Rakúsky DSB: Používanie služby Google Analytics porušuje rozhodnutie SDEÚ "Schrems II".
Rakúsky úrad na ochranu údajov ("Datenschutzbehörde" alebo "DSB") v prelomovom rozhodnutí rozhodol vo vzorovom prípade noyb , že nepretržité používanie služby Google Analytics porušuje GDPR. Ide o prvé rozhodnutie o 101 vzorových sťažnostiach, ktoré spoločnosť noyb podala v nadväznosti na rozhodnutie o tzv. rozhodnutí "Schrems II". 2020 Súdny dvor (SDEÚ) rozhodol, že používanie amerických poskytovateľov je v rozpore s GDPR, keďže americké zákony o dohľade vyžadujú, aby americkí poskytovatelia ako Google alebo Facebook poskytovali osobné údaje americkým orgánom. Podobné rozhodnutia sa očakávajú aj v iných členských štátoch EÚ, keďže regulačné orgány spolupracovali na týchto prípadoch v rámci "pracovnej skupiny" EDPB. Zdá sa, že rakúske rozhodnutie DSB je prvé, ktoré bude vydané.
rozhodnutie SDEÚ z roku 2020 zasahuje do reálneho sveta. V júli 2020 vydal SDEÚ prelomové rozhodnutie "Schrems II", v ktorom rozhodol, že prenos údajov poskytovateľom z USA, na ktorých sa vzťahuje FISA 702 a EO 12.333, porušuje pravidlá o medzinárodnom prenose údajov v GDPR. SDEÚ následne zrušil dohodu o prenose "Privacy Shield" po tom, ako v roku 2015 zrušil predchádzajúcu dohodu "Safe Harbor". Hoci to vyvolalo šokové vlny v technologickom priemysle, poskytovatelia z USA a vývozcovia údajov z EÚ tento prípad zväčša ignorovali. Rovnako ako Microsoft, Facebook alebo Amazon sa aj spoločnosť Google spoliehala na takzvané "štandardné zmluvné doložky", aby mohla pokračovať v prenose údajov a upokojiť svojich európskych obchodných partnerov.
Max Schrems, čestný predseda noyb.eu:"Namiesto toho, aby americké spoločnosti skutočne prispôsobili svoje služby tak, aby boli v súlade s GDPR, snažili sa jednoducho pridať niekoľko textov do svojich zásad ochrany osobných údajov a ignorovať Súdny dvor. Mnohé spoločnosti z EÚ ich nasledovali namiesto toho, aby prešli na právne možnosti."
SCC a "TOM" nestačia. Hoci spoločnosť Google predložila podania, v ktorých tvrdila, že zaviedla "technické a organizačné opatrenia" ("TOM"), ktoré zahŕňali nápady, ako napríklad mať ploty okolo dátových centier, preskúmavať žiadosti alebo mať základné šifrovanie, DSB tieto opatrenia odmietol ako absolútne nepoužiteľné, pokiaľ ide o dohľad USA (strany 38 a 39 rozhodnutia):
"Pokiaľ ide o načrtnuté zmluvné a organizačné opatrenia, nie je zrejmé, do akej miery sú [opatrenia] účinné v zmysle uvedených úvah
"Pokiaľ ide o technické opatrenia, tiež nie je rozpoznateľné (...), do akej miery by [opatrenie] skutočne zabránilo alebo obmedzilo prístup spravodajských služieb USA vzhľadom na právo USA."
Max Schrems:"Ide o veľmi podrobné a rozumné rozhodnutie. Pointa je taká: Spoločnosti už nemôžu používať americké cloudové služby v Európe. Už je to 1,5 roka, čo to Súdny dvor potvrdil druhýkrát, takže je viac než načase, aby sa zákon aj presadzoval."
