23 vuotta laittomia tiedonsiirtoja passiivisten tietosuojaviranomaisten ja EU:n ja Yhdysvaltojen välisten uusien sopimusten vuoksi
Euroopan unionin tuomioistuin (EUT) julisti EU:n ja Yhdysvaltojen väliset tiedonsiirrot laittomiksi kahdessa käänteentekevässä tuomiossa vuosina 2015 ja 2020. Nämä päätökset ovat taannehtivia, mikä tarkoittaa, että kyseisille siirroille ei ollut oikeusperustaa vuosien 2000 ja 2023 välisenä aikana. Siitä huolimatta useimmat EU:n yritykset käyttivät edelleen Google Analyticsin kaltaisia palveluja tai Metan seurantatyökaluja, joihin liittyy laittomia tiedonsiirtoja Yhdysvaltoihin. Uusi analyysi noybin 101 valituksesta osoittaa nyt, miten toimimattomat tietosuojaviranomaiset ja Euroopan komission uudet sopimukset yhdessä ovat johtaneet siihen, että yksityisyyden suojaa on loukattu 23 vuoden ajan.
23 vuotta laittomia siirtoja. Korkein eurooppalainen tuomioistuin lähetti vahvan viestin paremman tietosuojan puolesta, kun se mitätöi "Safe Harbor" -tiedonsiirtosopimukset vuonna 2015 ja "Privacy Shield" vuonna 2020. Tämän päätöksen loogisena seurauksena lähes kaikki Euroopan unionin ja Yhdysvaltojen väliset siirrot vuodesta 2000 lähtien olivat laittomia. Todellisuudessa yritykset eivät kuitenkaan lopettaneet käytäntöä. Tämän mahdollisti suurelta osin Euroopan tietosuojaviranomaisten toimettomuus, sillä ne eivät useimmiten panneet täytäntöön EU:n tuomioistuimen päätöksiä. Yhdessä uusien (ja pätemättömien) sopimusten kanssa voimme siis katsoa 23 vuotta taaksepäin laittomia tiedonsiirtoja.
Marco Blocher, tietosuojalakimies, noyb: "Olemme todistamassa oikeusvaltion tietynlaista romahdusta. Euroopan korkein oikeus totesi viimeisten 23 vuoden aikana tapahtuneet tiedonsiirrot laittomiksi, mutta viranomaiset katsoivat pitkälti muualle."
Kerää pölyä laatikossa. Täytäntöönpanon varmistamiseksi noyb oli tehnyt 101 valitusta sen jälkeen, kun EU:n tuomioistuin mitätöi "Privacy Shield" -tietosuojakilven riittävyyspäätöksen vuonna 2020. Vaikka tämä päätös vei oikeusperustan tiedonsiirroilta, monet hyvin vierailtuina olleet verkkosivustot jatkoivat kävijöiden tietojen välittämistä Googlen ja Metan palvelimille Yhdysvaltoihin. Huolimatta nimenomaisista valituksista ja siitä, että jatketut siirrot olivat selkeä GDPR:n rikkomus, toimivaltaiset tietosuojaviranomaiset eivät ole vieläkään tehneet päätöstä yli 70 prosenttiin noybinvalituksista tähän päivään mennessä. elokuun 18. päivä tulee kuluneeksi kolme vuotta valitusten tekemisestä.
Loputon odottelu. EU:n tuomioistuimen tuomio on itse asiassa varmistanut tietosuojaviranomaisille selkeän oikeudellisen tilanteen tehdä suhteellisen nopeasti päätöksiä tiedonsiirtoja koskevissa tapauksissa. noybinuusin analyysi osoittaa kuitenkin, että 32:sta asianomaisesta viranomaisesta 20 (62,5 %) ei ole vielä tehnyt päätöstä yhdestäkään niille tehdystä valituksesta. Jopa aktiivisemmilla viranomaisilla kesti paljon kauemmin kuin laissa oli säädetty. Ensimmäinen tällä hetkellä 13 päätöksestä tuli Itävallan riitojenratkaisuelimeltä. Noybinvalitusta koskevan päätöksen tekeminen kesti lähes 1,5 vuotta huolimatta tapauksen yksinkertaisista tosiseikoista ja selkeästä oikeudellisesta tilanteesta.
Marco Blocher, noybin tietosuojalakimies: "Noin kaksi kolmasosaa kaikista tietosuojaviranomaisista, joille jätimme hakemuksen, ei tehnyt päätöstä kolmessa vuodessa. Joitakin niistä on jopa mahdotonta tavoittaa, eivätkä ne anna mitään päivityksiä valitusten tilanteesta. On järjetöntä, että joissakin jäsenvaltioissa edes näin yksinkertaisia tapauksia ei panna täytäntöön."
