Rakouský DSB: Používání služby Google Analytics je v rozporu s rozhodnutím Soudního dvora EU "Schrems II".
Rakouský úřad pro ochranu osobních údajů ("Datenschutzbehörde" nebo "DSB") rozhodl v průlomovém rozhodnutí ve vzorovém případě noyb , že nepřetržité používání služby Google Analytics porušuje GDPR. Jedná se o první rozhodnutí o 101 vzorové stížnosti, kterou společnost noyb podala v návaznosti na rozhodnutí ve věci "Schrems II". 2020, v němž Soudní dvůr EU rozhodl, že využívání amerických poskytovatelů je v rozporu s GDPR, neboť americké zákony o dohledu vyžadují, aby američtí poskytovatelé, jako je Google nebo Facebook, poskytovali osobní údaje americkým orgánům. Podobná rozhodnutí se očekávají i v dalších členských státech EU, neboť regulační orgány na těchto případech spolupracují v rámci "pracovní skupiny" EDPB. Zdá se, že rakouské rozhodnutí DSB je první, které bude vydáno.
rozhodnutí Soudního dvora EU z roku 2020 zasahuje do reálného světa. V červenci 2020 vydal SDEU průlomové rozhodnutí "Schrems II", v němž konstatoval, že předávání údajů americkým poskytovatelům, na které se vztahuje FISA 702 a EO 12.333, porušuje pravidla pro mezinárodní předávání údajů v GDPR. SDEU následně zrušil dohodu o předávání údajů "Privacy Shield", poté co v roce 2015 zrušil předchozí dohodu "Safe Harbor". Ačkoli to vyvolalo šokové vlny v technologickém průmyslu, američtí poskytovatelé a vývozci údajů z EU tento případ z velké části ignorovali. Stejně jako Microsoft, Facebook nebo Amazon se i Google spoléhal na takzvané "standardní smluvní doložky", aby mohl pokračovat v předávání údajů a uklidnit své evropské obchodní partnery.
Max Schrems, čestný předseda noyb.eu:"Místo toho, aby americké společnosti skutečně přizpůsobily své služby tak, aby byly v souladu s GDPR, snažily se jednoduše přidat nějaký text do svých zásad ochrany osobních údajů a ignorovat Soudní dvůr. Mnoho společností z EU následovalo jejich příkladu, místo aby přešly na zákonné možnosti."
SCC a "TOM" nestačí. Ačkoli společnost Google předložila podání, v nichž tvrdila, že zavedla "technická a organizační opatření" ("TOM"), která zahrnovala nápady, jako jsou ploty kolem datových center, přezkoumávání žádostí nebo základní šifrování, DSB tato opatření odmítl jako naprosto zbytečná, pokud jde o dohled USA (strana 38 a 39 rozhodnutí):
"Pokud jde o nastíněná smluvní a organizační opatření, není zřejmé, do jaké míry jsou [opatření] účinná ve smyslu výše uvedených úvah"
"Pokud jde o technická opatření, není rovněž rozpoznatelné (...), do jaké míry by [opatření] skutečně zabránilo nebo omezilo přístup amerických zpravodajských služeb s ohledem na americké právo."
Max Schrems:"Jedná se o velmi podrobné a rozumné rozhodnutí. Pointa je následující: Společnosti již nemohou v Evropě využívat americké cloudové služby. Jeto již 1,5 roku, co to Soudní dvůr potvrdil podruhé, takže je více než na čase, aby byl zákon také prosazen."
Rozhodnutí se týká téměř všech webových stránek v EU. Nejběžnějším statistickým programem je Google Analytics. Ačkoli existuje mnoho alternativ, které jsou hostovány v Evropě nebo mohou být hostovány samostatně, mnoho webových stránek se spoléhá na Google a předává tak údaje o svých uživatelích americké nadnárodní společnosti. Skutečnost, že úřady pro ochranu osobních údajů mohou nyní postupně prohlásit americké služby za nezákonné, vytváří další tlak na společnosti z EU a americké poskytovatele, aby přešli k bezpečným a legálním možnostem, jako je například hosting mimo USA. K podobnému rozhodnutí o předávání dat mezi EU a USA dospěl o týden dříve i evropský inspektor ochrany údajů (EDPS).
Max Schrems:"Očekáváme, že podobná rozhodnutí nyní postupně padnou ve většině členských států EU. Podali jsme 101 stížnost téměř ve všech členských státech a úřady koordinovaly reakci. Podobné rozhodnutí vydal minulý týden také evropský inspektor ochrany údajů."
Dlouhodobé řešení. Z dlouhodobého hlediska se zdá, že existují dvě možnosti: Buď USA upraví základní ochranu cizinců, aby podpořily svůj technologický průmysl, nebo budou muset američtí poskytovatelé hostovat zahraniční data mimo Spojené státy.
Max Schrems:"V dlouhodobém horizontu buď budeme potřebovat řádnou ochranu v USA, nebo skončíme s oddělenými produkty pro USA a EU. Osobně bych dal přednost lepší ochraně v USA, ale to záleží na americkém zákonodárci - ne na nikom v Evropě."
Společnost Google LLC nespadá pod pravidla převodu? Orgán pro řešení sporů zamítl nároky vůči společnosti Google LLC jako příjemci údajů s tím, že pravidla pro předávání údajů se vztahují pouze na subjekty v EU, nikoli na příjemce v USA. DSB však uvedl, že bude společnost Google LLC dále vyšetřovat v souvislosti s možným porušením článků 5, 28 a 29 GDPR, neboť se zdá být sporné, zda společnost Google mohla poskytovat osobní údaje vládě USA bez výslovného příkazu vývozce údajů z EU. Orgán pro řešení sporů vydá v této věci samostatné rozhodnutí.
Max Schrems:"Pro nás je zásadní, že američtí poskytovatelé nemohou problém pouze přenést na zákazníky z EU. Proto jsme podali žalobu i proti příjemci v USA. Orgán pro řešení sporů tento přístup částečně odmítl. Pokud se proti tomuto prvku rozhodnutí odvoláme, rozhodnutí přezkoumáme."
Žádná sankce (zatím) nehrozí. Rozhodnutí se nezabývá případnou pokutou, protože je považováno za "veřejné" řízení o vymáhání práva, v němž není stěžovatel vyslechnut. Nejsou k dispozici žádné informace o tom, zda byla udělena pokuta nebo zda DSB plánuje udělit také pokutu. GDPR v takových případech předpokládá pokuty až do výše 20 milionů EUR nebo 4 % celosvětového obratu.
Max Schrems:"Předpokládali bychom, že existuje také sankce pro vývozce údajů z EU, ale zatím jsme obdrželi pouze částečné rozhodnutí, které se touto otázkou nezabývá."
Další vymáhání ze strany německých orgánů pro ochranu údajů. Vzhledem k tomu, že se rakouský vývozce údajů spojil s německou společností, měl rakouský orgán pro ochranu údajů pravomoc rozhodovat o porušeních pouze v minulosti. Orgán DSB uvedl, že vznese u příslušného orgánu v novém sídle vývozce údajů v Německu požadavek na zákaz budoucího předávání údajů.
Podklady a právní analýza. noyb zveřejnil také hlubší právní analýzu na webu GDPRhub.eu.
