Rakúska DSB: Nástroje na meta sledovanie sú nezákonné
Rakúsky úrad na ochranu údajov (DSB) v prelomovom rozhodnutí v jednej zo 101 sťažností spoločnosti noybs rozhodol, že používanie sledovacieho pixelu spoločnosti Facebook priamo porušuje nariadenie GDPR a takzvané rozhodnutie "Schrems II" o transatlantických tokoch údajov. Súdny dvor EÚ (SDEÚ) v roku 2020 rozhodol, že používanie amerických poskytovateľov je v rozpore s GDPR, keďže americké zákony o sledovaní vyžadujú, aby americké spoločnosti, ako napríklad Facebook, poskytovali osobné údaje používateľov americkým orgánom.
- Rozhodnutie rakúskeho DSB (v nemčine)
- Automatický preklad rozhodnutia (SK)
- Zhrnutie prípadu na stránke GDPRhub (SK)
rozhodnutie SDEÚ z roku 2020 zasahuje do reálneho sveta. V júli 2020 SDEÚ rozhodol, že prenos údajov poskytovateľom z USA, na ktorých sa vzťahuje FISA 702 a EO 12.333, porušuje pravidlá o medzinárodnom prenose údajov v GDPR. SDEÚ následne zrušil dohodu o prenose "Privacy Shield" po tom, ako v roku 2015 zrušil predchádzajúcu dohodu "Safe Harbor". Hoci to vyvolalo šokové vlny v technologickom priemysle, poskytovatelia z USA a vývozcovia údajov z EÚ tento prípad zväčša ignorovali. Rovnako ako Microsoft, Google alebo Amazon, aj Facebook sa spoliehal na takzvané "štandardné zmluvné doložky" a "doplnkové opatrenia", aby pokračoval v prenose údajov a upokojil svojich európskych obchodných partnerov. Spoločnosť noyb preto v auguste 2020 podala 101 sťažností na webové stránky, ktoré napriek jasným súdnym rozhodnutiam stále používajú nástroje Google Analytics a Facebook Tracking.
"Facebook sa tváril, že jeho komerční zákazníci môžu naďalej používať jeho technológiu napriek dvom rozsudkom Súdneho dvora, ktoré hovoria o opaku. Teraz prvý regulačný orgán povedal zákazníkovi, že používanie technológie sledovania Facebooku je nezákonné." - Max Schrems, predseda noyb.eu
Nezákonné prenosy údajov prostredníctvom prihlasovacích údajov Facebook a Meta Pixel. Rozhodnutie DSB o vyhlásení služby Google Analytics za nezákonnú sa vzťahuje aj na nástroje "Facebook Login" a "Meta Pixel", ktoré poskytuje spoločnosť Meta: Ak sa tieto nástroje používajú, údaje sa nevyhnutne prenášajú do USA, kde hrozí riziko sledovania spravodajskými službami. Európskym prevádzkovateľom webových stránok sa preto odporúča, aby na svojich webových stránkach nepoužívali žiadne nástroje spoločnosti Meta.
Rozhodnutie sa týka takmer všetkých webových stránok EÚ. Mnohé webové stránky používajú technológiu sledovania Facebooku na sledovanie používateľov a zobrazovanie personalizovanej reklamy. Ak webové stránky túto technológiu obsahujú, všetky údaje o používateľoch zároveň posielajú americkej nadnárodnej spoločnosti a ďalej NSA. Hoci sa Európska komisia stále snaží zverejniť tretiu dohodu o prenose údajov medzi EÚ a USA, skutočnosť, že právo USA stále umožňuje hromadné sledovanie, znamená, že táto záležitosť sa v dohľadnej dobe nevyrieši.
Dlhodobé riešenie. Zdá sa, že z dlhodobého hľadiska existujú dve možnosti: Buď USA upravia základnú ochranu pre cudzincov, aby podporili svoj technologický priemysel, alebo budú musieť americkí poskytovatelia hosťovať zahraničné údaje mimo Spojených štátov. Je všeobecne známe, že Meta kvôli svojmu systému so sídlom v USA kategoricky nedokáže zabezpečiť, aby údaje európskych občanov neboli zachytené americkými spravodajskými službami.
Žiadna sankcia. Neexistujú žiadne informácie o tom, či bola udelená pokuta alebo či DSB plánuje udeliť aj pokutu. V nariadení GDPR sa v takýchto prípadoch predpokladajú pokuty až do výšky 20 miliónov EUR alebo 4 % celosvetového obratu, ale zdá sa, že orgány na ochranu údajov nie sú ochotné udeľovať pokuty napriek tomu, že prevádzkovatelia viac ako dva roky ignorovali dva rozsudky SDEÚ.
