AKTUALIZACE 101 stížností: Rakouský úřad DPA odmítá "přístup založený na riziku" pro předávání údajů do třetích zemí
Po průlomových rozhodnutích rakouského a francouzského úřadu pro ochranu údajů, podle nichž je používání služby Google Analytics nezákonné, vydal nyní rakouský úřad pro ochranu údajů druhé rozhodnutí, které jde ještě dál: Prohlásil, že používání anonymizace IP adres společnosti Google je zbytečným ochranným opatřením pro předávání údajů mezi EU a Spojenými státy. Orgán pro ochranu údajů dále odmítl pojem "přístup založený na riziku", kterým argumentovala společnost Google.
Některé orgány v Evropě zároveň případy uzavřely: Španělský a lucemburský orgán pro ochranu údajů ukončily řízení o stížnostech, aniž by se vyjádřily k nezákonnému používání služby Google Analytics, protože příslušné internetové stránky přestaly službu Google Analytics používat.
- Odkaz na anglický překlad redigovaného rozhodnutí
- Odkaz na redakčně upravený německý originál
- Odkaz na předchozí rakouské rozhodnutí
- Odkaz na předchozí francouzské rozhodnutí Rozhodnutí
GDPR nepředpokládá "přístup založený na riziku" pro předávání údajů. Po vydání nařízení Schrems II prosazovaly velké technologické společnosti a právníci z tohoto odvětví "přístup založený na riziku" pro předávání údajů. Navrhovali, aby se dodatečná ochranná opatření, jak je požadoval např SDEU, by měly být pouze nezbytné v případě "podstatného rizika pro práva a svobody subjektu údajů". Pro "nízkorizikové případy", např. když se předávají "pouze" údaje, jako jsou online identifikátory nebo IP adresy, by měla stačit tzv. standardní smluvní doložka. Orgán pro řešení sporů nyní shledal tento názor nesprávným: GDPR nezná přístup založený na riziku pro předávání údajů do nejistých třetích zemí, jako jsou např.
"DSB konečně odhalila "přístup založený na riziku" pro předávání údajů takový, jaký je: neobratný pokus o zmírnění jasné judikatury Soudního dvora EU. V příslušných článcích o předávání údajů se slovo "riziko" nepoužívá ani jednou." - Marco Blocher, právník zabývající se ochranou údajů ve společnosti noyb
IP společnosti Google anonymizace nechrání údaje. Rakouský soudní orgán pro ochranu osobních údajů rovněž odmítl argumenty společnosti Google, že webové stránky mohou při používání nástrojů, jako je Google Analytics, aktivovat anonymizaci IP, aby účinně chránily přenášené údaje před sledováním. To bylo odmítnuto ze dvou důvodů: zaprvé, anonymizace IP společnosti Google ovlivňuje pouze IP adresu jako takovou. Údaje, jako jsou online-identifikátory nastavené v souborech cookie nebo údaje o zařízení jsou přenášeny v čisté podobě. Za druhé, anonymizace IP adresy se provádí až po předání údajů společnosti Google.
"Nyní se potvrzuje, že jen proto, že IP adresy dostanou anonymizovány v určité fázi procesu, jsou IP adresy stále původně zpracovávány. Anonymizace jednoho identifikátoru také nepřekoná skutečnost, že existují další identifikátory." - Marco Blocher, právník pro ochranu údajů ve společnosti noyb
Národní přístupy navzdory pracovní skupině EDPB. Orgány pro ochranu údajů měly v plánu zaujmout koordinovaný přístup ohledně 101 stížností společnosti noyb, ale zdá se, že instalovaná pracovní skupina to nesplňuje: zatímco rakouský a francouzský orgán pro ochranu údajů důkladně prošetřily používání nástrojů, které přenášejí osobní údaje do USA, španělský orgán pro ochranu údajů jednoduše zamítl stížnost, protože poskytovatel webových stránek po stížnosti odstranil z webových stránek nástroj Google Analytics. O tom, zda byly přenosy údajů do USA před jejich odstraněním nezákonné či nikoli, nepadlo ani slovo. Stejně tak lucemburský úřad DPA zamítl tři stížnosti týkající se přenosů údajů na servery Facebooku v USA, protože webové stránky tyto nástroje odstranily.
"Zastavení porušování předpisů neznamená, že minulé porušování předpisů je legální. Podle logiky těchto orgánů byste neměli dostat pokutu za překročení rychlosti, pokud v určitém okamžiku přestanete překračovat rychlost." - Marco Blocher, právník zabývající se ochranou údajů ve společnosti noyb
