AKTUALIZACJA w sprawie 101 skarg złożonych przez noyb: Austriacki organ ochrony danych odrzuca "podejście oparte na ryzyku" w zakresie przekazywania danych do państw trzecich

Maj 02, 2022

AKTUALIZACJA dotycząca 101 skarg: Austriacki organ ochrony danych odrzuca "podejście oparte na ryzyku" w przypadku przekazywania danych do krajów trzecich

Po przełomowych decyzjach austriackiego i francuskiego organu ochrony danych, w których stwierdzono, że korzystanie z Google Analytics jest nielegalne, austriacki organ ochrony danych wydał drugą decyzję, w której poszedł jeszcze dalej: Uznał on stosowanie anonimizacji IP przez Google za bezużyteczny środek ochrony w przypadku przekazywania danych między UE a Stanami Zjednoczonymi. Ponadto DSB odrzuciło koncepcję "podejścia opartego na ryzyku", na które powoływała się firma Google

Niektóre organy w Europie jednocześnie zamknęły sprawy: Hiszpański i luksemburski organ ochrony danych osobowych zamknęły postępowania w sprawie skarg, nie wypowiadając się na temat niezgodnego z prawem wykorzystania Google Analytics, ponieważ dana witryna przestała korzystać z Google Analytics.

GDPR nie przewiduje "podejścia opartego na ryzyku" w odniesieniu do przekazywania danych Po wejściu w życie rozporządzenia Schrems II prawnicy z branży Big Tech i przemysłu promowali "podejście oparte na ryzyku" w odniesieniu do przekazywania danych. Sugerowali oni, że dodatkowe zabezpieczenia, wymagane przez TSUE, powinny być tylko konieczne w przypadku "znacznego zagrożenia dla praw i wolności osoby, której dane dotyczą". Tak zwana standardowa klauzula umowna powinna wystarczyć w "przypadkach niskiego ryzyka", np. gdy przekazywane są "tylko" takie dane jak identyfikatory internetowe lub adresy IP. DSB uznało ten pogląd za błędny: GDPR nie zna opartego na ryzyku podejścia do przekazywania danych do niepewnych państw trzecich, takich jak USA.

"DSB ostatecznie ujawniło, czym jest "podejście oparte na ryzyku" w odniesieniu do przekazywania danych: nieudolną próbą złagodzenia jasnego orzecznictwa TSUE. W odpowiednich artykułach dotyczących przekazywania danych ani razu nie użyto słowa "ryzyko"." - Marco Blocher, prawnik ds. ochrony danych w noyb

IP Google anonimizacja nie chroni danych Austriacki DSB odrzucił również argumenty Google, że strony internetowe mogą aktywować anonimizację IP podczas korzystania z narzędzi takich jak Google Analytics, aby skutecznie chronić przekazywane dane przed nadzorem. Argument ten został odrzucony z dwóch powodów: po pierwsze, anonimizacja IP Google'a dotyczy tylko adresu IP jako takiego Dane takie jak dane internetowe-identyfikatory ustawione w plikach cookie lub dane z urządzeń są przesyłane w sposób jawny. Po drugie, anonimizacja IP ma miejsce dopiero po przekazaniu danych do Google.

"Teraz potwierdza się, że tylko dlatego, że adresy IP są anonimizowane na pewnym etapie procesu, adresy IP są nadal początkowo przetwarzane" Anonimizacja jednego identyfikatora nie eliminuje faktu, że istnieją również inne identyfikatory." - Marco Blocher, prawnik ds. ochrony danych w Noyb

Podejście krajowe mimo istnienia grupy zadaniowej EDPB Organy ochrony danych miały przyjąć skoordynowane podejście w odniesieniu do 101 skarg noyb, ale zainstalowana grupa zad aniowa nie wydaje się spełniać oczekiwań: podczas gdy austriacki i francuski organ ochrony danych dokładnie zbadał wykorzystanie narzędzi, które przekazują dane osobowe do USA, hiszpański organ ochrony danych po prostu odrzucił skargę, ponieważ dostawca strony internetowej usunął Google Analytics ze strony internetowej po złożeniu skargi. Nie wiadomo, czy przekazywanie danych do USA przed usunięciem było niezgodne z prawem, czy nie. Podobnie luksemburski organ ochrony danych oddalił trzy skargi dotyczące przekazywania danych na serwery Facebooka w Stanach Zjednoczonych, ponieważ strony internetowe usunęły narzędzia.

"Zaprzestanie naruszeń nie sprawia, że wcześniejsze naruszenia są legalne. Zgodnie z logiką tych organów, nie powinieneś dostać mandatu za przekroczenie prędkości, jeśli w pewnym momencie przestałeś przekraczać prędkość." - Marco Blocher, prawnik ds. ochrony danych osobowych w noyb