欧盟网站使用Google Analytics和Facebook Connect成为后Schrems II隐私投诉的目标

2020-08-18 18:23:33

起诉书中列出的实体包括电商公司、出版商和广播公司、电信和互联网服务提供商、银行和大学,包括Airbnb爱尔兰、爱尔兰联合银行、丹斯克银行(Danske Bank)、Fastweb、MTV互联网、德国天空电视台(Sky Deutschland)、Takeaway.com和Tele2等。

该活动组织在其网站上写道:“对欧盟主要网页的HTML源代码的快速分析显示,在欧盟法院(CJEU)做出重大判决一个月后,许多公司仍在使用谷歌分析(Google Analytics)或Facebook Connect-尽管这两家公司显然都受到美国监管法的约束,如FISA 702。”

“Facebook和谷歌似乎都没有数据传输的法律基础。谷歌在‘隐私盾牌’失效一个月后仍声称依赖,而Facebook则继续使用‘SCCS’(标准合同条款),尽管法院认定美国监控法违反了欧盟基本权利的本质。“。

我们已经联系了Facebook和谷歌,询问他们关于这类转移的法律基础-如果有任何回应,我们将更新这份报告。

隐私观察人士应该知道,noyb的创始人马克斯·施雷姆斯(Max Schrems)应该对最初的法律挑战负责,那次挑战一直追溯到2015年,摧毁了欧盟和美国之前的数据协议“安全港”(Safe Harbor)。他最新的申诉最终在上个月拆除了欧盟-美国隐私盾牌-尽管他实际上针对的是Facebook使用单独的数据传输机制(SCCS),敦促其数据监管机构爱尔兰的DPC介入并暂停使用该工具。

相反,该监管机构选择诉诸法庭,这引发了人们对欧盟-美国数据传输安排合法性的更广泛担忧-这导致CJEU得出结论,欧盟委员会不应授予美国所谓的“充分性协议”,从而拉出了隐私盾牌(Privacy Shield)之下的地毯。

这一决定意味着美国现在是被认为是数据保护方面的“第三国”,没有特殊的安排来使其能够处理欧盟用户的信息。

不仅如此,法院的裁决还明确表示,如果欧盟人民的数据通过SCC转移到第三国,欧盟数据监管机构有责任干预他们怀疑欧盟人民的数据存在风险的地方。

欧洲数据监管机构迅速警告称,仍然非法依赖隐私盾牌的实体将不会有宽限期-因此,上面投诉中列出的任何人,如果他们的隐私政策中仍提到已经失效的机制,都不会有谚语中的榕叶来掩盖他们的法律脸红。

Noyb对这一系列最新投诉的论点是,上述101家网站中没有一家有有效的法律基础,可以通过嵌入式Google Analytics和/或Facebook Connect集成将访问者数据继续传输到美国。

“我们已经在每个欧盟成员国的主要网站上快速搜索了Facebook和Google的代码。这些代码片段将每个访问者的数据转发到Google或Facebook。两家公司都承认,他们将欧洲人的数据转移到美国进行处理,在美国,这些公司有法律义务将这些数据提供给美国国家安全局(NSA)等美国机构。Google Analytics和Facebook Connect都不是运行这些网页的必需品,它们都是本可以被取代或至少现在已经停用的服务,“nomb.eu名誉主席Schrems在一份声明中说。

自CJEU的Schrems II裁决以来,事实上,自安全港被击落以来,美国商务部(US Department Of Commerce)和欧盟委员会(European Commission)一直在埋头苦干,表明他们打算尝试拼凑出另一份数据协议,以取代已废止的隐私盾牌(Privacy Shield)(它取代了被炸得粉碎的(联合国)安全港)。所以,呃…。)。

然而,如果不对美国监控法进行彻底改革,各自的立法者在掩盖美国国家安全优先事项与欧盟隐私权之间的法律分歧方面的任何第三次抨击都同样注定要失败。

你们中更愤世嫉俗的人可能会说,围绕这个话题的高层管理策略实际上只是为了争取更多的时间-让数据保持流动,让“一切照常”继续下去。

但现在,试图假装美国监控法不存在的战略存在重大法律风险。

关于CJEU上个月的裁决,Schrems再次提出,如果Facebook和谷歌不主动警告欧盟客户他们的数据责任,它们可能会承担法律责任:“法院明确表示,当美国的接收者受到这些大规模监控法的约束时,你不能使用SCC。似乎美国公司仍在试图让他们的欧盟客户相信相反的观点。这不仅仅是阴暗的。根据SCCS,美国数据进口商将不得不将这些法律告知欧盟数据发送者,并向他们发出警告。如果不这样做,那么这些美国公司实际上要对造成的任何财务损失负责。“

