надзорният орган за Google и Meta - е един от 20-те органа за защита на данните, които все още не са си мръднали пръста. Всичките шест жалби на noyb, подадени пред DPC, все още са в процес на разглеждане. Но органът не е единствен в това отношение. Наред с други, същото се отнася и за белгийския, холандския, гръцкия, полския, словашкия и чешкия ДЗД. Пълният текст на анализа е свързан по-горе.
Никой не смее да наложи глоба. Към днешна дата са висящи общо 73 дела. noyb спечели девет дела, спечели три частично и загуби едно. Но дори и положителните новини са отрезвяващи. Само в един случай компетентният орган (в Швеция) е наложил глоба за незаконно използване на Google Analytics: Телекомуникационният доставчик Tele2 трябваше да плати един милион евро, а онлайн търговецът на дребно CDON - 25 000 евро. Това са само две глоби в 101 случая.
Марко Блохер, юрист по защита на данните в noyb: "Само шведският орган е издал глоба, всички останали органи не са издали глоба за очевидно нарушение на GDPR."
Комисията на ЕС изпревари органите за защита на данните. За много от останалите жалби, три години след подаването им, все още не е ясно дали компетентните ОЗД някога ще стигнат до решение, или просто ще се опитат да отложат въпроса. Междувременно Комисията на ЕС и САЩ са се заели с работа. В средата на юли тази година те се споразумяха за "нова" Трансатлантическа рамка за защита на личните данни ("TADPF "), която до голяма степен е копие на своята предшественичка. Гражданите на ЕС все още нямат конституционни права в САЩ, което позволява на разузнавателни агенции като NSA да използват данните им за целите на наблюдението. В същото време новата рамка дава възможност на ОЗД да преустановят активните производства, за да изчакат и да видят дали Съдът на ЕС ще отмени решението за адекватност за трети път.
Марко Блохер, юрист по защита на данните в noyb: "На практика имаме 23 години наред незаконни сделки за прехвърляне на данни или неприлагане на законодателството. Удивително е, че всеки нормален човек получава глоба, ако наруши закона, само че когато става въпрос за GDPR, просто няма последствия - дори след две решения на Съда на ЕС."
Всички възможни мерки са останали без резултат. След като noyb подаде своите 101 жалби, за кратко изглеждаше, че има надежда за своевременно решение. ЕНОЗД дори създаде неофициална "работна група", за да избегне фрагментиране на практиката по вземане на решения. За съжаление, това не доведе до единен подход за окончателно спиране на незаконното предаване на данни. Основният проблем с дружествата, които не спазват европейското законодателство за защита на данните, все още продължава да съществува. Окончателният доклад на работната група съдържа само очевидни твърдения на високо равнище.
Третият път е чаровен? Подобно на "Safe Harbor" и "Privacy Shield", новият "TADPF" рано или късно ще бъде оспорен пред Съда на ЕС, който след това ще прецени неговата валидност съгласно правото на ЕС. Тъй като основните проблеми със законодателството на САЩ за наблюдение все още не са отстранени, има голяма вероятност то да има съдбата на своите предшественици - и да бъде обявено за невалидно с обратна сила. Тогава топката отново ще бъде в полето на ОЗД. В крайна сметка те ще трябва да приложат решението на СЕС. Като се има предвид досегашното им представяне, перспективите са плачевни. noyb е готов да използва всички правни възможности, за да осигури решение за висящите жалби и - ако е необходимо - да подаде нови жалби, за да се увери, че бъдещите решения на СЕС ще бъдат спазвани.