101起关于欧盟-美国转移的投诉

2020-08-20 17:40:28

对欧盟主要网页的HTML源代码的快速分析显示,在欧盟法院(CJEU)做出重大判决一个月后,许多公司仍在使用Google Analytics或Facebook Connect-尽管这两家公司显然都属于美国监管法的管辖范围,如FISA 702。Facebook和谷歌似乎都没有数据传输的法律依据。谷歌(Google)在“隐私盾牌”(Privacy Shield)失效一个月后仍声称依赖它,而Facebook则继续使用“隐私盾牌”,尽管法院裁定美国监控法侵犯了欧盟基本权利的本质。

101起投诉,涉及30个欧盟和欧洲经济区成员国的公司。欧盟和欧洲经济区(EEA)所有30个成员国都对101家欧洲公司提出了投诉,这些公司仍然在转发谷歌和Facebook每位访问者的数据。这些投诉还针对谷歌和Facebook在美国继续接受这些数据传输,尽管它们违反了GDPR。这些网站是根据成员国的TLD(如法国)、两个特定代码片段和页面流量选择的。

“我们已经在每个欧盟成员国的主要网站上快速搜索了Facebook和Google的代码。这些代码片段将每个访问者的数据转发到Google或Facebook。两家公司都承认,他们将欧洲人的数据转移到美国进行处理,在美国,这些公司有法律义务将这些数据提供给美国国家安全局(NSA)等美国机构。谷歌分析(Google Analytics)和Facebook Connect都不是运行这些网页所必需的,它们都是本可以被取代或至少现在已经停用的服务。“。Nomb.eu名誉主席马克斯·施雷姆斯(Max Schrems)说。

欧盟和美国公司普遍无视裁决。根据FISA702或EO 12.333等法律,谷歌、脸书或微软等美国公司显然有义务向美国政府提供欧盟成员国人员的个人数据。他们甚至在斯诺登的文件中也有提及。尽管CJEU做出了明确的裁决,但他们现在声称,根据所谓的标准合同条款,数据传输可能会继续-许多欧盟数据出口似乎非常愿意接受这一虚假声明。

Schrems:“最高法院明确表示,当在美国的接收者受到这些大规模监控法的约束时,你不能使用SCC。似乎美国公司仍在试图让他们的欧盟客户相信相反的观点。这不仅仅是阴暗的。根据SCCS,美国数据进口商将不得不将这些法律告知欧盟数据发送者,并向他们发出警告。如果没有做到这一点,那么这些美国公司实际上要对造成的任何财务损失负责。“。

DPA将不得不采取行动。GDPR要求每个成员国的每个数据保护局(DPA)都要执行这项法律,特别是在收到投诉时。法院明确强调了DPA采取行动的义务。范围从禁令通知到2000万欧元的严重罚款,或欧盟发送者和美国个人数据接收者全球营业额的4%。

Noyb为公司提供指导方针。特别是对于对美国监管法不确定的较小欧盟公司,如果他们的美国合作伙伴符合这些法律,noyb在其网页上提供了免费的指导方针和请求范本。

计划采取进一步的法律行动。Noyb正计划逐步加大对欧盟和美国企业的压力,要求它们重新审视数据传输安排,并适应欧盟最高法院的明确裁决。施雷姆斯:“虽然我们理解一些事情可能需要一些时间来重新安排,但一些球员似乎只是简单地忽视了欧洲最高球场,这是不可接受的。这对遵守这些规则的竞争对手也是不公平的。我们将逐步采取措施,打击违反GDPR的管制员和加工者,以及不执行法院裁决的当局,比如仍处于休眠状态的爱尔兰DPC。“