正如noyb的新闻稿指出的那样,GDPR的处罚制度可以高达欧盟发送者和美国个人数据接收者全球营业额的4%。所以,再一次,嗨,facebook,嗨,google…。

这个众筹活动组织承诺,将继续加大对欧盟监管机构和欧盟数据处理商的压力,要求其采取行动,审查美国的任何数据传输安排,并“适应欧盟最高法院的明确裁决”,正如该组织所说。

其他类型的法律诉讼也开始借鉴欧洲的一般数据保护法规(GDPR)框架--重要的是吸引资金--比如本月早些时候针对甲骨文(Oracle)和Salesforce使用跟踪cookie提起的两起集体诉讼。(正如我们在2018年GDPR生效时所说,诉讼即将到来。)。

现在,随着CJEU在美国监控法与欧盟数据保护问题上的两次明确打击,对于希望假装数据处理方面一切正常的美国科技巨头来说,回报似乎将会递减。

Noyb也在言行一致-提供免费的指导方针和模型请求,供欧盟实体使用,以帮助它们迅速实现数据事务的法律秩序。

施雷姆斯在进一步评论最新的投诉船队时补充道:“虽然我们理解有些事情可能需要一些时间来重新安排,但一些球员似乎只是简单地忽视了欧洲最高法院,这是不可接受的。”“这对符合这些规定的竞争对手也是不公平的。我们将逐步采取措施,打击违反GDPR的管制员和处理商,以及不执行法院裁决的当局,如仍处于休眠状态的爱尔兰DPC。“。

我们已经联系了爱尔兰的数据保护委员会,询问它将采取什么措施来应对最新的噪音投诉,其中一些投诉针对的是似乎由爱尔兰一家法律实体运营的网站。

Schrems 2013年最初对Facebook使用SCC的投诉也最终到达了爱尔兰,这家科技巨头-以及其他许多公司-都在那里设立了欧盟情商(EU EQ)。施雷姆要求DPC命令Facebook暂停使用SCC的请求仍然没有得到满足,大约七年后,有五起投诉。鉴于针对Facebook和谷歌等科技巨头的跨境GDPR投诉日益积压,监管机构继续面临不作为的指控。

爱尔兰的DPC尚未就这些重大GDPR投诉中的任何一项做出最终裁决。但要求它和所有欧盟监管机构采取行动并执行欧盟法律的法律压力只会增加,即使有人提起集体诉讼风格的诉讼,试图做监管机构未能做到的事情。

今年夏天早些时候,欧盟委员会在审查该机制头两年的运作时承认,缺乏统一的“有力”执行GDPR。

当时欧盟委员会负责价值观和透明度的副总裁Věra Jourová表示:“欧洲数据保护委员会和数据保护当局必须加紧工作,创造一种真正共同的欧洲文化-提供更连贯、更实际的指导,并致力于强有力但统一的执法。”他对GDPR是否奏效进行了欧盟委员会的首次公开评估。

我们还联系了法国的CNIL,询问它将采取什么行动来应对这些嘈杂的投诉。

在7月份做出判决后,法国监管机构表示,它正与EDPB一起“进行一项精确的分析”,以期“尽快就从欧盟向美国传输数据的裁决的后果得出结论”。

从那时起,EDPB的指导意见就出来了--显而易见的是:基于隐私盾牌的转移“是非法的”。虽然CJEU的裁决并没有使SCC的使用无效,但它只给继续使用开了非常合格的绿灯。

正如我们上个月所报道的那样,使用SCC向美国传输数据的能力取决于数据控制器是否能够提供法律保证,即“美国法律不会侵犯”传输的数据的适当保护水平。

经济及规划地政局补充说:“你能否根据许可证转移个人资料,须视乎你的评估结果,以及考虑到转移的情况,以及你可以采取的补充措施。”