Rozhodnutie sa týka takmer všetkých webových stránok v EÚ. Google Analytics je najbežnejší štatistický program. Hoci existuje mnoho alternatív, ktoré sú umiestnené v Európe alebo sa dajú hostovať samostatne, mnohé webové stránky sa spoliehajú na Google, a tým odovzdávajú svoje údaje o používateľoch americkej nadnárodnej spoločnosti. Skutočnosť, že orgány na ochranu údajov môžu teraz postupne vyhlásiť americké služby za nezákonné, vytvára ďalší tlak na spoločnosti z EÚ a poskytovateľov z USA, aby prešli na bezpečné a legálne možnosti, ako je napríklad hosting mimo USA. K podobnému rozhodnutiu o prenose údajov medzi EÚ a USA dospel pred týždňom aj európsky dozorný úradník pre ochranu údajov (EDPS).
Max Schrems:"Očakávame, že podobné rozhodnutia teraz postupne padnú vo väčšine členských štátov EÚ. Podali sme 101 sťažností v takmer všetkých členských štátoch a orgány koordinovali reakciu. Podobné rozhodnutie vydal minulý týždeň aj európsky dozorný úradník pre ochranu údajov."
Dlhodobé riešenie. Z dlhodobého hľadiska sa zdá, že existujú dve možnosti: Buď USA upravia základnú ochranu pre cudzincov, aby podporili svoj technologický priemysel, alebo budú musieť americkí poskytovatelia hosťovať zahraničné údaje mimo Spojených štátov.
Max Schrems:"Z dlhodobého hľadiska buď potrebujeme náležitú ochranu v USA, alebo skončíme s oddelenými produktmi pre USA a EÚ. Osobne by som uprednostnil lepšiu ochranu v USA, ale to je na americkom zákonodarcovi - nie na nikom v Európe."
Spoločnosť Google LLC nespadá pod pravidlá transferu? Orgán pre riešenie sporov zamietol nároky voči spoločnosti Google LLC ako príjemcovi údajov s tým, že pravidlá o prenose údajov sa vzťahujú len na subjekty v EÚ, a nie na príjemcov v USA. DSB však uviedla, že bude spoločnosť Google LLC ďalej vyšetrovať v súvislosti s možným porušením článkov 5, 28 a 29 GDPR, keďže sa zdá byť otázne, či spoločnosť Google mohla poskytnúť osobné údaje vláde USA bez výslovného príkazu vývozcu údajov z EÚ. DSB vydá v tejto veci samostatné rozhodnutie.
Max Schrems:"Pre nás je rozhodujúce, že poskytovatelia z USA nemôžu problém jednoducho presunúť na zákazníkov z EÚ. Preto sme podali žalobu aj proti príjemcovi z USA. DSB tento prístup čiastočne odmietol. Preskúmame, či sa proti tomuto prvku rozhodnutia odvoláme."
Žiadna sankcia (zatiaľ). Rozhodnutie sa nezaoberá potenciálnou pokutou, pretože sa považuje za "verejné" konanie o presadzovaní práva, v ktorom sťažovateľ nie je vypočutý. Nie sú k dispozícii žiadne informácie o tom, či bola udelená pokuta alebo či DSB plánuje udeliť aj pokutu. V nariadení GDPR sa v takýchto prípadoch predpokladajú sankcie až do výšky 20 miliónov EUR alebo 4 % celosvetového obratu.
Max Schrems:"Predpokladali by sme, že existuje aj sankcia pre vývozcu údajov z EÚ, ale zatiaľ sme dostali len čiastočné rozhodnutie, ktoré sa touto otázkou nezaoberá."
Ďalšie presadzovanie zo strany nemeckých orgánov na ochranu údajov. Keďže rakúsky vývozca údajov sa zlúčil s nemeckou spoločnosťou, rakúsky orgán DSB mal v minulosti právomoc len pre porušenia. DSB uviedol, že vznesie námietku zákazu budúcich prenosov údajov u príslušného orgánu v novom sídle vývozcu údajov v Nemecku.
Pozadie a právna analýza. noyb uverejnil aj hlbšiu právnu analýzu na stránke GDPRhub.eu.
