UPDATE k 101 sťažnostiam: Rakúsky úrad pre ochranu údajov odmieta "prístup založený na riziku" pri prenose údajov do tretích krajín
Po prelomových rozhodnutiach rakúskeho a francúzskeho orgánu na ochranu údajov, podľa ktorých je používanie služby Google Analytics nezákonné, vydal rakúsky orgán na ochranu údajov druhé rozhodnutie, ktoré ide ešte ďalej: Vyhlásil, že používanie anonymizácie IP spoločnosti Google je zbytočným ochranným opatrením pri prenose údajov medzi EÚ a Spojenými štátmi. Orgán pre ochranu údajov ďalej odmietol pojem "prístup založený na riziku", ktorým argumentovala spoločnosť Google.
Niektoré orgány v Európe zároveň uzavreli prípady: Španielsky a luxemburský orgán na ochranu údajov ukončili konanie o sťažnostiach bez toho, aby sa vyjadrili k nezákonnému používaniu služby Google Analytics, keďže príslušná webová stránka prestala službu Google Analytics používať.
- Odkaz na anglický preklad redigovaného rozhodnutia
- Odkaz na redigovaný nemecký originál
- Odkaz na predchádzajúce rakúske rozhodnutie
- Odkaz na predchádzajúce francúzske rozhodnutie Rozhodnutie
GDPR nepredpokladá "prístup založený na riziku" pre prenosy údajov. Po nariadení Schrems II právnici z oblasti veľkých technológií a priemyslu presadzovali "prístup založený na riziku" pre prenosy údajov. Navrhovali, aby sa dodatočné ochranné opatrenia, ako to požadovali SDEÚ, by mali byť len potrebné v prípade "značného rizika pre práva a slobody dotknutej osoby". Takzvaná štandardná zmluvná doložka by mala postačovať v "prípadoch s nízkym rizikom", napr. keď sa prenášajú "len" údaje, ako sú online identifikátory alebo IP adresy. DSB teraz zistil, že tento názor je nesprávny: GDPR nepozná prístup založený na riziku v prípade prenosu údajov do neistých tretích krajín, ako sú napr.
"DSB konečne odhalila "prístup založený na riziku" pre prenosy údajov taký, aký je: nešikovný pokus zmierniť jasnú judikatúru SDEÚ. V príslušných článkoch o prenose údajov sa ani raz nepoužíva slovo "riziko"." - Marco Blocher, právnik v oblasti ochrany údajov v spoločnosti noyb
IP spoločnosti Google anonymizácia nechráni údaje. Rakúsky DSB tiež odmietol argumenty spoločnosti Google, že webové stránky môžu aktivovať anonymizáciu IP pri používaní nástrojov, ako je Google Analytics, aby účinne chránili prenášané údaje pred sledovaním. Toto bolo zamietnuté z dvoch dôvodov: po prvé, anonymizácia IP spoločnosti Google ovplyvňuje len samotnú IP adresu. Údaje, ako napríklad online-identifikátory nastavené v súboroch cookie alebo údaje o zariadení sa prenášajú v čistom stave. Po druhé, anonymizácia IP sa uskutočňuje až po prenose údajov spoločnosti Google.
"Teraz sa potvrdzuje, že len preto, že adresy IP dostanú anonymizujú v určitej fáze procesu, adresy IP sa ešte stále pôvodne spracúvajú. Anonymizácia jedného identifikátora tiež neprekoná skutočnosť, že existujú ďalšie identifikátory." - Marco Blocher, právnik pre ochranu údajov v spoločnosti noyb
Národné prístupy napriek pracovnej skupine EDPB. Orgány na ochranu údajov mali v pláne zaujať koordinovaný prístup v súvislosti so 101 sťažnosťami spoločnosti noyb, ale zdá sa, že inštalovaná pracovná skupina to nesplnila: zatiaľ čo rakúsky a francúzsky orgán na ochranu údajov dôkladne prešetrili používanie nástrojov, ktoré prenášajú osobné údaje do USA, španielsky orgán na ochranu údajov jednoducho zamietol sťažnosť, pretože poskytovateľ webovej stránky po sťažnosti odstránil z webovej stránky službu Google Analytics. O tom, či prenosy údajov do USA pred ich odstránením boli nezákonné alebo nie, nepadlo ani slovo. Podobne luxemburský orgán DPA zamietol tri sťažnosti týkajúce sa prenosov údajov na servery Facebooku v USA, pretože webové stránky tieto nástroje odstránili.
"Zastavenie porušovania neznamená, že porušovanie v minulosti sa stane zákonným. Podľa logiky týchto orgánov by ste nemali dostať pokutu za prekročenie rýchlosti, ak v určitom okamihu prestanete prekračovať rýchlosť." - Marco Blocher, právnik pre ochranu údajov v spoločnosti noyb
