Австрийский орган по защите данных обнаружил, что использование технологий отслеживания Meta нарушило закон ЕС о защите данных, поскольку личные данные были переданы в США, где информация подвергалась риску со стороны правительства.
Вывод основан на ряде жалоб, поданных европейской группой по защите прав конфиденциальности noyb еще в августе 2020 года, которые также касались использования веб-сайтами Google Analytics по той же проблеме экспорта данных. С тех пор ряд DPA ЕС признали использование Google Analytics незаконным, а некоторые (например, французский CNIL) выпустили предупреждения против использования аналитического инструмента без дополнительных мер безопасности. Но это первый вывод о том, что технология отслеживания Facebook нарушила Общий регламент ЕС по защите данных (GDPR).
Все решения последовали за постановлением высшего суда Европейского Союза от июля 2020 года, которое отменило соглашение высокого уровня о передаче данных между ЕС и США о защите конфиденциальности после того, как судьи в очередной раз выявили фатальное столкновение между законами США о слежке и правами на неприкосновенность частной жизни ЕС. (Аналогичный вывод, сделанный еще в 2015 году, лишил законной силы предшественника Privacy Shield: Safe Harbor.)
noyb называет последнее обнаружение DPA ЕС нарушения передачи данных «новаторским», утверждая, что решение австрийских властей должно послать другим сайтам сигнал о том, что не рекомендуется использовать мета-трекеры (жалоба касается входа в Facebook и мета-пикселя).
Решение касается использования инструментов отслеживания Meta местным новостным веб-сайтом (его название удалено из решения) по состоянию на август 2020 года, который этот сайт прекратил использовать вскоре после подачи жалобы. Однако это решение может иметь гораздо более широкие последствия для использования технологии Meta, учитывая, сколько персональных данных обрабатывает гигант рекламных технологий. Таким образом, несмотря на то, что обнаружение нарушения относится только к одному из сайтов noyb, на которые направлена эта партия стратегических жалоб, последствия для множества других и, возможно, для любого сайта ЕС, который все еще использует инструменты отслеживания Meta, учитывая продолжающуюся юридическую неопределенность в отношении данных ЕС-США. переводы.
«Facebook сделал вид, что его коммерческие клиенты могут продолжать использовать его технологию, несмотря на два решения суда, говорящие об обратном. Теперь первый регулирующий орган сообщил клиенту, что использование технологии отслеживания Facebook является незаконным», — говорится в заявлении Макса Шремса, председателя noyb.eu.
«Многие веб-сайты используют технологию отслеживания Facebook для отслеживания пользователей и показа персонализированной рекламы. Когда веб-сайты включают эту технологию, они также пересылают все пользовательские данные в многонациональные корпорации США и далее в АНБ. [US National Security Agency]. В то время как Европейская комиссия все еще стремится опубликовать третью сделку по передаче данных между ЕС и США, тот факт, что законодательство США по-прежнему разрешает массовую слежку, означает, что этот вопрос не будет решен в ближайшее время», — далее предполагает noyb в пресс-релизе.
Со своей стороны, Meta отреагировала на эту новость, попытавшись преуменьшить значение решения австрийского DPA. В заявлении представитель компании заявил, что это открытие «основано на исторических обстоятельствах», и предположил, что оно «не влияет на то, как предприятия могут использовать наши продукты». Вот его заявление полностью:
Это решение основано на исторических обстоятельствах и касается только одной компании в связи с использованием ею Facebook Pixel и Facebook Login в один день в 2020 году. Хотя мы не согласны со многими аспектами решения, оно не влияет на то, как предприятия могут использовать наши продукты. Это дело связано с конфликтом между законодательством ЕС и США, который находится в процессе разрешения.
В 46-страничном решении [NB: the link is to a machine translated (non-official) English version] Австрийский DPA излагает свои доводы в пользу того, что использование местным сайтом инструментов мета-отслеживания нарушает требования GDPR в отношении передачи данных, отмечая, что регулирование требует, чтобы данные о пользователях из ЕС были надлежащим образом защищены, если они передаются из блока, в так называемые третьи страны (например, США). Тем не менее, он не обнаружил ни одной из возможных мер защиты для такого экспорта данных (например, решение об адекватности), применяемых в этом случае, и, следовательно, было установлено, что статья 44 GDPR (о передаче данных) была нарушена.
