
Viedenský najvyšší súd (Oberlandesgericht Wien) dnes vyniesol rozsudok, podľa ktorého musí spoločnosť Facebook zaplatiť pánovi Schremsovi 500 EUR ako odškodné za citovú ujmu a poskytnúť mu úplný prístup ku všetkým údajom, ktoré o ňom spoločnosť Facebook uchováva. Internetový gigant však podľa zákona EÚ o ochrane osobných údajov (článok 6 ods. 1 písm. a) GDPR) nemusí získať súhlas používateľov na používanie ich údajov. Namiesto toho si Facebook môže jednoducho udeliť právo používať všetky údaje vo svojich podmienkach (článok 6 ods. 1 písm. b) GDPR).
- Rozsudok (nemecký originál, príslušné časti od strany 22)
- Rozsudok (strojový preklad do angličtiny, relevantné časti zo strany 22)
Je "obchádzanie súhlasu" spoločnosťou Facebook zákonné? GDPR umožňuje rôzne základy spracúvania osobných údajov: Napríklad súhlas alebo zmluva. Občianskoprávne zmluvy nemusia spĺňať prísne požiadavky "súhlasu" podľa GDPR. To by znamenalo, že spoločnosť nemusí dať používateľom možnosť slobodnej voľby a získať samostatný a jednoznačný súhlas. V rámci iného systému ako v prípade súhlasu používatelia nemajú možnosť odvolať svoj súhlas, keď si to rozmyslia.
V nadväznosti na túto myšlienku spoločnosť Facebook jednoducho skopírovala predchádzajúci súhlas do svojich občianskoprávnych podmienok v noci z 25. 5. 2018, keď GDPR nadobudlo účinnosť. Spoločnosť teraz tvrdí, že má "zmluvu" na spracovanie údajov používateľov. Táto nová zmluva tak nahrádza súhlas, ktorý sa používal pred nadobudnutím účinnosti GDPR. Cieľom tohto postupu bolo zjavne obísť prísnejšie požiadavky na ochranu údajov, ktoré požadujú zákonodarcovia EÚ: Používatelia Facebooku majú teraz podľa GDPR menej práv ako predtým podľa starého zákona o ochrane údajov, pretože podľa Vyššieho krajinského súdu vo Viedni uzavreli zmluvu o prijímaní personalizovanej reklamy.
V reprezentatívnom prieskume medzi 1 000 používateľmi Facebooku však len 1,6 % používateľov chápalo dohodu ako takúto "zmluvu". Väčšina predpokladala "súhlas" - rovnako ako žalobca. Európsky výbor pre ochranu údajov (EDPB) tiež výslovne nepovoľuje "zmluvy o používaní údajov" namiesto súhlasu.
Schrems:"Rakúsky súd umožňuje Facebooku obísť nové požiadavky GDPR. Facebook len skopíroval "súhlas" do iného dokumentu v noci, keď GDPR nadobudlo účinnosť, a tvrdí, že by to bola zmluva, a nie súhlas. To by malo za následok, že Európania by boli zbavení novej ochrany. Facebook jednoznačne zneužíva zákon a to nemožno tolerovať."
Facebook musí zaplatiť 500 eur a poskytnúť úplný prístup k údajom. Na druhej strane Facebook prehral svoje odvolanie týkajúce sa práva na prístup. Rakúske súdy v dvoch prípadoch rozhodli, že Facebook neposkytuje používateľom úplný prístup ku všetkým relevantným údajom vo svojich rôznych prístupových "nástrojoch". Súdny dvor tiež rozhodol, že používatelia majú právo byť informovaní o tom, ktoré iné strany poskytli údaje spoločnosti Facebook, alebo či a komu spoločnosť Facebook údaje poskytla. Keďže spoločnosť Facebook neustále nechávala pána Schremsa v nevedomosti o týchto údajoch, je povinná zaplatiť aspoň symbolickú sumu 500 EUR, ktorú pán Schrems žiadal ako odškodnenie za citovú ujmu.
Schrems:"Je zrejmé, že spoločnosť Facebook fakticky neposkytuje relevantné informácie. Som rád, že Súdny dvor povolil náhradu škody aj v takýchto prípadoch, keď spoločnosti dôsledne upierajú používateľom ich právo vedieť, aké údaje o nich spoločnosť uchováva."
Odvolanie na rakúsky najvyšší súd a potenciálne postúpenie veci Súdnemu dvoru EÚ: Viedenský najvyšší súd povolil odvolanie na rakúsky najvyšší súd (OGH). Pán Schrems podá takéto odvolanie so svojou právničkou Katharinou Raabe-Stuppnig. Je pravdepodobné, že rakúsky najvyšší súd môže tieto otázky postúpiť Súdnemu dvoru Európskej únie (SDEÚ). Tento najvyšší súd EÚ by mal konečné slovo, či je obchádzanie GDPR spoločnosťou Facebook legálne.
Schrems:"Zdá sa, že Súdny dvor sa v skutočnosti hlbšie nezaoberal mnohými problémami, ktoré tento prípad vyvoláva. Jednoznačne sa budeme snažiť dostať tento prípad až na najvyšší súd. V priebehu jari 2021 by mohlo dôjsť k postúpeniu veci Súdnemu dvoru EÚ v súvislosti so základnými otázkami. Ak bude priemyslu umožnené len pridať riadok do svojich podmienok, aby obišiel požiadavky na súhlas podľa GDPR, môžeme skartovať veľké časti GDPR."