Huono esimerkki. Vielä pahemmaksi asian tekee se, että Irlannin tietosuojakomissio (DPC) - siis Googlen ja Metan valvontaviranomainen - on yksi niistä 20 tietosuojaviranomaisesta, jotka eivät ole vielä nostaneet sormeaan. Kaikki kuusi DPC:n käsiteltäväksi saatettua Noybin valitusta ovat edelleen vireillä. Viranomainen ei kuitenkaan ole yksin tässä asiassa. Sama koskee muun muassa Belgian, Alankomaiden, Kreikan, Puolan, Slovakian, Tšekin ja Alankomaiden tietosuojaviranomaisia. Koko analyysi on linkitetty yllä.
Kukaan ei uskalla määrätä sakkoa. Tähän mennessä on vireillä yhteensä 73 tapausta. noyb voitti yhdeksän tapausta, voitti kolme osittain ja hävisi yhden. Mutta myönteisetkin uutiset ovat raitistavia. Vain yhdessä tapauksessa toimivaltainen viranomainen (Ruotsissa) määräsi sakon Google Analyticsin laittomasta käytöstä: Teleoperaattori Tele2 joutui maksamaan miljoona euroa ja verkkokauppias CDON 25 000 euroa. Se on vain kaksi sakkoa 101 tapauksessa.
Marco Blocher, tietosuojalakimies, noyb: "Ainoastaan Ruotsin viranomainen antoi sakon, kaikki muut viranomaiset eivät antaneet sakkoa ilmeisestä GDPR:n rikkomisesta."
EU:n komissio ohitti tietosuojaviranomaiset. Monien jäljellä olevien valitusten osalta on kolme vuotta niiden jättämisen jälkeen edelleen epäselvää, saavuttavatko toimivaltaiset tietosuojaviranomaiset koskaan päätöstä vai yrittävätkö ne vain istua asian käsittelyssä. Sillä välin EU:n komissio ja Yhdysvallat ovat ryhtyneet töihin. Tämän vuoden heinäkuun puolivälissä ne sopivat "uudesta" transatlanttisesta tietosuojapuitteesta (TADPF ), joka on pitkälti kopio edeltäjästään. EU:n kansalaisilla ei edelleenkään ole perustuslaillisia oikeuksia Yhdysvalloissa, mikä antaa tiedustelupalveluille, kuten NSA:lle, mahdollisuuden käyttää heidän tietojaan valvontatarkoituksiin. Samalla uusi kehys antaa tietosuojaviranomaisille mahdollisuuden keskeyttää aktiiviset menettelyt odottamaan, mitätöikö EU:n tuomioistuin tietosuojan riittävyyttä koskevan päätöksen kolmannen kerran.
Marco Blocher, tietosuojalakimies, noyb: "Meillä on periaatteessa 23 vuotta peräkkäin laittomia siirtosopimuksia tai täytäntöönpanon laiminlyöntiä. On hämmästyttävää, että jokainen normaali ihminen saa sakon, jos hän rikkoo lakia, vain kun kyse on tietosuoja-asetuksesta, siitä ei yksinkertaisesti ole mitään seurauksia - jopa kahden EUT:n tuomion jälkeen."
Mahdolliset toimenpiteet ovat kaikki jääneet tuloksettomiksi. Kun noyb jätti sen 101 valitusta, näytti hetken aikaa siltä, että toivoa oikea-aikaisesta ratkaisusta oli. EDPB perusti jopa epävirallisen "työryhmän" välttääkseen päätöksentekokäytännön pirstaloitumisen. Valitettavasti se ei johtanut yhtenäiseen lähestymistapaan, jolla laittomat tiedonsiirrot saataisiin lopultakin pysäytettyä. Perusongelma, joka koskee yrityksiä, jotka eivät noudata Euroopan tietosuojalainsäädäntöä, on edelleen olemassa. Työryhmän loppuraportti sisältää vain korkeatasoisia, itsestään selviä lausuntoja.
Kolmas kerta toden sanoo? Safe Harborin ja Privacy Shieldin tapaan myös uusi TADPF-järjestely riitautetaan ennemmin tai myöhemmin EU:n tuomioistuimessa, joka arvioi sen pätevyyden EU:n lainsäädännön nojalla. Koska Yhdysvaltojen valvontalainsäädännön perusongelmat ovat edelleen olemassa, on hyvin todennäköistä, että se kokee edeltäjiensä kohtalon - ja julistetaan taannehtivasti pätemättömäksi. Silloin pallo on jälleen tietosuojaviranomaisilla. Lopulta niiden on pantava täytäntöön EU:n tuomioistuimen päätös. Kun otetaan huomioon niiden tähänastinen toiminta, näkymät ovat synkät. noyb on valmis käyttämään kaikki oikeudelliset mahdollisuudet varmistaakseen, että vireillä oleviin valituksiin saadaan päätös, ja tarvittaessa tekemään uusia valituksia varmistaakseen, että EU:n tulevia päätöksiä noudatetaan.