Еще одним ключевым компонентом решения является то, что данные, собранные с помощью технологий отслеживания Meta, которые включают в себя большое количество точек данных, включая IP-адрес, идентификатор пользователя, мобильную ОС и данные браузера, разрешение экрана, данные файлов cookie Facebook и многое другое, представляют собой персональные данные. данные в соответствии с законодательством ЕС.
«В результате внедрения Facebook Business Tools файлы cookie были установлены на [the] конечное устройство истца… которые содержат уникальное, случайно сгенерированное значение… Это позволяет индивидуализировать конечное устройство истца и записывать поведение истца в Интернете, чтобы отображать подходящую персонализированную рекламу», – поясняет DPA. «Независимо от этого, по крайней мере, у Meta Ireland была возможность связать полученные данные благодаря внедрению Facebook Business Tools на [the] Facebook-аккаунт заявителя. Из Условий использования Facebook Business Tools ясно… что Facebook Business Tools используются, среди прочего, для обмена информацией с Facebook».
Некоторые изменения, внесенные Meta в свои Условия передачи данных вскоре после того, как жалобы noyb были поданы, предшествовали этому действию, поэтому они были внесены слишком поздно, чтобы повлиять на результат.
Однако noyb предполагает, что любые такие изменения условий и / или дополнительные меры вряд ли будут иметь значение, учитывая, что личные данные остаются доступными для Meta (и, следовательно, могут быть переданы агентствам безопасности США) — так, например, вариант реализации «нулевой Шифрование знаний, т. е. как дополнительная мера для повышения уровня защиты данных, недоступно гиганту рекламных технологий, чья бизнес-модель зависит от отслеживания и профилирования веб-пользователей путем обработки их данных.
«DPA уже обнаружило в решении Google, что такие элементы не могут преодолеть законодательство США», — сказал Шремс TechCrunch, когда мы спросили об изменениях, внесенных Meta в свои условия передачи данных после жалоб Noyb, добавив: «Я полагаю, что это ни к чему не приведет, учитывая прецедентное право».
В решении DPA содержится прямая ссылка на собственные отчеты Meta о прозрачности, в которых он записывает правительственные запросы на данные, что, по его словам, показывает, что «Meta Group регулярно получает запросы на доступ к данным от секретных органов США», далее уточняя, что «запросы на доступ к данным также касаются пользователей из Австрия”. Помимо основной информации о подписчике, запросы могут запрашивать записи, связанные с активностью учетной записи и сохраненным содержимым, такие как сообщения, фотографии, видео, записи временной шкалы и информацию о местоположении.
Уменьшение масштаба, в то время как переговорщики ЕС и США предварительно согласовали замену трансатлантического пакта о передаче данных, который они называют Рамочная программа конфиденциальности данных ЕС-США (DPF) — этот третий шаг по устранению раскола в передаче данных еще не запущен и не работает, поскольку он все еще должен быть тщательно изучен другими институтами ЕС, прежде чем Комиссия сможет официально принять его.
Это означает, что в правовом режиме, регулирующем передачу данных между ЕС и США, все еще есть зияющая дыра, которая может оставаться незадействованной в течение нескольких месяцев (еще в декабре Комиссия предположила, что DPF не будет действовать до июля).
Кроме того, даже если (или когда) новая структура передачи данных между ЕС и США будет принята ЕС, весьма вероятно, что она столкнется с той же основной проблемой, которая поразила ее предшественников, учитывая, что программы массового наблюдения США не были реформированы. Это вызывает сомнения в долгосрочном выживании запланированной схемы замены, поэтому правовая неопределенность в этой области в значительной степени является данностью того, что произойдет в краткосрочной перспективе.
noyb утверждает, что единственным долгосрочным решением этой проблемы является либо реформа закона США о слежке, чтобы обеспечить «базовую защиту иностранцев для поддержки их технологической отрасли». Или локализация данных — это означает, что американские провайдеры будут вынуждены размещать иностранные данные за пределами страны. И мы наблюдаем некоторые шаги в этом направлении (например, со стороны TikTok, который подвергается даже более тщательному анализу, чем Facebook, по вопросам, связанным с национальной безопасностью).
