Austriacka organizacja non-profit NOYB (My Privacy is None of Your Business) alarmuje na swojej stronie internetowej, że zaobserwowała brak znaczącej reakcji zainteresowanych podmiotów na lipcowy wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE). W wyroku tym zakwestionował on tzw. Tarczę Prywatności (Privacy Shield) jako podstawę do transferu danych osobowych na linii UE – USA.
Organizacja przypomniała także, że ponad miesiąc temu złożyła 101 skarg do unijnych organów właściwych ds. ochrony danych osobowych, w tym do Urzędu Ochrony Danych Osobowych (UODO). Wszystkie te skargi dotyczą przekazywania danych osobowych Europejczyków do USA przez administratorów z aż 30 państw należących do UE i EOG.
Brak reakcji na złożone skargi
Przypomnijmy, 16 lipca br. TSUE wydał orzeczenie w głośnej sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems (C-311/18). TSUE uznał w tym wyroku za nieważną decyzję wykonawczą Komisji Europejskiej (2016/1250) z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Od dnia publikacji tego wyroku Tarcza Prywatności nie może już stanowić podstawy prawnej do przekazywania danych osobowych do USA.
Przekazywanie danych do USA ponownie pod znakiem zapytania – część I
NOYB podkreślił w swoim oświadczeniu, że celem złożenia 101 skarg było skłonienie administratorów przekazujących dane osobowe z UE do USA do respektowania ww. wyroku TSUE. W ocenie austriackiej organizacji, zarówno eksporterzy danych osobowych w UE, jak i importerzy tychże w USA są zobowiązani do wstrzymania transferu danych, o ile jest to konieczne. Jeżeli nie zrobią tego dobrowolnie, wówczas europejskie organy ds. ochrony danych osobowych będą zobligowane – zdaniem NOYB – do nakazania zaprzestania tych transferów.
W świetle oświadczenia organizacji wydaje się, że złożone skargi zostały w dużej mierze zignorowane przez zaskarżonych operatorów witryn internetowych. Na dzień 22 września 2020 r. tylko trzy podmioty (w tym jeden uniwersytet) skontaktowały się z NOYB w tej sprawie. Co ciekawe – wszystkie mają swoją siedzibę w Księstwie Liechtenstein. Podmioty te udokumentowały usunięcie narzędzi Google Analytics oraz Facebook Connect ze swoich stron internetowych. NOYB wycofał skargi złożone na te podmioty do organu ds. ochrony danych osobowych w Księstwie Liechtenstein (Datenschutzstelle Fürstentum Liechtenstein). Jednocześnie, organizacja wyraziła miłe zaskoczenie dla szybkiej reakcji tych trzech podmiotów oraz efektywnego wstrzymania dalszego transferu danych osobowych do USA.
Google i Facebook nabrali wody w usta
Warto zwrócić uwagę, że część skarg złożonych przez NOYB do organów nadzorczych ds. ochrony danych osobowych dotyczyła wprost działalność gigantów udostępniających narzędzia umożliwiające transfer danych osobowych do USA, tj. Google i Facebook. Jak dotąd Facebook nie skomentował tej sprawy. Spółka Google odniosła się natomiast do niej w sposób bardzo lakoniczny. Wskazała ona bowiem, że zobowiązuje się zapewnić, że obowiązujące ją standardowe klauzule umowne zapewnią wymaganą prawem ochronę prywatności, niezależnie od lokalizacji danych. Google nie wyjaśnił jednak, w jaki sposób zamierza uniknąć podlegania amerykańskim przepisom dotyczącym nadzoru, które dają władzom w USA prawo dostępu do ogromnej ilości danych obywateli UE.
Interesująca reakcja EROD
Co ciekawe, Europejska Rada Ochrony Danych (EROD) – organ UE złożony z przedstawicieli europejskich organów ochrony danych – powołała specjalną podgrupę roboczą ds. 101 skarg. Ma ona za zadanie zbadać zarzuty przedstawione w skargach i zapewnić ścisłą współpracę między organami nadzorczymi w tym zakresie. EROD przygotowuje również zalecenia, aby pomóc administratorom i podmiotom przetwarzającym wdrożyć odpowiednie środki w celu zapewnienia odpowiedniej ochrony podczas przekazywania danych osobowych do państw trzecich, w tym do USA.
Austriacka organizacja z zadowoleniem przyjęła reakcję EROD i jego zaangażowanie w pracę nad spójnym rozpatrywaniem złożonych skarg. Jak zauważył NOYB, doświadczenie pokazuje, że niektóre organy ds. ochrony danych są bardzo wydajne, podczas gdy inne wydają się być niechętne do podejmowania jakichkolwiek działań. Wszystkie 101 skarg zostało napisane prostym językiem i co do treści są w zasadzie identyczne. Dlatego też jeśli organ nadzorczy jednego państwa rozpatrzy skargę w odpowiednim czasie, bierność regulatora innego państwa może budzić duże wątpliwości.
Źródło:
https://noyb.eu/en/update-noybs-101-complaints-eu-us-data-transfers