Το Facebook λέει ότι οι ιρλανδικές ρυθμιστικές αρχές πιστεύουν ότι οι τρέχουσες μέθοδοι ανταλλαγής δεδομένων χρήστη μεταξύ ΗΠΑ και ΕΕ “δεν μπορούν στην πράξη να χρησιμοποιηθούν“, και έτσι έχουν ξεκινήσει έρευνα σχετικά με τις πρακτικές μεταφοράς δεδομένων που εφαρμόζει η πλατφόρμα κοινωνικής δικτύωσης.
Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων (IDPC) αναφέρεται στα Standard Contractual Clauses (SCC), δηλαδή στους μηχανισμούς που έχουν σχεδιαστεί για να διευκολύνουν τη μεταφορά δεδομένων μεταξύ των χωρών της ΕΕ και τρίτων χωρών.
Στην περίπτωση του Facebook, τα SCC χρησιμοποιούνται για τη διατήρηση των διατλαντικών ροών δεδομένων, συμπεριλαμβανομένης της ανταλλαγής δεδομένων χρηστών της ΕΕ.
Σύμφωνα με τη Wall Street Journal, οι Ιρλανδοί έστειλαν μια προκαταρκτική εντολή στο Facebook τον περασμένο μήνα, για να αναστείλει τη μεταφορά δεδομένων χρηστών της ΕΕ στις ΗΠΑ.
Σε ένα blog post που γράφτηκε από τον Nick Clegg, βασικό στέλεχος του Facebook στις 9 Σεπτεμβρίου, λέγεται ότι η IDPC ξεκίνησε έρευνα σχετικά με τέτοιες μεταφορές δεδομένων και “πρότεινε ότι τα SCC δεν μπορούν στην πράξη να χρησιμοποιηθούν για τη μεταφορά δεδομένων χρηστών μεταξύ ΕΕ-ΗΠΑ”. Αυτό, ωστόσο, θα μπορούσε να έχει “εκτεταμένες επιπτώσεις στις επιχειρήσεις“.
Το Data Privacy Shield framework ΕΕ-ΗΠΑ, το οποίο θεσπίστηκε για την επιβολή υψηλών προδιαγραφών προστασίας κατά τη μεταφορά πληροφοριών εκτός των συνόρων της ΕΕ, αποτέλεσε το αντικείμενο μιας υπόθεσης που είχε φτάσει ως το Δικαστήριο της Ευρωπαϊκής Ένωσης (CJEU) από τον Max Schrems.
Ο ακτιβιστής υποστήριξε ότι αυτό το σύστημα θα μπορούσε να βάλει σε κίνδυνο τα δεδομένα των χρηστών της ΕΕ, καθώς αυτά θα μπορούσαν να χρησιμοποιηθούν από τις αρχές επιβολής του νόμου των ΗΠΑ, οι οποίες είναι γνωστό ότι πραγματοποιούν εκστρατείες παρακολούθησης άλλων χωρών.
Τον Ιούλιο, το δικαστήριο έκρινε άκυρο το Privacy Shield λόγω των προτύπων GDPR, αλλά τα SCC συστήματα ανταλλαγής δεδομένων που επιβάλλουν “ουσιαστική ισοδυναμία” με τα πρότυπα προστασίας δεδομένων της ΕΕ, εξακολουθούν να θεωρούνται έγκυρα από το CJEU.
Οι υπεύθυνοι επεξεργασίας δεδομένων οφείλουν να παίρνουν αυστηρά μέτρα για την προστασία των πληροφοριών, εάν χρησιμοποιούν SCC. Σε περίπτωση που διαπιστωθεί παραβίαση, οι ρυθμιστικές αρχές της ΕΕ έχουν την εξουσία να αναστείλουν τα προγράμματα SCC.
Ωστόσο, το Facebook ισχυρίζεται ότι αν συμμορφωθεί με τις ιρλανδικές ρυθμιστικές αρχές και όχι με το CJEU, το οποίο επιτρέπει τα SCC, θα υπάρξουν πολλά προβλήματα. Η εταιρεία θα πρέπει να βρει άλλο νόμιμο τρόπο ανταλλαγής δεδομένων μεταξύ ΕΕ και ΗΠΑ, και αν αυτό δεν γίνει, θα ακολουθήσουν οικονομικά προβλήματα. Ακόμα και εταιρείες που βασίζονται σε δεδομένα στην Ευρώπη, θα υποφέρουν.
“Στη χειρότερη περίπτωση, αυτό θα μπορούσε να σημαίνει ότι μια μικρή τεχνολογική start-up εταιρεία στη Γερμανία δεν θα μπορούσε πλέον να χρησιμοποιεί έναν πάροχο cloud που εδρεύει στις ΗΠΑ“, λέει ο Clegg. “Μια ισπανική εταιρεία ανάπτυξης προϊόντων δεν θα μπορούσε πλέον να τρέχει την επιχείρηση σε πολλές ζώνες ώρας. Ένας Γάλλος λιανοπωλητής μπορεί να μην είναι πλέον σε θέση να διατηρεί τηλεφωνικό κέντρο στο Μαρόκο“.
Ο Clegg είπε, επίσης, ότι έλαβε σοβαρά υπόψη τα λόγια του CJEU τον Ιούλιο και έκτοτε “η εταιρεία εργάζεται σκληρά για να διασφαλίσει ότι μπορεί να συνεχίσει να μεταφέρει δεδομένα με ασφαλή τρόπο“.
Το Facebook δημιούργησε μια ομάδα Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για να εξετάσει τον καλύτερο τρόπο εφαρμογής της απόφασης του CJEU. Επιπλέον, η Επιτροπή της ΕΕ και το Υπουργείο Εμπορίου των ΗΠΑ βρίσκονται σε συζητήσεις για τη δημιουργία μιας “ενισχυμένης” ασπίδας προστασίας των δεδομένων των χρηστών της ΕΕ και των ΗΠΑ.
Το Facebook αναφέρει ότι θα συνεχίσει να συμμορφώνεται με την απόφαση του CJEU.