Однако неясно, является ли локализация данных в значительной степени решением проблем Meta (или даже TikTok) — учитывая, что пользователи, занимающиеся сбором данных, занимают центральное место в их бизнес-модели таргетинга рекламы. («Хорошо известно, что из-за своей американской системы Meta категорически не может гарантировать, что данные европейских граждан не будут перехвачены спецслужбами США», — предполагает нойб.)
Тем временем окончательное решение о том, следует ли приостановить передачу данных Meta из ЕС в США, все еще не принято ее ведущим DPA в ЕС, Ирландской комиссией по защите данных.
Так что на самом деле все зависит от того, что будет первым: новый лейкопластырь для передачи данных между ЕС и США, который сбросит юридические проблемы и даст Meta новый раунд оперативной передышки в Европе, или окончательный приказ DPA остановить передача данных пользователей из ЕС через пруд. Хотя в последнем случае Meta, безусловно, обжалует решение о приостановке работы, поэтому наиболее вероятным исходом будет то, что Meta снова придется пинать банку, а европейским защитникам конфиденциальности придется готовиться к новому раунду судебных разбирательств. , надеясь, что на этот раз CJEU будет еще быстрее нажимать на курок.
DPA ЕС продемонстрировали крайнее нежелание обеспечивать соблюдение закона о передаче данных, например, затянули свои действия, когда дело дошло до принятия решения Суда в июле 2020 года об отмене Privacy Shield. Таким образом, тот же сценарий вполне может повториться в следующий раз, создавая цикл нарушений закона, который почти никогда не соблюдается — и пародию на то, где должны быть основные права пользователей из ЕС.
101 жалоба нойба была подана более двух с половиной лет назад — и это только первое решение, связанное с инструментами отслеживания Facebook. На вопрос, что случилось с остальными, Шремс сказал нам: «Мы все еще ждем всех остальных. Мы не знаем, почему Google [Analytics] дела пошли быстрее, но мы предполагаем, что ирландский DPA сыграл большую роль в делах Facebook».
DPA Ирландии по-прежнему подвергается резкой критике за свой подход к обеспечению соблюдения GDPR в отношении больших технологий — на его столе накапливается множество дел, а возможные результаты часто называют неутешительными.
Еще одна проблема, на которую указывает noyb, связана с отсутствием штрафа, вынесенного вместе с выводом австрийского DPA о нарушении правил. Таким образом, несмотря на обнаружение нарушения, для сайта, который нарушил закон, полагаясь на технологию Meta, по-прежнему нет ощутимых последствий. «Нет информации о том, был ли назначен штраф или [Austrian authority] планирует также выписать пенальти. GDPR предусматривает штрафы в размере до 20 миллионов евро или 4% от мирового оборота в таких случаях, но органы по защите данных, похоже, не желают налагать штрафы, несмотря на то, что контролеры игнорировали два постановления CJEU более двух лет», — говорится в сообщении.
«Австрийское DPA никогда не налагает штрафы в рамках процедуры рассмотрения жалоб, поскольку существует отдельное подразделение, отвечающее за штрафы», — объясняет Шремс. «Это очень проблематичный подход, ведущий к «двойным процедурам» и очень небольшому количеству штрафов».
Все эти проблемы добавят масла в аргументы в пользу того, что флагманская система защиты данных ЕС не делает того, о чем говорится на жестяной банке, что усилит давление на законодателей Комиссии, требующих если не жесткой реформы GDPR, то, по крайней мере, эффективного надзора посредством надлежащего мониторинг того, как регламент применяется на уровне государств-членов.
Это кажется необходимым, если законодатели блока собираются и впредь продавать все более широкий и глубокий (взаимосвязанный) режим цифрового регулирования, который часто утверждает, что защита данных является фундаментом для более высоких уровней обработки и обмена данными. Иными словами, защита данных не может существовать только на бумаге; люди должны видеть, что их информация действительно защищена.